Banco pour le renseignement

Les grands gagnants de cette loi sont pour l’instant les services de renseignement qui ont réussi à obtenir gain de cause sur toutes leurs demandes. Car, oui, cette loi « Narcotrafic » est aussi une petite « loi renseignement » déguisée. En effet, la Coordination nationale du renseignement et de la lutte contre le terrorisme (CNRLT) assumait de chercher des « briques législatives » pour faire passer ses revendications – étant donné que l’instabilité politique empêche de garantir qu’un projet de loi porté par le gouvernement soit adopté. Dans cette proposition de loi, trois mesures accroissent les pouvoirs des services.

L’article 1^er facilite l’échange d’informations entre les services de renseignement. Normalement, les services doivent demander l’autorisation du Premier ministre, après un avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR), s’ils veulent partager certains renseignements pour une autre raison que celle qui a en justifié la collecte. Une autorisation est par exemple aujourd’hui nécessaire pour la DGSE qui aurait surveillé des personnes pour « prévention du terrorisme » et voudrait transférer les informations ainsi obtenues à la DGSI pour la finalité, différente, de « prévention des violences collectives de nature à porter atteinte à la paix publique ». Ce filtre permet de vérifier que les services ne contournent pas les règles du code de sécurité intérieure et que l’échange est bien nécessaire, tout en les obligeant à une certaine transparence sur leurs pratiques. Mais cette nécessité d’autorisation préalable a été supprimée pour toutes les situations – et pas uniquement en cas de criminalité organisée – au nom d’une « lourdeur » procédurale, laissant ainsi le champ libre aux services pour s’échanger les informations qu’ils veulent, sans contrôle.

L’article 6 permet à la justice de transmettre aux services de renseignement des informations relatives à des dossiers de délinquance et criminalité organisée. En principe, ces échanges sont interdits au nom de la séparation des pouvoirs : les renseignements font de la « prévention » administrative et la justice est la seule autorité pouvant rechercher et réprimer les auteurs d’infractions. Si elle a des éléments, elle doit les conserver en attendant de rassembler davantage de preuves et non les donner à un service de renseignement, qui est une administration et qui n’a pas de pouvoir de répression alors que son activité est par nature secrète. Cette disposition affaiblit donc les garanties procédurales qui entourent l’action judiciaire et renforcent les capacités de surveillance du renseignement et donc du gouvernement.

Enfin, l’article 8 est un des plus dangereux de la proposition de loi puisqu’il étend la technique de renseignement dite des « boites noires ». Cette mesure consiste à analyser le réseau internet via des algorithmes pour trouver de prétendus comportements « suspects ». Tout le réseau est scanné, sans distinction : il s’agit donc de surveillance de masse. Autorisée pour la première fois en 2015 pour la prévention du terrorisme, cette technique de renseignement a été étendue en 2024 à la prévention des ingérences étrangères. Avec cet article 8, cette surveillance serait à nouveau étendue et s’appliquerait alors à la « prévention de la criminalité organisée ». On ne sait pas grand-chose de ces boites noires, ni de leur utilisation, puisque les quelques rapports sur le sujet ont été classés secret défense. En revanche, pendant les débats en commission, le député Sacha Houlié (qui a été le promoteur de leur extension l’année dernière) a donné des indications de leurs fonctionnement. Il explique ainsi que les comportements recherchés seraient ceux faisant de « l’hygiène numérique », soit, d’après lui, des personnes qui par exemple utiliseraient plusieurs services à la fois (WhatsApp, Signal, Snapchat). L’ensemble de ce passage est édifiant. Le député macroniste, ancien membre de la délégation parlementaire au renseignement, semble peu maîtriser le sujet mais laisse comprendre en creux que l’algorithme pourrait être configuré pour rechercher toute personne ayant des pratiques numériques de protection de sa vie privée. Les métadonnées révélant le recours à un nœud Tor ou l’utilisation d’un VPN pourrait semblent de fait être considérées comme suspectes. Ce mouvement consistant à considérer comme suspectes les les bonnes pratiques numériques n’est malheureusement pas nouveau et a notamment été très présent lors de l’affaire du « 8-Décembre ».

Ces trois dispositions sont passées sans encombre et demeurent donc dans la proposition de loi.

Le droit au chiffrement en sursis

L’article 8 ter du texte prévoyait une obligation pour les fournisseurs de services de messagerie chiffrée de donner à la police et au renseignement un accès au contenu des communications. Cette mesure consiste en pratique à installer une « porte dérobée », ou « backdoor », pour compromettre le fonctionnement de ces services. Elle a fait l’unanimité contre elle. Qu’il s’agisse des associations fédérées au sein de la Global Encryption Coalition, des entreprises (réunies au sein de l’Afnum ou de Numeum) ou encore de certaines personnalités politiques et institutionnelles dans une tribune du journal Le Monde, tout le monde rappelait le caractère insensé et dangereux de cette mesure, pourtant adoptée avec la loi à l’unanimité du Sénat.

À l’Assemblée nationale aussi, le front contre cette disposition était large puisque des amendements de suppression sont venus de tous les bords politiques. Lors de son audition, le ministre Retailleau a tant bien que mal essayé de défendre cette mesure, en répétant les bobards fournis par le renseignement, sans sembler pleinement les comprendre. Et le ministre d’expliquer par exemple que cette mesure ne « casserait » pas le chiffrement mais viserait uniquement à transférer le contenu des conversations à un utilisateur fantôme… Or, contourner le chiffrement en autorisant une personne tierce à connaître le contenu des messages constitue bien une « porte dérobée », puisque celle-ci disposera de nouvelles clés de déchiffrement, que le service de messagerie aura été obligé de fournir aux autorités (voir notamment les explications de l’ISOC). De plus, contrairement à ce qu’affirmait le ministre de l’intérieur, une telle modification impacterait nécessairement le service dans son intégralité et concernerait de fait tous·tes ses utilisateur·ices.

Cette mesure controversée a été supprimée… pour l’instant. Nous restons en effet prudent·es car les attaques contre le chiffrement sont récurrentes. Si les menaces se cantonnaient en général à des postures médiatiques de personnalités politiques, le rapport de force est constant et les stratégies autoritaires pour faire adopter de tels dispositifs sont régulièrement remises à l’ordre du jour. Que ce soit pour préparer leurs acceptabilité sociale ou pour faire diversion sur d’autres mesures, il n’empêche que ces attaques contre le chiffrement sont de plus en plus fréquentes et révèlent une volonté assumée des services de renseignement de voir, un jour, cette technologie mise au pas. C’est aussi et surtout au niveau européen qu’il faut être vigilant·es pour l’avenir. De nombreux pays (comme la Suède, le Danemark ou le Royaume-Uni) essayent également de mettre la pression sur les services de messagerie ou d’hébergement chiffrés. De leur côté, les institutions de l’Union européenne poussent plusieurs projets visant à affaiblir la confidentialité des communications, comme le règlement « Chat Control » ou le projet du groupe de travail « Going Dark ». C’est pour cela que montrer une forte résistance est crucial. Plus nous rendons le rapport de force coûteux pour les adversaires du chiffrement, plus nous montrons qu’il sera compliqué de revenir la prochaine fois.

Des conquêtes prudentes

D’autres mesures très dangereuses ont été supprimées par les membres de la commission des lois. Tel est ainsi le cas des articles 15 ter et 15 quater qui permettaient à la police judiciaire de compromettre la sécurité des objets connectés pour activer à distance des micros et des caméras. Une disposition quasi-identique avait été invalidée par le Conseil constitutionnel en 2023, ce qui semble avoir refroidi une majorité de député·es.

De la même manière, le « dossier coffre » prévu par l’article 16 a été supprimé. Cette mesure crée une atteinte inédite aux droits de la défense en empêchant les personnes poursuivies d’avoir accès aux procès-verbaux détaillant les mesures de surveillance les concernant, donc de les contester. À travers ce mécanisme de PV séparé, la police pourrait donc utiliser en toute opacité des outils très intrusifs (comme les logiciel-espions par exemple) sans jamais avoir à rendre de comptes auprès des personnes poursuivies.

Mais ces deux mesures ont été supprimées à seulement quelques voix près et sont défendues bec et ongles par le gouvernement, ce qui nous fait dire qu’elles vont très probablement être remises sur la table lors de l’examen en séance, ou ensuite en commission mixte paritaire.

De la même manière, nous avons fortement critiqué l’article 12 du texte qui prévoit l’extension de la censure administrative d’internet par la police. En l’état, cette mesure permettait aux agents de Pharos d’exiger le retrait de contenus liés à un champ très large d’infractions liées au trafic et à l’usage de drogues, comme « la provocation à l’usage de drogues ». Cela pouvait donc inclure aussi bien des extraits de films que des articles publiés sur des sites de réduction des risques. Les membres de la commission des lois ont drastiquement réduit le périmètre des infractions concernées par cette censure, qui est désormais limité aux publications relatives à la vente de drogues. Si cette avancée est bienvenue, il n’empêche que le mécanisme a été validé et continue de renforcer la capacité de l’État à censurer internet en dehors de tout contrôle judiciaire.

Pour ces trois mesures, nous restons donc très prudent·es car elles peuvent être rétablies dans leur version d’origine en hémicycle. La mobilisation auprès des député·es reste donc très importante.

Une loi qui reste dangereuse

De nombreuses autres mesures ont été votées : la collecte, et la conservation pendant une durée disproportionnée de cinq années, des informations d’identité de toute personne achetant notamment une carte SIM prépayée (article 12 bis), la banalisation des enquêtes administratives de sécurité pour l’accès à de nombreux emplois (article 22) ou l’utilisation des drones par l’administration pénitentiaires (article 23). Au-delà de ces mesures de surveillance, le texte renforce une vision très répressive de la détention, de la peine ou de la justice des mineurs et – comme le dénonce l’association Droit Au Logement – facilite les expulsions locatives.

L’élargissement du nombre des agents pouvant consulter le fichier TAJ (article 15) a en revanche été supprimée. Non pas pour le respect des libertés mais parce qu’en pratique ces accès sont déjà possibles.

Surtout, comme nous l’expliquons depuis le début de la mobilisation, cette proposition de loi s’applique à un champ bien plus large de situations que le seul trafic de drogues. En effet, elle modifie toutes les règles liées au régime dérogatoire de la délinquance et la criminalité organisées, qui sont fréquemment utilisées pour réprimer les auteurs et autrices d’actions militantes. Par exemple, les procureurs n’hésitent pas à mobiliser la qualification de « dégradation en bande organisée » pour pouvoir jouir de ces pouvoirs plus importants et plus attentatoires aux libertés publiques. Tel a été le cas pendant le mouvement des Gilets jaunes, lors de manifestations ou contre les militant·es ayant organisé des mobilisations contre le cimentier Lafarge. Ce cadre juridique d’exception s’applique également à l’infraction « d’aide à l’entrée et à la circulation de personnes en situation irrégulière en bande organisée », qualification qui a été utilisée contre des militant·es aidant des personnes exilées à Briançon, mais a ensuite été abandonnée lors du procès.

En l’état, la loi Narcotrafic reste donc fondamentalement la même : un texte qui utilise la question du trafic du drogue pour légitimer une extension de pouvoirs répressifs, aussi bien au bénéfice de la police judiciaire que de l’administration. Il faut donc continuer de lutter contre ce processus d’affaiblissement de l’État de droit et refuser cette narration jouant sur les peurs et le chantage à la surveillance. Nous avons eu beaucoup de retours de personnes qui ont contacté les député·es pour les pousser à voter contre la loi. Un grand merci à elles et eux ! Cela a très certainement dû jouer dans le retrait des mesures les plus dangereuses.

Il ne faut cependant pas s’arrêter là. La proposition de loi va désormais passer en hémicycle, c’est-à-dire avec l’ensemble des député·es, à partir du lundi 17 mars. Les propositions d’amendements seront publiées d’ici la fin de semaine et donneront une idée de la nature des débats à venir. En attendant, vous pouvez retrouver notre page de campagne mise à jour et les moyens de contacter les parlementaires sur la page de campagne dédiée. Vous pouvez aussi nous faire un don pour nous aider à continuer la lutte.

On en parlait fin janvier, la proposition de loi contre le « narcotrafic » est un grand fourre-tout sécuritaire qui joue la surenchère répressive dans tous les domaines, et les mesures de surveillance numérique ne sont pas les moins délirantes.

Imaginez. Il y aurait, dans un petit pays loin, loin d’ici, un gouvernement qui naviguerait à vue au gré des paniques médiatiques, qui godillerait de fait divers en fait divers, et qui entretiendrait avec complaisance une ambiance de panique morale collective, une sorte d’état d’urgence permanent : l’économie irait mal, la dette serait abyssale, les immigrés seraient trop nombreux et trop criminels, d’ailleurs le terrorisme frapperait de nouveau, et le trafic de drogue gangrènerait nos quartiers, etc. Bien conscient que sa politique économique, écologique et sociale serait peu populaire, ce gouvernement aurait besoin de la police pour résoudre la plupart de ses problèmes. Ce que la police demanderait, la police l’obtiendrait.

Dans ce contexte hostile à la réflexion et au respect des droits – une chose archaïque, visiblement, que des lois anciennes voulaient bizarrement protéger – c’est la foire aux mesures de surveillance intrusives. Activer à distance les micros et les caméras des appareils mobiles, casser le chiffrement des messageries instantanées, etc. La panoplie est détaillée dans l’article que nous avons publié le 24 février et dans la page de campagne.

« Mais pourquoi s’en inquiéter ? Ne s’agit-il pas de punir des criminels ? Vous ne voulez quand même pas protéger des assassins ? » Le danger est justement que ces mesures ne concernent pas « seulement les trafiquants de drogue ». Elles viennent étoffer un objet juridique qui existe déjà et qui s’appelle le régime de la « criminalité organisée ». Et ce régime censé cibler le grand banditisme a déjà été utilisé de nombreuses fois contre des actions militantes, justement en raison des facilités de procédure et de surveillance qu’il permet. On croit être dur pour les grossistes de cocaïne et on devient dur contre les opposants à une autoroute ou à une usine polluante. Quand une mesure liberticide entre dans la loi, d’abord de façon encadrée, elle reste dans la panoplie des mesures à appliquer quand on élargit le champ d’application à autre chose.

Nous avons donc appelé à une action collective pour interpeler les député·es de la commission des Lois qui devaient amender le texte cette semaine. Et vous avez répondu en nombre ! Un grand merci à vous !
L’action paye, et la commission a rejeté les mesures les plus dangereuses. Mais le gouvernement tentera sans doute de les introduire de nouveau lors de la discussion dans l’hémicycle, qui doit commencer le 17 mars. On en reparle très vite !

Lire l’article : La loi Narcotrafic est une loi de surveillance : mobilisons nous !
La page de la campagne : Contre la loi surveillance et narcotraficotage

Campagne de soutien 2025

Notre campagne de soutien pour 2025 est toujours ouverte ! Nous avons récolté environ 45% de notre objectif pour l’année. En prenant en compte les dons mensuels, on arrivera environ à 75% de l’objectif. Aidez-nous à boucler le budget 2025 ! Vous pouvez nous faire un don sur notre site.

Agenda

• 12 mars 2025 : Atelier à l’École de droit de Sciences Po Paris : « Algorithmic transparency and the digital rule of law », à 16h15, salle N207, 1 Place Saint-Thomas d’Aquin, 75007 Paris.
• 13 mars 2025 : Causerie mensuelle du groupe Technopolice Marseille, à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 29 mars 2025 : Colloque L’intelligence artificielle, un nouveau champ de batailles, table-ronde « L’IA, pour le meilleur ou pour le pire ? », à partir de 10h, Espace Conférences, 2bis rue Mercœur, 75011 Paris.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Loi Narcotrafic

• Proposition de loi contre le narcotrafic : pourquoi l’introduction d’une « porte dérobée » dans les messageries est très critiquée [France Info TV]
• Loi contre le narcotrafic : la droite tente d’imposer des « portes dérobées » dans les messageries chiffrées [Mediapart]
• Loi narcotrafic: la Quadrature du Net dénonce un texte liberticide [RFI]
• La proposition de loi contre le narcotrafic arrive en commission à l’Assemblée [Le Figaro]
• Chiffrement des messageries, vidéosurveillance intelligente : le monde du numérique prépare la riposte [Politico]
• Vers la fin des messages privés ? La « loi sur le narcotrafic » arrive à l’Assemblée [Contre-attaque]
• Loi narcotrafic : le premier syndicat de la tech tire à boulets rouges contre la remise en cause du chiffrement [L’Informé]
• Ces députés veulent passer le dispositif de porte dérobée au broyeur [ZDNet]
• Une porte dérobée dans WhatsApp, Telegram et Signal ? Une proposition de loi provoque une levée de boucliers [01Net]
• Pourra-t-on encore avoir des conversations privées, si la loi impose des « portes dérobées » à WhatsApp, Telegram ou Signal ? [01Net]
• « Portes dérobées » sur WhatsApp et Telegram : la tech française vent debout contre la proposition de loi [01Net]
• Il n’y aura finalement pas de portes dérobées dans WhatsApp et Telegram… pour l’instant [01Net]
• Lutte contre le narcotrafic : vers la fin du chiffrement des messageries ? [Le Dauphiné libéré]
• La loi qui remet en cause le chiffrement des messageries en France provoque la colère noire des défenseurs de la vie privée [Clubic]
• La fin du chiffrement sur les messageries ? Les députés disent « non » et écartent l’amendement polémique [Clubic]
• Critiques sur la « porte dérobée » dans les messageries de la loi contre le narcotrafic [42mag]
• IA : de la répression migratoire à la surveillance généralisée [Voxeurop]
• Mehrere europäische Länder greifen Ende-zu-Ende-Verschlüsselung an [Netzpolitik]
• France pushes for law enforcement access to Signal, WhatsApp and encrypted email [Computer Weekly]
• Mafia or environmental group? Some EU states don’t see a difference [The Parliament Magazine]

VSA

• Le prolongement jusqu’en 2027 de l’expérimentation de vidéosurveillance algorithmique validé en commission [Le Monde]
• [A voir]Marseille: Martine Vassal veut utiliser la reconnaissance faciale dans les transports en commun [BFM TV]
• Briefcam, le logiciel de vidéosurveillance controversé qui surveille les Roannais depuis 2021 [Le Progrès]
• Vidéosurveillance : Aix veut doper ses caméras à l’IA [média]

Divers

• Panoptique pour tous [La vie des idées]
• David Chavalarias, grand défenseur de la démocratie avec HelloQuitteX [Les Inrocks]
• AI: From the repression of migrants to generalised surveillance [Voxeurop]

Lire sur le site

Demain jeudi, au Parlement, se tiendra la commission mixte paritaire en vue de l’adoption de la proposition de loi relative à la sécurité dans les transports. C’est le vecteur choisi par le gouvernement Bayrou mi-février pour proroger de deux années supplémentaires l’expérimentation de la vidéosurveillance algorithmique (VSA), lancée dans le cadre de la loi JO. S’il a beaucoup été question d’intelligence artificielle ces dernières semaines, c’était plutôt pour promettre des investissements massifs ou appeler à la dérégulation. Moins pour mettre la lumière sur nouveau coup de force visant à imposer la surveillance policière constante et automatisée de nos espaces publics. Retour sur les derniers rebondissements de la lutte contre la vidéosurveillance algorithmique.

Des rapports d’évaluation dont on aimerait pouvoir se moquer

Tout d’abord et après plusieurs semaines de rétention, le ministère de l’intérieur a fini par publier le rapport d’évaluation de « l’expérimentation » de vidéosurveillance algorithmique prévue par la loi de 2023 sur les Jeux olympiques. Pour rappel, pendant plusieurs mois, la VSA a été utilisée légalement pour détecter 8 situations lors d’événements « récréatifs, sportifs ou culturels ». Et on comprend pourquoi ce rapport n’a pas été exhibé fièrement par le gouvernement : il ne fait qu’enchaîner les preuves de dysfonctionnements techniques souvent risibles (une branche qui bouge et déclenche une alerte, un problème de perspective qui rend le système de détection d’une personne inopérant, etc.), pointant l’absence de maturité de ces technologies ainsi que leur inutilité opérationnelle.

Par ailleurs, le rapport analyse au plus près l’expérimentation autorisée par la loi JO, mais ne se penche pas sur les centaines de déploiement qui restent illégaux dans le pays, ni sur les velléités du lobby techno-sécuritaire, qui ne compte évidemment pas s’arrêter en si bon chemin et se tient prêt à multiplier les cas d’usage, notamment dans une logique d’identification des personnes. On pense par exemple aux propos tenus récemment par le représentant de la société suisse Technis, qui a racheté Videtics et dont les algorithmes sont utilisés dans le cadre de l’expérimentation : « L’avantage de la vidéo », explique-t-il tranquillement dans cet entretien, « c’est qu’elle est désormais multifonction. Il y a le volet sécuritaire (surveillance d’un lieu et alerte en cas d’intrusion), le volet statistique (analyse de la fréquentation d’un espace) et le volet reconnaissance faciale ou d’identité (identification de personnes) ». Dont acte.

Ces intentions d’aller plus loin sont d’ailleurs partagées par la RATP et la SNCF, qui ont été les principaux acteurs de l’utilisation de la VSA « légale » de la loi JO. Et c’est là un des passages les plus intéressants du rapport d’évaluation : ces deux opérateurs de transports assument de vouloir aller plus loin que ce qui est aujourd’hui autorisé, pour faire du suivi automatisé de personnes ou encore de la détection de « rixes ». Est également relayée la volonté de pouvoir utiliser la VSA dans davantage de moments et de lieux, et donc de s’affranchir du seul cadre des grands événements sportifs, récréatifs ou culturels prévu actuellement par la loi aujourd’hui. Des revendications du même ordre ont été relayées par des sénateurs et sénatrices, qui ont produit leur propre rapport d’évaluation.

Le gouvernement fonce tête baissée pour pérenniser la VSA

Le satisfecit ridicule du préfet de police Laurent Nuñez au mois de septembre, affirmant que la VSA avait fait ses preuves lors des JO et devait donc être pérennisée, avait déjà posé le cadre : le gouvernement ne prendrait aucune pincette pour tirer son propre bilan de l’expérimentation et forcer son agenda politique.

Et pour cause ! Avant même la publication du rapport officiel d’évaluation, profitant d’un énième retour de la loi relative à la sûreté dans les transports à l’Assemblée, le gouvernement a déposé un amendement sorti de nulle part et sans lien avec le texte, demandant l’extension du dispositif de VSA pour trois années supplémentaires, au prétexte que les services n’auraient pas eu assez de temps pour tester la technologie. Mais que la VSA « marche » ou pas est, au fond, accessoire. Pour le gouvernement Bayrou, il s’agit de l’imposer, coûte que coûte, et ce alors même que des experts indépendants de l’ONU viennent de dénoncer le caractère disproportionné de ces déploiements.

En prolongeant l’expérimentation pour trois années supplémentaires, le gouvernement permet d’installer un peu plus cette technologie dans les pratiques, en se laissant la possibilité d’exploiter les largesses que la France a réussi à obtenir au niveau de de l’Union européenne à travers l’« AI Act » et ainsi légaliser la reconnaissance faciale et d’autres cas d’usage de la VSA politiquement sensibles. Cela dit, comme nous l’avons déjà expliqué, sur le plan juridique, la régularité de cet amendement visant à prolonger l’expérimentation de la VSA est parfaitement douteuse, et il est possible qu’il soit déclaré contraire à la Constitution.

Un caillou juridique dans la chaussure de la Technopolice

Ces coups de butoir sont intervenus juste après une décision historique obtenue de haute lutte dans l’« affaire Moirans » – du nom de cette petite commune isèroise qui a acquis le logiciel de VSA de l’entreprise Briefcam. Au terme de notre recours et à l’issue d’une passe d’arme avec la CNIL qui faisait valoir sa position très accommodante pour l’industrie de la VSA et le ministère de l’intérieur, le tribunal administratif de Grenoble a jugé que le recours à la VSA aussi bien dans le cadre de la police administrative (hors enquêtes pénales, pour faire simple) que lors d’enquêtes judiciaires était illégal et disproportionné.

Depuis l’interdiction de la reconnaissance faciale dans les établissements scolaires en 2020, c’est l’une des principales victoires juridiques dans l’opposition populaire à la vidéosurveillance algorithmique. Depuis un an, nous encourageons les collectifs locaux à interpeller les responsables municipaux pour les appeler à s’engager contre la VSA dans le cadre de notre campagne « Pas de VSA dans ma ville ». De nombreuses personnes ont déjà répondu à cette initiative et demandé à leur maire de refuser cette surveillance. Désormais, avec cette jurisprudence qui pointe l’illégalité des centaines de déploiements locaux de la VSA, en dehors du cadre restreint de la loi JO, nous avons des arguments de poids pour poursuivre cette lutte.

Si le prolongement de la VSA « légale » jusqu’en 2027 venait donc à être confirmé en commission mixte paritaire demain, puis de façon définitive par le Parlement, il faudra utiliser tous les moyens à notre disposition pour mettre fin à cette fuite en avant, et contre-carrer l’alliance d’élus locaux, de fonctionnaires et d’industriels prêts à tout pour conforter leur pouvoir techno-sécuritaire. Ce combat passe notamment par la découverte et la documentation ces projets, car les sortir de l’opacité permet de mettre la pression aux instances dirigeantes des communes et des collectivités et les mettre face à leurs responsabilités. Si vous même prenez part à un collectif local dans une commune ayant recourt à un système de VSA du style du logiciel Briefcam, n’hésitez pas à vous saisir de nos écritures pour porter vous-mêmes un recours ! Et si vous aviez besoin de conseil, nous sommes joignables à l’adresse contact@technopolice.fr.

Contre la VSA, la bataille continue !

Et si vous voulez nous aider à continuer à l’animer, vous pouvez aussi nous soutenir en faisant un don.

C’est l’un des textes les plus dangereux pour les libertés publiques proposés ces dernières années. En réaction, et face à un calendrier législatif extrêmement resserré, La Quadrature du Net lance aujourd’hui une campagne de mobilisation pour lutter contre la loi Narcotrafic. Le but est d’abord d’informer sur le contenu de ce texte, en faisant en sorte que les mesures techniques et répressives qu’il cherche à légaliser soient compréhensibles par le plus grand nombre. Nous souhaitons également dénoncer l’instrumentalisation de la problématique du trafic de stupéfiants — une « guerre contre la drogue » qui, là encore, a une longue histoire bardée d’échecs — pour pousser des mesures sécuritaires bien plus larges, à grand renfort de discours sensationnalistes. Notre page de campagne répertorie ainsi différents décryptages, des ressources, mais aussi des outils pour contacter les député⋅es et les alerter sur les nombreux dangers de cette proposition de loi. Nous avons pour l’occasion décidé de renommer cette loi « Surveillance et narcotraficotage » tant elle est l’espace fourre-tout d’une large panoplie sécuritaire.

Parmi les mesures proposées et largement retravaillées par le ministre de l’Intérieur Bruno Retailleau, on retrouve l’extension de la surveillance du réseau par algorithmes, la censure administrative d’Internet ou encore l’instauration d’une procédure de surveillance secrète échappant aux débats contradictoires et largement dénoncée par la profession des avocat·es. Au gré de son examen au Sénat, la proposition de loi n’a fait qu’empirer, incluant de nouvelles techniques de surveillance extrêmement intrusives, comme l’espionnage à travers les caméras et micros des personnes via le piratage de leurs appareils et l’obligation pour les messageries chiffrées de donner accès au contenu des communications. Cette dernière mesure va à contre-courant des recommandations de nombreuses institutions et pourrait conduire à l’éviction de France de services comme Signal ou Whatsapp ou d’abaisser leur niveau de sécurité, comme Apple vient d’être contraint de le faire pour ses produits au Royaume-Uni. Ces dispositions ne sont nullement limitées aux trafiquants de drogue : la police peut y avoir recours pour l’ensemble de la « criminalité organisée », un régime juridique extrêmement large qui est notamment utilisé dans la répression des actions militantes.

Face à cela, les groupes politiques au Sénat ont voté à l’unanimité pour ce texte — y compris à gauche. La Quadrature du Net appelle les élu·es à se réveiller et à réaliser la gravité des enjeux posés par ce texte. La lutte contre le trafic de stupéfiants ne peut pas servir à justifier des atteintes aussi graves aux principes fondateurs de la procédure pénale, ni à banaliser des pouvoirs de surveillance aussi intrusifs et qui pourraient encore être étendus à l’avenir.

Pour prendre connaissance de nos arguments, de nos ressources ainsi que des coordonnées des député⋅es pour les contacter, rendez-vous sur notre page de campagne : laquadrature.net/narcotraficotage

Cette proposition de loi a été adoptée au Sénat à l’unanimité, avec l’adhésion des socialistes, des écologistes et des communistes, et va désormais être discutée à l’Assemblée nationale. La Quadrature du Net appelle à se mobiliser de toute urgence afin d’alerter sur les dangers de ce texte et bousculer les partis de gauche pour qu’ils rejettent ce texte.

Sur cette page, vous retrouverez un ensemble de ressources et d’outils pour vous permettre de comprendre cette loi et convaincre vos élu⋅es de se mobiliser :

• La loi dite « Narcotrafic » attaque la protection des messageries chiffrées (comme Signal ou WhatsApp) en imposant la mise en place de portes dérobées pour la police et le renseignement.
• En modifiant le régime juridique de la criminalité organisée, applicable en d’autres cas, cette loi ne s’applique pas uniquement au trafic de drogues. Elle peut même être utilisée pour surveiller des militant·es.
• Le dossier-coffre, une disposition de la loi, rend secrètes les pièces d’un dossier détaillant les modalités de l’utilisation des techniques de surveillance lors d’une enquête. Cela porte atteinte au droit de se défendre et a pour conséquence d’empêcher la population de connaître l’étendue des capacités de surveillance de la police judiciaire.
• Le texte prévoit d’autoriser la police à activer à distance les micros et caméras des appareils connectés fixes et mobiles (ordinateurs, téléphones…) pour espionner les personnes.
• Il élargit l’autorisation d’usage des « boîtes noires », technique d’analyse des données de toutes nos communications et échanges sur Internet à des fins de « lutte contre la délinquance et la criminalité organisée ».
• La police pourra durcir sa politique de censure de contenus sur Internet en l’étendant aux publications en lien avec l’usage et la vente de drogues. Les risques d’abus pour la liberté d’expression sont donc amplifiés.

Résumé de la loi en vidéo

Piphone : choisir quel·le député·e appeler

Certain·es élu·es se revendiquant progressistes ont adhéré à ce récit et à cette dangereuse surenchère sécuritaire. Au Sénat, les groupes écologistes, communistes et socialistes ont voté en faveur de ce texte. Nous pensons qu’il faut les mettre face à leur responsabilité en dénonçant les dangers de cette loi. Avec notre outil, vous pouvez les contacter directement pour leur transmettre les arguments et ressources partagées sur cette page. Il est aussi possible d’essayer de convaincre les député⋅es d’Ensemble pour la République et du Modem de voter contre les mesures les plus dangereuses de cette proposition de loi.

Vous pouvez les appeler toute la semaine et si possible les lundis, jeudis et vendredis, lorsqu’ils ne sont pas dans l’hémicycle. C’est probable que vous ayez un·e assistant·e au téléphone et ce n’est pas grave ! N’hésitez surtout pas à lui parler, en lui demandant ensuite de relayer votre opinion auprès de son ou de sa député⋅e.

Merci à toutes les personnes qui mettent de l’énergie contre ce énième coup de force sécuritaire, et bravo à celleux qui ont eu le courage de contacter des député⋅es ! <3

En détail : que prévoit la proposition de loi ?

– Modification du régime de la criminalité organisée

Cette loi renforce lourdement le régime de la criminalité organisée, qui ne concerne pas uniquement le trafic de drogues. Ce cadre juridique a été créé il y a vingt ans pour cibler, en théorie, les réseaux mafieux en prévoyant des règles spécifiques dérogeant au droit commun. Elles permettent notamment aux policiers de mettre en œuvre des techniques de surveillance beaucoup plus larges et intrusives que la normale (écoutes, IMSI-catcher, pose de micros, captation de données…). Le périmètre des infractions concernées par le régime de criminalité organisée est défini dans une liste du code de procédure pénale qui n’a cessé de s’élargir avec les années, en touchant davantage de personnes et de situations. Il englobe notamment l’association de malfaiteurs et un certain nombre de délits et crimes commis en « bande organisée », ces qualifications étant de plus en plus utilisées pour poursuivre des militant⋅es. Tel a été le cas notamment lors du mouvement des Gilets jaunes, à Bure, contre l’aide aux personnes exilées à Briançon mais également pour enquêter sur les actions contre le cimentier Lafarge à Bouc-Bel-Air et à Évreux ou encore pour poursuivre une militante luttant contre la construction de centres de rétention administrative.

Pour légitimer l’extension de mesures censées être limitées, le gouvernement et les parlementaires utilisent un discours sensationnaliste pour aborder le sujet du trafic de drogues qui n’est pourtant pas nouveau et connaît d’autres solutions que le « tout répressif ». Cela n’est pas anodin. En donnant une dimension exceptionnelle à la lutte contre le trafic de stupéfiants, ils tentent de justifier la nécessité d’avoir recours à des moyens hors-norme et extrêmement attentatoires à nos libertés. En cela, ils calquent ici le schéma législatif utilisé ces dernières années en matière de lutte contre le terrorisme qui a permis l’établissement de dérogations très importantes au fonctionnement des institutions et qui sont allées bien au-delà du terrorisme.

– Surveillance secrète de la police

La loi empêche les personnes de connaître la manière dont elles sont surveillées, ce qui porte une atteinte inédite et très grave aux principes fondateurs du système judiciaire français que sont le droit à se défendre et le principe du contradictoire. Ainsi une mesure dénommée « dossier coffre » ou « procès-verbal distinct » permettrait de séparer du dossier pénal les procès-verbaux liés à la mise en place des techniques de surveillance. Ces PV ne seront accessibles qu’aux enquêteurs sous contrôle du procureur ou du juge d’instruction, empêchant les avocat·es et les personnes concernées d’en prendre connaissance, d’en débattre et donc de déceler de potentielles illégalités. Cela privera aussi la population de la possibilité de connaître l’étendue des capacités de surveillance de la police judiciaire et facilitera les abus dans l’utilisation de techniques très intrusives, comme les logiciels espions où la compromission d’appareils.

– Accès aux messageries chiffrées

Les sénateurs ont modifié le texte pour détruire la confidentialité des messageries chiffrées telles que Signal ou WhatsApp. La loi prévoit que les services de communication soient obligés d’introduire un accès – une « backdoor » – au bénéfice de la police et des renseignements, sous peine de lourdes sanctions. Cela créerait une brèche inédite dans la technologie de chiffrement de bout-en-bout, exploitable aussi bien par les États que par des acteurs malveillants. Une telle mesure est extrêmement dangereuse. Comme le répètent de nombreuses institutions, dont l’ANSSI et le Comité européen de la protection des données, cela affaiblirait le niveau de protection de l’ensemble des communications et menacerait la confidentialité de tous nos échanges. Depuis des années, nous défendons le droit au chiffrement. Vous pouvez notemment lire notre positionnement de 2017 ici.

– Activation à distance des objets connectés

Cette loi prévoit une nouvelle escalade dans la surveillance en poursuivant la légalisation des logiciels espions (comme ceux de NSO-Pegasus ou Paragon). Elle autorise ainsi la police à activer à distance les micros et caméras des appareils connectés fixes et mobiles, comme les ordinateurs ou téléphones, pour espionner les personnes. Cette technique repose sur une compromission des systèmes informatiques en utilisant les failles des appareils connectés. Proposée par Eric Dupont-Moretti en 2023 dans une loi de réforme de la justice, cette mesure de surveillance avait été partiellement censurée par le Conseil constitutionnel. Elle est ici reprise avec de légères modifications alors que l’urgence serait d’interdire ce type de surveillance tant il présente des dangers pour les équilibres démocratiques et les libertés individuelles.

– Élargissement des pouvoirs de renseignement et boîtes noires

Les services de renseignement verraient également leurs pouvoirs renforcés avec cette loi. D’une part, l’échange de renseignements entre services dits « du second cercle » (dont le renseignement ne constitue qu’une partie des missions, notamment au sein de la police et gendarmerie nationale) est en principe très limité. Il serait ici facilité par la suppression du besoin d’une autorisation, et cela bien au-delà du seul périmètre du trafic de drogues. D’autre part, la loi élargit le champ d’application des « boîtes noires » à la finalité de « lutte contre la délinquance et la criminalité organisée ». Cette technique de renseignement analyse les données de toutes nos communications et données récupérées sur internet via des algorithmes au prétexte de « détecter » de nouveaux suspects. Depuis leur création en 2015, aucune information concrète n’a été communiquée sur le fonctionnement ou la potentielle utilité de ces boîtes noires, alors qu’il s’agit d’une véritable surveillance de masse.

– Censure sur internet

La loi permettra à la police – via le service Pharos – de censurer sur internet tout contenu qu’elle considère illégal en lien avec une infraction concernant le trafic de stupéfiants. Il s’agit de prérogatives très larges qui s’ajoutent à une capacité de censure administrative déjà très importante. Cette possibilité d’exiger, sans l’intervention du juge, le retrait de publications avait été autorisée dans un premier temps pour les contenus pédocriminels avant d’être étendue au terrorisme. Cette volonté de verrouiller internet ne peut que mener à des abus au regard du volume de contenus concerné et du cadre extra-judiciaire de ces censures, sans avoir véritablement un impact sur la problématique sociale de la consommation de drogues, qui repose sur bien d’autres facteurs.

– Et d’autres mesures

Nous vous avons cité jusque-là les mesures les plus inquiétantes, mais malheureusement cette loi contient de nombreuses autres extensions sécuritaires s’appliquant à la « criminalité organisée », qui, on le rappelle, concerne bien plus de situations que le trafic de drogues : IMSI-catchers dans les lieux privés, pouvoir du préfet d’interdire de « paraître » dans un lieu, usage de drones en matière pénitentiaire, caméras obligatoires dans les ports, nouvelle infraction large de « participation à une organisation criminelle » mal définie…

Le Syndicat de la magistrature ainsi que le Conseil national des barreaux ont également exprimé de vives critiques sur cette proposition de loi.

Derniers articles

Il y a parfois des embouteillages dans le calendrier. Fin janvier, nous avons gagné le contentieux qui nous opposait à la commune de Moirans : le logiciel Briefcam qu’elle utilisait pour surveiller les rues de la ville était reconnu comme étant illégal par le tribunal administratif. Quelques jours plus tard, on découvrait que le gouvernement voulait profiter d’une loi sur les transports pour prolonger « l’expérimentation » de la VSA – qui devait finir en mars 2025 – jusqu’en décembre 2027. Deux ans et demi de plus, hop. Circulez, c’est la loi Transports.

Nous avons aussitôt publié un coup de gueule pour dénoncer le foutage de ladite gueule. La loi Jeux Olympiques prévoyait un déroulement très strict de « l’expérimentation » de la VSA, avec des bornes dans l’espace et dans le temps, un comité de pilotage pour l’encadrer, et un comité d’évaluation pour juger de son efficacité. Le gouvernement veut déjà aller plus loin, sans attendre le rapport d’évaluation et sans attendre la fin du processus écrit noir sur blanc dans la loi. Ces lois qui empêchent de faire ce qu’on veut, c’est vraiment pénible… Mais on sait le peu de cas que fait Monsieur Retailleau de l’état du droit.

Ironie du sort ou coïncidence merveilleuse : le jour-même où nous avons publié cet article coup de gueule, le rapport d’évaluation de l’expérimentation, qu’on attendait depuis des semaines et des mois, était enfin rendu public en fin de journée. Bourré d’anecdotes rigolotes (les logiciels arrivent même à prendre le trottoir pour une personne allongée), le rapport conclut globalement à une certaine inefficacité des outils et des scénarios testés. Alors, que faire ? Tester plus fort. « Plus ça rate, plus on a de chance que ça marche, ce n’est qu’en essayant continuellement que l’on finit par réussir », disaient les Shadoks, qui avaient sans doute d’excellents ministres de l’Intérieur.

Le régime de « l’expérimentation » est en effet une chose très pratique, quand on veut travailler « l’acceptabilité sociale » d’une mesure de surveillance a priori impopulaire. D’abord, elle permet de mettre en œuvre la mesure impopulaire tout en racontant qu’on ne la met pas vraiment en œuvre. Ensuite, on peut la prolonger autant de fois que nécessaire, sous prétexte d’améliorer les résultats de l’expérience. Pourquoi s’en priver ? « Tout le monde ment, tout le monde ment, le gouvernement ment énormément », chantait Massilia Sound System dans le pays qui a aussi inventé les Shadoks et la VSA « expérimentale » pendant trois ans.

.
Notre article sur la prolongation : VSA jusqu’en 2027 : quand le gouvernement ose tout

Coalition Hiatus : penser l’IA et résister à l’IA

Vous le savez sans doute, parce que l’événement a saturé les médias pendant deux jours : un « Sommet de l’IA » s’est tenu à Paris les 10 et 11 février derniers, sous la présidence d’Emmanuel Macron, qui a pu annoncer triomphalement à l’issue du barnum que 109 milliards d’euros de financements privés (en grande majorité) et publics (un peu) seraient consacrés au développement de l’IA en France, d’abord pour la construction de nouveaux centre de données démesurés. La France n’a pas de gaz ni de pétrole, mais elle a de l’électricité nucléaire en assez grande quantité pour pouvoir en exporter, ou pour en consacrer à des projets inutiles et à la mode.

On serait bien en peine de dire à quoi va servir toute cette capacité de calcul, ni à quoi « l’IA » va servir, ni même de quelle « IA » il s’agit. Le mot et devenu un signifiant autonome, qui renvoie dans l’imaginaire collectif aux grands LLM génératifs (Chat-GPT, MidJourney, etc.), qui sert à désigner tout et n’importe quoi, et qui pourrait dans bien des cas être remplacé par « numérique », « ordinateur » ou « informatique » sans changer le sens de la phrase. Seule certitude, le mot « IA » est devenu dans le monde entier un symbole de pouvoir et de puissance nationale, économique et géo-stratégique. L’IA est américaine, elle est chinoise, elle est russe, et elle doit nécessairement devenir européenne et surtout française (cocorIAco ?).

De fait, la démesure de moyens techniques et financiers qu’elle requiert font que l’IA, avant d’être un moyen de pouvoir, est d’abord une preuve de pouvoir. Accessible uniquement aux puissances financières et industrielles, elle servira donc d’abord les intérêts des puissances industrielles et financières. La bulle spéculative qui l’entoure s’accompagne d’une surenchère dans les façons de l’utiliser, qui vont de l’armement autonome jusqu’au matraquage publicitaire en passant par la manipulation de l’information, dans un continuum de destruction des ressources, des liens sociaux, des esprits et des démocraties. Tout cela parce qu’on peut le faire, sans jamais se demander – ni demander aux populations – si on veut le faire.

Cet emballement serait risible s’il n’était pas intimement lié à la montée du péril fasciste, plus d’actualité que jamais depuis l’arrivée au pouvoir de Donald Trump, entouré de tous les faiseurs d’IA californienne lors de sa cérémonie d’inauguration, et dont les bras droits (tendus) font la promotion des partis d’extrême-droite partout où ils le peuvent, en Grande-Bretagne et en Allemagne notamment. Le monde de « l’IA » est un objet éminemment politique, qu’il faut mettre à distance, analyser, dégonfler et expliquer. C’est pourquoi La Quadrature a signé une tribune collective contre ce « sommet de l’IA », et décidé de lancer Hiatus, une coalition de réflexion et de travail sur le monde politique et industriel de l’IA pour le pouvoir. Une initiative que nous avions annoncée comme étant le grand chantier de cette année, dans le prolongement de nos réflexions et de nos combats de toujours : pour un usage émancipateur et démocratique du numérique, contre le numérique qui asservit, domine, surveille, impose, décide et contrôle. Au travail !

Manifeste de la coalition : Lancement de la coalition Hiatus, pour résister à l’IA et son monde !
Tribune collective : L’IA telle qu’elle est développée alimente un système d’exploitation global
Article sur le sommet de l’IA : Sommet de Paris sur l’IA : accélérer, quoi qu’il en coûte

Campagne de soutien 2025

Notre campagne de soutien pour 2025 est toujours ouverte ! Nous avons récolté environ 40% de notre objectif pour l’année. En prenant en compte les dons mensuels, on arrivera environ à 70% de l’objectif. Aidez-nous à boucler le budget 2025 ! Vous pouvez nous faire un don sur notre site.

Agenda

• 25 février 2025 : Journée d’étude « Contre-intelligences, Surveillances, écoutes et enquêtes » de 9h à 18h au MAC de Marseille, 69, avenue de Haïfa, 13008 Marseille.
• 5 mars 2025 : Réunion mensuelle du groupe Technopolice Paris-Banlieue, à 19h au Bar commun, 135 rue des poissonniers, Paris 18e.
• 13 mars 2025 : Causerie mensuelle du groupe Technopolice Marseille, à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Coalition hiatus et contre-sommet de l’IA

• « L’intelligence artificielle accélère le désastre écologique, renforce les injustices et aggrave la concentration des pouvoirs » [Le Monde]
• La surveillance et les libertés, grandes oubliées du sommet sur l’IA [Mediapart]
• Une vingtaine d’organisations françaises forment une coalition « pour résister à l’IA » [La Croix]
• Sommet de l’IA à Paris : Emmanuel Macron veut « accélérer », un collectif appelle à « résister » [Libération]
• Au contre-sommet « réinventer l’IA », les cris d’alarme pour mieux intégrer les enjeux citoyens [Le Monde]
• Gros mécènes et petits arrangements privés au menu du sommet pour l’IA [Mediapart]
• Sommet 2025 pour l’IA à Paris : investissements, centres de données… Voici les principales annonces [Sud-Ouest]
• En Europe, les étrangers premières victimes de l’intelligence artificielle [RFI]
• Au Sommet de l’IA, chacun cherche son chat [Silicon]
• Un « ChatGPT souverain » pour simplifier la vie des fonctionnaires : le gouvernement a une stratégie d’IA pour le secteur public [01Net]
• L’IA, miroir déformant de nos luttes [Alliancy]
• Eau, accaparement des terres… Non, les data centers français n’ont rien de « propre » [Usbek & Rica]
• Comment l’intelligence artificielle et ses data centers s’accaparent l’eau [Basta!]
• DeepSeek, une IA moins énergivore ? Les experts en doutent [Reporterre]
• Ruée sur l’intelligence artificielle : une dangereuse illusion au service de la Big Tech [Reporterre]

Vidéosurveillance algorithmique (VSA)

• Reconnaissance faciale, état de l’art [France Culture]
• Les députés autorisent les palpations par les forces de sécurité de la SNCF et de la RATP [Le Monde]
• Palpations, caméras-piétons, vidéosurveillance algorithmique… Une nouvelle loi pour la sécurité dans les transports [Libération]
• Vidéosurveillance algorithmique, palpations par les agents de sûreté… La gauche vent debout contre la proposition de loi sur la sécurité dans les transports [L’Humanité]
• Palpations, caméras-piétons : voici les mesures adoptées par les députés pour renforcer la sécurité dans les transports [Le Télégramme]
• Palpations, caméras-piétons : les députés renforcent la sécurité dans les transports [Les Échos]
• Sécurité des transports : les députés autorisent les palpations par les forces de sécurité de la SNCF et de la RATP [le Figaro]
• Palpations, caméras-piéton… ce que contient le texte voté à l’Assemblée pour renforcer la sécurité dans les transports [Le Parisien]
• Transports : caméras-piétons, palpations… tous surveillés demain ?/a> [Capital]
• Malgré les alertes et un bilan en demi-teinte, le gouvernement veut prolonger la vidéosurveillance dopée à l’IA [01Net]
• Palpations, caméras-piétons… Les députés ont adopté en première lecture une proposition de loi visant à renforcer la sécurité dans les transports [France Info TV]
• Palpations, caméras-piétons : l’Assemblée nationale adopte un texte pour renforcer la sécurité dans les transports [France Bleu/ici]
• Palpations, caméras-piétons, dispositions contre le « train surfing »… Ce que contient la loi sur la sécurité dans les transports adoptée par les députés [Nice Matin]
• Le tribunal administratif de Grenoble ordonne la fin de l’utilisation de «Briefcam», un logiciel de vidéosurveillance israélien, à Moirans dans l’Isère [Libération]
• Vidéosurveillance algorithmique : le logiciel Briefcam de nouveau épinglé [La Gazette des communes]
• Quand la région se jette volontiers dans l’algorithme [La Marseillaise]
• IA : la vidéosurveillance algorithmique à la conquête des commerces français [La Croix]
• Vidéosurveillance algorithmique dans les supermarchés : la « tactique des petits pas » porte ses fruits [ZDNet]

Loi « Narcotrafic »

• [Écouter] Le Talk – Les libertés des citoyens à l’épreuve de la lutte contre le narcotrafic et la régulation de l’intelligence artificielle [France info TV]
• [Écouter] Narcotrafic : « Il faut mettre cette proposition de loi à la poubelle ! » [France info TV]
• Comment la loi sur le narcotrafic cherche à étendre l’arsenal cybersécuritaire [Le Monde]
• La loi narcotrafic passe l’étape du Sénat à l’unanimité, mais n’épuise pas les débats [Le Monde]

Divers

• [Écouter] Félix Tréguer : « Il faut faire vivre l’imaginaire d’une désescalade technologique » [France Culture]
• Un mois après le retour de Trump, comment résister ? [Reporterre]
• « Contrôlons X avant qu’il n’asphyxie nos démocraties » [La Croix]

Emmanuel Macron l’affirmait encore lundi en conclusion de la première journée : « On veut accélérer, on veut réduire l’écart ». Mais accélérer quoi, au juste ?

D’abord, accélérer les déploiements de l’IA dans les services publics, et partout dans la société. Les annonces dans ce domaine se sont succédées ces derniers jours : santé, armées, éducation, France Travail… Prolongeant les politiques de dématérialisation menées depuis vingt ans dans une pure logique de rationalisation des coûts, l’IA permettra d’automatiser des pans entiers de l’action publique. Pièce maîtresse de la plupart de ces partenariats, l’entreprise Mistral AI est présentée comme la garantie de la souveraineté technologique française et européenne, et ce en dépit de la présence en nombre d’acteurs étasuniens à son capital, dont des soutiens actifs de Donald Trump comme Marc Andreessen et Ben Horowitz.

Il s’agit ensuite d’accélérer les investissements. Alors que parlement français vient d’entériner le budget le plus austéritaire depuis vingt-cinq ans, les milliards d’argent public et privé pleuvent pour l’IA, en particulier pour les data centers. François Bayrou a ainsi annoncé 400 millions d’euros de subventions pour que trente-cinq de ces bâtiments industriels sortent de terre, tandis que BPIfrance investira 10 milliards dans l’IA. Sans compter les 109 milliards de capitaux privés dont il fut beaucoup question, avec 50 milliards d’euros investis par les Émirats Arabes Unis pour un « data center géant » et 20 milliards abondés par le fonds canadien Brookfield pour un projet du même type. La puissance de calcul est désormais un actif de choix pour les spéculateurs de la tech, accueillis à bras ouvert par la France.

Peu importe que ces immenses entrepôts à serveurs fassent d’ores et déjà l’objet de contestations à travers le pays en raison des conflits d’usage qu’ils suscitent. À Marseille, leur explosion ces dernières années a par exemple conduit à remettre à plus tard l’électrification des quais où accostent les bateaux de croisières, lesquels continuent de recracher leurs fumées toxiques dans le quartier de Saint-Antoine. Mais avec Emmanuel Macron comme VRP, la France choisit d’écarter d’un revers de main ces oppositions. Elle fait de sa politique de relance du nucléaire un atout « bas carbone », quitte à passer sous silence les dangers et les immenses inconnues qui entourent ces programmes.

Une autre grande accélération est celle des politiques de dérégulation. Alors que Donald Trump s’est empressé d’annuler les quelques règles relatives à l’IA édictées par l’administration Biden, Emmanuel Macron et Ursula Von der Leyen semblent à leur tour décidés à rogner les principes posés par le « AI Act » tout juste adopté par l’Union européenne. Le chef d’État français fait sien le mantra de la disruption : « Si on régule avant d’innover, on se coupera de l’innovation ». Peu importe que l’AI Act – bardé d’exceptions et s’assimilant pour l’essentiel à un système d’auto-régulation sous la coupe des industriels – ait été dénoncé par les associations. Face à l’injonction de déployer massivement l’IA dans la société, les droits humains en sont pour leurs frais. Le vice-président étasunien, le techno-réactionnaire JD Vance, n’a pas caché sa satisfaction : « Je suis content de voir qu’un parfum de dérégulation se fait sentir dans nombre de discussions », a-t-il déclaré lors de son allocution.

S’il y a bien un domaine où ces politiques de dérégulation sont particulièrement attendues, c’est celui des data centers. « J’ai bien reçu le message des investisseurs », a ainsi lancé Emmanuel Macron en promettant de « simplifier les procédures ». Une promesse déjà traduite au plan législatif, notamment avec le projet de loi relatif à la simplification de la vie économique. En cours d’examen à l’Assemblée nationale, il vise à contourner les règles locales d’urbanisme ou celles relatives à la protection de l’environnement. Quant aux demandes de la Commission nationale du débat public d’être saisie lors de la construction de ces infrastructures énergivores, elles se heurtent à la volonté de l’État d’exclure l’instance d’un nombre croissant de projets industriels. L’IA, par ailleurs imposée dans le monde du travail au mépris des règles élémentaires du dialogue social, se paie d’un déni de démocratie toujours plus assumé.

Lors du sommet, les allusions convenues en faveur d’une intelligence artificielle « humaniste » n’auront trompé personne. Les dirigeants européens prétendent tracer une alternative tout en s’engageant dans une rivalité mimétique avec la Chine et les États-Unis – un « en même temps » aux avant-goûts de techno-fascisme. Ils nous enferment ce faisant dans fuite en avant technologique complètement insoutenable sur le plan écologique, mais aussi politiquement désastreuse. Accélérer, quoi qu’il en coûte. Quitte à foncer dans le mur.

Tout concourt à ériger le déploiement massif de l’intelligence artificielle en priorité politique. Prolongeant les discours qui ont accompagné l’informatisation depuis plus d’un demi-siècle, les promesses abondent pour conférer à l’IA des vertus révolutionnaires et imposer l’idée que, moyennant la prise en compte de certains risques, elle serait nécessairement vecteur de progrès. C’est donc l’ensemble de la société qui est sommée de s’adapter pour se mettre à la page de ce nouveau mot d’ordre industriel et technocratique. Partout dans les services publics, l’IA est ainsi amenée à proliférer au prix d’une dépendance technologique accrue. Partout dans les entreprises, les managers appellent à recourir à l’IA pour « optimiser » le travail. Partout dans les foyers, au nom de la commodité et d’une course insensée à la productivité, nous sommes poussés à l’adopter.

Pourtant, sans préjuger de certaines applications spécifiques et de la possibilité qu’elles puissent effectivement répondre à l’intérêt général, comment ignorer que ces innovations ont été rendues possible par une formidable accumulation de données, de capitaux et de ressources sous l’égide des multinationales de la tech et du complexe militaro-industriel ? Que pour être menées à bien, elles requièrent notamment de multiplier la puissance des puces graphiques et des centres de données, avec une intensification de l’extraction de matières premières, de l’usage des ressources en eau et en énergie ?

Comment ne pas voir qu’en tant que paradigme industriel, l’IA a dores et déjà des conséquences désastreuses ? Qu’en pratique, elle se traduit par l’intensification de l’exploitation des travailleurs et travailleuses qui participent au développement et à la maintenance de ses infrastructures, notamment dans les pays du Sud global où elle prolonge des dynamiques néo-coloniales ? Qu’en aval, elle est le plus souvent imposée sans réelle prise en compte de ses impacts délétères sur les droits humains et l’exacerbation des discriminations telles que celles fondées sur le genre, la classe ou la race ? Que de l’agriculture aux métiers artistiques en passant par bien d’autres secteurs professionnels, elle amplifie le processus de déqualification et de dépossession vis-à-vis de l’outil de travail, tout en renforçant le contrôle managérial ? Que dans l’action publique, elle agit en symbiose avec les politiques d’austérité qui sapent la justice socio-économique ? Que la délégation croissante de fonctions sociales cruciales à des systèmes d’IA, par exemple dans le domaine de la santé ou l’éducation, risque d’avoir des conséquences anthropologiques, sanitaires et sociales majeures sur lesquelles nous n’avons aujourd’hui aucun recul ?

Or, au lieu d’affronter ces problèmes, les politiques publiques menées aujourd’hui en France et en Europe semblent essentiellement conçues pour conforter la fuite en avant de l’intelligence artificielle. C’est notamment le cas de l’AI Act adopté par l’Union européenne et présenté comme une réglementation efficace alors qu’elle cherche en réalité à promouvoir un marché en plein essor. Pour justifier cet aveuglement et faire taire les critiques, c’est l’argument de la compétition géopolitique qui est le plus souvent mobilisé. À longueur de rapports, l’IA apparaît ainsi comme le marchepied d’un nouveau cycle d’expansion capitaliste, et l’on propose d’inonder le secteur d’argent public pour permettre à l’Europe de se maintenir dans la course face aux États-Unis et à la Chine.

Ces politiques sont absurdes, puisque tout laisse à penser que le retard de l’Europe dans ce domaine ne pourra pas être rattrapé, et que cette course est donc perdue d’avance. Surtout, elles sont dangereuses dans la mesure où, loin de constituer la technologie salvatrice souvent mise en avant, l’IA accélère au contraire le désastre écologique, renforce les injustices et aggrave la concentration des pouvoirs. Elle est de plus en plus ouvertement mise au service de projets autoritaires et impérialistes. Non seulement le paradigme actuel nous enferme dans une course technologique insoutenable, mais il nous empêche aussi d’inventer des politiques émancipatrices en phase avec les enjeux écologiques.

La prolifération de l’IA a beau être présentée comme inéluctable, nous ne voulons pas nous résigner. Contre la stratégie du fait accompli, contre les multiples impensés qui imposent et légitiment son déploiement, nous exigeons une maîtrise démocratique de cette technologie et une limitation drastique de ses usages, afin de faire primer les droits humains, sociaux et environnementaux.

Premières signataires :

La Quadrature du Net, la LDH, Union syndicale Solidaires, Scientifiques en rébellion, L’Atelier Paysan, Féministes contre le cyberharcèlement, SNES-FSU, Framasoft, Agir pour l’environnement, Attac France, Syndicat de la Magistrature, Syndicat des Avocats de France, Stop Micro, Le Nuage était sous nos pieds, Génération Lumière, Halte au contrôle numérique, ritimo, Intérêt à Agir, L’Observatoire des multinationales, Sherpa, Le Mouton numérique, Lève les yeux.

Le déploiement de la VSA avait été autorisé par la loi sur les Jeux Olympiques en 2023 au nom de la sécurité de cet évènement. En réalité, ce texte permettait l’utilisation de cette technologie de surveillance de masse pour une durée bien plus longue et dans un périmètre bien plus large. La VSA a ainsi été déployée dès le mois d’avril 2024 et ensuite pour de nombreux évènements comme des concerts, matchs de foot ou même récemment dans la rue pour le jour de l’An à Paris. Cette « expérimentation » est censée se terminer le 31 mars prochain.

Aussi, la loi avait prévu de façon inédite la création d’un comité chargé d’évaluer la mise en œuvre de la VSA. Ses conclusions étaient présentées comme essentielles pour juger de l’utilité de cette technologie du point de vue policier, et décider ensuite d’une éventuelle pérennisation. Depuis le début, nous avons affiché notre plus grand scepticisme face à ce mécanisme d’évaluation, dont on anticipait qu’il serait instrumentalisé par le gouvernement. Surtout, l’approche consistant à se focaliser sur l’efficacité de la VSA éludait l’ensemble des dangers inhérents à cette technologie. Il n’empêche que ce comité avait le mérité d’exister. Lors des débats parlementaires, il a d’ailleurs été brandi à de multiples reprises par le gouvernement et la majorité d’alors comme la preuve de leur bonne foi et de leur respect des libertés publiques.

Qu’il est loin ce temps-là ! Déjà, il y a quelques mois, avant même que le comité ait finalisé son travail, Laurent Nunez et Michel Barnier y allaient de leur petit commentaire pour dire à quel point ils souhaitaient le prolongement de cette technologie, comme une manière de préparer les esprits. Puis, comme prévu par la loi, le comité a remis son rapport au gouvernement à la fin de l’année 2024. Si plusieurs médias y ont eu accès et s’en sont fait l’écho, ce document n’a toujours pas été rendu public [EDIT: il l’a été quelques heures après la publication de cet article]. Pourquoi une telle opacité ? Peut-être, comme le pointent Le Monde ou France Info, parce que le rapport montre de nombreuses défaillances et un manque d’efficacité de cette technologie ? À moins que cela s’explique par le fait que l’opposition populaire à la VSA monte et que, la semaine dernière, la justice a même exigé l’interdiction du recours à ce type de logiciel ?

Quoiqu’il en soit, le gouvernement veut continuer à utiliser cette technologie. Profitant du énième retour de la loi relative à la sûreté dans les transports à l’Assemblée (dont la discussion avait d’abord été interrompue par la dissolution puis par la chute du gouvernement Barnier, et dont l’initiateur, Philippe Tabarot, est depuis devenu ministre), il a fait un coup de force. Ainsi, il a déposé un hier un amendement demandant l’extension du dispositif de VSA pendant encore trois années, au prétexte que les services n’auraient pas eu assez de temps pour tester la technologie. Reformulons les choses : il a joué et il a perdu. Mais il s’en fiche, comme nous l’anticipions, le caractère « expérimental » et tout le dispositif d’évaluation n’ont été qu’un alibi commode permettant au gouvernement de faire passer la pilule. Que la VSA « marche » ou pas est au fond accessoire. Pour le gouvernement, il s’agit de l’imposer coûte que coûte.

Sur le plan juridique, la régularité de cet amendement est parfaitement douteuse : d’une part, il pourrait ne pas être recevable puisqu’il s’agit d’un cavalier législatif, qui déborde largement l’objet de la proposition de loi. D’autre part, s’il venait à être adopté, il rentrerait en contradiction avec les règles fixées par le Conseil constitutionnel en 2023. En effet, ce dernier avait jugé que toute pérennisation et tout nouvel examen par les Sages de la conformité de la VSA à la Constitution devrait se faire à la lumière des résultats de l’évaluation. Or, si l’évaluation a bien été produite, le gouvernement s’en moque complètement. Il tente de forcer la main au Parlement qui n’aura même pas le temps de se faire sa propre idée. Outre le projet politique funeste associé à la VSA, c’est là le plus parlant dans cette affaire : l’absence totale de considération pour la légalité ou le respect des engagements fait à la représentation parlementaire. Rien d’étonnant s’agissant d’un ministre de l’intérieur qui affiche clairement son mépris pour l’État de droit.

Cet amendement est tout bonnement un scandale. La VSA ne doit pas être prolongée. Elle doit être interdite. Produit d’une industrie de la sécurité avide de profit, cette surveillance de nos corps et nos comportements est le vecteur technologique d’une amplification des discriminations policières. Elle contribue à parfaire un édifice de la surveillance qui transforme l’espace public en un espace de contrôle social permanent, qui trie les « bons citoyens » et les « suspects ».

Nous appelons tous les parlementaires à voter contre cette mesure et nous invitons toutes les personnes intéressées à se mobiliser dans leur ville ou après de leur député·e, pour faire valoir leur refus radical de ces technologies.

Note du 3 Mars 2025 : L’amendement en question a été malheureusement adopté.

Pour vous informer sur la VSA et vous y opposer, retrouvez notre brochure sur le sujet et d’autres ressources sur notre page de campagne. Et pour soutenir notre travail, n’hésitez pas à faire un don.

L’intelligence artificielle (IA) connaît un développement foudroyant, et nos dirigeants ne semblent pas pressés de réfléchir aux enjeux humains, sociaux et environnementaux de ces nouvelles technologies, uniquement vues sous le prisme de la croissance, des gains de productivité et des profits. L’IA telle qu’elle est développée perpétue cependant les discriminations, aggrave les inégalités, détruit la planète et alimente un système d’exploitation global. Parce que ces constats ne figureront pas au programme officiel du Sommet mondial sur l’IA [qui se tient à Paris les 10 et 11 février], nous, organisations de la société civile, vous les rappelons ici.

Se concentrer uniquement sur d’éventuels futurs risques existentiels à venir de l’IA est un leurre : ces technologies ont déjà des effets très concrets pour les populations les plus vulnérables et les plus discriminées et portent largement atteinte aux droits humains. En s’appuyant sur des bases de données biaisées et en intégrant les préjugés de ses concepteurs, l’IA perpétue les stéréotypes, renforce les inégalités sociales et limite l’accès aux ressources et opportunités. A cela s’ajoute le fait que le déploiement de ces systèmes d’IA s’inscrit dans le contexte des structures discriminatoires et inégalitaires qui existent dans les sociétés du monde entier. Le recours à ces technologies, souvent sur fond de politiques d’austérité, amplifie les discriminations dans l’accès à la santé, à l’emploi, aux services publics ou aux prestations sociales. En témoignent les scandales ayant éclaté ces dernières années : biais sexistes et racistes des algorithmes de santé, algorithme des services de l’emploi autrichien qui refuse d’orienter les femmes vers le secteur informatique, profilage et discrimination des usagers de la Caisse nationale des allocations familiales en France, au Danemark ou aux Pays-Bas.

Or les technologies sont rarement la solution à des problèmes en réalité systémiques. Il est préférable de s’attaquer à la racine de ces problèmes plutôt que de prendre le risque d’aggraver les violations des droits humains avec des systèmes d’IA. Tandis que l’on confie de plus en plus de décisions aux algorithmes, leurs biais peuvent avoir des conséquences dramatiques sur nos vies. Les IA prédictives se substituent à la justice et à la police, risquant d’amplifier le racisme systémique. Par exemple, aux Etats-Unis, une IA calculant les risques de récidive désignait deux fois plus les accusés noirs comme étant « à haut risque » que les accusés blancs. Et quand bien même on réduirait ces biais, se concentrer sur les outils prédictifs nous empêche de penser à des réformes plus globales du système carcéral.

Menaces pour l’Etat de droit

Ces systèmes sont aussi utilisés à des fins de surveillance et d’identification dans le cadre du contrôle des frontières ou de conflits, comme Lavender, cette IA qui, en désignant des cibles terroristes, a provoqué la mort de milliers de civils gazaouis. Et bien souvent, ces technologies sont développées par les pays occidentaux, comme les outils créés par des pays européens utilisés pour surveiller la population ouïghoure en Chine.

Les systèmes d’IA générative sont également instrumentalisés à des fins de désinformation et de déstabilisation par des régimes répressifs et des acteurs privés. « Bots » utilisés pour manipuler l’information sur des questions liées à la santé, désinformation à caractère raciste durant les dernières élections européennes, deepfakes audios et vidéo mettant en scène des candidats aux élections : ces technologies sont autant de menaces pour l’Etat de droit. Les montages crédibles générés par IA sont aussi un danger pour les femmes et les enfants : 96 % de ces deepfakes sont des contenus non consentis à caractère sexuel [selon le rapport 2019 du cabinet de conseil en gestion de risques DeepTrace], massivement utilisés dans le but de nuire aux femmes et de générer des contenus pédocriminels.

Par ailleurs, ces effets s’inscrivent dans un système d’exploitation global. L’IA, et notamment l’IA générative, constitue un véritable désastre pour l’environnement. D’ici à 2027, l’IA générative nécessitera une alimentation en électricité équivalente à celle de pays comme l’Argentine ou les Pays-Bas [comme le rapporte un article du New York Times d’octobre 2023]. Les émissions de CO₂ des « géants de la tech » ont augmenté de 30 à 50 % en 2024 en raison du développement fulgurant de ces technologies. Et ce sont les pays du Sud global qui sont les premiers touchés : les data centers y pullulent, et l’extraction de minerais, comme le cobalt, utilisé entre autres dans les batteries, met en péril la santé des populations, entraîne la pollution des eaux et des terres et alimente violences et conflits armés.

L’affaire de toutes et tous

Les inégalités entre les pays du Nord et du Sud sont également aggravées par les technologies déployées pour la modération de contenus en ligne. Les géants du numérique qui allouent plus de moyens aux pays du Nord privilégient ainsi certaines langues et récits culturels, déjà dominants, au détriment des autres. Enfin, n’oublions pas que ces systèmes d’IA sont majoritairement entraînés par des travailleurs et travailleuses du Sud global, exploités et sous-payés. Selon les informations du magazine Time, la société OpenAI a ainsi rémunéré des Kényans moins de deux dollars (1,95 euro) de l’heure pour labelliser des contenus toxiques, un travail particulièrement violent et éprouvant.

Face à ces constats alarmants, le règlement européen sur l’IA, présenté comme un instrument de protection des droits et libertés, reste très imparfait, notamment sur les questions de surveillance et de police prédictive. Par ailleurs ce règlement ne s’appliquera pas hors des frontières de l’Union européenne, alors même que la menace pour les droits humains et l’environnement est globale et que l’exportation des IA de surveillance génère du profit pour les entreprises européennes.

Nos gouvernements ne cessent de parler de souveraineté de l’IA, mais les défis posés par ces systèmes transcendent les frontières. Loin d’être un sujet technologique, l’IA est l’affaire de toutes et tous. Tout le monde doit pouvoir choisir la direction de ses développements, quitte à les refuser s’ils ne correspondent pas à notre projet de société. Un cadre contraignant élaboré démocratiquement, dans une perspective de solidarité internationale et avec les communautés les plus touchées, qui place les droits humains et la justice environnementale au cœur de la régulation de l’IA, voilà le véritable progrès.

Enfin ! Le tribunal administratif de Grenoble a tranché en notre faveur le contentieux entre La Quadrature du Net et la commune de Moirans : l’utilisation par la ville du logiciel de vidéosurveillance Briefcam est disproportionnée et illégale.

La CNIL, qui couvre complaisamment l’utilisation de la vidéosurveillance algorithmique (VSA) par la police et la gendarmerie, avait laissé entendre que les communes pouvaient recourir aux logiciels de VSA pour analyser les images de vidéosurveillance dans le cadre d’une enquête judiciaire. Non, disions-nous, il n’y aucun texte qui autorise l’utilisation de cette surveillance par la police. Non, dit le tribunal avec nous, ces logiciels capables de reconnaître les personnes au niveau individuel et de les suivre dans la rue sont d’un usage disproportionné, et relèvent d’un traitement de données personnelles non autorisé par la loi.

Cette décision judiciaire est évidemment très importante pour la suite : les nombreuses communes qui utilisent Briefcam ou d’autres logiciels de VSA sont bel et bien dans l’illégalité. Elle permettra aux habitantes des nombreuses municipalités concernées de faire valoir leurs droits.
Cette victoire contre la VSA sera dignement fêtée lors du Dernier Quadrapéro du Monde le 7 février 2025.

Lire l’article : La justice confirme enfin l’illégalité de Briefcam

Proposition de loi « Narcotrafic » : nouvelle offensive de surveillance

C’est malheureusement devenu une habitude. Tout gouvernement, après avoir participé à la surenchère médiatique qui transforme chaque fait divers en preuve de la déliquescence de la société, appelle à un sursaut national et à des mesures vigoureuses pour sauver le pays du chaos. On vote une loi sécuritaire qui limite les droits et les libertés publiques, la société civile gueule, les pires mesures sont censurées, une bonne partie passe quand même, et on recommence six mois plus tard pour pousser le bouchon encore un peu plus loin. C’est le cas cette fois-ci avec la nouvelle loi contre le « narcotrafic » portée par le dernier ministre de l’Intérieur, Bruno Retailleau (LR).

Cette proposition de loi est aujourd’hui en discussion au Sénat. Les articles du texte et les amendements des sénateurs rivalisent d’inventivité pour mieux surveiller tout et tout le monde, dans l’idée cette fois de lutter contre le trafic de drogues et le cortège de violences mortelles qu’il entraîne. On retrouve de vieilles marottes : affaiblir le chiffrement des communications, activer à distance les micros et les caméras des appareils connectés, censurer des pages web sans l’aval d’un juge, etc. Seule innovation : un procès-verbal secret dans lequel les magistrats pourront apprendre comment les suspects ont été surveillés, par quels moyens techniques ou humains, mais auquel les suspects eux-mêmes ne pourront pas avoir accès. Une dangereuse entorse aux droits de la défense.

Ces dispositions ont été critiquées publiquement par l’Observatoire des libertés et du numérique (OLN), dont fait partie La Quadrature du Net. Les mesures ajoutées par les amendements du Sénat sont décrites dans un article de La Quadrature paru cette semaine.

Lire le texte de l’OLN : PPL Narcotrafic : les droits et libertés à nouveau victimes de l’addiction aux lois sécuritaires
Le pire des amendements du Sénat : Quand la loi « Narcotrafic » devient la loi « Roue libre »

Plaintes contre X

Le 20 janvier dernier, dans le sillage de l’initiative HelloQuitteX, nous avons fermé notre compte sur X. L’idée était en discussion depuis un moment. Nous avions déjà renoncé depuis deux ans à toute interaction sur ce réseau, en nous contentant d’y relayer nos articles et les contenus préparés pour nos interventions sur le Fediverse. Ce départ final est la suite logique d’un processus de désengagement commencé en 2019.

La Quadrature combat depuis longtemps le modèle des réseaux sociaux fermés qui retiennent les internautes dans leurs silos publicitaires géants et recentralisent le web, à l’inverse complet de son ambition de départ, spéculent sur la polarisation violente des « discussions » et l’encouragent même activement, tout en livrant la modération des échanges à un duo toxique entre des États surveillants-censeurs et des groupes privés, parfois plus riches que les États eux-mêmes, qui défient les lois européennes.

Contre ces géants toxiques, nous défendons le modèle de l’interopérabilité entre des réseaux divers, pluralistes, fédérés ou non, sans coexistence obligatoire des contraires qui livre les uns à l’hostilité des autres. Ce qui retient souvent les internautes sur un réseau social propriétaire, c’est la crainte de perdre tout un réseau de sociabilité, ou une audience pour un média ou une association. Alors on reste dans un enclos où les insultes, le harcèlement et les « raids » tiennent lieu de liberté d’expression et de débat public. Le développement de réseaux sociaux interopérables (Fediverse par exemple) offre une sortie viable de ce huis-clos étouffant. Il ne manquait qu’une solution pratique pour prévenir ses contacts et les retrouver sur les autres réseaux (portabilité des données), ce que propose HelloQuitteX.

L’annonce de notre départ de X a provoqué, sur X, une vague d’insultes en provenance des milieux identitaires, souverainistes et confusionnistes, qui prétendent que notre départ mettrait en cause leur liberté d’expression (la logique n’est pas leur point fort), avec des arguments qui circulent depuis des années à l’extrême-droite (nous recevons depuis 2008 un financement de soutien de la Open Society Foundation fondée par George Soros, à hauteur de 10% environ de notre budget annuel, ce qui fait de nous des agents de la CIA, du grand capital ou du cosmopolitisme judéo-maçonnique mondialiste, au choix ou tout ensemble). Soit la preuve par neuf qu’on avait raison de quitter X. Notre conviction, c’est que ce n’est pas sur un réseau social aussi toxique et aussi biaisé que X que se jouera la nécessaire bataille contre l’extrême droite. Vous pouvez nous suivre sur Mastodon.

Notre annonce du 20 janvier : Nous quittons Twitter
Tribune collective contre le marché publicitaire de la haine en ligne : Les contenus haineux et négatifs sont rentables pour les médias sociaux publicitaires

Le contrôle défaillant des services de renseignement

Les services de renseignement ont par définition une activité discrète. Depuis la loi Renseignement de 2015, contre laquelle La Quadrature et d’autres avaient activement milité pendant plusieurs mois, une autorité de contrôle des techniques de renseignement a cependant été créée, en particulier pour encadrer l’utilisation des moyens numériques de surveillance les plus intrusifs. Mais ses moyens sont limités, et sa proximité avec les services qu’elle est censée contrôler affaiblissent son efficacité. Convié à parler lors d’un colloque autour de ces enjeux, le 14 octobre dernier, un membre de La Quadrature du Net a pris la parole pour faire le point sur le rôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Nous publions le texte de son intervention.

Lire l’article : Les trous noirs dans le contrôle des services de renseignement

Campagne de soutien 2025

Notre campagne de soutien pour 2025 est toujours ouverte. Vous pouvez nous faire un don sur notre site.

Agenda

• 7 février : Le dernier Quadrapéro du monde ! C’est à partir de 19h au 115 rue de Ménilmontant, Paris 20e.
• 7 février : Rencontre librairie autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle à Bordeaux. C’est à 19h à la Librairie du Muguet (Athénée Libertaire), 7 Rue du Muguet, Bordeaux.
• 13 février : Causerie mensuelle Technopolice Marseille, à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

[VSA] Briefcam à Moirans

• Vidéosurveillance algorithmique : le tribunal administratif de Grenoble interdit BriefCam [Mediapart]
• Reconnaissance faciale : une ville d’Isère priée de renoncer au logiciel de vidéosurveillance Briefcam [Le Figaro]
• Sa vidéosurveillance algorithmique jugée illégale, Moirans sommée de cesser de l’utiliser [Le Dauphiné libéré]
• Vidéosurveillance: une ville de l’Isère enjointe à renoncer au logiciel Briefcam [Journal de Bruxelles]
• Vidéosurveillance algorithmique : la Quadrature du Net et la CNIL s’affrontent sur les données personnelles [L’Informé]
• Vidéosurveillance algorithmique : Briefcam bousculé devant le tribunal administratif de Grenoble [Mediapart]

Intelligence artificielle

• [À écouter] Les limites planétaires et l’IA [IA en question]
• [À écouter] La Technopolice en France [IA en question]
• Intelligence artificielle : la France ouvre la voie à la surveillance de masse en Europe [Investigate Europe]
• Reconnaissance faciale, analyse des émotions… Comment la France a volontairement affaibli l’AI Act [Usbek & Rica]

Drones

• La surveillance policière par drone s’enracine en France [Numerama]
• Le Conseil d’Etat valide l’emploi de drones à des fins de maintien de l’ordre [L’Usine digitale]

Réseaux sociaux

• [À écouter] Moins de vérifications, moins de modération : à quoi s’attendre sur les réseaux sociaux ? [RFI]
• « HelloQuitteX » : partir ou ne pas céder le terrain à l’extrême droite, le débat qui divise la gauche [L’Humanité]
• Le réseau social X peut-il être banni de France, comme le suggèrent plusieurs responsables politiques ? [France Info TV]
• Rester sur X ou faire une croix sur ses abonnés ? Les comptes les plus suivis face à un dilemme sur un réseau social devenu problématique [France Info TV]
• Qui se cache derrière le collectif «HelloQuitteX», qui appelle à quitter le réseau social d’Elon Musk ? [Le Figaro]

Divers

• Les quatre impasses du RSA sous conditions, désormais généralisé [Alternatives économiques]
• Dix ans après les attentats de janvier 2015, les services chargés de la lutte antiterroriste ont changé leurs pratiques [Le Monde]
• Vidéosurveillance algorithmique dans les supermarchés : la « tactique des petits pas » porte ses fruits [ZDNet]
• « La lutte contre la fraude aux prestations sociales n’est pas motivée par des raisons financières », Vincent Dubois, sociologue [Viva]

Le logiciel de Briefcam est installé en toute opacité dans de très nombreuses communes de France. Techniquement, il permet d’appliquer des filtres algorithmiques sur les images de vidéosurveillance pour suivre ou retrouver les personnes en fonction de leur apparence, leurs vêtement, leur genre ou encore leur visage via une option de reconnaissance faciale. Depuis des années, nous dénonçons la dangerosité de cette vidéosurveillance algorithmique (VSA) qui est un outil inefficace et utilisé surtout pour le contrôle des populations dans l’espace public. En parallèle, nous rappelons constamment son illégalité manifeste et le laisser-faire des pouvoirs publics.

Ainsi, nous avons récemment critiqué la prise de position de la CNIL venue au secours de la police et la gendarmerie nationale, qui utilisaient ce logiciel depuis 2015 et 2017 sans l’avoir déclaré. La CNIL avait validé leur interprétation juridique farfelue pour sauver leur utilisation de ce logiciel dans le cadre d’enquête.

Or, dans cette affaire contre l’utilisation de Briefcam à Moirans, la CNIL était opportunément intervenue quelques semaines avant l’audience pour affirmer que Briefcam serait légal si utilisé par une commune pour répondre à des réquisitions judiciaires. La décision du tribunal administratif de Grenoble vient donc contredire frontalement cette position : il estime que le logiciel Briefcam met en œuvre un traitement de données personnelles disproportionné et qui n’est pas prévu par la loi, y compris dans le cas particulier d’enquêtes judiciaires.

Cette décision d’illégalité est une victoire sans précédent dans notre lutte contre la VSA. Les habitant·es de toute ville, à l’instar de Saint-Denis, Reims ou encore Brest qui ont choisi de mettre en place ce type de surveillance algorithmique, peuvent légitimement en demander l’arrêt immédiat. Les promoteurs politiques et économiques de la Technopolice doivent faire face à la réalité : leurs velléités de surveillance et de contrôle de la population n’ont pas leur place dans notre société. La CNIL n’a plus d’autre choix que d’admettre son erreur et sanctionner les communes qui continueraient d’utiliser de la VSA.

C’est grâce à vos dons que nous avons pu mener cette lutte jusqu’à son dénouement heureux aujourd’hui, et nous avons toujours besoin de votre aide pour continuer demain !

Tout d’abord, les sénateurs ont signé le retour de l’activation à distance des objets connectés pour filmer et écouter les personnes à leur insu. Proposée par Eric Dupont-Moretti en 2023 dans une loi de réforme de la justice, cette mesure de surveillance avait été censurée par le Conseil constitutionnel. Cela n’empêche pas les parlementaires de réintroduire aujourd’hui dans le texte un régime quasi identique, qui présente les mêmes dangers qu’il y a deux ans. Ainsi, aussi bien les appareils fixes (voir l’amendement) que mobiles (voir l’amendement) seraient transformés en mouchards pour la poursuite de certaines infractions. C’est une poursuite du processus de légalisation des logiciels espions (comme ceux de NSO/Pegasus) là où l’urgence serait de les interdire tant ils sont dangereux pour les équilibres démocratiques et les libertés individuelles.

Ensuite, les sénateurs tentent de donner corps à l’obsession des dirigeants ces dernières années : accéder au contenu des communications chiffrées, par exemple via les applications Whatsapp, Signal ou Telegram (lire l’amendement). Et cela fait autant d’années que les organisations comme La Quadrature, les experts en cryptographie ou même l’ANSSI le répètent : non seulement cette mesure est impossible techniquement mais elle contrevient à toutes les exigences de sécurité numérique. Le chiffrement de bout-en-bout est conçu pour que les entreprises elles-mêmes n’aient pas accès aux messages. Introduire un accès, une « backdoor », affaiblirait le niveau de protection de l’ensemble des communications et cela n’est d’ailleurs prévu nulle part dans le monde. Le chiffrement est une mesure de sécurité, le casser rendrait le monde numérique vulnérable et personne n’y a intérêt. Mais pourquoi s’embarrasser de la vérité quand on peut faire du sensationnel ? Il est urgent que cette modification soit retirée du texte.

Les sénateurs ont ensuite continué leur festival en élargissant la possibilité pour les policiers de Pharos de censurer les contenus liés aux stupéfiants (voir l’amendement). Les Sénateurs ont ainsi voté un amendement du Gouvernement élargissant cette censure, jusqu’à présent « limitée » aux contenus faisant référence à la vente de drogue, pour englober les contenus concernant toutes les infractions liées au trafic de stupéfiants. Cette volonté de verrouiller Internet ne peut que mener à des abus au regard du volume de contenus concerné, et au cadre extra-judiciaire de ces censures. Comment les policiers sauront-ils faire la différence entre des mèmes ou des blagues sur la drogue ou encore des extraits de films ou de clips sortis de leur contexte ? Et surtout, en quoi le retrait de ces contenus auraient véritablement un impact sur la problématique sociale de la consommation de drogues, qui repose sur tellement d’autres facteurs ? Les décennies passent et pourtant le réflexe inutile et dangereux de censurer et verrouiller les moyens de communication ne s’est manifestement pas perdu.

Bien d’autres élargissements répressifs sont prévus, mais s’agissant des enjeux numériques les sénateurs ont aussi décidé de s’en prendre aux opérateurs en renforçant les conditions de vente des cartes SIM prépayées et en imposant de conserver pendant cinq (!) années les données personnelles des personnes les ayant achetées (voir l’amendement).

L’examen du texte n’est pas fini que le Sénat est déjà en roue libre à écraser les libertés fondamentales et les règles protectrices de la procédure pénale, galvanisé par le traitement médiatique et politique du sujet lié au trafic de drogues et les largesses consenties au Gouvernement Bayrou à l’égard de l’extrême-droite. Cela permet à la « chambre haute » de mettre en pratique ses obsessions de surveillance rabâchées depuis des années. Nous attendons avec crainte les discussions à venir sur le reste du texte et notamment concernant le « dossier coffre » qui créerait une procédure secrète pour empêcher les personnes de connaître – et donc de contester – la manière dont elles sont surveillées et les très larges élargissements des pouvoirs des services de renseignement. Surtout, il faut avoir conscience que ces modifications s’appliquent à l’ensemble du régime de criminalité organisée, qui va bien au delà des personnes impliquées dans le trafic de drogue.

Il est plus que temps que les membres des partis qui votent de telles mesures se ressaisissent et retournent dans le « champ républicain » et dans les perspectives de l’État de droit au lieu de faire la course à l’autoritarisme pour tenter d’égaler l’extrême droite et la droite extrême dans son délire sécuritaire.

Voilà des mois que nos responsables politiques font mine de faire la guerre au trafic de drogues et que les médias leur emboîtent le pas de façon sensationnaliste, en amplifiant des faits graves, des tragédies humaines ou en donnant de l’écho à des opérations « choc ». Les sénateurs Jérome Durain (PS) et Étienne Blanc (LR), en cheville avec les ministres de l’Intérieur et de la Justice, cherchent à renforcer le dispositif répressif et de surveillance, abaisser le contrôle de l’activité policière et réduire les droits de la défense au nom de la lutte contre le trafic de stupéfiants.

L’Observatoire des Libertés et du Numérique (OLN) souhaite alerter sur les dangers de ce texte qui, au prétexte d’une reprise en main d’une problématique sociétale pourtant loin d’être nouvelle et appelant d’autres solutions que le tout répressif – comme le rappelait récemment le Haut commissaire aux droits humains de l’ONU -, vise à introduire et renforcer des mesures dangereuses pour les libertés et dérogatoires au droit commun.

La proposition de loi « Sortir la France du piège du narcotrafic », outre qu’elle convoque l’imaginaire des cartels mexicains, vise à renforcer largement le régime juridique d’exception de la criminalité organisée. Ce dernier déroge déjà au droit commun en ce qu’il permet que soient utilisés les moyens d’enquête les plus intrusifs et attentatoires à la vie privée dès lors que la commission de l’une des infractions figurant sur une liste qui ne cesse de s’allonger, est suspectée. Elle englobe ainsi une grande partie des crimes et délits lorsqu’ils sont commis en bande organisée ou via la constitution d’une association de malfaiteurs, mais aussi toutes les infractions relevant du trafic de stupéfiants.

La notion de criminalité organisée, insérée en 2004 dans le code de procédure pénale officiellement pour cibler des réseaux mafieux, s’applique donc en réalité à de nombreuses autres situations. Aujourd’hui, elle légitime, comme la lutte contre le terrorisme avant elle, d’élargir toujours plus les mécanismes d’exception en vue d’une répression accrue, au nom d’une logique d’efficacité, mais dont l’expérience montre qu’ils sont toujours détournés de leur finalité initiale. Par exemple, la qualification d’association de malfaiteurs a pu être utilisée dans des affaires relatives à des actions militantes, comme à Bure contre l’enfouissement des déchets nucléaires. En outre, depuis une réforme de 2016, les pouvoirs d’enquêtes du parquet, non indépendant car soumis à l’autorité hiérarchique du Garde des Sceaux, ont été renforcés et élargis en matière de criminalité organisée, évinçant encore un peu plus les garanties attachées à l’intervention du juge d’instruction.

Mais surtout, ce texte prévoit de faire tomber toujours un peu plus les barrières encadrant la surveillance policière. À titre d’illustration, il propose d’élargir le champ d’utilisation des « boites noires », cette technique de renseignement qui analyse les données de toutes nos communications et données récupérées sur internet via des algorithmes au motif de « détecter » de nouveaux suspects, technique que nous dénonçons depuis sa création. Initialement prévue pour le seul champ du terrorisme, elle a récemment été étendue aux « ingérences étrangères » et serait donc désormais aussi autorisée « pour la détection des connexions susceptibles de révéler des actes de délinquance et à la criminalité organisées ».

Le texte vise en outre à étendre la durée d’autorisation de la surveillance par géolocalisation ainsi que pour l’accès à distance aux correspondances en matière de criminalité organisée, tandis que l’article 23 amorce la possibilité d’utiliser les drones dans les prisons. De plus, il permettra à la police – via le service Pharos – de censurer sur internet « tout contenu faisant la promotion de produits stupéfiants ». Cette censure administrative avait été autorisée dans un premier temps pour les contenus pédopornographiques avant d’être étendue au terrorisme. Vous avez dit effet « cliquet » ? Ce texte constitue incontestablement une étape de plus vers la surveillance de masse et l’extension des pouvoirs de contrôle sécuritaire.

Enfin, il innove avec une mesure extrêmement inquiétante : « le dossier coffre », ou « procès-verbal distinct ». Prévue à l’article 16 du texte, cette mesure a pour objectif d’empêcher les personnes poursuivies de connaître la manière dont elles ont été surveillées pendant l’enquête, afin qu’elles ne puissent pas contourner cette surveillance à l’avenir ou la contester dans le cadre de la procédure. Les sénateurs proposent ainsi tout bonnement que les procès-verbaux autorisant et détaillant les modalités de mise en œuvre de cette surveillance ne soient pas versés au dossier, autrement dit qu’ils ne puisse jamais être débattus. Les personnes poursuivies n’auraient ainsi plus aucun moyen de savoir ni de contester quand et comment elles ont été surveillées, y compris donc, en cas de potentiels abus des services d’enquête. Le législateur créerait une nouvelle forme de procédure secrète, introduisant par là une faille béante dans le respect du principe du contradictoire et par suite dans le droit pourtant fondamental à se défendre, maillon essentiel d’une justice équitable et d’une société démocratique.

Si nous ne sommes à l’évidence plus étonnés de l’affaiblissement progressif des libertés publiques au nom des discours sécuritaires, une attaque à ce point décomplexée des principes fondateurs d’une justice démocratique témoigne de la profonde perte de repères et de valeurs des actuels responsables publics. Parce que la proposition de loi relative au trafic de drogues suscite de graves inquiétudes quant à l’atteinte aux droits et libertés fondamentales, nous appelons l’ensemble des parlementaires à rejeter ce texte.

Organisations signataires membres de l’OLN : Globenet, Creis-Terminal, la Ligue des droits de l’Homme (LDH), le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN), le CECIL.

Elon Musk sera nommé au gouvernement de Donald Trump ce 20 janvier.

Pour protester contre son investiture et ouvrir une réflexion sur l’impact politique des réseaux sociaux, un collectif a lancé HelloQuitteX. Cette communauté a pour but de donner des outils et inciter à aller vers des réseaux sociaux « plus ouverts et sains »¹.

Le rachat de Twitter par Elon Musk en 2022 avait déjà allumé des inquiétudes qui sont loin d’être calmées. Celui-ci se targue désormais d’utiliser sa plateforme comme une arme au service des candidat·es qui lui plaisent : Donald Trump, ou récemment le parti d’extrême droite allemand l’AfD.

HelloQuitteX et les déclarations provocatrices d’Elon Musk marquent une étape dans la reconnaissance de ce que l’on sait depuis longtemps : les plateformes et leur architecture ont un effet sur les contenus qui s’y échangent, et donc les visions du monde de leurs utilisateur·ices.

Changer de réseau social ne sera pas suffisant : il faut changer leur modèle de financement. Car ces dérives ne sont pas uniquement liées aux personnalités d’Elon Musk, Jeff Bezos ou Mark Zuckerberg, elles sont inscrites dans l’architecture d’Internet.

La publicité est la source principale de financement des sites Internet². Les plateformes ont donc besoin de nous connaître, le plus intimement possible. Plus elles possèdent d’informations sur nous, plus elles pourront cibler les publicités et mesurer leur efficacité, satisfaisant ainsi leurs véritables clients : les annonceurs.

Les plateformes ont mis en place une architecture de surveillance qui n’a rien à envier à celles des pires dystopies, dans le but principal de vendre plus cher leurs espaces publicitaires³.

Les réseaux sociaux ont un intérêt économique énorme à nous garder devant nos écrans, et rivalisent de techniques pour nous rendre « accros » à leurs applications, malgré les effets négatifs qu’ils entraînent⁴.

Mais ce n’est pas tout. Pour améliorer encore l’efficacité des publicités, ces réseaux sociaux se vantent de modifier nos émotions. Les recherches internes de Facebook ont montré que l’entreprise pouvait, en modifiant le fil d’actualités, influer sur l’humeur de ses utilisateur·ices⁵.

Meta propose donc aux annonceurs de cibler leurs annonces vers les moments où l’internaute se sent « mal dans sa peau » ou « en manque de reconnaissance », car ses recherches ont montré que les actes d’achat venaient pallier aux souffrances du quotidien. Meta favorise donc les contenus négatifs ou polarisants. Résultat ? « Plus les ados vont sur Instagram, plus leur bien-être général, leur confiance en soi, leur satisfaction à l’égard de la vie, leur humeur et l’image qu’ils ont de leur corps se dégradent »⁶. En 2016, une publication interne à Facebook montrait que « 64% des entrées dans des groupes extrémistes sont dûes à nos outils de recommandation »⁷. Ce n’est pas du hasard, c’est parce que c’est rentable.

Ils poussent ainsi tous les acteurs du jeu politique à aligner leur communication sur des contenus haineux et sans concessions. Les internautes sont enfermés dans des « bulles de filtres », entouré·es de contenus justifiant et radicalisant leurs opinions sans jamais les ouvrir à la contradiction⁸.

Le débat public et les discussions constructives entre internautes en deviennent de plus en plus difficiles, et cette sensation de différences irréconciliables se transfère vers les discussions en chair et en os⁹. Le discours de haine n’est pas qu’une abstraction numérique, il peut attiser la violence, miner la cohésion sociale, et causer des blessures profondes qui vont bien au delà des écrans, comme de nombreux rapports d’associations et institutions l’attestent¹⁰.

Ces contenus viennent nourrir des « visions du monde »¹¹ basées sur la peur et une sensation d’envahissement, venant ainsi conforter encore les tenants du « Grand Remplacement » et autres arguments portés par les mouvements d’extrême-droite.

Quitter X pour aller sur un autre réseau social publicitaire comme BlueSky ne réglera donc pas le problème. Petit à petit, les pressions financières le porteront à modifier ses contenus vers plus de publicité¹², et donc une emprise toujours plus grande de la manipulation¹³.

À ces effets structurels s’ajoute la guerre culturelle menée par certains grands milliardaires de la tech comme Elon Musk et récemment Mark Zuckerberg, pour imposer des idées ultra-libérales et ouvertement d’extrême droite. La concentration du secteur autour de quelques entreprises monopolistiques¹⁴ permet à ces hommes d’imposer leur vision du monde en utilisant les plateformes comme des porte-voix. Ils modèlent les règles de partage des contenus en faisant passer leur propagande pour de la liberté d’expression¹⁵.

La publicité en tant que source principale de financement des réseaux sociaux est responsable de toutes ces dérives. Pour espérer les réguler, il faut prendre en compte ce mécanisme fondamental.

C’est pourquoi nous relayons l’appel à quitter X, tout en questionnant nos pratiques des réseaux sociaux et services numériques basés sur la publicité.

Il existe de nombreuses alternatives libres efficaces comme les réseaux sociaux du Fediverse (Mastodon, Pixelfed,…), les suites de Framasoft pour les bureautiques partagés, ou PeerTube pour les vidéos.

Il est aussi particulièrement important d’installer un bloqueur de publicité, pour plus de confort de navigation et cesser de nourrir la machine à récolter les données. Le site bloquelapub.net présente des tutoriels simples.

Enfin, toutes ces mesures individuelles doivent nécessairement être complétées par des mesures contraignantes au niveau législatif. Une première étape pourrait être de rendre les réseaux sociaux responsables des contenus qui s’y échangent. Le site de La Quadrature du Net détaille les différentes lois nationales et européennes tout en donnant des pistes pour pallier aux manques¹⁶.

Il est aussi urgent de réfléchir à des modèles de financement alternatifs à la fausse gratuité publicitaire. Pour cela, nous appelons les médias et sites intéressés à prendre contact avec nous pour réfléchir ensemble à d’autres modèles possibles.

Thomas Citharel, codirecteur de Framasoft

Raquel Radaut, militante et porte-parole à La Quadrature du Net

Marie Youakim, co-présidente de Ritimo

Marie Cousin, co-présidente de Résistance à l’Agression Publicitaire

Tanguy Delaire, militant de Résistance à l’Agression Publicitaire

1Voir le manifeste de HelloQuittX https://www.helloquitx.com/MANIFESTO-HelloQuitteX.html

2Voir Shoshanna ZUBOFF, L’Âge du capitalisme de surveillance, Zulma, 2022

3Ethan ZUCKERMAN, « The Internet’s Original Sin », The Atlantic, 14 août 2014, https://www.theatlantic.com/technology/archive/2014/08/advertising-is-the-internets-original-sin/376041/

4Voir à ce sujet la mini série Dopamine, diffusée sur Arte : https://www.arte.tv/fr/videos/RC-017841/dopamine/

5Selon Frances Haugen, ancienne employée de Facebook, lanceuse d’alerte, citée par David CHAVALARIAS, Toxic Data, Comment les réseaux manipulent nos opinions, Flammarion, 2022, p. 100

6Christia SPEARS BROWN, « Comment plusieurs études montrent qu’Instagram peut nuire au bien-être des jeunes », The Conversation, 26 septembre 2021 https://theconversation.com/comment-plusieurs-etudes-montrent-quinstagram-peut-nuire-au-bien-etre-des-jeunes-168514

7Mathilde SALIOU, Technoféminisme, Comment le numérique aggrave les inégalités, Éditions Grasset & Fasquelle, 2023, p. 59

8Voir l’analyse de David Chavalarias : David CHAVALARIAS, Toxic Data, op. cit.

9Tanguy DELAIRE, « Publicité sur Internet : un terrain favorable à l’extrême droite », Le Club de Mediapart, 13 novembre 2024

10 Voir par exemple  le constat d’Amnesty International ‘ https://www.amnesty.fr/actualites/sinformer-se-former-eduquer-et-agir-face-a-la-montee-des-discours-de-haine-et-anti-droits ou celui de la commission européenne https://www.coe.int/fr/web/combating-hate-speech/what-is-hate-speech-and-why-is-it-a-problem- ) ou encore ce que rapportait en juin 2024 le secrétaire général de l’ONU « L’impact négatif des discours de haine sur la paix, le développement durable, les droits de l’homme et la prévention des génocides et des crimes connexes continue d’être observé dans le monde entier » ( https://www.un.org/africarenewal/fr/magazine/juin-2024/la-jeunesse-au-service-de-la-lutte-contre-les-discours-dincitation-%C3%A0-la-haine ). »

11Voir Félicien FAURY, Des électeurs ordinaires, Enquête sur la normalisation de l’extrême droite, Éditions du Seuil, 2024

12On lit sur le site de HelloQuitteX « À noter que Bluesky a récemment fait entrer un investisseur privé, Blockchain Capital, une entreprise du monde de la blockchain et des cryptomonnaies, ce qui influencera peut-être à l’avenir son modèle économique. » https://helloquittex.com/Quitter-Twitter-X-Etape-2-Je-cree-un-compte-Mastodon-et-ou-Bluesky.html consulté le 9 janvier 2025

13Blog de Résistance à l’Agression Publicitaire, « Publicité : l’industrialisation de la manipulation », Le Club de Mediapart, 23 novembre 2021 https://blogs.mediapart.fr/resistance-agression-pub/blog/231121/publicite-lindustrialisation-de-la-manipulation

14Nikos SMYRNAIOS, « Les GAFAM, entre emprise structurelle et crise d’hégémonie », Pouvoirs, N° 185(2), 19-30, https://droit.cairn.info/revue-pouvoirs-2023-2-page-19?lang=fr

15AFP, Le Nouvel Obs, « Meta met fin à son programme de fact-checking aux Etats-Unis, Musk trouve ça « cool », Trump dit qu’il a « probablement » influencé la décision », Le Nouvel Observateur, 7 janvier 2025 https://www.nouvelobs.com/monde/20250107.OBS98735/meta-met-fin-a-son-programme-de-fact-checking-aux-etats-unis-musk-trouve-ca-cool-trump-dit-qu-il-a-probablement-influence-la-decision.html

16Voir par exemple l‘analyse du « Règlement IA » adopté par la commission européenne en mai 2024 : https://www.laquadrature.net/2024/05/22/le-reglement-ia-adopte-la-fuite-en-avant-techno-solutionniste-peut-se-poursuivre/ ou « ou les propositions en terme d’interopérabilité des réseaux sociaux : https://www.laquadrature.net/?s=interop%C3%A9rabilit%C3%A9« 

Nous nous joignons donc, comme des milliers de personnes, à l’initiative HelloQuitX afin de réamorcer la désertion des réseaux sociaux commerciaux centralisés vers de meilleurs espaces. Elle facilite notamment le départ en Twitter en proposant un outil de migration.

En effet, le retour de Donald Trump au pouvoir marque un tournant dans l’histoire de X. Le soutien d’Elon Musk, patron de X, à la candidature de D. Trump a conduit à des changements significatifs dans la modération et l’algorithme de la plateforme. Les contenus fascistes ont été fortement mis en avant, tandis que les contenus issus des luttes pour l’émancipation ont vu leur portée réduite. Nous l’avons personnellement constaté, notre compte ayant une portée bien moindre qu’auparavant, ce qui nous a aussi amené à réfléchir à la pertinence de notre présence sur cette plateforme.

Depuis notre création, nous luttons contre la centralisation des plateformes numériques et ses conséquences. Nous avons notamment régulièrement souligné les risques d’une concentration excessive du pouvoir dans les mains d’entreprises privées. Nous reconnaissions malgré tout l’importance de l’effet de réseau dont bénéficiait Twitter et c’est pour ça que jusqu’à présent nous y étions resté.es. Il s’agissait de garder le contact avec nos sympathisant.es et les organisations qui partagent nos valeurs.

Cependant, maintenant qu’un départ collectif se met en place grâce à HelloQuitX, nous considérons qu’il est temps de prendre une décision courageuse et de participer à montrer l’exemple, en attendant que des initiatives similaires puissent bientôt s’organiser contre d’autres réseaux sociaux centralisés et toxiques, à commencer par ceux de Mark Zuckerberg, patron de Meta.

Des alternatives existent, et nous gérons depuis longtemps un serveur faisant partie du réseau Mastodon : mamot.fr. Mastodon est un réseau qui permet une modération propre à chaque serveur, qui soit à l’image de sa communauté. Avec déjà plusieurs millions d’utilisateurices, nous sommes convaincu.es que Mastodon est la meilleure alternative à Twitter pour nous.

BlueSky existe également, mais nous craignons que ce réseau répète les erreurs de Twitter. La décentralisation de cette plateforme est pour l’heure limitée et nous sommes inquiet.es quant au contrôle qu’une entreprise unique pourrait exercer sur elle.

Afin de vous permettre de quitter X tranquillement, nous avons aussi pris la décision d’ouvrir temporairement les inscriptions sur Mamot.fr, notre instance Mastodon où sont déjà inscrites 43 000 personnes. Vous pouvez vous y faire un compte dès maintenant, gratuitement. Vous pouvez aussi trouver d’autres serveurs sur joinmastodon.org . Et grâce à l’interopérabilité, vous pouvez suivre les millions d’autres personnes inscrites sur d’autres serveurs Mastodon depuis Mamot.fr, ainsi que suivre des comptes sur Peertube, Pixelfed et d’autres.

Notre compte Mastodon est sur https://mamot.fr/@LaQuadrature. Nous serons heureux de discuter avec vous sur ce réseau social fédéré !

Nous vous invitons à rejoindre le mouvement qui se met en place grâce à HelloQuitX. Rejoignez-nous sur Mastodon et parlez-en avec vos amis et autour de vous ! Ensemble, nous pouvons créer un avenir meilleur et des réseaux sociaux libres.

Ces dernières années, les services de renseignement français ont connu une croissance continue de leurs pouvoirs, qu’il s’agisse des ressources budgétaires et humaines dont ils disposent que des prérogatives juridiques dont ils bénéficient. Or, l’enjeu du contrôle démocratique du renseignement – historiquement faible dans ces matières relevant de la raison d’État, et ce particulièrement en France – est largement resté secondaire. Il n’est donc pas surprenant de constater la permanence de véritables « trous noirs » dans le dispositif institutionnel français.

Opacité

Avant d’en venir à ces trous noirs, le premier point qu’il nous faut aborder à trait l’opacité des politiques publiques du renseignement, et la façon dont ce manque de transparence empêche une organisation comme La Quadrature du Net de cultiver une expertise sur le renseignement, et donc de porter une critique correctement informée, et donc perçue comme légitime. Si c’est à l’honneur des deux présidents de la CNCTR que d’avoir accepté, à l’occasion, de nous rencontrer, que dire des silences assourdissants que des parlementaires de la Délégation parlementaire au renseignement, des services eux-mêmes, ont opposé à nos demandes répétées de rendez-vous et d’échange ?

Ce colloque – le premier du genre – est certes bienvenu. Mais il ne permet pas de remédier à l’opacité systémique du champ du renseignement, la manière dont il maintient sciemment tout critique externe à distance, qu’il s’agisse de celle nourrie par des journalistes d’investigation ou de groupes militants attachés à la défense des droits humains. Alors que dans l’histoire du renseignement, en France et dans d’autres pays, c’est presque toujours cette critique externe qui semble avoir permis de remédier aux abus les plus graves, de documenter les illégalités en matière de surveillance, et ce bien sûr en lien avec leurs sources et autres lanceurs d’alerte issus le plus souvent des services.

Cette critique externe ne joue pas seulement un rôle crucial dans le cadre des controverses qui, régulièrement, se nouent autour des servies de renseignement. Elle est aussi nécessaire au travail des organes de contrôle institutionnalisés, ne serait-ce que pour leur permettre d’entendre un autre son de cloche, d’autoriser une forme de pluralisme dans ces matières, et faire en sorte que ces organes puissent être exposés à un autre d’autres points de vue. Cela est de nature à éviter que ces organes ne deviennent inféodés aux services qu’ils sont censés contrôler.

De fait, en dehors des quelques informations ayant filtré via des journalistes, et outre les rares allusions faites par les responsables du renseignement lors d’auditions parlementaires ou par la CNCTR, aucune information officielle n’est fournie en France quant à la nature et le coût des technologies de surveillance déployées par les services pour collecter, stocker et analyser les communications et autres données numériques. L’enjeu de leur imbrication dans les processus de production du renseignement, la nature des marchés publics et l’identité des sous-traitants privés, et même les interprétations juridiques ayant cours au sein des services quant à l’utilisation de ces système, restent également marqués par une grande opacité.

Pour finir, rappelons que cette opacité est d’autant plus illégitime, d’autant plus dangereuse, que depuis la dernière publication de la stratégie nationale du renseignement en 2019, et grâce aux rapports de la CNCTR depuis lors, on sait que l’activité des services dans les matières les plus sensibles sur le plan démocratique – qu’on pense à la surveillance des mouvements sociaux —, sont en forte recrudescence. C’est notamment le cas s’agissant de groupes militants non seulement légitimes en démocratie mais nécessaires pour sortir nos sociétés de leur immobilisme face à la crise sociale et écologique.

Techniques

Outre cette opacité systémique, le droit du renseignement français reste marqué par de véritables trous noirs dans le contrôle de certaines modalités de collecte ou d’analyse des données. Passons donc en revue certaines des plus graves lacune du cadre juridique français.

Le plus significatif réside sans aucun doute dans l’absence de contrôle des échanges de données avec des services de renseignement étrangers. Depuis plusieurs années, la CNCTR demande de pouvoir contrôler le partage de données entre services français et services étrangers. En France, la question est d’autant plus pressante que les flux de données échangés entre la DGSE et la NSA ont connu une augmentation rapide suite à la conclusion des accords SPINS, signés fin 2015.
Or, la loi française exclut explicitement tout contrôle de la CNCTR sur ces collaborations internationales nourries par des services jouissant d’une forte autonomie.

Dans son rapport annuel publié en 2019, la CNCTR admettait que ce trou noir dans le contrôle du renseignement présentait un risque majeur, puisqu’il pourrait permettre aux services français de recevoir de leurs homologues des données qu’ils n’auraient pas pu se procurer légalement au travers des procédures définies dans la loi française. Dans le langage feutré qui la caractérise, la commission estimait qu’« une réflexion devait être menée sur l’encadrement légal des échanges de données entre les services de renseignement français et leurs partenaires étrangers ». La CEDH a en effet rappelé dans son arrêt Big Brother Watch du 25 mai 2021 que ces échanges devaient être encadrés par le droit national et soumis au contrôle d’une autorité indépendante (§ 362). Pourtant, à ce jour, la France est le dernier État membre de l’Union européenne à ne disposer d’aucun cadre juridique pour encadrer ces échanges internationaux.

Un autre de ces trous noirs est bien sûr l’immunité pénale liée à l’article 323-8 du code pénal et l’absence de tout encadrement législatif des activités de piratage informatique menées par les services français sur des équipements situés hors des frontières nationales. Cette absence d’encadrement conduit à ce que ces activités soient de facto illégales. L’immunité pénale ainsi accordée apparaît également contraire à l’article 32(b) de la convention de Budapest sur la cybercriminalité.

Autre forme de surveillance non couverte par la loi et donc tout aussi illégale : la surveillance dite « en source ouverte » (OSINT), notamment sur les réseaux sociaux comme Facebook ou X – une activité sur laquelle peu de choses ont fuité dans la presse mais dont on sait qu’elle a pris une importance croissante ces dix dernières années. L’achat de données aux data brokers n’est pas non plus régulé en droit français. Or rien ne permet de penser que cette activité, qui a fait la controverse aux États-Unis, ne soit pas aussi coutumière pour les services français.

Droits et garanties

Le droit français présente aussi d’énormes lacunes du point de vue des droits apportés aux personnes surveillées.

Le droit à l’information tout d’abord. Il s’agit-là d’un principe essentiel dégagé par la jurisprudence européenne : les personnes ayant fait l’objet d’une mesure de surveillance secrète doivent pouvoir en être informées, dès lors qu’une telle information n’est plus susceptible d’entraver l’enquête menée à leur encontre par les services. Dès son rapport publié en janvier 2018, la CNCTR passait en revue la jurisprudence afférente et mentionnait plusieurs exemples de législations étrangères – la loi allemande notamment – garantissant une procédure de notification des personnes surveillées, prévoyant un certain nombre d’exceptions étroitement limitées.

Il y a enfin l’absence de pouvoirs octroyés à la CNCTR pour tenir en échec des formes de surveillance illégale, et notamment l’absence d’avis conforme. Le Conseil d’État rappelait pourtant dans son arrêt du 21 avril 2021 relatif à la conservation généralisée des données de connexion que ce dernier était une exigence du point de vue du droit de l’Union européenne. Dans cette décision qui donnait largement gain de cause au gouvernement, le Conseil d’État se fondait sur l’arrêt La Quadrature du Net de la CJUE, en date d’octobre 2020, pour exiger que les avis rendus par la CNCTR sur les mesures de surveillance soient « conformes » (c’est-à-dire impératifs pour le gouvernement) et non plus simplement consultatifs.

Ces quelques aspects, loin de donner un aperçu exhaustif de tous les problèmes posés par le droit français en matière de surveillance numérique conduite par les services de renseignement, suffit à illustrer le fait que, en dépit des compliments reçus par la France de la part d’un certain rapporteur de l’ONU à la vie privée qui restera de triste mémoire, la France a encore beaucoup à faire pour se hisser au niveau des standards internationaux, lesquels devraient pourtant être considéré comme un socle minimal dans tout État de droit qui se respecte.

2025 marquera les 10 ans de la loi renseignement. Pour continuer notre travail sur la surveillance d’État l’année prochaine, nous avons besoin de votre soutien. Alors si vous le pouvez, faites un don à La Quadrature du Net.

Pour animer notre campagne de dons de fin d’année, nous avons choisi de traiter le thème de l’IA, qui sera un de nos grands axes de travail en 2025 : au lieu de tomber dans le panneau des fantasmes inutiles — ceux d’une intelligence surhumaine qui détruira l’humanité ou qui la sauvera de ses propres errements — et si on s’intéressait plutôt à ses usages concrets et à ses effets réels ? Après un article d’introduction accompagné d’une vidéo, on s’est penché plus spécialement sur les algorithmes de « scoring » utilisés par les administrations sociales, en lien avec notre campagne France Contrôle. La semaine suivante, on est allé à Marseille pour suivre le travail du collectif Le Nuage était sous nos pieds, dont font partie des membres de La Quadrature, qui étudie l’impact des infrastructures du numérique, démultipliées par l’IA, sur les villes, les ressources et les personnes. Et cette semaine, on revient sur la place de l’IA dans les discours sécuritaires et dans les dispositifs de surveillance qui se déploient aujourd’hui, au présent, dans nos rues. Une vidéo qui rejoint évidemment nos campagnes Technopolice et Pas de VSA dans ma ville. C’est pas de l’IA, c’est de la surveillance, du contrôle social et beaucoup, beaucoup de discours creux qui cachent la réalité d’un numérique au service de la contrainte et de l’exploitation des ressources et des personnes. Soutenez La Quadrature en 2025, faites-nous un don si vous pouvez !

Rendez-vous sur la page de la campagne de dons : https://www.laquadrature.net/donner/
Introduction : https://www.laquadrature.net/2024/11/29/cest-pas-de-lia-cest-de-lexploitation-dernier-cri/
Vidéo générale : https://video.lqdn.fr/w/kzeD86nXj12pKnEqwZKQEF
Vidéo IA et contrôle social : https://video.lqdn.fr/w/6Gi2v2ZhqDYWfvk3HP2MrR
Vidéo IA et écologie : https://video.lqdn.fr/w/48uz581ZbdNvWyXC9KV37n
Vidéo IA et Technopolice : https://video.lqdn.fr/w/6aMhTgir5dGpn8ByQjR87i

Attrap est public : un outil pour repérer les arrêtés préfectoraux trop discrets

Depuis que l’utilisation des drones policiers a été légalisée par la loi Sécurité intérieure de 2022, et l’utilisation « expérimentale » de la vidéosurveillance algorithmique (VSA) par la loi Jeux Olympiques de 2023, nous passons du temps à chercher des arrêtés préfectoraux en ligne. Pas pour le plaisir (encore que), mais parce que chaque sortie des drones policiers et chaque déclenchement de la VSA doit être autorisé et précédé par un arrêté du préfet, qui doit être rendu public. Et c’est là que ça se complique : documents publiés à la dernière minute (ou même après), documents planqués dans les arrière-fonds des sites web des préfectures, documents scannés au format image donc inaccessibles aux outils de recherche de texte, processus différents d’une préfecture à l’autre, architecture des sites préfectoraux pas du tout standardisée, etc. On pourrait presque croire que tout est fait pour que l’information soit aussi difficile à trouver que possible. Le pouvoir a une habitude de secret et de discrétion, il ne faudrait quand même pas que la population, les journalistes, les chercheur·euses ou les militant·es exercent leur droit trop facilement.

Mais comme La Quadrature est un mélange de juristes et de geeks, et parfois de juristes-geeks, on a développé un outil pour abattre le boulot et explorer pour nous les sites préfectoraux et rapporter les arrêtés en fonction des mots clés qu’on lui donne. « On » s’appelle d’abord Bastien, vite rejoint par Nono et par une bande de bénévoles, merci à elleux, pour déchiffrer et défricher les labyrinthes préfectoraux et perfectionner l’outil. Aucune IA n’a été maltraitée durant ce processus, seulement des militant·es motivé·es. Le logiciel s’appelle Automate de Traque de Termes et de Recherche dans les Arrêtés Préfectoraux, ou Attrap pour faire plus court – et c’est également plus facile à prononcer, ça tombe quand même drôlement bien.

On utilise Attrap depuis quelques mois, avec des recherches sur les mots-clés liés aux drones et à la VSA, pour alimenter un compte Mastodon nommé Attrap’Surveillance et documenter la mise en œuvre quasi quotidienne de ces dispositifs de surveillance qui nous paraissaient encore si effrayants et exotiques lors du confinement de mars 2020.
On avait en tête depuis le début de rendre un jour l’outil public pour que tout le monde puisse s’en servir. C’est chose faite. Le site Attrap est en ligne depuis quelques jours, avec un article qui explique sa genèse et son utilité, et il fonctionne comme un moteur de recherche. On a aussi lancé des exemples de suivi de certaines décisions repérées par Attrap avec des thèmes précis, ici ou là par exemple, en espérant que cela donnera envie à d’autres collectifs de s’approprier l’outil. Dorénavant Attrap est à vous : apprenez à connaître votre préfecture, ce n’est pas sale !

Et si vous allez en Allemagne au Chaos Computer Congress (CCC) cette année, vous pouvez venir ajouter de nouvelles préfectures dans le moteur de recherche, lors du hackathon Attrap organisé le 27 décembre à 18h au Komona. Une rumeur dit que les participant·es pourront récupérer des oreilles de chat qui brillent dans le noir en guise de petit remerciement…

Pour lire la présentation d’Attrap : https://www.laquadrature.net/2024/12/19/contre-lopacite-de-la-surveillance-locale-attrap-tes-arretes-prefectoraux/
Le compte Mastodon de Attrap’Surveillance : https://mamot.fr/@AttrapSurveillance
Pour utiliser Attrap tout de suite : attrap.fr

Agenda

• 27-30 décembre : Chaos Communication Congress (38C3) à Hambourg (Allemagne). La Quadrature sera présente avec une table et des ateliers !
• 8 janvier : Réunion Technopolice Paris-Banlieue, à partir de 19h au Bar Commun, 135 rue des Poissonniers, Paris 18e.
• 9 janvier : Réunion mensuelle du groupe Technopolice Marseille, à partir de 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

IA et VSA

• Intelligence artificielle et surveillance policière: comment concilier liberté et sécurité? [RFi]
• De l’analyse faciale dopée à l’IA dans les bureaux de tabac, « des produits illégaux » [Politis]
• Reconnaissance faciale. Caméras augmentées, libertés diminuées [Charlie Hebdo]
• La vidéosurveillance s’implante en France : les dessous d’un business très lucratif [L’Express]
• La Cnil tacle Beauvau [Politis]
• Vidéosurveillance algorithmique : la Cnil met en demeure l’Intérieur mais ne sanctionne pas [ZDNet]

France Contrôle

• L’Assurance-maladie accusée d’utiliser un algorithme antifraude défavorable aux mères précaires [France Info]
• Fraude aux arrêts maladie : l’algorithme accusé de pénaliser les plus précaires [Capital]
• Fraude : l’Assurance maladie “ciblerait” les mères les plus précaires [Parents]
• L’algorithme de l’Assurance maladie accusé de cibler les mères précaires [20 minutes]
• C2S : la précarité cible de la lutte contre la fraude ? [France Assos Santé]
• Fraude : l’algorithme de l’Assurance maladie épinglé pour discrimination [Journal de l’économie]
• La CNAM discrimine-t-elle les mères célibataires ? [La santé publique]
• Faux arrêts maladie : l’Assurance Maladie accusée de faire la chasse aux mères célibataires [Économie Matin]

Divers

• Contre-histoire d’internet, avec Félix Tréguer [Azerty]

Ces dernières années, la multiplication des outils de surveillance à disposition des autorités publiques s’est accompagnée d’une augmentation du pouvoir des préfets, émanations locales de l’État. Par exemple, depuis 1995, il revient aux préfets de département d’autoriser les communes ou commerces à mettre en place de la vidéosurveillance. On retrouve ce même mécanisme d’autorisation préfectorale pour les drones depuis 2023 ou, depuis la loi sur les Jeux Olympiques, pour la vidéosurveillance algorithmique dont la première autorisation a été délivrée en avril 2024.

Les préfets sont également dotés de pouvoirs d’interdictions ou de restrictions. Ils peuvent ainsi interdire des manifestations, créer des locaux de rétention administrative (équivalent temporaire des centres de rétention administratifs, CRA, qui servent à enfermer les personnes étrangères avant de les expulser) ou, depuis la loi SILT (qui introduisait en 2017 dans le droit commun les mesures de l’état d’urgence), mettre en place des « périmètres de sécurité ».

En théorie, toutes ces décisions des préfets doivent être publiées. Mais en pratique, il est très difficile d’accéder à cette information. Parfois, les préfectures communiquent sur les réseaux sociaux. Mais cela reste exceptionnel et cantonné à quelques grands événements. La plupart du temps, toutes ces décisions sont enterrées au fond des recueils des actes administratifs des préfectures.

Les recueils des actes administratifs, triste exemple d’inaccessibilité

Les recueils des actes administratifs (RAA) sont les journaux officiels des préfectures : dans un objectif très théorique de transparence, beaucoup de décisions prises par les préfectures doivent être publiée dans ces RAA. Cette publicité est cependant limitée en pratique : les RAA sont délibérément organisés de manière à être les moins accessibles possibles.

Prenons un cas pratique pour illustrer cette inaccessibilité. De passage à Antibes le week-end du 25-26 août 2024, vous avez constaté qu’un drone survolait le centre-ville. Vous souhaitez alors connaître la décision (en l’occurrence ici, un arrêté) qui a autorisé cette surveillance et voir les justifications avancées par les pouvoirs publics pour son déploiement, la durée d’autorisation ou encore les personnes responsables.

Une recherche sur le site de la préfecture des Alpes-Maritimes ne retourne aucun résultat. Vous devez alors rechercher par vous-même dans les RAA. Mais ceux de la préfecture des Alpes-Maritimes sont dispersés dans une multitude de fichiers PDF, eux-même éparpillés dans de nombreuses pages et sous-pages du site de l’administration. Vous devez donc scruter l’ensemble des recueils mensuels, spéciaux et spécifiques. Mais gare à vous si vous ouvrez trop rapidement plusieurs fichiers PDF : vous vous retrouverez bloqué·e par la plateforme et devrez attendre plusieurs dizaines de minutes avant de pouvoir continuer ! De plus, en utilisant la fonction Recherche de votre navigateur dans les fichiers PDF des RAA publiés autour de la date recherchée, vous ne trouvez nulle part le terme « aéronef » (expression légalement consacrée pour désigner les drones).

Finalement, en recherchant « drone », vous trouvez une petite ligne dans le sommaire du RAA spécial du 14 août. En vous rendant à la page indiquée dans le sommaire, vous constaterez qu’il s’agit bien de l’arrêté préfectoral que vous cherchez. Mais il n’est pas possible de sélectionner le texte (donc de faire une recherche dans le corps des arrêtés du RAA) parce que les services de la préfecture ont publiée sa version scannée…

Il ne s’agit pas du pire exemple, même si certaines préfectures rendent leurs recueils d’actes administratifs un peu plus accessibles que celle des Alpes-Maritimes. Et, dans notre cas pratique, il s’agissait de retrouver un arrêté précis. Autant dire qu’il n’est pas possible de faire une veille efficace, et donc d’exercer un contrôle sur les actes pris par les préfectures, notamment en termes de surveillance de la population.

Une interface unique pour rendre accessible les recueil des actes administratifs

Pour contourner ces obstacles pratiques, nous avons créé Attrap. Il s’agit d’un moteur de recherche qui analyse automatiquement les sites des préfectures, télécharge les différents fichiers PDF des RAA, reconnaît les caractères, extrait le texte et rend tout cela disponible dans une interface web unique. À partir de cette dernière, vous pouvez alors rechercher des mots-clés dans les RAA de toutes les préfectures ou certaines seulement, trier les résultats par pertinence ou chronologiquement, ou encore faire des recherches avancées avec les mots « AND » ou « OR ». Ainsi, l’arrêté d’autorisation de drones de notre exemple peut se trouver en quelques instants.

Mieux ! Si vous savez coder et voulez développer des fonctionnalités que n’offre pas Attrap (par exemple un système de statistiques, de veille, ou d’analyse plus poussée des arrêtés préfectoraux), vous pouvez utiliser librement l’API du service. C’est grâce à celle-ci que nous avons créé les robots de veille Mastodon Attrap’Surveillance (qui détecte la vidéosurveillance, la VSA et les drones), Attrap’Silt (qui détecte les périmètres de sécurité de la loi Silt) et Attrap’LRA (qui détecte les créations de locaux de rétention administrative). Et le code source de notre robot est lui aussi libre.

Redonner du pouvoir aux individus

Attrap est un nouvel outil pour, par exemple, les groupes locaux Technopolice qui documentent et veillent sur le développement des technologies de surveillance, dans nos quartiers, villes et villages. Cet outil permet ainsi de rendre visible, en alertant les habitant·es, de ce que la police voudrait invisible : la surveillance de nos rues et donc de nos vies. Il permettra également de documenter qui seront les futurs cobayes de la vidéo surveillance algorithmique (VSA) dans le cadre de la loi JO qui se poursuit jusqu’en mars 2025.

Ainsi, c’est grâce à Attrap que nous avons pu par exemple visibiliser les usages de VSA cette année, y compris saisir la CNIL d’une plainte lorsque la préfecture de police de Paris a utilisé cette technologie illégalement. C’est également grâce à cet outil que le groupe Technopolice Marseille a pu documenter les usages massifs de drones dans la cité phocéenne, notamment lors des « opérations place nette », vaste séquence médiatique de Gérald Darmanin au bilan très critiqué, ou pour surveiller le centre de rétention administrative du Canet (arrêté qui vient d’être suspendu par la justice suite à un recours de l’Ordre des avocats au barreau de Marseille et de La Cimade, soutenus par le Syndicat des Avocats de France, le Syndicat de la magistrature et le Gisti).

Attrap comporte encore quelques limites. Pour l’instant, seule une trentaine de préfectures de département et deux préfectures de région sont supportées. L’ajout d’une nouvelle administration nécessite du temps puisqu’il faut s’adapter à la manière qu’a chaque préfecture de répertorier en ligne ses RAA. Également, pour la plupart des préfectures, seuls les RAA de l’année 2024 sont indexés. Mais la couverture d’Attrap s’améliorera dans les prochains mois.

Pour améliorer Attrap, nous organisons un hackathon lors du 38^ème Chaos Communication Congress (38C3) à Hambourg en Allemagne. Si vous aimez le Python, n’hésitez pas à venir ! Mais si vous n’êtes pas au 38C3, vous pouvez également vous rendre sur notre canal Matrix dédié pour commencer à contribuer ! 🤓

À l’avenir, d’autres fonctionnalités seront également ajoutées. Nous prévoyons notamment d’ajouter un système de veille, qui vous permettra d’être notifié·e par email des derniers résultats sans avoir à créer vous-même votre propre robot de veille.

Par cet outil, nous souhaitons donner plus de pouvoirs aux personnes concernées par les décisions préfectorales. Vous pouvez dès aujourd’hui avoir un aperçu des mesures les moins acceptables que les préfectures ont tendance à enterrer au fond de leurs RAA : interdictions de manifestations, vidéosurveillance, drones, vidéosurveillance algorithmique, interdictions de festivals de musique clandestins, mesures de police justifiées par des appels au « zbeul » sur les réseaux sociaux, etc.

Nous espérons qu’Attrap permettra de mieux visibiliser l’action locale (et les abus) de l’État. L’opacité entretenue par les préfectures vient de perdre un peu de terrain. Pour nous aider à continuer nos actions, vous pouvez nous faire un don. Et si vous voulez contribuer à Attrap, rendez-vous sur le canal Matrix dédié.

Jeudi dernier, le 28 novembre, nous avons lancé notre campagne de dons pour 2025. Comme à chaque fin d’année, les associations font leur appel à soutien pour boucler le budget de l’année qui va commencer. La Quadrature n’y échappe pas, d’autant moins qu’elle tient principalement par vos dons et qu’elle refuse de solliciter des subventions publiques, pour des raisons d’indépendance de plus en plus évidentes. Si vous le pouvez, merci de nous soutenir financièrement !

Pour animer ce mois de campagne, on a décidé de parler d’un sujet qui nous intéresse depuis un moment déjà, mais qu’on veut prendre à bras le corps tant les choses s’accélèrent : l’IA. Derrière le buzzword du moment se cachent énormément de fantasmes et des réalités trop mal connues. Tant de croyances entourent l’IA qu’elle joue le rôle d’un mythe, endossant tantôt le rôle du sauveur ou celui du bourreau de l’humanité. Mais elle a des réalités concrètes à partir desquelles il faut l’appréhender. Par où commencer ?

D’abord, supprimer l’effet de fascination causé par l’expression elle même. « L’intelligence artificielle » n’existe pas. Ou plutôt, il faut regarder de plus près ce que recouvre le mot magique. Nous avons publié un premier article accompagné d’une première vidéo pour présenter les grandes lignes de notre lecture du phénomène. L’IA n’est rendue possible que par une énorme concentration de moyens qui la place d’entrée entre les mains du système industriel et financier dominant, avec tous les dégâts sociaux et environnementaux qui s’ensuivent. Elle sert logiquement les intérêts de ces dominants. Comme instrument de police avec la VSA, comme instrument de contrôle social avec les algorithmes administratifs, comme instrument de l’exploitation salariale avec l’entrée de l’IA générative dans les entreprises… Autant d’aspects que nous essaierons d’explorer tout au long de cette campagne et dans les mois qui viennent. Soutenez La Quadrature en 2025 !

Rendez-vous sur la page de la campagne de dons : https://www.laquadrature.net/donner/
Premier article sur l’IA : https://www.laquadrature.net/2024/11/29/cest-pas-de-lia-cest-de-lexploitation-dernier-cri/
Lien direct vers la vidéo : https://video.lqdn.fr/w/kzeD86nXj12pKnEqwZKQEF

France Contrôle : un algo de contrôle discriminatoire à l’Assurance maladie

Exemple concret des espoirs et des ambitions confiées à « l’intelligence artificielle » (naguère, on appelait ça le « big data ») : identifier les fraudes aux prestations sociales. Nous avons publié l’année dernière les résultats de notre travail sur l’algorithme de notation utilisé par la Caisse nationale d’allocations familiales (CNAF) pour attribuer un « score de risque » à ses bénéficiaires. Nous avions découvert, et montré preuve à l’appui, que l’algorithme en question était écrit pour cibler plus particulièrement les personnes en situation de grande précarité (solitude, charge de famille, faibles revenus, etc.). Nous publions cette semaine la suite de cette enquête.

Cette fois, c’est l’algorithme de notation utilisé par la Caisse nationale de l’assurance maladie (CNAM) qui est décortiqué. Nos conclusions sont les mêmes : sous prétexte de lutter contre la fraude, la CNAM accentue la pression de contrôle sur les personnes les plus fragiles. Adultes handicapées, mères célibataires, voilà les ennemis de la solidarité sociale et les « fraudeurs » désignés par les responsables des services sociaux qui mettent au point ces algorithmes de contrôle. Un article à lire sur notre site.

Lire l’article : https://www.laquadrature.net/2024/12/05/notation-algorithmique-lassurance-maladie-surveille-les-plus-pauvres-et-harcele-les-meres-precaires/

Surveillance algorithmique : la CNIL démissionne

Autre usage de l’IA. On vous a souvent parlé de Briefcam, un logiciel de VSA doté de puissantes fonctions d’identification faciale et d’analyse biométrique, acheté par de nombreuses villes en France et utilisé aussi par la police nationale et la gendarmerie nationale, comme l’a révélé l’an dernier le média Disclose.

L’outil est si puissant et si profondément installé dans le marché de la vidéosurveillance algorithmique à la française (VSA), qu’à la suite de l’article de Disclose, la CNIL a mené une enquête sur l’usage du logiciel par la police et la gendarmerie, dont elle a publié les conclusions cette semaine (juste après notre article qui actait sa démission, et le moins qu’on puisse dire, c’est que les conclusions de son enquête ne sont pas de nature à nous contredire).

Le logiciel Briefcam (comme ses semblables) est capable d’identifier une personne dans la foule à l’aide de traits individuels caractéristiques : taille, démarche, vêtements, couleur de la peau ou des cheveux, etc. Cette identification individuelle permet au logiciel de retrouver la même personne sur toutes les images des caméras publiques de la ville, et de la suivre partout – un véritable fantasme policier. Mais dans l’état du droit actuel, tout traitement de données qui permet d’identifier une personne de façon certaine, et isole l’individu au sein d’un groupe, relève du traitement de données biométriques, dites « sensibles », c’est-à-dire encore plus protégées et encadrées par la loi. On ne fait pas ce qu’on veut avec des données personnelles, encore moins avec des données biométriques, et c’est le rôle de la CNIL d’y veiller depuis sa création en janvier 1978.

Or, devant les parlementaires qui la consultaient sur la Loi Transports (laquelle cherchait à légaliser l’usage de la VSA pour certaines enquêtes pénales) comme dans les conclusions de son enquête sur Briefcam, la CNIL se défausse. Elle se contente de rappeler l’interdiction de la reconnaissance faciale mais pour le reste des fonctions d’analyse biométriques – tout aussi dangereuses, et tout aussi illégales –, elle refuse de faire appliquer le droit et se contente des explications fournies par les institutions policières. En donnant ainsi son aval à une pratique illégale de surveillance passible de sanctions pénales, la CNIL trahit sa mission de protection des droits et des libertés. Notre analyse complète dans l’article.

Lire l’article : https://www.laquadrature.net/2024/12/04/vsa-et-biometrie-la-cnil-demissionnaire/

Data centers : le coût écologique du tout numérique

C’est un des pires aspects de l’IA : basée sur d’énormes puissances de calcul, elle contribue à l’explosion des besoins en infrastructures, et particulièrement en data centers, gourmands en énergie et en eau de refroidissement. La ville de Marseille, grand nœud portuaire et « porte » du sud de la France vers la Méditerranée et le reste du monde, est particulièrement concernée par le sujet : placée au point d’arrivée sur le continent de nombreux câbles sous-marins, elle est envahie par les data centers qui stockent et traitent les données en transit.

Le collectif marseillais « Le nuage était sous nos pieds », dont fait partie La Quadrature, veut re-matérialiser le cloud pour montrer la réalité de nos usages numériques. Il a organisé un festival informatif et militant en novembre à Marseille, et publié un premier article sur le sujet en septembre dernier. Voici le deuxième article, qui analyse en détails la situation à Marseille.

Lire l’article : https://www.laquadrature.net/2024/11/20/accaparement-du-territoire-par-les-infrastructures-du-numerique/

Agenda

• Vendredi 6 décembre : Rencontre autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle avec Félix Tréguer à 21h à Saint-Étienne, au cinéma Le Méliès Saint-François, 8 Rue de la Valse.
• Samedi 7 décembre : Conférence « État providence ou contrôle social ? Comment se défendre face à la gestion algorithmique des populations » à 16h dans le cadre du Premier Samedi du Libre XXL, à la Cité des Sciences et de l’Industrie 30, Avenue Corentin Cariou, 75019 Paris.
• Samedi 7 décembre : Rencontre autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle avec Félix Tréguer à 15h à Lyon, à la librairie La Gryffe, 5 Rue Sébastien Gryphe, 69007..
• Mercredi 11 décembre : Rencontre autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle avec Félix Tréguer à 18h30 à Marseille, Court-Circuit, 3 place Notre-Dame du Mont, 13006.
• Jeudi 12 décembre : Causerie mensuelle du groupe Technopolice Marseille à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• Jeudi 12 décembre : Rencontre autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle avec Félix Tréguer à 19h30 à Avignon, à la librairie Youpi!, 26 Av. Saint-Ruf.
• Vendredi 13 décembre : Rencontre autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle avec Félix Tréguer à 19h à Arles, à la librairie L’Angerie, 38 rue Genive.
• Samedi 14 décembre : « Flic-flac : trois jours de solidarité et de défense face à la police » aux Tanneries à Dijon. Programme complet ici.
• 27-30 décembre : Chaos Communication Congress (38C3) à Hamburg (Allemagne).
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Data centers à Marseille

• De la Calade à la Villette, une balade pour comprendre ce qui se joue dans les data centers [Marsactu]
• Infrastructures numériques : « On a longtemps cru que les données volaient dans les airs, et puis on a regardé sous nos pieds » [Fracas]
• À Montpellier, un festival pour dénoncer « la surveillance de nos vies et de nos villes » [La Marseillaise]
• Un collectif marseillais dénonce l’emprise des datacenters sur le territoire [ZDNet]

Technopolice, le livre

• [Vidéo] Technopolice : La France sur la route de la Chine ? [Blast]
• « Technopolice » – Sous l’œil des algorithmes, l’enquête choc sur la surveillance totale [Maze]

Vidéosurveillance algorithmique

• IA et vidéosurveillance : une mission d’inspection invite à sortir du flou [Banque des territoires]
• Lille a-t-elle déployé en douce la vidéosurveillance algorithmique ? [20 minutes]
• Après les JO, la vidéosurveillance algorithmique joue les prolongations [Techniques de l’ingénieur]
• BriefCam : la Cnil met en demeure le ministère de l’intérieur et six communes [Mediapart]
• « Aide à la décision » ou « surveillance de masse » : les caméras intelligentes bientôt généralisées à Paris ? [Le Parisien]

France Contrôle

• L’Assurance-maladie critiquée pour son algorithme de lutte contre la fraude [Le Monde]
• Suède. L’agence de sécurité sociale doit interrompre l’utilisation des systèmes d’intelligence artificielle discriminatoires [Amnesty International]
• L’Assurance Maladie – L’algorithme qui cible les mères les plus démunies [Korben]
• Assurance-maladie : quand les nouveaux collègues sont des robots [Mediapart]
• La Défenseure des droits s’inquiète de « l’algorithmisation des services publics » [01Net]

Depuis 2018, un algorithme développé par l’Assurance Maladie (CNAM) attribue une note, ou score de suspicion, à chaque foyer bénéficiant de la Complémentaire Santé Solidaire gratuite (C2SG), soit 6 millions de personnes parmi les plus pauvres de France²La C2S gratuite (C2SG) est une complémentaire santé gratuite accordée sous conditions de revenus et de composition familiale. Réservée aux foyers les plus précaires, elle bénéficiait, en 2023, à 5,9 millions de personnes (voir ici). Le plafond annuel de ressources de la C2SG a été fixé à 9 719 € pour une personne seule, en métropole, au 1^er avril 2023, modulable en fonction de la composition du foyer du demandeur (voir ici). Attribuée au niveau du foyer et non au niveau individuel, elle sert à couvrir tout ou partie des frais restant à la charge de l’assuré·e. La C2S peut aussi être soumise à participation financière en cas de revenus légèrement supérieurs (1,5 million de personnes).. Cette note sert à sélectionner les foyers devant faire l’objet d’un contrôle. Plus elle est élevée, plus la probabilité qu’un foyer soit contrôlé est grande. Suite à une erreur de la CNAM, nous avons pu avoir accès au code source de cet algorithme que nous rendons public avec cet article. Le constat est accablant.

L’algorithme cible délibérément les mères précaires. Ces dernières, ouvertement présentées dans des documents officiels par les responsables de la CNAM comme étant « les plus à risques d’anomalies et de fraude »³Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM., reçoivent un score de suspicion plus élevé que le reste des assuré·es. En retour, elles subissent un plus grand nombre de contrôles. Notons que les – trop rares – témoignages dont nous disposons montrent que ces contrôles peuvent notamment aboutir à des suspensions abusives de couverture santé entraînant des ruptures d’accès aux soins aux conséquences particulièrement graves, et ce, pour l’ensemble des ayants droit du foyer dont les enfants⁴Si la violence des contrôles organisés par la CAF sont particulièrement bien documentés – voir notamment les travaux des collectifs Changer de Cap et Stop Contrôles –, il n’existe pas, à notre connaissance, de travail équivalent sur les contrôles CNAM. Nous avons cependant pu échanger avec des associations de défense des droits des assuré·es qui ont confirmé l’existence de suspensions abusives de couverture santé..

Stigmatiser les femmes précaires

« Première demande dont le demandeur est une femme de plus de 25 ans avec plus d’un majeur et au moins un mineur dans le foyer »⁵Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM.. Voici, mot pour mot, comment est décrit, au détour d’une slide PowerPoint, ce que les responsables de la CNAM appellent le « profil-type du fraudeur »⁶L’expression « profil-type du fraudeur » est tirée du rapport 2020 de lutte contre la fraude de l’Assurance Maladie disponible ici.. C’est ce « profil-type » que l’algorithme est chargé d’aller détecter parmi les assuré·es. Plus une personne se rapproche de ce profil, plus son score de suspicion est élevé et sa probabilité d’être contrôlée est grande.

L’analyse du code de l’algorithme vient confirmer cette description. Parmi les variables utilisées par l’algorithme et augmentant le score de suspicion, on trouve notamment le fait d’être une femme, d’avoir des enfants mineurs ou d’être âgé·e de plus de 25 ans⁷Un premier modèle a été utilisé par l’Assurance Maladie entre 2018 et 2021. Visant à prédire le risque d’indus, il est basé sur une régression logistique simple comprenant 5 variables en entrée, dont le sexe, l’âge ou la composition du foyer. En 2021, ce modèle a été modifié à la marge. L’entraînement semble être réalisé dans les « règles de l’art », à partir de la sélection aléatoire de plusieurs milliers de dossiers, envoyés aux équipes de contrôle puis utilisés comme base d’apprentissage. Pour plus de détails, voir l’analyse sur notre Gitlab..

Si cet algorithme ne fait pas directement apparaître de critères liés à la précarité économique, c’est tout simplement que ce critère est déjà présent de base dans la définition de la population analysée. Bénéficiaire de la C2SG, cette « femme de plus de 25 ans » fait partie des 6 millions de personnes les plus pauvres de France, dont la majorité est allocataire du RSA et/ou privée d’emploi⁸Pour une présentation du public concerné par la C2SG, voir notamment le rapport annuel 2023 portant sur la Complémentaire Santé Solidaire de la Direction de la Sécurité Sociale disponible ici..

Vers un ciblage des personnes malades ou en situation de handicap ?

En complément du code de l’algorithme utilisé depuis 2018, nous avons obtenu celui d’un modèle expérimental développé en vue d’évolutions futures. En plus de cibler les mères précaires, ce modèle ajoute aux critères venant augmenter le score de suspicion d’un·e assuré·e le fait d’être en situation de handicap (« bénéficier d’une pension d’invalidité »), d’être malade (être « consommateur de soin » ou avoir « perçu des indemnités journalières », c’est-à-dire avoir été en arrêt maladie) ou encore… d’être « en contact avec l’Assurance Maladie »⁹Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM. Ajoutons qu’il est possible que les équipes de la CNAM aient réalisé des traitements illégaux pour arriver à ces tristes conclusions. Si le modèle alternatif nécessite des croisements de données illégaux – rappelons par ailleurs qu’il est question de données de santé – il est légitime de s’interroger sur la base légale à partir de laquelle son « efficience » a pu être testée..

Une précision s’impose. Le fait que ce modèle expérimental n’ait pas été généralisé n’est en rien lié à un sursaut de décence de la part de la CNAM. Son « efficience » fut au contraire vantée dans des documents distribués lors de sa présentation en « Comité de direction Fraude » début 2020¹⁰Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM.. Le seul problème, y expliquent les équipes de statisticien·nes de la CNAM, est que son utilisation n’est pas légale car ce nouveau modèle nécessiterait un « croisement de données non autorisé ». Pour pouvoir le mettre en place, les équipes cherchent à appâter les dirigeant⸱es de la CNAM afin de gagner leur appui pour obtenir le changement réglementaire nécessaire à la mise en place de ce croisement de données¹¹Le croisement demandé semble concerner notamment la base SIAM Erasme, soit une base de données nominatives particulièrement intrusives puisque portant sur les dépenses de santé. Voir ce rapport de la Cour des Comptes. L’accès aux données des comptes bancaires semble aussi être au centre des « limitations réglementaires » empêchant la CNAM de généraliser les modèles expérimentaux..

Opacité et indécence

S’il est une chose cruciale que montrent les documents que nous rendons publics, c’est que les dirigeant⸱es de la CNAM sont parfaitement au courant de la violence des outils qu’ils et elles ont validé. Nul besoin d’être expert·e en statistique pour comprendre les descriptions retranscrites ci-dessus relatives du « profil-type du fraudeur »¹²L’expression « profil-type du fraudeur » est tirée du rapport 2020 de lutte contre la fraude de l’Assurance Maladie disponible ici. que l’algorithme est chargé de cibler.

Mais plutôt que de s’y opposer, les responsables de la CNAM ont préféré utiliser l’opacité entourant son fonctionnement pour en tirer profit. Technique « à la pointe de la technologie », « intelligence artificielle » permettant une « détection proactive » de la fraude, outil prédictif « à la Minority Report » : voici comment, au gré de rapports officiels ou d’interventions publiques, ce type d’outil est vanté¹³Ces citations se réfèrent globalement à l’ensemble des algorithmes de notation utilisé par la CNAM à des fins de contrôle, ce qui inclut tant l’algorithme de notation des bénéficiaires de la C2SG que les algorithmes utilisé pour le profilage et le contrôle des professionnels de santé. Voir le site de l’assurance maladie, le rapport annuel 2021 de lutte contre la fraude à l’assurance maladie disponible ici et l’article publié en 2022 sur Challenges, « Pour débusquer les fraudeurs, la Sécu met le paquet sur l’IA et les cyber-enquêteurs » et le 30 septembre 2022 disponible ici.. L’absence de transparence vis à vis du grand public quant aux critères de ciblage de l’algorithme permet de masquer la réalité des politiques de contrôles. Cette situation permet alors aux dirigeant.es de l’Assurance Maladie de faire briller leurs compétences gestionnaires et leur capacité d’innovation sur le dos des plus précaires.

Au caractère indécent d’une telle présentation, ajoutons ici qu’elle est en plus mensongère. Car, contrairement à la manière dont il est présenté, l’algorithme n’est pas construit pour détecter les seules situations de fraudes. La documentation technique montre qu’il est entraîné pour prédire le fait qu’un dossier présente ce que l’Assurance Maladie appelle une « anomalie », c’est à dire le fait que les revenus d’un·e assuré·e dépasse le plafond de revenus de la C2S¹⁴Pour qu’une anomalie soit déclarée comme fraude, il faut que le niveau de revenu constaté après contrôle soit supérieur à 3 fois le plafond de la C2S. Voir notamment le rapport annuel 2021 de lutte contre la fraude disponible ici.. Or seule une partie de ces « anomalies » – lorsque l’écart entre les revenus et le plafond dépasse un certain montant – est classifiée comme fraude par l’Assurance-Maladie. Tout laisse à penser que la majorité des « anomalies » détectées par l’algorithme résulte avant tout d’erreurs involontaires, liées à la complexité des critères d’attribution de la C2SG qui inclut notamment l’ensemble des revenus dont le foyer dispose, et ce, jusqu’aux cadeaux et dons familiaux¹⁵Si nous n’avons pu trouver de chiffres précis quant à la proportion d’« anomalies » liées à des erreurs involontaires dans le cas de la C2SG, nous nous basons sur les études existantes portant sur l’origine des trop-perçus liés au Revenu de Solidarité Active (RSA) dont les conditions d’attribution – nonobstant la fréquence trimestrielle ou annuelle des déclarations – sont similaires à celle de la C2SG. Or, les études portant sur les RSA démontrent sans exception que la très grande majorité des trop-perçus sont liés à des erreurs déclaratives liés à la complexité déclarative de cette prestation. Plusieurs de ces études sont citées dans cet article..

Cette communication est finalement à mettre en perspective face aux enjeux financiers. En 2022, le directeur de l’Assurance Maladie annonçait que la fraude à l’ensemble de la C2S était estimée à 1% de son coût, soit 25 millions sur plus de 2,5 milliards d’euros¹⁶En 2022, le directeur de l’Assurance Maladie a présenté les premières estimations devant le Sénat. Son audition est disponible ici. Voir aussi le rapport annuel de lutte contre la fraude de l’Assurance Maladie 2021 disponible ici. Les chiffres des montants de la C2S (gratuite et avec participation financière) gérés par la CNAM sont disponibles dans le rapport annuel 2023 de la direction de la sécurité sociale.. En revanche, le taux de non-recours à cette prestation sociale était lui estimé à plus de 30%, soit un « gain » d’environ… un milliard d’euros pour la CNAM¹⁷Voir Mathilde Caro, Morgane Carpezat, Loïcka Forzy, « Le recours et le non-recours à la complémentaire santé solidaire. Les dossiers de la Drees 2023 », disponible ici.. Ces chiffres soulignent l’hypocrisie politique de l’importance de lutter contre la fraude à la C2SG – et la nécessité des outils dopés à l’intelligence artificielle – tout en démontrant que le recours à de tels outils est avant tout une question d’image et de communication au service des dirigeant·es de l’institution.

Technique et déshumanisation

Il est une dernière chose que mettent en lumière les documents que nous rendons public. Rédigés par les équipes de statisticien·nes de la CNAM, ils offrent un éclairage particulièrement cru sur l’absence flagrante de considération éthique par les équipes techniques qui développent les outils numériques de contrôle social. Dans ces documents, nulle part n’apparaît la moindre remarque quant aux conséquences humaines de leurs algorithmes. Leur construction est abordée selon des seules considérations techniques et les modèles uniquement comparés à l’aune du sacro-saint critère d’efficience.

On perçoit alors le risque que pose la numérisation des politiques de contrôle dans le poids qu’elle donne à des équipes de data-scientists coupées des réalités de terrain – ils et elles ne seront jamais confrontées à la réalité d’un contrôle et à leurs conséquences en termes d’accès aux soins – et nourries d’une vision purement mathématique du monde.

On appréhende aussi l’intérêt d’une telle approche pour les responsables des administrations sociales. Ils et elles n’ont plus à faire face aux éventuelles réticences des équipes de contrôleur·ses lors de la définition des politiques de contrôle¹⁸Sur la contestation lors de l’élaboration de politiques de contrôle par les équipes internes à la CNAF, voir le livre Contrôler les assistés. Genèses et usage d’un mot d’ordre, de Vincent Dubois, page 250.. Ils et elles n’ont d’ailleurs même plus à expliquer la façon dont ces politiques ont été construites aux équipes de contrôleur·ses, à qui il est simplement demandé de contrôler les dossiers les moins bien notés par un algorithme-boîte-noire.

Le problème n’est pas technique mais politique

Depuis maintenant deux ans, nous documentons la généralisation des algorithmes de notation à des fins de contrôle au sein de notre système social. À l’instar de la CNAM, nous avons montré qu’ils étaient aujourd’hui utilisés à la Caisse Nationale des Allocations Familiales (CNAF), l’Assurance-Vieillesse ou encore la Mutualité Sociale Agricole et ont été expérimentés à France Travail.

Depuis deux ans, nous alertons sur les risques associés à l’essor de ces techniques, tant en termes de surveillance numérique que de discriminations et de violence institutionnelle. Surtout, nous n’avons eu de cesse de répéter que, quelques soient les institutions sociales, ces algorithmes ne servent qu’un seul objectif : faciliter l’organisation de politiques de harcèlement et de répression des plus précaires, et ce grâce à l’opacité et au vernis scientifique qu’ils offrent aux responsables des administrations sociales.

C’est désormais chose prouvée pour deux administrations. Pour la CNAM avec cet article. Mais aussi pour la CNAF, dont nous avons publié il y a tout juste un an le code de l’algorithme de notation alimenté par les données personnelles de plus de 30 millions de personnes, et que nous avons attaqué devant le Conseil d’État en octobre dernier avec 14 autres organisations en raison du ciblage des personnes en situation de précarité, de handicap ou encore les mères isolées.

Nous espérons que cet article, associé à ceux publiés sur la CNAF, finira de démontrer qu’il n’est pas nécessaire d’accéder au code de l’ensemble de ces algorithmes pour connaître leurs conséquences sociales. Car le problème n’est pas technique mais politique.

Vendus au nom de la soi-disant « lutte contre la fraude sociale », ces algorithmes sont en réalité conçus pour détecter des trop-perçus, ou indus, dont toutes les études montrent qu’ils se concentrent sur les personnes précaires en très grande difficulté. En effet, ces indus sont largement le fait d’erreurs déclaratives involontaires consécutives à deux principaux facteurs: la complexité des règles d’attribution des minima sociaux (RSA, AAH, C2SG…) et des situations personnelles de grande instabilité (personnelle, professionnelle ou administrative). Un ancien responsable de la CNAF expliquait ainsi que « Les indus s’expliquent […] par la complexité des prestations, le grand nombre d’informations mobilisées pour déterminer les droits et l’instabilité accrue de la situation professionnelle des allocataires », ce qui est avant tout le cas pour les « prestations liées à la précarité […] très tributaires de la situation familiale, financière et professionnelle des bénéficiaires »¹⁹Voir les articles d’un directeur du service « contrôle et lutte contre la fraude ». Le premier « Du contrôle des pauvres à la maîtrise des risques » a été publié en 2006 et est disponible ici. Le second est intitulé « Le paiement à bon droit des prestations sociales des CAF » publié en 2013 et disponible ici..

Autrement dit, ces algorithmes ne peuvent pas être améliorés car ils ne sont que la traduction technique d’une politique visant à harceler et réprimer les plus précaires d’entre nous.

Lutter

L’hypocrisie et la violence de ces pratiques et des politiques qui les sous-tendent doivent être dénoncées et ces algorithmes abandonnés. Quant aux responsables qui les appellent de leurs vœux, les valident et les promeuvent, ils et elles doivent répondre de leur responsabilité.

Pour nous aider à continuer à documenter ces abus, vous pouvez nous faire un don. Nous appelons également celles et ceux qui, bénéficiaires de la C2SG ou non, souhaitent agir contre cet algorithme et plus largement les politiques de contrôles de la CNAM. Assuré·es, collectifs, syndicats, employé·es de la CNAM, vous pouvez nous contacter sur algos@laquadrature.net pour réfléchir collectivement aux suites à donner à cette publication.

Après la loi sur les Jeux Olympiques de 2023 qui légitimait la vidéosurveillance algorithmique (VSA) en temps réel, la VSA dite « a posteriori » s’est récemment retrouvée à l’agenda législatif. Nous vous en avons déjà parlé : ce type de logiciel permet de faire des analyses et recherches dans les enregistrements vidéo après la survenue d’un événement (et non en direct comme la VSA en temps réel ) sur la base d’attributs physiques et biométriques. Un texte déposé par la droite sénatoriale proposait ainsi une nouvelle expérimentation de ce type de VSA dans les transports, jusqu’en 2027, sur les vidéos réquisitionnées par la police lors de ses enquêtes auprès de la SNCF et la RATP. Passée à la trappe suite à la dissolution de l’Assemblée, cette proposition de loi revenait mercredi dernier en commission des lois.

Explication de texte

Concrètement, sans même recourir aux empreintes faciales des individus (reconnaissance faciale), ces méthodes de VSA permettent de suivre une personne précise à mesure qu’elle évolue dans l’espace urbain et passe dans le champ de vision de différentes caméras – grâce à la combinaison d’informations sur son apparence, par exemple, la couleur de ses vêtements ou des signes distinctifs comme la taille, la couleur et la coupe de cheveux, ou d’autres caractéristiques déduites à partir de l’identité de genre. En nous appuyant sur l’état du droit, il est très clair pour nous que, dès lors que les algorithmes de VSA permettent de retrouver une personne parmi d’autres, à partir des données physiques ou comportementales qui lui sont propres, il s’agit d’une identification biométrique. Or, en droit des données personnelles, les traitements biométriques sont strictement encadrés et en conséquence, l’utilisation de ces logiciels en l’absence de tout cadre juridique spécifique doit être considérée comme illégale.

Pourtant, la proposition de loi relative à la sécurité dans les transports prétendait échapper à cette catégorie, évoquant des « logiciels de traitement de données non biométriques pour extraire et exporter les images […] réquisitionnées » par la police. Si les logiciels visés sont bien ceux de Briefcam et consorts, une telle affirmation est donc incohérente, voire mensongère. Elle a uniquement pour but de minimiser l’impact de ces logiciels, tant d’un point vue technique que juridique. Nous avons donc envoyé une note détaillée (disponible ici) aux membres de la commission des lois afin de leur expliquer le fonctionnement de cette technologie ainsi que les conséquences juridiques qu’ils et elles devaient en tirer.

Puis, coup de théâtre lors de l’examen du texte : l’article est retiré. Mais si le rapporteur du texte, Guillaume Gouffier Valente, a voulu supprimer cet article, ce n’est non pas au motif que la VSA serait effectivement trop dangereuse pour les droits et libertés, mais parce que la CNIL, lors de son audition sur cette proposition de loi, aurait expressément affirmé qu’une telle loi n’était pas nécessaire et que ces logiciels étaient de toute façon d’ores et déjà utilisés. ll s’agirait donc de la part de la CNIL d’un renoncement à faire appliquer le droit qu’elle est pourtant censée connaître. Nous avons envoyé aux services de la CNIL une demande de rendez-vous pour en savoir plus et comprendre précisément la position de l’autorité dans ce dossier. Mais celle-ci est restée à ce jour sans réponse.

Protéger les pratiques policières

La position de la CNIL s’explique sans doute par sa volonté de justifier sa propre défaillance dans le dossier de la VSA. En effet, la solution d’analyse vidéo de Briefcam est déjà utilisée dans plus de 200 villes en France d’après un article du Monde Diplomatique et a été acquise par la police nationale en 2015 puis par la gendarmerie nationale en 2017. Autant d’usages illégaux qui auraient dû faire l’objet de sanctions fermes de sa part. Il n’en a rien été.

Après la révélation du média Disclose concernant le recours au logiciel Briefcam par la police et la gendarmerie nationale, le ministre de l’Intérieur avait commandé à l’Inspection générale de l’administration, l’Inspection générale de la gendarmerie nationale et l’Inspection générale de la police nationale un rapport d’évaluation, récemment publié, faisant état de l’utilisation de ce logiciel. Si on lit dans ce document différentes justifications et contorsions hasardeuses pour expliquer l’usage la fonction de reconnaissance faciale, ces institutions assument par contre totalement l’utilisation de Briefcam pour les autres fonctionnalités de reconnaissance biométrique.

Un exemple est même donné page 35, expliquant qu’un homme a pu être identifié grâce à la fonction de « similitude d’apparence » du logiciel, notamment parce qu’il portait un T-shirt très reconnaissable. Juridiquement, il s’agit donc d’un traitement de données biométriques. On apprend dans ce même rapport d’inspection que, désormais, pour sauver les meubles, la police et la gendarmerie qualifieraient cette solution de « logiciel de rapprochement judiciaire », une catégorie juridique spécifique qui n’est pas du tout adaptée à ces logiciels, comme nous l’expliquions ici.

À quoi bon la CNIL ?

À l’occasion de ce débat sur la proposition de loi sur les transports, la CNIL aurait donc pu se positionner fermement sur ce sujet, taper du poing sur la table et enfin mettre un coup d’arrêt à toutes ces justifications juridiques farfelues. Elle aurait pu poser une doctrine sur le sujet qui, aujourd’hui, manque cruellement, et ce, malgré nos appels du pied et les interprétations claires du monde universitaire sur la nature biométrique de ce type de technologies¹ Voir par exemple le livre blanc « Surveiller les foules » de Caroline Lequesne, maîtresse de conférences en droit public à l’Université Côte d’Azur, ou encore les articles sur la « technopolice administrative » publiés dans la Revue des Droits de l’Homme par Robin Médard Inghilterra, maître de conférence à l’Université Paris I, accessibles en ligne ici et ici.. À l’inverse, elle a préféré acter sa démission totale devant les député⋅es.

Le laisser-faire coupable de la CNIL s’inscrit dans la continuité de ses prises de positions antérieures sur le sujet. En 2022 déjà, lorsque la CNIL avait adopté pour la première fois une position sur la VSA, elle avait fini par expressément exclure de son analyse – et sans explication – les usages « a posteriori » de la technologie, pourtant tout aussi dangereux que les usages en temps réel. Faute de « lignes directrices » sur le sujet, ces usages « a posteriori » ne sont donc couverts par aucune position de l’autorité administrative. Cela n’a pas empêché la CNIL d’intervenir lors d’actions en justice pour dédouaner la communauté de communes de Coeur Cote Fleurie de son utilisation de Briefcam.

Nous continuons donc d’assister au lent déclin de la CNIL en tant que contre-pouvoir étatique. Préférant se consacrer à l’accompagnement des entreprises (même techno-sécuritaires) et à la régulation du secteur économique, elle semble manquer de courage pour tenir tête aux ardeurs sécuritaires des pouvoirs publics, ce qui a logiquement et inexorablement mené à une inflation de textes autorisant les administrations à utiliser tout un tas de techniques de surveillance. Ce positionnement sur la VSA ressemble aujourd’hui à une capitulation complète. En refusant de rappeler le droit et en validant des interprétations hasardeuses et favorables aux intérêts policiers et industriels, elle semble aujourd’hui se satisfaire d’être une simple caution visant à valider des formes de surveillance illégales, reléguant les libertés publiques derrière les demandes du « terrain ».

Un réveil nécessaire

Quel est alors censé être le rôle de cette institution dans un supposé État de droit, si elle ne rappelle pas les exigences de proportionnalité à des agents demandant toujours plus de pouvoirs de contrôle sur la population ? À quoi sert l’expertise accumulée depuis plus de 45 ans si elle n’est pas mise au service des libertés des habitant·es, à l’heure où la France s’enfonce dans une course à la surveillance avec des pays comme les États-Unis, Israël ou la Chine ? Que faire lorsqu’on réalise que la CNIL est désormais davantage à l’écoute des administrations policières que des expert⋅es universitaires ou de la société civile ?

Face à ces dérives qui participent de la dérive autoritaire de l’État, nous appelons les commissaires et agent·es de la CNIL au sursaut. Si rien n’est fait pour contrecarrer ces tendances, le laisser-faire qui tient lieu de politique de la CNIL dans la plupart des dossiers technopoliciers de ces dernières années conduira à la disqualification définitive de l’autorité de protection des droits, ne lui laissant pour seule fonction que la régulation d’un marché de la surveillance désormais dopée par la prolifération des systèmes d’intelligence artificielle.

Du côté de La Quadrature du Net, nous ne nous résignons pas. En lien avec la mobilisation populaire, nous souhaitons tenter d’activer les contre-pouvoirs institutionnels qui peuvent encore l’être pour barrer la route à la légalisation programmée de la VSA et à la banalisation de ses usages policiers. Pour nous aider, rendez-vous sur notre page de campagne, et si vous le pouvez sur notre page de dons pour nous soutenir dans nos prochaines actions sur ce dossier.

Depuis plusieurs années, en lien avec d’autres collectifs en France et en Europe, nous documentons les conséquences sectorielles très concrètes de l’adoption croissante de l’intelligence artificielle : à travers les campagnes Technopolice et France Contrôle, ou encore plus récemment avec des enquêtes pour documenter l’impact environnemental des data centers qui accompagnent la croissance exponentielle des capacités de stockage et de calcul.

Une triple accumulation capitaliste

Ces derniers mois, suite à la hype soudaine de l’intelligence artificielle générative et des produits comme ChatGPT, nous assistons à une nouvelle accélération du processus d’informatisation, sous l’égide des grandes entreprises et des États complices. Or, cette accélération est la conséquence directe de tout ce qui pose déjà problème dans la trajectoire numérique dominante. D’abord, une formidable accumulation de données depuis de nombreuses années par les grandes multinationales de la tech comme Google, Microsoft, Meta ou Amazon, qui nous surveillent pour mieux prédire nos comportements, et qui sont désormais capables d’indexer de gigantesques corpus de textes, de sons et d’images en s’appropriant le bien commun qu’est le Web.

Pour collecter, stocker et traiter toutes ces données, il faut une prodigieuse accumulation de ressources. Celle-ci transparaît via les capitaux, d’abord : l’essor de la tech, dopée au capitalisme de surveillance, a su s’attirer les faveurs des marchés financiers et profiter de politiques publiques accommodantes. Grâce à ces capitaux, ces entreprises peuvent financer une croissance quasi-exponentielle de la capacité de stockage et de calcul de données nécessaire pour entraîner et faire tourner leurs modèles d’IA, en investissant dans des puces graphiques (GPU), des câbles sous-marins et des data centers. Ces composants et infrastructures nécessitant à leur tour des quantités immenses de terres et métaux rares, d’eau et d’électricité.

Lorsqu’on a en tête cette triple accumulation — de données, de capitaux, de ressources —, on comprend pourquoi l’IA est le produit de tout ce qui pose déjà problème dans l’économie du numérique, et en quoi elle aggrave la facture. Or, le mythe marketing (et médiatique) de l’intelligence artificielle occulte délibérément les enjeux et les limites intrinsèques à ces systèmes, y compris pour les plus performants d’entre eux (biais, hallucinations, gabegie des moyens nécessaires à leur fonctionnement).

L’exploitation au carré

L’emballement politico-médiatique autour de l’IA fait l’impasse sur les effets concrets de ces systèmes. Car bien loin de résoudre les problèmes actuels de l’humanité grâce à une prétendue rationalité supérieure qui émergerait de ses calculs, « l’IA » dans ses usages concrets amplifie toutes les injustices existantes. Dans le champ économique, elle se traduit par l’exploitation massive et brutale des centaines de milliers de « travailleur·euses de la donnée » chargées d’affiner les modèles et de valider leurs résultats. En aval, dans les organisations au sein desquelles ces systèmes sont déployés, elle induit une nouvelle prise de pouvoir des managers sur les travailleur·euses afin d’augmenter la rentabilité des entreprises.

Certes, il existe des travailleur·euses relativement privilégié·es du secteur tertiaire ou encore des « classes créatives » qui y voient aujourd’hui une opportunité inespérée de « gagner du temps », dans une société malade de la course à la productivité. C’est une nouvelle « dictature de la commodité » : à l’échelle individuelle, tout nous incite à être les complices de ces logiques de dépossession collective. Plutôt que de libérer les salarié⋅es, il y a fort à parier que l’automatisation du travail induite par le recours croissant à l’IA contribuera, en réalité, à accélérer davantage les cadences de travail. Comme ce fut le cas lors des précédentes vagues d’informatisation, il est probable que l’IA s’accompagne également d’une dépossession des savoirs et d’une déqualification des métiers qu’elle touche, tout en contribuant à la réduction des salaires, à la dégradation des conditions de travail et à des destructions massives d’emploi qualifiés — aggravant du même coup la précarité de pans entiers de la population.

Dans le secteur public aussi, l’IA accentue l’automatisation et l’austérité qui frappent déjà les services publics, avec des conséquences délétères sur le lien social et les inégalités. L’éducation nationale, où sont testées depuis septembre 2024 et sans aucune évaluation préalable, les IA « pédagogiques » d’une startup fondée par un ancien de Microsoft, apparaît comme un terrain particulièrement sensible où ces évolutions sont d’ores et déjà à l’œuvre.

Défaire le mythe

Pour soutenir le mythe de l’« intelligence artificielle » et minimiser ses dangers, un exemple emblématique est systématiquement mis en exergue : elle serait capable d’interpréter les images médicales mieux qu’un œil humain, et de détecter les cancers plus vite et plus tôt qu’un médecin. Elle pourrait même lire des résultats d’analyses pour préconiser le meilleur traitement, grâce à une mémoire encyclopédique des cas existants et de leurs spécificités. Pour l’heure, ces outils sont en développement et ne viennent qu’en appoint du savoir des médecins, que ce soit dans la lecture des images ou l’aide au traitement.

Quelle que soit leur efficacité réelle, les cas d’usage « médicaux » agissent dans la mythologie de l’IA comme un moment héroïque et isolé qui cache en réalité un tout autre programme de société. Une stratégie de la mystification que l’on retrouve aussi dans d’autres domaines. Ainsi, pour justifier la surveillance des communications, les gouvernements brandissent depuis plus de vingt ans la nécessité de lutter contre la pédocriminalité, ou celle de lutter contre le terrorisme. Dans la mythologie de la vidéosurveillance algorithmique policière (VSA), c’est l’exemple de la petite fille perdue dans la ville, et retrouvée en quelques minutes grâce au caméras et à la reconnaissance faciale, qui est systématiquement utilisé pour convaincre du bien fondé d’une vidéosurveillance totale de nos rues.

Il faut écarter le paravent de l’exemple vertueux pour montrer les usages inavouables qu’on a préféré cacher derrière, au prix de la réduction pernicieuse des libertés et des droits. Il faut se rendre compte qu’en tant que paradigme industriel, l’IA décuple les méfaits et la violence du capitalisme contemporain et aggrave les exploitations qui nous asservissent. Qu’elle démultiplie la violence d’État, ainsi que l’illustre la place croissante accordée à ces dispositifs au sein des appareils militaires, comme à Gaza où l’armée israélienne l’utilise pour accélérer la désignation des cibles de ses bombardements.

Tracer des alternatives

Au lieu de lutter contre l’IA et ses méfaits, les politiques publiques menées aujourd’hui en France et en Europe semblent essentiellement conçues pour conforter l’hégémonie de la tech. C’est notamment le cas du AI Act ou « règlement IA », pourtant présenté à l’envi comme un rempart face aux dangers de « dérives » alors qu’il cherche à déréguler un marché en plein essor. C’est qu’à l’ère de la Startup Nation et des louanges absurdes à l’innovation, l’IA apparaît aux yeux de la plupart des dirigeants comme une planche de salut, un Graal qui serait seul capable de sauver l’Europe d’un naufrage économique.

Encore et toujours, c’est l’argument de la compétition géopolitique qui est mobilisé pour faire taire les critiques : que ce soit dans le rapport du Comité gouvernemental dédié à l’IA générative ou dans celui de Mario Draghi, il s’agit d’inonder les multinationales et les start-ups de capitaux, pour permettre à l’Europe de rester dans la course face aux États-Unis et à la Chine. Ou comment soigner le mal par le mal, en reproduisant les erreurs déjà commises depuis plus de quinze ans : toujours plus d’« argent magique » pour la tech, tandis que les services publics et autres communs sont astreints à l’austérité. C’est le choix d’un recul des protections apportées aux droits et libertés pour mieux faire proliférer l’IA partout dans la société.

Ces politiques sont absurdes, puisque tout laisse à penser que le retard industriel de l’Europe en matière d’IA ne pourra pas être rattrapé, et que cette course est donc perdue d’avance. Surtout, ces politiques sont dangereuses dans la mesure où, loin de la technologie salvatrice souvent mise en exergue, l’IA accélère au contraire le désastre écologique, amplifie les discriminations et accroît de nombreuses formes de dominations. Le paradigme actuel nous enferme non seulement dans une fuite en avant insoutenable, mais il nous empêche aussi d’inventer une trajectoire politique émancipatrice en phase avec les limites planétaires.

L’IA a beau être présentée comme inéluctable, nous ne voulons pas nous résigner. Face au consensus mou qui conforte un système capitaliste dévastateur, nous voulons contribuer à organiser la résistance et à esquisser des alternatives. Mais pour continuer notre action en 2025, nous avons besoin de votre soutien. Alors si vous le pouvez, rendez-vous sur www.laquadrature.net/donner !

Pour faire vivre notre combat contre le numérique autoritaire, capitaliste et écocide, et poursuivre notre travail de proposition positive pour un numérique libre, émancipateur et fédérateur, nous avons besoin de votre soutien !

C’est pas de l’IA, c’est de l’exploitation dernier cri

L’IA est le prolongement direct des logiques d’exploitation capitalistes. Si cette technologie a pu émerger, c’est du fait de l’accaparement de nombreuses ressources par le secteur de la tech : d’abord nos données personnelles, puis d’immenses capitaux financiers et enfin les ressources naturelles, extraites en reposant sur le colonialisme ainsi que sur le travail humain nécessaires à l’entraînement des modèles d’IA. Une fois déployée dans le monde professionnel et le secteur public, l’IA aggrave la précarisation et la déqualification des personnes au nom d’une course effrénée à la productivité.

Faire un don

C’est pas de l’IA, c’est une immense infrastructure écocide

L’essor de l’IA repose sur l’extraction de minerais rares afin de fabriquer les puces électroniques indispensables à ses calculs. Elle conduit aussi à la multiplication des data centers par les multinationales de la tech, des équipements gigantesques et coûteux en énergie qu’il faut en permanence refroidir. Partout sur la planète, des communautés humaines se voient ainsi spoliées de leur eau, tandis qu’on rallume des centrales à charbons pour produire l’électricité nécessaire à leur fonctionnement. Derrière les discours de greenwashing des entreprises, les infrastructures matérielles de l’IA génèrent une augmentation effrayante de leurs émissions de gaz à effet de serre.

C’est pas de l’IA, c’est l’automatisation de l’État policier

Que ce soit au travers de la police prédictive ou de la vidéosurveillance algorithmique, l’IA amplifie la brutalité policière et renforce les discriminations structurelles. Derrière un vernis prétendument scientifique, ces technologies arment la répression des classes populaires et des militant·es politiques. Elles rendent possible une surveillance systématique de l’espace public urbain et, ce faisant, participent à l’avènement d’un monde où le moindre écart à la norme peut être détecté puis puni par l’État.

C’est pas de l’IA, c’est la chasse aux pauvres informatisée

Sous couvert de « rationalisation », l’IA envahit les administrations sociales à travers le développement d’algorithmes auto-apprenants visant à détecter de potentiels fraudeurs. Allocations Familiales, Assurance Maladie, Assurance Vieillesse, Mutualité Sociale Agricole : ces systèmes sont aujourd’hui déployés dans les principales administrations de l’« État providence ». Associant un « score de suspicion » à chacune d’entre nous pour sélectionner les personnes à contrôler, nos recherches montrent qu’ils ciblent délibérément les personnes les plus précaires .

C’est pas de l’IA, c’est la mise aux enchères de notre temps de cerveau disponible

L’accaparement de nos données personnelles permet de nourrir les IA de profilage publicitaire, qui associent en temps réel des publicités à nos « profils » vendus aux plus offrants. Cette marchandisation de notre attention a aussi pour effet de façonner les réseaux sociaux centralisés, régulés par des IA de recommandation de contenus qui les transforment en lieux de radicalisation binaire des camps politiques. Enfin, pour développer des produits comme ChatGPT, les entreprises du secteur doivent amasser d’immenses corpus de textes, de sons et d’images, s’appropriant pour ce faire le bien commun qu’est le Web.

Faire un don

Pourquoi nous faire un don cette année ?

Pour boucler le budget de l’année qui vient, nous souhaitons récolter 260 000 € de dons, en comptant les dons mensuels déjà existants, et tous les nouveaux dons mensuels ou ponctuels.

À quoi servent concrètement vos dons ?

L’association a une fantastique équipe de membres bénévoles, mais elle a aussi besoin d’une équipe salariée.
Les dons recueillis servent principalement à payer les salaires des permanentes de l’association (75 % des dépenses). Les autres frais à couvrir sont le loyer et l’entretien du local, les déplacements en France et à l’étranger (en train uniquement), les frais liés aux campagnes et aux évènements ainsi que les divers frais matériels propres à toute activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).

Pour vous donner une idée, quand on ventile nos dépenses de 2024 (salaires inclus) sur nos campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :

Quelles sont nos sources de financement ?

L’association ne touche aucun argent public, mais reçoit des soutiens, à hauteur de 40 % de son budget, de la part de diverses fondations philanthropiques : la Fondation pour le progrès de l’Homme, la fondation Un monde par tous, Open Society Foundations, la Limelight Foundation et le Digital Freedom Fund.
Le reste de notre budget provient de vos dons. Alors si vous le pouvez, aidez-nous !
Attention, comme nous l’expliquons dans la FAQ de notre site, les dons qui sont faits à La Quadrature ne sont pas déductibles des impôts, les services fiscaux nous ayant refusé cette possibilité à deux reprises.

Comment donner ?

Vous pouvez faire un don par CB, par chèque, ou par virement bancaire.
Et si vous pouvez faire un don mensuel — même un tout petit ! — n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, ils nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
En plus, le cumul de vos dons vous donne droit à des contreparties (sac, t-shirt, sweat). Attention, l’envoi n’est pas automatique, il faut vous connecter et faire la demande sur votre page personnelle de donateur/donatrice. Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et aussi parce qu’on fait tout ça nous-mêmes avec nos petites mains. Mais elles finissent toujours par arriver !

Merci encore pour votre générosité, et merci beaucoup pour votre patience <3 Faire un don

Arrivent à Marseille aujourd’hui environ seize câbles sous-marins intercontinentaux qui atterrissent, transitent et relient l’Europe et la Méditerranée à l’Asie, au Moyen Orient, à l’Afrique, aux États-Unis. Ce sont ces câbles intercontinentaux qui permettent à l’information numérique de circuler, en particulier sur le réseau Internet, et aux services numériques déployés dans ce qu’on appelle « le cloud », d’apparaître sur nos écrans : mails, réseaux sociaux, vidéos et films en streaming. Au point de croisement de ces « autoroutes de l’information » : les data centers. Ces méga-ordinateurs bétonnés en surchauffe renferment des milliers de serveurs qui rendent possible le technocapitalisme et ses données numériques invisibles : la collecte massive de données personnelles, servant à l’analyse de nos comportements constamment traqués et traités à des fins marketing, la publicité numérique qui pollue nos cerveaux, la vidéo-surveillance policière et plus largement la gouvernance et la surveillance algorithmiques dopées à l’intelligence artificielle qui discriminent et sapent nos libertés fondamentales. Derrière ces infrastructures, ce sont également l’accaparement des terres et des ressources en eau, mais aussi la pollution de l’air, la bétonisation de nos villes réchauffées, et les réalités tachées du sang de l’extractivisme numérique colonial que les puces des serveurs qui peuplent ces data centers renferment. Et ce sont encore une fois des industries peu scrupuleuses qui, aidées par des politiques honteuses, s’accaparent nos territoires et nos vies.

Data centers et câbles sous-marins transcontinentaux

Carte des câbles sous-marins transcontinentaux arrivant aujourd’hui à Marseille. Source : Telegeography, Submarine Cable Map.

La présence de ces 16 câbles sous-marins intercontinentaux attire à Marseille les gestionnaires de data centers, ces entrepôts géants où s’empilent des serveurs par milliers, appartenant en grande majorité à Google, Amazon, Microsoft, Meta, Netflix, Disney+, Capgemini, Thalès, etc. Des serveurs qui stockent et font transiter des données, des serveurs qui rendent possibles les services numériques et les échanges de données décrits plus haut. Depuis une dizaine d’années, et de façon accélérée depuis 2020, une douzaine de data centers ont été construits un peu partout dans Marseille intra muros, et plusieurs nouveaux sont en chantier ou annoncés dans la ville et aux alentours. On y trouve ainsi cinq data centers de Digital Realty, un géant américain d’investissement immobilier coté en bourse, spécialisé en gestion de data centers dits neutres ou de colocation. Cette entreprise construit, aménage et gère le fonctionnement du bâtiment, et loue ensuite les emplacements de serveurs à d’autres sociétés, telles Microsoft, Amazon, Google, Netflix ou d’autres. Ces data centers de colocation sont bien implantés en France, mais dans d’autres pays et territoires, Amazon, Microsoft, Google et autres géants du numérique construisent leurs propres bâtiments de data centers et toute l’infrastructure nécessaire à leur fonctionnement : postes électriques de transformation du courant, réseaux fibrés terrestres, câbles sous-marins transcontinentaux, etc.

À Marseille, le géant Digital Realty, un des trois leaders mondiaux de data centers de colocation, possède quatre data centers MRS1, MRS2, MRS3, MRS4 et est en train d’en construire un cinquième, MRS5, tous sauf MRS1 situés dans l’enceinte du Grand Port Maritime de Marseille (GPMM). Les autres data centers marseillais sont souvent situés dans le nord de la ville. Dans le quartier de Saint-Henri notamment, où un data center de colocation de Free Pro est actuellement en cours d’agrandissement pour doubler de taille, se partageant l’espace avec un data center de Telehouse. Dans le quartier de Saint-André, un projet de data center surdimensionné de Segro viens d’être annoncé. Tandis qu’à la Belle-de-Mai un data center de Phocea DC est en construction. Il y a même un projet de data center flottant dans le Grand Port, par l’entreprise Nautilus ! Hors des limites municipales, à Bouc-Bel-Air, Digital Realty a également un projet de construction d’un sixième data center, bien plus grand que les précédents, baptisé MRS6.

Vue sur les data centers MRS2, MRS3 et MRS4 de Digital Realty dans le Grand Port Maritime de Marseille, depuis le cap Janet, quartier de la Calade. Photo prise pendant la balade du festival Le nuage était sous nos pieds, 9 novembre 2024.

Marseille n’est pas la seule ville concernée. La France, avec ses plus de 300 data centers, se situe aujourd’hui au 6ème rang mondial des pays en accueillant le plus, après les États-Unis, l’Allemagne, le Royaume-Uni, la Chine et le Canada. En Île-de-France, premier territoire d’implantation française avec 95 data centers, juste devant Lyon (18), puis Marseille (12), Digital Realty y possède 2 hubs d’un total de 17 data centers (et plusieurs autres en construction), concentrés pour la plupart en Seine-Saint-Denis. Equinix, autre géant du top 3 mondial des data centers de colocation en possède 10, tandis que Data4, Scaleway ou Free Pro, OVH, Telehouse, Verizon, Zayo et autres acteurs se partagent les 72 restants.

Carte des data centers en Île-de-France répertoriés sur OpenStreetMap, utilisant la requête Overpass https://overpass-turbo.eu/s/1Ulj.

Les seize câbles sous-marins intercontinentaux qui arrivent aujourd’hui à Marseille sont répertoriés par Telegeography, une entité qui maintient Submarine Cable Map, une des cartes mondiales de référence de ce type de câbles. Ils sont construits et déployés au sein de consortiums internationaux regroupant plusieurs entreprises et multinationales du numérique. On y retrouve en premier lieu les géants du numérique — Google, Facebook/Meta, Microsoft et Amazon — qui sont désormais les premiers financeurs et les acteurs principaux des projets de déploiement de ces câbles sous-marins intercontinentaux. On y retrouve également des entreprises de télécommunications telle que Orange, mais aussi des opérateurs internationaux, qui seront souvent en charge de l’atterrissement des câbles sur les plages, ainsi que des stations ou centres d’atterrissement de ces câbles, permettant la transition entre les infrastructures sous-marines et le réseau câblé terrestre. On y retrouve également des entreprises qui fabriquent et déploient ces câbles en mer, comme Alcatel Submarine Networks qui vient d’être racheté par l’État français, et qui est un des trois leaders mondiaux dans ce domaine avec TE SubCom (Suisse) et NEC Corporation (Japon).

Carte des câbles sous-marins transcontinentaux depuis Marseille. Source : Telegeography Submarine Cable Map 2024.

Mainmise des géants du numérique

Ces câbles sous-marins et leurs centres d’atterrissements sont aujourd’hui des infrastructures stratégiques, avec des enjeux géopolitiques mondiaux importants, mais où la domination des géants numériques est, là aussi, en passe de devenir la norme. Ainsi à Marseille, la plupart des nouveaux câbles sous-marins construits ou en cours de construction ces dernières années ont pour principal acteur Facebook (2Africa), Google (Blue), et Microsoft (SeaMeWe-6). Parmi les opérateurs télécoms et fournisseurs d’accès à Internet du monde entier que la présence de câbles sous-marins intercontinentaux attire également à Marseille, on retrouve la multinationale française Orange, qui possède dans la ville au moins un data center pour ses propres besoins et plusieurs centres d’atterrissements de câbles sous-marins. On retrouve aussi Verizon, opérateur américain de télécommunications avec un data center couplé à un centre d’atterrissement de câbles sous-marins, Omantel, la compagnie nationale de télécommunications d’Oman qui en possède également un — pour ne citer que les opérateurs identifiés par le travail d’enquête et de cartographie des infrastructures numériques à Marseille réalisé par le collectif Le Nuage était sous nos pieds. Vous pouvez retrouver ce travail de cartographie mené sur le terrain, sur la carte libre et collaborative OpenStreetMap, et de façon condensée sur cette carte élaborée lors de cette enquête.

Carte des infrastructures numériques à Marseille. Travail de cartographie basé sur OpenStreetMap et des observations de terrain mené par le collectif Le nuage était sous nos pieds.

On retrouve également à Marseille la présence de plusieurs Internet Exchange Points (IXP), ou points d’échange d’Internet, des infrastructures physiques où opérateurs télécom, fournisseurs d’accès à internet (FAI) mais aussi entreprises offrant leurs services numériques, se branchent et s’échangent du trafic sans coûts à travers des accords mutuels. Ainsi, comme l’explique Stéphane Bortzmeyer dans L’interconnexion pour les nuls, un client de Sfr qui envoie un mail via sa connexion gérée par son opérateur, donc via des infrastructures terrestres de Sfr, peut interagir avec d’autres clients que ceux de Sfr et même accéder à tout internet. Cette interconnexion, qui se fait essentiellement au sein des IXP, s’appelle aussi le « peering », et constitue, selon l’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse en France), « une relation technico-économique au fondement de l’Internet ». L’avantage des IXP réside dans le fait que ce sont des infrastructures souvent gérées de façon non commerciale et neutre, souvent par des structures associatives (comme FranceIX en France parmi d’autres) et qui permettent ainsi l’interconnexion des réseaux sans surcoûts, en optimisant les coûts d’échange, mais aussi la latence et la bande passante. Ces IXP sont très souvent localisés physiquement dans les data centers.

Il y a au moins 6 points de présence IXP aujourd’hui à Marseille comme on peut le voir sur cette base de données européenne accessible librement. Les IXP marseillais semblent tous localisés dans les data centers de Digital Realty, et on peut voir pour chacun d’eux (onglet Points of Presence) la liste des acteurs numériques qui y sont branchés : TikTok, Google Cloud, Amazon Web Services, Disney+, Netflix, Zoom, la liste des géants habituels est longue. La proximité de ces IXP avec les câbles sous-marins transcontinentaux à Marseille permet une latence et une bande passante optimales, tandis que leur présence au sein même des data centers, au plus près des services numériques qui y exploitent l’espace, est également un argument commercial supplémentaire pour ces derniers. Au niveau national, Paris, avec sa douzaine d’IXP, est avec Marseille le territoire où se trouvent la plupart des IXP, devant Lyon et d’autres grandes métropoles. On trouve les emplacements et les spécificités des IXP dans le monde sur une carte maintenue par Telegeography.

Photo d’une chambre d’atterrissement du câble sous-marin intercontinental AAE-1 à la plage de la Vieille Chapelle à Marseille, gérée par Omantel et Sipartech.

L’ensemble des câbles sous-marins intercontinentaux, les points d’échanges Internet et les data centers hébergeant les nombreux services numériques des entreprises dominantes mondiales du secteur font de Marseille le deuxième hub numérique français après Paris, et le 7ème au rang mondial, en passe dit-on de devenir le 5ème.

Data centers : une implantation territoriale opportuniste et des politiques d’État accueillantes

Vue sur le Grand Port Maritime de Marseille, avec le toit du data center MRS3 au fond. Source : photo prise pendant la balade du festival Le Nuage était sous nos pied, le 9 novembre 2024.

Partout dans le monde, l’implantation des data centers se fait de façon opportuniste, tirant avantage des spécificités de chaque territoire. Ainsi, à Marseille c’est la présence des câbles sous-marins de liaison Internet transcontinentales, ainsi que celle des grands acteurs des télécoms et des points d’échange Internet. Mais c’est également une opportunité foncière peu chère au sein du territoire du Grand Port Maritime de Marseille (GPMM), cet établissement public placé directement sous la tutelle de l’État, ayant des missions de service public administratif et de service public à caractère industriel et commercial. En réalité le GPMM est géré comme une entreprise, et ses dirigeants nommés directement par l’État, trouvent dans ces projets d’entrepôts de données numériques une opportunité de mutation lucrative pour son patrimoine immobilier, autrefois occupé par des activités portuaires en déclin. Comme aime à le souligner Christophe Castaner, président du conseil de surveillance du GPMM, le « French smartport de Marseille-Fos […] ouvre la voie au concept de hub maritime des données », et est un port entrepreneur qui « craint avant tout sa désindustrialisation ».

En Île-de-France, l’implantation des data center se fait essentiellement dans le département de Seine-Saint Denis, en particulier à La Courneuve, Aubervilliers et Saint-Denis, membres de l’établissement public territorial de Plaine Commune, en charge de leur aménagement et développement économique, social et culturel. Autrefois territoire agricole alimentant les Halles de Paris, ces zones sont devenues progressivement industrielles dans les années 60 – 70, se désindustrialisant brutalement à partir des années 90. Les anciennes friches industrielles, à bas prix malgré leur proximité immédiate avec Paris, deviennent alors une opportunité foncière peu chère pour de nouvelles industries telle les data centers et les opérateurs télécoms qui s’y installent en masse depuis les années 2010. On retrouve donc là encore des dynamiques foncières et économiques, poussées par des politiques d’État, similaires à celles de Marseille.

Mais de façon générale, comme aime le dire l’association France Datacenters, la plus grande association de lobbying en la matière, la France est « la destination idéale », une véritable « data centers nation ». En effet, détaille l’association dans cette vidéo promotionnelle, la France possède des secteurs économiques solides et diversifiés, tels ceux du numérique et des télécommunications, de la finance, de l’automobile ou de l’aéronautique, secteurs moteurs des data centers. Le gouvernement français a, poursuit-elle, lancé de nombreuses initiatives et des financements dédiés à la numérisation des industries (10 milliards dédiés au secteur numérique au cours des dernières années), permettant au secteur des data centers une croissance multipliée par deux entre 2016 et 2021, avec un milliard d’euros d’investissement annuel. Mais aussi et surtout, un foncier peu cher et facilement accessible, une énergie électrique à bas coût (la deuxième la moins chère en Europe, avec une moyenne de 84 euros le mégawattheure en 2020) et à faibles émissions carbone (car majoritairement nucléaire). L’infrastructure réseau de la France, avec son réseau fibré, sa 5G et ses câbles intercontinentaux, est également présentée comme un atout majeur à bas coût d’accès. L’infrastructure électrique française est présentée comme très développée et solide, ayant un coût de maintenance infrastructurelle gratuit pour les data centers, car maintenue par les entreprises publiques RTE et Enedis, qui ont promis un investissement de plus de 100 milliards d’euros d’ici 2035 sur cette infrastructure. Cette vidéo souligne de plus que les industries disposent en France de nombreux avantages fiscaux, et même de financements régionaux pour leur implantation.

Photo du bâtiment du siège social de Free Pro à Marseille dans le quartier nouvellement construit, dit de Smartseille. Photo prise pendant la balade du festival Le nuage était sous nos pieds le 9 novembre 2024.

Le lobby des data centers de France peut en effet compter sur des politiques favorables. En 2018, l’Assemblée nationale a voté, sur proposition du député Bothorel, une aide fiscale pour les data centers, consistant à appliquer un tarif réduit à la taxe intérieure de consommation finale d’électricité (TICFE), d’ordinaire de 22,5 euros par mégawattheure (MWh), qui sera alors divisée par 2 pour les data centers, soit 12 euros par mégawattheure, au-delà du premier GWh consommé. En 2019, l’ancien ministre de l’économie Bruno Le Maire, lors de l’inauguration à Pantin d’un data center d’Equinix hébergeant, parmi des géants américains, Docaposte (groupe La Poste) et les serveurs de la SNCF, déclarait :

Notre ambition c’est que la France soit la première terre d’accueil de data centers en Europe. […] L’installation sur le territoire national de data centers est une nécessité pour accélérer l’accès des entreprises aux outils de la transformation numérique et un enjeu de souveraineté pour maintenir sur le territoire national les données sensibles des entreprises.

Deux ans plus tard, en 2021, le ministre, accompagné de Cédric O, alors secrétaire d’État chargé du numérique, lançait, dans le cadre du Plan « France Relance », la stratégie nationale d’accélération pour le Cloud :

Doté de 1,8 milliard d’euros, dont 667 millions d’euros de financement public, 680 millions d’euros de cofinancements privés et 444 millions d’euros de financements européens, […] vise à renforcer le soutien à l’offre de la filière industrielle de cloud française et mise sur l’innovation et les atouts de l’écosystème français du Cloud, […] accélérant le [en gras dans le texte] passage à l’échelle des acteurs français sur les technologies critiques très demandées, telles le big data ou le travail collaboratif […]

Ce plan a surtout servi les GAFAM et leur implantation plus profonde dans nos territoires. Ainsi, peu après, les français OVH et Dassault Systems concluent un partenariat avec les clouds de Google et Microsoft, que le gouvernement approuve sous couvert de leur localisation dans des data centers en France, pour accueillir des données sensibles. C’est ce qui permettra au Health Data Hub, ce projet de privatisation des données de santé des français, que nous dénoncions en 2021, de continuer à être hébergé par Microsoft en France jusqu’au moins en 2025, malgré de nombreuses contestations de la société civile et d’associations. Orange, quant à lui, a conclu dès 2020 un accord avec le cloud AWS d’Amazon pour « accélérer la transformation numérique des entreprises vers le cloud AWS ». Google, suite à l’annonce du plan stratégique cloud en 2021, déclare alors commencer son plan d’implantation en France, qui est désormais terminé avec succès. Plus récemment, sur le site de l’Élysée, on peut lire l’annonce du dernier plan d’investissement de Microsoft (4 milliards d’euros en France) pour étendre son infrastructure cloud dédiée à l’IA, « le plus important à ce jour dans le pays, pour soutenir la croissance française dans la nouvelle économie de l’intelligence artificielle » salué par Emmanuel Macron qui s’est déplacé pour l’occasion jusqu’au siège français de l’entreprise. On peut y lire :

Microsoft a ainsi dévoilé l’extension de son infrastructure cloud et IA en France avec l’expansion de ses sites à Paris et Marseille qui doteront le pays d’une capacité allant jusqu’à 25 000 GPU de dernière génération d’ici fin 2025, et l’ouverture de nouveaux sites pour héberger des centres de données de nouvelle génération dans les agglomérations de Mulhouse et de Dunkerque.

À Mulhouse, le data center dédié IA de Microsoft a déjà commencé à être construit à Petit-Landau, village de 800 habitants, qui possède ironiquement, la distinction de Commune Nature, pour ses « actions orientées vers la préservation de la biodiversité et l’amélioration de la qualité des eaux du bassin Rhin-Meuse ».

Les data centers : ces mega-ordinateurs bétonnés en surchauffe aux multiples dangers environnementaux

Vue sur le data center MRS4 de Digital Realty dans le Grand Port Maritime de Marseille. Photo prise pendant la balade lors du festival Le Nuage était sous nos pieds, le 9 novembre 2024.

Un data center, infrastructure pilier de ce qu’on a appelé le « cloud », n’a rien de nuageux, de léger ou de vaporeux. Au contraire, ces grands entrepôts sont des bâtiments bétonnés de plusieurs étages, aux planchers et parois fortifiés, lourds et massifs, pour pouvoir supporter sans risques d’effondrement le poids conséquent des milliers de serveurs qu’ils abritent. Ces serveurs, qui tournent en permanence, utilisent de grandes quantités d’électricité. Ils sont dotés chacun de nombreuses puces et composants électroniques tels des processeurs et cartes graphiques, qui génèrent de la chaleur en quantité. Ces serveurs ont besoin, pour garder un fonctionnement optimal et éviter les pannes, de bénéficier d’une température d’air ambiant ne dépassant pas les 28 degrés Celsius. Bien souvent, par précaution, les data centers ne souhaitent pas dépasser les 23 – 25 degrés. C’est pourquoi ils sont toujours équipés de systèmes de climatisation et de refroidissement de la température ambiante. Il s’agit de systèmes classiques basés sur l’air climatisé par fluides frigorigènes, ou de circuits de refroidissement utilisant la fraîcheur de l’eau. Parfois les deux types de systèmes, par air conditionné et eau, cohabitent dans un data center.

Les data centers consomment de grandes quantités d’électricité et d’eau. Pour satisfaire ces besoins, ils sont raccordés en France au réseau d’électricité national, et bien souvent aux circuit d’eaux potable de la ville ou des territoires sur lesquels ils se trouvent. C’est le cas par exemple de PAR08, le data center de Digital Realty à la Courneuve, dont le directeur France Fabrice Coquio, surfant lui aussi sur la vague du marketing olympique, aime dire qu’il a été très important à l’occasion des Jeux Olympiques de Paris 2024. Construit au sein d’un complexe de quatre data centers surnommé le « vaisseau spatial », avec une surface totale de 40 000 m² de salles machines (correspondant à 7 terrains de football) et 120 Megawatt de puissance électrique, ce data center est aujourd’hui le plus grand de France. Dans ce rapport de la Direction régionale de l’environnement, de l’aménagement et du logement (DREAL) Provence-Alpes-Côte d’Azur, PAR08 est pointé du doigt pour son utilisation annuelle massive de 248 091 m3 d’eau, provenant directement du circuit d’eau potable de la ville de Saint-Denis, dans une zone sujette aux sécheresse répétées depuis 2003, comme le pointait cette étude de l’OCDE (Organisation de coopération et de développement économiques) en 2023 sur « la gestion du risque de raréfaction de la ressource en eau liée au changement climatique dans l’aire urbaine fonctionnelle de Paris ». Cette eau est utilisée par le data center pour son système de refroidissement adiabatique, mais aussi pour la vaporisation des espaces qui doivent garder une hygrométrie optimale. Outre le besoin excessif en eau, le rapport pointe le manque de plan d’aménagement de l’usage de l’eau en cas de crises de sécheresse, obligatoire dans de telles circonstances. Mais la priorité est encore une fois ici politique et économique, et non pas environnementale, ce data center ayant profité du contexte lié aux JOP 2024.

Intérieur d’un data center de Microsoft Bing. Robert Scoble, Half Moon Bay, USA, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons.

Ces systèmes de refroidissement à eau sont désormais privilégiés par les constructeurs de data centers dans le monde entier. D’abord parce que les systèmes de refroidissement purement électriques, comme ceux qui opèrent par fluides frigorigènes, sont très énergivores et ont donc un coût économique important. Ensuite, parce que l’eau n’est pas une ressource qui rentre dans le calcul des impacts usuels des data centers sur l’environnement, celui-ci étant en général basé sur la consommation d’électricité et le Power Usage Effectiveness (PUE), ou indicateur d’efficacité énergétique.

Parfois, ces systèmes de refroidissement, quand ils ne sont pas reliés au réseau d’eau potable du territoire les accueillant, captent directement l’eau potable de nappes phréatiques, de fleuves ou de lacs à proximité. C’est le cas par exemple du data center de Facebook situé sur la ville espagnole de Talaveira de la Reina, dans la région de Castilla-La Mancha en Espagne, que le collectif Tu Nube Seca Mi Rio (« Ton nuage assèche ma rivière ») dénonce, entre autre pour son utilisation de plus de 200 millions de litres d’eau par an, équivalent à la consommation de 4 181 habitant⋅es de la région. Il s’agît ici d’un data center dit « hyperscaler », aux grandes dimensions et capacités de stockage et de traitement des données, sans qu’il y ait un consensus sur la définition. D’une puissance de 248 Megawatt, étendu sur plus de 300 000 m2 de terrain, ce data center géant bénéficie d’un soutien politique national et local. Bien que la zone de son implantation connaisse un fort stress hydrique permanent depuis des décennies, d’abord de par sa situation géographique et son climat quasi désertique, et désormais par la crise environnementale qui l’aggrave, le coût du litre d’eau y est faible. Ici encore, l’implantation des data centers sur le territoire est régie par des impératifs avant tout économiques, et non par des critères sociaux ou environnementaux, car comme le déplore Aurora Gomez du collectif « Ces entreprises extérieures s’imposent et accaparent les ressources. C’est du technocolonialisme ! […] Les autorités restent sourdes à nos alertes et font semblant de ne pas nous voir. ».

Image tirée du site internet de l’association espagnole qui se bât contre l’installation des data centers en Espagne, Tu Nube Seca Mi Rio : tunubesecamirio.com.

Pour assurer une électrification continue des serveurs, les data centers disposent d’une triple alimentation en énergie. En plus d’être raccordés au réseau électrique, ils disposent également de groupes électrogènes et de leurs cuves de fioul prêts à prendre la relève en cas de coupure d’électricité, et de batteries et accumulateurs d’énergie censés assurer les quelques secondes de passage entre réseau électrique et groupes électrogènes. L’ensemble de ces dispositifs (serveurs, refroidissement, cuves de fioul, batteries) est potentiellement dangereux pour l’environnement et les riverain·es : fluides frigorigènes qui sont susceptibles de polluer l’air en cas de fuites, mais aussi nuisances sonores, que ce soit à l’intérieur du bâtiment, du fait des milliers de serveurs qui tournent en permanence avec chacun plusieurs ventilateurs, mais aussi du bruit extérieur et des vibrations causées respectivement par les systèmes réfrigérants placés sur les toits ou par les sous-stations de transformations électriques et les systèmes de générateurs au fioul qui sont testés plusieurs heures par mois. Ces nuisances sonores sont réglementées en France, et les data centers classés ICPE sont toujours concernés et font l’objet d’obligations et de contrôles en la matière, et ont par le passé fait l’objet de plaintes de riverains.
Une autre source de nuisances environnementales sont les cuves de fioul et les locaux à batteries lithium qui constituent des risques de pollution des nappes phréatiques pour le premier, et des risques d’incendies dans les deux cas. En particulier, les feux de ces batteries au lithium ne sont pas des feux ordinaires : ils sont bien plus difficiles à éteindre et ont une durée bien plus longue, comme l’explique cet article de Reporterre qui relate l’effort démultiplié des pompiers pour éteindre ce type de feu, ou comme l’illustre l’incendie récent d’un data center de Digital Realty à Singapour, lequel rappelle également l’incendie de deux data centers d’OVH à Strasbourg en 2021.

C’est en raison de tous ces risques que les data centers sont le plus souvent qualifiés d’« Installation classée pour la protection de l’environnement » (ICPE). D’après le site du ministère de la Transition écologique, de l’Énergie, du Climat et de la Prévention des risques, ce label ICPE recense les établissements « susceptibles de créer des risques pour les tiers-riverains et/ou de provoquer des pollutions ou nuisances vis-à-vis de l’environnement ». Du fait de ce classement, les data centers sont réglementairement soumis à un certain nombre d’obligations et de contrôles de la part du ministère, entre autres à travers les services déconcentrés que sont les DREAL, Direction régionale de l’environnement, de l’aménagement et du logement, placées sous l’autorité du préfet de région et des préfets de départements.

Data centers de Digital Realty : fuites répétées de gaz fluorés à fort potentiel de réchauffement climatique

Vue sur le data center MRS3 dans le Grand Port Maritime de Marseille. Il s’agît du bâtiment dit de la grande Martha, un ancien bunker nazi de la seconde guerre mondiale racheté par Digital Realty en 2020. Photo prise lors de la balade du festival le Nuage était sous nos pieds le 9 novembre 2024.

De nombreuses irrégularités ont été observées par les inspections de la DREAL de Provence-Alpes-Côte d’Azur s’agissant des data centers MRS2, MRS3 et MRS4 de Digital Realty à Marseille. Ces éléments passés sous les radars, révélés récemment par le journal indépendant Marsactu, sont pourtant documentés dans les rapports d’inspections consultables sur la base de données Géorisques.

L’irrégularité la plus préoccupante concerne le data center MRS3 : depuis 2021, ce dernier fait l’objet de fuites répétées de gaz fluorés, ainsi rejetés dans l’atmosphère. Les services de l’inspection de la DREAL ont demandé à plusieurs reprises au géant américain de prendre les mesures nécessaires pour arrêter ces fuites. Faute de réaction, cela a abouti en octobre 2023, trois ans après les premiers constats de fuites, à une mise en demeure de la société Digital Realty (ex-Interxion) par un arrêté préfectoral n°2023-215-MED. Voici un extrait de cette mise en demeure (consultable en intégralité ici) :

« Considérant que la société Interxion France [ancien nom de Digital Realty] est autorisée à exploiter un data center, dénommé MRS3, situé sur la commune de Marseille ;
Considérant que lors de la visite du site en date du 3 mars 2023, l’inspecteur de l’environnement a constaté que les équipements ne sont pas équipés d’un dispositif de détection de fuite fonctionnel ;
Considérant que ce constat constitue un manquement aux dispositions de l’article 5 du règlement européen n°517/2014 du 16 avril 2014 relatif aux gaz à effet de serre fluorés ;
Considérant que lors de cette visite il a également été constaté que les dispositions prises par l’exploitant sont insuffisantes pour éviter la survenue de fuites récurrentes de gaz dans l’environnement depuis 2021, ce qui constitue un manquement aux dispositions de l’article 3.2 du Règlement européen n°517/2014 précité ;
Considérant que les installations de production du froid du site MRS3 ont dû être rechargées, du fait de fuites, par 745 kg de fluide frigorigène R134A depuis 2021, ce qui correspond en équivalent CO2 à une distance de près de 9 millions de kilomètres effectuée avec un véhicule thermique sans malus ni bonus écologique (émissions de CO2 d’environ 120g/km) ;
[…]
Considérant de plus que, compte tenu de l’absence de système de détection de fuite sur l’équipement, qui réglementairement alerte l’exploitant ou une société assurant l’entretien lorsqu’une fuite entraîne la perte d’au moins 10% de la charge de fluide contenu dans l’équipement, ne permettant pas à l’exploitant de mettre en œuvre les actions correctives limitant l’émission de gaz à effet de serre dans l’atmosphère, il convient d’imposer à l’exploitant les mesures nécessaires pour prévenir les dangers graves et imminents pour la santé, la sécurité publique ou l’environnement, conformément à l’article L.171-8 du code de l’environnement ; »

Le fluide frigorigène R-134A dont il est ici question, autrement nommé HFC-134A, est un gaz fluoré qui contribue grandement à l’effet de serre, avec un Potentiel de Réchauffement Global sur 100 ans (PRG100 ou GWP100 en anglais) de 1430. Ces fluides frigorigènes fluorés et leurs effets sur l’environnement sont connus depuis les années 1990, puisqu’à l’époque ils ont été reconnus comme principale cause du trou et de l’amincissement de la couche d’ozone. Certains types de gaz frigorigènes, dont ceux responsables de ce trou, ont déjà été interdits à la circulation. D’autres, dont celui utilisé ici par MSR3, font aujourd’hui l’objet, après les conventions de Kyoto et de Paris sur le climat, de réglementations contraignantes de l’Union Européenne (régulations dites F-Gas I, II et III). Celles-ci visent à interdire progressivement mais entièrement d’ici 2030 ces gaz fluorés polluants, alors que de nouveaux types de gaz fluorés non polluants sans effet de serre sont déjà largement commercialisés depuis plusieurs années.

En partant du calcul de la DREAL ci-dessus, qui fait correspondre ces fuites répétées depuis 2021 à un équivalent CO2 rejeté dans l’atmosphère de 9 millions de km effectués en voiture thermique, nous estimons que cela correspond également à (9M * 0,120 kgCO2eq) 1 080 tonnes équivalent CO2 émises depuis 2021. Nous pourrions continuer les calculs d’équivalence et ramener cette quantité à l’émission par nombre d’habitants, par nombre de piscines au par nombre de vols Paris-New-York que cela représente. Mais ce qui nous préoccupe ici, c’est le fait que ce géant américain, tout en se permettant de polluer, multiplie les déclarations de greenwashing dans la presse, en bénéficiant de surcroît d’un climat politico-médiatique fait de louanges et de connivences de la part des préfets, élus de la ville et dirigeants de la région, alors même que les services de l’État alertent sur ces pollutions. Ainsi, la présidente de la métropole Aix-Marseille, Martine Vassal, adressait ses voeux de nouvelle année en janvier 2023 depuis MRS3, le data center mis en demeure peu de temps après. Plus récemment, l’adjoint au numérique responsable de la ville de Marseille, Christophe Hugon (Parti Pirate), accompagné de représentants du préfet de région, de la présidente de la métropole et du président de la Région Sud, tenaient pour leur part des discours élogieux à l’égard de Digital Realty, prenant la pose ensemble lors de l’évènement presse organisé par l’entreprise au palais du Pharo pour célébrer le dixième anniversaire de sa présence sur Marseille.

Ces fuites de gaz fluoré ne sont pas les seules irrégularités constatées par les services de la DREAL au cours des différentes inspections portant sur les data centers de Digital Realty à Marseille. Le data center MRS2, à proximité immédiate de MRS3 et du futur MRS5, est ainsi à l’origine d’incidents de fuites de fluides frigorigènes fluorés qui n’ont pas été déclarées aux autorités, alors même que ces déclarations sont obligatoires au-delà d’une certaine quantité, comme le soulève le rapport d’inspection de la DREAL de mars 2023.

Par négligence, Digital Realty est donc responsable d’émissions répétées de gaz à effet de serre. Cette négligence aggravée, voire cette faute intentionnelle compte tenu du fait que l’exploitant a été mis au courant dès 2021 et que ces fuites se sont répétées par la suite, devrait suffire à mettre un coup d’arrêt aux déploiements en cours de Digital Realty. Or, c’est le contraire qui se produit. A Marseille : le projet de construction du data center MRS5 vient d’obtenir un avis positif de la part des autorités environnementales, de la ville et de la préfecture, et même du commissaire en charge de l’enquête soi-disant publique, et ce malgré une trentaine d’avis négatifs d’associations d’habitantes et habitants, d’organisations environnementales telle France Nature Environnement, d’élues et du collectif Le nuage était sous nos pieds qui répondaient à cette enquête.

Nous sommes d’autant plus interpelées par la lecture des rapports de la DREAL que, à travers la voix de son président en France Fabrice Coquio, Digital Realty se vante largement dans les médias, dans la presse spécialisée et dans les conférences techniques des industriels des data centers de l’exemplarité environnementale de MRS3 (le site mis en demeure) et de MRS4. À l’en croire, ces sites industriels seraient des modèles du genre en termes écologiques, des « data centers verts » grâce notamment au système de refroidissement dit « river cooling » dont ils sont dotés, mais qui n’a visiblement pas empêché cette pollution considérable par gaz fluorés. Qui plus est, cette pollution a été dissimulée par F. Coquio et les autres dirigeants de Digital Realty. Un « data center vert » aux 1080 tonnes de CO2 de pollution en gaz fluorés émis depuis trois ans par négligence intentionnelle, voilà la réalité que Digital Realty et les pouvoir politiques locaux, cachent et habillent de greenwashing.

Le river-cooling : privatisation et accaparement de ressources en eau de qualité potable

Photo d’une des entrées de la Galerie à La Mer à Marseille. Photo prise lors de la balade du festival Le Nuage était sous nos pieds le 9 novembre 2024.

La « Galerie à la Mer », construite en 1905, permet d’évacuer le trop plein d’eau des anciennes mines de charbon de la ville voisine de Gardanne, située plus au Nord. Ce trop plein est versé dans la Méditerranée au niveau de Cap Pinède à Marseille. Gérée depuis 2007 par le Bureau de Recherches Géologiques et Minières (BRGM), l’autorité nationale de service géologique, la Galerie est composée d’une partie supérieure, utilisée pour évacuer les eaux d’exhaure (ferrugineuses) de l’ancienne mine vers la mer, et d’une partie inférieure, dite « cunette », qui permet de collecter et évacuer les eaux de ruissellement et d’infiltrations provenant du Massif de l’Étoile à proximité. D’après les documents fournis par l’enquête publique en 2018, l’eau de la cunette est une eau « de très bonne qualité » et de « qualité potable » pouvant donc servir à la population ou de réserve stratégique en cas de besoin, dans une région sujette aux sécheresses.

En 2018, l’entreprise Digital Realty a obtenu de la Préfecture l’autorisation de détourner pour une durée de sept ans les eaux de la cunette de la Galerie à la Mer, afin de les récupérer pour refroidir son data center MRS3. Les eaux fraîches de cette cunette, qui sont à 15,5 degrés Celsius toute l’année, sont ainsi captées et injectées dans un circuit de refroidissement dans le data center, pour échanger leurs « frigories » contre des « calories » dans des « échangeurs thermiques ». Elles repartent ensuite, réchauffées à environ 27 degrés, dans la Galerie à la Mer, à destination de la Méditerranée au niveau de Cap Pinède. Ce système est appelé « river-cooling ».

Tandis que le dirigeant en France de Digital Realty, Fabrice Coquio, proclame dans une vidéo promotionnelle, que le rejet d’eau chaude dans la Méditerranée « n’a aucun impact sur la faune et la flore », les conclusions de l’enquête publique précédemment citée, soulignaient dès 2018 des inquiétudes relatives aux effets du rejet de ces eaux chaudes dans le milieu marin, pointant notamment les risques d’eutrophisation (déséquilibre du milieu provoqué par l’augmentation de la concentration d’azote et de phosphore) entraînée par les rejets de la Galerie à la mer, risques accrus en période estivale. Mais, d’après l’enquête, bien d’autres impacts sont méconnus à ce jour, comme par exemple « l’éventuelle prolifération des algues filamenteuses ». Il faut par ailleurs noter que ce rapport se basait sur des estimations proposées par Digital Realty à 23,4 degrés, et non pas les 27 degrés effectivement constatées depuis la mise en place du système. Malgré ces alertes, le river cooling d’abord mis en place pour MRS2 et MRS3, n’a pas été mis en pause, mais au contraire étendu aux data centers MRS4 et MRS5. La question des eaux réchauffées par ces data centers et renvoyées dans le milieu marin, dans un contexte où le réchauffement des mers entraîne des taux de mortalité importants dans les communautés biotiques sous marines, n’est pas prise en compte. Aucun suivi ni mesures sérieuses des effets de ce rejet ne sont aujourd’hui publiées, d’après les collectifs locaux tels le collectif des Gammares ou l’association des habitants du 16ème arrondissement dont nous parlerons plus bas, directement concernés par ces enjeux.

Ainsi, dès 2018, lors de l’enquête publique relative à la construction du river cooling pour MRS3, plusieurs communes se situant sur le tracé de la Galerie à la Mer entre Gardanne et Marseille avaient émis des réserves sur l’accaparement de l’eau publique par une entreprise et proposé d’autres usages pour ces eaux. Les conclusions de l’enquête allaient même dans ce sens, pointant que l’eau potable devait en premier lieu servir l’intérêt général. La commune de Septème-les-Vallons demandait par exemple que soit priorisée la possibilité de pomper une partie des eaux potables de la Galerie à la Mer pour le soutien de l’activité agricole et de la biodiversité et pour le déploiement de dispositifs de prévention des incendies (DFCI). La ville de Mimet demandait aussi à pouvoir utiliser cette réserve d’eau douce. Le collectif des Gammares à Marseille, qui analyse en profondeur les enjeux de l’eau à Marseille, pointe ainsi ces enjeux en septembre 2024, dans sa réponse à l’enquête publique sur la construction de MRS5, qui utilisera lui aussi le river cooling :

« Alors que les hydrologues enjoignent à la sobriété et régénération des cycles naturels de l’eau, le choix de refroidir les data centers pour que des géants du numérique puissent louer des espaces pour leurs serveurs ne nous parait pas d’intérêt général.
Dans un contexte d’accroissement des épisodes climatiques extrêmes ayant pour cause le réchauffement climatique, où les sécheresses s’intensifient et se produisent de plus en plus régulièrement en Région Sud et ailleurs, mettant en cause l’approvisionnement en eau potable ou à usage agro-alimentaire, il serait urgent à ce que soient systématisées et publiées toutes les enquêtes portant sur cette ressource commune qui est l’eau et nous considérons que les eaux doivent être autant que possible allouées à des usages d’utilité publique ou pour les milieux qui en ont besoin. ».

Détourner des eaux fraiches de qualité potable pour refroidir gratuitement ses data centers et rejeter de l’eau réchauffée en mer : voici donc le river cooling de Digital Realty à Marseille.

Le river cooling : du greenwashing mensonger financé par de l’argent public

Photo d’une des portes d’entrée de la Galerie à La Mer sur le Cap Pinède à Marseille. En plaçant son oreille près des trous de la grille, on peut entendre l’eau couler et sentir l’air frais à travers. Photo prise lors de la balade du festival Le Nuage était sous nos pieds, le 9 novembre 2024.

Ce river cooling est devenu un argument phare de la communication de Digital Realty, en France et dans le monde entier. Dans la presse généraliste il est présenté comme une « solution innovante verte minimisant l’impact écologique » de l’entreprise. Dans la presse spécialisée, Digital Realty se vante d’utiliser de l’eau gratuite d’une installation publique. Ce n’est pas uniquement l’eau qui est gratuite pour l’entreprise. L’État français a financé en partie les travaux de détournement des eaux de la Galerie à la Mer vers les data centers de Digital Realty, à travers deux subventions publiques. Sur un total d’à peu près 15 millions d’euros d’investissements, la Région Sud a ainsi apporté 800 000 euros, tandis que l’Agence publique de la transition écologique, l’ADEME, a subventionné le projet à hauteur d’1,9 millions d’euros au nom du fond de « décarbonation de nos industries ».

Dans le dossier de maîtrise d’ouvrage déposé en 2018 par Digital Realty, on peut lire que le système de « river cooling » permettrait de réduire de 90% la consommation d’électricité destinée au seul refroidissement de ses data centers marseillais. En septembre 2024 son dirigeant Fabrice Coquio parle d’une réduction de 30% de la consommation totale d’électricité de l’ensemble des data centers à «  river cooling » grâce à ce système. Or, pour son prochain data center en construction MRS5, selon les chiffres donnés par l’entreprise lors de l’enquête publique du projet, on constate que le « river cooling » permettra de réduire de seulement 4,33% la consommation totale en électricité (calcul d’après les données page 107 : (241 133 856 kWh – 230 695 705 kWh) / 241 133 856 kWh * 100) . En effet, la dépense d’énergie la plus importante d’un data center se situe au niveau des serveurs. Ces derniers occupent 79 à 83 % de l’énergie totale du data center MRS5 d’après l’entreprise (page 107 du dossier précité). La dépense énergétique de ces data centers qui s’agrandissent et s’étendent sans cesse, malgré des optimisations à la marge via des méthodes comme le « river cooling » est globalement nettement en hausse, et c’est là une tendance globale. Ces optimisations sporadiques, baissent les coûts pour l’entreprise tout en lui permettant de garder un potentiel commercial constant ou grandissant, et sont donc intéressantes pour elles, mais se font toujours et encore à travers l’accaparement de nouvelles ressources qui peuvent servir les habitantes et habitants.

La communication de Digital Realty laisse également entendre que le « river cooling » serait l’unique système de refroidissement des data centers. Ce qui s’avère faux à la lecture de ce rapport. Ce système ne remplace pas les systèmes de refroidissement par air conditionné à fluides frigorigènes, qui causent les fuites de gaz fluorés mentionnées plus haut dans l’article, mais vient s’y ajouter. Le refroidissement des data centers de l’entreprise à Marseille ne se fait qu’en petite partie par « river cooling ». Mais le plus grave dans la communication mensongère du dirigeant de Digital Realty est le fait qu’il prétend que l’eau utilisée pour le river cooling serait de l’eau sale provenant des mines de Gardanne, comme il le répète dans les médias et la vidéo promotionnelle avec Jamy citée plus haut. C’est faux, comme le montre d’ailleurs, cette vidéo d’Interxion (ancien nom de Digital Realty) trouvée sur un compte Viméo d’une employée de l’entreprise, vidéo qui explique bien la construction du river-cooling et son utilisation de l’eau de la nappe phréatique récoltée dans la cunette.

De l’argent public utilisé pour financer les data centers d’un géant américain côté en bourse, utilisant une ressource commune précieuse, l’eau de qualité potable, tout en rejetant des gaz fluorés à fort impact de réchauffement climatique, voilà la réalité des data centers de Digital Realty aujourd’hui à Marseille. Le plus ironique est que c’est précisément ce river cooling que l’Etat a aidé à financer, qui sert aujourd’hui d’argument de greenwashing médiatique mondial à cette entreprise.

Capture d’écran du site du démonstrateur du river-cooling de Digital Realty portant l’inscription : réalisé avec le soutien technique et financier de l’ADEME et de la Région Sud. Accédé en novembre 2024. https://river-cooling-interxion.mydigitalbuildings.com/.

Accaparement de l’énergie électrique au détriment de projets d’intérêt commun à urgence environnementale

Bien que l’électricité, majoritairement issue de la filière nucléaire, soit présentée comme « verte » en France, elle est bas carbone, mais pas neutre en carbone. En effet, l’intensité carbone de l’électricité en France est de 32 gCO2eq par kilowatt-heure d’après le gestionnaire du réseau de transport d’électricité en France RTE. Nous n’allons pas ici calculer les émissions CO2 dues à l’utilisation massive d’énergie électrique par l’ensemble des data centers marseillais. Nous n’avons aucun doute quant au fait que cette consommation est considérable, et qu’elle est également grandissante. En effet, nous constatons partout en France et dans le monde une tendance au lancement de projets de data centers de plus en plus grands et de plus en plus énergivores. Les data centers de type « hyperscaler » se multiplient partout, et les prévisions ne vont qu’en augmentant avec l’arrivée de l’Intelligence Artificielle, qui crée un effet de passage à l’échelle multiple. En effet l’Intelligence Artificielle demande des serveurs dotés de puces dédiées et de cartes graphiques puissantes, consommant plus, chauffant plus, nécessitant des systèmes de refroidissements dédiés, modifiant en profondeur les bâtiments et la globalité de la structure d’un data center. Ce qui nous intéresse ici ce sont les effets systémiques de ces infrastructures et de ce numérique qu’on nous impose, les effets rebonds qu’ils génèrent sans cesse et qui ne sont jamais débattus.

Les data centers de Digital Realty à Marseille utilisent l’énergie électrique disponible que les deux gestionnaires de réseau et de transport énergétiques nationaux, RTE et Enedis, sont en capacité d’acheminer à Marseille, avec les infrastructures électriques actuelles. Plutôt qu’une simple « utilisation », il s’agit d’un véritable accaparement. Car l’énergie électrique nécessaire à ces data centers est captée au détriment de projets d’intérêt commun à urgence environnementale de la ville. Dans leur rapport « L’impact spatial et énergétique des data centers sur les territoires » Fanny Lopez et Cécile Diguet notaient un premier conflit d’usage en 2012, au détriment de l’électrification des bus municipaux à Marseille (p. 62) :

« Pour Brigitte Loubet, conseillère spéciale chaleur de la DRIEE, comme pour Fabienne Dupuy, adjointe
au Directeur territorial Enedis en Seine-Saint-Denis, les demandes des data centers peuvent être
bloquantes pour les territoires. La commande d’électricité se résumant à : premier arrivé / premier servi,
des files d’attentes se constituent sur différents sites. […] C’est l’exemple de Marseille, où le maire Jean-Claude Gaudin a dû négocier avec Interxion pour récupérer 7 MW « parce qu’ils avaient oublié de les
réserver pour leurs bus électriques » » .

C’est à nouveau le cas aujourd’hui pour l’électrification des quais au Grand Port Maritime de Marseille, électrification qui permettrait aux nombreux navires de croisière, ferrys de lignes reliant la ville à la Corse ou à d’autres villes de Méditerranée, et au Chantier Naval de Marseille de se brancher électriquement lors de leurs escales, évitant ainsi le rejet dans l’atmosphère d’une pollution considérable due à la combustion de fioul. Cette pollution aux oxydes d’azote (NOx) et autres particules nocives a des effets immédiats sur la santé des habitantes et habitants les plus proches, mais aussi sur l’ensemble des habitant⋅es de la ville, ville où l’on comptabilise tous les ans environ 2 500 morts de pollution d’après les autorités de santé. Cette électrification en plusieurs étapes, entamée depuis de longues années, est insuffisante pour accueillir la croissance du flux estival des bateaux, Marseille étant devenue une ville où le tourisme pollueur par croisières n’a de cesse d’augmenter comme le constate et déplore l’association Stop Croisières.

Illustration d’une campagne dénonçant le Greenwashing de l’électrification des quais de bateaux de croisières à Marseille, par le collectif Stop Croisières, https://stop-croisieres.org/.

De surcroît, cette électrification est sans cesse repoussée ou ralentie. Lors de sa réponse à l’enquête publique en vue de la construction de MRS5, la fédération des Comités d’intérêts de Quartier du 16ème arrondissement de Marseille qui regroupe les associations des habitantes et habitants, demandant un arrêt de la construction de tous les data centers de la ville, écrit :

« […] les riverains sont confrontés aux pollutions atmosphériques des navires et aux nuisances sonores des activités portuaires. Le directeur général adjoint du GPMM a estimé la puissance électrique encore nécessaire aux activités du port et à l’électrification des quais à 100 à 120 MW. […] La puissance totale des data centers actuels s’élève à 77 MW, […] la puissance totale des data centers programmés est de 107 MW. Les data centers de Digital Realty situés dans l’enceinte du GPMM sont alimentés par le poste source de Saumaty, situé dans quartier de Saint-André. Le futur data center de Segro situé à Saint André sera lui alimenté par le poste source de Septèmes-les-Vallons situé à 11 km. Le poste source de Saumaty serait-il saturé ? … L’electrification des quais du Chantier Naval de Marseille dans le GPMM est repoussée à 2029. Les data centers seraient-ils servis avant le GPMM ? ».

Ce conflit d’usage d’électricité entre data centers et électrification des quais de navires, c’est la mairie elle-même qui le constate dans sa délibération au conseil municipal d’octobre 2023, votant également la constitution d’une commission régulatoire sur les data centers. Cette commission semble parfaitement insuffisante. C’est également ce que pointe Sébastien Barles, adjoint en charge de la transition écologique de la ville de Marseille. Ce dernier demandait un moratoire sur les data centers de la ville, moratoire qui a été écarté, alors qu’il constitue une étape indispensable pour avancer vers un début de maîtrise de ces infrastructures en pleine expansion. Par ailleurs, peu de choses sont aujourd’hui révélées par la mairie autour de cette commission régulatoire de la ville — dont feraient partie, autres autres, le dirigeant de Digital Realty et l’adjoint du Parti Pirate élogieux à son égard, Christophe Hugon. Ce manque de transparence n’est pas nouveau, la mairie de Marseille et en particulier C. Hugon, adjoint également à la transparence et l’Open Data de la ville, ayant déjà été pointé du doigt dans notre campagne Technopolice, pour son hypocrisie politique mais aussi pour son manque de transparence et son défaut de réponse aux demandes d’accès aux documents administratifs, qui sont pourtant un droit et une obligation constitutionnelle.

Îlots de chaleurs urbains

Ces data centers qui s’accumulent sur le territoire de Marseille sont de véritables « grille-pains en surchauffe » pour reprendre les termes de Laurent Lhardit, adjoint à la mairie de Marseille en charge du dynamisme économique, de lʼemploi et du tourisme durable.

En effet, les lois de la thermodynamique font que la chaleur qu’on évacue des serveurs de ces data centers ne disparaît pas, mais se retrouve rejetée dans l’air entourant les bâtiments, dans les nuages, les vrais, ou dans l’eau de mer réchauffée par le river cooling. Dans une ville au climat chaud comme Marseille, sujette à des épisodes caniculaires de plus en plus nombreux, il est inquiétant de continuer à ignorer ce problème qui devient vital. Les scientifiques alertent déjà sur les effets que ces pics de chaleur répétés ont sur la vie humaine, et sur le fait qu’à plus ou moins court terme, des régions entières de notre planète et de l’Europe deviendront progressivement inhabitables en raison de cette chaleur insoutenable (voir par exemple cet atlas de prévisions des chaleurs mortelles à venir dans le monde).

Il est grand temps de penser l’urbanisme en priorisant les espaces verts, avec des végétaux qui rafraîchissent et créent de l’ombre pour rendre les villes plus habitables, moins nocives pour la santé, plus soutenables face aux changements environnementaux en cours.

Photo d’un grille-pain sur le feu. Nicholas.scipioni, CC BY 4.0 https://creativecommons.org/licenses/by/4.0, via Wikimedia Commons.

Récupération de « chaleur fatale » ou comment faire perdurer le statu quo écocidaire

L’utilisation de la « chaleur fatale » consiste en la récupération de la chaleur émise par les data centers, qui deviendraient alors, dans un idéal d’économie circulaire technomagique, des sortes de chaudières numériques capables de chauffer des immeubles ou des piscines olympiques. En réalité, ces projets de récupération de chaleur dite « fatale » (parce qu’elle est inévitable), ne sont pas toujours efficaces ni même possibles. Pour que cela fonctionne, il faudrait que la récupération de chaleur se fasse au plus près de la source, donc du data center, car plus la distance augmente, plus les pertes seront significatives. Mais compte tenu du bruit et des autres nuisances atmosphériques générées par un data center, réchauffer des immeubles habités ne semble pas très attrayant. Sans considérer le fait que, dans des villes aux climats chauds comme Marseille, la chaleur récupérée ne serait utile que peu de mois dans l’année, la chaleur dégagée par ces data centers devenant problématique la majorité du temps. Ainsi, un rapport de l’Uptime Insitute concluait en 2023 que les cas où cela peut être efficace sont rares, non systématiques, situés dans des zones de climat froid, et peuvent même parfois être contre-productifs (traduit de l’anglais) :

La possibilité de réutiliser la chaleur résiduelle des centres de données est généralement limitée aux climats plus froids et peut nécessiter des connexions à des systèmes de chauffage urbain ou à des sites de fabrication. La disponibilité de ces connexions et/ou installations est fortement concentrée en Europe du Nord. La configuration d’une installation pour la réutilisation de la chaleur perdue augmente souvent la consommation d’énergie (puisque des pompes à chaleur sont nécessaires pour augmenter la température de la chaleur sortante), mais peut réduire les émissions globales de carbone en réduisant l’énergie qui serait autrement nécessaire pour le chauffage.

Mais le vrai problème, encore une fois, n’est pas technique. Ces systèmes étant coûteux et n’ayant aucun intêrét commercial pour les data centers, ces derniers préfèrent largement y échapper, ou alors promettre constamment qu’ils les mettront en place dans un futur proche. C’est exactement ce que le lobby France Datacenter s’est employé à faire en 2022, comme le montre le registre obligatoire de déclaration de leurs acivités de lobbying auprès de la Haute Autorité pour la Transparence de la Vie Publique (HATVP), où nous pouvons lire, parmi d’autres actions de diminution de taxation ou d’échappement à des obligations de pollueurs :

Liste des fiches d’activités
[…]
Retirer un amendement au projet de loi énergies renouvelables visant à rendre obligatoire la réutilisation de chaleur fatale.

Cette activité a été un succès, l’amendement rendant obligatoire la récupération de chaleur fatale a été retiré du projet de loi énergies renouvelables, au profit de « mesures incitatives » qui ont consisté, depuis 2015 au moins, à faire financer par des fonds publics, via notamment l’ADEME, les travaux de récupération de chaleur fatale qu’un data center aurait l’amabilité d’entreprendre. Les quelques cas existants servent, comme dans le cas du « river cooling », de greenwashing monté en exemple et surpublicisé. Mais cela permet aux industriels de continuer à profiter des territoires sans limites, en faisant croire que des solutions technomagiques sont possibles, tout en s’employant à repousser les obligations réglementaires qui les contraindraient à les mettre en place. Les États, quant à eux, sont tout entiers à leur service.

Une croissance exponentielle, un extractivisme colonial sanglant

Si l’ensemble des data centers de Digital Realty à Marseille, MRS1 à MRS5, ont une puissance électrique maximale de 98 Megawatt ((16+16+24+20+22), le prochain data center de Digital Realty à Bouc-Bel-Air, MRS6, aura une capacité de 50 mégawatts à lui tout seul. Celui de PAR08 à la Courneuve, le plus grand actuellement en France, toujours de Digital Realty, a une capacité de 120 MW. Celui qui doit être construit à Dugny, en Seine-Saint Denis, toujours par Digital Realty et qui sera le futur plus grand data center de France, aura une capacité de 200 mégawatts, soit l’équivalent de 20% de la puissance d’un réacteur nucléaire EPR. L’empreinte du numérique était estimée à 2,5% de l’empreinte carbone annuelle de la France en 2020, et les data centers représentaient environ 16% de cette empreinte carbone totale du numérique selon l’Ademe et l’Arcep. Cette empreinte du numérique devrait doubler d’ici 2040 et les data centers pourraient y jouer un rôle majeur selon un avis d’expert de l’Ademe en octobre 2024.

À l’échelle mondiale, les data centers hyperscales constituaient déjà en 2022, 37% de la capacité mondiale des data centers, et devraient en représenter 50% en 2027, cette part augmentant régulièrement. D’autre part, le besoin en eau de ces « hyperscales » augmente régulièrement. Sous la pression des pouvoirs publics en 2023, Google révélait que ses centres de données, aux Etats-Unis uniquement, utilisaient plus de 16 milliards de litres d’eau par an pour leur refroidissement. On apprenait également récemment que ses émissions de CO2 ont grimpé de 48% au cours des 5 dernières années et son usage en eau devrait augmenter de 20% encore d’ici 2030. Microsoft, quant à lui, a vu l’utilisation en eau de ses data centers augmenter de 34% en 2022 seulement, à cause de son usage de l’IA, et on peut voir la pléthore d’annonces d’investissements dans la construction de nouveaux data centers dédiés à l’IA, qui laisse présager une croissance à venir encore plus forte et inquiétante.

Photo d’une carte mère fabriquée en Chine, designée à Taïwan, comportant de nombreux composants et puces électroniques, montrée lors de la balade du festival le Nuage était sous nos pieds le 9 novembre 2024 à Marseille.

Mais ces calculs institutionnels ou provenant des géants numériques, purement basés sur l’énergie électrique et son empreinte carbone, et parfois sur la consommation d’eau pour le refroidissement, ne prennent pas en compte la totalité des conflits et des accaparements de vies et de ressources vitales que ce numérique cause pour exister et s’accroître. En commençant par la phase d’extraction des nombreux minéraux qui composent les puces des processeurs et des cartes graphiques que ces data centers renferment par milliers. Génération Lumière, une association écologiste qui agit à la fois en France et en République démocratique du Congo (RdC), dénonce depuis des années un extractivisme sans scrupules de minéraux stratégiques pour nos industries numériques. En effet, la RdC renferme 70 % du cobalt mondial, utilisé pour fabriquer les batteries lithium de nos voitures électriques, de nos smartphones, et des data centers. La RdC est aussi une terre d’extraction de coltan, de cuivre, d’or, des minéraux utilisés pour les puces électroniques. Et cette extraction qui sert les industries numériques ainsi que les géants tels Apple, Nvidia (fabricant de puces graphiques) et désormais même Google, Amazon et Microsoft, est démultipliée par l’arrivée de l’IA, qui s’insère partout dans les appareils et les serveurs. Or, cette extraction se fait, comme le dit Génération Lumière, « avec notre sang », et crée en République démocratique du Congo, outre les prob lèmes dus au minage lui-même qui se fait dans des conditions inhumaines d’exploitation des travailleurs, de nombreux conflits et massacres sur le territoire.

Affiche de l’association Génération Lumière, 2024.

Ces calculs institutionnels laissent également de côté, ou ignorent à dessein, les enjeux de la fabrication des puces électroniques, de la purification des minéraux posés sur les wafers, sortes de galettes de silicium, jusqu’à leur devenir puces. L’association StopMicro, qui lutte contre l’accaparement des ressources et les nuisances causées par les industries grenobloises, et en particulier celles de la microélectronique de Soitec et de STMicroelectronics, nous rappelle ainsi que : « Derrière le dérèglement climatique et les injustices socio-environnementales, il y a des décisions politiques, des entreprises et des intérêts économiques qui conditionnent nos choix de société ». Dans ses nombreuses brochures d’analyses et dans le livre « Toujours puce  » qu’elle vient de publier, l’association mène une enquête technique, sociale, politique et environnementale poussée, à la place des pouvoirs publics pourtant chargés de le faire. En prenant l’exemple de son territoire, elle explique comment on s’accapare et pollue de l’eau potable pour fabriquer des gourdes connectées avec les puces de STMicroelectronics ou Soitec, quand ce n’est pas pour équiper des armes qu’on exporte au service des guerres coloniales en cours.

Affiche dessinée du collectif StopMicro à Grenoble. Source : https://stopmicro38.noblogs.org/files/2024/04/tuyauterie-2048×1470.jpg.

Ce numérique n’est pas le nôtre

En regardant la liste des principaux clients de Digital Realty, nous retrouvons en masse des acteurs aux pratiques numériques contestables vis à vis des droits fondamentaux et des réglementations en vigueur. Fabrice Coquio, président de Digital Realty France, déclarait il y a peu « Sans nous, il n’y a pas d’Internet », avant de lister une bonne partie des clients de ses data centers marseillais : Facebook, Amazon, Microsoft, Netflix, Disney+, Zoom, Oracle, Youtube… Le data center MRS3, où se sont produits des rejets répétés de gaz fluorés hautement polluants, abrite en son sein les services « cloud » de Microsoft déployés dans les mairies, écoles, collèges, lycées et universités publiques, forçant tout élève dès son plus jeune âge à la création de comptes Microsoft sans grand moyen de s’y opposer.

Sticker « Le nuage était sous nos pieds » collé sur un poteau. Photo prise lors de la balade du festival Le Nuage était sous nos pieds le 9 novembre 2024. Autocollant fabriqué lors d’un atelier organisé par le hackerspace transféministe Fluidspace à Marseille.

Comme en atteste également le travail de La Quadrature du Net depuis ses débuts il y a plus de 15 ans, à travers notamment sa campagne d’actions de groupe contre les GAFAM, ces acteurs ont monopolisé et fait d’Internet un espace commercial géant, où règnent les violences faites aux communautés minoritaires et les discriminations en tout genre. Ces acteurs, qui utilisent en toute illégalité et immoralité nos données personnelles pour nous imposer de la publicité, polluent nos espaces en ligne et nos cerveaux, et s’accaparent notre attention à coup d’algorithmes jouant sur nos biais cognitifs et visant à susciter des dépendances psychologiques. Cette publicité est aujourd’hui coupable à son tour de l’aggravation de la crise environnementale, de par la surconsommation et le modèle insoutenable qu’elle engendre et qu’elle alimente en permanence. Couplée à l’obsolescence marketée et organisée sur tout objet de consommation, qu’il soit numérique ou non, aidée et rendue possible par les infrastructures industrielles numériques polluantes, cette publicité que les GAFAM et les géants numériques contrôlent en grande majorité est une des causes majeures de l’aggravation de la crise socio-environnementale et systémique en cours.

L’argent public que l’État met si facilement dans les mains de tels industriels pollueurs, comme l’illustrent le fond de « décarbonation de nos industries » mentionné plus haut de même que les différents contrats publics conclus avec ces géants numériques, est ainsi distribué au détriment de projets publics à intérêt commun telle l’électrification des équipements publics, la constitution de réserves d’eau, ou encore l’air que nous respirons et la ville où nous habitons. Ces projets d’intérêt général, parfois littéralement vitaux, sont laissés de côté car la priorité est constamment donnée à la croissance numérique, qui passe par l’installation croissante de data centers et d’autres types d’infrastructures numériques.

Ce monde-là n’est pas le nôtre

Ce numérique de la domination, dont les câbles et les data centers sont la colonne vertébrale, imposé par la vision hégémonique de la Silicon Valley et par des politiques étatiques complices de géants sans scrupules, n’est pas le nôtre.

Cet Internet qui reproduit les dynamiques coloniales et qui repose sur l’accaparement des ressources du sol, des minerais, de l’eau, de nos territoires, mais aussi de nos corps et espaces mentaux, structuré autour de la collecte massive de données sur nos vies, source infinie de pouvoir et de profit, n’est pas le nôtre. Ce numérique qui renforce les dominations et les inégalités, fondé sur la normativité de nos comportements, sur la police prédictive et la prise de décisions automatisées, destiné à nous contrôler et à nous surveiller, pour mieux réprimer notre colère légitime, n’est pas le nôtre. Ce numérique responsable à son tour de la crise socio-environnementale sans précédent qui nous traverse, n’est pas le nôtre. Nous devons le refuser, nous devons nous organiser pour y faire face et imaginer ensemble comment rendre possibles d’autres mondes.

Notre monde à nous est un monde de soin, soin pour soi-même, pour les unes et les autres, et pour la Terre. Notre monde numérique à nous est celui d’un autre numérique, qui nous aide à nous protéger de la surveillance et des oppressions, qui nous aide à porter des savoirs communs et d’entraide, qui nous permet de hacker, bidouiller et créer des serveurs alternatifs, des réseaux décentralisés pour mieux s’organiser et lutter pour que d’autres mondes soient possibles.

Photo du data center MRS4 en arrière-plan. Au premier plan le pied en plastique servant à accueillir des stickers fabriqués avec le Fluidspace, hackerspace transféministe à Marseille, pendant le festival Le nuage était sous nos pieds, les 8, 9 et 10 novembre 2024 à Marseille.

Pour nous soutenir dans la suite de ce combat, et notamment dans notre travail autour des questions de l’écologie et du numérique, n’hésitez pas à nous faire un don !

Nous avions lancé notre campagne anti-GAFAM au moment de l’entrée en vigueur du RGPD, en mai 2018… Sur la base du tout nouveau règlement européen sur la protection des données personnelles, nous avions décidé d’attaquer les pratiques illégales des cinq plus grandes sociétés du numérique mondial : Google, Apple, Facebook, Amazon et Microsoft. C’était la première action collective en Europe — une nouveauté permise par le RGPD — contre les entreprises privées qui exploitent délibérément et en toute illégalité les données personnelles des internautes sans leur consentement. Pour cette action collective, nous avions reçu le soutien de 12 000 personnes qui avaient décidé de nous donner leur mandat pour porter la plainte devant la CNIL. C’était chose faite le 18 mai 2018. Il y a six ans.

Le RGPD donne à la CNIL le pouvoir d’instruire les plaintes concernant les entreprises dont le siège européen est en France, ou n’ayant pas de siège social dans un autre pays de l’Union européenne. C’était le cas de Google à l’époque. La CNIL a donc traité d’abord la plainte contre Google, sans donner signe de son travail avant mai 2021, où elle a soudain rendu une décision bancale et insatisfaisante, assortie d’une amende minime de 50 millions de dollars, avant de transmettre le dossier à son homologue irlandais, la DPC, Google ayant entre temps créé un siège européen en Irlande (plus de détails dans cet article, dans le paragraphe « Google perdu au rebond »).

Les autres plaintes avaient été transmises dès 2018 aux autorités compétentes pour la protection des données dans les pays concernés : Facebook, Apple et Microsoft en Irlande, et Amazon au Luxembourg. C’est de là qu’est venue, contre toute attente, la deuxième condamnation, en juillet 2021 : les pratiques illégales d’Amazon étaient bien reconnues, et l’entreprise condamnée à une amende record de 746 millions d’euros.

Malgré la solidité juridique de nos plaintes, confirmée par deux fois, nous n’avions alors toujours aucune nouvelle des quatre dossiers traités par la DPC irlandaise : Apple, Microsoft, Facebook (Meta) et Google. Jusqu’à ce mois d’octobre 2024, plus de 6 ans après le dépôt des plaintes. La DPC a enfin rendu sa décision concernant LinkedIn (qui appartient à Microsoft), et condamne l’entreprise à une amende de 310 millions d’euros, en plus d’un obligation de mise en conformité avec la loi.

C’est bien, mais c’est peu. Pourquoi faut-il six ans pour appliquer une loi européenne ? Et plus encore pour trois autres dossiers ? On sait que l’Irlande ouvre grand les bras aux multinationales, en leur offrant un statut fiscal privilégié. On sait que la DPC est surchargée de dossiers et en sous-effectif. On se doute que la balance entre l’application des lois et le bénéfice économique est un arbitrage très politique. Et on sait que les entreprises fortunées continuent d’exploiter les données personnelles au mépris de leurs obligations légales. Bref, un constat de victoire teinté d’amertume, à lire sur notre site.

Lire l’article : https://www.laquadrature.net/2024/10/25/linkedin-condamnee-a-310-millions-deuros-suite-a-notre-plainte-collective/
La campagne anti-GAFAM : https://gafam/laquadrature.net/

« Pas de VSA dans ma ville », deuxième round

Alors que la période « d’expérimentation » de la VSA autorisée par la loi JO n’est même pas terminée, et sans même attendre les conclusions de l’expérience, le législateur et le gouvernement envisagent déjà sa légalisation complète et son déploiement généralisé. Nous savons que le combat au niveau législatif sera difficile, même si nous le mènerons. Et nous savons aussi que le point d’entrée de la VSA dans nos rues, c’est le niveau municipal. C’est aux communes que les industriels vendent leurs caméras et leurs logiciels, avec l’appui financier et idéologique de l’État. Et c’est au niveau municipal que de piètres politiciens dépensent l’argent public dans une surenchère sécuritaire dispendieuse et illégale. C’est pourquoi nous invitons chacun et chacune à écrire à ses élus locaux pour demander l’abandon de cette technologie de surveillance.

« Pas de VSA dans ma ville », c’est le nom de cette campagne collective qui invite tout le monde à prendre le débat en mains et à interpeller les décideurs locaux. Nous avons besoin de vous pour faire reculer la surveillance ! Courriers, procédures, arguments, vous trouverez tout sur notre site de campagne.

Lire l’article : https://www.laquadrature.net/2024/10/31/assaut-contre-la-videosurveillance-algorithmique-dans-nos-villes/
Le site de la campagne anti-VSA : https://www.laquadrature.net/vsa/

Agenda

• Du vendredi 8 au dimanche 10 novembre 2024 : Festival « Le nuage était sous nos pieds » à Marseille, tout le programme ici : https://lenuageetaitsousnospieds.org.
• Jeudi 14 novembre 2024 : conférence « Technopolice : 5 ans de lutte contre les technologies de surveillance en France » lors de l’évènement Ethics by Design à Nantes, plus d’infos ici : https://ethicsbydesign.fr/.
• Jeudi 14 novembre 2024 : Causerie mensuelle Technopolice Marseille, 19h, Manifesten (59 rue Adolphe Thiers, Marseille).
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Amende de LinkedIn

• Klage gegen Sozialhilfe-Algorithmus in Frankreich [Netzpolitik]
• LinkedIn écope d’une amende de 310 millions d’euros de l’Union européenne pour publicité ciblée [Ouest-France]
• Le réseau social LinkedIn écope d’une amende de 310 millions d’euros pour infraction au règlement européen sur les données [France Info TV]
• RGPD : L’Irlande condamne Linkedin à 310 M€ d’amende [Le Monde informatique]
• Publicité ciblée : après Google et Amazon, LinkedIn écope d’une amende de 310 millions à Bruxelles [Les Echos]
• Publicité ciblée : LinkedIn écope d’une amende de 310 millions d’euros dans l’UE [La Croix]
• Données personnelles : LinkedIn condamné à une amende de 310 millions d’euros pour ses publicités ciblées dans l’UE [Le Monde]

Vidéosurveillance algorithmique

• [À écouter] Technosurveillance : halte l’IA ? [France Culture]
• Sans demander, la mairie de Saint-Denis a imposé la vidéosurveillance [StreetPress]
• ‘Consent’ LinkedIn used for data processing was not freely given, says Ireland [The Register]
• LinkedIn fined $335 million in EU for tracking ads privacy breaches [TechCrunch]
• Publicité ciblée : LinkedIn écope d’une amende de 310 millions d’euros dans l’Union européenne [RTBF]
• LinkedIn écope d’une amende de 310 millions pour une infraction en matière de publicité ciblée [RTS]

Algorithmes de scoring

• Violation du RGPD : L’algorithme de notation de la CAF attaqué devant le Conseil d’Etat [L’Usine digitale]
• Quinze associations attaquent en justice l’algorithme de la CAF [ZDNet]
• Algorithmes sociaux : « Plus le score de risque est élevé, plus le contrôle est intensifié » [Le Monde]
• Cnaf : l’algorithme utilisé pour détecter les fraudes poursuivi par des associations devant le Conseil d’État pour discriminations [Le Midi Libre]
• Espionnage sur Facebook, algorithme de « flicage » : les méthodes scandaleuses de la CAF [Le Média TV]
• France Travail : des algorithmes pour surveiller les demandeurs d’emploi, la Quadrature du Net s’insurge [Newsly]
• Allocations familiales : les mères célibataires sont plus souvent contrôlées que les autres, voici pourquoi [Paroles de mamans]

Divers

• La Quadrature du Net ne veut pas d’une contribution « fair share » pour financer les réseaux [L’Informé]
• MAD, le fichier de police discrètement développé par la Préfecture de police de Paris [Le Monde]
• Reconnaissance faciale : un usage « hors cadre légal » au sein de la gendarmerie nationale [La Croix]
]]> https://www.laquadrature.net/?p=24652http://isyteck.com/autoblog/quadrature/index.php5?20241108_131033_Briefcam_au_Ministere_de_l___Interieur____le_rapport_d___inspection_tente_de_noyer_le_poissonFri, 08 Nov 2024 12:10:33 +0000L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui, d’après Disclose, serait « activement utilisée ». Après avoir tenté d’étouffer l’affaire, le ministère de l’Intérieur a enfin publié le rapport d’inspection commandé à l’époque par Gérald Darmanin pour tenter d’éteindre la polémique. Ce rapport, rédigé par des membres de l’Inspection générale de l’administration, de l’Inspection générale de la police nationale et de l’Inspection de la Gendarmerie nationale, permet d’étayer les révélations de Disclose. Fondé sur la seule bonne foi des forces de l’ordre, il s’apparente toutefois à une tentative choquante de couvrir des faits passibles de sanctions pénales.

Tout au long du rapport, les auteur·rices utilisent diverses techniques de minimisation et d’euphémisation – quand il ne s’agit pas tout bonnement de mauvaise foi – pour justifier l’utilisation illégale du logiciel Briefcam depuis 2015 par la police et 2017 par la gendarmerie. Pour rappel, ce logiciel permet d’analyser et filtrer les attributs physiques des personnes filmées afin de les retrouver sur les enregistrements vidéo. En plus de la reconnaissance faciale, il propose la reconnaissance de vêtements, de genre, de taille, d’apparence ou encore la « similitude de visage » que les services tentent grossièrement de distinguer de la reconnaissance faciale alors qu’au fond, il s’agit peu ou prou de la même chose, à savoir identifier des personnes. Plutôt que de reconnaître l’usage hors-la-loi de l’ensemble de ces cas d’usages depuis quasiment dix ans, les services d’inspection multiplient les pirouettes juridiques pour mieux légitimer ces pratiques.

Ainsi, les auteur·rices du rapport reprennent une analyse bancale déjà esquissée par Gérald Darmanin l’an dernier pour couvrir un usage intrinsèquement illégal de VSA dans le cadre d’enquêtes pénales, lorsque ces dispositifs sont utilisés par les enquêteurs pour analyser automatiquement des flux de vidéosurveillance archivés. Reprenant l’interprétation secrètement proposée en interne par les services du ministère de l’Intérieur pour couvrir ces activités au plan juridique, les auteur·rices estiment que ces utilisations a posteriori (par opposition au temps réel) de logiciels de VSA constitueraient des logiciels de « rapprochement judiciaire » au sens de l’article 230-20 du code de procédure pénale. Pourtant, cet article du code de procédure pénale n’autorise que le « rapprochement de modes opératoires » (par exemple des logiciels d’analyse de documents pour faire ressortir des numéros de téléphones liés entre eux). Cela n’a rien à voir avec la VSA a posteriori, laquelle consiste à rechercher des personnes sur une image en fonction de leurs attributs physiques via des techniques d’intelligence artificielle. Pour être licites, ces dispositifs devraient au minimum faire l’objet d’une base légale spécifique. C’est la base en matière de droits fondamentaux. Et cette base n’a clairement pas été respectée.

L’argumentation des rapporteurs paraît d’autant plus choquante que le logiciel VSA de Briefcam analyse des données personnelles biométriques et est donc soumis à des restrictions fortes du RGPD et de la directive police-justice. Les lacunes du cadre légal actuel pour des usages de VSA dans le cadre d’enquêtes judiciaires et la nécessité d’une base légale spécifique est d’ailleurs confortée par différents projets de légalisation de cette technologie qui ont pu être proposés : tel est le cas de la récente proposition de loi relative à la sûreté dans les transports, ou plus anciennement un projet de décret de 2017 « autorisant des traitements de données personnelles permettant l’analyse des enregistrements vidéo dans le cadre d’enquêtes judiciaires », mentionné dans le rapport. De même, l’autorisation par un décret de 2012 du recours à la comparaison faciale dans le fichier TAJ (« Traitement des antécédants judiciaires ») illustre la nécessité parfois bien comprise au ministère de l’Intérieur de prévoir un encadrement juridique spécifique pour différentes technologies de surveillance mobilisée dans le cadre d’enquête pénale¹.

Non content·es de couvrir des abus pourtant passibles de sanctions pénales, les auteur·ices du rapport envisagent aussi l’avenir. Iels proposent ainsi de relâcher encore davantage la bride de la police pour lui permettre de tester de nouvelles technologies de surveillance policière. Assouplir toujours plus les modalités de contrôle, déjà parfaitement défaillantes, dans la logique des « bacs à sable réglementaires », à savoir des dispositifs expérimentaux dérogeant aux règles en matière de protection des droits fondamentaux, le tout au nom de ce qu’iels désignent comme l’« innovation permanente ». Les auteur·rices s’inscrivent en cela dans la filiation du règlement IA qui encourage ces mêmes bacs à sable réglementaires, et du rapport Aghion-Bouverot (commission de l’intelligence artificielle) rendu au printemps dernier². Il faut bien mesurer que ces propositions inacceptables, si elles venaient à être effectivement mises en œuvre, sonneraient le glas des promesses de la loi « informatique et libertés » en matière de protection des droits fondamentaux et des libertés publiques (à ce sujet, on est toujours en attente de l’issue de l’autosaisine de la CNIL dans ce qu’il faut bien appeler « l’affaire Briefcam », un an après son déclenchement…).

En bref, ce rapport s’inscrit dans une logique de couverture de faits passibles de peines de prison et qui constituent aussi un détournement de fonds publics. Surtout, il contribue à banaliser la vidéosurveillance algorithmique, suivant en cela la politique du gouvernement Barnier. En effet, après avoir annoncé le mois dernier la pérennisation de « l’expérimentation » de la VSA suite aux Jeux Olympiques, le gouvernement entend également, via le projet de loi de finances 2025, d’installer des radars routiers dopés à la VSA pour détecter trois nouvelles infractions concernant « l’inter-distance (entre les véhicules), le non-respect du port de la ceinture et le téléphone tenu en main (au volant) ». Sans oublier la proposition de loi sur la sécurité dans les transports qui fait son retour à l’Assemblée d’ici la fin du mois de novembre. Tout est bon pour légitimer cette technologie dangereuse et l’imposer à la population.

Pour nous aider à tenir ces manœuvres en échec, RDV sur notre page de campagne !

---

1. La police et la gendarmerie utilisent de façon très fréquente la reconnaissance faciale en application de ce cadre lié au fichier TAJ : en 2021, c’était 498 871 fois par la police nationale et environ 117 000 fois par la gendarmerie nationale, d’après un rapport parlementaire. ︎
2. Le rapport Aghion-Bouverot appelait à l’assouplissement de certaines procédures d’autorisation pour utiliser des données personnelles, notamment dans la santé ou par la police. On y lit notamment :
   « Le RGPD a renversé complètement la logique du droit qui prévalait en France depuis la loi « informatique et liberté » de 1978 Alors que la possibilité de traiter des données à caractère personnel reposait sur des procédures d’autorisation ou de déclaration préalables auprès de l’administration, le RGPD a posé les principes de liberté et de responsabilité : les acteurs sont libres de créer et de mettre en œuvre des traitements de données à caractère personnel, sous réserve de veiller eux-mêmes à la conformité de ces traitements aux principes et règles prévus par le règlement européen Ils doivent en particulier analyser les risques spécifiques que peuvent créer les traitements les plus sensibles et prendre les mesures appropriées pour y remédier En contrepartie de cette liberté, instituée dans le but précis de favoriser l’innovation, les exigences de protection des données personnelles ont été renforcées, de même que les pouvoirs de contrôle et de sanction a posteriori des autorités en charge de la protection des données En France, il s’agit de la Commission nationale de l’informatique et des libertés (Cnil).
   En France, cette évolution n’a pas été conduite jusqu’à son terme Il demeure des procédures d’autorisation préalables non prévues par le droit européen. C’est en particulier le cas pour l’accès aux données de santé pour la recherche Une procédure simplifiée de déclaration de conformité à des méthodologies de référence existe mais elle est loin d’être généralisée En pratique, la procédure simplifiée reste l’exception par rapport à la procédure d’autorisation préalable car le moindre écart par rapport à ces méthodologies implique d’en passer par une autorisation préalable qui peut impliquer jusqu’à trois niveaux d’autorisation préalable On trouve des lourdeurs analogues dans les domaines de l’ordre public, de la sécurité et de la justice ». ︎
]]> https://www.laquadrature.net/?p=24614http://isyteck.com/autoblog/quadrature/index.php5?20241031_125813_Assaut_contre_la_videosurveillance_algorithmique_dans_nos_villesThu, 31 Oct 2024 11:58:13 +0000La question de pérenniser ou non l’expérimentation de la vidéosurveillance algorithmique (VSA) fait actuellement beaucoup de bruit dans le débat public. Si l’on entend principalement les ministres et préfets au niveau national, c’est aussi – et surtout – à l’échelle locale que ces enjeux se cristallisent. Profitant de l’engouement des Jeux Olympiques et du cadre législatif créé à l’occasion de cet évènement, de nombreuses communes tentent de légitimer et normaliser leurs usages de cette technologie, qui reste pourtant totalement illégaux. Ces manœuvres, qui doivent être révélées et dénoncées, constituent aussi pour les habitant⋅es un levier d’action majeur pour faire entendre leurs voix et exiger l’interdiction de la VSA dans nos villes.

Lorsque nous avons lancé notre campagne contre la VSA au printemps dernier, nous l’affirmions haut et fort : ce qui se joue avec la loi sur les Jeux Olympiques est une grande hypocrisie. La vidéosurveillance algorithmique s’est déployée depuis quasiment une dizaine d’années en toute illégalité dans les villes et les collectivités locales, qui ont acheté des logiciels de VSA à des entreprises de surveillance en quête de profit. Marseille, Reims, Vannes ou encore Moirans… nous avons documenté au fil des mois comment les villes se dotaient de ces outils de surveillance en toute illégalité. La loi JO vient donc légitimer une pratique existante en masquant l’étendue de cette réalité. En effet, le périmètre prévu par la loi ne prévoit la détection que de huit types d’analyses d’images. Or, les entreprises de VSA n’ont jamais caché qu’elles savaient déjà faire bien plus : reconnaissance d’émotions, reconnaissance faciale ou encore suivi et identification des personnes au travers d’attributs physiques… Le rôle de la loi JO apparaît alors comme évident : il s’agissait surtout de créer une première étape pour sortir cette technologie de l’illégalité et amorcer un projet plus large de surveillance de l’espace public.

Débusquer les mensonges

Ce processus de normalisation et d’instrumentalisation est déjà à l’œuvre. Ainsi, les villes n’ont pas attendu bien longtemps pour s’appuyer sur la récente loi JO – qui normalise la VSA dans un cadre précis – afin de légitimer les logiciels dont elles se seraient doté de façon illégale, dans leur coin. Par exemple, la ville de Saint-Denis a très récemment acheté un logiciel de vidéosurveillance algorithmique auprès de l’entreprise Two-I. Cette acquisition s’est faite en dehors du périmètre de la loi JO qui impose à la fois une autorisation préfectorale et l’utilisation d’un logiciel spécifique acquis par marché public (en l’occurrence celui de Wintics). Cependant, pour donner un vernis de légalité à cette initiative unilatérale, le maire socialiste de la commune, Mathieu Hanotin, a essayé de la rattacher autant que faire se peut aux Jeux Olympiques. Il prétendait ainsi que ce logiciel pourrait servir pour les Jeux Paralympiques (nous étions alors au mois d’août 2024) et que les algorithmes de détection seraient identiques aux usages prévus par la loi JO. Il s’agissait surtout d’un écran de fumée pour masquer l’illégalité de cette démarche, d’autant que celle-ci s’est faite en toute opacité, le conseil municipal de Saint-Denis n’ayant même pas été informé, si l’on en croit les informations du journal Le Parisien et du media StreetPress.

Autre exemple dans l’Oise, où la ville de Méru possède désormais un logiciel de détection des personnes déposant des « ordures sauvages » développé par la société Vizzia. Ce type d’usages a connu un essor important ces dernières années en raison de l’existence d’entreprises de VSA toujours plus nombreuses voulant surfer sur une image green, après avoir misé sur le fantasme de la smart city pendant des années, tout en jouant avec les différentes évolutions législatives. En effet, d’une part, il existe un cadre juridique pour l’installation de caméras dans les villes : le code de la sécurité intérieure prévoit une liste de finalités précises pour lesquelles une commune peut implanter des caméras dans les rues. Or, depuis des lois de 2019 et 2020 relatives à l’écologie, cette liste contient la « la prévention et la constatation des infractions relatives à l’abandon d’ordures, de déchets, de matériaux ou d’autres objets ».

D’autre part, la police est autorisée à avoir recours à de la « vidéoverbalisation » pour certaines infractions routières. C’est-à-dire qu’elle peut émettre des procès-verbaux de verbalisation uniquement sur la base d’enregistrements vidéo : concrètement, la police relève la plaque d’immatriculation sur l’image de vidéosurveillance et envoie une amende à la personne propriétaire du véhicule. Celle-ci reçoit alors le PV à domicile, sans aucun contact avec un·e agent·e. Or, cette possibilité est limitée à une liste précise de contraventions au code de la route, telle que le franchissement d’une ligne blanche ou un stationnement interdit. En dehors de cette liste, il n’est pas possible de vidéoverbaliser les personnes sur la seule base d’une image captée par une caméra de surveillance. D’ailleurs, ce marché de la vidéoverbalisation des délits routiers est un marché important pour les entreprises de VSA, qui proposent l’automatisation de la lecture des plaques (dites « LAPI »). Et le dépôt d’ordures, s’il peut légalement justifier la pose de caméras, ne figure pas dans la liste des infractions pouvant être vidéoverbalisées.

Pour antant, cela n’empêche aucunement des entreprises de faire croire l’inverse aux municipalités pour leur vendre leur solution. Tel est le cas de la start-up Vizzia, petite dernière dans le monde de la VSA, qui affirme sans vergogne sur son site internet qu’il « est possible de vidéo-constater les dépôts sauvages ». Vizzia explique ainsi à ses potentielles villes clientes qu’il suffirait de relever la plaque du véhicule associé à un dépot d’ordure identifié par son logiciel puis de consulter le fichier SIV (Système d’Immatriculation des Véhicules, qui recense tous les véhicules et les coordonnées de leurs propriétaires) pour identifier les auteur·rices d’un dépot sauvage d’ordures. Pour se justifier, l’entreprise va même jusqu’à citer une réponse du ministère de l’Intérieur à une sénatrice … qui dit exactement le contraire de ce qu’affirme l’entreprise ! En réalité, le ministre de l’Intérieur rappelle expressément qu’« il n’est pas possible de verbaliser le titulaire du certificat d’immatriculation du véhicule ayant servi au dépôt d’ordures ». Il conclut très clairement que les images de vidéosurveillance peuvent uniquement servir dans le cadre d’une procédure judiciaire et que le relevé de plaque est insuffisant pour constater le délit.

Ainsi, non seulement la ville de Méru – parmi tant d’autres¹Pour savoir si Vizzia est présente dans votre commune, ses clients sont affichées sur cette page https://www.vizzia.eu/nos-references – s’est doté d’un logiciel illégal mais en plus, si l’on en croit cet article de France 3 régions, elle tente de s’appuyer sur le cadre de la loi sur les Jeux Olympiques pour faire passer la pilule. Ainsi, les responsables expliquent que le dépôt d’ordure serait identique à la détection « d’objet abandonné » autorisée par la loi JO. Cela est évidemment faux et un tel usage reste totalement contraire à la réglementation de protection des données personnelles.

Surtout, le chef de la police municipale de Méru se vante du fait que l’outil de VSA de Vizzia verbalise et remplisse tout seul les procès-verbaux à partir des plaques d’immatriculation. Son constat est clair : « L’intelligence artificielle me permet de ne pas avoir d’agent derrière une caméra tout le temps. Elle m’envoie des alertes quand elle détecte une infraction. C’est l’outil qui fait le travail et moi, je n’ai plus qu’à traiter directement les infractions. Mes agents sont dédiés à d’autres missions pendant ce temps-là. On ne cherche pas l’infraction, ça tombe dans le panier tout seul. Elle traite les infractions même quand on est fermés ». Une telle posture va à rebours du discours habituel des institutions et industriels qui tentent généralement de minimiser le rôle de l’IA et préfèrent affirmer mordicus que toute décision serait in fine prise par un humain. Ici, la volonté est clairement affichée de vouloir se diriger vers une automatisation de la répression, nécessairement induite par ces technologies – un projet que que nous dénonçons depuis longtemps.

Enfin, la ville de Cannes illustre un autre exemple de stratégie d’acceptation. Elle est à ce jour la seule commune en dehors de l’Île-de-France a avoir demandé une autorisation préfectorale pour utiliser la VSA dans le cadre de la loi JO, à l’occasion du festival de cinéma en mai dernier. Elle a par ailleurs annoncé qu’elle souhaitait l’utiliser à nouveau à cinq reprises d’ici la fin de la durée légale de l’expérimentation en mars 2025, prétendant avoir été convaincue de son utilité. Pourtant, on retrouve dès 2016 des traces d’utilisation illégale de logiciels de VSA par la ville de Cannes. Cette communication de la commune démontre surtout que la ville se sert de la loi JO pour faire passer comme légal et donc acceptable ce qu’elle pratique en violation de la loi depuis des années.

Pas de VSA dans nos villes

En parallèle des gros sabots ministériels et des manœuvres des entreprises, les collectivités locales constituent ainsi des entités motrices du déploiement de la surveillance dans nos rues. C’est donc à cette échelle là que nous pouvons repousser ce projet sécuritaire. C’est également dans ces espaces que nous serons le plus audibles. En effet, la majorité des victoires passées l’ont été au niveau des communes et des quartiers. Ainsi, des habitant·es de la ville de Saint-Étienne ont réussi en 2019 à faire annuler un projet de micros « détecteurs de bruits suspects ». À Marseille et à Nice, des parents d’élèves, aux cotés de La Quadrature, ont empêché l’installation de portiques de reconnaissance faciale devant des lycées. Tandis qu’à Montpellier, la ville a adopté une délibération s’interdisant d’utiliser de la surveillance biométrique dans la ville.

Le refus des habitant·es des villes à cette technologie de surveillance est donc essentiel pour faire pression sur les mairies. Il permet aussi de peser dans la bataille de l’« acceptabilité sociale » de la VSA et dans le débat public en général. D’autant que l’évaluation prévue par la loi JO exige que soit prise en compte la « perception du public » de l’impact de la VSA sur nos libertés. En agissant dans nos villes, nous pouvons donc combattre la VSA et nous faire entendre à deux titres : auprès des maires, mais aussi du gouvernement qui souhaite pérenniser l’expérimentation.

Pour vous aider dans cette lutte, nous avons mis à disposition de nombreuses ressources. Afin de s’informer et d’informer les autres, nous avons compilé les informations relatives au contexte, au fonctionnement et aux dangers de la vidéosurveillance algorithmique dans une brochure. Elle est à lire, imprimer et diffuser au plus grand nombre ! Pour organiser l’opposition locale, renseignez-vous sur l’existence de potentiels logiciels dans votre commune en faisant des demandes de documents administratifs ou en contactant les élu·es de votre conseil municipal. Enfin, rejoignez le mouvement « Pas de VSA dans ma ville » en demandant à votre maire de s’engager à ne jamais installer de vidéosurveillance algorithmique dans sa ville. Des affiches sont également disponibles sur la page de campagne pour visibiliser cette opposition dans l’espace public. Enfin, les futures expérimentations de la loi JO, qui auront notamment lieu lors des marchés de Noël, seront l’occasion de sensibiliser et d’organiser des actions pour faire connaître cette technologie et ses dangers au plus grand nombre.

Ensemble, nous devons contrer les manœuvres visant à faire accepter la vidéosurveillance algorithmique, et rappeler le refus populaire de cette technologie. Nous devons clamer haut et fort notre opposition à devenir les cobayes d’une surveillance menée main dans la main par la police et les entreprises. Nous devons affirmer que nous ne voulons pas d’une société où chaque comportement considéré comme une « anomalie sociale » dans la rue soit traité par un dispositif technique pour alerter la police. Par nos voix communes, nous pouvons empêcher le prolongement de l’expérimentation et préserver l’espace public d’une surveillance toujours plus oppressante, afin que celui-ci reste un lieu que nous pouvons habiter et investir librement.

References[+]

References

↑1	Pour savoir si Vizzia est présente dans votre commune, ses clients sont affichées sur cette page https://www.vizzia.eu/nos-references

]]> https://www.laquadrature.net/?p=24601http://isyteck.com/autoblog/quadrature/index.php5?20241025_144007_LinkedIn_condamnee_a_310_millions_d___euros_suite_a_notre_plainte_collectiveFri, 25 Oct 2024 12:40:07 +0000Après Google et Amazon, c’est au tour de Microsoft d’être condamnée pour non respect du droit des données personnelles. Hier, l’autorité de protection des données irlandaise a adressé à Microsoft une amende de 310 millions d’euros suite à notre plainte contre son service LinkedIn, au motif du non respect du consentement de ses utilisateurs.

Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrait en application, venant renforcer le droit des données personnelles. Il donnait une place particulière au consentement, qui devenait la principale base légale à appliquer pour la collecte et l’usage des données personnelles. Le RGPD apportait également deux autres nouveautés : la possibilité de déposer des plaintes de manière collective, ainsi qu’un pouvoir de sanction donné aux CNIL de l’Union européenne. Les CNIL, responsables de l’application du règlement, peuvent dès lors adresser des amendes à hauteur de 4% du chiffre d’affaire mondial des entreprises ne respectant pas le droit. Les CNIL européennes travaillent de concert sur les plaintes, guidées par une CNIL dite « cheffe de file », celle du pays ou le siège social de l’entreprise attaquée est établi.

Quelques mois avant son entrée en application, nous avions lancé un appel aux utilisateurices de certains services des GAFAM en leur proposant de se joindre à nous pour déposer une plainte contre chacune de ces grosses entreprises. Nos plaintes, déposées avec plus de 12 000 personnes, se fondaient sur le présupposé que ces entreprises ne respecteraient pas le RGPD une fois que le règlement serait applicable, notamment car leur modèle économique est en partie construit autour de l’exploitation sans consentement des données, particulièrement Google et Facebook. Comme nous l’avions parié, plus de six ans après, ces entreprises ne respectent toujours pas notre droit fondamental à la vie privée. Amazon fut condamnée par la CNIL luxembourgeoise à une amende de 746 millions d’euros en 2021. Google, n’ayant à l’époque du dépôt des plaintes pas de siège social dans l’Union européenne, avait été condamnée par la CNIL française (lieu du dépôt de la plainte) à 50 millions d’euros d’amende, puis s’était empressée de localiser son siège social en Irlande.

L’Irlande, connue pour sa politique fiscale avantageuse, héberge les sièges sociaux de nombreuses entreprises. C’est donc l’autorité irlandaise qui s’est retrouvée cheffe de file pour la plupart de nos plaintes : celle contre Microsoft (LinkedIn) mais aussi celles contre Apple (iOS) et Meta (Facebook et Instagram) qui sont encore en cours d’instruction, ainsi qu’Alphabet (Google Search, Youtube et Gmail).
Hier, elle a donc prononcé à l’encontre de Linkedin un rappel à l’ordre, une injonction de mise en conformité du traitement et trois amendes administratives d’un montant total de 310 millions d’euros. Cette sanction est donc de bon augure pour la suite de nos plaintes, et pour le respect du droit des données personnelles. Elle vient une nouvelle fois confirmer notre interprétation du RGPD selon laquelle les services en ligne doivent garantir un accès sans contraindre leurs utilisateurices à céder leurs données personnelless. Dans le cas contraire, le consentement donné ne peut être considéré comme libre.

En revanche, il faut relever qu’il a fallu plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise.

Si nous nous réjouissons de cette petite victoire, elle reste faible. La plus grosse partie de l’Internet reste entre les mains de grosses entreprises. Ce sont elles qui hébergent nos échanges en ligne et gardent les pleins pouvoirs dessus : malgré le RGPD, la plupart d’entre elles continueront de récolter nos données sans notre consentement afin de nourrir leurs algorithmes de profilage publicitaire, transformant par la même occasion nos moindre faits et gestes en ligne en marchandises.

D’autant que ce système repose sur de la puissance de calcul et de l’énergie afin d’afficher ces images publicitaires sur nos écrans. Le tout pour toujours nous faire consommer davantage alors que la crise écologique prend de l’ampleur de jour en jour. Dans ce contexte, nous attendons avec hâte les décisions de la CNIL irlandaise concernant nos autres plaintes et espérons qu’elle sera vigilante quant au respect de la mise en conformité de LinkedIn.

Pour nous soutenir dans la suite de ce combat, n’hésitez pas à nous faire un don !

]]> https://www.laquadrature.net/?p=24532http://isyteck.com/autoblog/quadrature/index.php5?20241023_124923_Festival_Le_Nuage_etait_sous_nos_piedsWed, 23 Oct 2024 10:49:23 +0000Les data centers, ces méga-ordinateurs bétonnés dédiés au traitement et au stockage des données informatiques, prolifèrent partout dans le monde. Ils s’accaparent l’eau et l’électricité, génèrent pollutions environnementales et artificialisation des sols, multiplient les emprises foncières et la bétonisation des villes, s’accaparent les fonds publics, et accélèrent ainsi la crise socio-écologique en cours.

Pendant trois jours à Marseille, les 8, 9 et 10 novembre 2024, nous vous proposons un festival fait d’échanges, de rencontres, de projections et d’une balade-conférencée pour s’informer, s’organiser collectivement et lutter contre l’accaparement de nos territoires et de nos vies par les infrastructures du numérique techno-capitaliste dominant. Programme détaillé sur pieds.cloud.

Ce festival est à l’initiative du collectif marseillais le Nuage était sous nos pieds, composé notamment de trois entités : le collectif des Gammares, collectif d’éducation populaire sur les enjeux de l’eau, Technopolice, qui analyse et lutte contre les technologies de surveillance, et La Quadrature du Net, qui défend les libertés fondamentales dans l’environnement numérique. Depuis 2023, le collectif enquête, analyse et lutte contre les impacts sociaux, écologiques et politiques des infrastructures du numérique dominant et de leur monde. Alertées par la quasi-absence des enjeux environnementaux et territoriaux des infrastructures du numérique dans le débat public, alors même que Marseille voit se multiplier les arrivées de câbles sous-marins pour les liaisons Internet intercontinentales et l’émergence de data centers dans un grand silence politique et médiatique, le collectif propose un espace de rencontres et de discussions pour politiser la question de l’accaparement des terres et des vies par le techno-capitalisme, et créer des espaces de solidarités pour penser ensemble des pratiques d’auto-défense numérique, et d’autres mondes possibles, où l’on place le soin pour nous mêmes, les uns pour les autres et le soin de la Terre au centre de nos débats.

Le festival se veut à la fois un espace de restitution de l’enquête locale menée par le collectif Le nuage était sous nos pieds sur les impacts des data centers, câbles sous-marins intercontinentaux et autres infrastructures du numérique à Marseille, mais aussi un espace de réflexion commune en compagnie d’autres collectifs et associations marseillaises et d’ailleurs. Ouvert à toutes et tous, le festival propose de nombreuses tables-rondes, infokiosques, des projections de films, une balade et des rencontres intercollectifs. Retrouvez son programme détaillé sur pieds.cloud.

En présence des collectifs invité·es :
Tu Nube Seca Mi Rio (Talavera de la Reina, Espagne), Paris Marx – du podcast Tech Won’t Save Us (Canada), Génération Lumière (République démocratique du Congo et Lyon), StopMicro (Grenoble), Stop Mine 03 (Echassières, Allier), le Mouton numérique (France), Framasoft (France), le collectif des Gammares (Marseille), La Quadrature du Net (France), Technopolice (France), et de nombreux autres collectifs de Marseille et d’ailleurs.

En collaboration avec le Bureau des Guides 2013, le cinéma Le Gyptis, et La Cité de l’Agriculture à Marseille.
Une sélection de livres en collaboration avec la librairie Transit à Marseille, sera disponible sur tous les lieux du festival.
Tout au long du festival, retrouvez l’exposition Technopolice : 5 ans de lutte à la librairie l’Hydre aux milles têtes, 96 rue Saint-Savournin, du mardi au samedi de 10h à 19h, du 18 octobre au 19 novembre.

]]> https://www.laquadrature.net/?p=24541http://isyteck.com/autoblog/quadrature/index.php5?20241018_162450_QSPTAG__313_____18_octobre_2024Fri, 18 Oct 2024 14:24:50 +0000CNAF : recours collectif contre l’algo de la galère

La Quadrature travaille depuis des années sur les algorithmes utilisés par les administrations et les services sociaux, et en particulier sur l’algorithme de « scoring » de la Caisse nationale d’allocations familiales (CNAF). Il a fallu d’abord batailler contre l’administration pour obtenir la communication du code source, avant de publier en novembre 2023 l’analyse de la version n-1 de cet algo, la CNAF ayant refusé de fournir le code de l’algorithme en usage aujourd’hui. Et ce 16 octobre, La Quadrature et 14 autres associations de défense des droits attaquent donc l’algorithme de la CNAF devant le Conseil d’État, pour discrimination et surveillance excessive.

Cet algorithme analyse chaque mois les données personnelles (et intimes) de 13 millions de foyers touchant des allocations familiales, soit environ 32 millions de personnes en France, pour leur attribuer un « score de risque ». Si ce score est trop élevé, un contrôle est déclenché.
La CNAF présente cet outil comme un « algorithme de lutte contre la fraude ». En réalité, l’algorithme n’est évidemment pas capable de détecter des fraudes, qui supposent un mensonge intentionnel impossible à traduire en calcul. En revanche, que peut faire un algorithme ? Il peut identifier les personnes les plus susceptibles d’avoir reçu des « indus » ou des « trop-perçus », c’est-à-dire des sommes supérieures à ce que le calcul de leurs droits leur destine. Comment ? En identifiant les personnes dont la situation est la plus susceptible de provoquer des erreurs de déclaration. Qui sont ces personnes ? Celles qui changent souvent d’adresse, de travail, de situation familiale, qui sont mères célibataires, qui bénéficient de minima sociaux ou ont de faibles revenus. C’est-à-dire celles dont la vie est la plus marquée par la précarité.
Voici comment, sous couvert de « lutter contre la fraude », on traque systématiquement les personnes en difficulté.

L’analyse du code source a confirmé sans ambiguïté la fonction discriminatoire de cet algorithme. Les critères choisis et leur pondération ciblent de façon délibérée les personnes les plus précaires : famille monoparentale, bénéficiaires du RSA, personnes sans emploi, au domicile instable, etc.
Cette discrimination, couplée à une surveillance de masse (près de la moitié de la population française est concernée), nous ont poussées à saisir le Conseil d’État. Si vous voulez comprendre le raisonnement juridique qui structure le recours, tout est dans le communiqué de la coalition. Et si vous voulez suivre notre campagne de long cours contre les algorithmes administratifs, visitez notre page France Contrôle.

Lire le communiqué : https://www.laquadrature.net/2024/10/16/lalgorithme-de-notation-de-la-cnaf-attaque-devant-le-conseil-detat-par-15-organisations/

Livre : une histoire de la Technopolice

Notre campagne Technopolice a cinq ans. Félix Tréguer, chercheur et membre de La Quadrature, raconte à la première personne, dans Technopolice, la surveillance policière à l’ère de l’intelligence artificielle, ce long travail d’enquête collective sur les pratiques de surveillance numérique de la police, depuis la découverte de « l’observatoire du Big Data de de la tranquillité publique » de Marseille fin 2017, jusqu’à la légalisation de la VSA par la loi Jeux Olympiques en 2023, en passant par le récit étonnant et éclairant du quotidien d’un policier dans la ville de Denver au Colorado.

Croisant les analyses politiques et sociologiques, les enquêtes de terrain et les chiffres, l’ouvrage analyse la Technopolice comme un fait social complexe, qui met en jeu des idéologies politiques, des ambitions industrielles, des fantasmes policiers, au prise avec des problèmes matériels, économiques et humains. Et si vous voulez rencontrer l’auteur et lui poser des questions, le site recense les nombreuses rencontres en librairie à venir pour les mois d’octobre, novembre et décembre.

Lire l’article : https://www.laquadrature.net/202fondateur4/10/11/parution-du-livre-technopolice/

Action à Marseille contre le data center de trop

Le 16 septembre dernier, La Quadrature du Net et le collectif local Le nuage est sous nos pieds ont organisé une conférence de presse pour alerter au sujet de la construction d’un data center géant dans l’agglomération de Marseille : gourmand en énergie et en eau potable, ce projet s’incrit dans une logique d’inflation numérique dispendieuse, dont la nécessité n’est jamais questionnée ni soumise à la délibération démocratique de la population qu’elle touche directement. Lisez le communiqué du collectif Le nuage et sous nos pieds sur notre site.

Lire le communiqué : https://www.laquadrature.net/2024/09/16/conference-de-presse-a-marseille-contre-les-data-centers/

Agenda

• Vendredi 18 octobre 2024 : Rencontre à 19h autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle, librairie L’Hydre à mille têtes, 96 Rue Saint-Savournin, à Marseille.
• Vendredi 18 octobre 2024 : Table ronde « Visages traqués, libertés sous surveillance ? », à 19h30 au Festival des Libertés à Bruxelles, Théâtre National Wallonie-Bruxelles, Bd Émile Jacqmain 111-115, 1000 Bruxelles. Plus d’informations et programme détaillé ici.
• Mercredi 6 novembre 2024 : Rencontre à 19h autour du livre Technopolice : la surveillance policière à l’ère de l’intelligence artificielle au café-librairie Michèle Firk, 9 rue François Debergue, à Montreuil.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Livre « Technopolice »

• Technopolice : quand la surveillance policière monte d’un cran [France Inter]
• Technopolice, ou la police totale [Au poste]
• « Technopolice » : l’accélération du tempo des algorithmes, au détriment des libertés publiques [Le Monde]
• « Une surveillance algorithmique constante de l’espace public est dangereuse politiquement » [Le Monde]
• « Le droit prévu pour contenir la surveillance d’État est totalement défaillant » [Mediapart]
• Vidéosurveillance algorithmique : « C’est l’avènement d’un projet de fantasme policier » [Le Point]

Algo de la CNAF

• L’algorithme de notation de la CAF accusé d’être discriminatoire [Mediapart]
• Algorithme de ciblage antifraude dans les CAF : des associations saisissent le Conseil d’État [Le Monde]
• Algorithms Policed Welfare Systems For Years. Now They’re Under Fire for Bias [Wired]
• Fraude, indus : quinze organisations attaquent l’algorithme de la CAF devant le Conseil d’État [Next]
• Allocations familiales : des associations contestent un algorithme anti-fraude de la CNAF devant le conseil d’État [Le Figaro]
• Fraude sociale : l’algorithme de la Cnaf devant le Conseil d’État [La Croix]
• Allocations : des associations saisissent le Conseil d’État pour la suppression d’un algorithme anti-fraude [Le Parisien]
• Allocations familiales : des associations réclament l’interdiction de l’algorithme anti-fraude utilisé par la Cnaf, jugé discriminant [France Info]
• L’algorithme de notation des CAF attaqué en justice [Politis]
• Discrimination, opacité : des associations attaquent en justice l’algorithme des Caf [Basta!]
• Pourquoi le logiciel de ciblage de la CAF se retrouve devant le Conseil d’État ? [L’Humanité]
• Allocations familiales : l’algorithme anti-fraude des CAF attaqué devant le Conseil d’État [Le Télégramme]
• Accusé de cibler les plus précaires, l’algorithme de contrôle de la Cnaf attaqué en justice [Acteurs publics]
• L’algorithme de notation des Caf dans le viseur des associations [Faire-Face]
• Allocations : des associations saisissent le Conseil d’État pour la suppression d’un algorithme anti-fraude [Le Parisien]
• Allocations familiales : l’algorithme anti-fraude de la CAF est-il discriminatoire ? [Sud-Ouest]
• Fraude sociale : l’algorithme des allocations familiales attaqué devant le Conseil d’État [La Tribune]
• CAF : L’algorithme utilisé par la Caisse pour détecter les fraudes est-il discriminatoire ? [20 minutes]
• Allocations familiales : des associations saisissent la justice pour supprimer l’algorithme anti-fraude de la CAF [La Voix du Nord]
• Quinze associations saisissent le Conseil d’État pour supprimer l’algorithme anti-fraude des allocations familiales [La Provence]
• French NGOs sue public body over scoring algorithm [Euractiv]
• Quinze associations s’opposent à l’utilisation d’un algorithme de la Cnaf [Le Journal de l’économie]
• Algorithme CAF : précarité et suspicion, les associations montent au créneau [Capital]
• Ces associations veulent faire supprimer l’algorithme de notation de la CAF… et les autres [01Net]
• Allocations familiales: pourquoi les bénéficiaires du RSA et les mères célibataires sont plus contrôlés que les autres? [La Charente libre]
• Allocations : le logiciel anti-fraude de la CAF jugé discriminant, des associations réclament son abandon [L’Union]

Data center à Marseille

• Une skyline de data centers sur le port de Marseille [La Marseillaise]
• À Marseille, le développement des data centers face à l’urgence écologique/a> [Made in Marseille]
• Face à la déferlante des data centers à Marseille, riverains et associatifs tirent la sonnette d’alarme [La Provence]
• À Marseille, MRS5, le data center de trop ? [Le Méridional]
• Un sixième Data Center à Marseille [France Bleu]
• A Marseille, le nouveau projet de datacenter de Digital Realty crispe les opposants [ZDNet]
• Un cinquième data center géant s’installe à Marseille sous un feu de critiques [Libération]

Divers

• Réseaux sociaux : face aux grandes plateformes, les États redoublent de sanctions [La Croix]
]]> https://www.laquadrature.net/?p=24433http://isyteck.com/autoblog/quadrature/index.php5?20241016_121307_L___algorithme_de_notation_de_la_CNAF_attaque_devant_le_Conseil_d___Etat_par_15_organisationsWed, 16 Oct 2024 10:13:07 +0000En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

Cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé·e est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisé·es dans leurs parcours de vie. En assimilant précarité et soupçon de fraude, cet algorithme participe d’une politique de stigmatisation et de maltraitance institutionnelle des plus défavorisé·es. Les contrôles sont des moments particulièrement difficiles à vivre, générateurs d’une forte charge administrative et d’une grande anxiété. Ils s’accompagnent régulièrement de suspensions du versement des prestations, précédant des demandes de remboursements d’indus non-motivés. Dans les situations les plus graves, des allocataires se retrouvent totalement privé·es de ressources, et ce en toute illégalité. Quant aux voies de recours, elles ne sont pas toujours compréhensibles ni accessibles.

Alors que l’utilisation de tels algorithmes de notation se généralise au sein des organismes sociaux, notre coalition, regroupant des organisations aux horizons divers, vise à construire un front collectif afin de faire interdire ce type de pratiques et d’alerter sur la violence dont sont porteuses les politiques dites de « lutte contre la fraude sociale ».

« Cet algorithme est la traduction d’une politique d’acharnement contre les plus pauvres. Parce que vous êtes précaire, vous serez suspect·e aux yeux de l’algorithme, et donc contrôlé·e. C’est une double peine. » déclare Bastien Le Querrec, juriste à La Quadrature du Net.

Associations requérantes:

• La Quadrature du Net (LQDN)
• Association d’Accès aux Droits des Jeunes et d’Accompagnement vers la Majorité (AADJAM)
• Aequitaz
• Amnesty International France
• Association nationale des assistant·e·s de service social (ANAS)
• APF France handicap
• Collectif Changer de Cap
• Fondation Abbé Pierre
• Groupe d’information et de soutien des immigré·es (Gisti)
• Le Mouton numérique
• La Ligue des droits de l’Homme (LDH)
• Mouvement national des chômeurs et précaires (MNCP)
• Mouvement Français pour un Revenu de base (MFRB)
• CNDH Romeurope
• Syndicat des avocats de France (SAF)

---

Retrouvez l’ensemble de nos travaux sur la numérisation des administrations sociales et la gestion algorithmique des populations sur notre page de campagne France contrôle.

]]> https://www.laquadrature.net/?p=24349http://isyteck.com/autoblog/quadrature/index.php5?20241011_120041_Parution_du_livre_____Technopolice____Fri, 11 Oct 2024 10:00:41 +0000Technopolice, la surveillance policière à l’ère de l’intelligence artificielle paraît aujourd’hui aux éditions Divergences. Dans ce livre, Félix Tréguer, membre de La Quadrature du Net et chercheur associé au Centre Internet & Société du CNRS, fait le récit personnel d’un engagement au sein du collectif Technopolice. Mêlant les anecdotes de terrain aux analyses issues des sciences humaines et sociales, il retrace les mécanismes qui président à la technologisation croissante du maintien de l’ordre et de la gestion urbaine.

Résumé

Voici le résumé du livre, disponible dans votre librairie de quartier.

« Drones, logiciels prédictifs, vidéosurveillance algorithmique, reconnaissance faciale : le recours aux dernières technologies de contrôle se banalise au sein de la police. Loin de juguler la criminalité, toutes ces innovations contribuent en réalité à amplifier la violence d’État. Elles referment nos imaginaires politiques et placent la ville sous contrôle sécuritaire. C’est ce que montre ce livre à partir d’expériences et de savoirs forgés au cours des luttes récentes contre la surveillance policière. De l’industrie de la sécurité aux arcanes du ministère de l’Intérieur, de la CNIL au véhicule de l’officier en patrouille, il retrace les liens qu’entretient l’hégémonie techno-solutionniste avec la dérive autoritaire en cours. »

Présentations

• 12 octobre : Nice, librairie Les Parleuses, 19h
• 18 octobre : Marseille, librairie L’Hydre aux mille têtes, 19h
• 5 novembre : Paris, Mardis Informels de la Générale, 19h30
• 6 novembre : Montreuil, café-Librairie Michèle Firk, 19h00
• 7 novembre : Tours, librairie Les Temps Sauvages, 19h00
• 21 novembre : Sète, Nouvelle librairie Sétoise, 19h
• 22 novembre : Montpellier, La Carmagnole, 18h30
• 28 novembre : Toulouse, Cinéma Utopia Borderouge, 20h
• 5 décembre : Paris, caviste-librairie Rerenga Wines, 19h
• 6 décembre : Saint-Étienne, Le Méliès Saint-François, 21h
• 7 décembre : Lyon, librairie La Gryffe, 15h
• 12 décembre : Avignon, librairie Youpi !, 19h30
• 13 décembre : Arles, L’Angerie, 19h00

Retrouvez toutes les dates dans l’agenda public de La Quadrature.

Extraits

« Lorsque vient notre tour de parler, Martin et moi montons sur l’estrade. Face à l’amphi bondé, face aux képis et aux costumes-cravate, face au commandant Schoenher et à la futurologue de la préfecture de police, face au préfet Vedel et aux cadres d’Idemia ou de Thales, il nous faut déjouer le piège qui nous est tendu. Dans le peu de temps qui nous est imparti, nous leur disons que nous savons. Nous savons que ce qu’ils attendent, c’est que nous disions ce que pourraient être des lois et des usages « socialement acceptables » [s’agissant de la reconnaissance faciale]. La même proposition vient alors de nous être faite par le Forum économique mondial et le Conseil national du numérique. Un peu plus de transparence, un semblant de contrôle par la CNIL, une réduction des biais racistes et autres obstacles apparemment  »techniques » auxquels se heurtent encore ces technologies, et l’on croit possible d’assurer un compromis  »éthique » entre la défense automatisée de l’ordre public et l’État de droit.

Mais nous leur disons tout net : la reconnaissance faciale et les autres technologies de VSA [vidéosurveillance algorithmique] doivent être proscrites. Plutôt que de discuter des modalités d’un  »encadrement approprié », nous exprimons notre refus. Nous leur disons que, pour nous, la sécurité consiste d’abord en des logements dignes, un air sain, la paix économique et sociale, l’accès à l’éducation, la participation politique, l’autonomie patiemment construite, et que ces technologies n’apportent rien de tout cela. Que sous prétexte d’efficacité, elles perpétuent des logiques coloniales et déshumanisent encore davantage les rapports qu’entretiennent les bureaucraties policières à la population. »

….

« Le glissement de l’urbanisme cybernétique vers des applications techno-sécuritaires semble irrésistible. Début 1967, aux États-Unis, une autre commission lancée par le président Johnson et dirigée par l’ancien ministre de la Justice de Kennedy, Nicholas Katzenbach – qui rejoindra d’ailleurs IBM en 1969 et y fera une bonne partie de sa carrière – a, elle aussi, rendu un rapport sur la montée des « troubles à l’ordre public » (…). C’est un programme d’ampleur qui est proposé : édiction d’un plan national de R&D qui devra notamment se pencher sur l’approche des politiques pénales en termes de « système », relevés statistiques couplés au déploiement d’ordinateurs et à la géolocalisation des véhicules de police pour optimiser voire automatiser l’allocation des patrouilles et s’adapter en temps réel à la délinquance, automatisation de l’identification biométrique par empreintes digitales, technologies d’aide à la décision dans le suivi des personnes condamnées, etc. La pensée techno-sécuritaire infuse l’ensemble des recommandations. Et l’on remarquera au passage combien la police du futur des années 1960 ressemble à la nôtre. Comme si le futur, lui non plus, ne passait pas. »

…

« Lorsque la technologie échoue à rendre la police plus précise ou efficace dans la lutte contre la délinquance, cela ne signifie pas qu’elle ne produit pas d’effets. Constater un tel échec doit plutôt inviter à déplacer le regard : l’une des principales fonctions politiques dévolues aux technologies ne consiste pas tant à produire de la « sécurité publique » qu’à relégitimer l’action de la police, à redorer le blason de l’institution en faisant croire à un progrès en termes d’efficience, d’allocation des ressources, de bonne gestion, de transparence, de contrôle hiérarchique. Il en va ainsi depuis la fin du XIX^e siècle et le début de la modernisation de la police, lorsque le préfet Lépine mettait en scène l’introduction de nouveaux équipements, les bicyclettes ou les chiens de police. C’est aussi une dimension centrale des premiers chantiers informatiques des années 1960 que de rationaliser une administration perçue comme archaïque. Reste que cette promesse d’une police rendue plus acceptable, transparente ou légitime grâce à la technologie est toujours trahie dans les faits. »

…

« Tandis que l’extrême droite s’affirme de manière toujours plus décomplexée partout dans le champ du pouvoir, ces processus grâce auxquels les élites libérales gèrent la dissonance cognitive induite par leur complicité objective avec la spirale autoritaire en cours forment l’un des rouages les plus efficaces du fascisme qui vient. »



]]> https://www.laquadrature.net/?p=24336http://isyteck.com/autoblog/quadrature/index.php5?20241009_140653_Apres_les_Jeux_de_Paris__la_bataille_de_la_VSA_est_loin_d___etre_finieWed, 09 Oct 2024 12:06:53 +0000Les Jeux Olympiques et Paralympiques se sont achevés il y a un mois. Alors que les rues de Marseille ou de Paris et sa banlieue sont encore parsemées de décorations olympiennes désormais désuètes, les promoteurs de la surveillance s’empressent d’utiliser cet événement pour pousser leurs intérêts et légitimer la généralisation des dispositifs de vidéosurveillance algorithmique (VSA). Si nous ne sommes pas surpris, cette opération de communication forcée révèle une fois de plus la stratégie des apôtres de la Technopolice : rendre à tout prix acceptable une technologie dont le fonctionnement reste totalement opaque et dont les dangers sont complètement mis sous silence. Les prochains mois seront cruciaux pour peser dans le débat public et rendre audible et visible le refus populaire de ce projet techno-sécuritaire.

Des algos dans le métro

Comme prévu, la vidéosurveillance algorithmique a été largement déployée pendant les Jeux Olympiques. Il le fallait bien, puisque c’est au nom de ce méga événement sportif qu’a été justifiée l’« expérimentation » de cette technologie d’analyse et de détection des comportements des personnes dans l’espace public. Pour rappel, la loi du 19 mai 2023 relative aux Jeux Olympiques et Paralympiques de 2024 a permis aux préfectures d’autoriser un certain nombres d’acteurs à déployer des logiciels dopés à l’« intelligence artificielle » sur les images des caméras publiques afin de repérer un certain nombre de comportements soi-disant « suspects » et déclencher des alertes auprès des agents de sécurité ou des forces de l’ordre.

Contrairement à ce que le nom de la loi indique, cette capacité de mettre en place une surveillance algorithmique dépasse largement le moment des seuls Jeux Olympiques. Les policiers peuvent ainsi réquisitionner la VSA pour des « manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ». Or, ce critère de « risque » a rapidement été apprécié de façon très large. La VSA a été déployée à l’occasion de concerts, de matchs de foot, de festivals ou encore lors du défilé du 14 juillet. Également, la durée de l’expérimentation dépasse largement celle des seuls Jeux et s’étend jusqu’en mars 2025. La ville de Cannes a ainsi annoncé qu’elle déploiera la VSA à l’occasion de cinq événements à venir : les NRJ Music Awards, le Marathon des Alpes-Maritimes, le marché de Noël, le feu d’artifice du Nouvel An et… le Marché international des professionnels de l’immobilier 2025. On le comprend, il ne s’agit pas tant de prouver un lien avec un risque particulier pour la sécurité que de trouver un prétexte pour tester ces technologies.

Mais revenons aux Jeux et à ce moment de « vraie vie » selon les termes employés par Emmanuel Macron. Que s’y est-il passé ? D’abord, les algorithmes de détection de l’entreprise Wintics ont été déployés dans 46 stations de métros et 11 gares SNCF ou RER. Comme cela avait déjà pu être le cas pour d’autres expérimentations, les stations concernées n’avaient parfois aucun rapport avec les lieux où se déroulaient les épreuves des Jeux. De nouveau, les acteurs de la surveillance tordent le cadre juridique pour le plier à leurs volontés. Aussi, alors que les pouvoirs publics sont tenus d’informer les personnes filmées qu’elles sont transformées en cobayes, ceux-ci se sont contentés du service minimum. Des petites affichettes ont été placardées dans le métro, peu visibles pour les passant⋅es dont le regard était davantage incité à lire une propagande sécuritaire « légèrement » plus grande.


En très grand à droite, l’affiche de vidéosurveillance classique, en tout petit à gauche, l’affichette VSA.

Ensuite, la VSA s’est étendue aux images de l’espace public aux alentours de 11 sites des Jeux Olympiques (comme le Stade de France ou la Place de la Concorde). Pour cette surveillance des rues, la préfecture de police n’a publié que le 30 juillet au soir l’autorisation préfectorale nécessaire à cette expérimentation, qui avait pourtant débuté… le 26 juillet. Comme on suivait cela de près, nous avons déposé une plainte auprès la CNIL, et ce afin de la pousser à faire son travail en sanctionnant l’État pour ces quatre jours de surveillance illégale. Les mêmes dispositifs de VSA ont ensuite été renouvelés lors des Jeux Paralympiques pour prendre fin le 9 septembre dernier. Depuis cette date, la course à la promotion de ces outils a repris de plus belle au sein des acteurs du système de surveillance qui n’hésitent pas à jouer des coudes pour imposer leur agenda.

Opération mal masquée

Théoriquement, la loi sur les JO prévoit que cette « expérimentation » de VSA soit soumise à une évaluation par un comité créé pour l’occasion, regroupant expert·es de la société civile, parlementaires et policiers. Ce comité est chargé d’analyser l’efficacité et l’impact de cette technologie selon des critères prévus par décret. Un rapport doit ensuite être remis au Parlement, le 31 décembre 2024 au plus tard. Si nous n’avions déjà que peu d’espoir quant à la capacité pour le comité de travailler de manière indépendante et d’être entendu dans ses conclusions, il n’empêche que celui-ci existe. Le Parlement a en effet choisi de conditionner une éventuelle pérennisation du cadre expérimental de la loi JO à son évaluation. Un garde-fou minimal dont le Conseil constitutionnel a souligné l’importance pour assurer toute éventuelle pérennisation du dispositif, qui serait alors à nouveau soumise à un examen de constitutionnalité.

Cela n’empêche pourtant pas les promoteurs de la VSA de placer leurs pions en communiquant de manière opportuniste afin de faire pression sur le comité d’évaluation et l’ensemble des parlementaires. Ainsi, le 25 septembre dernier, le préfet de police et ancien ministre Laurent Nuñez a ouvert le bal lors d’une audition par les député⋅es de la commission des lois. Sans apporter aucun élément factuel étayant ses dires, sans même faire part des très probables bugs techniques qui ont certainement émaillé le déploiement d’algorithmes de VSA qui pour certains étaient testés pour la première fois à grande échelle, il affirme alors que la VSA aurait d’ores et déjà « démontré son utilité », et appelle à sa prorogation. Et il s’emploie à minimiser les atteintes pour les libertés publiques : le préfet de police assure ainsi qu’il ne s’agirait en aucun cas de surveillance généralisée mais d’une simple aide technique pour trouver des flux anormaux de personnes. Comme si la légalisation des cas d’usage les plus problématiques de la VSA, dont la reconnaissance faciale, n’étaient pas l’un des objectifs des promoteurs de la Technopolice. Même le journal Le Monde s’est inquiété de cette déclaration de Nuñez dans un éditorial dénonçant la technique du « pied dans la porte » utilisée par le préfet.

Ensuite est venu le tour du gouvernement. Dans sa déclaration de politique générale, Michel Barnier a prononcé la phrase suivante, floue au possible : « Le troisième chantier est celui de la sécurité au quotidien : les Français nous demandent d’assurer la sécurité dans chaque territoire. Nous généraliserons la méthode expérimentée pendant les Jeux olympiques et paralympiques. ». À aucun moment le Premier ministre ne précise s’il a en tête la VSA ou la concentration ahurissante de « bleus » dans les rues, ou d’autres aspects du dispositif policier massif déployé cet été. Cela n’a pas empêché France Info de publier un article largement repris dans les médias annonçant, sur la base de cette déclaration, que le gouvernement envisageait de prolonger l’expérimentation de la vidéosurveillance algorithmique. En réalité, il s’agissait d’une « interprétation » venant du ministère de l’Intérieur, pressé d’imposer l’idée d’une pérennisation, quitte à faire fi du cadre légal de l’évaluation (le nouveau ministre Bruno Retailleau ayant bien fait comprendre que le respect du droit n’était pas sa tasse de thé). Résultat de cette opération d’intox de Beauvau : Matignon, soucieux de ne pas froisser le comité, « rectifie » auprès de France Info et affirme que le gouvernement attendra bien le rapport du comité. Bref, des petites phrases et des rétropédalages qui permettent au final au gouvernement de miser sur les deux tableaux : d’un côté, il tente de préempter le débat en imposant d’emblée la perspective d’une pérennisation et, de l’autre, il s’efforce de sauver les apparences, en laissant entendre qu’il suivra scrupuleusement le processus défini dans la loi. Reste qu’à Beauvau et très certainement aussi à Matignon, la pérennisation de la VSA est un objectif partagé. Le désaccord, si désaccord il y a, semblerait plutôt porter sur le tempo des annonces.

Tout ceci nous rappelle une chose : la bataille qui se joue maintenant est celle de l’acceptabilité de la VSA. Il s’agit pour les pouvoirs publics de fabriquer le consentement de la population à une technologie présentée comme évidente et nécessaire, alors qu’elle porte en elle un projet d’accaparement sécuritaire de l’espace public, de discrimination et de contrôle social, portés à la fois par une industrie de la surveillance en croissance et un régime de moins en moins démocratique.

Pour vous informer sur la VSA et vous y opposer, retrouvez notre brochure sur le sujet et d’autres ressources sur notre page de campagne. Et pour soutenir notre travail, n’hésitez pas à faire un don.

]]> https://www.laquadrature.net/?p=24269http://isyteck.com/autoblog/quadrature/index.php5?20240916_095234_Conference_de_presse_a_Marseille_contre_les__data_centersMon, 16 Sep 2024 07:52:34 +0000À l’aune du paradigme de l’Intelligence Artificielle, les data centers sont amenés à proliférer partout sur le territoire. Ces entrepôts de serveurs dédiés au traitement et au stockage des données informatiques génèrent de nombreux conflits d’usage d’eau et d’électricité. Ils multiplient les emprises foncières et les pollutions environnementales. Ils accaparent des fonds publics et accélèrent la crise socio-écologique en cours..

Dans le cadre de son groupe de travail « Écologie et numérique », La Quadrature du Net est investie depuis plusieurs mois dans une lutte locale contre ces infrastructures à Marseille, portée notamment par le collectif « Le nuage était sous nos pieds ». Aujourd’hui, lundi 16 septembre, se tient une première conférence de presse visant à dénoncer le projet de nouveau data center de Digital Realty, l’un des plus gros acteurs mondiaux de ce marché en pleine expansion.

Ce texte reproduit la prise de parole du collectif « Le nuage était sous nos pieds » lors de cette conférence de presse visant notamment à dénoncer MRS5, le projet de nouveau data center de Digital Realty dans l’enceinte du Grand Port Maritime de Marseille (GPMM), à appeler les habitantes de la ville qui le souhaitent à répondre à l’enquête publique relative à ce projet, ainsi qu’à rejoindre et poursuivre cette lutte collective. Y participent également des représentants de la fédération des Comités d’intérêt de quartier (CIQ) des habitants du 16ème arrondissement, concernés directement par ce nouveau data center, des représentants des associations France Nature Environnement 13 et Cap au Nord, ainsi que des élu·es locaux et parlementaires NFP.

« Reprendre le contrôle sur les infrastructures du numérique ! »

Je prends aujourd’hui la parole au nom du collectif marseillais « Le nuage était sous nos pieds », qui est composé d’au moins trois entités : La Quadrature du Net, qui défend les libertés fondamentales dans l’environnement numérique ; Technopolice, qui analyse et lutte contre les technologies de surveillance ; le collectif des Gammares, collectif d’éducation populaire sur les enjeux de l’eau. Nous nous sommes rassemblées, alertées par la quasi-absence des enjeux environnementaux et territoriaux des infrastructures du numérique dans le débat public alors même que Marseille voit se multiplier les arrivées de câbles sous-marins pour les liaisons Internet intercontinentales et l’émergence de data centers dans un grand silence politique et médiatique.

La surchauffe d’intérêt général ?

Dans la plaquette de communication du MRS5 dont il est ici question, le « data center » est présenté comme étant en parfaite continuité avec les usages historiques de cet emplacement au sein du système portuaire. Le stockage de données succéderait au stockage agroalimentaire, au marché au bestiaux, au silo à sucre. On pourrait rétorquer dans un premier temps que la donnée ne se mange pas, mais plus sérieusement, il convient d’insister sur le flou que ce vocabulaire marketing entretient par rapport à l’objet technique lui-même.

Un data center n’est pas un simple entrepôt de stockage, c’est un méga-ordinateur bétonné composé de centaines de serveurs qui tournent en permanence. Les industriels du numérique et autres entreprises y louent des espaces pour pouvoir bénéficier des capacités de stockage et de la puissance de calcul de ce « méga-ordinateur », et pendant ce temps le méga-ordinateur surchauffe, renvoie l’air ou l’eau chaude dans une ville déjà trop souvent sujette à la canicule, pompe des quantités astronomiques d’eau et d’électricité sur le réseau public, et ne génère pratiquement aucun emploi direct.

On entend aussi souvent dire, par les industriels du secteur et les startupeux du gouvernement, que les data centers seraient « des projets d’intérêt national majeur », comme les ponts ou les gares ferroviaires d’hier. Qu’ils sont les nouvelles infrastructures « indispensables au fonctionnement de l’ensemble de la société française » comme le suggère l’actuel projet de loi de simplification de la vie économique, et qu’ils servent l’intérêt général. Inscrire les centres de données dans la filiation des grandes infrastructures territoriales publiques permet de faire comme s’ils relevaient de l’évidence et ne répondaient qu’à la demande naturelle du progrès civilisationnel. Si l’on considère que ces infrastructures servent réellement l’intérêt général, elles pourraient être municipalisées, et s’inscrire dans les besoins réels des collectivités territoriales plutôt que d’être confiées à des multinationales privées telle que Digital Realty.

Nous pensons que c’est l’idée même selon laquelle ces infrastructures peuvent servir l’intérêt général qui doit être remise en question. Nous pensons que l’objet « data center », ce méga-ordinateur, est imposé par une poignée de multinationales du numérique en accord avec des gouvernements avides de profits à court terme. Il est grand temps d’ouvrir la boite noire des systèmes techniques et d’admettre que les questions techniques sont toujours aussi des questions politiques. Les géants du numérique s’imposent sans aucune concertation au niveau local ou national, contournant les systèmes de planification et de décision collectives. Il faut redonner le pouvoir au peuple pour une autodétermination quant aux enjeux du numérique et explorer des alternatives décentralisées et communautaires, qui prennent soin de nous, des uns et des autres et de notre territoire.

Accaparements

Le numérique est souvent désigné comme un prétendu « cloud », un nuage qui n’a en réalité rien de vaporeux. Le « cloud », ce sont ces méga-ordinateurs reliés à travers le monde par des câbles sous-marins en fibre optique, dont 18 arrivent aujourd’hui à Marseille. Or, ces méga-ordinateurs accaparent le foncier disponible, que ce soit dans l’enceinte du GPMM et en dehors avec les quatre autres data centers de Digital Realty déjà en place MRS1, MRS2, MRS3, MRS4 et ce nouveau cinquième candidat, ou que ce soit dans les quartiers Nord, à Saint-André, à Saint-Henri, à la Belle-de-Mai, ou hors des limites municipales, comme le projet de Digital Realty à Bouc Bel Air. Il y a même un projet de data center flottant !

Ces entrepôts de serveurs s’accaparent aussi les réseaux électriques publics et l’énergie disponible, jusqu’à faire saturer leurs capacités¹. Nous prenons aujourd’hui la parole juste en face du poste source d’électricité, construit spécifiquement par Digital Realty afin d’alimenter ses centres de données. Leurs moyens capitalistiques démesurés permettent donc de construire leurs propres infrastructures électriques, sans jamais se préoccuper des conséquences sur les habitant·es et leurs territoires. Tant et si bien que les conflits d’usage s’amoncellent. Ici à Marseille, il faut choisir entre l’électrification des bus ou des quais pour les bateaux de croisières et celle de ces data centers, qui accaparent ainsi l’énergie disponible en lieu et place de nos infrastructures et services publics².

Enfin, les géants du numérique s’accaparent aussi notre eau. Le « river-cooling » utilisé à Marseille par Digital Realty pour refroidir ses data centers, n’est rien d’autre que le détournement des eaux de qualité potable de l’ancienne galerie minière de Gardanne, pour un gain énergétique peu conséquent³. Attribuer l’usage de ces eaux à ce besoin industriel pose la question de futurs conflits d’usage que les dernières sécheresses estivales nous ont laissé entrevoir. À l’échelle mondiale, la question de l’eau atteint des proportions préoccupantes : Google annonçait par exemple, en 2021, avoir utilisé plus de 15 milliards de mètres cubes d’eau pour le refroidissement de ses centres.

Greenwashing

Les services marketing des multinationales du numérique redoublent d’imagination pour nous faire croire que les data centers sont des « usines vertes », qui n’auraient aucun impact sur l’environnement. À les écouter, les centres de données seraient même des infrastructures légères, utilisant les ressources en eau et en électricité avec parcimonie et de manière « optimisée ». C’est faux.

L’urgence actuelle est d’entrer dans une trajectoire de sobriété énergétique. L’explosion des demandes énergétiques que le déploiement de data center produit n’est absolument pas compatible avec nos objectifs climatiques plus généraux. Car les ressources ne sont pas illimitées. MRS5 va s’accaparer l’eau et l’électricité, et nécessiter la construction d’autres centrales de production d’énergie verte, pourtant déjà controversées⁴. Même s’il semble parfois éculé, il faut encore une fois rappeler l’adage selon lequel « la seule énergie verte, c’est celle qu’on ne produit pas ».

Surtout que les calculs d’efficacité environnementale ont souvent la fâcheuse tendance à oblitérer et externaliser une partie de leurs impacts : jusqu’où calcule-t-on les coûts énergétiques et humains d’un data center ? Faut-il regarder les micropuces extrêmement gourmandes en eau pure, les dégâts causés par les câbles sous-marins obsolètes⁵, les autres déchets du numérique que l’ONU compte à 10,5 millions de tonnes ?

Peut-on continuer à invisibiliser les filières d’extractions minières extranationales extrêmement violentes, en République Démocratique du Congo notamment et dans le reste du monde. David Maenda Kithoko, président de l’association Génération Lumière, lui même réfugié climatique congolais, le rappelle haut et fort : la révolution numérique fait couler le sang de son peuple. MRS5 est construit sur le silo à sucre Saint-Louis, bâtiment emblématique de l’impérialisme français et du commerce colonial. Et si l’on trouvait pour cet ancien bâtiment une autre fonction, qui ne rejouerait pas ces violences, mais qui s’inscrirait réellement dans une trajectoire de sobriété et de justice sociale ?

Reprendre le contrôle

Pour finir, la question centrale qui se pose ici est : à quoi – à qui – servent ces data centers ? L’immense majorité des flux de données qui circulent dans les data centers sont à destination des entreprises. On nous laisse croire que ces méga-ordinateurs ne feraient que répondre à un besoin criant des consommateurs libres que nous serions, alors qu’une bonne partie de leurs usages nous concernant sont destinés à capter nos données personnelles et générer de la publicité pour polluer nos espaces de vie en ligne. Mais en regardant la liste des futures entreprises clientes de MRS5, on voit : Oracle Corporation, ce géant étasunien qui offre des services informatiques uniquement à des entreprises ; KP1, spécialiste de préfabriqué béton – le béton rappelons-le est responsable de 8% des émissions de gaz à effet de serre – ; Flowbird, société actrice de la « ville intelligente » ; MisterFly, agence de voyage en ligne pour la réservation d’avions, etc. En dehors d’un département de recherche en archéologie, les premiers clients connus de MRS5 ne semblent pas forcément « d’intérêt public national ». Bien au contraire, ce sont des acteurs issus du même monde technocratique que les data centers eux-mêmes.

Tout comme MRS5, des milliers de nouveaux data centers seront bientôt construits pour mieux accompagner l’essor programmé de l’Intelligence Artificielle (IA), se surajoutant à toutes les infrastructures informatiques déjà existantes. Or, on pourrait déjà légitimement se poser la question de savoir s’il n’y a pas déjà trop de numérique dans nos vies, non seulement d’un point de vue environnemental mais aussi du point de vue des impacts sociétaux. Alors que de plus en plus de professionnels de la santé nous alertent sur l’impact des écrans sur la santé mentale, le patron de Netflix peut se permettre de nommer le sommeil comme son principal concurrent. Le boom de l’IA, qui est entièrement entraînée et servie dans et par ces data centers, annonce de nombreuses nouvelles violences et violations des droits humains auxquelles nous devrons faire face : deep fakes, harcèlement, algorithmes de prises de décisions discriminatoires. C’est bien là l’un des enjeux des géants du numérique : prendre d’assaut notre temps et notre attention, en dépit de notre santé et de nos droits fondamentaux.

L’immixtion du numérique dans la plupart des champs professionnels se heurte très souvent à des résistances. Que ce soit en médecine, en agriculture, dans l’éducation, à la poste, dans les administrations, la logique qui sous-tend ce développement est presque toujours la même : l’optimisation et la dépossession technique, menant à des pertes de sens professionnel, à de l’isolement, à une intensification des cadences, à l’industrialisation. La crise professionnelle qui traverse ces secteurs est bien plus une crise de moyens humains que d’efficacité technique.

Pour autant, il n’y a pas de fatalité au « tout numérique », nous pouvons et nous devons reprendre le contrôle. Cela passe notamment par la contestation des projets de construction d’infrastructures nouvelles, telles que MRS5 de Digital Realty dans le port de Marseille.

---

L’enquête publique relative au projet MRS5 est ouverte jusqu’au 27 septembre 2024.

Vous êtes vous aussi engagé·e dans une lutte locale contre les data centers ? Écrivez-nous à : lenuageetaitsousnospieds@riseup.net.

---

1. « À l’échelle française, les prévisions les plus récentes de RTE aboutissent désormais à une demande totale des data centers de puissance de pointe de l’ordre de 8 à 9 GW, pour une consommation qui atteindrait 80 TWh/an si tous ces projets se concrétisent rapidement, loin des 10 TWh/an qu’ils consomment actuellement, mais aussi loin des prévisions de RTE, qui estimait jusqu’alors une consommation de 15 à 20 TWh/an en 2030 et 28 en 2035. » tribune de Cécile Diguet « Les data centers s’implantent de manière totalement opportuniste », juillet 2024. ︎
2. Comme noté par le conseil municipal de Marseille dans sa délibération 23/0568/VAT du 20 octobre 2023 sur la « Stratégie municipale pour une implantation planifiée et régulée des câbles sous-marins et des data centers sur le territoire marseillais ». ︎
3. D’après les documents fournis par Digital Realty lors de la présentation du projet MRS5, la réduction de la consommation énergétique du site générée par la mise en œuvre de la solution river-cooling serait de uniquement 4,33 % de l’énergie électrique annuelle totale consommée par le site. En effet cette solution ne permet pas de se passer totalement d’un refroidissement par climatisation électrique, à laquelle elle viens s’ajouter pour ne la remplacer en usage qu’à hauteur de 32%. ︎
4. D’après Cécile Diguet, les projets de data center actuellement planifiés par RTE d’ici 2030 en France consommeraient l’équivalent de la production énergétique de 3 nouvelles centrales nucléaires et demi. France Inter, émission Interception, Septembre 2024. ︎
5. D’après un rapport d’expertise écologique du Parc Marin de la Côte Bleue alertant sur l’effet des câbles sous-marins désactivés et abandonnés par Orange au début des années 2000 sur les fonds marins et l’espèce protégée des herbiers de Posidonie qui habitent ce site protégé classé Natura 2000. Voir également le travail de recherche mené par Loup Cellard et Clément Marquet sur les câbles sous-marins de Marseille et de la Côte Bleue en particulier, qui montre comment les prises de décisions en matière de pose ou de dépose de ces câbles, sont dominées par des impératifs avant tout économiques et industriels, et non pas écologiques : « Frictions sous-marines », décembre 2023. ︎
]]> https://www.laquadrature.net/?p=24257http://isyteck.com/autoblog/quadrature/index.php5?20240913_172639_QSPTAG__312_____13_septembre_2024Fri, 13 Sep 2024 15:26:39 +0000Telegram stop

Paul Durov, fondateur et président de la société qui édite la messagerie Telegram, a été arrêté en France le 24 août 2024. Le parquet lui reprocherait de ne pas modérer les contenus échangés sur la messagerie. On a aussitôt crié au mépris de la liberté d’expression et du secret des correspondances. Mais c’est mal connaître la messagerie, largement utilisée aussi comme un réseau social, avec des chaînes ouvertes ou publiques suivies par des milliers d’abonnés. De ce côté-là, rien à redire : tous les réseaux sociaux sont placés devant la même obligation de retirer les contenus illicites qui leur ont été signalés. En refusant de le faire, Telegram est en faute.

Mais le parquet est volontairement ambigu. Une ambiguïté inquiétante, parce qu’elle laisse planer le soupçon que Telegram devrait surveiller aussi le contenu des conversations privées tenues sur la messagerie. Cette attaque contre le secret des correspondances s’inscrit dans la continuité d’autres pressions judiciaires allant jusqu’à la criminalisation de l’usage du chiffrement, comme l’a montré le dossier du procès du « 8 décembre », tandis que le gouvernement a récemment multiplié les attaques contre les réseaux sociaux lors des émeutes urbaines de 2023 et cette année en Nouvelle-Calédonie. Lisez notre première analyse de ce dossier encore très nébuleux.

Lire l’article : https://www.laquadrature.net/2024/09/03/affaire-telegram-des-inquietudes-dans-un-contexte-de-guerre-contre-les-messageries-les-reseaux-sociaux-et-le-chiffrement/

La surveillance, grande gagnante des JO

Les JO de Paris 2024 ont été un tremplin pour des pratiques de surveillance sans précédent. On pense évidemment à la vidéosurveillance algorithmique (VSA), les JO ayant servi de prétexte à des législateurs opportunistes pour une « expérimentation » dont les conclusions sont tirées d’avance. Mais la surenchère sécuritaire a été l’occasion de mobiliser tous les moyens récemment acquis par la police, et notamment la grande quantité de nouveaux fichiers créés depuis vingt ans (il en existe aujourd’hui plus de 100).

C’est la lecture de la presse qui a attiré notre attention : des personnes qui devaient travailler durant les JO, en tant que bénévoles ou salariées, avaient été écartées au dernier moment — leur accréditation refusée sans plus d’explication. Après un appel à témoignages, nous avons réuni des récits individuels qui présentent plusieurs points communs : les employeurs sont avisés du refus d’accréditation sans en connaître la raison, et les personnes concernées ont toutes eu une activité politique ou militante qui a pu occasionner une interaction — même brève — avec la police.

Les fichiers de police permettent aujourd’hui d’entraver l’activité professionnelle des personnes en fonction de leur couleur politique. Une médaille de plus pour la France ? Lisez notre article pour lire les témoignages et tout savoir sur le processus de « criblage » appliqué lors des JO.

Lire l’article  : https://www.laquadrature.net/2024/07/30/jeux-olympiques-fichage-de-masse-et-discrimination-politique/

VSA en supermarché : des algorithmes illégaux et bidons ?

Les supermarchés sont des temples de la vidéosurveillance et les fabricants de VSA ne pouvaient pas laisser échapper ce juteux marché. Tandis que les grands groupes industriels s’adressent aux polices et aux États, certaines entreprises, dont la start-up française Veesion, s’adressent plus spécifiquement aux supermarchés en leur proposant des logiciels soi-disant capables d’identifier les comportements « suspects » de leurs clients. Le système offrirait deux avantages : améliorer la détection des vols, et soulager les pauvres agents de surveillance qui doivent passer la journée à s’user les yeux devant des écrans trop nombreux. Petit problème que nous avions soulevé l’an dernier : filmer les gens et analyser leur comportement avec un logiciel, c’est un traitement illégal de données biométriques.

La CNIL s’en est mêlée, confirmant notre analyse et exigeant que les magasins qui utilisent les logiciels de Veesion affichent un panneau pour informer leurs clients de ce traitement illégal. Veesion a essayé de bloquer l’intervention de la CNIL, mais le Conseil d’État lui a donné tort en juin dernier. Une bonne nouvelle, même si ce dernier rempart juridique nous semble malheureusement un peu trop fragile, dans un contexte politique plus large où la police a obtenu le droit d’utiliser les mêmes outils pour surveiller les JO et bientôt les transports en commun.

Par ailleurs, nous avons de bonnes raisons de penser que les algorithmes de Veesion sont du vent, et reposent en réalité sur des travailleurs pauvres qui vivent à Madagascar et passent leurs journées à s’user les yeux devant des écrans trop nombreux…

Lire l’article  : https://www.laquadrature.net/2024/07/18/veesion-et-surveillance-en-supermarches-vraie-illegalite-faux-algorithmes/

Pas d’oreilles numériques à Orléans

Nous avions déposé un recours il y a trois ans contre le projet de la ville d’Orléans, qui voulait installer des micros dans les rues « sensibles » , en plus des caméras déjà en place, pour détecter des situations « anormales ». Le tribunal administratif a rendu son jugement en juillet : le couplage des images et du son est illégal. Un soutien précieux dans notre lutte, quand l’État ferme les yeux sur les pratiques ordinaires des municipalités qui achètent des systèmes de VSA en toute illégalité depuis des années. Lisez notre analyse complète de cette victoire !

Lire l’article  : https://www.laquadrature.net/2024/07/17/premiere-victoire-contre-laudiosurveillance-algorithmique-devant-la-justice/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour boucler notre budget pour l’année 2024. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• 14 septembre 2024 :« J’t’ai à l’oeil », triathlon vidéosurveillé à Montreuil, rendez-vous à Croix de Chavaux à 14h. Événement organisé par la LDH-section de Montreuil, avec la participation d’Amnesty international, de l’orchestre Le Grand Marcel et de La Quadrature du Net. Voir ici.
• 25 septembre 2024 : Conférence « Vidéosurveillance algorithmique, dangers et contre-attaque » de La Quadrature du Net, à 18h15 à la Faculté des Sciences et Technologies de Nancy (bâtiment Victor Grignard, amphi 8), Vandoeuvre-lès-Nancy. Conférence organisée par le collectif Stop Vidéosurveillance 54.
• 2 octobre 2024 : Réunion mensuelle du groupe Technopolice Paris-Banlieue au Bar commun, 135 rue des poissonniers à Paris 18e, à partir de 19h.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Divers

• Quand l’IA fait écran entre l’État et ses citoyens [L’Humanité]
• Pas de vacances, galère d’appart : la vie incroyablement difficile des mères qui ont fait un enfant seules [L’ADN]
• CAF victime d’une cyber-attaque vos données ont peut-être été piratées [tuxboard]

Telegram

• Arrestation de Pavel Durov : la mise en cause de Telegram est-elle justifiée ? [France Inter]
• France’s encryption tech law used to charge Telegram founder rankles privacy advocates [Axios]
• Arrestation de Pavel Durov : la mise en cause de Telegram est-elle justifiée ? [France Culture]
• Telegram : Pavel Durov mis en examen et placé sous contrôle judiciaire [Mediapart]
• Telegram : Pavel Durov mis en examen et placé sous contrôle judiciaire [La Croix]
• Telegram : des modifications sur la modération des conversations privées ? Retour sur une confusion [France 24]
• Comment le fondateur de Telegram est devenu un « martyr de la guerre culturelle » menée par la droite conservatrice [Usbek & Rica]
• La Quadrature du Net’s co-founder, Sonntag: “Snowden fell into the trap: the Durov case is a lot more complex” [Il Fatto Quotidiano]

VSA (et JO)

• Le régime de surveillance olympique [Esprit]
• At the Olympics, AI Is Watching You [Wired]
• Paris 2024 : la vidéosurveillance algorithmique à l’épreuve des Jeux olympiques [Le Monde]
• The Olympics Have Turned Paris Into a Panopticon [The Nation]
• Aux JO 2024, un usage sans précédent des drones et des algorithmes de surveillance [Mediapart]
• Bleiben Sie bloß nicht stehen, wenn Sie in Paris sind [Stern]
• JO Paris 2024 : une association saisit la Cnil contre la vidéosurveillance algorithmique [Le Parisien]
• “La vidéosurveillance algorithmique restera après les J.O.” Entretien avec Noémie Levain [Le Poing]
• Paris 2024 : la vidéosurveillance algorithmique, cheval de Troie de la dérive sécuritaire [L’Humanité]
• JO de Paris 2024 : « Une société sécuritaire »… pourquoi la « surveillance algorithmique » est-elle autant décriée ? [La Dépêche]
• Saint-Denis va, elle aussi, tester la vidéosurveillance algorithmique [Next]
• Vidéosurveillance pendant les JO de Paris : ça ne passe toujours pas pour cette asso, qui dépose une nouvelle plainte à la CNIL [Clubic]
• Héritage des JO de Paris 2024 : la société à l’épreuve de nouveaux systèmes de surveillance [France Culture]
• À Breil-sur-Roya, le combat de Cédric Herrou contre la vidéosurveillance illégale [L’Humanité]
• La police « guest-star » des JO: comment les médias ont préparé les esprits à la société ultrasécuritaire [Au poste]
• Jeux Olympiques de Paris 2024 : test grandeur nature pour l’identification par intelligence artificielle [Euractiv]
• Jeux Olympiques et Paralympiques 2024 : La répression dans les starting blocks [Observatoire international des prisons]
• Jeux paralympiques de Paris : à Saint-Denis, l’expérimentation des caméras « intelligentes » divise [Le Parisien]
• Jeux Olympiques : faut-il gâcher la fête ? [Frustration]
• Vidéosurveillance boostée par les JO : Un pognon de dingue, une efficacité contestable [Blast]
• Militants écologistes ou pour la justice sociale, ils ont été écartés des JO [Mediapart]
• JO de Paris 2024. « Nettoyage social », surveillance, écologie : une contre cérémonie d’ouverture organisée la veille des Jeux [France 3 Paris-Ile-de-France]
• Paris 2024 : le détail d’un dispositif de sécurité hors normes [Le Monde]
• À Marseille, polémique grandit autour des JO 2024 [News of Marseille]
• Jeux olympiques : notre carte des destructions écologiques et sociales [Reporterre]
• Wikileaks Highlights ‘Experimental AI Video Surveillance’ Ahead of Paris 2024 Olympics [CCN]
• Vidéosurveillance pendant les JO de Paris 2024 : l’association La Quadrature du Net porte plainte devant la Cnil [France Info]

Orléans

• Vidéosurveillance à Orléans : la convention annulée par la justice, une victoire pour les libertés [L’Humanité]
• Sécurité : le Tribunal Administratif d’Orléans annule la convention permettant l’installation de caméras de surveillance qui écoutent aussi la rue [France 3 Centre-Val-de-Loire]
• Orléans condamnée par la Justice pour son audiosurveillance algorithmique [Le monde informatique]
• Des caméras « avec des oreilles » à Orléans : la surveillance sonore en accusation devant le tribunal administratif [La République du Centre]
• Caméras sonores : le tribunal administratif donne raison à l’association La Quadrature du Net contre la Ville d’Orléans [La République du Centre]

Algorithmes de France Travail

• Surveillance des demandeurs d’emploi par des algorithmes par France Travail : la Quadrature du Net monte au créneau [Econostrum]
• France Travail utilise une série d’algorithmes pour gérer des dossiers de ses inscrits. [Tout pour l’emploi]
• Recours croissant aux algorithmes pour surveiller les personnes sans emploi : France Travail dans le viseur de la Quadrature du Net [CafeBagdad]
• Quand France Travail teste l’IA avec le profilage algorithmique des usagers [Banque des Territoires]
• France Emploi surveille désormais les chômeurs sans qu’ils le sachent avec cet algorithme de surveillance [HelloBiz]
• Les demandeurs d’emploi surveillés par des algorithmes : France Travail au centre des critiques [Mediavenir]
• « Les machines parlent aux machines » : comment l’IA bouleverse le recrutement et la recherche d’emploi [L’Humanité]
• France Travail : plus de sous‐traitance et moins de service public [Mediapart]

Veesion et supermarchés

• Comment ces caisses automatiques de supermarché arrivent à détecter les vols et les oublis [Capital]
• French supermarket trials tills with cameras to detect thefts [The Connexion]
]]> https://www.laquadrature.net/?p=24227http://isyteck.com/autoblog/quadrature/index.php5?20240903_131552_Affaire_Telegram____des_inquietudes_dans_un_contexte_de_guerre_contre_les_messageries__les_reseaux_sociaux_et_le_chiffrementTue, 03 Sep 2024 11:15:52 +0000Le dirigeant de la plateforme Telegram, Pavel Durov, a été placé en garde à vue il y a une dizaine de jours puis mis en examen mercredi dernier. Le parquet de Paris, qui communique opportunément sur l’affaire depuis le début, met en avant l’absence de modération sur la plateforme pour justifier les poursuites. Au-delà de cette question de modération et sans tomber dans la défense d’un service en ligne peu recommandable, les quelques éléments qu’a bien voulu rendre public le parquet et sa manière de présenter l’affaire interrogent fortement, dans un contexte de mise sous pression de la France et de l’Union européenne des messageries interpersonnelles et des réseaux sociaux.

Une confusion entre messagerie et réseau social entretenue par le parquet

Telegram est à la fois une messagerie personnelle et un réseau social. C’est une messagerie personnelle puisque ses utilisateur·rices peuvent avoir des conversations privées, via des discussions individuelles ou des groupes fermés. En cela, Telegram est similaire, sur le principe, à des SMS ou des messages sur Signal ou Whatsapp. Mais c’est également un réseau social dans la mesure où Telegram offre une fonctionnalité de canaux publics, dans lesquels il est possible de diffuser massivement un contenu, à un nombre très large de personnes qui peuvent s’abonner au canal.

Dans son dernier communiqué de presse sur l’affaire Telegram, le parquet de Paris se borne pourtant à présenter Telegram comme « une application de messagerie instantanée », ce qui laisse penser que la justice ne s’intéresserait qu’aux messages privés. Pourtant, les faits reprochés à la plateforme démontrent que c’est bien l’aspect « réseau social » qui est en cause. Cette confusion est étonnante puisqu’on ne pourra pas reprocher la même chose si les messages sont publics ou s’ils sont privés.

L’absence de modération des contenus publics signalés à Telegram est un problème. Comme le rappelait Access Now en début de semaine dernière, cette critique est faite à Telegram depuis plusieurs années. Mais l’absence de modération reprochée à la plateforme ne peut que concerner des contenus publiquement accessibles, c’est-à-dire ceux publiés sur des canaux publics de Telegram ou des conversations de groupe largement ouvertes. En effet, les intermédiaires techniques comme Telegram bénéficient d’un principe d’irresponsabilité du fait des usages faits par les utilisateur·rices de leur service, irresponsabilité qui ne peut être levée que lorsque la plateforme a été notifiée du caractère illicite d’un contenu qu’elle héberge et qui, malgré cette notification, a décidé de maintenir en ligne ce contenu. Pour que Telegram puisse avoir connaissance que certains messages sont illicites, il faut donc que ces derniers soient publics¹Pour faciliter la compréhension du propos, on écartera volontairement le cas très particulier d’un message privé non-sollicité et illicite qui serait notifié par le destinataire : dans ce cas très précis, Telegram devrait également retirer de sa plateforme le contenu. afin de pouvoir être notifiés par des tiers.

Or, la communication du parquet est floue puisqu’elle entretient une confusion entre des messages privés et des messages publics. En lisant ses éléments de langage, on a le sentiment que le parquet reprocherait à Telegram de ne pas modérer les conversations privées. Une telle « modération » de contenus privés ne serait pourtant possible qu’en forçant la plateforme à surveiller de manière généralisée l’ensemble des contenus échangés sur son service, au mépris des principes éthiques et politiques les plus fondamentaux de secret des correspondances et de droit à la vie privée, et qui est explicitement interdit par le droit aujourd’hui.

Une affaire à remettre dans un contexte plus large

Notre crainte d’un parquet qui tenterait de forcer une interprétation du droit allant dans le sens d’une obligation de surveillance des conversations privées est notamment fondée par un contexte français de mise sous pression des messageries et des moyens de communication en général. Dans son dernier communiqué, le parquet reprend le même récit que dans les affaires Encrochat ou SkyECC : des téléphones avec Telegram sont apparus dans des dossiers criminels, ce qui justifierait l’enquête actuelle qui, aujourd’hui, conduit à poursuivre le dirigeant de la plateforme. Or, dans ces affaires Encrochat et SkyECC, la police française n’a pas hésité à compromettre l’intégralité de ces plateformes au motif, décidé au doigt mouillé, qu’elles seraient massivement utilisées par la grande criminalité. Le tri entre ce qui intéresse l’enquête pénale et le reste est fait après avoir décidé de la surveillance de toutes les communications échangées sur ces plateformes. Une telle logique est dangereuse : estimer qu’un service de messagerie pourrait être compromis dans son ensemble parce que la police estime que ses utilisateur·rices sont massivement des criminels est la porte ouverte aux pires abus : une surveillance de masse, décidée sur la base des seules analyses de la police (les affaires Encrochat et SkyECC ont montré que la présence d’un juge d’instruction n’est pas de nature à empêcher ces dérives) alors que n’importe quel service en ligne sera nécessairement utilisé un jour ou l’autre pour des activités illicites. Voici un scoop pour le parquet de Paris : Signal, Whatsapp ou Olvid sont aussi utilisées par des criminels.

La France n’est pas la seule à s’attaquer aux messageries. Depuis 2 ans et demi, la Commission européenne tente de forcer les messageries privées à surveiller automatiquement les conversations de leurs utilisateur·rices, avec son projet de règlement dit « CSAR », également appelé « Chat Control ». Malgré les multiples scandales autour de ce texte, la commissaire européenne Ylva Johansson continue son passage en force alors qu’elle est accusée de faire la promotion de l’industrie de la surveillance et de manipuler l’opinion en faisant de la communication en faveur du CSAR sur les réseaux sociaux grâce au ciblage de certaines personnes en fonction de leurs opinions politiques. Et dans cette bataille, la Commission européenne a réussi à rallier la France à sa position. La légitimité du CSAR est d’autant plus questionnable qu’il existe plétore d’autres moyens pour lutter contre les abus sur enfant que la surveillance des communications : éducation, prévention, réforme des institutions pour accompagner les victimes, …

À côté de cette mise sous pression des messageries, on assiste également en France à une attaque sans précédent contre les réseaux sociaux. Il y a à peine un an, alors que des violences urbaines éclataient suite au meurtre par un policier d’un adolescent en banlieue parisienne, le gouvernement accusait les réseaux sociaux de tous les maux. Emmanuel Macron annonçait qu’il voulait plus de pouvoir entre les mains de la police pour que celle-ci soit autorisée à bloquer l’accès à l’intégralité d’un réseau social en temps de crise, ou a minima pouvoir désactiver certaines fonctionnalités. En plein débat sur la loi SREN, et alors que le rapporteur du texte au Sénat était prêt à offrir ce nouveau pouvoir à la police, le gouvernement s’adonnait alors à un chantage inédit envers les plateformes consistant à brandir la menace d’une plus grande régulation des réseaux sociaux (avec plus de pouvoirs de censure policière) si ces derniers ne collaborent pas volontairement avec le gouvernement pour retirer des contenus. C’est dans ce contexte que Snapchat a admis devant l’Assemblée nationale avoir, suite à une convocation du ministère de l’intérieur, collaboré activement avec la police pour retirer des contenus dont l’illégalité n’était pas flagrante.

Pire encore, au moment des révoltes en Nouvelle-Calédonie en mai dernier, c’est le blocage de tout Tiktok qui a été exigé par le gouvernement à l’opérateur public calédonien qui fournit Internet sur l’archipel. Par une décision non-écrite, dont la justification fluctuait en fonction des commentaires dans la presse, le gouvernement a fini par trouver comme excuse à cette censure le fait que des contenus violents (mais probablement pas illégaux !) étaient diffusés sur Tiktok.

Avec cette affaire Telegram, nous espérons donc que le parquet n’est pas en train de passer à l’étape suivante, à savoir reprocher une complicité de Telegram du fait que des messages privés illicites, dont la plateforme ne pouvait avoir connaissance sans violer le secret des correspondances, auraient été échangés. À défaut d’avoir plus d’informations sur l’affaire, en particulier tant que nous n’en saurons pas plus sur la nature des messages ou des publications qui sont ciblées par le parquet, nous ne pouvons, au regard du contexte dans lequel s’inscrit cette affaire, exclure cette grave hypothèse.

L’affaire Telegram est aussi une attaque contre le chiffrement

L’affaire Telegram ne se résume pas à ces problèmes de modération : le parquet de Paris a précisé que l’affaire concerne également le « refus de communiquer, sur demande des autorités habilitées, les informations ou documents nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Il fait ici référence à l’article L. 871-2 du code de la sécurité intérieure, qui exige des opérateurs et des plateformes qu’elles collaborent avec l’autorité judiciaire en lui transmettant les « informations ou documents qui [lui] sont nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Autrement dit, opérateurs et plateformes doivent divulguer toute information qui permettrait une interception des communications dans le cadre d’une procédure judiciaire. C’est cet article qui, par exemple, oblige un opérateur téléphonique à donner à la police les éléments nécessaires pour mettre sur écoute un de ses clients. Mais la formulation de cette obligation est extrêmement floue, ouvrant la voie à des interprétations très larges²Cette disposition a d’ailleurs servi à couvrir l’accès illégal à des centaines de milliers de données de connexion par les services de renseignement intérieur avant leur légalisation en 2013 (Jean-Jacques Urvoas et Patrice Verchère, Rapport en conclusion des travaux d’une mission d’information sur l’évaluation du cadre juridique applicable aux services de renseignement, Commission des Lois de l’Assemblée nationale, 14 mai 2013, https://www.assemblee-nationale.fr/14/controle/lois/renseignement.asp). : au-delà du cas d’écoutes téléphoniques, elle s’applique également à d’autres formes de communications, et notamment au cas d’écoutes de l’ensemble du trafic Internet d’un internaute.

Pour comprendre quels documents Telegram pourrait divulguer pour qu’une interception judiciaire soit mise en place, il faut comprendre son fonctionnement technique. Lorsqu’un message est transmis via Telegram, les données sont envoyées depuis le téléphone ou l’ordinateur (c’est le « client ») jusqu’aux serveurs de Telegram. Ces messages du client aux serveurs sont chiffrés à l’aide de deux couches. La première couche de chiffrement utilisée est le fait que la connexion entre le client et les serveurs de Telegram est chiffrée par la technologie HTTPS. Puis, les messages entre le client et le serveur sont chiffrés par une deuxième couche de chiffrement, à l’aide d’un protocole maison appelée MTProto³Pour en savoir plus sur le chiffrement de Telegram, voir la synthèse de Matthew Green sur son blog et la présentation technique faite par Telegram. et qui fonctionne de manière assez similaire à HTTPS. Enfin, dans un cas très marginal activable sur demande explicite de l’internaute via la fonction de « message secret » (disponible uniquement pour les discussions individuelles), une fonctionnalité optionnelle de chiffrement de bout-en-bout est utilisée comme troisième couche de chiffrement entre deux clients.

Quels documents ou informations Telegram pourrait-il alors divulguer pour permettre à la justice de procéder à des interceptions ? Rien d’autre que les clés de chiffrement entre ses serveurs et chaque utilisateur·rice utilisées pour les deux premières couches de chiffrement : la clé privée du certificat HTTPS utilisé pour la première couche de chiffrement, et la clé privée du serveur utilisée par la deuxième couche de chiffrement. Lorsque la troisième couche de chiffrement n’est pas utilisée, une compromission des deux premières permet d’accéder aux conversations. Autrement dit, la seule manière pour l’autorité judiciaire de faire des interceptions de communications serait d’obtenir ces clés qui servent à chiffrer toutes les communications vers les serveurs de Telegram, donc d’obtenir de quoi violer le secret de toute correspondance sur Telegram qui ne serait pas également chiffrée par la fonctionnalité optionnelle de « message secret ».

Alors que le refus de communiquer ces informations est lourdement puni de deux ans d’emprisonnement et de 150 000 € d’amende, il semble qu’aucune condamnation n’ait jamais été prononcée (nous n’avons en tout cas trouvé aucune décision par un tribunal), probablement parce que forcer les plateformes à une telle compromission pose de sérieuses questions de conformité à la Constitution, notamment au regard du droit à la vie privée et du droit à la liberté d’expression.

Ici encore, en absence de plus de détails sur l’affaire, nous ne pouvons qu’émettre des hypothèses. Mais notre crainte est fondée sur un contexte d’attaques incessantes contre le chiffrement. Il faut ici rappeler l’affaire du 8-Décembre, dans laquelle La Quadrature s’est largement mobilisée aux côtés de plus de 130 personnes et organisations : le jugement de première instance a retenu, pour caractériser un soi-disant comportement clandestin justifiant une condamnation, le fait que les personnes mises en cause utilisaient des messageries chiffrées. Signalons également les attaques du gouvernement contre la confidentialité des communications : après l’attentat d’Aras, Gérald Darmanin surfait sur ce drame pour exiger l’ajout de portes dérobées dans les messageries, ciblant explicitement « Signal, Whatsapp, Telegram », tout en reconnaissant que le droit ne l’autorisait actuellement pas. Le parquet serait-il en train de forcer une autre interprétation du droit ? Nous le craignons.

De manière toute aussi choquante, le parquet invoque également une vieille obligation de déclarer « la fourniture ou l’importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité », qui exige notamment de mettre à disposition le code source dudit outil à l’ANSSI. Le fait de ne pas procéder à cette déclaration est punie d’un an d’emprisonnement et d’une amende de 15 000 euros. Il s’agit d’un délit archaïque en 2024, qui n’a d’ailleurs jamais été sanctionné à notre connaissance. Et pour cause : réguler ainsi les outils de chiffrement est anachronique, alors que le chiffrement est omniprésent au quotidien. Nouveau scoop pour le parquet : chaque responsable d’un site web sécurisant en HTTPS la connexion des internautes à son service fournit ou importe un « moyen de cryptologie ».

Des questions en suspens et un parquet à la manœuvre communicationnelle

Dans cette affaire, on observe également une communication millimétrée de la part du parquet. Ainsi, dès le lendemain de la garde à vue du dirigeant de Telegram, le parquet faisant fuiter par l’AFP le fait qu’était reproché à Telegram une absence de modération. Alors que, on l’a dit plus haut, l’absence de modération sur les canaux publics de Telegram est effectivement un problème, les « sources proches du dossier » (comprendre : le parquet) passaient sous silence les charges relatives à la fourniture ou l’importation d’un « moyen de cryptologie » sans déclaration et le délit de ne pas divulguer les documents permettant la mise en place d’interceptions judiciaires.

Autre coup de communication étrange du parquet : il semble avoir fait fuiter via Politico des extraits de documents judiciaires qui indiqueraient que « la messagerie a laissé “sans réponse” une demande d’identification d’un de ses utilisateurs dans une enquête de la police française sur des faits de pédopornographie »⁴Par souci de rigueur, on rappellera que cette fuite pourrait aussi provenir de la défense de Pavel Durov. Mais cela est peu probable compte tenu de la description négative de Telegram faite par cette fuite.. Cette information est, depuis, reprise un peu partout dans la presse. Il est vrai qu’une plateforme comme Telegram est tenue de communiquer, sur demande de la justice, les informations qu’elle détient sur un de ses utilisateur·rices (souvent il s’agit de l’adresse IP associée à un compte). Mais ne pas répondre à une telle réquisition judiciaire n’est sanctionné au maximum que d’une amende de 3750€. Il ne s’agit donc pas de faits qui justifient une garde à vue de 96 heures (ce qui n’est possible que pour des faits de criminalité grave).

On peut supposer qu’il est vrai que Telegram n’a pas répondu à une réquisition judiciaire demandant d’identifier un·e de ses utilisateur·rices ; ce serait cohérent avec la politique d’absence de retrait de contenu de la plateforme. Mais il ne s’agit ici que d’un élément de contexte, et non une incrimination : le communiqué de presse du parquet, qui liste les faits reprochés au dirigeant de Telegram ne fait d’ailleurs pas référence à l’absence de réponse aux réquisitions judiciaires.

Beaucoup de questions restent donc encore sans réponse. En l’absence d’éléments précis sur l’affaire, on ne peut à ce stade faire que des hypothèses. Mais les quelques éléments distillés par le parquet, qui n’est pas neutre dans cette affaire puisqu’il conduit l’enquête, sont préoccupants. Telegram n’est pas une plateforme recommandable : non-sécurisée, centralisée, aux mains d’une entreprise opaque, elle est aux antipodes des valeurs que défend La Quadrature. Mais comme lorsque le réseau social toxique Tiktok a été bloqué en Nouvelle-Calédonie, il s’agit ici de s’opposer à un dévoiement des règles du droit pénal dont les prochaines victimes seront les personnes que nous défendons : les internautes soucieux·ses de protéger leur vie privée, les messageries réellement chiffrées, les réseaux sociaux décentralisés. Alors pour nous permettre de continuer de jouer notre rôle de vigie, vous pouvez nous faire un don.

References[+]

References

↑1	Pour faciliter la compréhension du propos, on écartera volontairement le cas très particulier d’un message privé non-sollicité et illicite qui serait notifié par le destinataire : dans ce cas très précis, Telegram devrait également retirer de sa plateforme le contenu.
↑2	Cette disposition a d’ailleurs servi à couvrir l’accès illégal à des centaines de milliers de données de connexion par les services de renseignement intérieur avant leur légalisation en 2013 (Jean-Jacques Urvoas et Patrice Verchère, Rapport en conclusion des travaux d’une mission d’information sur l’évaluation du cadre juridique applicable aux services de renseignement, Commission des Lois de l’Assemblée nationale, 14 mai 2013, https://www.assemblee-nationale.fr/14/controle/lois/renseignement.asp).
↑3	Pour en savoir plus sur le chiffrement de Telegram, voir la synthèse de Matthew Green sur son blog et la présentation technique faite par Telegram.
↑4	Par souci de rigueur, on rappellera que cette fuite pourrait aussi provenir de la défense de Pavel Durov. Mais cela est peu probable compte tenu de la description négative de Telegram faite par cette fuite.

]]> https://www.laquadrature.net/?p=24144http://isyteck.com/autoblog/quadrature/index.php5?20240730_115646_Jeux_Olympiques____fichage_de_masse_et_discrimination_politiqueTue, 30 Jul 2024 09:56:46 +0000Les Jeux Olympiques viennent de débuter, la surveillance et la répression y sont reines. En vue de cet évènement, l’État a mis en œuvre tous les pouvoirs sécuritaires accumulés ces dernières années : drones, QR code, périmètres de sécurité, vidéosurveillance algorithmique, assignations à résidence, présence policière intense, hélicoptères… De façon inédite, l’ensemble de ces moyens sont employés en même temps et à une échelle très importante. Au gré de cet emballement répressif, une autre mesure exceptionnelle mérite l’attention : l’utilisation hors norme des fichiers de police pour écarter des emplois liés aux JO les personnes ayant des activités militantes. Une forme de discrimination fondée sur des critères opaques et proprement inacceptable.

Fouiller le passé au nom de la sécurité

En France, l’accumulation d’informations sur la population à travers le fichage est une pratique ancienne et énormément utilisée par la police et le renseignement. Mais depuis une vingtaine d’années le nombre de fichiers a explosé, tout comme le périmètre des informations collectées et des personnes visées. En parallèle, leurs usages ont été largement facilités, avec peu de contrôle, tandis que leur légitimité est de moins en moins contestée dans la sphère politique et médiatique. Rappelons – au cas où cela aurait été oublié – que dans une logique démocratique, l’État n’a pas à connaître ce que fait ou pense sa population et que ce n’est que par exception qu’il peut garder en mémoire certaines informations concernant les faits et gestes d’individus. Cependant, et nous l’observons malheureusement pour toute forme de surveillance, ces principes théoriques sont écartés au nom de la sécurité et de « l’utilité ». Toute information disponible peut dès lors être conservée de façon préventive, peu importe la proportionnalité, la nécessité ou le fait que cela transforme chaque personne exposant des informations personnelles en potentiel suspect. Avec les Jeux Olympiques, nous avons aujourd’hui un exemple d’où cette démesure, couplée à une criminalisation croissante du militantisme, mène.

En 2016, la loi relative à la procédure pénale a créé la notion de « grand évènement ». Définie par l’article L.211-11-1 du code de la sécurité intérieure, elle recouvre des évènements exposés « par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste». Lorsqu’un rassemblement est désigné comme tel par décret, toute personne y travaillant de près ou loin (technicien·ne, bénévole, soignant·e, agent·e de sécurité…) doit alors faire l’objet d’une enquête administrative. À la suite de cette enquête, le « service national des enquêtes administratives de sécurité » (SNEAS) créé en 2017 délivre un avis désormais contraignant. S’il est défavorable, la personne ne pourra alors pas se rendre et travailler sur l’évènement.

Si des sommets géopolitiques ont été qualifiés de « grand évènement », c’est également le cas pour le Festival de Cannes, la Route du Rhum ou la Fête du citron à Menton. Dès 2021, les Jeux Olympiques 2024 ont ainsi été désignés comme « grand évènement », englobant par là l’ensemble des infrastructures, sites et animations associés aux Jeux. Cela a donc impliqué que des enquêtes soient effectuées sur un nombre immense de personnes, à la fois les équipes et délégations sportives mais également toute personne devant travailler autour de cet évènement. S’agissant des Jeux Olympiques, le 17 juillet dernier, le ministre de l’intérieur annonçait que 870 000 enquêtes avaient été menées conduisant à écarter « 3 922 personnes susceptibles de constituer une menace sur la sécurité de l’événement ». Gérald Darmanin se targuait ainsi que « 131 personnes fichées S » et « 167 personnes fichées à l’ultragauche » s’étaient vu refuser leur accréditation. Mais derrière cet effet d’annonce, il y a une réalité, celle d’une surveillance massive et de choix arbitraires opérés en toute opacité.

Une interconnexion massive de fichiers

Concrètement, les agents du SNEAS interrogent un système dénommé « ACCReD », créé en 2017 et qui interconnecte désormais 14 fichiers. Le système ACCReD a été créé pour faciliter ce que l’on appelle les « enquêtes administratives de sécurité ». Ce type d’enquête est encadré par l’article L.114-1 du code de la sécurité intérieure. Originellement prévu pour le recrutement d’emplois dans les secteurs sensibles, elle est aujourd’hui utilisée pour un spectre bien plus large, dont l’instruction des demandes d’acquisition de la nationalité française et la délivrance des titres de séjour. La CNIL exigeait ainsi en 2019 que soit précisé le périmètre de ces enquêtes, d’autant qu’elles « conditionnent l’adoption de décisions administratives nombreuses, très diverses et ne présentant pas toutes le même degré de sensibilité¹Voir la Délibération CNIL n°2019-06, 11 juillet 2019, portant avis sur un projet de décret modifiant le décret n°2017- 1224 du 3 août 2017 portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD), accessible ici ».

ACCReD interroge de nombreux fichiers²Voir la liste complète à l’article R.211-32 du code de la sécurité intérieure aux périmètres et objets très différents. Parmi eux on retrouve le fichier de traitement des antécédents judiciaires (TAJ) qui rassemble les informations de toute personne ayant eu affaire à la police, même si celle-ci n’a pas fait l’objet de poursuite ou a été ensuite relaxée. Les personnes interpellées à l’occasion de manifestations ou d’actions politiques sont donc dans le TAJ. Contenant environ 20 millions de fiches, le TAJ est un véritable fourre-tout comprenant de nombreuses données incorrectes. Dans un rapport de 2019, des députés pourtant de droite dénonçaient même le dévoiement de sa finalité première « pour se rapprocher du rôle du casier judiciaire » et que « le fait que le TAJ contienne de nombreuses informations inexactes (erreurs diverses, absence de prise en compte de suites judiciaires favorables par l’effacement des données ou l’ajout d’une mention) [puisse] en effet avoir des conséquences extrêmement lourdes pour les personnes concernées par une enquête administrative. ³Didier Paris, Pierre Morel-À-L’Huissier, Rapport d’information sur les fichiers mis à la disposition des forces de sécurité, 17 octobre 2018, page 58, URL : https://www.assemblee-nationale.fr/dyn/15/rapports/cion_lois/l15b1335_rapport-information.pdf»

Il y a également le fichier des personnes recherchées (FPR) contenant les célèbres fiches S compilées de manière discrétionnaire par la police, le fichier des données relatives aux objets et véhicules volés ou signalés ainsi que le fichier d’information Schengen sur les personnes recherchées dans l’Union européenne. Mais ACCReD interroge aussi d’autres fichiers de renseignement politique comme le PASP et le GIPASP, contestés il y a quelques années en justice pour leur champ extrêmement large : opinions politiques, état de santé, activités sur les réseaux sociaux ou encore convictions religieuses… Ces fichiers ayant malgré tout été validés par le Conseil d’État, la police et la gendarmerie sont donc autorisées à collecter de nombreuses informations sur les personnes « dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique ou à la sûreté de l’État ». Cette définition large et floue permet en pratique de cibler de nombreuses personnes, et notamment des militant·es.

D’autres fichiers de renseignements sont interrogés mais ceux-ci sont classés secret-défense ou font l’objet de décrets non publiés, ce qui signifie qu’il est impossible de savoir précisément ce qu’ils contiennent et qui y a accès⁴L’ article 1er du décret n°2007-914 du 15 mai 2007 liste l’ensemble des fichiers de renseignement qui ne font pas l’objet de publication. Il en est ainsi du fichier de traitement des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), du fichier CRISTINA, (pour « centralisation du renseignement intérieur pour la sécurité du territoire et des intérêts nationaux ») du fichier GESTEREXT (« Gestion du terrorisme et des extrémistes à potentialité violente ») géré par la Direction du renseignement de la Préfecture de Police de Paris (DRPP). Depuis fin 2023, l’extrait B2 du casier judiciaire, deux fichiers d’Interpol ainsi que deux fichiers de renseignement non publiés ont fait leur entrée dans ACCReD, en l’occurrence le fichier SIRCID (système d’information du renseignement de contre-ingérence de la défense) et le fichier TREX de la Direction générale de la sécurité extérieure (DGSE). Pour en savoir plus sur l’ensemble de ces fichiers, vous pouvez trouver des informations dans la brochure « La folle volonté de tout contrôler », qui propose également des modèles de courriers pour demander à accéder à ses données et faire supprimer des fiches.

On le comprend, à travers la consultation de ces fichiers – aussi appelé « criblage » – le SNEAS a accès a une montagne d’informations. Si le nom de la personne apparaît dans un ou plusieurs de ces fichiers, l’agent du service doit, en théorie, évaluer à partir des informations accessibles si son comportement ou ses agissements « sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l’État ». Si tel est le cas, il délivre un avis défavorable que l’organisateur de l’évènement est obligé de suivre et doit donc refuser d’employer la personne. Mais en pratique, il n’existe aucune information sur la manière dont cette évaluation est faite ni sur les critères utilisés pour évaluer un tel « risque ». Cette appréciation se fait donc de manière opaque et arbitraire, sur la base d’une définition large et floue, et la motivation du rejet ne sera jamais communiquée.

De plus, la loi précise bien que les enquêtes administratives ne peuvent pas concerner les spectateur·ices des grands évènements. Pourtant, le préfet de police Laurent Nuñez a affirmé lors d’une conférence de presse le 25 avril dernier que la préfecture avait « la possibilité de faire un certain nombre d’enquêtes » sur les spectateur·ices de la cérémonie d’ouverture. Le média AEF indique ainsi que l’entourage de Darmanin a évoqué « un criblage par la Direction du renseignement de la Préfecture de police (DRPP) de toute personne dont on pense sérieusement qu’elle présente un problème ». En effet, puisque les spectateur·ices étaient obligé·es de s’inscrire sur une plateforme, il était possible de récupérer leurs noms et de faire une enquête via des moyens détournés. En l’occurrence, la DRPP est un service de renseignement dit du « second cercle », qui dispose de nombreuses attributions, parmi lesquelles la consultation de fichiers identiques à ceux présents dans dans le système ACCReD. Ainsi, l’article R234-4 du code de la sécurité intérieure lui permet de consulter le fichier TAJ et l’article R236-16 l’autorise à accéder au PASP, c’est à dire les deux fichiers susceptibles de contenir des informations sur les activités politiques. Au nom des Jeux Olympiques, l’État et la préfecture de police contournent la loi et jouent avec le droit pour étendre toujours plus leur contrôle.

Une discrimination politique inédite

Alors que ce « criblage » a concerné des centaines de milliers de personnes, des récits relatifs à des refus d’accréditation ont commencé à émerger ces dernières semaines. Il en ressort que la principale cause potentielle de la mise à l’écart de certaines personnes réside dans leur activité militante, à l’instar de Léon, intermittent du spectacle dont le témoignage a été publié par Mediapart. Nous avons donc lancé un appel à témoignages, et ceux-ci se sont avérés nombreux. En voici quelques-uns (tous les prénoms ont été modifiés).

Jeanne est secouriste bénévole et l’association dont elle fait partie a été sollicitée pour les JO. Jeanne s’est donc proposée pour se mobiliser une semaine. En parallèle, elle milite contre le dérèglement climatique depuis plusieurs années et a notamment participé à différentes actions de désobéissance civile au cours desquelles elle s’est fait arrêter par la police, sans jamais être poursuivie ni condamnée. Début juin, le président de l’antenne locale de son association de secourisme a reçu une lettre de refus de l’organisation des JO. Elle ne pourra pas exercer comme secouriste durant les JO, malgré la demande.

Marc est salarié d’un opérateur de transport et devait travailler pendant les JO pour les dépôts de bus des accrédités et athlètes. Mais Marc fait partie d’Extinction Rebellion. Il a été contrôlé en manifestation et a participé à des actions de désobéissance civile, ce qui l’a mené à être arrêté et gardé à vue deux fois. Il est le seul des 300 personnes de son employeur mobilisées sur ces sites à s’être vu refuser son accréditation.

Simon devait travailler pour l’accueil du public dans un stade où il y a des épreuves des JO. Il avait déjà reçu son emploi du temps lorsqu’il a reçu son refus d’accréditation le 12 juillet dernier. Par le passé, il a été reconnu coupable pour entrave à la circulation dans le cadre du mouvement des Gilets jaunes, mais a été dispensé de peine. Il milite également au sein d’Extinction Rebellion et des Soulèvements de la Terre.

Juliette est une militante qui a subi quelques gardes à vue dans le cadre de manifestations. Poursuivie une fois, elle a été relaxée avec un stage de citoyenneté. Elle devait être bénévole en secourisme, mais n’a jamais reçu son autorisation, quand le reste des membres de son association l’ont eue.

Mathieu travaille depuis plusieurs années pour une chaîne de télévision comme opérateur de prise de vue. Il a milité pendant plus d’une dizaine d’années dans des associations de chômeurs avec lesquelles il a fait des actions d’occupation, ce qui l’a conduit à des interpellations et des gardes à vue il y a plus de 10 ans. Plus récemment, en 2020, il a été envoyé par une chaîne afin de filmer les militant·es d’Alternatiba lors de l’envahissement du tarmac de Roissy. Il a été arrêté avec elles et eux, et malgré sa lettre de mission et l’intervention de l’avocat de la chaîne, il a fait 12 heures de garde à vue. Depuis 2023, il se voit désormais refuser l’entrée des ministères au sein desquels il doit filmer, alors qu’il l’a fait pendant 20 ans. Pour les JO, il reçoit le même traitement de faveur : un avis défavorable du SNEAS qui l’empêche d’accéder au Paris Media Center. Même si son employeur est compréhensif, il est néanmoins beaucoup moins appelé qu’auparavant pour des missions de travail.

Camille devait travailler pendant les Jeux et animer des visites pour les touristes, via un opérateur affilié à Paris 2024. Elle participe à des activités de désobéissance civile depuis une petite année. Son identité a été relevée par les policiers au cours d’une de ces actions. Son nom a aussi été utilisé pour déclarer une manifestation dénonçant les violences sexistes et sexuelles devant une école de commerce, où étaient présents des agents des renseignements territoriaux. Elle a été prévenue la dernière semaine de juin qu’elle ne pourrait pas travailler pendant les JO. Elle n’a jamais obtenu de réponse de la part de l’adresse mail indiquée à laquelle elle a écrit pour contester.

Thomas, professionnel de l’audiovisuel, avait obtenu un contrat pour participer à la réalisation des Jeux afin d’opérer une prestation technique complexe. Début juillet, il est extrêmement surpris quand il reçoit un refus d’accréditation. Il n’a jamais eu aucune interaction avec la police à part pour une altercation en voiture, il y a longtemps. Il évolue dans un cercle amical militant et a participé il y a quelques années à des actions et réunions d’Extinction Rebellion, sans en avoir été organisateur. Il soupçonne donc être dans un fichier de renseignement.

Loris travaille pour l’hôtel de luxe du Collectionneur, dans lequel le comité international olympique réside pour les JO. Loris est délégué Syndical CGT et participe aux négociations annuelles qui ont lieu en ce moment. Mais il ne peut plus se rendre à l’hôtel – et donc négocier – depuis qu’il a reçu un avis négatif du SNEAS. Par le passé, il avait été interpellé et contrôlé par la police dans le cadre de sa participation à la défense de la cause arménienne. La CGT a publié un communiqué dénonçant cette situation inédite.

Théo, intermittent du spectacle, devait effectuer une mission de dix jours en tant que technicien afin d’installer les systèmes de sonorisation de la cérémonie d’ouverture. Il ne fait pas partie d’une association en particulier, mais a participé à un certain nombre de manifestations. Il a été interpellé l’année dernière lors des arrestations massives ayant eu lieu pendant le mouvement contre la réforme des retraites. Il est ressorti sans poursuite, mais il n’a pas pu travailler, faute d’avis favorable. Une situation très proche de celle d’Elie, également technicien son. Pour sa part, il avait fait une garde à vue après une manifestation étudiante le lendemain de l’annonce du recours au 49-3. Elie a aussi pu être arrêté – sans poursuite – au cours de free parties.

Une criminalisation aux conséquences concrètes

Au regard des situations décrites ci-dessus, il semble très probable que le SNEAS ait eu pour consigne d’écarter toute les personnes ayant un lien avec des actions militantes, sans une quelconque forme de nuance. La plupart d’entre elles se sont vu notifier abruptement cette décision, sans aucun moyen de la contester ou de faire un recours. Pour toutes ces personnes – et toutes les autres qui seraient concernées – un tel refus signifie faire une croix sur une mission, sur une activité souhaitée, et pour la majorité sur de l’argent sur lequel elles comptaient pour vivre. C’est aussi devoir se justifier et dévoiler sa vie privée à la structure qui les emploie ou celle où elles exercent, pour expliquer un tel avis défavorable, et risquer d’autres conséquences futures. Enfin, c’est comprendre qu’elles se retrouvent « marquées » comme de potentiel·les délinquant·es ou en tout cas comme une source de risques pour la sécurité.

Surtout, ces témoignages dévoilent non seulement l’ampleur de l’édifice de fichage qui s’est construit petit à petit mais également les potentielles applications concrètes de discrimination à une échelle importante. Couplée aux mécanismes « d’exception » développés en réaction aux attentats des années 2010 – dont les « grands évènements » font partie – cette accumulation d’information sur la population permet de façon bien concrète d’écarter des personnes de la société, en tant qu’« ennemis d’État ».

Au sein de La Quadrature du Net, nous avons connaissance de ces dispositifs, nous en suivons les terribles évolutions et nous en documentons les risques de potentielles utilisations liberticides. Ici c’est une application massive et plus que dangereuse qui s’est concrétisée au prétexte de sécuriser les Jeux Olympiques. Le système tentaculaire du contrôle policier et de la multiplication des fichiers de police montre une nouvelle efficacité : être en capacité – à très grande échelle – d’exclure, isoler, contraindre des individus et de les priver de leurs libertés en dehors de tout cadre judiciaire et par des décisions administratives arbitraires. Cela peut se faire en dehors de toute condamnation passée ou dans une forme de « double peine » possible à vie pour des condamnations pourtant très limitées. Loin de toute mesure supposément « ciblée » – comme le gouvernement aime le laisser entendre – il s’agit bel et bien d’une surveillance massive de la population sur laquelle est opérée un tri arbitraire et politique.

Cette discrimination politique s’accompagne de la répression et de l’invisibilisation de toute forme de critique des Jeux Olympiques. Des personnes ont été assignées à résidence, des manifestations ont été interdites sur le parcours de la flamme, des militant·es ont été arrêté·es notamment pour avoir collé des stickers dans le métro ou ont été considéré·es comme saboteurices pour des bottes de paille, tandis que des journalistes ont été placés en garde à vue pour avoir couvert une visite symbolique des dégâts causés par les Jeux en Seine-Saint-Denis, organisée par Saccage 2024. Cette répression inquiétante s’inscrit dans la continuité des discours et des volontés politiques visant à criminaliser toute forme d’activisme.

En régime représentatif, la critique du pouvoir et de ses institutions par des actions militantes est la condition de tout réel processus démocratique. Pourtant, en France, les formes de contestation – chaque jour plus essentielles au regard des urgences liées au dérèglement climatique et à la résurgence forte des idées racistes – sont de plus en plus réprimées, quels que soient leurs modes d’expression (manifestation, désobéissance civile, blocage, expression sur les réseaux sociaux…). Cette modification rapide et brutale de la manière dont sont perçues et bloquées des actions de contestation, qui étaient depuis toujours tolérées et même écoutées par les pouvoirs publics, renverse l’équilibre voulu en démocratie. Quand tout le monde ou presque peut être considéré comme une menace potentielle, quand on doit questionner ses opinions politiques pour obtenir un emploi, quand il apparaît acceptable que l’État en sache toujours plus sur sa population au nom d’un risque pour la sécurité qui est présenté comme permanent et impérieux, comment se prétendre encore du camp démocratique ?

Malgré une machine répressive lancée à pleine vitesse, malgré l’inquiétude légitime, il est néanmoins toujours plus urgent et crucial de continuer à militer, de continuer à organiser des actions pour se faire entendre. Cela demeure la meilleure méthode pour dénoncer les abus de pouvoirs et les dérives liberticides aujourd’hui amplifiées au nom de « l’esprit olympique ».

References[+]

References

↑1	Voir la Délibération CNIL n°2019-06, 11 juillet 2019, portant avis sur un projet de décret modifiant le décret n°2017- 1224 du 3 août 2017 portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD), accessible ici
↑2	Voir la liste complète à l’article R.211-32 du code de la sécurité intérieure
↑3	Didier Paris, Pierre Morel-À-L’Huissier, Rapport d’information sur les fichiers mis à la disposition des forces de sécurité, 17 octobre 2018, page 58, URL : https://www.assemblee-nationale.fr/dyn/15/rapports/cion_lois/l15b1335_rapport-information.pdf
↑4	L’ article 1er du décret n°2007-914 du 15 mai 2007 liste l’ensemble des fichiers de renseignement qui ne font pas l’objet de publication

]]> https://www.laquadrature.net/?p=24133http://isyteck.com/autoblog/quadrature/index.php5?20240718_144104_Veesion_et_surveillance_en_supermarches____vraie_illegalite__faux_algorithmes___Thu, 18 Jul 2024 12:41:04 +0000Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance.

Autre fait passé inaperçu : la délocalisation à Madagascar d’une partie de travail de Veesion – et la possible remise en cause de l’authenticité de son algorithme.

La surveillance algorithmique, ce n’est pas que pour nos rues, villes, espaces publics. Comme les caméras, ces dispositifs de surveillance s’étendent, se normalisent et s’insinuent petit à petit dans nos quotidiens. Veesion est une start-up française qui vend un logiciel de surveillance algorithmique pour soi-disant détecter les vols en supermarché.

Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage » (pour reprendre l’expression d’un publi-reportage de la société par le journal d’extrême-droite le JDD).

L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé. Dans sa présentation en 2021 (sur un post Medium aujourd’hui supprimé), le créateur de Veesion allait plus loin : son logiciel devait protéger la grande distribution des troubles sociaux à venir du fait de la détresse sociale (comprendre : protéger les grandes surfaces des populations pauvres poussées au vol par la situation économique).

Le problème est double. Non seulement, Veesion se vante de faire du business sur la détresse sociale mais leur logiciel est également illégal. D’autant qu’il n’est pas certain que cet algorithme existe réellement.

Une start-up multiprimée, subventionnée… et purement illégale

La Quadrature du Net avait tiré la sonnette d’alarme dès le début : en surveillant les gestes de ses clients, la start-up analyse des données comportementales – dites biométriques – particulièrement protégées au niveau du droit français et européen. Un tel traitement est par principe interdit par l’article 9 du RGPD et l’article 6 de la loi Informatique et Libertés, et les exceptions à cette interdiction sont strictes. Or, aucune de ces conditions n’est applicable au dispositif de Veesion, qui bafoue donc cette interdiction.

Nous n’étions pas les seul·es à relever l’illégalité de Veesion : la CNIL l’avait dit (via plusieurs médias – en se fondant sur un motif d’illégalité différent), tout comme le ministère de l’intérieur. Même Veesion le savait. Bref, tout le monde savait que le logiciel développé par Veesion ne respectait pas le droit en vigueur (pour plus de détails, voir notre analyse de 2023)

Veesion n’a pourtant pas semblé être inquiétée le moins du monde. Pire encore, ces dernières années, elle attire des subventions, reçoit des prix, fait de la publicité dans les journaux, récupère des centaines de clients… Sur son site, Veesion parle même de milliers de commerçants. Un des co-fondateurs, Benoît Koenig, passe sur les plateaux de BFM, affirmant la légalité de son dispositif. En mars 2023, la start-up lève plus de 10 millions d’euros. En juin 2024, elle annonce plus de 150 salariés et plus de 8 millions de chiffre d’affaires.

Le capitalisme de surveillance n’a pas peur du droit

Après plusieurs années d’indécence, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Prenons les bonnes nouvelles où elles sont : c’est un petit coup d’arrêt à la vidéosurveillance algorithmique dans les supermarchés. À la veille des Jeux Olympiques, célébrations de la normalisation de l’algorithmisation de la surveillance publique, c’est un point positif à conserver.

Difficile néanmoins d’être entièrement convaincu·es.

Si nous n’avons pas accès à la décision de la CNIL, il est fort problable que celle-ci ait considéré le logiciel de Veesion illégal uniquement parce que les client·es des magasins ne peuvent pas s’opposer au traitement de leur image. Ce motif d’illégalité était déjà rappelé par la CNIL dans sa position de 2022 sur la VSA mais nous parait très limité sur le plan politique. C’est en effet une bien faible victoire qui empêche de remettre en cause le fondement même de l’algorithme et son aspect disproportionné et problématique. Non seulement la décision du Conseil d’État est une décision prise dans une procédure d’urgence (il reste à attendre la décision sur le fond de l’affaire qui arrivera dans plusieurs mois) et, de surcroît, Veesion a annoncé depuis que la CNIL avait pour l’instant suspendu sa décision en attente de nouveaux éléments de la part de l’entreprise.

Cette décision ne mettra de toute façon pas à terre plusieurs années de normalisation de ce logiciel. Personne ne demandera aux fondateurs de Veesion et à leurs associés de rembourser l’argent qu’ils ont touché sur leur business sordide. Personne ne viendra compenser les droits et libertés des personnes qui auront été espionné·es ou identifi·eés par cet algorithme. Alors même que les garde-fous contre la surveillance s’amenuisent petit à petit, les maigres barrières qui nous restent sont allégrement méprisées par ces entreprises de surveillance.

C’est d’ailleurs sans aucun doute une stratégie réfléchie, avec laquelle l’écosystème du business numérique s’accorde bien : normaliser une pratique illégale pour créer et asseoir un marché puis attendre du droit qu’il s’adapte à un état de fait, arguant de la création d’emplois et de l’innovation apportée. Lors de la consultation publique lancée par la CNIL sur le sujet en 2022, Veesion plaidait pour sa cause et expliquait à quel point cela serait un drame économique que de freiner cette technologie, sans jamais questionner ses conséquences sur les libertés.

Veesion semble être aussi passée à autre chose et cherche déjà à s’exporter aux États-Unis où le droit à la vie privée et la protection des données personnelles sont encore moins respectés. Médiatiquement, la décision du Conseil d’État ne semble aussi faire que peu de bruit – alors même que les supermarchés clients de Veesion sont nombreux, comme Carrefour, Leclerc ou BioCoop.

Délocalisation de la surveillance en supermarché à Madagascar

Un autre problème pour Veesion a été soulevé par les recherches effectuées par deux sociologues, Clément Le Ludec et Maxime Cornet, chercheurs à Télécom Paris, spécialistes sur le domaine de l’intelligence artificielle. Dans un article sur France Info passé lui-aussi relativement inaperçu (décidemment), les deux chercheurs sont revenus sur la sous-traitance à des travailleur·euses sous-payé·es dans des pays comme Magadascar par l’écosystème de l’IA. Les chercheurs s’inquiètent en particularité de la précarité de ces « travailleurs en bout de chaîne ».

L’article de France Info va plus loin : des personnes ayant été employées à Madagascar pour une société semblable à celle de Veesion disent avoir pour travail de repérer des vols en supermarchés directement sur le flux de vidéosurveillance des magasins : « Notre objectif c’est de trouver les vols. Ce sont eux qui envoient les vidéos, nous on les traite juste. En direct, en temps réel. Nous on envoie juste l’alerte et eux ils font l’arrestation des suspects ». Même si la société s’en défend, Veesion elle-même ne semble pas chercher à Madagascar des personnes pour améliorer un algorithme existant, mais au contraire pour « signaler des vols (…) dans les magasins le plus rapidement possible » ou pour « avertir le magasin d’un comportement douteux ».

En d’autres termes : il est possible que, pour une partie des clients de Veesion, il n’y ait pas vraiment d’algorithme pour repérer des comportements suspects dans un supermarché… mais seulement un·e travailleur·se précaire à l’autre bout du monde chargé·e de visionner le flux de caméra en direct et de repérer « à la main » ces gestes suspects, en imitant l’algorithme. En somme, la fable du turc mécanique.

Cela rejoint le travail des mêmes chercheurs publié en 2023 concernant une société de surveillance en supermarché non explicitement nommée mais qui ressemble beaucoup à Veesion. Clément Le Ludec et Maxime Cornet révèlent, concernant cette société, que les personnes employées à Madagascar « agissent avant tout comme des agents de sécurité à distance, détectant les vols presque en temps réel ».

À noter que Veesion s’appuie sur une double exploitation. Si une grande partie repose sur des personnes exploitées à Madagascar, les caissières et caissiers deviennent aussi des « travailleurs du clic ». Comme l’avait écrit lundimatin dans son article sur l’entreprise, le gérant du magasin conserve en effet le détail des interactions sur les écrans des employé·es, afin de vérifier leur réactivité aux alertes du logiciel : « Libre à lui alors de sommer ses employés d’être plus attentifs aux alertes de la machine en cas de non-retour de leur part ».

Il y a dans la société Veesion le concentré des dérives des start-ups sur le marché du numérique : banalisation des technologies de surveillance, non-respect affiché du droit, dépendance à de la main d’œuvre exploitée à l’autre bout du monde, et forte approximation autour de l’effectivité de son logiciel. Un tel exemple vient interroger l’effectivité du droit comme encadrement. Ces entreprises ne le respectent pas et récoltent pourtant une importante aide financière et médiatique.

Quand un cadre juridique n’est ni respecté par les entreprises concernées, ni appliqué par l’autorité qui en est responsable (ici, la CNIL agit mollement plusieurs années après la mise en œuvre du logiciel), c’est bien l’interdiction explicite de ces systèmes de surveillance qui doit primer. Alors pour agir et vous informer contre la VSA, rendez vous sur laquadrature.net/vsa ou aidez-nous si vous le pouvez en nous faisant un don.

]]> https://www.laquadrature.net/?p=24124http://isyteck.com/autoblog/quadrature/index.php5?20240717_143852_Premiere_victoire_contre_l___audiosurveillance_algorithmique_devant_la_justiceWed, 17 Jul 2024 12:38:52 +0000Plus de trois ans après notre recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Une claque pour Orléans et Sensivic

La ville d’Orléans et l’entreprise Sensivic se sont vu rappeler la dure réalité : déployer des micros dans l’espace public pour surveiller la population n’est pas légal. Les allégations de Sensivic d’un soi-disant produit « conforme RGPD » et les élucubrations d’Orléans en défense pour faire croire qu’il ne s’agirait que d’un inoffensif « détecteur de vibrations de l’air » n’auront servi à rien.

Dans son jugement, le tribunal administratif est sévère. Il commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Mais le tribunal administratif va plus loin. Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait sans frémir que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Un avertissement pour la Technopolice

Ce jugement est un avertissement pour les promoteurs de cette surveillance toujours plus débridée de l’espace public. Si la vidéosurveillance algorithmique (VSA) reste la technologie la plus couramment utilisée – illégalement, sauf malheureusement dans le cadre de la loi JO – l’audiosurveillance algorithmique (ASA) n’est pas en reste pour autant. Avant la surveillance à Orléans par Sensivic, on l’a retrouvée à Saint-Étienne grâce à un dispositif d’ASA développé par Serenicity que la CNIL avait lourdement critiqué et fait mettre à l’arrêt.

Avec ce jugement, le tribunal administratif d’Orléans ne déclare pas seulement l’ASA illégale : il estime également qu’un contrat passé entre une commune et une entreprise pour mettre en place ce type de surveillance peut-être attaqué par une association comme La Quadrature. Cet élément est loin d’être un détail procédural, alors que des communes comme Marseille ont pu par le passé échapper au contrôle de légalité de leur surveillance en jouant sur les règles très contraignantes des contentieux des contrats.

La question du couplage de l’ASA à la vidéosurveillance classique

En septembre 2023, la CNIL, que nous avions saisie en parallèle du TA d’Orléans, considérait que cette ASA était illégale dès lors qu’elle était couplée à la vidéosurveillance en raison de la possibilité de « réidentifier » les personnes. Mais elle ajoutait qu’elle ne trouvait plus rien à redire depuis que le dispositif orléanais était découplé de la vidéosurveillance locale. Une analyse que nous avons contestée devant le TA d’Orléans¹Voir nos observations d’octobre 2023 et celles de janvier 2024..

Dans son jugement, le tribunal administratif d’Orléans n’a pas explicitement considéré que l’ASA orléanaise ne serait pas un traitement de données si elle n’était plus couplée à la vidéosurveillance. Puisqu’il était saisi de la légalité de la convention entre Sensivic et Orléans, laquelle prévoyait ce couplage, il s’est borné à dire que le dispositif ASA et vidéosurveillance était illégal.

Dans tous les cas, ce point est annexe : l’audiosurveillance algorithmique exige, par nature, d’être couplée avec une source supplémentaire d’information permettant de traiter l’alerte émise. Que ce soit par un couplage avec la vidéosurveillance ou en indiquant à des agent·es de police ou de sécurité de se rendre à l’endroit où l’événement a été détecté, l’ASA visera toujours à déterminer la raison de l’alerte, donc d’identifier les personnes. Elle est donc par nature illégale.

Laisser-faire de l’État face à une technologie manifestement illégale

Impossible toutefois de passer sous silence la lenteur de l’administration (ici, la CNIL) et de la justice devant les dispositifs de surveillance manifestement illégaux de l’industrie sécuritaire. Alors même qu’un dispositif semblable avait été explicitement et très clairement sanctionné à Saint-Étienne en 2019, Sensivic a pu conclure sans difficulté une convention pour installer ses micros dopés à l’intelligence artificielle. Il aura fallu une double saisine de la part de La Quadrature pour mettre un terme à ce projet.

Un tel dossier prouve que l’industrie sécuritaire n’a que faire du droit et de la protection des libertés, qu’elle est prête à tout pour développer son marché et que l’État et le monde des start-ups s’en accommode bien. Comment Sensivic, avec une technologie aussi manifestement illégale, a-t-elle pu récolter 1,6 millions en 2022, dont une partie du fait de la BPI (Banque Publique d’Investissement) ? L’interdiction explicite de ces technologies de surveillance est la seule voie possible et tenable.

Ce jugement reste une victoire sans équivoque. Il annonce, nous l’espérons, d’autres succès dans notre combat juridique contre la Technopolice, notamment à Marseille où notre contestation de la VSA est toujours en cours de jugement devant la cour administrative d’appel. Alors pour nous aider à continuer la lutte, vous pouvez nous faire un don ou vous mobiliser dans votre ville.

References[+]

References

↑1	Voir nos observations d’octobre 2023 et celles de janvier 2024.

]]> https://www.laquadrature.net/?p=24076http://isyteck.com/autoblog/quadrature/index.php5?20240703_012909_Affaires_Lafarge_____Dessaisir_la_Sous-direction_anti-terroristeTue, 02 Jul 2024 23:29:09 +0000La Quadrature du Net est signataire de cette tribune que nous reproduisons ici.

Le 2 juillet, les 4 personnes mises en examen dans l’affaire dite « Lafarge » sont convoquées devant les juges d’instruction. Un collectif de 180 personnalités, avocats, magistrats, intellectuel·les de renom et activistes, dénoncent le rôle croissant de la Sous-Direction-Anti-Terroriste dans la répression des mouvements sociaux. « Si les gouvernements précédents ont donné toujours plus de latitude aux services anti-terroristes, les prochains ne se gêneront pas pour en profiter pleinement ».

Mais pour qui travaille la SDAT ?

Ce mardi 2 juillet, les 4 personnes mises en examen dans l’affaire dite « Lafarge », accusées d’avoir participé au désarmement de l’usine de Bouc-Bel-Air en décembre 2022, sont convoquées devant les juges d’instruction. Elles devront répondre de faits de dégradation et d’association de malfaiteurs, prétendument aggravés par le caractère de « bande organisée ». Peine encourue : 20 ans de prison. Les victimes de cette affaire – sacs de ciment, armoires électriques et autres véhicules de chantier – n’étant pas douées de parole, le parquet n’a pas osé qualifier ces faits de « terroristes ». Pourtant, c’est la Sous-Direction-Anti-Terroriste (SDAT), en collaboration avec la section de recherche de Marseille, qui est chargée de l’enquête, toujours en cours à ce jour.

C’est encore la SDAT qui a été saisie de l’enquête pour d’autres dégradations : peinture et mousse expansive sur le site Lafarge de Val-de-Reuil en décembre 2023. Parmi les 17 personnes initialement interpellées, 9 devront comparaître au tribunal d’Évreux à l’hiver prochain. À chaque fois, la SDAT a coordonné des opérations d’interpellations spectaculaires où l’on a pu voir des commandos cagoulés et armés défoncer les portes de dizaines de militant·es – quand ce ne sont pas celles de leurs voisins – pour les emmener dans les sous-sols de leurs locaux à Levallois-Perret.

L’enquête sur l’affaire Lafarge a permis et permet sans doute encore de traquer les déplacements, les relations et les conversations de centaines de personnes, et d’éplucher les comptes de nombreuses associations. Particulièrement alarmant, le dossier montre l’usage d’un mystérieux logiciel espion qui, à l’instar de Pegasus, est employé pour aspirer le contenu des téléphones et notamment celui des messageries cryptées, ou encore le fichier des titres d’identité (TES) détourné de manière abusive pour récolter les empreintes digitales (1). Plus largement, cette enquête fait planer la menace d’une perquisition sur la tête de quiconque aurait les mauvais ami·es, se serait rendu sur les lieux d’une manifestation, ou aurait le malheur d’être géolocalisé au mauvais endroit et au mauvais moment, comme de nombreux témoignages l’ont montré.

Pourquoi une telle opération ? La SDAT travaillerait-elle pour une des entreprises les plus toxiques de la planète, actuellement mise en examen par le Parquet National Anti-Terroriste pour complicité de crime contre l’humanité et financement du terrorisme ? La défense de Lafarge par les services français, déjà largement documentée dans le cadre du financement de Daesh, se reconduit-elle en France ?

La SDAT, service de police spécialisé, étroitement lié à la direction du renseignement intérieur, a régulièrement mis ses capacités d’exception au service d’intérêts politiques variés de l’État français. Les arrestations récentes de militants indépendantistes du CCAT en Kanaky par la même SDAT, et leur transfert à 17 000 km de chez eux, montre encore une fois le rôle de la police antiterroriste dans la répression des mouvements sociaux.

Dans l’affaire Lafarge, elle est saisie pour des enquêtes de simples dégradations sans mobile terroriste, quinze ans après la tentative infructueuse de faire tomber le fantasmatique groupe anarcho-autonome de Tarnac et quelques années après l’effarante affaire du 8 décembre qui avait provoqué l’incarcération de plusieurs personnes pendant des mois. De son propre aveu, il lui faut bien trouver des figures de l’ennemi intérieur pour justifier de son budget face à la baisse de la « menace djihadiste » et « chercher de nouveaux débouchés du côté de l’écologie ». Qu’importe si les enquêteurs de la SDAT reconnaissent que ceux qu’ils catégorisent comme appartenant à l’« ultra gauche » ne s’en prennent pas aux personnes mais aux biens.

Brandir la criminalité organisée pour des faits de dégradations a le mérite de créer de toute pièce une nouvelle menace repoussoir : celle de l’écoterroriste. Dans la lecture policière, une manifestation devient un commando, telle personne connue des services de renseignement pour son activité dans les mouvements sociaux devient cadre, ou encore coordinateur, ou logisticienne. On catégorise les membres présumés de cette bande en les faisant appartenir à un cercle dirigeant et stratégique ou à un cercle opérationnel. L’enquête, menée à charge contre les Soulèvements de la Terre a notamment permis, via la traque des supposés « cadres », de justifier une surveillance accrue à la veille de la manifestation de Sainte Soline en mars 2023. On est bien loin des événements de Bouc Bel Air. La SDAT assure bien sûr n’enquêter que sur des « faits », se défendant « d’enquêter sur un mouvement dans le but de le faire tomber » (10). L’affirmation prêterait presque à rire si les conséquences n’étaient pas aussi lourdes. Il suffit de rappeler que les arrestations dans l’affaire Lafarge ont eu lieu la veille de la dissolution des Soulèvements de la terre en Conseil des ministres, empêchant ainsi plusieurs de ses porte-parole de s’exprimer à un moment crucial.

La construction policière révélée par des rapports de synthèse fantasmagoriques est dangereuse parce qu’elle fabrique des figures qui ont pour fonction première d’orienter les décisions des magistrats instructeurs. Elle altère profondément le principe de présomption d’innocence et la garantie des droits pour les personnes poursuivies. Sur le fond, la saisie des services de la SDAT, dont « l’excellence » se mesure à sa capacité à s’exonérer du régime de droit commun de l’enquête⁽²⁾ et aux moyens démesurés mis à sa disposition, pour des faits qui sont strictement en dehors de sa vocation, relève avant tout de la répression politique. François Molins lui-même, visage de la lutte anti-terroriste et procureur au tribunal de Paris de 2011 à 2018, s’inquiète du détournement par les préfets des dispositifs mis en place pour combattre les menaces d’attentats à des fins de maintien de l’ordre. À la veille des Jeux Olympique de Paris les « MICAS » Mesures Individuelles de Contrôle Administratif et de Sécurité commencent à tomber, elles constituent des équivalents des assignations à résidence en l’absence de l’état d’urgence qui les conditionnent normalement. Relevant de la lutte anti-terroriste, elles constituent une procédure amplement détournée pour priver des libertés de manifester et de se déplacer des militants qui pourraient déranger.

Si les gouvernements précédents ont donné toujours plus de latitude aux services anti-terroristes, les prochains ne se gêneront pas pour en profiter pleinement, tant l’outil à leur disposition est commode pour traquer les opposants et paralyser les mouvements sociaux. Dans cette période agitée où le RN est aux portes du pouvoir, les conséquences politiques de l’augmentation des moyens et du champ d’action de la police antiterroriste sont profondément dangereuses. Elles s’inscrivent dans une période d’extension de la surveillance de masse, d’aggravation des violences policières et de la répression judiciaire des mouvements de contestation. Puisque les intérêts économiques et idéologiques des puissances industrielles qui ravagent le monde convergent fortement avec ceux du RN, ce parti ouvertement climato-sceptique, on peut légitimement se demander : à quoi servira un outil tel que la SDAT s’il tombait aux mains de l’extrême droite ?

Pour toutes ces raisons, nous, participant·es ou soutiens des luttes écologiques, sociales et décoloniales, dénonçons le rôle croissant de la SDAT dans la répression des mouvements sociaux et écologistes. Nous, magistrat·es ou avocat·es, demandons qu’elle soit dessaisie des enquêtes sur des faits qui ne relèvent pas de ses compétences, à commencer par l’affaire Lafarge de Bouc Bel Air.

Notes : 

⁽¹⁾ Le fichier des titres électroniques sécurisés est une base de données gérée par le ministère de l’Intérieur qui rassemble les données personnelles et biométriques des Français pour la gestion des cartes nationales d’identité et des passeports français. 

⁽²⁾ Hors contexte de terrorisme, les agents de police ont la possibilité d’anonymiser leur signature dans les actes de procédure si et seulement si une autorisation individuelle est délivrée par un magistrat dans une décision motivée. La SDAT ne s’encombre pas de cet encadrement et anonymise systématiquement ses actes.

Retrouvez la liste des signataires.

]]> https://www.laquadrature.net/?p=24058http://isyteck.com/autoblog/quadrature/index.php5?20240628_173740_QSPTAG__311_____28_juin_2024Fri, 28 Jun 2024 15:37:40 +0000Les algorithmes punitifs de France Travail

À France Travail (ex-Pôle Emploi) comme à la CNAF, sous prétexte de « lutter contre la fraude » ou de pouvoir « individualiser » les dossiers, des algorithmes viennent noter, classer, et juger les bénéficiaires. Expérimentés chez France Travail depuis 2013, généralisés depuis 2018, ces algorithmes partent du principe que les allocataires sont malhonnêtes et abusent du système de l’assurance chômage, et leur attribuent un « score de suspicion » (le terme est utilisée par France Travail).

Mais l’agence a aussi imaginé d’utiliser des algorithmes pour remplacer la travail des conseiller·es et proposer des offres d’emplois — après tout, c’est déjà le cas pour Parcoursup et sur les applis de rencontre amoureuse… Loin de l’application d’un droit simple, on entre dans une politique de profilage et de tri des bénéficiaires. Scores « d’employabilité », « traitements des aspects motivationnels », « détection de signaux psychologiques » sont mobilisés pour détecter les « signes de perte de confiance » ou les « risques de dispersion ». Le calvaire social et intime qu’est le chômage devient un objet d’étude statistique affranchi de toute relation humaine, où les vies les plus fragiles sont normées, standardisées, formatées. Le même algorithmique qui diagnostiquera une « Dynamique de recherche faible » conseillera aussi l’employé·e de France Travail sur les actions à demander au bénéficiaire concerné… L’analyse détaillée est disponible sur notre site.

Lire l’article : https://www.laquadrature.net/2024/06/25/a-france-travail-lessor-du-controle-algorithmique/

Mobilisation contre les partisans de la surveillance totale

Nous le disons depuis des années : les outils numériques de la surveillance, sur Internet et dans les pratiques policières, sont des outils dangereux par essence. Ils ont pourtant toujours été adoptés, légalisés et encouragés par des gouvernements qui se présentaient comme des ennemis des positions « extrêmes » et promettaient la main sur le cœur qu’ils surveillaient les habitant·es du pays pour leur bien.

Aujourd’hui, l’extrême droite est à la veille de prendre le pouvoir. La responsabilité de ses prédécesseurs est énorme : ils offrent à un parti champion du racisme, de l’inégalité entre les personnes, de la violence et de la restriction des droits politiques, une magnifique machinerie de surveillance et de répression. Pour ces raisons, nous appelons chacune et chacun à se mobiliser le 30 juin, le 7 juillet et après, contre celles et ceux qui ont bâti ce système technique totalitaire, et contre celles et ceux qui comptent bien l’utiliser contre la population du pays.

Lire notre prise de position : https://www.laquadrature.net/2024/06/28/legislatives-la-surveillance-sur-un-plateau-brun/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024, et nous avons pour le moment réuni 71% de notre objectif de collecte. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/
et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• Vendredi 28 juin 2024 : Participation de La Quadrature à une soirée Au poste : Au Poste : micro ouvert en plein air !.
• Vendredi 5 juillet 2024 : Apéro public dans nos locaux, au 115 rue de Ménilmontant à Paris, de 19h à 23h, entrée libre.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Divers

• Des caméras « avec des oreilles » à Orléans : l’arrêt d’utiliser ce système et l’effacement des données demandés au tribunal administratif [La République du Centre]
• Comment informer et transmettre pour comprendre les enjeux du numérique en 2024 ? [France Culture]
• France Travail (ex Pôle emploi) épinglé par la Quadrature du Net pour son recours aux algorithmes [01Net]
• France Travail : comme pour la CAF, le recours croissant aux algorithmes est pointé du doigt [Merci pour l’info]
]]> https://www.laquadrature.net/?p=24048http://isyteck.com/autoblog/quadrature/index.php5?20240628_121455_Legislatives____la_surveillance_sur_un_plateau_brunFri, 28 Jun 2024 10:14:55 +0000Alors que le choix d’Emmanuel Macron de dissoudre l’Assemblée nationale au lendemain des élections européennes risque de renforcer le poids de l’extrême droite, nous partageons l’inquiétude exprimée par beaucoup face au risque important que ce tremblement de terre politique fait peser sur la démocratie et les libertés. L’idéologie du Rassemblement National, entièrement tournée vers la création de droits différenciés sur des fondements racistes et réactionnaires, ne peut exister sans une structure de pouvoir forte et centralisée. C’est pourquoi nous ne doutons pas qu’un gouvernement d’extrême droite utilisera et renforcera la surveillance de la population pour exercer son pouvoir. Il aura, par exemple, besoin du fichage pour identifier les personnes à qui retirer des droits, de l’écosystème de surveillance pour traquer les personnes qu’il veut expulser, maltraiter ou enfermer ou encore des lois de censure et coercitives pour faire taire les oppositions anti-fascistes.

Il n’a pas fallu attendre le parti lepéniste pour que la surveillance autoritaire s’installe dans notre quotidien. Cette dernière décennie, au nom de « l’efficacité », de la « crise » ou encore de « l’urgence », François Hollande puis Emmanuel Macron ont adopté – avec le soutien de la droite et l’extrême droite – de nombreuses mesures sécuritaires et multiplié les dispositifs de surveillance tout en écartant les garde-fous et contre-pouvoirs. Des gouvernements se disant modérés ont systématiquement justifié la légalisation des technologies de surveillance, au motif qu’elles étaient adoptées dans un cadre démocratique et seraient « correctement » utilisées. Il s’agit évidemment d’un aveuglement dangereux.

Par essence, les outils de surveillance ne sont jamais neutres dès lors qu’ils donnent à un État la capacité de connaître, et donc de contrôler, sa population. Dès leur création, ils portent en eux un objectif de détecter les « signaux faibles » et trouver « l’ennemi intérieur ». Les dérives discriminantes font intégralement partie de la logique de ces technologies mais sont exacerbées lorsque celles-ci sont dans les mains de l’extrême droite. Ainsi, comme nous l’avions expliqué, l’édifice du fichage policier, pensé en France dès la fin du XIX^e siècle et construit petit à petit pendant plusieurs décennies, était déjà mûr lorsque le régime de Vichy a été instauré en 1940. La possibilité que ces fichiers servent à identifier et arrêter des personnes était en réalité intrinsèque à ce système et il a simplement suffit au pouvoir pétainiste d’en ajuster les usages.

Les mêmes logiques aveugles se répètent. Les gouvernements successifs ont depuis vingt ans installé et banalisé les outils qui serviront à l’extrême droite pour mettre en oeuvre le monde ségrégué, injuste et autoritaire pour lequel elle milite depuis des années.

Une administration toute puissante

Le premier point de bascule est sans aucun doute l’état d’urgence de 2015. Il a bouleversé le fonctionnement de l’État de droit en modifiant les équilibres historiques des institutions. Le rôle des juges judiciaires, censés être les seuls à pouvoir restreindre les libertés individuelles selon la Constitution, a été réduit au profit du rôle confié à l’administration, au prétexte que celle-ci pourrait agir plus vite. De nombreux abus ont été constatés lors de l’état d’urgence avec l’utilisation de mesures visant massivement des personnes musulmanes ou des activistes écologistes. Ce régime d’exception a été prolongé par la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » (SILT) de 2017, qui l’a fait entrer dans le droit commun. Désormais, le ministre de l’intérieur peut demander des assignations à résidence ou des interdiction de paraître, au nom de la prévention du terrorisme, avec une simple information à un procureur.

Ce renforcement des pouvoirs de l’administration s’est propagé au-delà du cadre anti-terroriste. Petit à petit, depuis 2015, elle a réactivé ou obtenu de nombreux pouvoirs. Il est ainsi devenu de plus en plus fréquent que des préfets interdisent des manifestations ou des interventions au nom de l’ordre public. Depuis 2023, ils ont également la possibilité d’utiliser des drones de surveillance ou, depuis 2021 au nom de la loi Séparatisme, de priver des associations de leurs subventions. Depuis la loi sur les Jeux olympiques et paralympiques de 2023, ils peuvent également expérimenter la vidéosurveillance algorithmique. Pouvons-nous sérieusement imaginer qu’un gouvernement d’extrême droite se privera d’utiliser ces larges pouvoirs ? Assignation à résidence de militant·es de gauche, multiplication des drones au dessus des quartiers populaires ou encore interdiction d’évènements antiracistes, les préfets nommés par le RN auront de nombreux leviers répressifs à leurs disposition.

Le ministre de l’intérieur a, quant à lui, réinvesti la possibilité de dissoudre des associations. Avant même la réforme législative ouvrant une ère de dissolutions massives, le ministre de l’intérieur a commencé par des organisations musulmanes telles que le CCIF, puis il s’est attaqué aux groupes d’extrême gauche comme le Bloc lorrain ou la Défense collective à Rennes. Des dissolutions que Jordan Bardella a promis d’amplifier encore davantage.

Une justice affaiblie

L’augmentation des pouvoirs de l’administration s’est accompagnée d’une remise en cause des principes fondateurs de la justice. Avec la création de l’amende forfaitaire délictuelle, le juge judiciaire a ainsi été mis à l’écart dans un domaine qui lui était initialement réservé. Depuis 2016, le législateur peut prévoir que, pour certaines infractions, les poursuites pénales s’arrêteront automatiquement lorsque la personne poursuivie paye une amende. Autrement dit, la police peut désormais faire pression sur les personnes en leur proposant un choix cornélien : faire valoir leurs droits devant un juge ou s’acquitter de quelques centaines d’euros pour s’arrêter là. Ces dernières années, les délits concernés par l’amende forfaitaire délictuelle ont été considérablement élargis, avec par exemple la consommation de stupéfiants ou, pendant le confinement en 2020, le fait de sortir de chez soi sans attestation.

Mais c’est surtout sur internet que ce contournement du juge a été le plus assumé. Depuis 2014 et une loi portée par Bernard Cazeneuve, la police peut exiger seule que des sites internet retirent des contenus qu’elle estime être à caractère « terroriste ». Alors que nous avons toujours dénoncé les risques de censure politique et d’arbitraire de ce mécanisme confié à l’administration, en l’occurrence l’Office anti-cybercriminalité, nos craintes ont été confirmées à plusieurs reprises. Désormais, les plateformes en ligne et les réseaux sociaux vont jusqu’à collaborer activement avec le gouvernement quand celui-ci leur demande de retirer des contenus. Ainsi, lors des émeutes de l’été 2023, le ministère de l’intérieur a « convoqué » certains réseaux sociaux, et Snapchat a publiquement admis avoir retiré des contenus sur demande du gouvernement et en dehors de toute procédure légale. Pire : lorsque Gabriel Attal a pris la décision illégale de censurer le réseau social Tiktok en Nouvelle Calédonie, au motif que cette plateforme aurait joué un rôle dans les émeutes sur l’île, il a instauré un précédent inédit d’atteinte à la liberté d’expression que nos institutions ont échoué à empêcher. On pressent alors comment une censure des critiques contre l’extrême droite pourrait être facilitée par cet état des choses.

Technopolice partout

En parallèle, les capacités de surveillance de la police ont été énormément renforcées. Le nombre de fichiers (créés par simple décret) a explosé, leur accès s’est élargi et le contrôle des abus est quasi inexistant (la LOPMI de 2022 a même enlevé l’exigence formelle d’habilitation pour les consulter). La prise de signalétique (ADN, empreintes digitales et photo du visage) ainsi que la demande de code de déverrouillage du téléphone sont devenues systématiques pour faire pression sur les personnes gardées à vue, bien que cela soit généralement illégal car décorrélé de toute infraction annexe. Par ailleurs, l’exploitation de ces informations peut désormais être faite dans la rue, via des tablettes mobiles permettant aux gendarmes et policiers d’accentuer le harcèlement des personnes contrôlées.

Les technologies aussi ont évolué : la reconnaissance faciale s’est banalisée et est fréquemment utilisée dans les procédures judiciaires à travers le fichier TAJ, des logiciels d’analyse des métadonnées permettent de créer très facilement des graphes sociaux et de pister les habitudes des personnes, les logiciels espions peuvent désormais être utilisés pour activer à distance la fonction de géolocalisation d’un appareil mobile, et la police dispose de plus en plus d’outils de surveillance en source ouverte (OSINT). Par ailleurs, depuis 2016, cette dernière est autorisée à utiliser des techniques encore plus intrusives comme la sonorisation des lieux, la captation des données informatiques, les IMSI catchers, la captation d’images ou l’infiltration dans les procédures liées à la « criminalité organisée ». Cette catégorie recouvre des infractions très larges, et fut notamment invoquée pour poursuivre des militants écologistes qui ont bloqué une cimenterie Lafarge, ou pour justifier l’arrestation de militants indépendantistes kanaks en juin 2024.

Les services de renseignement ne sont pas en reste depuis la formalisation de leurs pouvoirs de surveillance par la loi Renseignement de 2015. Nous avons ainsi dénoncé le fait que cette loi légalise la possibilité d’utiliser de nombreux moyens de surveillance intrusifs, pour des finalités très larges, et notamment la surveillance des militant·es. Ces possibilités d’abus se sont concrétisées au fur et à mesure des années, au travers par exemple de la surveillance des gilets jaunes, ou de divers cas où des militant·es ont retrouvé du matériel de surveillance les visant (on pourra citer en exemple la caméra cachée devant l’espace autogéré des Tanneries à Dijon, le micro dans une librairie anarchiste à Paris, ou la balise GPS sous la voiture de Julien Le Guet du collectif Bassines Non Merci).

Dans son rapport d’activité pour l’année 2022, la Commission nationale de contrôle des techniques de renseignement (CNCTR) s’est d’ailleurs inquiétée de l’accroissement de la surveillance des militants. Elle a également alerté sur l’insuffisance de ses capacités de contrôle, qui l’empêche de suivre les dernières évolutions technologiques, notamment s’agissant des spywares et autres intrusions informatiques à distance.

Enfin, des précédents dangereux ont été créés avec l’élargissement continu de la justice d’exception applicable en matière de terrorisme, et l’implication grandissante des services antiterroristes dans des affaires politiques. L’affaire dite du « 8 décembre » est un triste exemple : la décision rendue fin décembre 2023 par le tribunal correctionnel de Paris confirme que des militant·es de gauche peuvent être poursuivis et condamné·es pour association de malfaiteurs à caractère terroriste sur la base de suspicions d’intention, sans projet avéré, et que protéger ses communications peut être utilisé comme une preuve de « comportement clandestin » pour justifier la condamnation.

La surveillance et la répression des mouvements militants, écologistes ou anti-autoritaires notamment, n’est plus une crainte, mais une réalité, d’autant qu’elle est accompagnée depuis plusieurs années d’un discours nourri visant à criminaliser toute forme de contestation en dehors du simple cadre électoral (actions syndicales, manifestations de rue, etc.). Elle n’en serait que pire sous une majorité RN.

Des gardes-fous illusoires

On le comprend, les dispositifs de surveillance et de répression sont déjà là et les gardes-fous institutionnels et politiques ne permettent plus de freiner les volontés politiques autoritaires. Nous le constatons avec dépit depuis des années : le droit n’empêche pas l’installation massive de technologies de surveillance sur la population. Le Conseil d’État a validé la légalité de quasiment tous les fichiers de police qui ont ont été contestés devant lui, y compris le fichage politique et religieux du PASP et du GIPASP.

Le Conseil constitutionnel, quant à lui, estime quasi systématiquement que les lois protègent suffisamment les libertés, le plus souvent en reportant le contrôle au cas par cas sur d’autres instances, comme les tribunaux administratifs, incapable de prévenir des abus systémiques dans l’usage de mesures de surveillance. Ce report du contrôle de légalité par le Conseil constitutionnel au juge administratif a également pour conséquence de faire peser la charge de la contestation légale sur la société civile ou les personnes victimes de cette recrudescence de surveillance, qui doivent aller en justice pour demander le respect des libertés. Sans grand succès, il faut bien l’admettre, vu le faible nombre de victoires.

Enfin, sur le plan matériel, les autorités administratives indépendantes comme la CNCTR ou la CNIL ne peuvent raisonnablement pas contrôler chaque action des forces de l’ordre et des services de renseignement. Concernant le cas particulier de la CNIL, on constate également chez elle une absence de courage politique qui explique son inaction, voire une volonté d’aider le gouvernement à légaliser de nouvelles mesures de surveillance comme ce fut le cas des drones ou de la VSA.

Si le constat a de quoi effrayer, il est loin d’être étonnant. Cela fait des années qu’associations, juristes, universitaires, militant·es de terrain alertent sur ce lent dépérissement de l’État de droit. Il suffit désormais au Rassemblement National de marcher dans les pas des gouvernements précédents et de se servir de l’arsenal législatif déjà existant. Son programme est profondément raciste, sexiste et LGBT-phobe et ne cache même plus son ambition de réduire les libertés et les droits individuels. Nous n’osons même pas nous figurer la facilité avec laquelle ce parti aurait à mettre en place ses mesures autoritaires et ses politiques de restriction des droits dès lors qu’il disposera des dispositifs mis en place ces dernières années.

Face à cette menace, nous appelons à la mobilisation pour ne pas voir ces outils de surveillance et de répression tomber dans les mains du Rassemblement National, ni laisser l’occasion aux « extrêmes-centristes » d’Emmanuel Macron de détruire les derniers garde-fous de l’État de droit. Nous appelons à militer et à voter massivement contre la droite et l’extrême droite aux prochaines législatives.

]]> https://www.laquadrature.net/?p=23925http://isyteck.com/autoblog/quadrature/index.php5?20240625_173714_A_France_Travail__l___essor_du_controle_algorithmiqueTue, 25 Jun 2024 15:37:14 +0000Mise à jour du 12 juillet 2024 : le directeur général de France Travail a souhaité utiliser son droit de réponse. Vous la trouverez à la suite de l’article.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion »… France Travail multiplie les expérimentations de profilage algorithmique des personnes sans emploi.

Après avoir traité de l’utilisation par la CAF d’un algorithme de notation des allocataires, nous montrons ici que cette pratique est aussi partagée par France Travail, ex-Pôle Emploi. À France Travail, elle s’inscrit plus largement dans le cadre d’un processus de numérisation forcée du service public de l’emploi. Retrouvez l’ensemble de nos publications sur l’utilisation par les organismes sociaux d’algorithmes à des fins de contrôle social sur notre page dédiée et notre Gitlab.

Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social.

De la CAF à France Travail : vers la multiplication des « scores de suspicion »

C’est, ici encore, au nom de la « lutte contre la fraude » que fut développé le premier algorithme de profilage au sein de France Travail. Les premiers travaux visant à évaluer algorithmiquement l’honnêteté des personnes sans emploi furent lancés dès 2013 dans la foulée de l’officialisation par la CAF de son algorithme de notation des allocataires. Après des premiers essais en interne jugés « frustrants »¹Voir cette note de synthèse revenant sur les premières expérimentation faites par Pôle Emploi., France Travail – à l’époque Pôle Emploi – se tourne vers le secteur privé. C’est ainsi que le développement d’un outil de détermination de la probité des demandeur·ses d’emploi fut confié à Cap Gemini, une multinationale du CAC40²Voir cet article sur l’implication de Cap Gemini dans la réalisation de l’outil de scoring..

La notation des chômeur·ses est généralisée en 2018. La présentation qui en est faite par France Travail donne à voir, comme à la CAF, l’imaginaire d’une institution assiégée par des chômeur·ses présumé·es malhonnêtes. Ses dirigeant·es expliquent que l’algorithme assigne un « score de suspicion » – dans le texte – visant à détecter les chômeur·ses les plus susceptibles « d’escroquerie » grâce à l’exploitation de « signaux faibles »³L’expression « score de suspicion » est extraite de l’analyse d’impact disponible ici, celle de « signaux faibles » d’une note de suivi des travaux OCAPI 2018 disponible ici, celle d’« indices » de l’article présentant la collaboration de France Travail avec Cap Gemini. Quant au terme d’« escroquerie », il est issu d’un échange de mails avec un·e responsable de France Travail.. Une fois l’ensemble des personnes sans emploi notées, un système d’« alertes » déclenche ainsi des contrôles lorsque l’algorithme détecte des situations « suspectes » (emploi fictif, usurpation d’identité, reprise d’emploi non déclarée)⁴L’algorithme utilisé semble se baser sur des arbres de décisions, sélectionnés via XGBoost. Les principaux cas d’entraînement semblent être la détection de périodes d’activité dites « fictives » – soit des périodes de travail déclarées mais non travaillées – d’usurpation d’identité et de reprise d’emploi non déclarée. Voir ce document..

Pour l’heure, France Travail s’est refusé à nous communiquer le code source de l’algorithme. Au passage, notons que ses dirigeants ont par ailleurs refusé, en violation flagrante du droit français, de fournir la moindre information aux demandeur·ses d’emploi que nous avions accompagné·es pour exercer leur droit d’accès au titre du RGPD⁵Nous accompagnons différentes personnes dans des demandes d’accès à leurs données personnelles. Pour l’instant, France Travail s’est systématiquement opposé à leur donner toute information, en violation du droit.. Nous avons cependant obtenu, via l’accès à certains documents techniques, la liste des variables utilisées.

On y retrouve une grande partie des données détenues par France Travail. Aux variables personnelles comme la nationalité, l’âge ou les modalités de contact (mails, téléphone…) s’ajoutent les données relatives à notre vie professionnelle (employeur·se, dates de début et de fin de contrat, cause de rupture, emploi dans la fonction publique, secteur d’activité…) ainsi que nos données financières (RIB, droits au chômage…). À ceci s’ajoute l’utilisation des données récupérées par France Travail lors de la connexion à l’espace personnel (adresse IP, cookies, user-agent). La liste complète permet d’entrevoir l’ampleur de la surveillance numérique à l’œuvre, tout comme les risques de discriminations que ce système comporte⁶Voir notamment nos articles sur l’algorithme de la CAF, en tout point similaire à cette page..

Profilage psychologique et gestion de masse

Fort de ce premier « succès », France Travail décide d’accroître l’usage d’algorithmes de profilage. C’est ainsi que, dès 2018, ses dirigeant·es lancent le programme Intelligence Emploi⁷Ce programme, financé à hauteur de 20 millions d’euros par le Fond de Transformation de l’Action Publique a été construit autour de 3 axes et s’est déroulé de 2018 à 2022. Voir notamment la note de 2020 envoyée à la DINUM par France Travail, disponible ici.. Son ambition affichée est de mettre l’intelligence artificielle « au service de l’emploi » pour « révéler à chaque demandeur d’emploi son potentiel de recrutement »⁸Rapport annuel 2018 de Pôle Emploi disponible ici..

Un des axes de travail retient notre attention : « Accélérer l’accès et le retour à l’emploi [via un] diagnostic “augmenté” pour un accompagnement plus personnalisé ». Ici, l’IA doit permettre de d’« augmenter la capacité de diagnostic » relative aux « traitements des aspects motivationnels » via la « détection de signaux psychologiques »⁹Voir cette note envoyée par Pôle Emploi à la DINUM.. En son sein, deux cas d’usage retenus sont particulièrement frappants.

Le premier est le développement d’algorithmes visant à « anticiper les éventuels décrochages », prévenir les « risques de rupture »¹⁰Voir cette note envoyée par Pôle Emploi à la DINUM. ou encore « détecter les moments où ils [les personnes au chômage] peuvent se sentir découragés ou en situation de fragilité »¹¹Voir ce support de webinaire..

Ces travaux ont trouvé, au moins en partie¹²En partie puisqu’au cœur des algorithmes du JRE, nulle trace de machine learning ou de traitements statistiques complexes. Chaque score résulte de l’application de règles simples, bien loin des ambitions initiales de recours à l’intelligence artificielle. Les dirigeant·es de France Travail semblent ici avoir éprouvé les limites d’un techno-solutionnisme béat. Voir ce document. À noter aussi que ce document évoque une « brique IA Mire » portant sur la détection de « situations de décrochage ». Il se pourrait donc que des algorithmes plus avancés soient en développement., un premier aboutissement dans l’outil du Journal de la Recherche d’Emploi (JRE) actuellement expérimenté dans plusieurs régions de France¹³Le JRE est une refonte de l’interface numérique. Voir à ce sujet l’excellent article de Basta disponible ici. Si le JRE ne semble pas avoir été créé dans le cadre du programme Intelligence Emploi, il semble avoir été le cadre d’expérimentations de plusieurs des solutions produites. Voir ici.. Le JRE assigne à chaque incrit·e quatre scores de « profilage psychologique » visant respectivement à évaluer la « dynamique de recherche » d’emploi, les « signes de perte de confiance », le « besoin de redynamisation » ou les « risques de dispersion »¹⁴Voir le document « Fiches pratiques à destination des conseillers » portant sur le JRE disponible ici..

Ces informations sont synthétisées et présentées aux conseiller·es sous la forme d’un tableau de bord. « Parcours à analyser », « Situations à examiner », « Dynamique de recherche faible » : des alertes sont remontées concernant les chômeur·ses jugé·es déficient·es par tel ou tel algorithme. Le ou la conseiller·e doit alors faire un « diagnostic de situation » – via l’interface numérique – afin d’« adapter l’intensité » des « actions d’accompagnement ». Et là encore, ils et elles peuvent s’appuyer sur des « conseils personnalisés » générés par un dernier algorithme¹⁵Les documents les plus parlants sur la mécanisation de l’accompagnement via le JRE sont ce support et ce document à destination des conseiller·es. Voir aussi les documents que nous mettons en ligne sur l’utilisation d’IA pour générer des conseils automatisés, consultables par les personnes sans emploi et les conseiller·es..

Contrôle, mécanisation et déshumanisation de l’accompagnement : voilà la réalité de ce que le directeur de France Travail appelle « l’accompagnement sur mesure de masse »¹⁶Voir cette interview du directeur actuel de France Travail..

Diagnostic et score d’employabilité

Le second cas d’usage est tout aussi inquiétant. Il s’agit de déterminer la « qualité » d’un·e demandeur·se d’emploi. Ou, pour reprendre les termes officiels, son « employabilité »¹⁷Pour un aperçu historique de la notion d’employabilité, voir le chapitre 5 de France Travail : Gérer le chômage de massse de J.-M Pillon.. Ce projet n’est pas encore déployé à grande échelle, mais nous savons qu’une première version – basée, elle, sur des techniques d’intelligence artificielle¹⁸Voir cette note envoyée par Pôle Emploi à la DINUM en 2020. – a été développée en 2021¹⁹Voir cette autre note envoyée par Pôle Emploi à la DINUM en 2021..

L’algorithme alloue à chaque inscrit·e un score prédisant ses « chances de retour à l’emploi ». Véritable outil automatique de tri des chômeur·ses, il vise à organiser la « priorisation des actions d’accompagnement »²⁰Voir cette note envoyée par Pôle Emploi à la DINUM en 2020. en fonction d’un supposé degré d’autonomie de la personne sans emploi.

Si les informations disponibles sur ce projet sont limitées, on peut imaginer que ce score permettra le contrôle en temps réel de la « progression de la recherche d’emploi » via les actions entreprises pour améliorer « l’attractivité [de leur] profil »²¹Voir ce document sur l’utilisation de l’IA à Pôle Emploi.. Il serait alors un indicateur d’évaluation en continu de la bonne volonté des chômeur·ses.

Mais on peut aussi penser qu’il sera utilisé pour inciter les personnes sans emploi à se diriger vers les « métiers en tension », dont une majorité concentre les conditions de travail les plus difficiles. En demandant aux chômeur·ses d’améliorer leur score, via une réorientation, ils et elles seraient encouragé·es à accepter un emploi au rabais.

Agenda partagé & agences virtuelles

Mais l’étendue du processus de numérisation à l’oeuvre à France Travail va bien au-delà de ces exemples. Côté contrôle numérique, citons l’interface « XP RSA »²²Voir ce document de présentation de XP RSA., l’outil numérique déployé dans le cadre de la récente réforme du RSA. Cette interface n’est rien d’autre qu’un agenda partagé permettant de déclarer, et de contrôler, les quinze à vingt « heures d’activité » hebdomadaires dont vont devoir s’acquitter les bénéficiaires du minima social. Son remplissage forcé est un pas supplémentaire vers le flicage des plus précaires.

Côté IA, France Travail a lancé en 2024 le programme « Data IA »²³Voir ce document de présentation du programme Data IA., successeur d’Intelligence Emploi mentionné plus haut. Présenté avec fracas au salon de l’« innovation technologique » VivaTech – organisé par le groupe Publicis –, on retrouve parmi les projets en développement une IA générative visant à numériser l’accompagnement et la recherche d’emploi (« Match FT »)²⁴Pour Match FT, voir cet entretien, ce tweet et cet article de la Banque des Territoires. Voir aussi Chat FT, l’IA générative pour l’instant dédiée aux conseillers·es, dans ce document.. France Travail s’intéresse aussi aux « maraudes numériques » pour « remobiliser les jeunes les plus éloignés de l’emploi »²⁵Voir ce tweet. et au développement d’« agences virtuelles »²⁶Voir ce tweet..

Austérité, automatisation et précarisation

La numérisation de France Travail signe la naissance d’un modèle de gestion de masse où coexistent une multitude d’algorithmes ayant chacun la tâche de nous classifier selon une dimension donnée. Risque de « fraude », de « dispersion », de « perte de confiance », suivi des diverses obligations : les capacités de collecte et de traitements de données sont mises au service de la détection, en temps réel, des moindres écarts à des normes et règles toujours plus complexes²⁷Sur la réforme à venir, voir notamment cet article du Monde. Sur le triplement des contrôles, voir cet article du même journal.. Cette numérisation à marche forcée sert avant tout à contrôler les personnes sans emploi²⁸Sur l’histoire du contrôle à France Travail, voir le livre Chômeurs, vos papiers de C. Vivès, L. Sigalo Santos, J.-M. Pillon, V. Dubois et H. Clouet, le rapport Le contrôle des chômeurs de J.-M. Méon, E. Pierru et V. Dubois disponible ici et le livre France Travail : gérer le chômage de masse de Jean-Marie Pillon..

À l’heure où Gabriel Attal annonce une énième réforme de l’assurance-chômage passée en force alors que l’Assemblée nationale est dissoute, ce contrôle ne cache plus son but : forcer les plus précaires à accepter des conditions de travail toujours plus dégradées²⁹Sur la réforme à venir, voir notamment cet article du Monde. Sur le triplement des contrôles, voir cet article du même journal..

Loin des promesses de « libérer du temps pour les conseillers » ou d’offrir un accompagnement « plus réactif et plus personnalisé »³⁰Voir, entre autres, cette vidéo du responsable du programme Data IA. aux personnes sans emploi, cette numérisation contribue à la déshumanisation d’un service essentiel et à l’exclusion des plus précaires, voire tend à une généralisation du non-recours aux droits. Il ne s’agit pas d’idéaliser le traitement « au guichet », mais de rappeler que la numérisation forcée accentue les écueils de ce dernier. En accompagnant la fermeture des points d’accueil, elle transfère une partie du travail administratif aux personnes usagères du service public, participant à l’éloignement de celles et ceux qui ne sont pas en mesure de le prendre en charge³¹Voir le livre L’Etat social à distance de Clara Deville..

En standardisant les processus d’accompagnement, via la quantification de chaque action et le profilage de toute une population, elle restreint les possibilités d’échange et supprime toute possibilité d’accompagnement réellement personnalisé³²Voir le texte Déshumaniser le travail social de Keltoum Brahan et Muriel Bombardi, publié dans le numéro de février 2017 de CQFD..

En facilitant le contrôle généralisé, elle accentue enfin la stigmatisation des plus précaires et participe activement à leur paupérisation.

---

Mise à jour du 12 juillet 2024

À la suite de notre article, France Travail, via son directeur général Thibaut Guilly, a souhaité exercer son droit de réponse que nous publions ci-dessous in extenso.

Madame, Monsieur,

Je reviens vers vous suite à mon précédent courrier du 2 juillet.

Bien que le délai de 3 jours prévu à l’article 1.1-III de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique soit aujourd’hui expiré, je constate que le droit de réponse qui vous a été adressé n’a pas été publié. Pour rappel, le non-respect de cette obligation est passible d’une amende de 3 750 €.

Aussi, je réitère par la présente ma demande de publication d’un droit de réponse suite à la parution le 25 juin 2024 de l’article intitulé « A France Travail, l’essor du contrôle algorithmique » (librement accessible à l’adresse : https://www.laquadrature.net/2024/06/25/a-france-travail-lessor-du-controle-algorithmique/).

Dans cet article, vous évoquez un « service public de l’emploi largement automatisé », ainsi qu’une utilisation des algorithmes qui « contribue à la déshumanisation d’un service essentiel », favorise « la stigmatisation des plus précaires et participe activement à leur paupérisation » et constitue « un pas supplémentaire vers le flicage des plus précaires ». Il s’agirait d’une « extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social », cette « numérisation à marche forcée ser[van]t avant tout à contrôler les personnes sans emploi ». Vous faites également état de « la fermeture des points d’accueil ».

Nous nous inscrivons en faux contre ces propos erronés qui conduisent à jeter un discrédit sur le travail des plus de 55 000 collaborateurs qui accompagnent chaque jour les demandeurs d’emploi et les entreprises et à travestir la réalité concernant l’usage que nous faisons de ces algorithmes.

L’utilisation des algorithmes au sein de France Travail ne vise en aucun cas à remplacer le travail des conseillers. L’intelligence artificielle (IA) vient en complément et ne se substitue jamais à une intervention humaine. Au contraire, nous concevons les algorithmes et l’IA comme des outils d’aide à la décision pour les conseillers ou un moyen de leur libérer du temps administratif afin de leur permettre de se consacrer pleinement à l’accompagnement des demandeurs d’emploi.

Toute utilisation d’algorithmes est en outre encadrée par une charte éthique (https://www.francetravail.org/accueil/communiques/pole-emploi-se-dote-dune-charte-pour-une-utilisation-ethique-de-lintelligence-artificielle.html?type=article) qui décrit nos engagements pour garantir un cadre de confiance respectueux des valeurs de France Travail, à l’opposé de toute « notation de chômeurs » que vous pointez dans votre article. Un comité d’éthique externe composé de personnalités qualifiées garantit le respect de ce cadre. En aucun cas, les algorithmes ne sont utilisés pour « encourager les demandeurs d’emploi à accepter des emplois au rabais ».

Concernant la « mécanisation » ou la « déshumanisation » de l’accompagnement que vous avancez, c’est méconnaitre le travail que réalisent les conseillers quotidiennement dans plus de 900 agences ou par téléphone. Aucun projet de fermeture d’agence n’est d’ailleurs envisagé contrairement à ce que vous dites et France Travail est un des rares services publics à être ouvert tous les jours, sur flux le matin et sur rendez-vous l’après-midi. Plus de 8,8 millions de personnes sont venues dans nos agences l’année dernière. Cet accueil en agence reflète justement notre politique de proximité et d’accompagnement notamment des plus précaires. L’ambition de la loi pour le plein emploi est en outre de renforcer l’accompagnement humain des plus éloignés, en particulier des bénéficiaires du RSA.

Vous parlez enfin de « flicage des plus précaires » à travers l’utilisation d’algorithmes concernant le contrôle de la recherche d’emploi et la lutte contre la fraude. Il convient tout d’abord de souligner que ce sont deux activités distinctes, le contrôle de la recherche d’emploi ne saurait être assimilé à de la lutte contre de la fraude, qui est, par définition, une activité illégale et susceptible de poursuites pénales. Sur ce dernier point, l’utilisation des données dans la lutte contre la fraude vise avant tout à protéger nos usagers. En effet, la majorité des situations recherchées par les équipes de France Travail ne concerne pas des demandeurs d’emploi mais des individus qui détournent les services d’indemnisation du chômage, bien souvent au préjudice de nos usagers : usurpation d’identité des demandeurs d’emploi pour s’approprier leurs droits à l’assurance chômage ou détourner leurs paiements, individus se fabricant un faux passé professionnel ou une fausse résidence en France pour ouvrir des droits indus. Concernant le contrôle de la recherche d’emploi, là encore nous réfutons vivement l’idée selon laquelle nous mènerions une chasse aux plus précaires. Tout demandeur d’emploi inscrit à France Travail bénéficie de droits mais a également des devoirs qui lui sont présentés dès son inscription, dont celui de rechercher activement un emploi. 600 conseillers sont dédiés à ce contrôle et là encore, l’IA est un outil d’aide et en aucun la pierre angulaire des contrôles réalisés par ces conseillers en contact avec les demandeurs d’emploi tout au long de ce processus de contrôle. Là encore votre article méconnaît le travail de nos conseillers et constitue une atteinte à leur engagement et à leur intégrité.

Je vous remercie de publier sans délai ce droit de réponse. A défaut, je me réserve la possibilité de saisir les juridictions à cet effet.

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes sincères salutations.

Thibaut Guilluy

Notre réponse :

À la suite de notre article, France Travail, via son directeur général Thibaut Guilly, nous a initialement écrit pour faire des remarques d’ordre général sur notre article. Puis, dans une nouvelle lettre reçue aujourd’hui, il est subitement passé aux menaces : nous n’aurions, selon lui, pas fait droit à sa prétendue « demande de publication d’un droit de réponse ». Ces menaces sont particulièrement malvenues et, au demeurant, totalement vaines, puisque rien dans son courrier initial n’indiquait qu’il s’agissait d’une demande de droit de réponse…

Le directeur général de France Travail s’en tient à une poignée d’éléments de langage sans jamais répondre sur le fond. Pas un mot sur la multiplication des algorithmes de profilage à des fins de contrôle. Tout au plus y apprend-on que des algorithmes d’IA sont aussi utilisés à des fins de « contrôle de la recherche d’emploi », ce que nous ignorions.

Cette lettre se borne ainsi à un simple exercice, maladroit et malvenu, de communication. Elle s’essaye vainement à réfuter l’expression de « flicage des plus précaires » pour décrire les outils de surveillance des allocataires du RSA. La mise en place d’un agenda partagé pour le contrôle des 15 à 20 heures d’activité de ces dernier·ès serait ainsi – il faut savoir apprécier l’humour – une mesure visant à « renforcer l’accompagnement humain ».

Quant à l’impact de la numérisation sur l’accueil des plus précaires, le directeur général de France Travail nie la réalité, tout comme son homologue de la CNAF, afin de minimiser l’étendue de la surveillance et le projet politique sous-jacent. Qu’a-t-il donc à répondre à la Défenseure des droits qui, en 2022 dans son deuxième rapport sur la dématérialisation des services publics, rappelait la hausse des inégalités et des réclamations en raison de cette dématérialisation « à marche forcée » ?

Enfin, opposer, comme le fait cette lettre, le travail des salarié·es de France Travail et notre action de documentation et d’alerte sur les abus de l’administration est stérile : la déshumanisation et le changement de nature du service public se font non seulement au détriment des personnes au chômage mais également des agent·es de France Travail, comme l’ont dénoncé syndicats et associations au moment de la réforme de l’assurance chômage et la transformation de Pôle Emploi en France Travail³³La CGT a dénoncé une réforme qui n’« est pas favorable » aux personnes sans emploi. La CGT Pôle Emploi y voit une numérisation du service public qui « détruira les nécessaires relations humaines, et accentuera la fracture numérique et donc la précarité » et une réforme qui va « renforcer les devoirs au détriment des droits », ou encore « accroître les tensions entre les agents et les demandeurs d’emploi ». Solidaires a dénoncé le caractère « trompeur » de l’accompagnement. Côté personnes sans emploi, le constat est le même : cette transformation rend les personnes « Coupable[s] d’être au chômage » d’après le comité National CGT des Travailleurs Privés d’Emploi et Précaires. Enfin, les associations de solidarité et des syndicats ont ensemble dénoncé dans le Monde le « risque des contrôles abusifs de la situation globale des ménages »..

Ce que cette lettre souligne avant tout c’est donc l’absence de recul, de capacité de remise en cause et d’esprit critique du directeur général de France Travail quant à l’extension des logiques de contrôle numérique au sein de son institution. Ou sa pleine adhésion à ce projet.

References[+]

References

↑1	Voir cette note de synthèse revenant sur les premières expérimentation faites par Pôle Emploi.
↑2	Voir cet article sur l’implication de Cap Gemini dans la réalisation de l’outil de scoring.
↑3	L’expression « score de suspicion » est extraite de l’analyse d’impact disponible ici, celle de « signaux faibles » d’une note de suivi des travaux OCAPI 2018 disponible ici, celle d’« indices » de l’article présentant la collaboration de France Travail avec Cap Gemini. Quant au terme d’« escroquerie », il est issu d’un échange de mails avec un·e responsable de France Travail.
↑4	L’algorithme utilisé semble se baser sur des arbres de décisions, sélectionnés via XGBoost. Les principaux cas d’entraînement semblent être la détection de périodes d’activité dites « fictives » – soit des périodes de travail déclarées mais non travaillées – d’usurpation d’identité et de reprise d’emploi non déclarée. Voir ce document.
↑5	Nous accompagnons différentes personnes dans des demandes d’accès à leurs données personnelles. Pour l’instant, France Travail s’est systématiquement opposé à leur donner toute information, en violation du droit.
↑6	Voir notamment nos articles sur l’algorithme de la CAF, en tout point similaire à cette page.
↑7	Ce programme, financé à hauteur de 20 millions d’euros par le Fond de Transformation de l’Action Publique a été construit autour de 3 axes et s’est déroulé de 2018 à 2022. Voir notamment la note de 2020 envoyée à la DINUM par France Travail, disponible ici.
↑8	Rapport annuel 2018 de Pôle Emploi disponible ici.
↑9, ↑10	Voir cette note envoyée par Pôle Emploi à la DINUM.
↑11	Voir ce support de webinaire.
↑12	En partie puisqu’au cœur des algorithmes du JRE, nulle trace de machine learning ou de traitements statistiques complexes. Chaque score résulte de l’application de règles simples, bien loin des ambitions initiales de recours à l’intelligence artificielle. Les dirigeant·es de France Travail semblent ici avoir éprouvé les limites d’un techno-solutionnisme béat. Voir ce document. À noter aussi que ce document évoque une « brique IA Mire » portant sur la détection de « situations de décrochage ». Il se pourrait donc que des algorithmes plus avancés soient en développement.
↑13	Le JRE est une refonte de l’interface numérique. Voir à ce sujet l’excellent article de Basta disponible ici. Si le JRE ne semble pas avoir été créé dans le cadre du programme Intelligence Emploi, il semble avoir été le cadre d’expérimentations de plusieurs des solutions produites. Voir ici.
↑14	Voir le document « Fiches pratiques à destination des conseillers » portant sur le JRE disponible ici.
↑15	Les documents les plus parlants sur la mécanisation de l’accompagnement via le JRE sont ce support et ce document à destination des conseiller·es. Voir aussi les documents que nous mettons en ligne sur l’utilisation d’IA pour générer des conseils automatisés, consultables par les personnes sans emploi et les conseiller·es.
↑16	Voir cette interview du directeur actuel de France Travail.
↑17	Pour un aperçu historique de la notion d’employabilité, voir le chapitre 5 de France Travail : Gérer le chômage de massse de J.-M Pillon.
↑18, ↑20	Voir cette note envoyée par Pôle Emploi à la DINUM en 2020.
↑19	Voir cette autre note envoyée par Pôle Emploi à la DINUM en 2021.
↑21	Voir ce document sur l’utilisation de l’IA à Pôle Emploi.
↑22	Voir ce document de présentation de XP RSA.
↑23	Voir ce document de présentation du programme Data IA.
↑24	Pour Match FT, voir cet entretien, ce tweet et cet article de la Banque des Territoires. Voir aussi Chat FT, l’IA générative pour l’instant dédiée aux conseillers·es, dans ce document.
↑25	Voir ce tweet.
↑26	Voir ce tweet.
↑27, ↑29	Sur la réforme à venir, voir notamment cet article du Monde. Sur le triplement des contrôles, voir cet article du même journal.
↑28	Sur l’histoire du contrôle à France Travail, voir le livre Chômeurs, vos papiers de C. Vivès, L. Sigalo Santos, J.-M. Pillon, V. Dubois et H. Clouet, le rapport Le contrôle des chômeurs de J.-M. Méon, E. Pierru et V. Dubois disponible ici et le livre France Travail : gérer le chômage de masse de Jean-Marie Pillon.
↑30	Voir, entre autres, cette vidéo du responsable du programme Data IA.
↑31	Voir le livre L’Etat social à distance de Clara Deville.
↑32	Voir le texte Déshumaniser le travail social de Keltoum Brahan et Muriel Bombardi, publié dans le numéro de février 2017 de CQFD.
↑33	La CGT a dénoncé une réforme qui n’« est pas favorable » aux personnes sans emploi. La CGT Pôle Emploi y voit une numérisation du service public qui « détruira les nécessaires relations humaines, et accentuera la fracture numérique et donc la précarité » et une réforme qui va « renforcer les devoirs au détriment des droits », ou encore « accroître les tensions entre les agents et les demandeurs d’emploi ». Solidaires a dénoncé le caractère « trompeur » de l’accompagnement. Côté personnes sans emploi, le constat est le même : cette transformation rend les personnes « Coupable[s] d’être au chômage » d’après le comité National CGT des Travailleurs Privés d’Emploi et Précaires. Enfin, les associations de solidarité et des syndicats ont ensemble dénoncé dans le Monde le « risque des contrôles abusifs de la situation globale des ménages ».

]]> https://www.laquadrature.net/?p=23983http://isyteck.com/autoblog/quadrature/index.php5?20240621_161323_QSPTAG__310_____21_juin_2024Fri, 21 Jun 2024 14:13:23 +0000Bloquez la VSA dans votre commune !

Vous connaissez notre campagne contre la vidéosurveillance algorithmique (VSA). Le moment est venu de nous dresser tous et toutes contre ces dispositifs de surveillance totale. Pour l’heure, la VSA est toujours illégale, en dehors du périmètre expérimental tracé par la loi Jeux Olympiques. Mais de nombreuses communes sont déjà équipées, dans une opacité organisée, sans demander l’avis des habitant·es. Et les décrets préfectoraux récupérés par notre outil Attrap’Surveillance montrent chaque jour les abus. Alors, il faut donner de la voix. Il faut se faire entendre. Écrivez à votre maire !

Aux États-Unis, où les pratiques de VSA sont en avance sur les nôtres, de grandes villes ont déjà exprimé leur refus catégorique de les utiliser pour surveiller la population. En France, Montpellier a courageusement franchi le pas en 2022. Aujourd’hui, il est temps d’interpeller le plus grand nombre possible de communes, petites ou grandes, pour faire nombre et faire entendre que nous ne voulons pas laisser ce choix de société, totalitaire et déshumanisant, s’installer partout par inertie. La surveillance n’est pas une fatalité et nous pouvons l’arrêter.

N’hésitez pas : faites entendre votre voix et celle d’un très grand nombre d’habitant·es de ce pays. Nous avons préparé un modèle de lettre à envoyer à votre mairie, que vous pouvez personnaliser comme vous voulez. Vous trouverez aussi des flyers et des affiches très faciles à adapter à votre commune, pour faire passer le message dans les rues et tout autour de vous. Tout est rassemblé sur cette page. Aidez le pays à lutter contre la surveillance et l’enfermement sur lui-même. Nous n’avons aucune raison ni aucune envie de vivre dans une prison à ciel ouvert. La liberté est collective !

Lire l’article  : https://www.laquadrature.net/2024/06/18/faites-interdire-la-videosurveillance-algorithmique-dans-votre-ville/
Trouver les éléments d’action : https://www.laquadrature.net/pasdevsadansmaville/
La page de la campagne contre la VSA : https://www.laquadrature.net/vsa/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024, et nous avons pour le moment réuni 70% de notre objectif de collecte. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• Vendredi 5 juillet 2024 : Apéro public dans nos locaux, au 115 rue de Ménilmontant à Paris, de 19h à 23h, entrée libre.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Vidéosurveillance algorithmiquee

• Comment la surveillance d’État fut combattue [Le Monde diplomatique]
• Après les Jeux olympiques, tous surveillés par les algorithmes ? [Journal Spécial des Sociétés]

Règlement CSAR

• Chat Control : la directrice de Signal tire la sonnette d’alarme [ZDNet]
• La Belgique ravive le spectre de la surveillance de masse via nos smartphones [Le Soir]
• WhatsApp, Signal, Messages… Pourquoi vos conversations en ligne pourraient être moins protégées à l’avenir [RTL]

Divers

• Censure de TikTok en Nouvelle-Calédonie : comment Macron et Attal ont pu copier les pires dictatures [Le Média TV]
]]> https://www.laquadrature.net/?p=23971http://isyteck.com/autoblog/quadrature/index.php5?20240618_150901_Faites_interdire_la_videosurveillance_algorithmique_dans_votre_ville___Tue, 18 Jun 2024 13:09:01 +0000Alors que les expérimentations de vidéosurveillance algorithmique (VSA) continuent d’être demandées et déployées par les préfectures – pendant le festival de Cannes ou à Roland-Garros par exemple -, nous lançons la deuxième phase de notre campagne de lutte contre l’empire de la surveillance ! Comme nous croyons que la mobilisation au niveau local est le moyen le plus pertinent et le plus puissant pour repousser l’envahissement de la surveillance, nous avons pensé de nouveaux outils pour aider les habitant·es des villes de France à se battre contre la VSA dans leur commune.

Il y a quelques semaines, nous avons annoncé notre plan de bataille visant à dénoncer l’hypocrisie derrière l’expansion de la surveillance algorithmique de l’espace public. En effet, les Jeux Olympiques sont instrumentalisés pour accélérer l’agenda politique des institutions et des instances policières qui souhaitent ajouter aux caméras des logiciels permettant d’analyser nos faits et gestes dans la rue. Les expérimentations « officielles » de cette technologies ont débuté en avril dernier. Elles ont eu lieu à l’occasion d’evenements festifs, que nous recensons sur notre outil collaboratif, le « Carré ». Pour la plupart, il s’agit d’opportunités pratiques pour tester ces technologies décorrélées de risques de sécurité concrets. En témoignent les justifications des autorisations préfectorales, qui prétendent expliquer le choix de surveiller le métro parisien dans le cadre d’un concert par une guerre à l’autre bout du monde ou un attentat ayant eu lieu il y a plusieurs années. Ces motifs sont copiées/collées au gré des arrêtés démontrant l’absence totale d’efforts des préfectures à contextualiser l’utilisation de cette technologie.

De plus, depuis que la « loi sur les Jeux Olympiques et Paralympiques » a créé un premier régime juridique de la VSA dans le droit français, les promoteurs de la surveillance n’hésitent pas à mettre en avant un soit disant « respect du cadre légal ». Il ne faut y voir rien d’autre qu’un écran de fumée puisque de très nombreux projets de surveillance continuent de prospérer en toute illégalité : qu’il s’agisse du programme Prevent PCP mis en œuvre dans des gares par la SNCF, ou des entreprises privées qui continuent de vendre leurs logiciels de VSA à des villes – telles que Thalès à Reims ou Briefcam à Brest -, ces initiatives locales multiples sont tolérées par les pouvoirs publics. Pour approfondir sur la situation actuelle, nous avons rassemblé et synthétisé dans une brochure (disponible ici) les informations nécessaires pour comprendre ce qu’est la VSA, les raisons de son déploiement et le projet politique cohérent qui se dessine derrière ses utilisations pour le moment temporaires. N’hésitez pas à la lire, l’imprimer et la diffuser !

Désormais, avec cette nouvelle phase de notre campagne, nous vous proposons de passer à l’action ! Si l’arrivée de la VSA est poussée par des instances nationales et les industriels de la surveillance, nous pouvons la contrer en nous y opposant de façon délocalisée et démultipliée à travers toute la France. La ville de Montpellier a ainsi adopté en 2022 une résolution interdisant la surveillance biométrique dans les rues, s’inscrivant dans la dynamique lancé par des villes états-uniennes telles que Boston ou Austin qui avaient également avaient refusé de surveiller leurs habitant·es avec des outils d’analyse biométrique.

Nous vous appelons donc à rejoindre cet élan et à porter le combat dans votre ville ! Pour cela, nous avons conçu et mis à disposition plusieurs outils sur cette page. Tout d’abord, vous trouverez une lettre-type à envoyer pour demander à votre maire de s’engager à ne jamais installer de vidéosurveillance algorithmique dans votre ville. Il ne s’agit que d’un modèle, vous pouvez évidemment l’adapter ou faire votre propre courrier.

Si vous tapez le nom de votre commune, vous pourrez télécharger plusieurs éléments de communication déclinés au nom de l’endroit ou vous vivez ! Nous vous proposons aussi bien un flyer à distribuer pour informer et alerter les personnes sur la VSA que des affiches à coller dans les rues pour visibiliser ce combat. Aussi, vous pourrez fabriquer un visuel à partager sur les réseaux sociaux afin de rendre visible la demande d’interdiction de la VSA que vous avez faite à votre maire ! N’hésitez pas à la faire à titre individuel ou avec un collectif de votre ville et à nous tenir au courant. Nous listerons ensuite sur notre site les communes qui auront été contactées dans le cadre de cette mobilisation !

L’objectif est simple : ensemble, nous pouvons démontrer qu’il existe une opposition populaire forte contre la surveillance de nos rues. En multipliant les actions dans les villes de France, nous pourrons battre en brèche le discours sécuritaire dominant qui présente ces technologies d’analyse de nos faits et gestes comme nécessaires et leur installation inéluctable. Au contraire, nous pouvons témoigner ensemble de notre refus collectif d’une surveillance policière constante, et défendre la ville comme espace de création, de liberté et de soin. Rejoignez la mobilisation, demandez l’interdiction de la VSA dans votre ville !

]]> https://www.laquadrature.net/?p=23965http://isyteck.com/autoblog/quadrature/index.php5?20240618_141018_VSA____la_surveillance_batit_son_empireTue, 18 Jun 2024 12:10:18 +0000Les Jeux Olympiques vont nous laisser la surveillance de masse en héritage. En instrumentalisant cet évènement, le gouvernement a autorisé l’utilisation de la vidéosurveillance algorithmique (VSA) jusqu’en 2025 pour des situations qui dépassent largement le cadre cette compétition sportive. Ces logiciels, qui analysent les images de vidéosurveillance et envoient automatiquement des alertes à la police, sont déployés depuis des années en France en toute illégalité, sans que jamais les responsables n’aient été inquiétés. L’hypocrisie est donc totale. En légalisant quelques usages de VSA, l’État souhaite légitimer un état de fait et amorcer un projet de surveillance bien plus large de l’espace public.

Derrière cette légalisation inédite, qui porte sur un petit nombre de cas d’usage (départs de feux, individus marchant à contre-sens, etc.), ce sont d’autres applications qui pourraient à leur tour être légalisées. De nombreux responsables politiques assument publiquement de vouloir autoriser le suivi et la catégorisation biométriques de la population, y compris à travers la reconnaissance faciale ou encore la reconnaissance des émotions. Les entreprises distribuent déjà ces technologies et les propositions de légalisation sont dans les tuyaux.



C’est donc maintenant qu’il faut se mobiliser, pour résister contre cet empire de la vidéosurveillance algorithmique. Partout en France, refusons le contrôle permanent de nos faits et gestes, organisons-nous dans nos villes pour faire entendre notre voix, perturbons les expérimentations et documentons les projets illégaux qui continuent de prospérer.

Ensemble, luttons pour que l’espace public ne se transforme pas définitivement en lieu de répression policière mais reste un espace de libertés.



S’opposer aux expérimentations

Pendant toute l’année à venir, les festivals, matchs de foots ou autres marchés de Noël seront le terrain de jeu de la vidéosurveillance algorithmique. Sur la base de la loi relative aux Jeux Olympiques du 19 mai 2023, les préfectures pourront ainsi utiliser des algorithmes visant à détecter huit types de situations , dans et aux abords des lieux accueillant du public et des réseaux de transport. Franchir une ligne, marcher à contre-sens ou faire partie d’une « densité trop importante de personnes » pourront conduire à des signalement automatiques à destination de la police, dans les centres où sont visionnés les images de vidéosurveillance. Qu’on ne s’y trompe pas : le danger ne réside pas tant dans ces quelques usages limités que dans l’élargissement programmé des cas d’usage et, à terme, le projet d’une surveillance systématique et généralisée de l’espace public.

Nous vous invitons donc à prendre ces évènements comme autant d’occasions pour se rendre sur place et faire valoir notre opposition à l’accaparement sécuritaire de l’espace public !

Nous avons constitué un « kit de mobilisation » — une brochure, des affiches, des flyers, etc. — pour que chacun·e puisse se renseigner et se mobiliser contre les déploiements « expérimentaux » de VSA. En dehors de nos propositions, bien d’autres formes de contestation sont possibles pour informer la population et dénoncer cette surveillance ! Que ce soit une danse « suspecte » sous l’œil des caméras ou un courrier formel à la CNIL, toutes les manière d’exprimer son opposition seront utiles pour matérialiser notre refus collectif de cette expérimentation hypocrite et du projet politique autoritaire dont elle découle.



S’organiser

Derrière les « expérimentations », de nombreux autres systèmes de VSA sont déployés de façon illégale en France, en toute opacité, sans contrôle ni condamnation politique. C’est pour cette raison que, depuis 2019, l’initiative Technopolice lancée par La Quadrature en lien avec des collectifs locaux cherche à faire la lumière sur ces projets. Il nous faut poursuivre cet effort, en obtenant des informations sur les entreprises qui continuent de vendre leurs logiciels illégaux, et interpeller les collectivités sans scrupules qui les achètent. Là où l’action apparaît la plus pertinente et la plus concrète est à l’échelle des villes et des rues où nous vivons. Des collectifs d’habitantes et d’habitants s’organisent ainsi un peu partout dans le pays pour recenser, documenter et lutter contre ces technologies policières.



Agir

Que ce soit lors d’expérimentations ou pour lutter contre un projet dans sa ville, les modes d’actions à explorer sont multiples. Voici des outils pour agir où que vous soyez et de la manière que vous préférez.

• Demander l’interdiction de la VSA dans sa ville : c’est l’action facile que nous avons décidé de mettre en avant dans le cadre de cette campagne. Que vous apparteniez à un collectif ou le fassiez de manière individuelle, nous vous expliquons ici comment participer à cette action à l’échelle de votre commune.

• S’informer et informer sur la VSA : Nous avons rassemblé dans une brochure des éléments pour comprendre ce que recouvre politiquement et techniquement la vidéosurveillance algorithmique. Elle est disponible ici. Ce document est fait pour être diffusé ! Alors lisez-le, imprimez-le, envoyez-le, laissez-le traîner… Bref, partagez-le le plus possible !

• Demander de l’information à sa commune : Un des principaux moteurs du déploiement des technologies policière réside dans l’opacité complète qui les entoure. Pour battre en brèche les projets de surveillance il faut donc les rendre visibles, en comprendre les contours et révéler leur fonctionnement. Les demandes d’accès aux documents administratifs (dites « demandes CADA ») sont un outil efficace à la portée de toutes et tous pour obtenir des éléments sur les dispositifs de sa ville. Pour réaliser une demande CADA, vous pouvez suivre le guide dédié. Nous vous invitons également à utiliser la plateforme MaDada pour centraliser, suivre et partager les différentes demandes que vous avez réalisées.

• Enquêter et faire de la veille : De nombreux autres moyens d’enquête existent pour trouver des informations, comme la recherche en source ouverte sur les sites internet des entreprises de surveillance ou des collectivités, qui permet souvent de trouver des descriptions détaillées de technologies ou de cas d’usages déployés dans certaines villes. On peut également se plonger dans la lecture de compte-rendus de conseils municipaux ou assister à des réunions publiques.

• Repérer les arrêtés préfectoraux : Les « expérimentations » de VSA mises en œuvre dans le cadre de la loi sur les Jeux Olympiques, ainsi que les utilisations de drones policiers, sont autorisées par des décisions préfectorales, souvent adoptées au dernier moment et en toute discrétion. Nous venons de lancer Attrap’Surveillance, un outil libre qui permet de rechercher et de trouver automatiquement ces autorisations dans les « recueils des actes administratifs » des préfectures. De cette manière, il s’agit d’informer la population quant à ces autorisation de surveillance pour permettre à toutes et tous de s’y opposer. Nous avons encore besoin d’aide pour l’améliorer, n’hésitez pas à contribuer au développement de cet outil, à nous suggérer des modifications…

• Visibiliser la surveillance dans l’espace public : Les caméras, qu’elles soient ou non dotées de logiciels d’analyse algorithmique, sont de plus en plus présentes dans nos villes et villages. Ces dispositifs sont le plus souvent juchés en haut d’un mobilier urbain conçu pour les faire disparaître. En les visibilisant, on matérialise une surveillance que certains voudraient rendre aussi discrète que possible et indolore. Il s’agit ainsi de matérialiser le contrôle de nos déplacements rendu possible par l’objectif de ces caméras. Pour assurer cette visibilité de l’infrastructure de vidéosurveillance, on peut organiser des « balades cartographiques » pour repérer les emplacements et modèles des caméras et les répertorier sur une carte accessible en ligne (voir cette vidéo qui explique comment organiser une cartographie des caméras et renseigner leur emplacement dans Openstreetmap). On peut également interpeller les passant·es en tractant, en accrochant leur regard au travers d’affiches ou des stickers.

• Interpeller les élu·es : Les projets de surveillance urbaine sont généralement décidés à l’échelle locale. Interpeller son maire est une manière de demander des comptes. Vous pouvez exiger de lui ou d’elle, à l’instar de la ville de Montpellier, d’interdire tout logiciel de vidéosurveillance algorithmique dans sa ville ! Aussi, la loi relative aux Jeux Olympiques prévoit que l’expérimentation soit évaluée selon certains critères, dont la « perception » du public. N’hésitez donc pas à aller à la rencontre de parlementaires de votre circonscription dire tout le mal que vous pensez de ces dispositifs. Ce sont elles et eux qui auront à se prononcer sur la suite du processus de légalisation de la VSA.

• Organiser des évènements : La sensibilisation des habitantes et habitants passe par des échanges et des rencontres, par des festivals, des expositions ou des projections documentaires autour de la surveillance. Tous les moyens sont bons pour tenir la VSA et son monde en échec !

Des groupes locaux opposés à la Technopolice existent déjà, comme à Saint-Étienne, Paris et sa banlieue, Marseille ou Montpellier. N’hésitez pas à les rejoindre ou à en créer dans votre ville. Pour s’organiser, échanger et faire résonner nos mobilisations, l’initiative Technopolice propose un forum public ainsi qu’une plateforme de documentation en écriture collaborative appelée le « Carré ». Vous pouvez aussi rejoindre le groupe de discussion sur Matrix. De nombreux autres outils similaires visant à appuyer nos combats existent par ailleurs ou sont encore à inventer !



Kit de mobilisation

Nous avons réalisé des affiches et des brochures que vous pouvez réutiliser librement, imprimer, distribuer et afficher partout ! Vous pouvez aussi vous mobiliser avec d’autres groupes Technopolice, voyez la section Agir.

Affiches


Télécharger le PDF avec les affiches !

Brochure



---

Lire la brochure en ligne

Version pour consultation numérique ( double-pages )

Version pour impression ( page par page )

Version pour impression ( pré-imposée pour brochage )

]]> https://www.laquadrature.net/?p=23841http://isyteck.com/autoblog/quadrature/index.php5?20240607_183022_QSPTAG__309_____7_juin_2024Fri, 07 Jun 2024 16:30:22 +0000Pourquoi le blocage de TikTok est un précédent inquiétant

Lors des événements violents qui ont secoué la Kanaky-Nouvelle-Calédonie au mois de mai, le gouvernement avait décidé de bloquer sur ce territoire l’accès au réseau social TikTok, accusé d’être un moyen d’entretenir la révolte d’une partie de ses habitant·es. Pleinement conscients de la toxicité de ce réseau social comme de nombreux autres, nous avions pourtant attaqué la décision du gouvernement devant le Conseil d’État, en raison de son atteinte exceptionnelle au régime de l’État de droit et de la liberté d’expression, une première dans un pays démocratique de l’Union européenne.

Le Conseil d’État a rejeté notre demande, validant la légalité confuse invoquée par le gouvernement pour justifier son geste, flottant entre « état d’urgence » et « circonstances exceptionnelles », tout autant que la légèreté des preuves qu’il apportait pour appuyer ses affirmations sur le rôle joué par TikTok dans les émeutes. Depuis cette décision, l’état d’urgence a été levé et l’accès au réseau rétabli.

Mais la décision du Conseil d’État, que nous avions sollicité dans la cadre d’un recours en référé-liberté, portait sur l’urgence à maintenir ou à suspendre la décision du gouvernement. C’est ce caractère d’urgence qui a été refusé, mais la décision ne portait pas sur le fond de la légalité ou de l’illégalité de l’action du gouvernement, pourtant condamnée sur le principe par les plus hautes cours européennes (CEDH) ou les instances internationales (Nations Unies). C’est pourquoi nous avons décidé de déposer un nouveau recours devant le Conseil d’État, pour l’obliger à statuer a posteriori sur la légalité de la coupure arbitraire d’une partie d’Internet par un gouvernement. L’enjeu n’a évidemment rien à voir avec TikTok, mais concerne directement le droit des habitant·es de l’Union européenne à ne pas être privé·es à l’avenir de leurs moyens de communication, du jour au lendemain, par un gouvernement livré à ses plus bas instincts répressifs.

Lire l’article : https://www.laquadrature.net/2024/06/05/blocage-de-tiktok-en-nouvelle-caledonie-retour-sur-un-fiasco-democratique/

Analyse du règlement IA

Le règlement européen sur l’Intelligence artificielle (IA Act) a été adopté le 21 mai dernier. Au début des négociations autour de ce texte en 2021, les intentions annoncées pouvaient laisser espérer qu’il encadrerait ou interdirait l’usage des techniques d’IA les plus attentatoires aux droits individuels et collectifs, comme la reconnaissance faciale, ou les algorithmes de contrôle policier, administratif et de « notation sociale ». Mais l’insistance des États membres, la France en tête, a eu raison de ces bonnes intentions.

Cette approche de l’IA comme « marché » et comme moyen de croissance économique réduit délibérément les garde-fous censés encadrer l’usage de l’IA pour la surveillance des populations, en créant de nombreuses exceptions par lesquelles l’industrie et les gouvernements pourront justifier les pires usages policiers. Une analyse détaillée à lire sur notre site.

Lire l’analyse du règlement IA : https://www.laquadrature.net/2024/05/22/le-reglement-ia-adopte-la-fuite-en-avant-techno-solutionniste-peut-se-poursuivre/

Loi contre les ingérences étrangères

Dans le contexte géopolitique que l’on connaît, le gouvernement a décidé de soutenir, par l’intermédiaire du député Sacha Houlié (Renaissance), une proposition de loi pour « Prévenir les ingérences étrangères en France ». Parmi les diverses dispositions envisagées, dont un contrôle serré des financements associatifs venus de l’étranger, il s’agit d’autoriser les services de renseignement à utiliser pour de nouvelles finalités les fameuses « boîtes noires » légalisées en 2015 par la loi Renseignement.

Ces « sondes » surveillent les réseaux de télécommunication (Internet et téléphonie) à la recherche de signaux susceptibles d’attirer l’attention des service de renseignement. Le loi de 2015 imposait quelques limites fragiles à cette surveillance de masse, en le limitant à la lutte antiterroriste, avec des obligations d’évaluation et de contrôle, mais avec une définition trop tolérante de ce qui est considéré comme du terrorisme, pouvant englober l’activisme écologique par exemple. La nouvelle proposition de loi viendrait encore élargir ce cadre, avec des champs mal définis comme « l’indépendance nationale » ou « les intérêts majeurs de la politique étrangère ».

L’Observatoire des Libertés et du Numérique (OLN), un collectif d’association de défense des libertés dont La Quadrature fait partie, a rédigé un communiqué pour dénoncer le risque que cette surveillance accrue fait peser sur nos libertés collectives. Nous signons et publions ce communiqué sur notre site.

Lire le communiqué de l’OLN : https://www.laquadrature.net/2024/05/30/proposition-de-loi-ingerences-etrangeres-une-nouvelle-etape-dans-lescalade-securitaire/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024, et nous avons pour le moment réuni 67% de notre objectif de collecte. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• 13 juin 2024 : Causerie mensuelle Technopolice Marseille. Rendez-vous à 19h au Manifesten, 59 Rue Adolphe Thiers
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

À voir

• Vous êtes filmé·es : en partenariat avec Tënk, une sélection de films à voir en ligne : https://www.on-tenk.com/fr/escale/vous-etes-filmees.
• Nous étions Au Poste avec David Dufresne pour une émission sur l’autodéfense numérique, à retrouver en différé.

Blocage de TikTok

Recours

• Le blocage de TikTok en Nouvelle-Calédonie visé par trois recours [Mediapart]
• Emeutes en Nouvelle-Calédonie : la Quadrature du Net et la Ligue des droits de l’Homme attaquent en justice le blocage de TikTok [France Info]
• Interdiction de TikTok en Nouvelle-Calédonie : la LDH et la Quadrature du Net saisissent la justice [France Inter]
• Nouvelle-Calédonie : la LDH et la Quadrature du Net attaquent en justice le blocage de TikTok [Europe 1]
• L’association Quadrature du Net attaque le blocage de TikTok devant le Conseil d’État en référé-liberté [Les Surligneurs]
• Blocage de TikTok en Nouvelle-Calédonie – La Quadrature du Net lance la riposte [Korben]
• Blocage de TikTok en Nouvelle-Calédonie : la Quadrature du Net en appelle au Conseil constitutionnel [L’Informé]
• « Machine autoritaire »: le blocage de Tiktok en Nouvelle-Calédonie attaqué en justice [BFMTV]
• Blocage de TikTok en Nouvelle-Calédonie : la décision du gouvernement attaquée en justice [La Tribune]
• Nouvelle-Calédonie : le blocage de TikTok attaqué en justice [Ouest-France]
• Émeutes en Nouvelle-Calédonie : le blocage de TikTok attaqué devant le Conseil d’État [Sud Ouest]
• Nouvelle-Calédonie : le blocage de TikTok attaqué devant la justice [Huffington Post]
• Nouvelle-Calédonie : l’interdiction de TikTok sur l’archipel est-elle légale ? [TV5 Monde]
• Nouvelle-Calédonie : le blocage de TikTok devant le Conseil d’Etat [Libération]
• Emeutes en Nouvelle-Calédonie : l’interdiction de TikTok fait débat [L’Express]
• Le blocage de TikTok en Nouvelle-Calédonie visé par des plaintes [ZDNet]
• Tiktok interdit en Nouvelle-Calédonie: le gouvernement estime que l’application a accru « l’impression de chaos » [BFMTV]

Délai

• Les « circonstances exceptionnelles » autorisent-elles l’État à suspendre TikTok en Nouvelle-Calédonie ? [France Inter]
• Interdiction de Tik Tok en Nouvelle-Calédonie : la LDH dénonce une « superposition de régimes d’exception » [Actu-Juridique.fr]
• Blocage de TikTok en Nouvelle-Calédonie : «On rajoute de l’exceptionnel à l’exceptionnel» [Libération]
• Censure de TikTok en Nouvelle-Calédonie : le gouvernement produit de nouveaux éléments [Politico]
• Interdiction de Tiktok en Nouvelle-Calédonie: le Conseil d’État demande au gouvernement de justifier sa décision sous 24 heures [BFMTV]
• Blocage de TikTok en Nouvelle-Calédonie : le Conseil d’État accorde un délai au gouvernement [Ouest-France]
• Blocage de TikTok en Nouvelle-Calédonie : une situation « inédite » devant le Conseil d’État [Mediapart]

Décision

• TikTok en Nouvelle-Calédonie : le blocage du réseau social n’est pas suspendu [Conseil d’État]
• L’interdiction de TikTok en Nouvelle-Calédonie : utile et légitime ? [France Culture]
• Nouvelle-Calédonie : le Conseil d’État « ne suspend pas le blocage de TikTok » décidé par le gouvernement [Le Parisien]
• Crise en Nouvelle-Calédonie : Trois questions pour comprendre le blocage de TikTok [20 minutes]
• Le Conseil d’État ne suspend pas le blocage de TikTok en Nouvelle-Calédonie [La 1ere]
• Nouvelle-Calédonie : le Conseil d’État «ne suspend pas le blocage de TikTok» [Le Figaro]
• Emeutes en Nouvelle-Calédonie : le Conseil d’État « ne suspend pas le blocage de TikTok » [France Info]
• TikTok en Nouvelle-Calédonie : pas d’urgence à statuer selon le Conseil d’Etat, le blocage est maintenu [Libération]
• Émeutes en Nouvelle-Calédonie : le blocage du réseau social TikTok maintenu par le Conseil d’État [Ouest-France]
• Nouvelle-Calédonie : le Conseil d’État maintient le blocage du réseau social TikTok [La Croix]
• Blocage de TikTok en Nouvelle-Calédonie : le Conseil d’État botte en touche [Mediapart]
• Le blocage de TikTok en Nouvelle-Calédonie maintenu par le Conseil d’État [Le Monde]
• En Nouvelle-Calédonie, le blocage de TikTok maintenu par le Conseil d’État [Huffington Post]
• Le Conseil d’État ne suspend pas le blocage de TikTok en Nouvelle-Calédonie [Next]
• Nouvelle-Calédonie : le Conseil d’État ne suspend pas le blocage de TikTok sur l’archipel [TF1]

Déblocage

• Après la censure, la Nouvelle-Calédonie retrouve accès à TikTok [Numerama]
• Émeutes en Nouvelle-Calédonie : une coupure de l’Internet mobile avait été envisagée par le gouvernement [Le Parisien]
• Nouvelle-Calédonie : l’interdiction de TikTok est « levée » dans l’archipel, annonce le Haut-Commissariat de la République [France Info]
• Nouvelle-Calédonie : les autorités lèvent l’interdiction de TikTok [La Croix]

Conséquences

• Blocage de TikTok en Nouvelle-Calédonie : La Quadrature du Net dépose une nouvelle plainte [Le Monde]
• Le blocage de TikTok en Nouvelle-Calédonie, une première en France qui pose question dans un Etat de droit [Le Monde]
• TikTok coupé : le gouvernement crée un précédent (dis)proportionné [France Inter]
• Pourquoi l’interdiction de TikTok en Nouvelle-Calédonie concerne toute l’Europe [Le Temps]

Vidéosurveillance algorithmique (VSA)

• Noémie Levain : « Aucune loi n’autorise la vidéosurveillance algorithmique dans les gares » [Mouv’]
• « L’IA ouvre de nouvelles possibilités de surveillance » [Le Monde]
• JO : la vidéosurveillance algorithmique attaquée [L’Informé]
• JO de Paris 2024. Sommes-nous sous surveillance ? Avec l’arrivée des « caméras intelligentes », Amnesty International tire la sonnette d’alarme [France 3 Paris-Ile-de-France]
• Vidéosurveillance algorithmique aux JO de Paris : une menace pour les libertés fondamentales ? [Le Journal du dimanche]
• Paris 2024 : vidéosurveillance et algorithmes, le risque d’aller trop vite [Le Monde]
• Vidéosurveillance algorithmique : vers une surveillance de masse ? [Le Point]

Loi SREN

• Loi pour sécuriser internet : le Conseil constitutionnel censure le délit d’outrage en ligne [Ouest-France]
• Loi SREN : le Conseil constitutionnel censure le délit d’outrage en ligne et quatre cavaliers législatifs [Next]

Loi sur les ingérences étrangères

• Une loi contre les ingérences étrangères définitivement adoptée au Parlement [Le Monde]
• La gauche s’oppose à la loi sur les ingérences étrangères [L’Humanité]
• Une loi contre les ingérences étrangères définitivement adoptée au Parlement [BFMTV]
• Registre national, procédure de gel, surveillance algorithmique… la France s’arme de mesures contre les ingérences étrangères [Le Parisien]
]]> https://www.laquadrature.net/?p=23824http://isyteck.com/autoblog/quadrature/index.php5?20240605_145150_Blocage_de_TikTok_en_Nouvelle-Caledonie____retour_sur_un_fiasco_democratiqueWed, 05 Jun 2024 12:51:50 +0000Le 23 mai dernier, le Conseil d’État a rejeté le recours en urgence de La Quadrature du Net contre la mesure de blocage de TikTok en Nouvelle-Calédonie. Pour justifier cette décision inique, le juge des référés a affirmé qu’il n’y aurait pas d’urgence à statuer puisque ce blocage serait, selon les dires du gouvernement, bientôt levé. Il aura fallu attendre plus de 24 heures après la levée de l’état d’urgence pour que le réseau social soit de nouveau accessible. Cet épisode marquera un tournant dans la montée autoritaire en France et dans l’échec de nos institutions à l’empêcher.

Les mensonges du Premier ministre

Lorsque nous déposions notre référé mi-mai, nous n’imaginions pas un tel arbitraire. Le Premier ministre a en effet annoncé le blocage de TikTok le 15 mai dernier en même temps qu’il annonçait l’entrée en vigueur de l’état d’urgence sur le territoire de la Nouvelle-Calédonie. Juristes et journalistes estimaient alors que la décision de blocage ne pouvait avoir été prise qu’en application d’une disposition de la loi sur l’état d’urgence qui prévoit la possibilité pour le ministre de l’intérieur de bloquer « tout service de communication au public en ligne provoquant à la commission d’actes de terrorisme ou en faisant l’apologie ». En réalité, la mesure de blocage était justifiée par un autre fondement juridique. Le gouvernement a sciemment gardé le silence dessus, entretenant confusion et opacité pendant que La Quadrature et d’autres associations déposaient leurs recours.

En parallèle, l’exécutif a rapidement distillé dans la presse, dès le 16 mai, un autre élément de langage : le blocage de TikTok serait justifié par une opération d’ingérence étrangère de la part de l’Azerbaïdjan. En réalité, si l’Azerbaïdjan veut tirer bénéfice depuis plusieurs mois des tensions en Nouvelle-Calédonie, aucune opération de désinformation de sa part n’a été lancée sur TikTok. Et ce sont les services du Premier ministre eux-mêmes qui l’ont dit, par une fiche établie par Viginum, un service relevant du Premier ministre chargé d’étudier les opérations d’ingérence étrangère en ligne.

Sur ces deux points, le Premier ministre s’est retrouvé face à sa malhonnêteté et ses mensonges lorsque ses services ont dû justifier la mesure devant la justice. Dans le mémoire envoyé au Conseil d’État, on a ainsi pu découvrir que le fondement juridique de ce blocage n’était non pas l’état d’urgence, mais la « théorie des circonstances exceptionnelles », qui consiste à admettre dans des cas très exceptionnels des dérogations à certaines règles de droit. Admise par les juges il y a une centaine d’années, cette théorie est d’une certaine manière l’ancêtre de l’état d’urgence, mais jurisprudentiel. La loi de 1955, imaginée dans le contexte colonial de la guerre d’Algérie, a ensuite pris le relai avec un cadre précis. Comme cela a été relevé lors de l’audience, c’est la première fois que ces deux régimes d’exception se retrouvent invoqués en même temps. Derrière cette situation juridique inédite, on sent surtout que le gouvernement ne savait pas sur quel pied danser et avait décidé le blocage du réseau social avant d’avoir déterminé sa justification en droit. La presse l’a d’ailleurs confirmé : fin mai, La Lettre révélait que, en coulisses, le gouvernement avait passé un accord avec TikTok pour que la plateforme ne conteste pas en justice la décision de blocage qu’il n’arrivait pas à justifier légalement.

Cependant, cette théorie des « circonstances exceptionnelles » ne permet pas pour autant de sacrifier la liberté d’expression en ligne sur l’autel d’une sacro-sainte sécurité. Devant le Conseil d’État, le Premier ministre a notamment justifié le blocage de TikTok par de soi-disant contenus violents ou incitant à la violence. Le 20 mai, ses services écrivaient ainsi au Conseil d’État que « l’organisation de ces exactions a été largement facilitée par l’utilisation des réseaux sociaux, et particulièrement, du fait des caractéristiques spécifiques, du réseau social “TikTok” ». Mais lorsque le gouvernement fut sommé par le Conseil d’État d’apporter la preuve de ces contenus prétendument problématiques, il n’a produit que des captures d’écran… de contenus légaux. Les exemples choisis pour illustrer le besoin d’une censure n’étaient en réalité que des vidéos dénonçant les violences policières et l’organisation de milices civiles. En somme, des expressions politiques plus ou moins radicales, critiquant la situation, mais en rien des appels à la violence. Les services du Premier ministre ont admis sans peu de scrupules à l’audience que TikTok a été choisi car « le profil des émeutiers correspondait au profil des utilisateurs », c’est-à-dire les jeunes. Sans détour, le gouvernement assumait ainsi vouloir bâillonner la parole et l’expression de la jeunesse kanake alors même que ce qui était dénoncé dans les vidéos incriminées sur le moment s’est révélé être vrai : la presse a révélé ces derniers jours les cas de violences policières, la complicité de la police avec les milices, ou encore une agression raciste d’un policier kanak.

Enfin, le gouvernement a poursuivi dans la malhonnêteté lorsqu’il a assuré au Conseil d’État, dans un mémoire daté du 22 mai, que la mesure de blocage ne durerait pas. Il s’engageait ainsi à mettre fin au blocage lorsque « l’évolution de la situation sur le territoire de Nouvelle-Calédonie permettrait d’envisager une levée de la mesure », laissant même croire que cela pourrait intervenir « avant la lecture de l’ordonnance » (c’est-à-dire avant même la décision du Conseil d’État). En réalité, il aura fallu attendre plus de 24 heures après la levée de l’état d’urgence en Nouvelle-Calédonie pour que TikTok soit de nouveau accessible.

Le Conseil d’État allié du gouvernement

C’est ce dernier mensonge relatif à la levée de l’état d’urgence qui a semblé aider le Conseil d’État à ne pas sanctionner le gouvernement, donc à ne pas lui ordonner de rétablir l’accès à TikTok. En effet, pour que le juge administratif prenne une décision en référé, il faut, avant même de parler de l’illégalité de la situation, justifier d’une urgence à agir. On pourrait se dire que bloquer une plateforme majeure dans les échanges en ligne, sur l’ensemble du territoire de Nouvelle-Calédonie (270 000 habitant·es), pour une durée indéterminée, est une situation suffisamment urgente. C’est notamment ce qui a été défendu par les avocat·es présent·es à l’audience, rappelant l’aspect entièrement inédit d’un tel blocage en France et même dans l’Union européenne. Le Conseil d’État a d’ailleurs été moins exigeant par le passé : en 2020, quand nous lui demandions d’empêcher les drones de la préfecture de police de Paris de voler, ici aussi par un recours en référé, il constatait qu’il y avait bien une urgence à statuer.

Mais pour TikTok, le juge des référés a préféré jouer à chat perché : dans sa décision, il estime que « les requérants n’apportent aucun élément permettant de caractériser l’urgence à l’intervention du juge des référés », et précise, pour affirmer qu’il n’y a pas d’urgence, que « la décision contestée porte sur le blocage d’un seul réseau social sur le territoire de la Nouvelle-Calédonie, l’ensemble des autres réseaux sociaux et moyens de communication, la presse, les télévisions et radios n’étant en rien affectés ». Très belle preuve de l’incompréhension de ce que représente un réseau social aujourd’hui et de comment l’information circule en ligne. Le Conseil d’État oublie notamment que la Cour européenne des droits de l’Homme (CEDH) estime que bloquer l’ensemble d’une plateforme en ligne équivaut à empêcher un journal de paraître ou à un média audiovisuel de diffuser. Ici, nos institutions donnent l’impression de ne pas tenter de comprendre la réalité d’Internet et minimisent de fait l’atteinte qui découle de ce blocage.

Pour enfoncer le clou sur l’absence d’urgence à statuer, le juge des référés termine en reprenant à son compte la promesse malhonnête du gouvernement : « cette mesure de blocage doit prendre fin dans de très brefs délais, le gouvernement s’étant engagé, dans le dernier état de ses écritures, à lever immédiatement la mesure dès que les troubles l’ayant justifiée cesseront ». Il a donc laissé faire, octroyant au gouvernement un pouvoir discrétionnaire sur la date de rétablissement de la plateforme.

Un constat amère peut donc être fait : en France, comme en Russie ou en Turquie, le gouvernement peut bloquer d’un claquement de doigt un réseau social sans que la justice ne soit capable de l’en empêcher. Alors que le Conseil d’État aurait pu faire passer un message fort et exercer son rôle de contre-pouvoir, il est venu au secours du gouvernement en tolérant une atteinte sans précédent et totalement disproportionnée à la liberté d’expression et d’information.

Ne pas laisser faire

Bien que le blocage de TikTok soit levé, le précédent politique et juridique existe désormais. Nous pensons qu’il faut tout faire pour que celui-ci ne se reproduise pas et reste un cas isolé. Que ce soit par la Cour européenne des droits de l’Homme ou par le Comité des droits de l’Homme des Nations Unies, ce type de censure est unanimement condamné. Nous ne pouvons donc pas laisser le Conseil d’État se satisfaire de ce blocage et devons exiger de lui qu’il rappelle le droit et sanctionne le gouvernement.

C’est pourquoi nous avons donc déposé la semaine dernière un recours en excès de pouvoir contre cette décision. Il s’agit de la voie contentieuse classique, mais plus longue, lorsque l’on veut contester une décision administrative. Un tel recours prendra un à deux ans avant d’être jugé et nous espérons que le Conseil d’État sortira de sa torpeur et confirmera que le blocage était illégal. Car pour bloquer TikTok, le gouvernement ne s’est vu opposer aucun obstacle, aucun garde-fou, et n’a jamais eu à justifier sa mesure. La seule opposition à laquelle il a été confronté a été la saisie de la justice par les associations et la société civile. L’échec qui en a résulté est une preuve supplémentaire de la défaillance de plus en plus flagrante des leviers démocratiques.

Depuis de nombreuses années, nous constatons l’effondrement progressif de l’État de droit en France. Nous constatons que la politique toujours plus autoritaire des gouvernements successifs, et notamment ceux d’Emmanuel Macron, ne se voit opposer aucun obstacle institutionnel majeur. Avec le blocage arbitraire de TikTok, une nouvelle étape a été franchie. Nous ne cachons pas notre inquiétude face à ce constat, mais nous continuerons d’agir. Pensez, si vous le pouvez, à nous aider avec un don.

]]> https://www.laquadrature.net/?p=23760http://isyteck.com/autoblog/quadrature/index.php5?20240531_120516_____Vous_etes_filme__es________une_critique_documentaire_de_la_surveillanceFri, 31 May 2024 10:05:16 +0000Dans la lignée des festivals organisés ces deux dernières années par nos ami·es de Technopolice Marseille, La Quadrature du Net s’associe à Tënk pour proposer une sélection de films documentaires abordant l’enjeu de la surveillance policière. Il s’agit, par le cinéma, de mieux penser les technologies et les rapports de pouvoirs qu’elles produisent, pour mieux les combattre. Voici le texte introduisant cette sélection à retrouver sur Tënk.

Sous couvert d’optimisation et de contrôle, la surveillance prolifère. À l’ère de l’informatique, nos messages privés sont traqués, nos publications constamment analysées, nos corps scrutés par les dispositifs de vidéosurveillance disséminés dans nos rues. Partout dans le monde, des data centers stockent des fichiers nous concernant qui, pris ensemble, disent tout ou presque de nos activités, de nos déplacements, de nos attachements. 

Si la surveillance est partout, si elle sature aussi l’actualité de même que les discours militants ou nos conversations intimes, elle reste largement invisible, souvent mal comprise. De grands schèmes tirés d’exemples historiques ou de science fiction – au hasard, la Stasi ou 1984 d’Orwell –, nous font généralement office de grilles de lecture. Mais on peine à en saisir avec nuance les ressorts et les ramifications, à discerner ses infrastructures, à en comprendre les effets ou les évolutions.

À La Quadrature du Net, nous travaillons depuis des années à la défense des droits humains face à la prolifération de la surveillance numérique. Et d’expérience, nous savons que produire un discours sur cet objet nécessite un effort constant de réflexion et d’élaboration.

C’est ce que nous tâchons de faire dans le cadre du projet Technopolice, en mettant l’accent sur les nouvelles technologies de surveillance policière des espaces publics urbains : vidéosurveillance algorithmique, police prédictive, drones, et bien d’autres encore. Dans ce travail d’enquête militante et d’éducation populaire qui est aussi une tentative de résistance, le cinéma documentaire apparaît comme un outil puissant. C’est pourquoi nous somme ravi·es de pouvoir faire cette escale en partenariat avec Tënk, en proposant cette sélection de films variés et complémentaires.

À travers cette sélection, il s’agit d’abord de tendre un miroir aux surveillants, de lever le voile sur ces acteurs en position de pouvoir qui produisent ou légitiment la surveillance (voir le film médiactiviste Supervision, tourné dans le centre de vidéosurveillance de Marseille ; voir aussi la super-production expérimentale All Light Everywhere, qui fait l’incroyable rencontre d’un représentant commercial d’Axon, leader du marché des bodycams policières ; voire enfin Prédire les crimes). Le documentaire permet aussi de convoquer un passé pas si lointain pour se remettre en mémoire ses méfaits – par exemple en rappelant le viol de l’intimité et le contrôle qu’induit le regard policier (comme sous le régime polonais dans les années 1970 dans An Ordinary Country), ou en revenant sur la généalogie carcérale de la vidéosurveillance (Je croyais voir des prisonniers). Par la poésie, il peut enfin souligner, au-delà de l’État et de sa police, la multiplicité des formes de surveillance, la manière dont nous pouvons parfois nous en faire complices, et interroger la frontière entre surveillance et partage, domination et rencontre (L’Îlot).

Le choix des films, fait en collaboration avec le comité de programmation de Tënk, laisse évidemment de côté d’autres excellents titres. Mais l’ensemble donne bien à voir ce contre quoi nous luttons, à savoir ce vieux fantasme policier que décrivait Michel Foucault dans Surveiller et Punir (1975) : une « surveillance permanente, exhaustive, omniprésente, capable de tout rendre visible, mais à la condition de se rendre elle-même invisible », « un regard sans visage qui transforme tout le corps social en un champ de perception ».

À travers la puissance du cinéma, il s’agit aussi de remettre un tant soit peu de symétrie dans le rapport de force. Car si la surveillance peut s’interpréter comme un champ de perception au service du pouvoir, alors notre proposition éditoriale recèle aussi un espoir : l’espoir qu’en faisant collectivement l’expérience de ces films, nous puissions nous constituer ensemble en une sorte de contre-champ, en un faisceau de résistances.

Bon visionnage !

La Quadrature du Net

]]> https://www.laquadrature.net/?p=23709http://isyteck.com/autoblog/quadrature/index.php5?20240530_161341_Proposition_de_loi_____ingerences_etrangeres______une_nouvelle_etape_dans_l___escalade_securitaireThu, 30 May 2024 14:13:41 +0000 Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 29 mai 2024.

L’Observatoire des Libertés et du Numérique demande aux parlementaires de s’opposer à l’extension des finalités des boîtes noires de renseignement inscrite dans la proposition de loi « ingérences étrangères ».

« L’ingérence étrangère », un énième prétexte à l’extension de la surveillance de masse

La proposition de loi « Prévenir les ingérences étrangères en France» , présentée par le député Sacha Houlié avec le soutien du camp présidentiel, a été adoptée par l’Assemblée Nationale (27 mars) et le Sénat (22 mai) avec le soutien des partis Les Républicains et Rassemblement national – alliés naturels du gouvernement pour les lois sécuritaires, mais ici, avec également le soutien du PS et d’EELV.

L’objectif affiché de cette loi est de limiter les intrusions d’autres Etats via l’espionnage et les manipulations pour contraindre les intérêts géopolitiques de la France. Mais, alors que le gouvernement dispose déjà de nombreux outils pour éviter ces intrusions, ce texte fraîchement adopté ne peut qu’inquiéter. En effet, ces dispositions pourraient avoir pour conséquence de soumettre des associations d’intérêt public œuvrant pour l’intérêt collectif à des obligations de déclaration des subventions de fondations étrangères, renforçant ainsi les possibilités de contrôle gouvernemental.

Par ailleurs, dans une logique constante de solutionnisme technologique, le texte promeut l’extension d’une technique de renseignement dite de l’algorithme de détection ou « boîte noire de renseignement ».

Des gardes fous toujours remis en cause

Cette technique a été instaurée par la loi renseignement de 2015 et nos organisations s’y étaient alors fermement opposées. Elle implique, en effet, la nécessaire surveillance de l’intégralité des éléments techniques de toutes les communications de la population (qui contacte qui ? quand ? comment ? voire pourquoi ?), qu’elles soient téléphoniques ou sur internet, tout cela pour poursuivre l’objectif de détecter automatiquement des profils effectuant un certain nombre d’actions déterminées comme étant « suspectes ». Ces profils seront ensuite ciblés et plus spécifiquement suivis par des agents du renseignement. Cette technique agit donc à la manière d’un énorme « filet de pêche », jeté sur l’ensemble des personnes résidant en France, la largeur de maille étant déterminée par le gouvernement.

En raison de son caractère hautement liberticide, cette mesure avait été limitée à la stricte lutte contre le risque terroriste et instaurée de façon expérimentale pour quelques années avec des obligations d’évaluation. Malgré des résultats qui semblent peu convaincants et des rapports d’évaluation manquants, cette technique a, depuis, été pérennisée et explicitement élargie à l’analyse des adresses web des sites Internet.

Un dévoiement des finalités

L’OLN dénonçait déjà les risques induits par l’utilisation de ce dispositif avec la finalité de « lutte contre le terrorisme », notamment en raison de l’amplitude de ce que peut recouvrir la qualification de terrorisme, notion du reste non définie dans le texte.

L’actualité vient confirmer nos craintes et l’on ne compte plus les usages particulièrement préoccupants de cette notion : désignation « d’écoterroristes » pour des actions sans atteinte aux personnes, multiples poursuites pour « apologie du terrorisme » , pour des demandes de cessez-le-feu et des propos liés à l’autodétermination du peuple palestinien, condamnations pour une préparation de projet terroriste sans qu’un projet n’ait pu être établi par l’accusation.

Cette proposition de loi élargira cette technique de l’algorithme à deux nouvelles finalités de renseignement :

1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ;

2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;

Là encore, la définition des finalités est bien trop vague, sujette à de très larges interprétations, pouvant inclure les actions suivantes : militer contre des accords de libre-échange, lutter contre des projets pétroliers, soutien aux migrants, remettre en cause les ventes d’armement ou les interventions militaires de la France…

Un encadrement bien limité

Si un contrôle théorique de ses finalités doit être opéré par la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR), ses avis peuvent ne pas être suivis.

De même, si la proposition de loi est, là encore, prévue pour une phase « expérimentale » pendant 4 ans et avec des obligations de documentation, peu de doutes sont permis sur ce qu’il adviendra, au vu des précédents sur le sujet.

Un élargissement des « techniques spéciales d’enquête »

Dans le cadre de ce nouveau texte sécuritaire, le Sénat en a aussi profité pour aggraver le barème des peines et créer une nouvelle circonstance aggravante dite « générale » applicable à l’ensemble des infractions [au même titre que l’usage de la cryptologie…] permettant de monter d’un palier la peine de prison encourue (3 à 6, 5 à 7, 7 à 10…) dès que l’infraction est commise « dans le but de servir les intérêts d’une puissance étrangère, d’une entreprise ou d’une organisation étrangère, ou sous contrôle étranger ». Cette aggravation de peine permettra l’utilisation des techniques spéciales d’enquête, soit les intrusions les plus graves dans la vie privée (écoutes téléphoniques, balises GPS, la prise de contrôle d’appareil, hacking informatique…). Là où ces techniques étaient censées n’être utilisées que pour les crimes les plus graves, elles sont, texte après texte, étendues à un nombre toujours plus important d’infractions.

Quelle lutte contre quelles ingérences ?

Le Gouvernement ne ferait-il pas mieux de s’inquiéter de certaines ingérences étrangères bien réelles, telles que la captation des données de santé des Français exploitées par les autorités étasuniennes dans le cadre du Health Data Hub, d’autres captations frauduleuses par les entreprises du numérique américaines ou encore la vente de technologies de pointe par des sociétés étrangères, notamment israéliennes, comme PEGASUS, permettant de surveiller des personnalités politiques françaises au plus haut niveau ?

Des outils terrifiants au service d’un pouvoir qui continue sa fuite en avant autoritaire

Les boîtes noires comme les autres techniques d’intrusion du renseignement offrent des possibilités terrifiantes, qu’elles soient prévues par la loi ou utilisées abusivement. Cette démultiplication des capacités de surveillance participe à l’actuelle dérive autoritaire d’un pouvoir qui se crispe face aux contestations pourtant légitimes de sa politique antisociale et climaticide et devrait toutes et tous nous inquiéter alors que les idées les plus réactionnaires et de contrôle des populations s’intensifient chaque jour un peu plus.

Espérer un retour à la raison

Espérant un retour à la raison et à la primauté des libertés publiques, passant par la fin de la dérive sécuritaire et de son terrible « effet cliquet » nous appelons la Commission mixte paritaire qui aura à se prononcer sur ce texte puis les parlementaires à rejeter l’article 4 (élargissement du barème de peine et techniques spéciales d’enquête) et l’article 3 (élargissement des finalités des boites noires) de cette proposition de loi, et, a minima, à s’en tenir à une restriction d’utilisation de cette technique à des cas beaucoup plus précis et définis (par exemple au risque d’attentat causant des atteintes à la vie et les ingérences étrangères graves telles qu’envisagées aux articles 411-1 à -8 du Code pénal).

Organisations signataires membres de l’OLN : le CECIL, Globenet, Creis-Terminal, la Ligue des droits de l’Homme (LDH), le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN).

]]> https://www.laquadrature.net/?p=23618http://isyteck.com/autoblog/quadrature/index.php5?20240522_154456_Le_reglement_IA_adopte__la_fuite_en_avant_techno-solutionniste_peut_se_poursuivreWed, 22 May 2024 13:44:56 +0000Réunis au sein du Conseil de l’Union européenne, les États-membres ont adopté hier le règlement IA, dédié à la régulation des systèmes d’Intelligence Artificielle. Cette étape marque l’adoption définitive de cet édifice législatif en discussion depuis 2021, et présenté au départ comme un instrument de protection des droits et libertés face au rouleau compresseur de l’IA. À l’arrivée, loin des promesses initiales et des commentaires emphatiques, ce texte est taillé sur mesure pour l’industrie de la tech, les polices européennes et autres grandes bureaucraties désireuses d’automatiser le contrôle social. Largement fondé sur l’auto-régulation, bardé de dérogations, il s’avère totalement incapable de faire obstacle aux dégâts sociaux, politiques et environnementaux liés à la prolifération de l’IA.

L’histoire avait commencé avec de belles promesses. En avril 2021, au moment de présenter sa proposition de règlement relatif à l’Intelligence Artificielle, la Commission européenne nous écrivait pour nous rassurer : elle porterait la « plus grande attention » à la pétition européenne lancée à l’époque contre la reconnaissance faciale. Le texte présenté quelques jours plus tard par la Commission s’accompagnait d’une proposition de moratoire sur certains de ces usages, au milieu d’un ensemble de mesures conçues pour mettre un minimum d’ordre dans un marché de l’IA en plein essor.



Deux ans plus tard, le Parlement européen poussait le texte un cran loin, étendant diverses interdictions relatives aux usages policiers des techniques d’IA, ou contre les systèmes de « scoring » et autres formes de « notation sociale ». Mais après les coups de butoir des gouvernements des États-membres, au premier rang desquels les autorités françaises, rien ou presque des promesses initiales ne subsiste. Reste un « paquet législatif » certes volumineux, voire bavard, mais aussi très flou. Le règlement fait la part belle à l’auto-régulation et s’avérera incapable de protéger l’intérêt général face à la prolifération programmée des systèmes d’IA.

Une loi pour faire proliférer l’IA

Comme nous l’avions craint, plutôt que d’élever les garanties en matière de droits fondamentaux, le règlement IA vise à faire proliférer la production de données et leur collecte au bénéfice de l’industrie. Les textes européens comme le Règlement européen sur la protection des données (RGPD), entrés en vigueur en 2018, se retrouvent en partie affaiblis par ces nouvelles règles spéciales applicables aux systèmes d’IA.

Mais pour les acteurs publics et privés ayant poussé à l’adoption de ce texte, l’enjeu prioritaire n’a jamais été de protéger les droits fondamentaux. Le règlement est fondé sur une approche « par les risques », classant les types de systèmes d’IA ou leurs domaines d’application (police, santé, emploi, etc.) en fonction de quatre catégories de risque (risque faible non ciblé par le règlement ; risque limité pour certains systèmes soumis aux seules mesures de transparence prévues par l’article 50 ; risque élevé soumis aux obligations diverses du règlement ; risque inacceptable pour les quelques pratiques interdites par l’article 5).

À travers cet édifice législatif destiné à réguler un sous-secteur de l’industrie informatique en pleine expansion, et alors que les controverses autour de l’IA se multiplient – qu’il s’agisse de ses effets déshumanisants sur le travail, de son coût environnemental, de son impact sur les droits fondamentaux –, l’objectif est avant tout de poser les conditions d’une plus grande « acceptabilité sociale » de ces technologies pour mieux les imposer.

Dans ce processus, Emmanuel Macron et le gouvernement français auront joué à merveille leur partition. Tout affairé à la promotion de la Startup Nation, obnubilé par la course à l’innovation pour mieux attirer les capitaux étrangers, ne craignant pas les conflits d’intérêt et autres formes de corruption au cours des négociations sur le règlement, l’État français a en effet une responsabilité historique dans ce reniement.

La stratégie française est assumée. Elle se poursuit aujourd’hui à travers le projet de loi « simplification de la vie économique », qui vise notamment à accélérer les procédures de construction de data centers en faisant obstacle aux contestations locales. Microsoft en est l’un des principaux bénéficiaires, puisque le géant de l’informatique vient d’annoncer un investissement de 4 milliards d’euros pour démultiplier ses infrastructures de stockage et de calcul sur le territoire français. Et c’est également Microsoft qui a mis le grappin sur Mistral AI, promu comme champion national de l’IA, en annonçant un accord de partenariat avec la startup française sitôt l’accord politique conclu sur le texte du règlement IA. L’argument de la souveraineté numérique avancé par la France pour abaisser les exigences du règlement IA a donc bon dos, puisqu’en pratique l’État s’accommode très bien du renforcement des positions dominantes des multinationales de la tech.

En vertu du règlement adopté hier, ce sont les entreprises qui conçoivent les systèmes d’IA qui seront les premières compétentes pour de prononcer sur le niveau de risque que présentent leurs produits (article 43). Il leur sera alors loisible de considérer que ces systèmes ne sont pas risqués et donc exempts de toute régulation en vertu du règlement. Autrement, ce sont des organismes privés de certification qui seront amenés à délivrer des attestations de conformité¹. De manière générale, les formes de régulation promues par le règlement s’assimilent essentiellement à de l’auto-régulation et au suivi de « bonnes pratiques », le tout sous l’égide d’organismes de standardisation de droit privé (le CEN-CENELEC au niveau européen ou l’AFNOR en France) au sein desquels l’industrie aura toutes latitudes². Et si un peu de transparence est permise, pas question qu’elle mette pour autant en cause le sacro-saint « secret des affaires », mentionné à de multiples reprise dans le texte. Autant dire que le débat consistant à savoir qui, en France, de la CNIL, de l’Arcep ou de l’Arcom sera chargée de superviser l’application du règlement ne revêt pas d’énorme enjeu. 

Autre signe des considérations dont l’industrie fait l’objet, le chapitre VI contient un grand nombre de dispositifs réglementaires censés « soutenir l’innovation », afin de permettre au secteur privé d’entraîner ses modèles d’IA avec un soutien renforcé des pouvoirs publics.

La Technopolice en roue libre

S’il était clair depuis le début que l’approche par les risques promue par l’Union européenne pour réguler l’IA était conçue pour réguler un marché plutôt que de protéger les droits fondamentaux, au moins pouvait-on espérer que les usages les plus dangereux des systèmes d’IA, à l’image de la reconnaissance faciale, seraient bannis au titre des « risques inacceptables ». C’était en tout cas une demande de dizaines d’ONG et de plus de 250 000 citoyen·nes européen·nes réuni·es dans la coalition Reclaim Your Face et ce que laissait entendre la Commission au départ.

Là encore, la France a œuvré avec d’autres États à tenir en échec toutes prétentions en la matière, laissant les coudées franches aux forces de police et à l’industrie de la surveillance. L’analyse du texte permet de l’illustrer. L’article 5, qui dresse la liste des diverses interdictions ayant subsisté, proscrit bel et bien « l’utilisation de systèmes d’identification biométrique à distance en temps réel ». L’article 5.2 semble ici couvrir de nombreuses applications de vidéosurveillance algorithmique (VSA). Sauf que, d’une part, toute utilisation de tels systèmes échappe à cette formulation dès lors qu’elle est conduite en temps différé. Et que là encore, des exceptions en réduisent drastiquement la portée : le recours à la reconnaissance faciale en temps réel sera en effet possible dès lors qu’il s’agit de retrouver des victimes « d’enlèvement, de la traite ou de l’exploitation sexuelle d’êtres humains, ainsi que la recherche de personnes disparues », s’il s’agit de prévenir « une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique de personnes physiques », ou encore pour prévenir « une menace réelle et actuelle ou réelle et prévisible d’attaque terroriste ». Autant de pieds dans la porte qui pourront facilement être étendus à de nouvelles situations à l’avenir.

Qui plus est, en la matière, l’armée et les services de renseignement se voient libérés de toute contrainte. C’est également le cas des équipes de recherches scientifiques pourront « innover » à loisir. L’article 2.3, relatif au champ d’application du règlement, précise en effet que celui-ci, et donc les interdictions qu’il énonce, ne s’applique pas aux systèmes d’IA développés « à des fins de recherche scientifique », ni à ceux utilisés à « des fins militaires, de défense ou de sécurité nationale ». Soit d’autres trous béants dans la raquette.

En pratique, toutes les formes d’IA policières contre lesquelles nous nous battons dans le cadre du projet Technopolice semblent permises par le règlement, de la VSA à la police prédictive. Tout au plus pourront-elles être considérées comme « à haut risque », car relevant de certains domaines d’applications sensibles définis dans l’annexe III³. Elles seront alors soumises à des obligations renforcées de transparence et de standardisation : les responsables de ces systèmes devront ainsi identifier, évaluer et traiter les « risques raisonnablement prévisibles (…) pour la santé, la sécurité ou les droits fondamentaux » (article 9.2), mettre en place des bonnes pratiques en matière de gouvernance des données (article 10), et tenir des registres liés aux activités de leurs systèmes (article 12). Standardisation et auto-régulation, sous l’égide d’agences publiques chargées d’organiser le tout, seront donc de mise.

La transparence des systèmes à haut risque restera extrêmement limitée en matière technopolicière. Car si de tels systèmes doivent normalement être répertoriés dans un registre public, les forces de l’ordre et les services d’immigration ont obtenu une dérogation (articles 49.4 et 71). Ils n’auront pas non plus à publier les études d’impact, ce qui est normalement obligatoire pour les systèmes à haut risque.

Enfin, même lorsqu’ils seront effectivement classés à haut risque, encore faut-il que les systèmes IA n’échappent pas à l’autre dérogation léonine ajoutée au texte. Un « filtre » défini à l’article 6.3 prévoit en effet que les obligations ad hoc ne s’appliquent pas dès lors que les systèmes d’IA considérés sont destinés à « accomplir un tâche procédurale étroite », à « améliorer ou optimiser » le résultat d’une « tâche humaine » déjà accomplie, s’ils ne réalisent qu’une « tâche préparatoire », ou si plus généralement, bien que relevant théoriquement des applications à haut risque définies à l’annexe III, ils « ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques ». Toutes ces notions juridiques paraissent particulièrement larges et laissent la porte ouverte à tous les abus, a fortiori dès lors qu’elles sont laissées à l’appréciation d’acteurs privés.

Quant aux systèmes de police prédictive basés sur le calcul de scores de risque par zones géographiques, dont nous soulignions récemment les dangers en terme de discrimination, il semble qu’ils échappent à la définition très restrictive proposée en la matière dans l’annexe III relative aux systèmes à haut risque, et donc aux obligations prévues pour cette catégorie⁴.

Algos de contrôle social et greenwashing en embuscade

En matière de « crédit social », également mis en avant comme l’une des proscriptions les plus ambitieuses posées par le texte et qui apparaissait comme une manière de préserver la bonne conscience européenne face à la dystopie numérique « à la chinoise », c’est encore la douche froide. La « notation sociale » – par exemple celle pratiquée par les Caisses d’allocations familiales que nous documentons depuis des mois – reste permise dès lors qu’elle ne relève pas, à l’instar des systèmes expérimentés en Chine, d’un système centralisé captant des données issues de contextes sociaux différents (police, travail, école, etc.) (considérant 31). Les notations sectorielles utilisées par les organismes sociaux pourront donc continuer de plus belle : bien qu’il les classe dans les applications à haut risque, et en dehors de quelques obligations procédurales déjà évoquées, le règlement n’apporte rien pour lutter efficacement contre les algorithmes discriminatoires des administrations sociales en matière de notation et de flicage des bénéficiaires.

Restent des déclarations de principe, dont la nature contradictoire devrait pourtant sauter aux yeux. On pense notamment au vœu pieu que « les systèmes d’IA [soient] développés et utilisés d’une manière durable et respectueuse de l’environnement » (considérant 27). Ou de l’idée décidément tenace qu’une informatisation toujours plus poussée permettra de répondre à l’enjeu du changement climatique (considérant 4), et ce alors que dans le même temps, notamment à travers la loi de simplification déjà citée, on encourage à tout-va la construction de data centers hyper-énergivores et qu’on relance l’extraction minière pour accompagner la « transition numérique ». Rien de bien surprenant cela dit puisque, chez les technocrates et autres apôtres des hautes technologies, l’IA est désormais un élément clé de tout bon discours de greenwashing.

Les seules règles en matière d’impact environnemental posées par le règlement IA consistent en la fourniture, par les concepteurs de système d’IA à haut risque qui cherchent à faire certifier leurs produits, d’informations visant à « améliorer les performances des systèmes d’IA en matière de ressources, telles que la réduction de la consommation d’énergie et d’autres ressources par le système d’IA (…) au cours de son cycle de vie », ou relatives au « développement économe en énergie de modèles d’IA à usage général » (article 40). Dans le même ordre d’idées, dans le cadre de l’annexe XI, les concepteurs d’IA génératives fondées sur de grands modèles de données, à l’image d’OpenAI, devront également fournir des informations sur « la consommation d’énergie connue ou estimée » liée à l’entraînement et à l’utilisation de ces modèles. Le tout étant là aussi chapeauté par les organismes de normalisation, l’exercice ne devrait être qu’une simple formalité aux effets parfaitement cosmétiques.

À l’arrivée, loin de protéger les valeurs de démocratie, d’État de droit et de respect pour l’environnement que l’Union européenne prétend encore incarner comme un phare dans la nuit, le règlement IA reste le produit d’une realpolitik désastreuse. Face à l’étau formé par la Chine et les États-Unis, il doit en effet permettre de relancer l’Europe dans la course aux dernières technologies informatiques, perçues comme de véritables étalons de puissance. Non seulement cette course paraît perdue d’avance mais, ce faisant, l’Union européenne participe à légitimer une fuite en avant techno-solutionniste dangereuse pour les libertés et insoutenable au plan écologique.

La généralisation de l’IA, en tant que paradigme technique et politique, a pour principal effet de démultiplier les dégâts engendrés par la sur-informatisation de nos sociétés. Puisqu’il est désormais clair que ce règlement ne sera d’aucune utilité pour enrayer l’emballement actuel, c’est d’autres moyens de lutte qu’il va nous falloir collectivement envisager.

---

1. Veale, Michael, et Frederik Zuiderveen Borgesius. « Demystifying the Draft EU Artificial Intelligence Act — Analysing the Good, the Bad, and the Unclear Elements of the Proposed Approach ». Computer Law Review International 22, n° 4 (1 août 2021), p. 106. https://doi.org/10.9785/cri-2021-220402 ︎
2. Perarnaud, Clément. « Loi européenne sur l’IA : une réglementation « digne de confiance » ? » La revue européenne des médias et du numérique, mars 2024. https://la-rem.eu/2024/03/loi-europeenne-sur-lia-une-reglementation-digne-de-con%ef%ac%81ance/. ︎
3. L’annexe III définit comme étant à haut risque les systèmes d’IA liées aux applications suivantes :  surveillance biométrique, gestion d’infrastructures critiques, de l’éducation et de la formation professionnelle, de l’emploi et de la gestion de la main d’œuvre, l’accès aux services publics et prestations sociales, la police prédictive, le contrôle des migrations et l’administration de la justice. ︎
4. L’annexe III, qui dresse la liste des applications à haut risque, n’évoque à l’article 6.d. que « les systèmes d’IA destinés à être utilisés par les autorités répressives ou par les institutions, organes et organismes de l’Union, ou en leur nom, en soutien aux autorités répressives pour évaluer le risque qu’une personne physique commette une infraction ou récidive, sans se fonder uniquement sur le profilage des personnes physiques visé à l’article 3, paragraphe 4, de la directive (UE) 2016/680, ou pour évaluer les traits de personnalité, les caractéristiques ou les antécédents judiciaires de personnes physiques ou de groupes ». ︎
]]> https://www.laquadrature.net/?p=23602http://isyteck.com/autoblog/quadrature/index.php5?20240517_171302_QSPTAG__308_____17_mai_2024Fri, 17 May 2024 15:13:02 +0000Déjà une proposition de loi pour étendre la VSA dans les transports

C’est une logique que nous avions dénoncée comme un risque : la légalisation des « expérimentations » de vidéosurveillance algorithmique (VSA) dans le cadre des JO ouvrait la porte à une banalisation et à une extension de la VSA dans d’autres contextes. Cassandre avait raison, et l’extension de l’usage de la VSA, avant même son « évaluation », connaît déjà une nouvelle avancée.

Le Sénat a voté en février une proposition de loi que l’Assemblée nationale a commencé d’étudier en commission des lois ce mercredi 15 mai. Cette loi « relative au renforcement de la sûreté dans les transports » comporte un article 9 qui autoriserait l’utilisation de logiciels de VSA pour analyser a posteriori les images de vidéosurveillance prises dans les transports publics (SNCF et RATP en tête) dans le cadre d’enquêtes pénales. Les logiciels sont notamment capables d’isoler et de suivre une personne sur une grande quantité d’images et de reconstituer son trajet, sans que les agents aient besoin de visionner des heures d’enregistrements.

La stratégie est à la fois habile et grossière. On voit bien qu’elle avance à petits pas, autorisant un usage après l’autre, pour masquer la progression de la VSA en la disséminant dans une poussière de lois et de cas d’usages qui paraissent à chaque fois restreints. Mais il suffit d’un pas de recul pour voir que les prétentions à la sagesse et à la prudence, colportées par le terme « expérimentation » n’ont pas tenu très longtemps. Nous appelons évidemment les député·es à rejeter cet article qui veut légaliser des pratiques pour l’instant illégales dans la surveillance des transports en commun. Toutes les explications dans notre article.

Lire l’article : https://www.laquadrature.net/2024/05/14/vsa-lassemblee-discute-deja-son-extension-aux-transports/
Notre page de campagne contre la VSA : laquadrature.net/vsa

Recours contre le blocage de TikTok en Nouvelle-Calédonie

Dans un contexte de grande violence et de crise politique majeure en Nouvelle-Calédonie, le gouvernement a décidé de couper d’autorité l’accès à TikTok sur le territoire calédonien. Par-delà les questions de sécurité invoquées, cette censure arbitraire constitue un précédent très inquiétant, et une application directe des intentions de censure exprimées par Emmanuel Macron et le gouvernement lors des révoltes urbaines de l’été 2023. Nous avons déposé un référé-liberté (procédure d’urgence) devant le Conseil d’État pour contester cette mesure de censure. Plus de détails dans notre communiqué de presse.

Lire le communiqué : https://www.laquadrature.net/2024/05/17/la-quadrature-du-net-attaque-en-justice-le-blocage-de-tiktok-en-nouvelle-caledonie/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024, et nous avons pour le moment réuni 65% de notre objectif de collecte. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• 18 mai 2024 : La Quadrature sera au Festival du livre et des cultures libres à l’espace autogéré des Tanneries, à Dijon. Plus d’infos ici.
• 25 mai 2024 : Journées du logiciel libre à Lyon – Conférence « La vidéosurveillance algorithmique menace nos villes, contre-attaquons ! ». Plus d’infos sur la conférence et plus d’infos sur les JDLL.
• 25 mai 2024 : La Quadrature participe à une table ronde organisée par le collectif Base Bleue dans le cadre de l’exposition « Les Yeux Olympiques ». Ce sera de 16h à 18h au Doc, 27 rue du Docteur Potain dans le 19e arrondissement de Paris.
• 1er juin 2024 : Table ronde sur les réseaux sociaux dans l’environnement militant au festival Ma’Track à coté d’Angers. Plus d’informations ici.
• 5 juin 2024 : Atelier-terrasse d’autodéfense numérique, LQDN convoquée Au Poste par David Dufresne.

La Quadrature dans les médias

Vidéosurveillance algorithmique (VSA)

• Vidéosurveillance algorithmique – Pas le temps de souffler, l’Assemblée prépare déjà son extension ! [Korben]
• La Quadrature du Net saisit la CNIL contre la vidéosurveillance algorithmique, notamment testée dans les gares [Clubic]
• « Un traitement des données particulièrement intrusif » : une association porte plainte contre la vidéosurveillance algorithmique, testée dans plusieurs gares [France 3 Provences-Alpes-Côte d’Azur]
• Vidéosurveillance algorithmique : premières expérimentations et premières critiques [ZDNet]
• L’expérimentation des caméras dopées à l’IA de la SNCF va-t-elle trop loin ? [01Net]
• Un dispositif de vidéosurveillance algorithmique testé à la gare Saint-Charles, une association porte plainte [La Provence]
• Les expérimentations de la SNCF avec la vidéosurveillance algorithmique ne passent pas [Numerama]
• Surveillance à haut risque : plainte contre la SNCF pour vidéosurveillance algorithmique dans les gares du Sud [Var Actu]

Blocage de TikTok

• « Machine autoritaire »: le blocage de Tiktok en Nouvelle-Calédonie attaqué en justice [BFMTV]
• Nouvelle-Calédonie : le blocage de TikTok attaqué devant la justice [AFP]
• Le blocage de TikTok en Nouvelle-Calédonie visé par deux recours [Mediapart]
• French TikTok block in overseas territory sets ‘dangerous precedent,’ critics warn [Politico]
• « Personne n’est dupe » : TikTok interdit en Nouvelle-Calédonie, la LDH et Quadrature du Net déposent des référés-libertés [La Voix du Nord]

Divers

• Google, Facebook, la Quadrature du Net… tirs nourris contre la loi sur le numérique [L’informé]
]]> https://www.laquadrature.net/?p=23578http://isyteck.com/autoblog/quadrature/index.php5?20240517_121628_La_Quadrature_du_Net_attaque_en_justice_le_blocage_de_TikTok_en_Nouvelle-CaledonieFri, 17 May 2024 10:16:28 +0000Par un référé-liberté déposé ce jour, La Quadrature du Net demande au Conseil d’État la suspension de la décision du Premier ministre Gabriel Attal de bloquer en Nouvelle-Calédonie la plateforme TikTok. Par cette décision de blocage, le gouvernement porte un coup inédit et particulièrement grave à la liberté d’expression en ligne, que ni le contexte local ni la toxicité de la plateforme ne peuvent justifier dans un État de droit.

Les réflexes autoritaires du gouvernement

Alors que la situation en Nouvelle-Calédonie atteint un stade dramatique, après trois ans de crise, et que le dialogue politique semble rompu suite à la décision du gouvernement et du Parlement de modifier les règles d’accession au collège électoral au détriment des indépendantistes kanaks, le gouvernement a décidé de revenir à de vieux réflexes autoritaires et coloniaux. Outre l’envoi de forces armées, il a ainsi choisi de bloquer purement et simplement la plateforme TikTok sur le territoire de Nouvelle-Calédonie. Selon Numerama, le premier ministre justifie cette mesure « en raison des ingérences et de la manipulation dont fait l’objet la plateforme dont la maison mère est chinoise », ajoutant que l’application serait « utilisée en tant que support de diffusion de désinformation sur les réseaux sociaux, alimenté par des pays étrangers, et relayé par les émeutiers ».

Or, pour mettre en œuvre cette censure, quoi de mieux qu’une des lois d’exception dont le gouvernement systématise l’usage ces dernières années ? En déclarant l’état d’urgence en Nouvelle-Calédonie, le gouvernement s’est autorisé à expérimenter un article de la loi de 1955, ajouté en 2017 : la possibilité de bloquer les plateformes en ligne « provoquant à la commission d’actes de terrorisme ou en faisant l’apologie ».

Personne n’est dupe : en réalité, le blocage de TikTok n’est absolument pas justifié par une quelconque présence sur la plateforme de contenus terroristes, mais bien par le fait qu’il s’agit d’une plateforme centrale dans l’expression en ligne des personnes qui en viennent aujourd’hui à se révolter. Cette décision de s’en prendre aux moyens de communication lors de moments de contestation violente – une première dans l’Union européenne et qui paraît digne des régimes russe ou turc, régulièrement condamnés par la CEDH pour atteintes à la liberté d’expression¹Très logiquement, nous nous appuyons donc dans notre recours sur les précédents jurisprudentiels de la CEDH sanctionnant ces deux pays en raison des atteintes à la liberté d’expression contraires à la Convention européenne des droits de l’homme. – a déjà été éprouvée l’année dernière, après la mort de Nahel Merzouk.

À l’été 2023, Emmanuel Macron avait exprimé son souhait de pouvoir bloquer les réseaux sociaux lors de moments de crise. Le président de la République s’était alors lancé dans une véritable course à l’échalote autoritaire contre les plateformes en ligne, blâmant les jeux vidéos, puis les réseaux sociaux qu’il voulait alors pouvoir bloquer et sur lesquels il voulait accentuer la fin généralisée de l’anonymat en ligne (déjà bien amoché en pratique). À ce moment-là, les plateformes avaient répondu présentes pour censurer les contenus relatifs aux évènements et aux violences dans les banlieues. Nous avions alors dénoncé cette collaboration entre plateformes privées et pouvoirs publics, unis pour brimer la liberté d’expression au nom du « retour de l’ordre » (voir notre analyse). Aujourd’hui le gouvernement persiste et signe dans sa volonté de mettre au pas les moyens de communications, cette fois-ci en choisissant la voie explicitement autoritaire : le blocage total.

La Nouvelle-Calédonie, terrain d’expérimentation

La décision de bloquer TikTok en Nouvelle-Calédonie constitue pour le gouvernement une première mise en pratique du programme macroniste de censure en ligne annoncé l’été dernier. L’occasion paraît idéale pour le pouvoir : d’une part du fait du relatif désintérêt des médias français pour l’archipel (il aura fallu attendre plusieurs jours, et notamment un premier mort parmi les habitant·es, pour que la presse en métropole commence à traiter de l’actualité calédonienne) et d’autre part parce que ce territoire dispose de règles juridiques différentes, notamment vis-à-vis du droit de l’Union européenne. De cette manière, le gouvernement croit pouvoir éteindre la révolte sans répondre aux griefs de manifestants, en refusant d’aborder la question du rôle de la réforme constitutionnelle sur les élections calédoniennes dans le malaise de la population kanak.

L’objectif de cette décision de censure consiste avant tout à étouffer l’expression d’une révolte. Elle constitue aussi un ballon d’essai avant une possible généralisation de ce type de mesure. De ce point de vue, le contexte politique semble favorable. Dans un récent rapport faisant suite aux révoltes urbaines de 2023, la commission des Lois du Sénat ne demandait rien d’autre que ce qui est en train d’être appliqué en Nouvelle-Calédonie : le blocage des réseaux sociaux et des sanctions plus dures contre les personnes les ayant utilisés lors des révoltes d’une partie de la jeunesse des quartiers populaires l’an dernier.

Lutter contre la surenchère autoritaire

Par notre recours en référé déposé ce jour, nous tentons donc de stopper une machine autoritaire lancée à pleine vitesse. Ne nous y trompons pas : il ne s’agit pas de défendre TikTok, une plateforme dont la toxicité avérée commence à être prise en compte par le législateur. Mais les pouvoirs publics restent obnubilés par la nationalité chinoise des détenteurs des capitaux de la plateforme, alors qu’au fond pas grand-chose ne sépare le modèle de TikTok de celui d’Instagram, de Snapchat ou d’autres réseaux dominants. Au-delà de TikTok et de la tutelle exercée par le régime chinois, c’est l’ensemble de l’économie politique liée à ces réseaux sociaux centralisés, fondés sur la collecte et l’exploitation massive des données des utilisateurices, organisés autour d’algorithmes et d’interfaces toxiques, qu’il convient de démanteler. C’est notamment pour promouvoir des alternatives favorables à la liberté d’expression et protectrices des droits que nous appelons à imposer l’interopérabilité des réseaux sociaux.

Par ce recours, il s’agit de dénoncer haut et fort cette mesure autoritaire inédite dans un régime qui se prétend démocratique, mais aussi d’empêcher que ces désirs de contrôle puissent trouver une quelconque légitimité politique ou juridique à l’avenir. Alors que la loi visant à sécuriser et réguler l’espace numérique (SREN) a été votée et promet une large remise en question de l’anonymat en ligne et une plus grande censure administrative, alors que la lutte contre le terrorisme sert plus que jamais de prétexte à étouffer l’expression en ligne et les contestations, il faut continuer à agir.

Dans ce contexte, La Quadrature a d’autant plus besoin de vous. Le recours que nous avons déposé aujourd’hui ne serait pas possible sans votre soutien. Rejoignez-nous dans nos combats, pour ne pas rester silencieux.euses face aux attaques autoritaires du gouvernement. Et si vous le pouvez, faites-nous un don sur https://www.laquadrature.net/donner/

References[+]

References

↑1	Très logiquement, nous nous appuyons donc dans notre recours sur les précédents jurisprudentiels de la CEDH sanctionnant ces deux pays en raison des atteintes à la liberté d’expression contraires à la Convention européenne des droits de l’homme.

]]> https://www.laquadrature.net/?p=23556http://isyteck.com/autoblog/quadrature/index.php5?20240514_134342_VSA____l___Assemblee_discute_deja_son_extension_aux_transportsTue, 14 May 2024 11:43:42 +0000Alors que les expérimentations de vidéosurveillance algorithmique (VSA) prévues par la loi relative aux Jeux Olympiques ont à peine débuté et qu’aucune évaluation n’a encore été réalisée, le gouvernement passe déjà à la vitesse supérieure. Mercredi 15 mai, la commission des lois de l’Assemblée va discuter d’une proposition de loi visant à légaliser une nouvelle forme de VSA, en utilisant cette fois-ci comme excuse la sécurité dans les transports. Derrière ce texte passé presque inaperçu se cache une nouvelle avancée sécuritaire mais surtout un agenda politique assumé : celui de la généralisation sur le long terme des technologies de surveillance algorithmique des espaces publics. Le rapporteur Clément Beaune a refusé de nous auditionner. Pourtant nous aurions eu beaucoup à lui dire sur les dangers de cette technologie et les contradictions du gouvernement qui trahit sans scrupule les promesses formulées il n’y a même pas un an.

Vous vous souvenez de la loi Sécurité globale ? Voici sa petite sœur, la proposition de loi « relative au renforcement de la sûreté dans les transports ». Adoptée en février par le Sénat, ce texte propose les pires projets sécuritaires : captation du son dans les wagons, pérennisation des caméras-piétons pour les agent·es et extension aux chauffeur·euses de bus, autorisation donnée aux régies de transports pour traiter des données sensibles (ce qui permettrait de collecter des données liées à l’origine raciale, les données de santé ou encore les opinions religieuses et politiques) ou encore transmission directe au ministère public des procès-verbaux d’infractions commises dans les transports.

Expérimenter pour banaliser et légitimer

Mais surtout, cette proposition de loi envisage une nouvelle expérimentation de la vidéosurveillance algorithmique jusqu’en 2027. Son article 9 est un quasi copié-collé de l’article 10 de la loi relative aux Jeux olympiques adoptée l’année dernière et qui prévoyait l’utilisation d’algorithmes de reconnaissance de comportements dans un cadre soit-disant « expérimental » pour tout évènement récréatif, sportif et culturel. Alors que les premiers déploiements ont à peine commencé, que des sénateur·rices ont constaté dans un récent rapport que ces dispositifs ne seront pas suffisamment opérationnels pour les JO de Paris et que l’évaluation prévue par la loi n’a pas encore été faite, ce nouveau texte discuté demain propose de rendre légal un autre type de logiciel d’analyse de flux vidéos.

En l’occurrence, il s’agirait d’autoriser des traitements de données ayant pour but d’« extraire et exporter les images » réquisitionnées par la police dans le cadre d’enquêtes pénales. Derrière cette formule floue, nous devinons qu’il s’agit en réalité des algorithmes de VSA dits « a posteriori » dont nous documentons l’usage depuis des années dans le cadre de l’initiative Technopolice.

En effet, s’il est très facile d’effectuer une recherche dans un document texte, la tâche s’avère plus compliquée et chronophage lorsqu’il s’agit d’effectuer une recherche dans un flux vidéo. La VSA « a posteriori » permet d’ automatiser des recherches dans des archives vidéo. Comme nous l’expliquons dans notre brochure détaillée publiée début mai, cela consiste à lancer des requêtes de reconnaissance d’image afin de faire remonter l’ensemble des bandes vidéos correspondant à certains critères thématiques comme détecter l’ensemble des hommes portant un t-shirt jaune et un pantalon noir repérés dans une zone géographique donnée durant les dernières 24h. Concrètement, cela permet de retracer le parcours de quelqu’un dans une ville. La VSA peut également raccourcir le temps de visionnage en condensant des heures ou des jours de vidéos en quelques minutes. Le rôle de la VSA dans cet usage est de sélectionner les passages susceptibles d’intéresser la police et de faire une ellipse sur le reste du temps de vidéo. Cette technologie repose sur l’analyse et le tri des caractéristiques biométriques des personnes, ce qui la rend totalement illégale.

Le plus connu des logiciels permettant de tels usages est celui de Briefcam, une entreprise israélienne rachetée par le groupe japonais Canon. Pas moins de 200 villes françaises seraient dotées de sa technologie de VSA, qui permet aussi de faire de la reconnaissance faciale. Le manuel d’utilisation que nous avons obtenu ainsi que les vidéos promotionnelles¹ Voir notamment cette vidéo à partir de 3:12 sont parlantes quant aux capacités de ces algorithmes de tri et de catégorisation des personnes, considérés comme de simples « objets ».

Comme toute technologie de VSA, elle permet à la police d’augmenter son contrôle de l’espace public, réduisant ainsi l’anonymat et les libertés que l’on y exerce. Mais la VSA étend également les logiques policières en les automatisant. Toute décision opérée sur le logiciel ne fait que refléter un choix humain, en l’occurrence celui des policiers, et généralise les habitudes qu’ils ont en matière de surveillance de l’espace public. Qu’il s’agisse des critères physiques choisis pour mettre en œuvre des filtres de tri et de repérage (par exemple, un homme vêtu d’un jogging et d’une casquette), des lieux ciblés par cette analyse (abords d’un lieu militant ou quartier populaire…) ou encore de la fonctionnalité choisie (pour retrouver le parcours de quelqu’un ou pour ne repérer qu’une certaine catégorie de personne), chacune des utilisations de cette VSA renforce des pratiques policières discriminantes et créé un risque supplémentaire de surveillance.

Une hypocrisie de plus : légaliser l’illégal

Bien que ces logiciels soient massivement utilisés par la police dans de nombreuses villes de France, et ce en toute illégalité, la proposition de loi discutée ce mercredi cantonne « l’expérimentation » aux transports pour trois ans. En pratique, seules la RATP ou la SNCF seront donc autorisées par la loi à avoir recours à ces algorithmes, et uniquement pour répondre à des réquisitions d’enregistrements dans le cadre d’enquêtes pénales. Plutôt que de condamner ces utilisations illégales et massives de VSA, le gouvernement a donc choisi de les légitimer au travers d’un texte qui semble en apparence circonscrit et proportionné. Comme pour la loi relative aux Jeux Olympiques, le gouvernement souhaite avancer par « petit pas » pour mettre en œuvre sa stratégie de légalisation, en concentrant l’attention sur un spectre réduit d’usages encadrés par des lois « expérimentales ».



Ces cadres « expérimentaux » permettent de donner l’apparence d’un aspect éphémère et réversible pour construire l’acceptabilité sociale d’une technologie autoritaire. Mais il ne fait que peu de doute que ces dispositifs seront soit pérennisés soit étendus à de nouveaux usages L’arrivée de ce texte, un an à peine après celui de la loi JO, en est le meilleur exemple. Il n’est d’ailleurs pas étonnant que les transports aient été choisis pour mettre en application cette nouvelle accélération. En effet, ceux-ci jouent un rôle moteur dans la promotion de la VSA en France. En 2022, la CNIL avait lancé une consultation publique sur le sujet et les contributions de la RATP et de la SNCF étaient éloquentes quant à leurs intentions de surveillance.

Aussi, comme l’a rappelé Mediapart, la SNCF expérimente régulièrement depuis 2017, de façon totalement illégale, plusieurs logiciels de surveillance dans les gares achetés auprès de plusieurs entreprises. Début mai, nous avons dénoncé à la CNIL un de ces programmes illégaux mis en œuvre par la SNCF, Prevent PCP, qui vise à faire de la filature automatisée de personnes dans les gares, sur la base de leurs attributs physiques et biométriques, sous prétexte de retrouver les personnes qui abandonneraient un bagage en gare. Quant à la RATP, elle a expérimenté la vidéosurveillance algorithmique dans ses rames et sur ses quais avec Evitech et Wintics. Bref, la proposition de loi apparaît taillée sur mesure pour légaliser une partie des dispositifs de VSA d’ores et déjà utilisés illégalement par la SNCF ou la RATP.

Un Parlement instrumentalisé

Qu’il s’agisse de cette proposition de loi sur les transports ou de la loi relative aux Jeux olympiques adoptée en mai 2023, l’intention qui préside à ces textes n’est pas d’engager une discussion sincère sur l’utilité de la VSA, mais d’entériner des états de fait. Le Sénat et l’Assemblée nationale apparaissent alors comme de simples chambre d’enregistrement du gouvernement, qui trahit ses engagements et multiplie les manœuvres rendant impossible un réel débat parlementaire.

En effet, celui-ci n’a pas peur de s’asseoir sur ses promesses faites l’année dernière aux député·es et sénateur·ices. Lors des débats sur la loi sur les Jeux Olympiques, aussi bien le rapporteur Guillaume Vuilletet que Gerald Darmanin assuraient mordicus aux parlementaires inquiets que de nombreuses garanties avaient été prévues, et notamment puisqu’il s’agissait d’une « expérimentation », que seul l’aboutissement d’un processus d’évaluation permettrait d’aller plus loin. Les modalités de cet examen ont été précisées par un décret du 11 octobre 2023 et un comité a été nommé pour rendre un rapport d’ici fin mars 2025. Mais ces gardes-fous, pourtant votés par la représentation nationale il y a un an, sont balayés d’un revers de main aujourd’hui : sans attendre ce rapport, le gouvernement préfère avancer, en assumant avoir menti aux parlementaires.

D’autre part, le processus législatif qui entoure ce texte sur les transports démontre que le gouvernement refuse au Parlement les conditions d’un débat serein et approfondi. Comme son nom l’indique, ce texte est une proposition de loi, c’est à dire une initiative parlementaire et non gouvernementale, déposée en l’occurrence par Philippe Tabarot, un sénateur LR. Celui-ci n’est pas sans lien avec le sujet puisqu’il a été plusieurs années à la tête de la régie des transports PACA puis vice-président de la Commission des transports de Régions de France.

Or, compte tenu du fait qu’il s’agit d’une proposition de loi de l’opposition, ce texte ne pouvait en théorie être transféré à l’Assemblée qu’au travers d’une « niche » du parti LR. C’était sans compter la volonté de l’exécutif de le mettre à l’ordre du jour de son propre chef. En outre, le gouvernement n’a pas hésité à recourir une fois de plus à l’excuse des Jeux olympiques pour déclencher une procédure accélérée pour l’examen du loi, prétextant que ce texte devait entrer en vigueur avant cet évènement en juillet. Mais ce n’est pas tout. Alors que l’année dernière, pour la loi JO, le gouvernement avait au minimum posé les conditions d’un examen parlementaire informé, ici aucune étude d’impact, aucun avis de la CNIL, aucune explication de la technologie couverte par l’article 9 n’a été publiée ou transmise aux parlementaires.

Les député·es vont donc voter un texte sans comprendre les implications techniques et les conséquences en termes de surveillance de cet usage de la VSA, qui sera très probablement minimisée et mal expliquée par le rapporteur Clément Beaune. D’ailleurs, ce dernier ne semble pas disposé à un quelconque débat : lorsque nous lui avons demandé à être auditionné afin d’en savoir plus sur le contenu de ce texte ainsi que pour alerter sur ses dangers, l’administration de l’Assemblée nationale a refusé, prétextant un « calendrier trop chargé ».

Faire passer un texte à toute vitesse, faire primer l’opportunisme politique sur la transparence démocratique et refuser d’écouter une association de défense des droits qui travaille depuis des années sur le sujet, c’est tout le jeu démocratique qui est bafoué. Une fois de plus, il n’y a aucune volonté de la part des pouvoirs publics d’examiner sincèrement l’utilité ou les dangers de la VSA, et encore moins de démanteler l’infrastructure de surveillance illégalement déployée depuis des années. En réalité, les intérêts politiques et sécuritaires priment et les garde-fous démocratiques sont réduits à de purs instruments cosmétiques.

Cette proposition de loi sur les transports constitue une étape de plus dans le déploiement de la surveillance automatisée des rues, au bénéfice de la police et des industriels de la Technopolice. Alors que le gouvernement ne s’embarrasse même plus à permettre les conditions d’un débat parlementaire, mobilisons-nous ! Interpellez votre député·e sur ce texte ou bien créez vous-même la contestation dans votre ville ou votre département. Car à coté de ces débats législatifs, la VSA continue de s’installer de façon illégale à travers le pays, souvent à l’échelon des collectivité locales. Pour dénoncer cette hypocrisie et refuser le projet de société de surveillance de l’espace public, nous avons lancé un kit de mobilisation il y a deux semaines. Vous pouvez y trouver ressources, modes d’action et des affiches pour faire valoir une opposition populaire à la VSA. Rejoignez la campagne sur www.laquadrature.net/vsa, et si vous le pouvez, faites un don sur www.laquadrature.net/donner !

References[+]

References

↑1	Voir notamment cette vidéo à partir de 3:12

]]> https://www.laquadrature.net/?p=23540http://isyteck.com/autoblog/quadrature/index.php5?20240503_165506_QSPTAG__307_____3_mai_2024Fri, 03 May 2024 14:55:06 +0000Lancement de notre campagne contre la VSA

La loi JO de 2023 a légalisé des « expérimentations » de vidéosurveillance algorithmique (VSA) dans un cadre précis : des événements « festifs, sportifs ou culturels », sur une période donnée (jusqu’en mars 2025), et pour surveiller seulement huit critères parmi lesquels les départs de feu, les franchissements de ligne ou les mouvements de foule par exemple. Mais on le sait depuis longtemps grâce à notre campagne Technopolice, la VSA est déjà présente et utilisée dans des dizaines de communes sans aucun cadre légal. La SNCF expérimente par exemple depuis plusieurs mois un dispositif appelé Prevent PCP et qui dépasse largement le cadre délimité par la loi JO.

C’est pourquoi nous lançons cette semaine une grande campagne contre la VSA légale et illégale, en profitant de l’intérêt suscité par les JO, pour dénoncer l’hypocrisie consistant à légaliser petit à petit, et à banaliser par le fait, un système de surveillance qui sert à la fois des intérêts électoraux, industriels et policiers au mépris complet des droits fondamentaux et sans aucun débat démocratique.

Première action de cette campagne : une plainte devant la CNIL contre le dispositif Prevent PCPC de la SNCF. Pour en savoir plus sur la campagne, lisez notre communiqué de lancement ! Et retrouvez sur notre page de campagne les éléments de communication et de sensibilisation que nous avons préparés. Ils seront complétés au fil de la campagne.

Lire le communiqué de lancement de la campagne : https://www.laquadrature.net/2024/05/02/contre-lempire-de-la-videosurveillance-algorithmique-la-quadrature-du-net-contre-attaque/
Le site de campagne : hhttps://www.laquadrature.net/vsa/

Hadopi : la CJUE renonce à protéger l’anonymat en ligne

C’est une affaire qui commence en 2019. Dans le cadre de nos actions contre Hadopi, nous avions soulevé devant le Conseil d’État le problème de l’absence de contrôle préalable à la collecte des adresses IP et de l’identité civile des internautes, et la question de la licéité de cette collecte au regard du droit de l’UE. Après un circuit complet, du Conseil d’État au Conseil constitutionnel et retour, le Conseil d’État avait décidé de transmettre le problème sous forme d’une « question préjudicielle » à la Cour de justice de l’Union européenne (CJUE). Celle-ci a rendu une décision très décevante ce mardi 30 avril. À rebours de sa décision de 2020, la CJUE autorise toujours la collecte massive de l’identité civile des internautes, et admet désormais que l’association de celle-ci avec l’adresse IP et une communication peut se faire pour n’importe quel motif. Elle semble valider de guerre lasse la pratique illicite des États européens depuis des années. Tous les détails de cette décision et de ses conséquences dans notre article de réaction.

Lire notre réaction : https://www.laquadrature.net/2024/04/30/surveillance-et-hadopi-la-justice-europeenne-enterre-un-peu-plus-lanonymat-en-ligne/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024, et nous avons pour le moment atteint 60% de notre objectif de collecte. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• 3 mai 2024 : Apéro public dans nos locaux, 115 rue de Ménilmontant, 75020 Paris, à partir de 19h. Venez nous rencontrer !
• 16 mai 2024 : Causerie mensuelle du groupe Technopolice Marseille, à partir de 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 18 mai 2024 : La Quadrature sera au Festival du livre et des cultures libres à l’espace autogéré des Tanneries, à Dijon. Plus d’infos ici : https://festivaldulivre.tanneries.org/.
• 25 mai 2024 : Journées du logiciel libre à Lyon – Conférence « La vidéosurveillance algorithmique menace nos villes, contre-attaquons ! » à 13h. Plus d’infos sur la conférence et plus d’infos sur les JDLL.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

VSA et JO

• La Quadrature du Net dépose plainte devant la CNIL contre la vidéosurveillance algorithmique dans les gares [Le Monde]
• Algorithmes de vidéosurveillance : la SNCF visée par une plainte auprès de la Cnil [Mediapart]
• « Traitement intrusif »: une association porte plainte devant la Cnil contre la vidéosurveillance algorithmique dans les gares [BFM]
• Vidéosurveillance algorithmique dans les gares : la SNCF visée par une plainte devant la Cnil [Libération]
• La Quadrature du Net contre-attaque face à la surveillance algorithmique [Korben]

Hadopi

• Hadopi : la CJUE valide la surveillance des IP, la Quadrature déçue [Next]
• Hadopi : la Cour de justice de l’Union européenne rétropédale sur l’anonymat en ligne [Clubic]

Divers

• Smart Police, le logiciel de police prédictive qui inquiète [Numerama]
]]> https://www.laquadrature.net/?p=23505http://isyteck.com/autoblog/quadrature/index.php5?20240502_160258_Contre_l___empire_de_la_videosurveillance_algorithmique__La_Quadrature_du_Net_contre-attaqueThu, 02 May 2024 14:02:58 +0000L’« expérimentation » de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi « Jeux Olympiques » adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France. Pour contrer cette stratégie, La Quadrature du Net lance aujourd’hui une campagne visant à nourrir l’opposition populaire à la VSA, une technologie basée sur des techniques d’« Intelligence Artificielle » qui s’assimile à un contrôle constant et automatisé des espaces publics, et qui marque un tournant historique dans la surveillance d’État. Une plainte a également été déposée devant la CNIL afin de dénoncer l’hypocrisie des promoteurs de la VSA et pointer l’incurie de l’autorité de protection des données personnelles.

Le prétexte des Jeux Olympiques

Depuis quelques jours, les services de police du pays et les services de sécurité des sociétés de transport ont légalement recours à la VSA¹Voir notre article consacré aux premiers arrêtés préfectoraux autorisant le recours à la VSA.. Fin avril, invoquant des afflux importants de personnes liés à des matchs de foot ou des concerts, la préfecture de police de Paris a en effet autorisé la SNCF et la RATP à utiliser les technologies de la startup Wintics pour croiser les flux des centaines de caméras installées dans certaines gares et stations de métro parisiennes²Les catégories d’événements à repérer par les systèmes de VSA reprennent une partie des catégories prévues par la loi de 2023, en l’espèce : franchissement ou présence d’une personne dans une zone interdite ou sensible, densité trop importante de personnes, mouvement de foule, présence d’objets abandonnés.. Ces « expérimentations » vont se poursuivre jusqu’en mars 2025, dans le cadre juridique fixé par la loi relative aux Jeux Olympiques adoptée l’an dernier.

Qu’importe l’efficacité dérisoire de ces systèmes de surveillance automatisée des espaces publics. Pour le ministère de l’intérieur, les industriels et leurs relais politiques, ces expérimentations servent avant tout à détourner l’attention, alors qu’en parallèle, des centaines de systèmes de VSA sont illégalement utilisés depuis des années par l’État, les collectivités locales ou les régies de transport. Il s’agit aussi de faire oublier qu’au croisement d’intérêts économiques, électoralistes et autoritaires, les promoteurs de la Technopolice travaillent depuis des années à l’imposition de la VSA partout sur le territoire.

Le pire est à venir

De fait, les projets de loi visant à pérenniser la VSA en recourant aux applications les plus sensibles – à l’image de la reconnaissance faciale en temps réel dans l’espace public ou de la vidéoverbalisation automatique des petites infractions – sont pour certains déjà dans les cartons.

La proposition de loi Transports est un parfait exemple : l’Assemblée nationale s’apprête à débattre de cette proposition poussée par la droite sénatoriale et visant à légaliser la VSA dans les transports. Le gouvernement soutient l’initiative parlementaire puisqu’il a activé la procédure accélérée sur ce texte, sans même attendre les évaluations imposées par la loi JO³Guillaume Jacquot. « Transports : le Sénat adopte une proposition de loi qui renforce l’arsenal de sécurité, avec le soutien du gouvernement », Public Sénat, 14 février 2024..

Par ailleurs, en juin 2023, soit moins de trois mois après l’adoption de la loi JO, le Sénat reprenait un projet d’expérimentation d’abord mûri par la majorité macroniste en adoptant une proposition de loi prévoyant une expérimentation de trois ans de la reconnaissance faciale couplée à la vidéosurveillance. « Trop tôt », avait en substance répondu le gouvernement, estimant que les conditions politiques n’étaient pas réunies et préférant s’en tenir à une stratégie des petits pas⁴Simon Barbarit, « Reconnaissance faciale : le Sénat adopte une proposition de loi pour expérimenter cette technologie ». Public Sénat, 12 juin 2023..

Dénoncer l’hypocrisie ambiante

Pour mieux illustrer l’hypocrisie des « expérimentations » liées à la loi JO, La Quadrature du Net vient de déposer une plainte devant la CNIL contre un déploiement de la VSA totalement illégal et resté largement sous les radars : le projet Prevent PCP.

Associant la SNCF et la RATP avec un panel d’entreprises, dont le groupe Atos et ChapsVision (par ailleurs toutes deux prestataires des expérimentations liées à la loi JO), Prevent PCP prend formellement la forme d’un marché public subventionné par l’Union européenne. En pratique, les entreprises voient leurs systèmes de VSA déployés dans des grandes gares à travers l’Europe pour détecter des « bagages abandonnés », via une méthode reposant sur l’identification et le suivi des propriétaires des bagages. En France, ces systèmes de VSA sont ainsi déployés depuis des mois dans la gare du Nord et la gare de Lyon à Paris ou, plus récemment, dans la gare de Marseille-Saint-Charles.

Grâce aux éléments mis au jour par le groupe local Technopolice Marseille, La Quadrature du Net a donc déposé une plainte devant la CNIL contre ce projet, qui n’est qu’un exemple parmi les centaines de déploiements illégaux de la VSA en France. À travers cette démarche, il s’agit de renvoyer l’autorité en charge de la protection des données personnelles au rôle qui devrait être le sien, alors qu’elle laisse proliférer des projets illégaux de VSA tout en accompagnant le processus de légalisation. Cette plainte permet également de souligner l’hypocrisie des protagonistes de Prevent PCP : alors même qu’elles prennent part à l’expérimentation de la VSA prévue par loi JO, la SNCF, la RATP, Atos ou ChapsVision se livrent en parallèle à des déploiements dépourvus de toute base légale.

Nourrir une opposition populaire à la VSA

Aujourd’hui, La Quadrature du Net lance également différents outils destinés à nourrir des mobilisations contre la VSA dans les prochains mois, et résister à sa légalisation programmée. Une brochure détaillée expliquant les dangers de la VSA, ainsi que des affiches destinées à informer la population sont disponibles sur cette page de campagne dédiée, qui sera enrichie dans les semaines et mois à venir⁵La page de campagne est disponible à l’adresse laquadrature.net/vsa..

Cette campagne contre la VSA s’inscrit dans le cadre de l’initiative Technopolice, lancée en 2019 par La Quadrature pour résister au nouvelles technologies de surveillance policière. Le site Technopolice propose un forum public ainsi qu’une plateforme de documentation participative (appelée le « carré »), libre d’utilisation et destinés à organiser et fédérer des collectifs locaux opposés à ces technologies.

Pour faire la lumière sur les arrêtés préfectoraux qui autorisent localement la VSA dans le cadre de la loi JO, nous avons également lancé un compte Mastodon, Attrap’Surveillance, qui analyse les recueils des actes administratifs des préfectures et diffuse des alertes lorsque des autorisations de surveillance policière sont détectées. C’est ce dispositif qui a permis de repérer mi-avril les premiers arrêtés de VSA. Dans les prochaines semaines, il permettra d’être averti des expérimentations de la VSA autorisées par les préfets afin de les dénoncer.

Par tous les moyens, il nous faut faire valoir notre refus d’un contrôle permanent de nos faits et gestes, dénoncer ces expérimentations, documenter les projets illégaux qui continuent de proliférer, et nous organiser localement pour battre en brèche la Technopolice. Ensemble, luttons pour que l’espace public ne se transforme pas définitivement en lieu de répression policière, pour que nos villes et nos villages soient des espaces de liberté, de créativité et de rencontres !

Pour suivre l’actualité de La Quadrature et suivre cette campagne contre la VSA, vous pouvez vous abonner à notre lettre d’information.

References[+]

References

↑1	Voir notre article consacré aux premiers arrêtés préfectoraux autorisant le recours à la VSA.
↑2	Les catégories d’événements à repérer par les systèmes de VSA reprennent une partie des catégories prévues par la loi de 2023, en l’espèce : franchissement ou présence d’une personne dans une zone interdite ou sensible, densité trop importante de personnes, mouvement de foule, présence d’objets abandonnés.
↑3	Guillaume Jacquot. « Transports : le Sénat adopte une proposition de loi qui renforce l’arsenal de sécurité, avec le soutien du gouvernement », Public Sénat, 14 février 2024.
↑4	Simon Barbarit, « Reconnaissance faciale : le Sénat adopte une proposition de loi pour expérimenter cette technologie ». Public Sénat, 12 juin 2023.
↑5	La page de campagne est disponible à l’adresse laquadrature.net/vsa.

]]> https://www.laquadrature.net/?p=23382http://isyteck.com/autoblog/quadrature/index.php5?20240430_114217_Surveillance_et_Hadopi____la_justice_europeenne_enterre_un_peu_plus_l___anonymat_en_ligneTue, 30 Apr 2024 09:42:17 +0000Dans son arrêt du 30 avril 2024, la Cour de justice de l’Union européenne (CJUE) vient de rendre sa décision concernant la légalité du système de surveillance massif de la Hadopi. Cet arrêt est décevant. La CJUE tempère très fortement sa précédente jurisprudence, au-delà du cas de la Hadopi. En considérant désormais que l’accès aux adresses IP n’est pas sensible, elle admet la possibilité de surveiller massivement Internet.

La Cour de justice de l’Union européenne vient d’autoriser l’accès massif et automatisé à l’adresse IP associée à l’identité civile et au contenu d’une communication. Le tout pour des finalités triviales et sans contrôle préalable par un juge ou par une autorité administrative indépendante.

L’arrêt du 30 avril 2024 est un revirement de jurisprudence. La CJUE vient d’autoriser un accès massif aux adresses IP associées à l’identité civile de l’internaute. Les polices de toute l’Europe, après une décennie de combat où les États ont délibérément choisi de ne pas appliquer les nombreuses décisions précédentes de la CJUE, viennent de l’emporter. C’est une prime à l’abus, un signe très fort lancé aux pays autoritaires : la CJUE admet qu’elle finira par changer sa jurisprudence si ses décisions ne sont pas appliquées. C’est un affaiblissement inquiétant de l’autorité de la Cour face à la pression des États membres.

Alors qu’en 2020, la CJUE considérait que la conservation des adresses IP constitue une ingérence grave dans les droits fondamentaux et que ces dernières ne peuvent faire l’objet d’un accès, associé à l’identité civile de l’internaute, seulement dans des cas de criminalité grave ou d’atteinte à la sécurité nationale, tel n’est aujourd’hui plus le cas. La CJUE renverse son raisonnement : elle estime désormais que la conservation des adresses IP n’est, par défaut, plus une atteinte grave aux libertés fondamentales, et que dans certains cas seulement cet accès porte une ingérence grave qu’il faut entourer de garanties.

Concernant notre affaire et le cas précis de la Hadopi en France, la Cour pousse seulement la Hadopi à évoluer. Elle estime que dans certaines situations « atypiques » l’accès à l’adresse IP et l’identité civile associée à une œuvre culturelle peut créer une ingérence grave dans le droit à la vie privée (on peut penser au cas d’une œuvre permettant de tirer des conclusions relatives aux opinions politiques, à l’orientation sexuelle, etc.) ; elle estime aussi que cet accès porte une ingérence grave en cas de « réitération » et exige dès lors que l’accès aux adresses IP ne puisse pas être « entièrement automatisé ». Mais dans tous les autres cas la CJUE dit bien que la Hadopi peut accéder de manière massive et automatisée à l’identité civile des personnes.

Autrement dit, la riposte graduée (du nom de la procédure suivie par Hadopi qui consiste à envoyer plusieurs avertissements dans les premiers temps, avant de saisir la justice si l’internaute ne « sécurise » pas sa connexion) devra changer de forme. Le législateur devra inventer une machine à gaz pour prévoir un pseudo contrôle externe indépendant de l’accès à l’identité civile par la Hadopi. Alors qu’aujourd’hui il n’existe aucune obligation de contrôle externe de la Hadopi, l’autorité devra désormais prévoir un tel contrôle lorsqu’elle souhaite, dans ces cas « atypiques » ou en cas de « réitération » de l’internaute, accéder à l’identité civile. En somme, des agent·es externes à la Hadopi seront chargé·es de cliquer sur un bouton « autoriser », là où aujourd’hui la Hadopi se l’autorise elle-même.

Plus généralement, cet arrêt de la Cour européenne a surtout validé la fin de l’anonymat en ligne. Alors qu’en 2020 elle précisait qu’il existait un droit à l’anonymat en ligne concrétisé par la directive ePrivacy, elle l’abandonne aujourd’hui. Et pour cause : en permettant à la police d’accéder largement à l’identité civile associée à une adresse IP et au contenu d’une communication, elle met de facto fin à l’anonymat en ligne.

Nous nous attendons désormais à ce que le Conseil d’État sauve la Hadopi, malgré cet arrêt. La Quadrature du Net continuera son combat contre la surveillance en ligne, y compris celle de la Hadopi. Pour nous aider, vous pouvez nous faire un don.

]]> https://www.laquadrature.net/?p=23370http://isyteck.com/autoblog/quadrature/index.php5?20240426_171312_QSPTAG__306_____26_avril_2024Fri, 26 Apr 2024 15:13:12 +0000VSA et JO : top départ

Vous le savez, la loi JO votée en 2023 autorise la vidéosurveillance algorithmique (VSA) à titre « d’expérimentation » sur une période assez étendue, jusqu’à 2025. On attendait les arrêtés préfectoraux nécessaires pour les utilisations de la VSA lors des événements publics qui doivent servir de terrain d’essai. Les premiers arrêtés sont arrivés durant ce mois d’avril.

La RATP et la SNCF ont ainsi pu surveiller automatiquement les personnes à l’occasion du match PSG-OL du 21 au 22 avril et lors du concert des Black Eyed Peas le 20 avril, sur des caméras installées à la Gare de Lyon et près du pont du Garigliano, ainsi que l’ensemble des caméras des stations de métro et de RER dans les gares de Nanterre Préfecture et de La Défense Grande Arche.

La Quadrature du Net s’est mobilisée depuis 2019 contre cette technologie et continue sa bataille. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir !

Lire l’article : https://www.laquadrature.net/2024/04/17/experimentation-de-la-vsa-les-premieres-autorisations-sont-tombees/

La loi SREN aggravée en commission paritaire

Nous avions suivi depuis mai 2023 les discussions de la loi pour « Sécuriser et réguler l’espace numérique » (SREN), qui était encore travaillée en mars dernier par la commission mixte paritaire – un groupe de membres de l’Assemblée nationale et du Sénat à parts égales – pour trouver un accord sur un texte commun entre les deux chambres.

La commission a rendu son travail le 16 mars, et le résultat n’est pas bon. Vérification obligatoire de l’âge des internautes sur les plateformes, retrait des contenus signalés par la police sans validation par un juge (censure administrative), « délit d’outrage en ligne » mal défini, filtrage des sites au niveau du navigateur, etc.

La plupart de ces mesures sont nocives parce qu’elles instaurent des exceptions ou des restrictions à la liberté de communication sous des prétextes populaires (protéger les enfants, en particulier), en autorisant des moyens d’action faciles à utiliser ensuite pour d’autres buts, et placés entre les mains de la police ou des caprices des gouvernements.

Certaines mesures entrent même directement en conflit avec le droit de l’Union européenne. Le texte oblige par exemple les plateformes à vérifier l’âge des internautes. Une obligation qui ne peut être imposée qu’au niveau européen. Pour contourner l’obstacle, la dernière version du texte cible seulement les plateformes situées « en France ou hors de l’Union européenne »…

Découvrez tous les détails diaboliques du texte en lisant notre article.

Lire l’article : https://www.laquadrature.net/2024/04/09/projet-de-loi-sren-le-parlement-saccorde-pour-mettre-au-pas-internet/

Surveillance des militants

Soupçonnées de s’être introduites dans une cimenterie Lafarge en décembre 2023, dans le cadre d’une action écologiste, dix-sept personnes ont été arrêtées le 8 avril 2024. Dans le cadre d’un rassemblement de soutien organisé à Aix-en-Provence, un membre de La Quadrature a lu un texte pour exprimer l’inquiétude de l’association. Sous prétexte de « lutte contre le terrorisme », on a donné à la police et aux services de renseignement des moyens de surveillance numérique démesurés, très intrusifs, peu ou mal contrôlés, utilisés pour monter des dossiers criminels contre des citoyen·nes exerçant des droits politiques légitimes. De l’aveu même des services, la part des militant·es surveillé·es a doublé dans les cinq dernières années. Un texte à lire en intégralité sur notre site.

Lire l’article : https://www.laquadrature.net/2024/04/08/contre-la-criminalisation-et-la-surveillance-des-militant%c2%b7es-politiques/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• 2 mai 2024 : A-t-on besoin de la vidéosurveillance pour être en sécurité dans nos espaces publics ? À l’occasion d’une conférence à l’ENSAD Paris, nous essayerons d’y répondre en questionnant la notion de sécurité, et la place de la vidéosurveillance dans nos espaces publiques. École des Arts Décoratifs (amphithéatre Rodin), 31 rue d’Ulm, Paris 5e arrondissement, de 18h30 à 20h30. Plus d’informations : https://www.ensad.fr/fr/videosurveillance-espace-public.
• 3 mai 2024 : Apéro public dans nos locaux, 115 rue de Ménilmontant, 75020 Paris, à partir de 19h. Venez nous rencontrer !
• 18 mai 2024 : Conférence « Surveillance de masse et gestion des données personnelles », de 16h à 17h30, Médiathèque Visages du Monde, 10 place du Nautilus, à Cergy. Détails dans le programme de la médiathèque.
• 18 mai 2024 : La Quadrature sera au Festival du livre et des cultures libres à l’espace autogéré des Tanneries, à Dijon. Plus d’infos ici : https://festivaldulivre.tanneries.org/.
• 25 mai 2024 : Journées du logiciel libre à Lyon – Conférence « La vidéosurveillance algorithmique menace nos villes, contre-attaquons ! », à 13h. Plus d’infos sur la conférence ici : https://pretalx.jdll.org/jdll2024/talk/ZNZL3Z/ et plus d’infos sur les JDLL : https://www.jdll.org/.
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

VSA et JO

• Surveillance : les JO vont-ils créer un précédent ? [RFI]

Algos de contrôle social

• Dématérialiser pour mieux régner : l’algorithmisation du contrôle CAF [Le vent se lève]

Loi SREN

• Une commission mixte paritaire modifie la contestée loi SREN [Siècle Digital]
• Le Parlement rectifie le projet de loi SREN pour répondre aux exigences européennes [Hardware & Co]

Surveillance

• Félix Tréguer: « On assiste à une légalisation des pratiques de surveillance numériques » [L’Echo]
• Brest : la mairie installe des caméras équipées d’un logiciel israélien, elles sont repeintes en quelques jours [Contre-Attaque]

Divers

• Défendre les libertés fondamentales dans le numérique, avec la Quadrature du Net [C-Lab]
• Vol de données de 43 millions de Français : que risquez-vous ? Qui est responsable ? [Blast]
]]> https://www.laquadrature.net/?p=23259http://isyteck.com/autoblog/quadrature/index.php5?20240417_142530_Experimentation_de_la_VSA____les_premieres_autorisations_sont_tombeesWed, 17 Apr 2024 12:25:30 +0000Les premiers arrêtés préfectoraux autorisant la vidéosurveillance algorithmique (VSA) dans le cadre de la loi JO viennent d’être publiés. La RATP et la SNCF peuvent désormais surveiller automatiquement les personnes à l’occasion du match PSG/OL du 19 au 22 avril et du concert des Black Eyed Peas le 20 avril. La Quadrature du Net s’est mobilisée depuis 2019 contre cette technologie et continue sa bataille. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Déployée en toute illégalité depuis des années et autorisée de façon inédite en Europe avec la loi sur les JOP, la vidéosurveillance algorithmique était dans les starting blocks pour être utilisée pour la première fois par la police. C’est maintenant chose faite.

La préfecture de police de Paris a autorisé ce 17 avril 2024 l’utilisation du logiciel de VSA de la société Wintics par la SNCF et la RATP. La surveillance commencera dès le 19 avril sur 118 caméras de la gare de Lyon et du pont du Garigliano à Paris. Elle concernera également le 20 avril l’ensemble des caméras des stations de métro et de RER des gares de Nanterre Préfecture et de La Défense Grande Arche.

La rumeur d’une autorisation de VSA à l’occasion du match PSG-OL circulait depuis plusieurs semaines puisque la SNCF annonçait depuis quelques temps sur des affiches gare de Lyon avoir obtenu une autorisation de la préfecture de Police. On apprenait sur cette affiche que la SNCF procédait déjà à des « tests » liés à la phase de conception de l’algorithme, où les personnes filmées servent de cobayes pour ajuster les logiciels. Des tests ont aussi été effectués lors de deux concerts de Depeche Mode à Paris. Une autre affiche dans les couloirs du métro parisien indiquait que des expérimentations allaient aussi bientôt être mises en œuvre par la RATP.


 

Nous avons développé un outil de recensement des autorisations préfectorales de surveillance, dont l’information fait quasi systématiquement défaut, ce qui empêche les personnes surveillées d’être au courant de ces mesures. Cet outil, dénommé « Attrap’Surveillance » (pour Automate de Traque des Termes de Recherche dans les Arrêtés Préfectoraux), analyse automatiquement les recueils des actes administratifs de chaque préfecture afin d’y repérer les autorisations préfectorales d’utilisation des drones et de VSA. C’est comme cela que nous avons pu apprendre la publication aujourd’hui de la première autorisation formelle d’une utilisation répressive de la VSA à Paris. En publiant aussi tardivement ces arrêtés, le préfet de police tente d’éviter au maximum les recours en justice, qui n’auront probablement pas le temps d’être jugés avant le début de la surveillance algorithmique.

Face à la concrétisation de cette surveillance, aux abus qui se profilent et à la Technopolice qui avance illégalement en parallèle de la loi JO, La Quadrature du Net s’apprête à répliquer. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

]]> https://www.laquadrature.net/?p=23248http://isyteck.com/autoblog/quadrature/index.php5?20240409_151002_Projet_de_loi_SREN____le_Parlement_s___accorde_pour_mettre_au_pas_InternetTue, 09 Apr 2024 13:10:02 +0000Nous vous parlions l’année dernière du projet de loi SREN (pour « Sécuriser et réguler l’espace numérique »). Il s’agit d’un texte censé réguler les plateformes en ligne, dont nombre de ses mesures ont révélé une vision archaïque d’Internet¹Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.. Le 26 mars dernier, député·es et sénateur·rices de la commission mixte paritaire (CMP) se sont accordé·es sur une version commune du texte. Les modifications apportées ne sont pourtant que cosmétiques. Après son vote la semaine dernière par le Sénat, cette version commune doit encore être votée par l’Assemblée nationale demain. Nous appelons cette dernière à le rejeter.

Vérification de l’âge : s’isoler plutôt que de se conformer au droit européen

Si le projet de loi SREN met autant de temps à être voté, c’est que la France mène depuis plusieurs mois un bras de fer avec la Commission européenne. Normalement, la régulation des plateformes en ligne se décide au niveau de l’ensemble de l’Union européenne. Pourtant, avec ce texte, le gouvernement français a décidé de n’en faire qu’à sa tête. En voulant forcer les plateformes hébergeant du contenu pornographique à vérifier l’âge des internautes, mesure inutile qui n’empêchera pas les mineur·es d’accéder à ces contenus, la France souhaite ainsi s’affranchir des règles européennes qui s’imposent normalement à elle.

La Commission européenne n’a évidemment pas vu cela d’un bon œil. Elle a donc actionné les pouvoirs qui lui sont octroyés dans ce genre de situations, et a bloqué le texte à deux reprises, arguant que le projet de loi SREN empiétait sur le droit de l’Union.

La parade trouvée par la CMP consiste à restreindre l’obligation de vérification de l’âge des internautes aux seules plateformes établies « en France ou hors de l’Union européenne ». Autrement dit, puisque les plateformes européennes ne sont plus concernées par cette vérification d’âge, cette mesure ne rentre plus dans le champ du droit européen, et la Commission européenne n’a plus rien à dire ! Stupide, mais habile formalisme.

La France décide ainsi de s’isoler du reste de l’Union : les plateformes françaises ou non-européennes devront faire cette vérification d’âge, alors que les plateformes européennes en seront épargnées. On félicitera l’audace de la parade : alors qu’habituellement, pour refuser les régulations sur les sujets numériques, le gouvernement français est le premier à brandir la concurrence des États sur Internet et le risque que les acteurs français s’enfuient à l’étranger en cas de « sur-régulation » (argument brandi par exemple pour détricoter le règlement IA ou supprimer l’interopérabilité des réseaux sociaux), il semble ici s’accommoder précisément de ce qu’il dénonce, puisque les plateformes françaises seront pénalisées par rapport à celles situées dans le reste de l’UE. Tout ça pour garder la face.

Ce tour de passe-passe politique ne doit néanmoins pas masquer la réalité de cette vérification d’âge. Au-delà d’une question d’articulation avec le droit de l’Union européenne, cette mesure, comme nous le dénonçons depuis le début, mettra fin à toute possibilité d’anonymat en ligne, notamment sur les réseaux sociaux (voir notre analyse et celle d’Act Up-Paris sur la question de la vérification de l’âge).

Vous reprendrez bien un peu de censure automatisée ?

Le texte final de ce projet de loi prévoit d’étendre la censure automatisée. Ses articles 3 et 3 bis A prévoient une obligation de censure en 24 heures des contenus, respectivement d’abus sexuels sur enfants et de représentation d’actes de torture et de barbarie. Le mécanisme est un calque de la censure automatisée des contenus à caractère terroriste : une notification de la police, une obligation de censure en 24h sous peine de fortes amendes et de plusieurs années de prison, un contrôle par la justice qui n’est pas obligatoire puisque le juge doit être saisi une fois la censure effective par l’hébergeur des contenus et non par la police.

La Quadrature du Net, tout comme de nombreuses autres organisations, dénoncent depuis des années le fait que ce système de censure administrative en très peu de temps aura comme conséquence une automatisation de la censure : face aux sanctions monstrueuses en cas de non-retrait, et alors que les hébergeurs n’ont que très peu de temps pour agir, ils seront nécessairement poussés à ne pas contester la police et à censurer les contenus qu’on leur demande de retirer. C’est d’ailleurs exactement ce mécanisme qu’avait censuré le Conseil constitutionnel en 2020 avec la loi Avia, et qu’avec cinq autres associations nous dénonçons devant la justice à propos du règlement européen de censure terroriste.

Et le prétexte de la lutte contre les abus sexuels sur mineur·es ou la lutte contre les actes de torture ou de barbarie ne peut justifier ces censures. Tout comme le projet de règlement européen CSAR (pour « Child sexual abuse regulation », aussi appelé « Chat Control »), le projet de loi SREN ne résoudra pas le problème des abus sexuels sur mineur·es ni des actes de torture en censurant ces contenus. Une autre politique, ambitieuse, pour lutter contre les réseaux et trafiquants, est pour cela nécessaire.

Prendre les gens pour des schtroumpfs

Les débats sur ce projet de loi auront, une fois de plus, démontré la piètre qualité des débats parlementaires lorsqu’il s’agit de numérique²Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.. Les débats autour du filtre « anti-arnaque » ou de la peine de bannissement ont été particulièrement révélateurs de la manière dont le gouvernement voit les internautes : comme des incapables à qui il faudrait montrer la voie, quitte à mentir.

Le filtre anti-arnaque n’a pas été substantiellement modifié en CMP et la vision paternaliste que nous dénoncions (voir notre analyse) est toujours présente en l’état actuel du texte. Ce filtre fait le constat de l’inefficacité des listes anti-hameçonnages qu’utilisent les principaux navigateurs mais, au lieu de fournir une liste anti-hameçonnage complémentaire, de qualité et transparente, le gouvernement préfère forcer la main des navigateurs en leur imposant de censurer les contenus et de devenir des auxiliaires de police.

Main sur le cœur, le gouvernement nous promet toutefois que seuls les contenus d’hameçonnage seront concernés par ce nouveau dispositif de censure que devront implémenter les navigateurs. N’ayons aucune crainte, cette nouvelle manière de censurer ne sera jamais étendue à tout le reste ! Difficile, en réalité, de croire un gouvernement d’Emmanuel Macron alors que ce dernier a clairement adopté depuis son arrivée à l’Élysée une politique de remise en cause drastique des libertés fondamentales (voir notre récapitulatif en 2022 pour son premier mandat).

Et difficile de croire un gouvernement dont le ministre Jean-Noël Barrot, lorsqu’il était chargé de défendre ce texte avant d’être débarqué des affaires numériques, n’hésitait pas à raconter n’importe quoi pour mieux faire passer la pilule. Car la peine de bannissement de réseaux sociaux, prévue à l’article 5 du projet de loi, nécessite que les plateformes connaissent l’identité des personnes ouvrant un compte (et ce afin d’empêcher que les personnes bannies ne reviennent sur la plateforme). Or, questionné sur France Culture à propos des atteintes à l’anonymat en ligne qu’implique cette mesure, le ministre Barrot a préféré mentir plutôt que d’admettre le problème. Il a affirmé que le projet de loi ne prévoyait qu’« une obligation de moyens [d’empêcher un·e internaute banni·e de se refaire un compte] mais qui n’est pas sanctionnée par une amende ». Sauf que c’est totalement faux : un réseau social qui n’aurait pas empêché un·e internaute banni·e de se refaire un compte risquera jusqu’à 75 000 € d’amende par compte recréé. Et ce point n’a pas évolué lors des débats parlementaires.

Détricoter la loi de 1881 sur la liberté d’expression

Le texte final comporte une grande nouveauté : le délit d’outrage en ligne a été réintroduit par la CMP. Cette disposition, initialement introduite par le Sénat puis supprimée par l’Assemblée nationale car jugée trop dangereuse, consiste à faire des abus d’expression en ligne une circonstance aggravante par rapport aux cas où ils seraient commis hors ligne. Concrètement, le projet de loi SREN sanctionne de 3 750 euros d’amende et d’un an d’emprisonnement le fait de « diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante ».

Il s’agit donc d’un délit extrêmement large puisque la notion de « situation intimidante, hostile ou offensante » n’est nullement définie légalement et sera la porte ouverte aux interprétations larges. De plus, la possibilité de sanctionner ce délit par une amende forfaitaire rajoute des possibilités d’abus, ce que dénoncent déjà des avocat·es et la Défenseure des droits. Mais ce délit peut également être sanctionné par une peine de bannissement.

Surtout, ce délit d’outrage en ligne déroge à la loi de 1881. Cette loi est le socle qui régit aujourd’hui les abus d’expression, y compris en ligne : elle prévoit des mécanismes qui évitent les abus (délais de prescription courts, procédures particulières, etc.). Exit ces garde-fous : en introduisant ce délit d’outrage en ligne dans le code pénal et non dans la loi de 1881, le législateur concrétise une longue envie de la droite autoritaire de détricoter cette loi. Pourquoi, pourtant, faudrait-il abandonner les protections de la loi de 1881 pour le simple fait que ce serait en ligne, alors que la presse papier ou la télévision sont souvent des déversoirs de haine ?

Le projet de loi SREN n’a donc pas fondamentalement évolué. Il s’agit toujours d’un texte fondé sur un mode de régulation d’Internet à la fois vertical et brutal, qui ne peut mener qu’à une impasse et une restriction des libertés. Comme si l’État ne savait pas réguler un média autrement sur ce modèle autoritaire. Les autres modèles de régulation, notamment l’obligation d’interopérabilité des réseaux sociaux, ont été sèchement rejetés par le pouvoir. Le résultat de ce refus de voir ce qu’est Internet est un texte inadapté, dangereux pour les droits fondamentaux et l’expression libre en ligne, et qui ne résoudra aucunement les problèmes auxquels il prétend s’attaquer. L’Assemblée nationale doit donc rejeter ce projet de loi. Et pour nous aider à continuer la lutte, vous pouvez nous faire un don.

References[+]

References

↑1	Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.
↑2	Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.

]]> https://www.laquadrature.net/?p=23225http://isyteck.com/autoblog/quadrature/index.php5?20240408_164436_Contre_la_criminalisation_et_la_surveillance_des_militant__es_politiquesMon, 08 Apr 2024 14:44:36 +0000Ce texte a été lu par un·e membre de La Quadrature du Net le 5 avril 2024 lors du rassemblement devant le Tribunal judiciaire d’Aix-en-Provence, à l’occasion des deux nouvelles mises en examen dans l’affaire Lafarge.

On est là aujourd’hui pour dire notre soutien aux personnes convoquées, à toutes les personnes placées en garde à vue et inquiétées dans cette affaire. On est là pour dénoncer l’instrumentalisation de la justice et des services antiterroristes pour réprimer les militantes et militants et dissuader toute forme de désobéissance civile. Là, enfin, pour dire notre indignation face au recours systématique à des formes de surveillance intrusives et totalement disproportionnées.

Les mises en examen de ce jour, ou celles qui les ont précédé dans cette « affaire Lafarge », s’inscrivent dans un contexte plus global. Jusqu’à un passé pas si lointain, de nombreuses formes d’action directes étaient tolérées par les autorités. Mais progressivement, en lien avec la dérive néo-libérale amorcée dans les années 1980, l’espace accordé à la critique d’un système injuste et écocide a fondu comme neige au soleil. De crise en crise, on a assisté à la consolidation d’un État d’exception, à l’inflation des services de renseignement, à la multiplication de dérogations au droit libéral — un droit certes bien trop imparfait, mais qui n’en demeurait pas moins un héritage fondamental des luttes passées. On a également vu un pouvoir politique s’entêter au point de ne plus tolérer la moindre contestation, instrumentalisant le droit commun à coup d’amendes, de dissolutions, de maintien de l’ordre hyper-violent.

Le tout pour réprimer toutes celles et ceux qui ont la dignité de dire leur refus d’un système à la violence décomplexée, et le courage de mettre ce refus en actes. Dans ce processus du criminalisation des militant·es, les services de renseignement, de police judiciaire comme les magistrats du parquet peuvent désormais s’appuyer sur les exorbitants moyens de surveillance. Autant de dispositifs qui se sont accumulés depuis 25 ans et qui, dans l’affaire Lafarge et d’autres jugées récemment, s’emboîtent pour produire une surveillance totale. Une surveillance censée produire des éléments sur lesquels pourront s’édifier le récit policier et la répression.

Cette surveillance, elle commence par l’activité des services de renseignement. Contrôles d’identité qui vous mettent dans le viseur des services, caméras et micro planquées autour de lieux militants ou dans des librairies, balises GPS, interceptions, analyse des métadonnées, … Tout est bon pour servir les priorités politiques et justifier la pérennisation des crédits. L’activité du renseignement consacrée à la surveillance des militant·es – érigée en priorité depuis la stratégie nationale du renseignement de 2019 –, elle a doublé sous Macron, passant de 6 % au moins du total des mesures de surveillance en 2017 à plus de 12% en 2022.

Après le fichage administratif, après les notes blanches du renseignement, vient le stade des investigations judiciaires. Là encore, comme l’illustre l’affaire Lafarge, la surveillance en passe par le recours à la vidéosurveillance – plus de 100 000 caméras sur la voie publique aujourd’hui –, puis par l’identification biométrique systématique, notamment via la reconnaissance faciale et le fichier TAJ, ou quand ce n’est pas possible par le fichier des cartes d’identité et de passeport, l’infâme fichier TES, qui est ainsi détourné.

Pour rappel, le recours à la reconnaissance faciale via le fichier TAJ, ce n’est pas de la science fiction. Ce n’est pas non plus l’exception. Il est aujourd’hui utilisée au moins 1600 fois par jour par la police, et ce alors que cette modalité d’identification dystopique n’a jamais été autorisée par une loi et que, de fait, son usage n’est pas contrôlé par l’autorité judiciaire.

Cette reconnaissance faciale, elle est employée y compris pour des infractions dérisoires, notamment lorsqu’il s’agit d’armer la répression d’opposants politiques comme l’ont illustré les jugements de la semaine dernière à Niort, un an après Sainte-Soline. Et ce alors que le droit européen impose normalement un critère de « nécessité absolue ».

La surveillance découle enfin du croisement de toutes les traces numériques laissées au gré de nos vies et nos activités sociales. Dans cette affaire et d’autres encore, on voit ainsi se multiplier les réquisitions aux réseaux sociaux comme Twitter ou Facebook, l’espionnage des conversations téléphoniques et des SMS, le suivi des correspondances et des déplacements de groupes entiers de personnes via leurs métadonnées, la surveillance de leurs publications et de leurs lectures, la réquisition de leurs historiques bancaires ou des fichiers détenus par les services sociaux, … Le tout, souvent sur la seule base de vagues soupçons. Et à la clé, une violation systématique de leur intimité ensuite jetée en pâture à des policiers, lesquels n’hésitent pas à à s’en servir pour intimider ou tenter d’humilier lors des interrogatoires, et construire une vision biaisée de la réalité qui puisse corroborer leurs fantasmes.

De plus en plus, c’est la logique même de la résistance à la dérive autoritaire qui est criminalisée. Vous utilisez des logiciels libres et autres services alternatifs aux multinationales qui dominent l’industrie de la tech et s’imbriquent dans les systèmes de surveillance d’État ? Cela suffit à faire de vous un suspect, comme le révèle l’affaire du « 8 décembre » jugée il y a quelques mois. Vous choisissez des messageries dotées de protocoles de chiffrement pour protéger votre droit à la confidentialité des communications ? On pourra recourir aux spywares et autres méthodes d’intrusion informatique pour aspirer le maximum de données contenues dans vos ordinateurs ou smartphones. C’est ce dont a été victime le photographe mis en cause dans cette affaire. Et si vous refusez de livrer vos codes de chiffrement lors d’une garde à vue, on retiendra cela contre vous et on intentera des poursuites, quand bien même l’infraction censée légitimer votre garde à vue s’est avérée tout à fait grotesque.

Pour conclure, nous voudrions rappeler que, dans les années 30, alors que l’Europe cédait peu à peu au fascisme, un gouvernement français pouvait faire du pays une terre d’accueil pour les militant·es, les artistes, les intellectuelles. C’était juste avant la fin honteuse de la IIIe république, juste avant le régime de Vichy. Aujourd’hui, alors que, à travers l’Europe comme dans le monde entier, les militant·es des droits humains, les militant·es écologistes, celles et ceux qui dénoncent la violence systémique des États ou les méfaits des multinationales, sont chaque jour plus exposé·es à la répression, l’État français se place aux avant-gardes de la dérive post-fasciste.

Reste à voir si, plutôt que de s’en faire la complice active comme le font craindre les décisions récentes, l’institution judiciaire aura encore la volonté d’y résister.

]]> https://www.laquadrature.net/?p=23200http://isyteck.com/autoblog/quadrature/index.php5?20240322_162536_QSPTAG__305_____22_mars_2024Fri, 22 Mar 2024 15:25:36 +0000Pour mieux surveiller ses allocataires, La CAF aura dorénavant accès aux revenus des Français en temps réel

Notre travail d’enquête sur les algorithmes de contrôle social continue. Après avoir obtenu l’algorithme utilisé par la CAF pour contrôler ses allocataires en fonction d’un « score de risque », après avoir analysé cette méthode de calcul et démontré qu’elle ciblait volontairement les personnes les plus précaires, nous poursuivons nos recherches du côté des outils utilisés par d’autres services sociaux : assurance vieillesse, assurance maladie, assurance chômage, etc. Vous pouvez retrouver l’ensemble de ces travaux sur notre page de campagne.

Mais les dernières nouvelles concernant les pratiques de la CAF nous sont arrivées par la presse : tout en se défendant des mauvaises intentions que nous lui prêtions, la CAF continuait/continu ? de demander l’accès à toujours plus de données, pour mieux surveiller ses allocataires. Elle a donc obtenu récemment le droit d’accéder au fichier du Dispositif des ressources mensuelles (DRM), qui recense quotidiennement pour chaque personne l’intégralité de ses sources de revenus : les salaires perçus et les prestations sociales touchées. Créé pour faciliter le calcul des aides personnalisées pour le logement (APL), le fichier connaît donc une déviation flagrante de sa finalité première. Et l’utilisation que compte en faire la CAF n’est pas brillante : il s’agit d’améliorer la « productivité » de son algorithme de contrôle.
Les revenus des allocataires étaient jusqu’à présent connus annuellement au moment de la déclaration de revenus, ou chaque trimestre auprès des allocataires. La surveillance mensuelle des variations de revenus, en permettant une révision plus serrée des droits des allocataires, permettra sans doute de détecter de plus nombreux « trop perçus » – voilà pour la « productivité ». Et qui sont les personnes dont les revenus varient le plus, et ont le plus besoin des aides sociales ? Les plus pauvres, encore une fois.

En plus de cette discrimination automatisée, cette annonce nous paraît révéler deux problèmes : d’une part l’inefficacité du contrôle opéré par la CNIL, pourtant créée pour surveiller l’usage des fichiers, et d’autre part le dévoiement du projet gouvernemental de « solidarité à la source », annoncé comme un moyen de lutter contre le « non recours » aux aides sociales, en passe de devenir un système de centralisation des donnée pléthorique et sans contrôle.

Lire l’article : https://www.laquadrature.net/2024/03/13/notation-des-allocataires-la-caf-etend-sa-surveillance-a-lanalyse-des-revenus-en-temps-reel/

Soutenir La Quadrature en 2024

Nous sommes toujours en campagne de soutien pour financer notre travail en 2024. C’est pour nous l’occasion de présenter les grands chantiers en cours, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la défense du droit au chiffrement des communications, la promotion de l’interopérabilité des services Web, et la réflexion nécessaire autour du numérique dans le contexte de la crise écologique mondiale.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

• 29 mars 2024 : apéro public dans nos locaux, 115 rue de Ménilmontant, 75020 Paris, à partir de 19h.
• 11 avril 2024 : causerie mensuelle du groupe Technopolice Marseille, au Manifesten, 59 rue Adolphe Thiers, 13001 Marseille, à partir de 19h.

La Quadrature dans les médias

Algos de contrôle social

• CAF : pourquoi la solidarité à la source n’est pas forcément une bonne nouvelle pour les allocataires du RSA et de la prime d’activité [Midi Libre]
• RSA, prime d’activité : la solidarité à la source, un piège pour les allocataires ? [Merci pour l’info]
• RSA, prime d’activité : analyse de vos ressources à la source, ce nouveau piège pour les allocataires [Actualité News]
• Fraude sociale : les bénéficiaires de l’AAH particulièrement visés par la CAF ? [Econostrum]
• CAF : les allocataires du RSA et de la prime d’activité doivent se méfier de la solidarité à la source ! [Les écrans de Paris]
• Révélation choc : Comment le RSA et la prime d’activité pourraient devenir des outils de surveillance [Mobeez]
• La CAF cible-t-elle particulièrement les bénéficiaires de l’AAH pour le fraude sociale ? [Objeko]
• Algorithme CNAF. Quand la branche famille cible les plus précaires? [La CGT Analyses et Propositions]

Surveillance

• Ecoutes, géolocalisations : de plus en plus de personnes sont surveillées en France [Basta!]
• Extension de la surveillance : « On est en plein solutionnisme technologique » [Basta!]

Technopolice : police prédictive

• « Fichage illégal », surveillance sur les réseaux sociaux… La police prédictive est-elle hors-la-loi ? [Usbek & Rica]
• « Police prédictive » : les algorithmes peuvent-ils vraiment devancer les délinquants ? [Usbek & Rica]

Technopolice : VSA et JO

• Vidéoprotection « intelligente » : « L’objectif, c’est qu’elle soit généralisée plus tard », estime la sénatrice LR Agnès Canayer [Public Sénat]
• JO de Paris 2024 : De la vidéosurveillance sans reconnaissance faciale, vraiment ? [20 minutes]
• Paris 2024 : un premier test de la vidéosurveillance algorithmique à l’occasion d’un concert de Depeche Mode [Libération]
• Derniers préparatifs avant le déploiement de la vidéosurveillance algorithmique [Siècle Digital]

Divers

• Comme la quadrature du net, le SMG dénonce le fichage des personnes trans [Syndicat de la médecine générale]
• La France crée un fichier des personnes trans [Dijoncter.info]
• Loi Avia : la mobilisation de la Quadrature du Net contre une censure « autoritaire » [Salle421.eu]
]]> https://www.laquadrature.net/?p=23078http://isyteck.com/autoblog/quadrature/index.php5?20240313_103717_Notation_des_allocataires____la_CAF_etend_sa_surveillance_a_l___analyse_des_revenus_en_temps_reelWed, 13 Mar 2024 09:37:17 +0000Retrouvez l’ensemble de nos publications, documentations et prises de positions sur l’utilisation par les organismes sociaux – CAF, Pôle Emploi, Assurance Maladie, Assurance Vieillesse – d’algorithmes à des fins de contrôle social sur notre page dédiée et notre gitlab.

Il y a tout juste deux mois, nous publiions le code source de l’algorithme de notation des allocataires de la CAF. Cette publication démontrait l’aspect dystopique d’un système de surveillance allouant des scores de suspicion à plus de 12 millions de personnes, sur la base desquels la CAF organise délibérement la discrimination et le sur-contrôle des plus précaires. Ce faisant, nous espérions que, face à la montée de la contestation¹Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici., les dirigeant·es de la CAF accepteraient de mettre fin à ces pratiques iniques. Il n’en fut rien.

À la remise en question, les responsables de la CAF ont préféré la fuite en avant. La première étape fut un contre-feu médiatique où son directeur, Nicolas Grivel, est allé jusqu’à déclarer publiquement que la CAF n’avait ni « à rougir » ni à s’« excuser » de telles pratiques. La deuxième étape, dont nous venons de prendre connaissance²Voir l’article « L’État muscle le DRM, l’arme pour lutter contre la fraude et le non-recours aux droits » publié le 01/02/2024 par Emile Marzof et disponible ici., est bien plus inquiétante. Car parallèlement à ses déclarations, ce dernier cherchait à obtenir l’autorisation de démultiplier les capacités de surveillance de l’algorithme via l’intégration du suivi en « temps réel »³Bien que la fréquence de mise à jour des revenus soit majoritairement mensuelle, dans la mesure où les salaires sont versés une fois par mois, nous reprenons ici l’expression utilisée par la Cour des comptes. Voir le chapitre 9 du Rapport sur l’application des lois de financement de la sécurité sociale de 2022 disponible ici. des revenus de l’ensemble des allocataires. Autorisation qu’il a obtenue, avec la bénédiction de la CNIL, le 29 janvier dernier⁴Décret n° 2024-50 du 29 janvier 2024 disponible ici. Voir aussi la délibération n° 2023-120 du 16 novembre 2023 de la CNIL ici. Le décret prévoit une expérimentation d’un an. La surveillance des revenus est aussi autorisée pour le contrôle des agriculteurs·rices par les Mutualités Sociales Agricoles et des personnes âgées par la Caisse Nationale d’Assurance Vieillesse..

Surveillance et « productivité » des contrôles

Pour rappel, le revenu est une des quelque quarante variables utilisées par la CAF pour noter les allocataires. Comme nous l’avions montré, plus le revenu d’un·e allocataire est faible, plus son score de suspicion est élevé et plus ses risques d’être contrôlé·e sont grands. C’est donc un des paramètres contribuant directement au ciblage et à la discrimination des personnes défavorisées.

Jusqu’à présent, les informations sur les revenus des allocataires étaient soit récupérées annuellement auprès des impôts, soit collectées via les déclarations trimestrielles auprès des allocataires concerné·es (titulaires du RSA, de l’AAH…)⁵Voir lignes 1100 du code de l’algorithme en usage entre 2014 et 2018 disponible ici : pour le calcul des revenus mensuels, la CAF utilise soit les déclarations de revenus trimestrielles (dans le cadre des personnes au RSA/AAH) divisées par 3, soit les revenus annuels divisés par 12. Si nous ne disposons pas de la dernière version de l’algorithme, la logique devrait être la même.
. Désormais, l’algorithme de la CAF bénéficiera d’un accès en « temps réel » aux ressources financières de l’ensemble des 12 millions d’allocataires (salaires et prestations sociales).

Pour ce faire, l’algorithme de la CAF sera alimenté par une gigantesque base de données agrégeant, pour chaque personne, les déclarations salariales transmises par les employeurs ainsi que les prestations sociales versées par les organismes sociaux (retraites, chômage, RSA, AAH, APL…)⁶ L’architecture de la base DRM repose sur l’agrégation de deux bases de données. La première est la base des « Déclarations Sociales Nominatives » (DSN) regroupant les déclarations de salaires faites par les employeurs. La seconde, « base des autres revenus » (PASRAU), centralise les prestations sociales monétaires (retraites, APL, allocations familiales, indemnités journalières, AAH, RSA, allocations chômage..). La base DRM est mise à jour quotidiennement et consultable en temps réel. D’un point de vue pratique, il semblerait que le transfert de données de la base DRM à la CAF soit fait mensuellement. La CAF peut aussi accéder à une API pour une consultation du DRM en temps réel. Voir notamment le chapitre 9 du rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici.
 : c’est le « Dispositif des Ressources Mensuelles » (DRM). Cette base, créée en 2019 lors de mise en place de la réforme de la « contemporanéisation » des APL⁷Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2019 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
, est mise à jour quotidiennement, et offre des capacités inégalées de surveillance des allocataires.

La justification d’une telle extension de la surveillance à l’œuvre à des fins de notation des allocataires est d’accroître la « productivité du dispositif [de l’algorithme] » selon les propres termes des responsables de la CAF⁸Voir la délibération 2023-120 de la CNIL disponible ici.
. Qu’importe que se multiplient les témoignages révélant les violences subies par les plus précaires lors des contrôles⁹Voir notamment les témoignages collectés par le collectif Changer de Cap, disponibles ici et le rapport de la Défenseure des Droits.. Qu’importe aussi que les montants récupérés par l’algorithme soient dérisoires au regard du volume des prestations sociales versées par l’institution¹⁰Les montants d’« indus » récupérés par la CAF dans le cadre des contrôles déclenchés par l’algorithme représentent 0,2% du montant total des prestations versées par la CAF. Voir ce document de la CAF.. Les logiques gestionnaires ont fait de la course aux « rendements des contrôles » une fin en soi à laquelle tout peut être sacrifié.

Que cette autorisation soit donnée à titre « expérimental », pour une période d’un an, ne peut être de nature à nous rassurer tant on sait combien le recours aux « expérimentations » est devenu un outil de communication visant à faciliter l’acceptabilité sociale des dispositifs de contrôle numérique¹¹Voir notamment notre article « Stratégies d’infiltration de la surveillance biométrique dans nos vies », disponible ici..

La CNIL à la dérive

La délibération de la CNIL qui acte l’autorisation accordée à la CAF de ce renforcement sans précédent des capacités de surveillance de son algorithme de notation laisse sans voix¹²Voir la délibération n° 2023-120 du 16 novembre 2023 disponible ici.. Loin de s’opposer au projet, ses recommandations se limitent à demander à ce qu’une attention particulière soit « accordée à la transparence » de l’algorithme et à ce que… le « gain de productivité du dispositif » fasse l’objet d’un « rapport circonstancié et chiffré ». La violation de l’intimité des plus de 30 millions de personnes vivant dans un foyer bénéficiant d’une aide de la CAF est donc ramenée à une simple question d’argent…

Nulle part n’apparaît la moindre critique politique d’un tel dispositif, alors même que cela fait plus d’un an que, aux côtés de différents collectifs et de la Défenseure des Droits, nous alertons sur les conséquences humaines désastreuses de cet algorithme. La CNIL alerte par contre la CNAF sur le risque médiatique auquelle elle s’expose en rappelant qu’un scandale autour d’un algorithme en tout point similaire a « conduit le gouvernement néerlandais à démissionner en janvier 2021 ». Une illustration caricaturale de la transformation du « gendarme des données » en simple agence de communication pour administrations désireuses de ficher la population.

On relèvera également un bref passage de la CNIL sur les « conséquences dramatiques » du risque de « décisions individuelles biaisées » conduisant l’autorité à demander à ce que l’algorithme soit « conçu avec soin ». Celui-ci démontre – au mieux – l’incompétence technique de ses membres. Rappelons que cet algorithme ne vise pas à détecter la fraude mais les indus ayant pour origine des erreurs déclaratives. Or, ces erreurs se concentrent, structurellement, sur les allocataires aux minima sociaux, en raison de la complexité des règles d’encadrement de ces prestations¹³Voir nos différents articles sur le sujet ici et l’article de Daniel Buchet, ancien directeur de la maîtrise des risques et de la lutte contre la fraude de la CNAF. 2006. « Du contrôle des risques à la maîtrise des risques », disponible ici.
. Le ciblage des plus précaires par l’algorithme de la CAF n’est donc pas accidentel mais nécessaire à l’atteinte de son objectif politique : assurer le « rendement des contrôles ». La seule façon d’éviter de tels « biais » est donc de s’opposer à l’usage même de l’algorithme.

Pire, la CNIL valide, dans la même délibération, l’utilisation du DRM à des fins de contrôle de nos aîné·es par l’Assurance Vieillesse (CNAV)… tout en reconnaissant que l’algorithme de la CNAV n’a jamais « fait l’objet de formalités préalables auprès d’elle, même anciennes »¹⁴Si nous n’avons pas encore la preuve certaine que la CNAV utilise un algorithme de profilage pour le contrôle des personnes à la retraite, la CNIL évoque concernant cette administration dans sa délibération « un traitement de profilage » et « un dispositif correspondant [à l’algorithme de la CNAF] » laissant sous-entendre que c’est le cas. . Soit donc qu’il est probablement illégal. Notons au passage que le rapporteur de la CNIL associé à cette délibération n’est autre que le député Philippe Latombe, dont nous avons dû signaler les manquements déontologiques auprès de la CNIL elle-même du fait de ses accointances répétées et scandaleuses avec le lobby sécuritaire numérique¹⁵Voir aussi l’article de Clément Pouré dans StreetPress, disponible ici, qui pointe par ailleurs les relations du député avec l’extrême-droite..

« Solidarité » à la source et contrôle social : un appel à discussion

Si nous ne nous attendions pas à ce que le directeur de la CAF abandonne immédiatement son algorithme de notation des allocataires, nous ne pouvons qu’être choqué·es de voir que sa seule réponse soit de renforcer considérablement ses capacités de surveillance. C’est pourquoi nous appelons, aux côtés des collectifs avec qui nous luttons depuis le début, à continuer de se mobiliser contre les pratiques numériques de contrôle des administrations sociales, au premier rang desquelles la CAF.

Au-delà du mépris exprimé par la CAF face à l’opposition grandissante aux pratiques de contrôle, cette annonce met en lumière le risque de surveillance généralisée inhérent au projet gouvernemental de « solidarité » à la source. Présenté comme la « grande mesure sociale » du quinquennat¹⁶Pour reprendre les termes de cet article du Figaro., ce projet vise à substituer au système déclaratif une automatisation du calcul des aides sociales via le pré-remplissage des déclarations nécessaires à l’accès aux prestations sociales.

Étant donné la grande complexité des règles de calculs et d’attribution de certaines prestations sociales – en particulier les minima sociaux – cette automatisation nécessite en retour que soit déployée la plus grande infrastructure numérique jamais créée à des fins de récolte, de partage et de centralisation des données personnelles de la population française (impôts, CAF, Assurance-Maladie, Pôle Emploi, CNAV, Mutualités Sociales Agricoles….). De par sa taille et sa nature, cette infrastructure pose un risque majeur en termes de surveillance et de protection de la vie privée.

Et c’est précisément à cet égard que l’autorisation donnée à la CAF d’utiliser le DRM pour nourrir son algorithme de notation des allocataires est emblématique. Car le DRM est lui-même une pierre angulaire du projet de « solidarité » à la source¹⁷Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2010 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
 – sa « première brique » selon les termes du Premier ministre – dont il constitue le socle en termes de centralisation des données financières¹⁸Sénat, commission des affaires sociales, audition de M. Gabriel Attal, alors ministre délégué chargé des comptes publics. Disponible ici.. Or, si sa constitution avait à l’époque soulevé un certain nombre d’inquiétudes¹⁹Voir notamment l’article de Jérôme Hourdeaux « Caisse d’allocations familiales : le projet du gouvernement pour ficher les allocataires » disponible (paywall) ici., le gouvernement s’était voulu rassurant. Nulle question qu’il soit utilisée à des fins de contrôle : ses finalités étaient limitées à la lutte contre le non-recours et au calcul des prestations sociales²⁰Décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux disponible ici. La délibération de la CNIL associée est disponible ici.. Cinq années auront suffit pour que ces promesses soient oubliées.

Nous reviendrons très prochainement sur la solidarité à la source dans un article dédié. Dans le même temps, nous appelons les acteurs associatifs, au premier titre desquels les collectifs de lutte contre la précarité, à la plus grande prudence quant aux promesses du gouvernement et les invitons à engager une discussion collective autour de ces enjeux.

References[+]

References

↑1	Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici.
↑2	Voir l’article « L’État muscle le DRM, l’arme pour lutter contre la fraude et le non-recours aux droits » publié le 01/02/2024 par Emile Marzof et disponible ici.
↑3	Bien que la fréquence de mise à jour des revenus soit majoritairement mensuelle, dans la mesure où les salaires sont versés une fois par mois, nous reprenons ici l’expression utilisée par la Cour des comptes. Voir le chapitre 9 du Rapport sur l’application des lois de financement de la sécurité sociale de 2022 disponible ici.
↑4	Décret n° 2024-50 du 29 janvier 2024 disponible ici. Voir aussi la délibération n° 2023-120 du 16 novembre 2023 de la CNIL ici. Le décret prévoit une expérimentation d’un an. La surveillance des revenus est aussi autorisée pour le contrôle des agriculteurs·rices par les Mutualités Sociales Agricoles et des personnes âgées par la Caisse Nationale d’Assurance Vieillesse.
↑5	Voir lignes 1100 du code de l’algorithme en usage entre 2014 et 2018 disponible ici : pour le calcul des revenus mensuels, la CAF utilise soit les déclarations de revenus trimestrielles (dans le cadre des personnes au RSA/AAH) divisées par 3, soit les revenus annuels divisés par 12. Si nous ne disposons pas de la dernière version de l’algorithme, la logique devrait être la même.
↑6	L’architecture de la base DRM repose sur l’agrégation de deux bases de données. La première est la base des « Déclarations Sociales Nominatives » (DSN) regroupant les déclarations de salaires faites par les employeurs. La seconde, « base des autres revenus » (PASRAU), centralise les prestations sociales monétaires (retraites, APL, allocations familiales, indemnités journalières, AAH, RSA, allocations chômage..). La base DRM est mise à jour quotidiennement et consultable en temps réel. D’un point de vue pratique, il semblerait que le transfert de données de la base DRM à la CAF soit fait mensuellement. La CAF peut aussi accéder à une API pour une consultation du DRM en temps réel. Voir notamment le chapitre 9 du rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici.
↑7	Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2019 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
↑8	Voir la délibération 2023-120 de la CNIL disponible ici.
↑9	Voir notamment les témoignages collectés par le collectif Changer de Cap, disponibles ici et le rapport de la Défenseure des Droits.
↑10	Les montants d’« indus » récupérés par la CAF dans le cadre des contrôles déclenchés par l’algorithme représentent 0,2% du montant total des prestations versées par la CAF. Voir ce document de la CAF.
↑11	Voir notamment notre article « Stratégies d’infiltration de la surveillance biométrique dans nos vies », disponible ici.
↑12	Voir la délibération n° 2023-120 du 16 novembre 2023 disponible ici.
↑13	Voir nos différents articles sur le sujet ici et l’article de Daniel Buchet, ancien directeur de la maîtrise des risques et de la lutte contre la fraude de la CNAF. 2006. « Du contrôle des risques à la maîtrise des risques », disponible ici.
↑14	Si nous n’avons pas encore la preuve certaine que la CNAV utilise un algorithme de profilage pour le contrôle des personnes à la retraite, la CNIL évoque concernant cette administration dans sa délibération « un traitement de profilage » et « un dispositif correspondant [à l’algorithme de la CNAF] » laissant sous-entendre que c’est le cas.
↑15	Voir aussi l’article de Clément Pouré dans StreetPress, disponible ici, qui pointe par ailleurs les relations du député avec l’extrême-droite.
↑16	Pour reprendre les termes de cet article du Figaro.
↑17	Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2010 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
↑18	Sénat, commission des affaires sociales, audition de M. Gabriel Attal, alors ministre délégué chargé des comptes publics. Disponible ici.
↑19	Voir notamment l’article de Jérôme Hourdeaux « Caisse d’allocations familiales : le projet du gouvernement pour ficher les allocataires » disponible (paywall) ici.
↑20	Décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux disponible ici. La délibération de la CNIL associée est disponible ici.

]]> https://www.laquadrature.net/?p=23044http://isyteck.com/autoblog/quadrature/index.php5?20240209_181728_QSPTAG__304_____9_fevrier_2024Fri, 09 Feb 2024 17:17:28 +0000Un nouveau fichier de police pour les immigrées et les transgenres

Un arrêté du ministre de l’Intérieur, dans les derniers jours de décembre 2023, crée un nouveau fichier pour « la consultation de l’identité des personnes ayant changé de nom ou de prénom »., à laquelle les services de police et de gendarmerie auront un accès direct. Vous êtes concernée si vous avez changé de nom à l’état civil, quelle qu’en soit la raison. Concrètement, qui va se retrouver dans ce fichier ? Des personnes dont le nom de famille était lourd à porter (les Connard qui aspirent à une vie plus apaisée), des immigrées qui ont francisé leur nom, et des personnes trans qui ont adopté un prénom en accord avec leur identité de genre. Pourquoi la police a-t-elle besoin de les rassembler dans un fichier ?

On se met à la place des administrations : il est évidement important pour elles de connaître le changement d’état civil d’un personne. Mais des procédures efficace existent déjà et de façon entièrement décentralisée : la modification est signalée au cas par cas aux administrations concernées (impôts, caisses de sécurité sociale, employeur, permis de conduire, etc.), par l’INSEE ou par la personne concernée, et le système fonctionne très bien sans fichier centralisé de police.

Les questions soulevées par la création de ce fichier sont nombreuses. D’abord, il réunit des données sensibles, au sens juridique, mais les précautions légales nécessaires pour ce genre de traitement n’ont pas été prises. La CNIL, créée en 1978 pour mettre un frein à la frénésie de fichage de l’État, semble avoir renoncé à s’en soucier. Non seulement les fichiers prolifèrent de manière spectaculaire depuis une vingtaine d’années, mais les possibilités de les croiser au moment de la consultation se sont démultipliées, à la demande d’une police dont la vision de la société n’est contre-balancée par aucun contre-pouvoir, et même vigoureusement encouragée par les gouvernements.

Or, le comportement du corps policier, pris dans sa globalité statistique, démontre une hostilité marquée à l’égard des personnes d’origine étrangère (même lointainement) et à l’égard des personnes transgenres, fréquemment objets de moqueries, d’humiliations ou de brutalités physiques. Donner aux policiers, ces humains plein de défauts, un moyen de connaître l’origine étrangère ou la transidentité de quelqu’un, c’est exposer les personnes à des risques réels, pour un bénéfice d’enquête très marginal a priori. D’autant plus quand l’actualité montre un nombre croissant d’accès illégaux à des fichiers de police sensibles.

Pour connaître le contexte de la création de ce fichier et notre analyse juridique et politique des risques qu’il comporte, lisez notre article de la semaine dernière !

Lire l’article : https://www.laquadrature.net/2024/01/30/la-france-cree-un-fichier-des-personnes-trans/

Soutenez La Quadrature en 2024

Comme bon nombre d’associations, nous sommes en campagne de soutien pour financer notre travail en 2024. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la défense du droit au chiffrement des communications, la promotion de l’interopérabilité des services Web, et la réflexion nécessaire autour du numérique dans le contexte de la crise écologique mondiale.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

Agenda

• 13 février 2024 : Conférence « Enquêter, s’organiser et lutter contre la surveillance numérique », dans le cadre du Festival international Filmer le travail. 17h30, Université de Poitiers (Amphi Bourdieu). Plus d’infos ici : Enquêter, s’organiser et lutter contre la surveillance numérique.
• 14 mars 2024 : réunion mensuelle du groupe Technopolice Marseille, à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille. Présentations, discussions, préparations d’actions à venir. Venez nombreuses !

La Quadrature dans les médias

Algorithmes administratifs

• Contrôles de CAF, des associations demandent au gouvernement la fin des algorithmes de scoring [Le Monde]
• Des associations montent au créneau sur le contrôle algorithmique des allocataires [Acteurs publics]
• Les associations de défense des libertés numériques en guerre contre les algorithmes de la CAF [Siècle Digital]
• Algorithme discriminatoire des CAF : un collectif interpelle Matignon [ASH]
• Une trentaine d’associations demandent la fin des « algorithmes de notation » de la CAF [Clubic]
• Des associations montent au créneau sur le contrôle algorithmique des allocataires [Acteurs publics]
• Mémo Sécu n°18 : Algorithme CNAF : Quand la branche famille cible les plus précaires ? [CGT Finances publiques]
• Les pratiques informatiques de la CAF contestées par des associations [La revue du digital]
• Fraude sociale : voici comment procède la CAF pour contrôler ses allocataires [Econostrum]

Divers

• « Jachère », robots à tout bout de champ, roman posthume de Philippe Aigrain [Libération]
• Félix Tréguer : “La surveillance croit largement avec les techniques d’IA” [Techniques de l’ingénieur]
• JO et surveillance : Des incubateurs de nos non-libertés [CGT Paris]
]]> https://www.laquadrature.net/?p=23022http://isyteck.com/autoblog/quadrature/index.php5?20240130_151000_La_France_cree_un_fichier_des_personnes_transTue, 30 Jan 2024 14:10:00 +0000Révélé et dénoncé par plusieurs associations de défense des droits des personnes transgenres, un récent arrêté ministériel autorise la création d’un fichier de recensement des changements d’état civil. Accessible par la police et présenté comme une simplification administrative, ce texte aboutit en réalité à la constitution d’un fichier plus que douteux, centralisant des données très sensibles, et propice à de nombreuses dérives. Le choix de créer un tel fichier pose d’immenses problèmes aussi bien politiquement que juridiquement.

Brève histoire du RNIPP

Comme beaucoup d’actes réglementaires pris en fin d’année, l’arrêté du 19 décembre 2023 « portant création d’un traitement automatisé de données à caractère personnel dénommé « table de correspondance des noms et prénoms » » aurait pu passer inaperçu. Il est pourtant d’une sensibilité extrême.

Avant d’en détailler le contenu, revenons rapidement sur le contexte et l’origine de ce texte. Celui-ci découle d’un autre acte réglementaire : un décret-cadre de 2019 relatif à l’utilisation du Numéro d’identification au répertoire national des personnes physiques (NIR). Le NIR, c’est ce fameux numéro « de sécurité sociale » attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE. Bien que, dans les années 1970, le projet d’utiliser le NIR pour interconnecter des fichiers d’États ait inquiété et conduit à la création de la CNIL, il est aujourd’hui largement utilisé par les administrations fiscales, dans le domaine des prestations sociales, dans l’éducation ou encore la justice, ainsi que pour le recensement. Le NIR peut également être consulté au travers du répertoire national d’identification des personnes physiques (RNIPP).

Si, en théorie, ce numéro devrait être très encadré et contrôlé par la CNIL, son utilisation est aujourd’hui très étendue, comme le démontre ce fameux décret-cadre de 2019 qui recense la longue liste des traitements utilisant le NIR ou permettant la consultation du RNIPP. Régulièrement mis à jour pour ajouter chaque nouveau traitement lié au NIR ou RNIPP, le décret a ainsi été modifié en octobre 2023 pour autoriser une nouvelle possibilité de consultation du RNIPP lié au changement d’état civil. C’est donc cela que vient ensuite préciser l’arrêté de décembre, objet de nos critiques.

Lorsqu’on lit le décret et l’arrêté ensemble, on comprend qu’il accorde aux services de police un accès au RNIPP « pour la consultation des seules informations relatives à l’identité des personnes ayant changé de nom ou de prénom » en application du code civil, à l’exclusion du NIR, et ce « aux fins de transmission ou de mise à disposition de ces informations aux services compétents du ministère de l’intérieur et des établissements qui lui sont rattachés et de mise à jour de cette identité dans les traitements de données à caractère personnel mis en œuvre par eux ». Il s’agirait du premier accès au RNIPP accordé au ministère de l’intérieur.

Un fichier de données sensibles…

Dans ce nouveau fichier, seront ainsi enregistrées pendant six ans les données liées au changement d’état civil ayant lieu après le 19 décembre 2023 : les noms de famille antérieurs et postérieurs au changement de nom, les prénoms antérieurs et postérieurs au changement de prénom, la date et le lieu de naissance, la date du changement de nom ou de prénom, le sexe et le cas échéant, la filiation.

Ces changements ne concernent pas l’utilisation d’un nom d’usage, tel que le nom de la personne avec qui l’on est marié·e, qui est le changement le plus courant. En pratique, de telles modifications d’état civil concerneraient deux principales situations : le changement de prénom lors d’une transition de genre ou le changement de nom et/ou prénom que des personnes décident de « franciser », notamment après une obtention de papiers. Si le fichier apparaît comme un instrument de simplification administrative au premier regard, il constitue également – comme l’ont dénoncé les associations de défense des droits LGBTQI+ – un fichier recensant de fait les personnes trans et une partie des personnes immigrées.

D’un point de vue juridique, notre analyse nous conduit à estimer que ce fichier contient des données dites « sensibles », car elles révéleraient « la prétendue origine raciale ou l’origine ethnique » ainsi que « des données concernant la santé ». La Cour de justice de l’Union européenne a récemment établi¹Voir l’arrêt de la CJUE, gr. ch., 1er août 2022, OT c. Vyriausioji tarnybin˙es etikos komisija, aff. C-184/20 que la définition des données sensibles devait être interprétée de façon large et considère que si des données personnelles sont susceptibles de dévoiler, même de manière indirecte, des informations sensibles concernant une personne, elles doivent être considérées comme des données sensibles. Dans cette même décision, la Cour ajoute ainsi que si les données traitées ne sont pas sensibles lorsqu’elles sont prises indépendamment mais que, par recoupement avec d’autres données (fait par le traitement ou par un tiers) elles peuvent malgré tout révéler des informations sensibles sur les personnes concernées, alors elles doivent être considérées comme étant sensibles.

C’est exactement le cas ici : les noms et prénoms ne sont pas des données sensibles, mais si une personne tierce a en parallèle l’information que ceux-ci ont été modifiés, elle peut, par recoupement, en déduire des informations sur la transidentité d’une personne (qui changerait de Julia à Félix) ou son origine (qui passerait de Fayad à Fayard pour reprendre l’exemple donné par l’État). Cette table de correspondance crée donc en réalité un traitement de données sensibles. Or celles-ci sont particulièrement protégées par la loi. L’article 6 de la loi informatique et libertés de 1978 et l’article 9 du RGPD posent une interdiction de principe de traiter ces données et prévoient un nombre limité d’exceptions l’autorisant. Pourtant, dans sa délibération sur le décret, d’ailleurs particulièrement sommaire, la CNIL ne s’est pas penchée sur cette conséquence indirecte mais prévisible de création de données sensibles. Celles-ci seraient donc traitées en dehors des règles de protection des données personnelles.

…à destination de la police

Ensuite, la raison d’être de ce fichier particulièrement sensible interroge. La finalité avancée dans l’arrêté est « la consultation de l’identité des personnes ayant changé de nom ou de prénom en application des articles 60, 61 et 61-3-1 du code civil » et « la mise à jour de cette identité dans les traitements de données à caractère personnel que [le ministre de l’intérieur] ou les établissements publics qui lui sont rattachés mettent en œuvre ». En première lecture, on pourrait imaginer qu’il s’agit de simple facilité de mise à jour administrative. Pourtant, celle-ci diffère des procédures existantes. En effet, aujourd’hui, lorsqu’une personne change de prénom et/ou de nom, la mairie ayant enregistré le changement d’état civil informe l’INSEE qui met à jour le RNIPP et prévient les organismes sociaux et fiscaux (Pôle Emploi, les impôts, la CPAM…). En parallèle, la personne concernée doit faire un certain nombre de procédures de modifications de son coté (carte d’identité, de sécurité sociale, permis de conduire…)²L’Amicale Radicale des Cafés Trans de Strasbourg a publié dans un billet de blog un récapitulatif de l’ensemble des démarches à effectuer pour changer d’état civil en France..

Aucune administration n’a donc, à aucun moment, accès à un fichier recensant les changements d’état civil puisque ces modifications sont faites de façon distribuée, soit à l’initiative de l’INSEE soit à celle de la personne concernée. Pourquoi ne pas en rester là ? La raison tient sans doute au fait qu’en réalité, ce fichier est un des instruments de surveillance de la police. La lecture des nombreux destinataires du traitement est éloquente. Il s’agit des agents habilités de la police nationale et de la gendarmerie nationale, des agents habilités des services centraux du ministère de l’Intérieur et des préfectures et sous-préfectures, des agents effectuant des enquêtes administratives (pour des emplois publics ou demandes de séjour) ou des enquêtes d’autorisation de voyage, ou encore de l’agence nationale des données de voyage, du commandement spécialisé pour la sécurité nucléaire et du conseil national des activités privées de sécurité (sécurité privée qui a de plus en plus de pouvoir depuis la loi Sécurité globale…).

On le comprend alors : cette « table de correspondance » a pour unique but d’être consultée en parallèle d’autres fichiers de police, dont le nombre a explosé depuis 20 ans (il y en aurait aujourd’hui plus d’une centaine³Le dernier décompte a été fait en 2018 dans un rapport parlementaire sur le sujet ) et dont les périmètres ne cessent de s’élargir. Ainsi, par exemple, lorsqu’un agent de police contrôle l’identité d’une personne, il ne consultera plus seulement le fichier de traitement des antécédents judiciaires (ou TAJ), mais également ce fichier des personnes ayant changé de nom : le premier lui permettra alors de connaître les antécédents de la personne, et le second de savoir si elle est trans ou étrangère.

Si les deux situations soulèvent des inquiétudes sérieuses, attardons-nous sur le cas des personnes trans. Elles seront outées de fait auprès de la police qui aurait alors connaissance de leur deadname⁴Le lexique du site Wiki Trans définit l’outing comme la révélation « qu’une personne est trans (ou LGBTQIA+). L’outing ne doit JAMAIS se faire sans le consentement de la personne concernée. Et cela peut être considéré, dans le code pénal, comme une atteinte à la vie privée ». Le deadname est le « prénom assigné à la naissance » et peut être source de souffrance pour une personne trans.. Or de nombreux témoignages, tels que ceux recensés chaque année par SOS Homophobie dans ses rapports sur les LGBTI-phobies, démontrent qu’il existe une réelle transphobie au sein de la police. Compte tenu de ces discriminations et des violences qui peuvent y êtres associées, fournir de telles informations à la police aura non seulement pour effet de les renforcer mais peut également mettre en danger les personnes trans confrontées à la police. Ces craintes ont été partagées sur les réseaux sociaux et laissent entendre que certain·es pourraient renoncer à entamer de telles démarches de changement d’état civil face à la peur d’être présent·es dans un tel fichier. De façon générale, les personnes trans sont historiquement et statistiquement davantage victimes de violences policières.

Par ailleurs, les informations de cette « table de correspondance » pourront venir nourrir le renseignement administratif, notamment le fichier PASP qui permet de collecter un grand nombre d’informations, aussi bien les opinions politiques que l’activité des réseaux sociaux ou l’état de santé des dizaines de milliers de personne qui y sont fichées. Alors que ces capacités de surveillance prolifèrent, sans aucun réel contrôle de la CNIL (nous avons déposé une plainte collective contre le TAJ il y a plus d’un an, toujours en cours d’instruction par l’autorité à ce jour), l’arrêté de décembre dernier offre à la police toujours plus de possibilités d’en connaître davantage sur la population et de nourrir son appétit de généralisation du fichage.

Un choix dangereux en question

Au-delà de cette motivation politique, qui s’inscrit dans une extension sans limite du fichage depuis deux décennies, il faut également critiquer les implications techniques liées à la création d’un tel fichier. En centralisant des informations, au demeurant très sensibles, l’État crée un double risque. D’une part, que ces informations dès lors trop facilement accessibles soient dévoyées et fassent l’objet de détournement et autres consultations illégales de la part de policiers, comme pour bon nombre de fichiers de police au regard du recensement récemment effectué par Mediapart.

D’autre part, du fait de la centralisation induite par la création d’un fichier, les sources de vulnérabilité et de failles de sécurité sont démultipliées par rapport à un accès décentralisé à ces informations. Avec de nombreux autres acteurs, nous formulions exactement les mêmes critiques en 2016 à l’encontre d’une architecture centralisée de données sensibles au moment de l’extension du fichier TES à l’ensemble des personnes détentrices d’une carte d’identité, cela aboutissant alors à créer un fichier qui centralise les données biométriques de la quasi-totalité de la population française.

En somme, ce décret alimente des fichiers de police déjà disproportionnés, en y ajoutant des données sensibles en dérogation du cadre légal, sans contrôle approprié de la CNIL et touche principalement les personnes trans et étrangères, facilitant par là le travail de surveillance et de répression de ces catégories de personnes déjà stigmatisées par la police.

Cette initiative n’est pas unique à la France et s’inscrit dans un mouvement global inquiétant. En Allemagne, malgré l’objectif progressiste d’une loi de 2023 sur le changement de genre déclaratif, des associations telles que le TGEU ont dénoncé le fait que les modifications d’état civil soient automatiquement transférées aux services de renseignement. Aux États-Unis, différents États ont adopté des lois discriminatoires vis-à-vis des personnes trans, forçant certaines personnes à détransitionner ou bien à quitter leur État pour éviter de perdre leurs droits. Au Texas, le procureur général républicain a essayé d’établir une liste des personnes trans à partir des données relatives aux modifications de sexe dans les permis de conduire au cours des deux dernières années.

En outre, ce décret crée pour la première fois un accès pour le ministère de l’Intérieur au RNIPP, répertoire pourtant réservé aux administrations sociales et fiscales. Or, l’expérience nous montre que toute nouvelle possibilité de surveillance créé un « effet cliquet » qui ne conduit jamais à revenir en arrière mais au contraire à étendre toujours plus les pouvoirs accordés.

Nous nous associons donc aux différentes organisations ayant critiqué la création de ce fichier stigmatisant et qui participe à l’édification d’un État policier ciblant des catégories de populations déjà en proie aux discriminations structurelles. Nous espérons qu’outre ses dangers politiques, son illégalité sera dénoncée et conduira rapidement à son abrogation.

References[+]

References

↑1	Voir l’arrêt de la CJUE, gr. ch., 1er août 2022, OT c. Vyriausioji tarnybin˙es etikos komisija, aff. C-184/20
↑2	L’Amicale Radicale des Cafés Trans de Strasbourg a publié dans un billet de blog un récapitulatif de l’ensemble des démarches à effectuer pour changer d’état civil en France.
↑3	Le dernier décompte a été fait en 2018 dans un rapport parlementaire sur le sujet
↑4	Le lexique du site Wiki Trans définit l’outing comme la révélation « qu’une personne est trans (ou LGBTQIA+). L’outing ne doit JAMAIS se faire sans le consentement de la personne concernée. Et cela peut être considéré, dans le code pénal, comme une atteinte à la vie privée ». Le deadname est le « prénom assigné à la naissance » et peut être source de souffrance pour une personne trans.

]]> https://www.laquadrature.net/?p=23013http://isyteck.com/autoblog/quadrature/index.php5?20240126_162926_QSPTAG__303_____26_janvier_2024Fri, 26 Jan 2024 15:29:26 +0000Comment les polices françaises utilisent les outils de « police prédictive »

Dans le cadre d’une enquête européenne coordonnée par l’ONG Fair Trials, La Quadrature du Net s’est chargée d’enquêter sur les polices françaises et publie un rapport complet sur leurs pratiques numériques de « police prédictive ». Cinq logiciels sont étudiés, utilisés par la police nationale (PredVol, RTM), la gendarmerie (PAVED) ou des polices municipales (Smart Police, M-Pulse).

La « police prédictive » est un rêve de policier : faire entrer dans un logiciel toutes les données possibles, des procès-verbaux de police, des mains courantes et des plaintes, des données fournies par les pompiers, les hôpitaux, le trafic routier, et même la météo, pour prévoir grâce à la puissance de l’intelligence artificielle (cette déesse) et des algorithmes (ses elfes), les lieux et les moments où les délinquants vont sévir. Agrégeant des montagnes de données et les passant à la moulinette de logiciels conçus dans d’autres buts plus sérieux (la prévision des tremblements de terre, par exemple), ces outils n’ont jamais démontré une efficacité supérieure à celle d’un agent expérimenté. Ils risquent en plus d’amplifier les discriminations structurelles auxquelles participe déjà l’institution policière. Cela n’a pas empêché, aux États-Unis, en Grande-Bretagne ou en France, que des sommes considérables leur soient consacrées, dans l’espoir d’affecter les effectifs de police au bon endroit au bon moment, grâce aux prophéties des logiciels.

C’est une lecture en deux temps que nous vous proposons.

D’une part le rapport en lui-même, qui présente avec beaucoup de précision les logiciels, leurs finalités, leur fonctionnement, les données qu’ils exploitent, et les conséquences pratiques qu’ils entraînent pour le travail des agents. Un document de référence sur le sujet, qui croise des informations techniques et opérationnelles, apporte des éléments historiques et met en lien ces « innovations » avec d’autres tendances qui traversent les politiques de sécurité.

D’autre part, un article introductif qui propose une synthèse thématique des présupposés qui entourent ces outils policiers (préjugés sociaux, corrélations approximatives, choix techniques arbitraires) et de leurs conséquences (automatisation et renforcement des logiques de stigmatisation sociale, géographique, etc.). Malgré leur nullité et leur nocivité démontrées, ces outils continuent d’être en usage en France. Notre article se termine donc sur un appel à témoignages : aidez-nous à faire interdire les outils de la répression policière automatisée !

Lire l’article : https://www.laquadrature.net/2024/01/18/la-police-predictive-en-france-contre-lopacite-et-les-discriminations-la-necessite-dune-interdiction/
Lire le rapport : https://www.laquadrature.net/wp-content/uploads/sites/8/2024/01/20240118_LQDN_policepredictive.pdf

Jeux olympiques : la surveillance algorithmique à l’échauffement

Légalisée par la loi Jeux Olympiques en mai 2023, l’utilisation « expérimentale » de la vidéosurveillance algorithmique (VSA) est entrée dans sa phase d’application. Les entreprises candidates pour les essais préalables ont reçu leur part du marché : chacune sait désormais dans quelle zone (il y en a 4), et dans quel secteur d’activité elles pourront déployer leurs logiciels de surveillance automatisée (enceintes sportives, espaces publics, transports, etc.).

N’ayant pas le temps ni les compétences de développer lui même ces solutions, le ministère de l’Intérieur a choisi la facilité, c’est-à-dire d’acheter sur le marché des outils déjà existants. Et sans surprise, on retrouve dans la liste des entreprises retenues tous les « suspects habituels » dont nous suivons le travail depuis plusieurs années dans notre campagne Technopolice.

Rien d’étonnant bien sûr dans le fait de confier un travail à ceux qui le font déjà depuis plusieurs années, même si c’était jusqu’alors de manière illégale. Mais c’est surtout l’entérinement d’une logique purement opérationnelle où les fantasmes policiers et la stratégie industrielle marchent main dans la main. Cet état de fait entraîne à nos yeux les plus grands dangers : la discussion politique et la prudence démocratique sont évacuées et annulées par la logique unie de l’industrie et de la police, l’une répondant aux vœux de l’autre, l’autre validant seule les propositions techniques de l’une. Le « comité de pilotage » du dispositif au sein de ministère de l’Intérieur est d’ailleurs dirigé par une haute fonctionnaire spécialiste des « industries et innovations de sécurité », et chargée de faciliter les partenariats entre la puissance publique et les entreprises privées nationales. Les citoyens et leurs droits ne sont pas invités à la table.

Les dispositifs de VSA vont donc se déployer dans les semaines qui viennent, et la période d’expérimentation durera bien au-delà des JO de Paris, jusqu’en mars 2025, lors d’évènements d’ordre « récréatif, sportif et culturel » (le délassement oui, mais sous surveillance). Un « comité d’évaluation » constitué de deux « collèges » aura son mot à dire sur les résultats de ces expériences. On n’attend rien de surprenant venant du collège des utilisateurs eux-mêmes (police et autres), et notre attention se portera sur le second collège qui doit réunir des chercheurs, des juristes et des parlementaires — nous verrons. Pour l’heure, tout est en place pour valider à l’avance le succès et la pérennisation de ces mesures exceptionnelles — « Plus vite, plus haut, plus fort ».

Vous trouverez dans l’article le détail des cas d’usage, les noms des entreprises retenues, et le détail du dispositif d’évaluation, avec ses comités et ses collèges. Bonne lecture à vous !

Lire l’article : https://www.laquadrature.net/2024/01/26/vsa-et-jeux-olympiques-coup-denvoi-pour-les-entreprises-de-surveillance/

L’Union européenne se couche devant les outils numériques de surveillance de masse

L’Union européenne travaille sur un règlement autour de l’intelligence artificielle (IA), dont le texte a été rendu public en décembre 2023. Sous la pression de plusieurs États, la France en tête, le texte se contente d’encadrer l’utilisation des techniques de surveillance biométrique de masse (SBM), qui recoupent en partie les applications de la vidéosurveillance algorithmique (VSA), au lieu de les interdire. Le continent qui se targue d’avoir enfanté les droits de l’Homme et la liberté démocratique ne trouve donc aucune raison de s’opposer à la surveillance systématique et massive des citoyens.

La reconnaissance des émotions ou des couleurs de peaux ont par exemple passé les filtres démocratiques et se retrouve autorisée par le règlement IA. De même pour la reconnaissance faciale a posteriori, d’abord réservée à des crimes graves et désormais acceptée dans bien d’autres cas, sans limites claires.

La coalition européenne Reclaim Your Face, dont fait partie La Quadrature du Net, a publié le 18 janvier un communiqué de presse en anglais et en allemand pour avertir des dangers réels et imminents qui pèsent sur l’ensemble des Européens, quelques semaines avant des élections européennes dont on dit qu’elles verront probablement les partis d’extrême-droite sortir vainqueurs. Nous publions sur notre site la version française de ce communiqué.

Lire l’article : https://www.laquadrature.net/2024/01/19/le-reglement-europeen-sur-lia-ninterdira-pas-la-surveillance-biometrique-de-masse/

Soutenez La Quadrature en 2024 !

Comme bon nombre d’associations, nous sommes en campagne de soutien pour financer notre travail en 2024. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la défense du droit au chiffrement des communications, la promotion de l’interopérabilité des services Web, et la réflexion nécessaire autour du numérique dans le contexte de la crise écologique mondiale.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

Agenda

• 27 janvier 2024 : La Quadrature sera aux 3ème Assises de l’attention, pour parler de démocratie à l’heure du numérique – de 9h à 18h30, Académie du Climat, 2 place Baudoyer, 75004 Paris. Détails ici : https://www.collectifattention.com/assises-de-lattention/assises-2024/.
• 8 février 2024 : Causerie mensuelle du groupe Technopolice Marseille – à 19h00 au Manifesten, 59 Rue Adolphe Thiers Marseille. Venez nombreuses !

La Quadrature dans les médias

À écouter

• StakkaStakka 17 Gennaio – La quadratura della rete (entretien avec Noémie Levain, en italien) [ActuIA]
• Contre-histoire d’internet du XVe siècle à nos jours(entretien avec Félix Tréguer) [Lundi matin]

Algorithmes administratifs

• Les algorithmes de notation pour les droits sociaux, un sujet particulièrement sensible [ActuIA]

GAFAM et données personnelles

• RGPD : Amazon monte au créneau face à l’UE et fait appel face à l’amende « record » de 746 millions d’euros [Clubic]
• Amazon Appeals Privacy Fine of 746 Million Euros [bankinfosecurity.com]

Divers

• JO de Paris : l’installation de vidéosurveillance « intelligente » génère des inquiétudes [Nouvel Obs]
• La Quadrature réitère son appel à l’interdiction des logiciels de police prédictive [Next]
]]> https://www.laquadrature.net/?p=23003http://isyteck.com/autoblog/quadrature/index.php5?20240126_133200_VSA_et_Jeux_Olympiques____Coup_d___envoi_pour_les_entreprises_de_surveillanceFri, 26 Jan 2024 12:32:00 +0000Après des mois d’attente, les entreprises chargées de mettre en place la vidéosurveillance algorithmique dans le cadre de la loi Jeux Olympiques ont été désignées. Sans grande surprise, il s’agit de sociétés s’étant insérées depuis plusieurs années dans le marché de cette technologie ou entretenant de bonnes relations avec l’État. Les « expérimentations » vont donc commencer très prochainement. Nous les attendons au tournant.

Un marché juteux

Rappelez-vous : le 17 mai 2023, le Conseil constitutionnel validait le cadre législatif permettant à la police d’utiliser la vidéosurveillance algorithmique (VSA) en temps réel, après plusieurs mois de bataille législative en plein mouvement des retraites. Depuis, que s’est-il passé ? Un appel d’offres a tout d’abord été publié dès l’été pour lancer la compétition entre les nombreuses entreprises qui ont fleuri ces dernières années dans le secteur. Ce marché public, accompagné de clauses techniques, décrit les exigences auxquelles devront se soumettre les entreprises proposant leurs services et, en premier lieu, les fameuses situations et comportements « suspects » que devront repérer les logiciels afin de déclencher une alerte. En effet, la loi avait été votée à l’aveugle sans qu’ils soient définis, ils ont ensuite été formalisés par un décret du 28 août 2023.

Comme nous le l’expliquons depuis longtemps¹Pour une analyse plus approfondie de nos critiques sur la VSA, vous pouvez lire notre rapport de synthèse envoyé aux parlementaires l’année dernière ou regarder cette vidéo de vulgarisation des dangers de la VSA., ces comportements n’ont pour beaucoup rien de suspect mais sont des situations pour le moins banales : détection de personne au sol après une chute (attention à la marche), non-respect du sens de circulation commun par un véhicule ou une personne (attention à son sens de l’orientation), densité « trop importante » de personnes, mouvement de foule (argument répété sans cesse pendant les débats par Darmanin) mais aussi détection d’armes, de franchissement de zone, d’objets abandonnés ou de départs de feu. Le tout pour 8 millions d’euros d’acquisition aux frais du contribuable.

Sans surprise, ces huit cas d’usage pour les algorithmes commandés par l’État dans le cadre de cette expérimentation correspondent à l’état du marché que nous documentons depuis plusieurs années au travers de la campagne Technopolice. Ils correspondent aussi aux cas d’usage en apparence les moins problématiques sur le plan des libertés publiques (l’État se garde bien de vouloir identifier des personnes via la couleur de leurs vêtements ou la reconnaissance faciale, comme la police nationale le fait illégalement depuis des années). Et ils confirment au passage que cette « expérimentation » est surtout un terrain de jeu offert aux entreprises pour leur permettre de développer et tester leurs produits, en tâchant de convaincre leurs clients de leur intérêt.

Car depuis des années, la VSA prospérait à travers le pays en toute illégalité – ce que nous nous efforçons de dénoncer devant les tribunaux. Ces sociétés ont donc œuvré à faire évoluer la loi, par des stratégies de communication et d’influence auprès des institutions. Le déploiement de cette technologie ne répond à aucun besoin réellement documenté pour les JO²Si les Jeux Olympiques constituent sans aucun doute un moment « exceptionnel » au regard du nombre inédit de personnes qui seront au même moment dans la région parisienne, la surveillance n’est pas la réponse à apporter. Nous démontions l’année dernière l’idée selon laquelle les technologies sécuritaires auraient pu modifier le cours du « fiasco » de la finale de la Ligue des champions au Stade de France. Comme nous l’exposons, celle-ci n’était causée par rien d’autre qu’une mauvaise gestion stratégique du maintien de l’ordre. Pour pallier à ces défaillances humaines, auraient été utiles non pas la VSA ou la reconnaissance faciale mais un véritable savoir-faire humain de gestion de la foule, des compétences logistiques, des interlocuteurs parlant plusieurs langues….mais résulte uniquement d’une convergence d’intérêts (économiques pour le secteur, politiques pour les décideurs publics et autoritaires pour la police qui accroît toujours plus son pouvoir de contrôle), le tout enrobé d’un double opportunisme : l’exploitation du discours de promotion de l’innovation et l’instrumentalisation, comme dans bien d’autres pays hôtes avant la France, du caractère exceptionnel des Jeux olympiques pour imposer ces technologies.

Après plusieurs mois de tests et de mises en situation, retardées par le fait qu’une entreprise a contesté en justice les conditions du marché, celui-ci a donc été attribué au début du mois de janvier. Le marché est divisé en quatre lots géographiques. La start-up Wintics installera ses logiciels en Île-de-France quand Videtics se chargera de l’Outre-Mer et d’un ensemble de régions du Sud (Provence Alpes Cote d’Azur, Rhône-Alpes et Corse). Pour les autres régions de France, c’est Chapsvision qui a été désignée. Cette entreprise omniprésente dans les services de l’État et qui se veut le nouveau Palantir français, vient de racheter la start-up de VSA belge ACIC. Enfin, Wintics s’est également vu attribuer la surveillance des transports (comprenant gares et stations). Quant à Orange Business Service – en partenariat avec Ipsotek, filiale d’Atos (nouvellement Eviden), elle est également attributaire au 3e rang du lot des transports, c’est à dire mobilisable en cas de défaillance de Wintics. Du beau monde !

Une évaluation incertaine

Ces entreprises pourront ainsi mettre à disposition leurs algorithmes, bien au-delà des seuls Jeux olympiques puisque cette expérimentation concerne tout « évènement récréatif, sportif et culturel », et ce jusqu’au 31 mars 2025 soit bien après la fin des JO. Elle sera par la suite soumise à une « évaluation » présentée comme particulièrement innovante mais dont les modalités avaient en réalité été envisagées dès 2019 par Cédric O, alors secrétaire d’État au numérique, comme une manière de légitimer la reconnaissance faciale. Ces modalités ont été précisée par un second décret en date du 11 octobre 2023. Ainsi, un « comité d’évaluation » verra prochainement le jour et sera présidé par Christian Vigouroux, haut fonctionnaire passé par la section Intérieur du Conseil d’État. Le comité sera divisé en deux collèges distincts. Le premier réunira les « utilisateurs » de la VSA, c’est à dire la police, la gendarmerie, la SNCF, etc. Le second rassemblera des « personnalités qualifiées » telles que des experts techniques, des spécialistes du droit des données personnelles et des libertés publiques ou encore des parlementaires. Ils devront déterminer et mettre en œuvre un protocole d’évaluation qui ne sera rendu public qu’à la fin de l’expérimentation en mars 2025.

Mais il ne faut pas se leurrer. Au regard de l’agenda politique de ces entreprises et des autorités qui veulent, à long terme, légaliser ces outils et de façon générale toute forme de surveillance biométrique³Plusieurs rapports parlementaires préconisent déjà d’aller plus loin en généralisant le recours à la reconnaissance faciale en temps réel ou la VSA en temps différé, massivement utilisée de façon illégale dans les enquêtes judiciaires. Voir ainsi le rapport de 2022 des sénateurs Marc-Philippe Daubresse (LR), Arnaud de Belenet et Jérôme Durain (PS) sur « la reconnaissance biométrique dans l’espace public » et le rapport de 2023 des députés Philippe Latombe (Modem) et Philippe Gosselin (LR) « sur les enjeux de l’utilisation d’images de sécurité dans le domaine public dans une finalité de lutte contre l’insécurité ». Le gouvernement français s’est également ménagé d’importantes marges de manœuvre pour ce faire à travers son lobbying féroce autour du règlement IA, afin de tenir en échec toute limitation un tant soit peu significative de la surveillance biométrique des espaces publics., cette « expérimentation » pendant les Jeux olympiques doit être vue comme une simple étape vers la légitimation et la pérennisation de ces technologies. En évoquant un dispositif au caractère temporaire et réversible, ce concept d’« expérimentation », permet de rendre une technologie aussi controversée que la VSA plus facilement acceptable pour le public.

Le caractère expérimental permet également de sortir du cadre classique juridique d’examen de proportionnalité. Ainsi l’évaluation ne portera pas sur les critères habituels de nécessité vis à vis d’un objectif d’intérêt public ou de proportionnalité vis à vis des atteintes aux droits. Non, l’évaluation sera plutôt guidée par une approche pragmatique et opérationnelle. On peut imaginer que seront pris en compte le nombre de cas détectés ou le nombre d’interpellations, sans mesurer leur réelle utilité sur la sécurité en tant que politique publique globale, et ce, dans la lignée de la politique du chiffre conduite depuis des années par le Ministère de l’intérieur.

Surtout, on peine à voir comment l’État abandonnerait soudainement une technologie dans laquelle il a tant investi et à laquelle il a déjà cédé énormément de place dans les pratiques policières. Les exemples passés nous montrent que les projets sécuritaires censés être temporaires sont systématiquement prolongés, telles que les boites noires de la loi Renseignement ou les dispositions dérogatoires de l’état d’urgence.

L’issue du comité d’évaluation risque donc d’être surdéterminée par les enjeux politiques et économiques : si l’efficacité policière de ces technologies est jugée satisfaisante, on appellera à les pérenniser ; dans le cas contraire, on évoquera la nécessité de poursuivre les processus de développement afin que ces technologies parviennent à un stade de maturation plus avancé, ce qui justifiera de proroger le cadre expérimental jusqu’à ce que, in fine, elles aient fait leurs preuves et qu’on puisse alors établir un cadre juridique pérenne. À la fin, c’est toujours la police ou les industriels qui gagnent. Or, nous le répétons depuis des années : le choix qui devrait s’imposer à toute société qui se prétend démocratique est celui de l’interdiction pure et simple de ces technologies. Mais il est clair qu’en l’absence de pression citoyenne en ce sens, ni le gouvernement, ni la CNIL, ni la plupart des autres acteurs invités à se prononcer sur les suites à donner à l’expérimentation de la VSA ne voudront envisager de refermer la boîte de Pandore.

Le public au service du privé

Le décret du 11 octobre 2023 prévoit également la création d’un « comité de pilotage » au sein du ministère de l’Intérieur, chargé de la mise en œuvre de cette surveillance « expérimentale ». Celui-ci sera confié à Julie Mercier, cheffe de la direction des entreprises et partenariats de sécurité et des armes (Depsa). Cela est peu surprenant mais révélateur, une fois de plus, des réels intérêts en jeu ici. La Depsa est dotée d’un département « des industries et innovations de sécurité » qui est présenté comme devant assurer « l’interface et le dialogue avec les entreprises productrices de moyens de sécurité » ainsi que participer « à la veille technologique et industrielle » et « au contrôle des investissements étrangers en France et au suivi des entreprises à protéger prioritairement ». Ainsi, sa raison d’être est de stimuler et influencer le marché privé de la sécurité, voire d’aller prodiguer directement des conseils lors de réunions des lobbys de la surveillance. On pourrait être surpris de voir de tels objectifs et pratiques orientées vers le privé dans le fonctionnement d’un ministère régalien. Il s’agit pourtant d’une politique assumée et enclenchée il y a une dizaine d’années, et dont le paroxysme a été à ce jour la loi Sécurité globale consacrant le « continuum de sécurité » entre public et privé.

Lors du salon Mlilipol – grand-messe du marché de la sécurité et de la surveillance – qui s’est tenu en novembre dernier en région parisienne, et où les Jeux olympiques étaient à l’honneur, Julie Mercier expliquait ainsi vouloir « participer à la construction de la base industrielle et technologique de sécurité », car « les entreprises, et pas seulement les grands opérateurs, sont essentielles dans l’expression du besoin et dans la structuration de la filière ». Pour elle, le programme d’expérimentations mis en place en 2022 par le ministère de l’Intérieur dans la perspective des Jeux olympiques a permis d’enclencher une « dynamique vertueuse ». Ce mélange des genres démontre un des objectifs principaux de l’expérimentation : promouvoir le marché privé de la surveillance numérique, en l’associant étroitement aux politiques publiques.

Et maintenant ?

Les expérimentations devraient donc être mises en route dans les prochaines semaines. En théorie, la loi prévoyait une première étape de « conception » des algorithmes, qui nous inquiétait particulièrement. Dans le but de paramétrer les logiciels, elle autorisait de façon inédite le Ministère de l’intérieur à utiliser les images des caméras publiques afin d’améliorer les algorithmes. La CNIL s’est même inquiétée dans sa délibération de l’absence d’information des personnes qui, par leur présence sur une image, nourrirait des logiciels.

Sauf que du fait du retard du processus (l’État voulait initialement débuter les expérimentations lors de la coupe du monde de rugby) couplée à l’impatience des entreprises et de la police et au risque du fiasco si la VSA était en fin de compte remise sur l’étagère, le ministère de l’Intérieur s’est décidé à passer rapidement à la phase de mise en œuvre à travers l’acquisition de solutions toutes prêtes. Cependant, cela ne réduit aucunement les craintes à avoir. Si les logiciels sont censés répondre à un ensemble de critères techniques définis par la loi, l’opacité régnant sur ces technologies et l’absence de mécanisme de transparence empêche de facto de connaître la façon dont ils ont été conçus ou la nature des données utilisées pour l’apprentissage.

Après avoir été auditées et certifiées par une autorité tierce⁴D’après l’avis d’attribution de l’appel d’offre, il s’agira du Laboratoire National de Métrologie et d’Essais (LNE), inconnu au bataillon., ces solutions seront donc intégrées au plus vite aux infrastructures de vidéosurveillance dans les zones où les préfectures en feront la demande. Chaque autorisation fera l’objet d’un arrêté préfectoral rendu public, ce qui devrait permettre de connaître l’emplacement, la nature et la durée de la surveillance mise en place.

Nous les attendrons au tournant. L’expérimentation de la VSA ne doit pas rester invisible. Au contraire, il nous faudra collectivement documenter et scruter ces arrêtés préfectoraux afin de pouvoir s’opposer sur le terrain et rendre matérielle et concrète cette surveillance de masse que tant veulent minimiser. La voix des habitantes et habitants des villes, des festivalier·es, des spectateur·ices, de l’ensemble des personnes qui seront sous l’œil des caméras, sera cruciale pour rendre visible l’opposition populaire à ces technologies de contrôle. Dans les prochains mois, nous tâcherons de proposer des outils, des méthodes et des idées d’actions pour y parvenir et lutter, avec vous, contre l’expansion de la surveillance de masse dans nos rues et dans nos vies.

References[+]

References

↑1	Pour une analyse plus approfondie de nos critiques sur la VSA, vous pouvez lire notre rapport de synthèse envoyé aux parlementaires l’année dernière ou regarder cette vidéo de vulgarisation des dangers de la VSA.
↑2	Si les Jeux Olympiques constituent sans aucun doute un moment « exceptionnel » au regard du nombre inédit de personnes qui seront au même moment dans la région parisienne, la surveillance n’est pas la réponse à apporter. Nous démontions l’année dernière l’idée selon laquelle les technologies sécuritaires auraient pu modifier le cours du « fiasco » de la finale de la Ligue des champions au Stade de France. Comme nous l’exposons, celle-ci n’était causée par rien d’autre qu’une mauvaise gestion stratégique du maintien de l’ordre. Pour pallier à ces défaillances humaines, auraient été utiles non pas la VSA ou la reconnaissance faciale mais un véritable savoir-faire humain de gestion de la foule, des compétences logistiques, des interlocuteurs parlant plusieurs langues….
↑3	Plusieurs rapports parlementaires préconisent déjà d’aller plus loin en généralisant le recours à la reconnaissance faciale en temps réel ou la VSA en temps différé, massivement utilisée de façon illégale dans les enquêtes judiciaires. Voir ainsi le rapport de 2022 des sénateurs Marc-Philippe Daubresse (LR), Arnaud de Belenet et Jérôme Durain (PS) sur « la reconnaissance biométrique dans l’espace public » et le rapport de 2023 des députés Philippe Latombe (Modem) et Philippe Gosselin (LR) « sur les enjeux de l’utilisation d’images de sécurité dans le domaine public dans une finalité de lutte contre l’insécurité ». Le gouvernement français s’est également ménagé d’importantes marges de manœuvre pour ce faire à travers son lobbying féroce autour du règlement IA, afin de tenir en échec toute limitation un tant soit peu significative de la surveillance biométrique des espaces publics.
↑4	D’après l’avis d’attribution de l’appel d’offre, il s’agira du Laboratoire National de Métrologie et d’Essais (LNE), inconnu au bataillon.

]]> https://www.laquadrature.net/?p=22979http://isyteck.com/autoblog/quadrature/index.php5?20240119_155652_Le_reglement_europeen_sur_l___IA_n___interdira_pas_la_surveillance_biometrique_de_masseFri, 19 Jan 2024 14:56:52 +0000Traduction du communiqué de presse de la coalition Reclaim Your Face.

Le 8 décembre 2023, les législateurs de l’Union européenne se sont félicités d’être parvenus à un accord sur la proposition de règlement tant attendue relative l’intelligence artificielle (« règlement IA »). Les principaux parlementaires avaient alors assuré à leurs collègues qu’ils avaient réussi à inscrire de solides protections aux droits humains dans le texte, notamment en excluant la surveillance biométrique de masse (SBM).

Pourtant, malgré les annonces des décideurs européens faites alors, le règlement IA n’interdira pas la grande majorité des pratiques dangereuses liées à la surveillance biométrique de masse. Au contraire, elle définit, pour la première fois dans l’UE, des conditions d’utilisation licites de ces systèmes. Les eurodéputés  et les ministres des États membres de l’UE se prononceront sur l’acceptation de l’accord final au printemps 2024.

L’UE entre dans l’histoire – pour de mauvaises raisons

La coalition Reclaim Your Face soutient depuis longtemps que les pratiques des SBM sont sujettes aux erreurs et risquées de par leur conception, et qu’elles n’ont pas leur place dans une société démocratique. La police et les autorités publiques disposent déjà d’un grand nombre de données sur chacun d’entre nous ; elles n’ont pas besoin de pouvoir nous identifier et nous profiler en permanence, en objectifiant nos visages et nos corps sur simple pression d’un bouton.

Pourtant, malgré une position de négociation forte de la part du Parlement européen qui demandait l’interdiction de la plupart des pratiques de SBM, très peu de choses avaient survécu aux négociations du règlement relatif à l’IA. Sous la pression des représentants des forces de l’ordre, le Parlement a été contraint d’accepter des limitations particulièrement faibles autour des pratiques intrusives en matière de SBM.

L’une des rares garanties en la matière ayant apparemment survécu aux négociations – une restriction sur l’utilisation de la reconnaissance faciale a posteriori [par opposition à l’utilisation en temps réel] – a depuis été vidée de sa substance lors de discussions ultérieures dites « techniques » qui se sont tenues ces dernières semaines.

Malgré les promesses des représentants espagnols en charge des négociations, qui juraient que rien de substantiel ne changerait après le 8 décembre, cette édulcoration des protections contre la reconnaissance faciale a posteriori  est une nouvelle déception dans notre lutte contre la société de surveillance.

Quel est le contenu de l’accord ?

D’après ce que nous avons pu voir du texte final, le règlement IA est une occasion manquée de protéger les libertés publiques. Nos droits de participer à une manifestation, d’accéder à des soins de santé reproductive ou même de nous asseoir sur un banc pourraient ainsi être menacés par une surveillance biométrique omniprésente de l’espace public. Les restrictions à l’utilisation de la reconnaissance faciale en temps réel et a posteriori prévues par la loi sur l’IA apparaissent minimes et ne s’appliqueront ni aux entreprises privées ni aux autorités administratives.

Nous sommes également déçus de voir qu’en matière de « reconnaissance des émotions » et les pratiques de catégorisation biométrique, seuls des cas d’utilisation très limités sont interdits dans le texte final, avec d’énormes lacunes.

Cela signifie que le règlement IA autorisera de nombreuses formes de reconnaissance des émotions – telles que l’utilisation par la police de systèmes d’IA pour évaluer qui dit ou ne dit pas la vérité – bien que ces systèmes ne reposent sur aucune base scientifique crédible. Si elle est adoptée sous cette forme, le règlement IA légitimera une pratique qui, tout au long de l’histoire, a partie liée à l’eugénisme.

Le texte final prévoit également d’autoriser la police à classer les personnes filmées par les caméras de vidéosurveillance en fonction de leur couleur de peau. Il est difficile de comprendre comment cela peut être autorisé étant donné que la législation européenne interdit normalement toute discrimination. Il semble cependant que, lorsqu’elle est pratiquée par une machine, les législateurs considèrent de telles discriminations comme acceptables.

Une seule chose positive était ressortie des travaux techniques menés à la suite des négociations finales du mois de décembre : l’accord entendait limiter la reconnaissance faciale publique a posteriori aux cas ayant trait à la poursuite de crimes transfrontaliers graves. Bien que la campagne « Reclaim Your Face » ait réclamé des règles encore plus strictes en la matière, cela constituait un progrès significatif par rapport à la situation actuelle, caractérisée par un recours massif à ces pratiques par les États membres de l’UE.

Il s’agissait d’une victoire pour le Parlement européen, dans un contexte où tant de largesses sont concédées à la surveillance biométrique. Or, les négociations menées ces derniers jours, sous la pression des gouvernements des États membres, ont conduit le Parlement à accepter de supprimer cette limitation aux crimes transfrontaliers graves tout en affaiblissant les garanties qui subsistent. Désormais, un vague lien avec la « menace » d’un crime pourrait suffire à justifier l’utilisation de la reconnaissance faciale rétrospective dans les espaces publics.

Il semblerait que ce soit la France qui ait mené l’offensive visant à faire passer au rouleau compresseur notre droit à être protégés contre les abus de nos données biométriques. À l’approche des Jeux olympiques et paralympiques qui se tiendront à Paris cet été, la France s’est battue pour préserver ou étendre les pouvoirs de l’État afin d’éradiquer notre anonymat dans les espaces publics et pour utiliser des systèmes d’intelligence artificielle opaques et peu fiables afin de tenter de savoir ce que nous pensons. Les gouvernements des autres États membres et les principaux négociateurs du Parlement n’ont pas réussi à la contrer dans cette démarche.

En vertu du règlement IA, nous serons donc tous coupables par défaut et mis sous surveillance algorithmique, l’UE ayant accordé un blanc-seing à la surveillance biométrique de masse. Les pays de l’UE auront ainsi carte blanche pour renforcer la surveillance de nos visages et de nos corps, ce qui créera un précédent mondial à faire froid dans le dos.

]]> https://www.laquadrature.net/?p=22927http://isyteck.com/autoblog/quadrature/index.php5?20240118_110806_La_police_predictive_en_France____contre_l___opacite_et_les_discriminations__la_necessite_d___une_interdictionThu, 18 Jan 2024 10:08:06 +0000Après plusieurs mois d’enquête, dans le cadre d’une initiative européenne coordonnée par l’ONG britannique Fair Trials, La Quadrature publie aujourd’hui un rapport sur l’état de la police prédictive en France. Au regard des informations recueillies et compte tenu des dangers qu’emportent ces systèmes dès lors notamment qu’ils intègrent des données socio-démographiques pour fonder leurs recommandations, nous appelons à leur interdiction.

Après avoir documenté dès 2017 l’arrivée de systèmes assimilables à la police prédictive, puis ayant été confrontés à l’absence d’informations à jour et de réel débat public sur ces systèmes, nous avons souhaité enquêter plus en détail. Pour ce rapport, nous avons donc réuni les informations accessibles sur plusieurs logiciels de police prédictive anciennement ou actuellement en utilisation au sein des forces de police françaises, et notamment :

• RTM (Risk Terrain Modelling), un logiciel de « prévention situationnelle » utilisé par la préfecture de Police de Paris pour cibler les zones d’intervention à partir des données « environnementales » (présence d’écoles, de commerces, de stations de métro, etc.) ;
• PredVol, logiciel développé en 2015 au sein d’Etalab, expérimenté en Val d’Oise en 2016 pour évaluer le risque de vols de véhicule, abandonné en 2017 ou 2018 ;
• PAVED, logiciel développé à partir de 2017 par la Gendarmerie et expérimenté à partir de 2018 dans différents départements métropolitains pour évaluer le risque de vols de voiture ou de cambriolages. En 2019, peu avant sa généralisation prévue sur tout le territoire, le projet a été mis « en pause » ;
• M-Pulse, auparavant nommé Big Data de la Tranquillité Publique, développé par la ville de Marseille en partenariat avec la société Engie pour évaluer l’adéquation des déploiements de la police municipale dans l’espace public urbain ;
• Smart Police, logiciel comportant notamment un module « prédictif » et mis au point par la startup française Edicia qui, d’après son site web, a vendu cette suite logicielle à plus de 350 forces municipales.

Des technologies dangereuses, sans encadrement ni évaluation

Nous résumons ici les principales critiques à l’encontre des systèmes étudiés, dont la plupart font appel à des techniques d’intelligence artificielle.

Corrélation n’est pas causalité

Le premier danger associé à ces systèmes, lui-même amplifié par l’absence de transparence, est le fait qu’ils extrapolent des résultats à partir de corrélations statistiques entre les différentes sources de données qu’ils agrègent. En effet, par mauvaise foi ou fainéantise idéologique, les développeurs de ces technologies entretiennent une grave confusion entre corrélation et causalité (ou du moins refusent-ils de faire la distinction entre les deux). Or, ces amalgames se traduisent de façon très concrète dans le design et les fonctionnalités des applications et logiciels utilisés sur le terrain par les policiers, mais aussi dans leurs conséquences sur les habitantes exposées à une policiarisation accrue.

Lorsqu’elle recourt à ces systèmes d’aide à la décision, la police devrait donc au minimum tâcher de démontrer la pertinence explicative de l’utilisation de variables socio-démographiques spécifiques dans ses modèles prédictifs (c’est-à-dire aller au-delà des simples corrélations pour retracer les causes structurelles de la délinquance, ce qui pourrait conduire à envisager d’autres approches que les politiques sécuritaires pour y faire face). Cela implique en premier lieu d’être transparent au sujet de ces variables, ce dont on est pour l’instant très loin.

S’agissant par exemple de PAVED, le modèle prédictif utiliserait quinze variables socio-démographiques qui, selon les développeurs, sont fortement corrélées avec la criminalité. Cependant, il n’y a aucune transparence sur la nature de ces variables, et encore moins de tentative de démonstration d’une véritable relation de cause à effet. Il en va globalement de même pour les variables utilisées par Smart Police, le logiciel d’Edicia, quoiqu’on ait dans ce cas encore moins de visibilité sur la nature exacte des variables mobilisées.

Des variables potentiellement discriminatoires

Or, il est probable que, à l’image des algorithmes utilisés par la Caisse nationale des allocations familiales (CNAF), certaines variables socio-démographiques mobilisées soient discriminatoires.

En effet, les scores de risque sont possiblement corrélés à un taux de chômage ou de pauvreté important, ou encore à un taux élevé de personnes nées en dehors de l’Union européenne dans le quartier considéré. Et ce d’autant plus que l’on sait que, pour PAVED, parmi les données pertinentes pour l’établissement des « prédictions », on retrouve les indicateurs suivants : nationalité et données d’immigration, revenus et composition des ménages ou encore niveau de diplôme. Autant de variables qui risquent de conduire à cibler les populations les plus précarisées et les plus exposées au racisme structurel.

De fausses croyances criminologiques

Un autre danger associé à ces systèmes réside dans le fait qu’ils enracinent des doctrines criminologiques décriées. Les promoteurs de la police prédictive refusent de s’atteler à une compréhension générale et à une analyse sociale des comportements déviants et des illégalismes : nulle mention des politiques de précarisation, d’exclusion, de discrimination, et de la violence sociale des politiques publiques. Et lorsqu’ils s’aventurent à proposer des modèles explicatifs et qu’ils tentent d’inscrire ces modèle dans les algorithme de scoring, ils semblent s’en remettre à des « savoirs » dont la pertinence est parfaitement douteuse.

Certaines allusions doctrinales apparaissent par exemple dans les articles de recherche du principal développeur de PAVED, le colonel de gendarmerie Patrick Perrot. Ce dernier y fait part d’hypothèses de base concernant la criminalité (par exemple, la criminalité comme « phénomène en constante évolution »), et évoque les « signaux faibles » et autres « signes précurseurs » de la délinquance qui font écho aux théories de la « vitre brisée », dont la scientificité est largement mise en cause. De même, dans le cas d’Edicia, le module prédictif semble reposer sur l’idée selon laquelle la délinquance a un effet de débordement géographique (ou effet de « contagion ») et intègre lui aussi des postulats « remontés » du « terrain » qui prétendent que « la petite délinquance entraîne la grande délinquance ».

Autant de doctrines ineptes qui servent surtout à masquer les conséquences désastreuses des politiques ultralibérales, à criminaliser les incivilités du quotidien, qui doivent s’interpréter comme l’élément clé d’une tentative de criminalisation des pauvres. Aujourd’hui, elles sont donc incorporées aux systèmes automatisés que s’octroie la police, lesquels contribuent à les invisibiliser.

Un risque d’auto-renforcement

La critique est largement connue, mais elle mérite d’être rappelée ici : les logiciels de police prédictive soulèvent un important risque d’effet d’auto-renforcement et donc d’une démultiplication de la domination policière de certains quartiers (surveillance, contrôle d’identité, usages de pouvoirs coercitifs).

En effet, leur usage conduit nécessairement à sur-représenter les aires géographiques définies comme étant à haut risque dans les données d’apprentissage. Dès lors qu’un nombre important de patrouilles sont envoyées dans une zone donnée en réponse aux recommandations de l’algorithme, elles seront conduites à constater des infractions – mêmes mineures – et à collecter des données relatives à cette zone, lesquelles seront à leur tour prises en compte par le logiciel et contribueront à renforcer la probabilité que cette même zone soit perçue comme « à risque ».

La police prédictive produit ainsi une prophétie auto-réalisatrice en concentrant des moyens importants dans des zones déjà en proie aux discriminations et à la sur-policiarisation.

De possibles abus de pouvoir

Bien que nous n’ayons pas trouvé d’éléments relatifs aux instructions particulières données aux policiers lorsqu’ils patrouillent dans des zones jugées à haut risque par les systèmes prédictifs, une source nous indique que, grâce à PAVED, la gendarmerie a pu obtenir auprès du procureur de la République l’autorisation pour que les agents en patrouille se positionnent dans les lieux de passage et arrêtent les véhicules à proximité. Dans ce cadre, il s’agissait pour eux de vérifier les plaques d’immatriculation et les permis de conduire des conducteurs, et de procéder dans certains cas à des fouilles de véhicule.

Si l’information s’avérait exacte, cela signifierait que des contrôles préventifs, menés dans le cadre d’une autorisation du Parquet, ont été décidés sur la seule base d’une technologie fondée sur des postulats douteux et dont l’efficacité n’a jamais été évaluée. Une situation qui, en elle-même, matérialiserait une disproportion caractérisée des mesures restrictives de liberté prises à l’encontre des personnes concernées.

Des outils à l’efficacité douteuse

Au regard de leur nature discriminatoire, même dans la mesure où ces systèmes de police prédictive s’avéreraient efficaces du point de vue de la rationalité policière, ils poseraient d’importants problèmes en terme de justice sociale et de respect des droits humains. Or, en dépit de l’absence d’évaluation officielle, le fait est que les données disponibles semblent confirmer l’absence de valeur ajoutée des modèles prédictifs pour atteindre les objectifs que la police s’était fixés.

De fait, ces outils semblent loin d’avoir convaincu leurs utilisateurs et utilisatrices. PredVol ne ferait pas mieux que la simple déduction humaine. Quant à PAVED, même s’il pourrait avoir empêché quelques vols de voiture, il s’avère décevant en termes de capacités de prévision et ne se traduit pas par une hausse du nombre d’arrestations en flagrant délit, qui pour la police reste l’étalon de l’efficacité sous le règne de la politique du chiffre¹. Malgré ce qui était envisagé au départ, la généralisation de PAVED au sein de la gendarmerie nationale n’a jamais vu le jour. À l’issue d’une phase expérimentale, menée de 2017 à 2019, il a été décidé de mettre le logiciel de côté. Et si M-Pulse a trouvé une nouvelle jeunesse au gré du « rebranding citoyenniste » poussé par la nouvelle majorité municipale marseillaise de centre gauche, ses usages sécuritaires semblent relativement marginaux.

Pour quelles raisons ? L’opacité qui entoure ces expérimentations ne permet pas de le dire avec certitude, mais l’hypothèse la plus probable réside à la fois dans l’absence de vraie valeur ajoutée par rapport aux savoirs et croyances existantes au sein des forces de police et dans la complexité organisationnelle et technique associée à l’usage et à la maintenance de ces systèmes.

De graves lacunes dans la gestion des données

Pour les opposants à ces systèmes, les informations présentées dans ce rapport pourraient sembler rassurantes. Mais en réalité, même si l’effet de mode autour de la « police prédictive » semble passé, les processus de R&D relatifs aux systèmes d’aide à la décision des forces de police continuent. Des sommes d’argent conséquentes continuent d’être dépensées pour répondre à l’ambition affichée de « porter le ministère de l’Intérieur à la frontière technologique », ainsi que l’envisageait le livre blanc de la sécurité intérieure de 2020². Dans ce contexte d’un primat accordé aux approches techno-sécuritaires, PAVED pourrait ainsi être ré-activé ou remplacé par d’autres systèmes dans un futur proche. Quant à Edicia, l’entreprise envisageait ces derniers mois d’incorporer à son module prédictif de nouvelles sources de données issues des réseaux sociaux, comme l’envisageaient les concepteurs de M-Pulse au début du projet. La police prédictive reste donc d’actualité.

Interrogée via une demande CADA en mars 2022 et à nouveau en novembre 2023, la CNIL nous a indiqué qu’elle n’avait jamais reçu ou produit de document relatif aux logiciels de police prédictive dans le cadre de ses prérogatives. Cela semble indiquer que l’autorité de protection des données personnelles ne s’est jamais intéressée à ces logiciels dans le cadre de sa politique de contrôle. En soit, cela interroge lorsqu’on sait que, pour certains, ils sont utilisés par des milliers d’agents de police municipale à travers le pays.

Enfin, dans la mesure où les pouvoirs de police administrative exercés dans les zones jugées « à risque » par les systèmes prédictifs peuvent être considérés sur le plan juridique comme des « décisions administratives individuelles », les exigences énoncées par le Conseil constitutionnel dans sa jurisprudence sur les algorithmes devraient être respectées³. Or, celles-ci proscrivent notamment l’interdiction d’utiliser des « données sensibles » et imposent de prévoir des possibilités de recours administratifs pour les personnes concernées. S’y ajoutent des obligations de transparence imposées par la loi, notamment la loi de 2016 dite « République numérique »⁴.

Ces exigences législatives et jurisprudentielles ne semblent pas respectées s’agissant des systèmes de police prédictive. Non seulement il n’y a pas de tentative significative et proactive d’informer les citoyens et les autres parties prenantes sur le fonctionnement exact de ces systèmes, en dehors des quelques informations parfois disséminées de manière opportuniste. Plus grave encore, le droit à la liberté d’information que nous avons exercé via nos demandes CADA pour en apprendre davantage n’a donné lieu qu’à des informations partielles, et s’est heurté le plus souvent à l’absence de réponse, notamment de la part du ministère de l’Intérieur.

Il est urgent d’interdire la police prédictive

L’effet de mode semble passé. La police prédictive ne fait presque plus parler d’elle. Et pourtant…

Malgré une absence flagrante d’évaluation, d’encadrement législatif et en dépit de piètres résultats opérationnels, les promoteurs de ces technologies continuent d’entretenir la croyance selon laquelle l’« intelligence artificielle » pourra permettre de rendre la police plus « efficace ». De notre point de vue, ce que ces systèmes produisent c’est avant tout une automatisation de l’injustice sociale et de la violence policière, une déshumanisation encore plus poussée des relations entre police et population.

Dans ce contexte, il est urgent de mettre un coup d’arrêt à l’utilisation de ces technologies pour ensuite conduire une évaluation rigoureuse de leur mise en œuvre, de leurs effets et de leurs dangers. L’état de nos connaissances nous conduit à penser qu’une telle transparence fera la preuve de leur ineptie et de leurs dangers, ainsi que de la nécessité de les interdire.

Nous aider

Pour pallier l’opacité volontairement entretenue par les concepteurs de ces systèmes et par les autorités publiques qui les utilisent, si vous avez à votre disposition des documents ou éléments permettant de mieux comprendre leur fonctionnement et leurs effets, nous vous invitons à les déposer sur notre plateforme de partage anonyme de document. Il est également possible de nous les envoyer par la poste à l’adresse suivante : 115 rue de Ménilmontant, 75020 Paris.

Enfin, n’hésitez pas à nous signaler la moindre erreur factuelle ou d’analyse que vous pourriez identifier dans ce rapport en nous écrivant à contact@technopolice.fr. Et pour soutenir ce type de recherche à l’avenir, n’hésitez pas non plus à faire un don à La Quadrature du Net.

Lire le rapport complet

---

1. Lecorps, Yann, et Gaspard Tissandier. « PAVED with good intentions : an evaluation of the Gendarmerie predictive policing system ». Centre d’Économie de la Sorbonne (CES), Université Paris 1 Panthéon Sorbonne. Paris, septembre 2022. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4314831. ︎
2. Le livre blanc proposait de consacrer 1% du PIB aux missions de sécurité intérieure à l’horizon 2030, soit une augmentation escomptée d’environ 30% du budget du ministère sur la décennie.Ministère de l’intérieur, « Livre blanc de la sécurité intérieure » (Paris : Gouvernement français, 16 novembre 2020), https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Livre-blanc-de-la-securite-interieure. ︎
3. Voir la décision sur la transposition du RGPD (décision n° 2018-765 DC du 12 juin 2018) et celle sur Parcoursup (décision n° 2020-834 QPC du 3 avril 2020). ︎
4. Sur les obligations légales de transparence des algorithmes publics, voir : Loup Cellard, « Les demandes citoyennes de transparence au sujet des algorithmes publics », Note de recherche (Paris : Mission Etalab, 1 juillet 2019), http://www.loupcellard.com/wp-content/uploads/2019/07/cellard_note_algo_public.pdf. ︎
]]> https://www.laquadrature.net/?p=22901http://isyteck.com/autoblog/quadrature/index.php5?20240112_154546_QSPTAG__302_____12_janvier_2024Fri, 12 Jan 2024 14:45:46 +0000Société de contrôle (1) : les outils illégaux de la surveillance municipale

Notre campagne Technopolice a déjà quatre ans, et les acteurs de l’industrie française de la surveillance sont bien identifiés. Lobby industriel, député porte-cause, discours sécuritaire dicté par la police, on connaît le paysage. Voici venu le temps de s’intéresser plus en détail aux entreprises privées qui fleurissent dans le sillage de ce marché économique considérable, où les fonds publics abondent sans discussion pour mieux nous surveiller.

Cette semaine, penchons-nous sur le cas de la société Edicia, basée à Nantes. Elle s’engraisse en fournissant à de nombreuses polices municipales françaises une « solution » baptisée Smart Police, logiciel embarqué sur terminal mobile qui permet aux agents de prendre des notes, de rédiger des rapports, et à leur supérieur resté au commissariat de mieux les manager. Nous avons obtenu le manuel d’utilisation de Smart Police, grâce auquel nous pouvons avoir une idée précise de ce que les agents municipaux peuvent faire, et des conséquences pratiques de ces nouvelles facilités opérationnelles. Une lecture édifiante : l’outil, dans sa grande variété et sa grande souplesse, permet des pratiques contraires au cadre réglementaire qui régit les polices municipales.

Fichage sans autorisation, croisement de données, photographies des personnes contrôlées : là où l’idéologie sécuritaire voit du bon sens, nous voyons des usages clairement illégaux et une victoire de facto de la surveillance systématisée. Pour en savoir plus, lisez l’article, qui s’inscrit dans une enquête sur les outils numériques de la « police prédictive » et sera suivi par d’autres publications.

Lire l’article : https://www.laquadrature.net/2024/01/10/smart-police-dedicia-le-logiciel-a-tout-faire-des-polices-municipales/

Société de contrôle (2) : la CAF défend son programme de chasse aux pauvres

Notre enquête sur les algorithmes de contrôle social n’en est encore qu’à son début, mais elle a déjà produit quelques effets : après notre analyse de son algorithme de notation des allocataires, la Caisse nationale d’allocations familiales (CNAF) est bien obligée de se justifier publiquement au sujet de ses pratiques discriminatoires.

La réponse du directeur de la CNAF, entre déni et diversion, relève de la communication de crise. Mais les faits que nous constatons dans l’analyse de l’algorithme lui-même restent irréfutables. Et derrière l’autosatisfaction de l’institution, saluée aussi par les députés de la majorité présidentielle pour son efficacité dans la chasse aux pauvres, on voit un jeu de dupes : loin d’une rentabilité réelle, et à rebours de la « fraternité » républicaine de la société avec ses membres les plus précaires, le contrôle systématique par algorithme sert l’idéologie d’une efficacité gestionnaire où le recours aux outils numériques habille de modernité des choix politiques et sociaux inégalitaires. Analyse du discours de la CNAF et réponse point par point dans notre article !

Lire l’article : https://www.laquadrature.net/2024/01/11/notation-des-allocataires-face-aux-faits-la-caf-senferme-dans-le-deni-et-la-mauvaise-foi/

Soutenez La Quadrature en 2024 !

Comme bon nombre d’associations, nous sommes en campagne de soutien pour financer notre travail en 2024. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la défense du droit au chiffrement des communications, la promotion de l’interopérabilité des services Web, et la réflexion nécessaire autour du numérique dans le contexte de la crise écologique mondiale.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

Agenda

• 13 janvier 2024 : atelier sur Internet, l’anonymat et la Technopolice, en collaboration avec la Compagnie RYBN.org – 14h-20h, à La Compagnie, 19 rue Francis de Pressensé, Marseille. Détails  : https://www.la-compagnie.org/portfolio/rybncapitalismsxit/.
• 19 janvier 2024 : Quadrapéro parisien à partir de 19h dans nos locaux au 115 rue de Ménilmontant, 75020 Paris.
• 25 janvier 2024 : soirée sur la vidéosurveillance algorithmique organisée par le groupe ATTAC Nord Ouest à 19h30 à la Maison des associations du 18e, 15 Passage Ramey, 75018 Paris.
• 27 janvier 2024 : La Quadrature sera aux 3e Assises de l’Attention, pour parler de démocratie à l’heure du numérique – 9h-18h30, Académie du Climat, 2 place Baudoyer, 75004 Paris. Détails ici : https://www.collectifattention.com/assises-de-lattention/assises-2024/.

La Quadrature dans les médias

À écouter

• Conférence de La Quadrature au Chaos Communication Congress (#37C3), en anglais : « A year of surveillance in France: a short satirical tale by La Quadrature du Net »

Algorithmes administratifs

• « L’algorithme de la CAF conduit à un surcontrôle des populations les plus précaires » [Alternatives économiques]
• EELV en croisade contre la « pauvrophobie d’Etat » [L’Internaute]
• Rendre accessibles les algorithmes, un vœu pieux ? [La gazette des communes]
• RSA, APL, AAH, prime d’activité… Que risque-t-on lorsqu’on fraude les aides de la CAF ? [Merci pour l’info]
• Le grand méchant score social qui cache la forêt [Numerama]

IA de surveillance

• Philippe Latombe, député macroniste et VRP de la surveillance [StreetPress]
• En prévision des JO, la SNCF a testé plus d’une dizaine d’algorithmes de vidéosurveillance [Mediapart]
• Paris 2024, le retour des JO dans un pays libre? Oui mais… [Le Temps]
• Vidéosurveillance à Moirans : La Quadrature du net déboutée par le Conseil d’État mais l’affaire n’est pas terminée [Le Dauphiné libéré]
• Comment des drones et l’IA vont bientôt contrôler le trafic routier de cette mégalopole asiatique [Ouest-France]
• AI is powering a revolution in policing, at the Olympics and beyond [The Washington Post]
• Nizza: le telecamere di sorveglianza sfruttano l’AI [La Svolta]

Interopérabilité

• Quatre choses à savoir sur le «fédivers» dont parle Threads, le nouveau réseau social de Meta [Libération]
• Meta : c’est quoi le Fédivers, la prochaine conquête de Mark Zuckerberg ? [Phonandroid]

Fichage

• « SISPoPP », le nouveau fichier qui fâche [Mediapart]
• SISPoPP : tout savoir sur le nouveau fichier des tribunaux qui inquiète tant [Comment ça marche]

Données personnelles

• Les étranges excuses d’Amazon pour échapper à son amende record [01Net]
• Amazon attacks EU privacy watchdog it claims was out to get it [Bloomberg]

Divers

• Le Fisc pourra davantage traquer les fraudeurs sur les réseaux sociaux [01Net]
• Les services secrets américains pourront tranquillement nous espionner jusqu’en avril 2024 [01Net]
]]> https://www.laquadrature.net/?p=22847http://isyteck.com/autoblog/quadrature/index.php5?20240111_105504_Notation_des_allocataires____face_aux_faits__la_CAF_s___enferme_dans_le_deni_et_la_mauvaise_foiThu, 11 Jan 2024 09:55:04 +0000Retrouvez l’ensemble de nos travaux sur l’utilisation par les administrations sociales d’algorithmes de notation sur notre page dédiée et notre Gitlab.

« Nous n’avons pas à rougir ou à nous excuser ». Voilà comment le directeur de la CAF — dans un « Message au sujet des algorithmes » à destination des 30 000 agent·es de la CAF¹Message publié dans Résonances, le magasine interne à destination des plus de 30 000 agent·es de la CAF. Nous le republions ici. Voir aussi ce thread Twitter. — a réagi à notre publication du code source de l’algorithme de notation des allocataires.

Et pourtant, devant la montée de la contestation²Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici. — s’étendant au sein des CAF elles-même car seul·es les dirigeant·es et une poignée de statisticien·nes avaient connaissance de la formule de l’algorithme –, il était possible d’espérer, a minima, une remise en question de la part de ses dirigeant·es.

Mais à l’évidence des faits, les dirigeant·es de la CAF ont préféré le déni. Cette fuite en avant a un coût car un élément de langage, quelque soit le nombre de fois où il est répété, ne se substituera jamais aux faits. À vouloir nier la réalité, c’est leur propre crédibilité, et partant celle de leur institution, que les dirigeant·es de la CAF mettent en danger.

Un problème sémantique

À peine quelques heures après la publication de notre article — et alors qu’il était possible pour chacun·e de vérifier que la valeur du score de suspicion alloué par l’algorithme augmente avec le fait d’être en situation de handicap tout en travaillant, d’avoir de faibles revenus, de bénéficier des minima sociaux ou encore d’être privé·e d’emploi — le directeur de la CAF affirmait publiquement que son algorithme n’était « pas discriminatoire ».

Devant une telle dénégation, on se demande comment le directeur de la CAF définit une politique « discriminatoire ». Voici en tout cas celle donnée par le Wiktionnaire : « Traitement défavorable de certains groupes humains via la réduction arbitraire de leurs droits et contraire au principe de l’égalité en droit. » Rappelons en outre, au cas où subsisterait un doute, qu’un contrôle est en soi un moment extrêmement difficile à vivre³Voir les témoignages récoltés par Changer de Cap ou le Défenseur des Droits et les écrits de Vincent Dubois..

Dans le même message, il ajoutait que l’algorithme n’est pas utilisé pour « surveiller les allocataires » ou « les suspecter », mais simplement pour les « classer ». Rappelons que les deux ne sont pas contradictoires mais complémentaires. La surveillance de masse — que ce soit dans la rue, sur internet ou à la CAF — est un préalable au tri de la population.

S’agissant enfin de savoir si l’utilisation de cet algorithme a vocation à « suspecter » les allocataires ou non, nous le renvoyons aux déclarations d’un autre directeur de la CAF qui écrivait qu’il considérait les « techniques de datamining » comme « des outils de lutte contre les fraudeurs et les escrocs »⁴Voir DNLF info n°23, juin 2014. Disponible ici.. On soulignera aussi la contradiction entre le discours tenu par l’actuel directeur de la CAF et celui qu’il tenait quelques mois plus tôt au micro de France Info⁵France Info, 09/12/2022. « La Caisse des allocations familiales utilise un algorithme pour détecter les allocataires « à risque » ». Disponible ici. à qui il expliquait que le refus de nous communiquer le code source de l’algorithme était justifié par le fait que la CAF doit garder « un coup d’avance » face à celles et ceux « dont le but est de frauder le système ».

Ou mathématique ?

À ces problèmes sémantiques s’ajoutent un désaccord mathématique. Le directeur de la CAF avance que l’objectif de l’algorithme serait de « détecter rapidement » des indus afin « d’éviter des remboursements postérieurs trop importants ». Ce raisonnement est un non-sens technique visant à faire croire aux personnes ciblées par l’algorithme que ce dernier… les servirait.

Or, l’algorithme a été développé pour détecter des situations présentant des indus supérieurs à un certain montant⁶Plus précisément, le journal Le Monde a montré qu’il était entraîné pour maximiser à la fois la détection d’indus « importants », soit supérieurs à 600 euros par mois et d’une durée de plus de 6 mois, et les situations de fraudes. Voir les documents mis en ligne par Le Monde ici. Nous avions d’ailleurs fait une erreur dans notre article précédent : à la lecture des quelques documents que nous avions — la CAF avait refusé de nous communiquer le manuel technique alors qu’elle l’a donné au journal Le Monde — nous avions compris, sur la base de ce document que l’algorithme était entraîné pour détecter des indus totaux supérieurs à 600 euros, et non des indus mensuels supérieurs à 600 euros.. Il est entraîné sur la base de dossiers choisis aléatoirement puis analysés par les contrôleur·ses de la CAF sur une période de deux ans, soit la durée de prescription des indus⁷Sur la durée de recherche des indus pour l’entraînement des modèles, voir ce courrier envoyé par la CAF à la CADA suite à notre demande de communication du code source de l’algorithme. Sur la durée de prescription, voir l’article L553-1 du CSS : elle est de deux ans pour les indus et de cinq ans en cas de fraude..

En d’autres termes, l’algorithme a pour seul objectif de maximiser les montants d’indus récupérables sans aucune considération pour une soi-disant détection précoce qui viserait à prévenir leur accumulation. Ainsi, présenter l’algorithme comme un outil au service de celles et ceux qui en subissent les conséquences est foncièrement trompeur.

Nier jusqu’à l’opacité

« Notre fonctionnement n’est pas opaque » ajoutait finalement le directeur de la CAF dans cette même lettre. Sachant l’énergie que nous avons dû déployer pour obtenir le moindre document relatif à la politique de contrôle de la CAF, il fallait oser.

Concernant l’algorithme lui-même, rappelons que nous avons dû batailler pendant plusieurs mois pour réussir à avoir accès au code de ce dernier. La CAF, dans des courriers que nous rendons publics avec cet article, s’est systématiquement opposée à sa publication. Elle ne l’a communiqué qu’après avoir été contredite par la Commission d’accès aux documents administratifs (CADA).

Pire, la CAF refuse systématiquement de transmettre la moindre information quant au fonctionnement de son algorithme aux allocataires faisant l’objet d’un contrôle. On pourra citer le cas d’une allocataire ayant subi un contrôle datamining que nous avons aidée à rédiger plusieurs courriers⁸Les demandes ont été envoyées au titre du droit d’accès aux documents administratifs prévu par le code des relations entre le public et l’administration, ainsi qu’au titre du droit d’accès aux données personnelles prévu par le RGPD. Suite au refus de la CAF, une saisine de la CADA a été faite et une plainte auprès de la CNIL a été déposée. La CAF se refuse toujours à communiquer la moindre information.. Pendant plus de 3 ans, cette personne a multiplié les recours juridiques pour comprendre les raisons de son contrôle : saisine CADA, courrier au défenseur des droits, plainte à la CNIL… Toutes ces démarches sont restées lettres mortes.

Enfin, la CAF ne nous a toujours pas communiqué le registre complet de ses activités de traitement⁹Prévu par l’article 30 du RGPD. ni l’étude d’impact de l’algorithme de notation. Nous avons dû, encore une fois, saisir la CADA pour tenter d’avancer.

Lutter contre les erreurs ?

Il existe cependant une chose sur laquelle tout le monde est d’accord : si les indus se concentrent sur les plus précaires c’est parce que les aides qui leur sont versées, en particulier les minima sociaux, sont encadrées par des règles complexes qui génèrent incompréhensions et erreurs involontaires.

Le directeur de la CAF dit ainsi que si « les allocataires les plus pauvres » sont « surreprésentés parmi les risques d’erreurs » c’est en grande partie parce qu’ils reçoivent « des aides plus complexes ». Il ajoute même que la « complexité déclarative » et l’« instabilité des droits […] sape la confiance » des allocataires¹⁰Message publié dans Résonances, le magasine interne à destination des plus de 30 000 agent·es de la CAF. Voir aussi ce ce thread twitter.. On complètera en rappelant que la complexité des règles d’accès aux minima sociaux est elle-même le fruit de politiques autoritaires de « lutte contre l’assistanat »¹¹Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. et que de nombreuses erreurs sont par ailleurs le fait de la CAF elle-même¹²Voir notamment cet article de La Croix..

Partant de ce constat, comment comprendre le traitement répressif réservé à celles et ceux dont tout le monde s’accorde à dire qu’elles sont victimes d’un dysfonctionnement administratif et politique ? Pourquoi choisir de déployer des moyens numériques colossaux — interconnexion de fichiers, droit de communication… — visant à réprimer celles et ceux qui ne font que subir une situation ? Comment expliquer que les dirigeant·es de la CAF encouragent une telle politique de la double peine ciblant celles et ceux qu’ils et elles sont censé·es servir ?

Ou en profiter?

Disons-le tout de suite : l’enjeu n’est pas financier. L’algorithme de datamining permet de récupérer à peine 200 millions d’euros par an sur un total d’environ 100 milliards de prestations versées par la CAF. Soit 0,2% du montant des prestations sociales. En admettant qu’aucun système ne puisse être parfait, ce montant semble dérisoire.

L’enjeu est politique. Ou plutôt d’image. Car depuis sa généralisation en 2011, l’algorithme est instrumentalisé par les dirigeant·es la CAF comme un faire-valoir de leur capacité de gestion de l’institution¹³Sur l’évolution des politiques de contrôle à la CAF voir Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ».. L’année de son introduction, la CAF écrira que « pour sa première année, le data mining a permis une évolution importante des rendements et résultats financiers […] »¹⁴Voir le rapport annuel de lutte contre la fraude 2012 disponible ici.. Devant l’assemblée nationale, un directeur de la CAF se félicitera que le « datamining […] fait la preuve d’une efficacité croissante » améliorant le « taux d’impact » des contrôles¹⁵Audition de Vincent Mauzauric à l’Assemblée nationale en 2020 disponible ici.. Un autre écrira que l’algorithme est devenu un outil central de la « politique constante et volontariste de modernisation des outils de lutte contre les fraudeurs »¹⁶Voir DNLF info n°23, juin 2014. Disponible ici..

Efficacité, rendement, modernité : voici les maîtres-mots utilisés par les dirigeant·es de la CAF pour asseoir une politique de communication construite autour de pratiques numériques de harcèlement des plus précaires dont ils et elles récoltent les bénéfices à travers la valorisation de leur savoir-faire gestionnaire. « Vous êtes souvent cités comme le “bon élève” ou “le chef de file” [en termes de politique de contrôle] » déclarera une députée à une directrice « Maîtrise des risques » de la CAF¹⁷Auditions réalisées par Madame Goulet et Madame Grandjean dans le cadre du rapport « Lutter contre les fraudes aux prestations sociales ». Les auditions sont disponibles ici. tandis que la cour des comptes louera l’amélioration de « l’efficicience de l’emploi des ressources affectées à la détection d’irrégularités » opérée grâce à l’algorithme¹⁸Cour des comptes. Rapport la lutte contre les fraudes aux prestations sociales. 2020. Disponible ici..

Mis en miroir des témoignages révélant la violence de ces contrôles et des procédures de récupération d’indus, ce type de discours laisse sans voix. Comment se souvenir qu’il provient pourtant de celles et ceux en charge de l’assistance aux plus démuni·es ?

Lutter

Voilà donc la réalité politique de l’algorithme de notation de la CAF et ce pourquoi il est si compliqué pour les dirigeant·es de la CAF de l’abandonner. Cela leur demanderait d’accepter de renoncer à ce qu’il leur rapporte : soit le rendement de la misère.

Avant de conclure, nous tenons à dire à toutes et tous les employé·es de la CAF que nous savons votre engagement auprès de celles et ceux qui en ont besoin et que nous vous en remercions. Course au rendement, suivi de la moindre de vos activités, surveillance informatique, pertes de moyens humains, dépossession des outils de travail : les pratiques de contrôle numérique de la CAF et la dégradation de vos conditions de travail ont les mêmes racines. C’est pourquoi nous vous appelons à vous mobiliser à nos côtés.

Quant à nous, nous continuerons à nous mobiliser aux côtés de tous les collectifs qui luttent contre les pratiques de contrôles de la CAF, au premier rang desquels Stop Contrôles, Changer de Cap et Droits Sociaux¹⁹Vous pouvez les contacter à stop.controles@protonmail.com, acces.droitssociaux@gmail.com et contact@changerdecap.net.. Nous appelons également à un questionnement plus large sur les pratiques des autres institutions sociales.

Pour nous aider, échanger, vous mobiliser, n’hésitez pas à nous écrire à algos@laquadrature.net. Notre clé publique est disponible ici.

References[+]

References

↑1	Message publié dans Résonances, le magasine interne à destination des plus de 30 000 agent·es de la CAF. Nous le republions ici. Voir aussi ce thread Twitter.
↑2	Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici.
↑3	Voir les témoignages récoltés par Changer de Cap ou le Défenseur des Droits et les écrits de Vincent Dubois.
↑4, ↑16	Voir DNLF info n°23, juin 2014. Disponible ici.
↑5	France Info, 09/12/2022. « La Caisse des allocations familiales utilise un algorithme pour détecter les allocataires « à risque » ». Disponible ici.
↑6	Plus précisément, le journal Le Monde a montré qu’il était entraîné pour maximiser à la fois la détection d’indus « importants », soit supérieurs à 600 euros par mois et d’une durée de plus de 6 mois, et les situations de fraudes. Voir les documents mis en ligne par Le Monde ici. Nous avions d’ailleurs fait une erreur dans notre article précédent : à la lecture des quelques documents que nous avions — la CAF avait refusé de nous communiquer le manuel technique alors qu’elle l’a donné au journal Le Monde — nous avions compris, sur la base de ce document que l’algorithme était entraîné pour détecter des indus totaux supérieurs à 600 euros, et non des indus mensuels supérieurs à 600 euros.
↑7	Sur la durée de recherche des indus pour l’entraînement des modèles, voir ce courrier envoyé par la CAF à la CADA suite à notre demande de communication du code source de l’algorithme. Sur la durée de prescription, voir l’article L553-1 du CSS : elle est de deux ans pour les indus et de cinq ans en cas de fraude.
↑8	Les demandes ont été envoyées au titre du droit d’accès aux documents administratifs prévu par le code des relations entre le public et l’administration, ainsi qu’au titre du droit d’accès aux données personnelles prévu par le RGPD. Suite au refus de la CAF, une saisine de la CADA a été faite et une plainte auprès de la CNIL a été déposée. La CAF se refuse toujours à communiquer la moindre information.
↑9	Prévu par l’article 30 du RGPD.
↑10	Message publié dans Résonances, le magasine interne à destination des plus de 30 000 agent·es de la CAF. Voir aussi ce ce thread twitter.
↑11	Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258.
↑12	Voir notamment cet article de La Croix.
↑13	Sur l’évolution des politiques de contrôle à la CAF voir Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ».
↑14	Voir le rapport annuel de lutte contre la fraude 2012 disponible ici.
↑15	Audition de Vincent Mauzauric à l’Assemblée nationale en 2020 disponible ici.
↑17	Auditions réalisées par Madame Goulet et Madame Grandjean dans le cadre du rapport « Lutter contre les fraudes aux prestations sociales ». Les auditions sont disponibles ici.
↑18	Cour des comptes. Rapport la lutte contre les fraudes aux prestations sociales. 2020. Disponible ici.
↑19	Vous pouvez les contacter à stop.controles@protonmail.com, acces.droitssociaux@gmail.com et contact@changerdecap.net.

]]> https://www.laquadrature.net/?p=22810http://isyteck.com/autoblog/quadrature/index.php5?20240110_145537_Smart_Police_d___Edicia__le_logiciel_a_tout_faire_des_polices_municipalesWed, 10 Jan 2024 13:55:37 +0000Dans le cadre d’une enquête sur les technologies de police prédictive dont nous vous reparlerons très bientôt, La Quadrature s’est intéressée de près à Edicia. Cette startup est peu connue du grand public. Elle joue pourtant un rôle central puisqu’elle équipe des centaines de polices municipales à travers le pays. Son logiciel Smart Police, dont nous avons obtenu le manuel d’utilisation, permet de faire un peu tout et n’importe quoi. Loin de tout contrôle de la CNIL, Smart Police encourage notamment le fichage illégal, une pratique policière en vogue…

L’entreprise Edicia a été créée en 2013 et a son siège à Nantes. Cette année-là, Vincent Loubert, un ancien consultant de Cap Gemini, rachète, avec le soutien du fonds d’investissement Newfund, une société de logiciels du nom d’Access, lancée à l’origine par un policier à la retraite qui cherchait à développer une application simplifiant le travail des policiers. Sous l’égide d’Edicia, ce logiciel va prendre le nom de Smart Police.

En 2019, après une expansion rapide en France (Edicia prétend alors équiper près de 600 villes à travers le pays)¹, la startup s’internationalise en développant ses activités aux États-Unis, vendant notamment son logiciel à la police de Denver, dans le Colorado, où elle ouvre même une antenne avec une trentaine de salariés. En France, cette année-là, la startup emploie une quarantaine de personnes et réalise des bénéfices pour la première fois depuis son lancement. Loubert affirme alors avoir consacré près de 10 millions d’euros à la R&D.

Depuis, il est possible que l’entreprise ait connu quelques difficultés financières. Le site d’Edicia comme ses comptes sur les réseaux sociaux sont globalement inactifs. Elle semble également embaucher moins de salariés. Pour autant, son logiciel Smart Police continue d’être utilisé au quotidien par des milliers de policier municipaux à travers le pays.

Aperçu de Smart Police

À quoi sert Smart Police ? À un peu tout et n’importe quoi. Il permet aux agents de police d’utiliser leur téléphone ou tablette pour rédiger leurs rapports directement depuis le terrain, d’ajouter à une base de donnée des clichés photographiques, de rapporter des évènements ou encore d’établir des procès-verbaux (voir les captures d’écran du logiciel à la fin de cet article, ou explorer le manuel d’utilisation au format HTML²). Smart Police est aussi utilisé par les officiers pour suivre depuis leurs bureaux les équipes sur le terrain, cartographier les incidents, consulter leurs rapports et recevoir divers indicateurs statistiques en temps réel, de même que les photographies prises en intervention (par exemple lors d’une manifestation).

Les villes de Marseille, Nice, Élancourt, Antony, Le Pré-Saint-Gervais, Libourne, Chinon, Coignères, Maurepas, ou encore la communauté de communes Grand Paris Sud- Seine Essonne Sénart comptent parmi les clientes d’Edicia (avec en tout 350 villes clientes d’après les derniers chiffres fournis sur le site d’Edicia). Mais bien évidemment, en dehors des affirmations péremptoires des patrons d’Edicia ou de quelques édiles relayés dans la presse, aucune étude disponible ne permet de démontrer le prétendu surcroît d’efficacité policière induit par Smart Police. Par ailleurs, une demande CADA nous a appris qu’une ville comme Cannes avait été cliente d’Edicia, avant de décommissionner le logiciel sans qu’on sache exactement pourquoi. Il est possible qu’à l’image de certains logiciels utilisés aux États-Unis puis abandonnés, le rapport coût-efficacité ait été jugé trop faible.

Fichage en mode YOLO ?

L’une des composantes les plus importantes de Smart Police, dont le manuel d’utilisation nous a été communiqué via une demande CADA et est désormais disponible, réside dans son menu « Activités de terrain », que les agents utilisateurs manient quotidiennement. Il leur permet de créer de nouvelles « mains courantes », d’écrire et de référencer des rapports de police (procès-verbaux) documentant diverses infractions que les agents de la police municipale sont autorisés à constater. Lorsqu’ils créent ces fiches, les agents doivent fournir des informations générales, la localisation géographique de l’événement, le type d’infraction, l’identité et les coordonnées du suspect ou des témoins (qui peuvent être enregistrées facilement en scannant une carte d’identité), etc. En tant que telles, ces fiches de signalement peuvent être détournées pour des finalités qui dépassent les prérogatives de la police municipale – lesquelles sont limitées, notamment en matière de contrôle d’identité³ –, et devraient être soumises à un contrôle étroit.

Un autre module présente un risque encore plus important de fichage illégal : il s’agit du module « Demande administré », qui comme son nom l’indique, permet d’enregistrer les signalements faits par des administrés à la police municipale (bruit, dégradation, présence d’un animal dangereux, etc.). Là encore, l’interface rend possible l’ajout de données géolocalisées et de photographies.

Enfin, Smart Police comporte un module « Vigilance active », au sein duquel les agents peuvent rassembler des informations non officielles sur des événements passés ou futurs. Par exemple, si un agent de police a rapporté une rumeur entendue dans la rue ou repérée sur les réseaux sociaux (par exemple concernant un « rassemblement non autorisé », ainsi que l’illustre le manuel), une fiche peut être créée pour la consigner. Celle-ci peut très bien comporter toutes sortes de données dont le traitement par la police est, dans un tel cadre, totalement illégal (identité des personnes suspectées d’organiser ce rassemblement, des photographies extraites des réseaux sociaux, etc.). Ces fiches de renseignement peuvent ensuite être transformées en « missions » assignées aux agents depuis l’interface à disposition des managers, conduire à la création de nouvelles fiches « mains courantes », mais aussi alimenter le module « Analyse prédictive » si la ville cliente d’Edicia y a souscrit (nous y reviendrons dans un prochain article).

On le comprend au regard de ces descriptions, Smart Police comporte un risque important de voir consignées des données identifiantes, et donc là encore de conduire à des opérations de fichage illégal. Notamment, il ne semble pas respecter le cadre réglementaire s’agissant des traitements automatisés utilisés par les polices municipales pour gérer les mains courantes, puisque ce dernier exclut la prise de photographies⁴.

Loin de tout contrôle

Par deux fois, nous avons interrogé la CNIL via des demandes CADA pour savoir si elle s’était penchée sur l’utilisation de Smart Police en France. Par deux fois, la même réponse nous a été faite : en dehors de quelques formalités préalables réalisées par une demi-douzaine de communes avant l’entrée en vigueur du RGPD, nada (voir ici pour la dernière réponse en date). Nous avons bien mis la main sur l’attestation de conformité RGPD, délivrée à Edicia par le cabinet Olivier Iteanu et obtenue via une demande CADA à la ville de Libourne, ainsi qu’un document relatif à la politique de gestion des données d’Edicia, mais celles-ci n’offrent aucun élément réellement rassurant s’agissant du risque de voir Smart Police servir à des opérations de fichage illégal. Enfin, aucune des dizaines de demandes CADA envoyées aux mairies s’agissant d’Edicia n’a mis en évidence de contrôle réalisé par les personnes déléguées à la protection des données au sein des villes.

Nos inquiétudes à ce sujet sont évidemment renforcées par des révélations récentes. La presse locale s’est récemment faite l’écho de pratiques de policiers municipaux dans une commune de la région PACA consistant à échanger, sur des boucles WhatsApp privées et à partir de leurs smartphones personnels, des données sensibles relatives à des personnes : images extraites de la vidéosurveillance, photos des personnes contrôlées, plaques d’immatriculation, pièces d’identité, etc⁵. Des pratiques totalement illégales mais dont on peut supposer qu’elles sont monnaie courante, non seulement au sein des polices municipales mais aussi au sein de la police nationale.

Quant au dernier rapport de l’Inspection générale de la police nationale (IGPN)⁶, il note une hausse sensible des faits de détournements de fichiers (56 enquêtes, contre 38 en 2021 et 27 en 2020), une évolution qu’elle qualifie de « préoccupante » :

Ces faits sont de gravité très inégale selon qu’ils procèdent de la curiosité « malsaine » (passage aux fichiers d’une ex-compagne ou d’un nouveau compagnon, de membres de sa famille, d’une personne connue, d’un chef de service, sans argent versé ou contrepartie) ou du commerce des informations récoltées. Ces cas sont les plus sensibles, lorsque les informations confidentielles issues des fichiers de police sont remises à des tiers, avec ou sans but lucratif. Si la preuve de la consultation illégale est assez simple à rapporter par les enquêteurs, il en va différemment pour la preuve éventuelle d’une rétribution à titre de contrepartie.

Pour l’institution, « cette situation tient à la fois à la multiplication du nombre de fichiers de police et une meilleure accessibilité », notamment du fait d’un déploiement croissant des tablettes et smartphones Neo, lesquelles permettent un accès plus aisé aux fichiers de police pour les agents de la police nationale et de la gendarmerie nationale. L’IGPN estime que l’intelligence artificielle pourrait permettre de détecter plus aisément ces consultations illégales.

Et maintenant ?

Pour notre part, plutôt qu’un solutionnisme technologique abscons, la réponse tiendrait plutôt à une désescalade techno-sécuritaire, à savoir le fait de battre en brèche l’augmentation exponentielle du fichage de la population, le recul constant des garanties concrètes apportées aux droits fondamentaux (recul auquel le RGPD et les textes associés ont participé par de nombreux aspects). Au minimum, les contre-pouvoirs institutionnels, comme la CNIL, devraient faire leur travail, à savoir lutter contre les illégalismes policiers, plutôt que d’instaurer une impunité de fait par leur coupable laisser-faire.

De ce point de vue, un premier pas dans la bonne direction consisterait à procéder à un contrôle résolu des polices municipales clientes d’Edicia, en n’hésitant pas à prononcer de vraies sanctions contre les responsables hiérarchiques dès lors que des infractions seront constatées.















Pour soutenir notre travail, vous pouvez faire un don à La Quadrature du Net.

---

1. À noter : sur son site web, Edicia se targue également de compter parmi ses clients quelques services du ministère de l’Intérieur, mais nos demandes CADA envoyées au ministère sur ces collaborations sont restées infructueuses, le ministère prétendant qu’il n’existe aucun lien avec Edicia. ︎
2. Le manuel d’utilisation de Smart Police est disponible à l’adresse suivante : https://technopolice.fr/police-predictive/manuel-edicia/Edicia.html. ︎
3. Lorsqu’ils créent des procès-verbaux dans Edicia, les agents sont invités à choisir parmi une liste d’infractions présélectionnées et tirées d’une base de données nationale catégorisant tous les types d’infractions (la base de données NATINF). Rappelons que les types d’infractions que les agents de police municipale peuvent constater sont très limités. Ils peuvent par exemple sanctionner les propriétaires de chiens dangereux qui ne respectent pas la loi, inspecter visuellement et fouiller (avec l’autorisation du propriétaire) les sacs et bagages lors de manifestations publiques ou à l’entrée d’un bâtiment municipal, délivrer des amendes en cas d’incivilités telles que le dépôt d’ordures dans la nature, le tapage nocturne, le fait de laisser des animaux dangereux en liberté, et constater la plupart des infractions au code de la route commises sur le territoire communal dès lors qu’elles ne nécessitent pas d’enquête. Cependant, les agents de la police municipale disposent de pouvoirs beaucoup plus étendus que ne le laisse supposer le code pénal : arrestation en flagrant délit d’une personne ayant commis un crime ou un délit passible de prison pour l’amener au poste de police nationale ou de gendarmerie le plus proche, établissement de rapports et procès-verbaux concernant tout crime, délit ou contravention dont les agents municipaux seraient témoins, documents qui peuvent soit être directement transmis à la police nationale ou à la gendarmerie, soit au maire. Celui-ci, ayant qualité d’officier de police judiciaire, transmet alors l’information au procureur de la république. Bien que la loi ne les autorise pas à procéder à des contrôles d’identité, les agents de police municipaux peuvent collecter l’identité d’une personne, tant qu’ils ne demandent pas de produire une pièce attestant de celle-ci, et sont autorisés à demander une preuve d’identité dans le cas des quelques délits qui rentrent dans leurs prérogatives. Le logiciel d’Edicia semble donc offrir des fonctionnalités qui vont bien au-delà du cadre juridique. Voir « Mémento policiers municipaux et gardes champêtres ». Ministère de l’Intérieur, 10 novembre 2021. https://www.interieur.gouv.fr/content/download/129786/1033871/file/memento-polices-muni-gardes-champetres.pdf. ︎
4. Arrêté du 14 avril 2009 autorisant la mise en œuvre de traitements automatisés dans les communes ayant pour objet la recherche et la constatation des infractions pénales par leurs fonctionnaires et agents habilités, consulté le 9 décembre 2023, https://www.legifrance.gouv.fr/loda/id/JORFTEXT000020692173. ︎
5. Éric Galliano, « Saint-Laurent-du-Var : Les policiers municipaux ont constitué leurs propres fichiers de délinquants », Nice Matin, 20 novembre 2023, https://www.nicematin.com/justice/a-saint-laurent-du-var-les-policiers-municipaux-ont-constitue-leurs-propres-fichiers-de-delinquants-886441. ︎
6. Voir le rapport d’activité de l’Inspection générale de la Police nationale pour l’année 2022, disponible à l’adresse : https://www.interieur.gouv.fr/Publications/Rapports-de-l-IGPN/Rapport-annuel-d-activite-de-l-IGPN-2022 ︎ ︎
]]> https://www.laquadrature.net/?p=22642http://isyteck.com/autoblog/quadrature/index.php5?20231219_102556_L___activisme_ecologiste__nouveau_terrain_d___experimentation_de_la_TechnopoliceTue, 19 Dec 2023 09:25:56 +0000Plusieurs affaires récentes ont mis en lumière la surveillance particulièrement intensive subie par les militantes écologistes. Outre l’arsenal administratif et répressif déployé par l’État pour les punir, c’est la nature des moyens utilisés qui interpelle : drones, reconnaissance faciale, marqueurs codés… Le ministère de l’Intérieur expérimente et perfectionne sur les activistes écologiques ses outils technopoliciers.

Plusieurs articles ont révélé le caractère intensif des moyens de surveillance et de répression déployés par l’État pour punir certaines actions militantes écologistes. Si cela avait déjà été documenté pour le mouvement de résistance nucléaire à Bure, c’est dernièrement le cas de l’affaire Lafarge pour laquelle un article paru sur Rebellyon a détaillé les outils mis en œuvre par la police afin d’identifier les personnes ayant participé à une action ciblant une usine du cimentier.

Vidéosurveillance, analyse des données téléphoniques, réquisitions aux réseaux sociaux, relevés ADN, virements bancaires, traceurs GPS… La liste paraît infinie. Elle donne une idée de la puissance que peut déployer l’État à des fins de surveillance, « dans un dossier visant avant tout des militants politiques » – comme le souligne Médiapart dans son article.

Pour avoir une idée de l’étendue complète de ces moyens, il faut y ajouter la création des cellules spécialisées du ministère de l’Intérieur (la cellule Démeter, créée en 2019 pour lutter contre « la délinquance dans le monde agricole » et la cellule « anti-ZAD », mise en place en 2023 à la suite de Sainte-Soline) ainsi que l’alerte donnée par la CNCTR (l’autorité de contrôle des services de renseignement) qui en 2023 a souligné son malaise sur l’utilisation accrue des services de renseignement à des fins de surveillance des organisations écologistes.

Les forces de sécurité semblent continuer de perfectionner et expérimenter sur les organisations écologistes leurs nouveaux outils de surveillance : drones, caméras nomades, reconnaissance faciale, produits de marquages codés… Parce que ces organisations leur opposent une résistance nouvelle, souvent massive, déployée sur un ensemble de terrains différents (manifestations en milieu urbain, ZAD, méga-bassines…), les forces de police semblent trouver nécessaire l’utilisation de ces outils de surveillance particulièrement invasifs.

Capter le visage des manifestantes

Outil phare de la Technopolice, le drone a été expérimenté dès ses débuts sur les écologistes. Difficile d’y voir un hasard quand (d’après la gendarmerie), la première utilisation d’un drone à des fins de surveillance par la gendarmerie a lieu dans le Tarn en 2015, pour évacuer la ZAD du barrage de Sivens. En 2017, c’est Bure (site prévu pour l’enfouissement de déchets nucléaires) qui sert d’expérimentation avant une utilisation officialisée pour la ZAD de Notre-Dame-des-Landes en 2018.

La gendarmerie y décrit dans sa revue officielle un contexte idéal d’expérimentation avec une utilisation permettant un « grand nombre de premières » : utilisation simultanée de drones et d’hélicoptères de surveillance, retransmission en direct des divers flux vidéos, guidage des tirs de lacrymogènes… Des utilisations qui seront ensuite reprises et normalisées dans les futures utilisations des drones, en particulier pour la surveillance des manifestations. À noter dans la revue officielle de la gendarmerie l’utilisation répétée du terme d’ « adversaires » pour décrire les militantes : « marquage d’adversaire », « manœuvre de l’adversaire »….

Ce n’est pas non plus un hasard si dans le Livre blanc de la sécurité intérieure, document publié fin 2020 par le ministère de l’Intérieur pour formuler un ensemble de propositions sur le maintien de l’ordre, l’exemple de Notre-Dame-des-Landes est cité pour justifier l’utilisation massive de drones, comme une « une étape importante dans la planification et l’exécution d’une opération complexe de maintien de l’ordre ».

Résultat : après la généralisation des drones dès 2020 avec le Covid-19, on a ensuite assisté, une fois l’ensemble légalisé à posteriori (et non sans difficultés), à la normalisation de l’usage des drones pour la surveillance des manifestations. Les drones sont aujourd’hui encore bien utiles à la police pour suivre les actions militantes écologistes, que ce soit récemment pour le Convoi de l’eau ou la mobilisation contre les travaux de l’A69.

À noter que l’imagination de la police et de la gendarmerie ne se limite pas aux drones en ce qui concerne les nouveaux moyens de surveillance vidéo. Plusieurs organisations ont documenté l’utilisation de caméras nomades ou dissimulées pour épier les allées et venues des activistes : caméras dans de fausses pierres ou troncs d’arbres pour la ZAD du Carnet, caméras avec vision nocturne en 2018 dans la Sarthe…

Ficher le visage des manifestantes

Autre outil phare de la Technopolice : la reconnaissance faciale. Rappelons-le : la reconnaissance faciale est (malheureusement) autorisée en France. La police ou la gendarmerie peuvent identifier des personnes grâce à leurs visages en les comparant à ceux enregistrés dans le fichier du traitement des antécédents judiciaires (TAJ). L’utilisation qui en est faite par les services de sécurité est aujourd’hui massive, estimée à plus de 600 000 fois en 2021 (donc plus de 1600 fois par jour).

Il est néanmoins assez rare d’avoir des exemples concrets de son utilisation pour comprendre comment et sur qui la police utilise ce dispositif. À ce titre, comme souligné dans l’article de Rebellyon, la reconnaissance faciale a été utilisée pour incriminer des personnes censément impliquées dans l’affaire Lafarge, avec l’utilisation d’images tirées de la réquisition des vidéosurveillances des bus de la ville pour les comparer au fichier TAJ. Médiapart dénombre dans son enquête huit personnes identifiées via ce dispositif.

Même chose pour la manifestation de Sainte-Soline : dans un article de juillet 2023, Médiapart relate que les quatre personnes qui ont comparu ont été retrouvées grâce à la reconnaissance faciale. Un premier procès plus tôt, déjà sur Sainte Soline, fait également mention de l’utilisation de la reconnaissance faciale.

Notons bien qu’au vu des chiffres cités plus haut, l’utilisation de la reconnaissance faciale est massive et n’est pas concentrée sur les militant·es écologistes (voir ici une utilisation récente pour retrouver une personne soupçonnée de vol). On constate néanmoins une utilisation systématique et banalisée de la reconnaissance faciale du TAJ, normalisée au point de devenir un outil d’enquête comme les autres, et de plus en plus présentée comme élément de preuve dans les tribunaux.

En 2021, nous avions attaqué devant le Conseil d’État cette reconnaissance faciale en soulevant que celle-ci devait légalement être limitée à la preuve d’une « nécessité absolue », un critère juridique qui implique qu’elle ne soit utilisée qu’en dernier recours, si aucune autre méthode d’identification n’est possible, ce qui n’était déjà pas le cas à l’époque. Cela l’est encore moins aujourd’hui à lire les comptes-rendus de Rebellyon ou de Médiapart.

Marquer les manifestantes

D’autres outils de surveillance, encore au stade de l’expérimentation, semblent testés dans les mobilisations écologistes. Parmi les plus préoccupants, les produits de marquage codés. Il s’agit de produits, tirés par un fusil type paintball, invisibles, indolores, permettant de marquer une personne à distance et persistant sur la peau et les vêtements. Ils peuvent être composés d’un produit chimique ou d’un fragment d’ADN de synthèse, se révélant à la lumière d’une lampe UV, porteurs d’un identifiant unique pour « prouver » la participation à une manifestation.

Comme rappelé par le collectif Désarmons-les, c’est dès 2021 que Darmanin annonce l’expérimentation de ce dispositif. Il semble être ensuite utilisé pour la première fois en 2022 lors d’une première manifestation contre la bassine de Sainte-Soline (via l’utilisation par la police de fusils spéciaux, ressemblant à ceux utilisés par les lanceurs paintball). En 2022, Darmanin dénombrait déjà plus de 250 utilisations de ce dispositif.

En 2023, son utilisation est de nouveau remarquée pour la manifestation contre la bassine de Sainte-Soline. Elle entraîne la garde à vue de deux journalistes qui ont détaillé à la presse la procédure suivie par la police et la gendarmerie pour récupérer et analyser la trace de peinture laissée par le fusil PMC.

Cet usage ne semble être aujourd’hui qu’à ses débuts. Dans le cadre d’un recours contentieux contre les drones, la préfecture de police, dans une surenchère sécuritaire sans limite, avait notamment émis le souhait de pouvoir équiper ses drones d’un lanceur de PMC. Le ministre de la Justice a également vanté l’utilisation de ces outils dans une récente audition sur le sujet, « utiles pour retrouver la trace d’un individu cagoulé ». Un rapport parlementaire de novembre 2023 rappelle néanmoins que son utilisation se fait aujourd’hui sans aucun cadre légal, ce qui la rend purement et simplement illégale. Si certains parlementaires semblent également s’interroger sur son efficacité, d’autres, dans un rapport sur « l’activisme violent », appellent à sa pérennisation et sa généralisation. Côté gouvernement, après l’avoir expérimenté sur les militants sans aucun cadre légal, le ministère de l’intérieur semble pour l’instant avoir suspendu son utilisation.

Les mouvements militants ne sont évidemment pas les seuls à connaître cette intensité dans le déploiement des moyens de surveillance : les exilées, les habitantes des quartiers populaires ont toujours été les premières à subir la militarisation forcenée des forces du ministère de l’Intérieur. Néanmoins, cette expérimentation des technologies sur les organisations écologistes est une nouvelle preuve de l’escalade sécuritaire et déshumanisée de la police et de la gendarmerie en lien avec la criminalisation des mouvements sociaux. La France est à l’avant-garde de la dérive autoritaire en Europe, puisqu’il semble être l’un des pays du continent ayant une pratique régulière et combinée de ces nouveaux outils

]]> https://www.laquadrature.net/?p=22604http://isyteck.com/autoblog/quadrature/index.php5?20231215_182858_QSPTAG__301_____15_decembre_2023Fri, 15 Dec 2023 17:28:58 +0000Procès du « 8 décembre » : le compte-rendu

Le procès de l’affaire du « 8 décembre » s’est tenu du 3 au 27 octobre dernier au tribunal de Paris. Nous en avions longuement parlé dans plusieurs articles avant l’audience, car la DGSI et le parquet national antiterroriste (PNAT), faute de trouver le moindre projet antiterroriste, reprochaient entre autres aux inculpé·es de chiffrer leurs données (disques durs et communications numériques), ce qui prouverait leur goût pour la « clandestinité ».

Bien entendu, la criminalisation du chiffrement des données est à la fois une aberration, puisque tout le monde utilise le chiffrement cent fois par jour, dans les messageries chiffrées (WhatsApp, Telegram, Signal ou autre), dans les connexions https ou dans le simple fait de protéger son disque dur ou son téléphone avec un mot de passe — et un vrai danger pour le droit fondamental à la vie privé et au secret des communications.
Les délires interprétatifs du PNAT et de la DGSI, payés pour voir le mal partout, pourraient passer pour une plaisanterie si d’une part leur suspicion n’avait pas bousillé la vie des sept inculpé·es, et si d’autre part le droit au chiffrement n’était pas remis en cause de façon concomitante par les États à tous les niveaux, aussi bien en France qu’en Europe.

Mais quelle place la question du chiffrement des communications a-t-elle réellement occupée lors des audiences du procès ? Nous y étions. Vous pouvez lire notre compte-rendu sur notre site.

Lire l’article : https://www.laquadrature.net/2023/12/14/outils-de-chiffrement-lors-du-proces-du-8-decembre-du-fantasme-a-la-realite/

Soutenez La Quadrature en 2024

Comme bon nombre d’associations, nous avons lancé fin novembre notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la défense du droit au chiffrement des communications, la promotion de l’interopérabilité des services Web, et la réflexion nécessaire autour du numérique dans le contexte de la crise écologique mondiale.

Cette semaine, nos publications ont mis l’accent sur la question de la dimension écologique du numérique, ou plutôt de sa nuisance écologique. Vous pouvez retrouver l’ensemble de nos « fils » sur nos réseaux sociaux : le numérique, à cause de la fabrication du matériel et de la consommation effrénée qu’entraîne une course artificielle à « l’innovation », participe aujourd’hui de façon très notable à la destruction de notre environnement, et se fait le vecteur privilégié de la publicité, qui a envahi le web au point de menacer son équilibre et son fonctionnement.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

La Quadrature dans les médias

À écouter

• JO : à quoi sommes-nous prêts à renoncer pour notre sécurité ? [France Culture]
• Une contre-histoire d’internet par Félix Tréguer [Actualité des luttes]

Algorithmes administratifs

• Entre la CAF et ses allocataires, l’algorithme de la discorde [La Croix]
• La CAF accusée de « ciblage discriminatoire » à cause de la technologie du « datamining » [Econostrum]
• Un arrêt de la Cour de justice de l’UE met en péril les algorithmes de « scoring » [Euractiv]

IA de surveillance

• EU: AI Act negotiators must not trade away our rights [Article 19]
• Surveillance biométrique, police prédictive, détection des émotions… ce que contient l’IA Act européen [L’Humanité]

Agenda

• 27-30 décembre 2023 : La Quadrature du Net sera au 37e Chaos Communication Congress (37C3) à Hambourg et tiendra une conférence le 28 décembre à midi (sauf changement de dernière minute par l’organisation) : https://events.ccc.de/congress/2023/infos/startpage.html.
• 11 janvier 2024 : Causerie mensuelle Technopolice Marseille – 19h – au Manifesten, 59 Rue Adolphe Thiers, à Marseille.
]]> https://www.laquadrature.net/?p=22587http://isyteck.com/autoblog/quadrature/index.php5?20231214_155214_Outils_de_chiffrement_lors_du_proces_du_8_decembre____du_fantasme_a_la_realiteThu, 14 Dec 2023 14:52:14 +0000Durant quatre semaines, en octobre dernier, se sont tenues au tribunal de Paris les audiences du procès du « 8 décembre ». Dans cette affaire, sept personnes sont poursuivies pour « association de malfaiteurs terroristes ». Toutes contestent les faits reprochés et trois ans d’instruction n’auront pas réussi à faire émerger la moindre preuve de projet terroriste. Parmi les « preuves » avancées par le parquet et les agents de renseignement pour démontrer cette intention « terroriste », on retrouvait des éléments relatifs à l’utilisation d’outils de protection de la vie privée, censés illustrer une certaine clandestinité. Scandalisé·es, nous avions révélé et dénoncé vigoureusement cet amalgame dangereux et malhonnête. Quelle a été la place accordée à ce sujet lors de l’examen de l’affaire par le tribunal correctionnel antiterroriste ? Retour sur les audiences auxquelles nous avons assisté, en amont de l’annonce du délibéré prévue pour le 22 décembre prochain¹Pour rattraper l’ensemble du contenu du procès, plusieurs médias ont fait un compte-rendu régulier des audiences, notamment le blog des comités de soutiens, Le Monde, Mediapart, lundimatin, L’Obs ou encore Libération..

Durant le procès, ont été successivement passées en revue les personnalités des prévenu·es, puis l’examen par thème des faits qui leur sont reprochés. Après la question des explosifs, de la détention d’armes, la pratique de l’« airsoft » (qualifiée d’« entraînements paramilitaires » par le parquet), la question du « numérique » a donc été examinée. Ainsi, plusieurs inculpé·es ont été questionné·es sur leur utilisation de logiciels et applications telles que Signal, Tor, Tails ou sur le chiffrement de leurs ordinateurs et disques durs. Cet interrogatoire a suivi la même ligne directrice que celle du dossier d’instruction, que nous avions révélé il y a quelques mois : à la fois une grande confusion quant à la compréhension technique de ces outils et une vision suspicieuse de la réalité de leurs usages. Trois prévenu·es ont ainsi été questionné·es sur ce qui les poussait à utiliser ces logiciels, comme s’il fallait une justification, une explication argumentée, alors qu’il s’agit d’outils sains, légaux et banals.

« Il est possible et non interdit d’avoir ces outils mais on peut se demander pourquoi dissimuler l’information » s’est ainsi interrogée la présidente. La suspicion de clandestinité couplée à une faible connaissance du sujet transparaissaient dans les questions : « Vous expliquez que l’usage de ce “genre de réseaux” [en l’occurrence Signal] était pour préserver votre vie privée, mais avez-vous peur d’être surveillée ? ». Ou encore : « Pourquoi cela vous avait paru important ou une bonne idée de découvrir ce “genre d’environnement” [cette fois-ci il s’agit du système d’exploitation Tails] ? ». Une juge assesseure n’a pas hésité à utiliser le champ lexical des armes quand elle a essayé de comprendre pourquoi un tel « arsenal complet de divers outils » a été utilisé, laissant présumer une « volonté de discrétion » de la part des prévenu·es. De l’autre coté de la barre, les inculpé·es ont répondu d’une façon simple et cohérente qui peut se résumer ainsi : « c’est ma vie privée, c’est mon droit, c’est important, il est banal d’utiliser ces outils, en particulier dans le monde militant dont on sait qu’il est de plus en plus exposé à la surveillance d’État ».

La question du refus de donner ses clés de déchiffrement a elle aussi été abordée. En l’occurrence, plusieurs prévenu·es ont refusé lors de leur arrestation de fournir aux agents de la DGSI chargés de l’enquête les codes de déverrouillage d’ordinateur, de téléphone ou encore de disque dur saisis en perquisition. En France, un tel refus peut constituer une infraction sur la base d’une disposition interprétée largement et très contestée. Face à l’incompréhension des juges — pourquoi s’exposer aussi frontalement à des poursuites pénales ? — les prévenu·es ne leur ont pas fourni les aveux attendus. Au contraire, les personnes interrogées ont amené la discussion plus loin, sur leurs libertés et droits fondamentaux, levant le voile sur la violente réalité des procédures antiterroristes. « Dans un moment de vulnérabilité telle que celui de la garde à vue, après avoir donné mon ADN, je voulais m’attacher à ce qu’il me restait d’intimité, je voulais la conserver » explique Camille, une prévenue présentée comme l’experte numérique par le procureur. Loïc, un autre inculpé renchérit : « Je savais que la DGSI allait réussir à déchiffrer mon matériel informatique et voir que je ne suis pas dangereux, c’était ma manière de montrer mon refus car ma liberté et mon intimité sont plus précieuses ».

Enfin, dans le but d’éclairer les juges sur le fonctionnement des outils mis en cause dans le dossier et la réalité de leurs usages, un membre de La Quadrature du Net, également développeur de l’application Silence, est venu témoigner au procès. Qu’il s’agisse du chiffrement, de Signal, Tor, Tails ou du système d’exploitation /e/OS, son témoignage est revenu sur la banalité des technologies derrière ces applications et leur usage généralisé et nécessaire dans la société numérisée contemporaine, loin des fantasmes de clandestinité de la DGSI et du parquet. Les magistrates ne lui ont pourtant posé que peu de questions. Le parquet, lui, s’est uniquement ému que des éléments du dossier, pourtant non couverts par le secret de l’instruction, aient pu être portés à la connaissance du témoin. Un mauvais numéro de théâtre qui laissait surtout deviner une volonté de le décrédibiliser lui ainsi que le contenu de son témoignage.

De façon générale, la place des pratiques numériques a été faible relativement à l’ampleur et la durée du procès, et bien en deça de celle qui lui était accordée dans le réquisitoire ou l’ordonnance de renvoi du juge d’Instruction. Quelle interprétation tirer à la fois du manque d’intérêt des juges et de la faible quantité de temps consacrée à ce sujet ? Difficile d’avoir des certitudes. On pourrait y voir, d’un coté, une prise de conscience des magistrates et du parquet de l’absurdité qu’il y a à reprocher l’utilisation d’outils légaux et légitimes. Rappelons que plus de 130 universitaires, journalistes, militant·es, acteur·rices du monde associatif et de l’écosystème numérique ont signé une tribune dans le journal Le Monde pour dénoncer cette instrumentalisation et défendre le droit au chiffrement. Mais d’un autre coté, cette désinvolture pourrait être le signe d’un manque de considération pour ces questions, notamment quant à l’importance du droit à la vie privée. Cela ne serait pas étonnant, dans une procédure qui se fonde sur une utilisation intensive de techniques de renseignement et sur une surveillance disproportionnée de sept personnes dont la vie a été broyée par la machine judiciaire.

La lecture du jugement est prévue pour le 22 décembre. Que le tribunal retienne le recours à des technologies protectrices de la vie privée dans la motivation de sa décision ou qu’il laisse cet enjeu de côté, le récit fictif de la police à ce sujet risque d’avoir des conséquences à long terme. Le précédent d’une inculpation anti-terroriste reposant essentiellement sur ce point existe désormais et il est difficile de croire qu’à l’heure où le chiffrement fait l’objet de nombreuses attaques, en France et en Europe, la police ne réutilisera pas cette logique de criminalisation pour justifier une surveillance toujours plus accrue de la population et des groupes militants.

References[+]

References

↑1	Pour rattraper l’ensemble du contenu du procès, plusieurs médias ont fait un compte-rendu régulier des audiences, notamment le blog des comités de soutiens, Le Monde, Mediapart, lundimatin, L’Obs ou encore Libération.

]]> https://www.laquadrature.net/?p=22521http://isyteck.com/autoblog/quadrature/index.php5?20231208_182121_QSPTAG__300_____8_decembre_2023Fri, 08 Dec 2023 17:21:21 +0000Interopérabilité : la voie à ouvrir pour le Web en 2024

L’interopérabilité des services Web, on vous en parle depuis un bail : en mai 2019, on signait une lettre commune avec 75 autres organisations européennes pour que l’idée soit inscrite dans les lois au niveau de l’Union, en juin 2019 on expliquait comment cette ouverture des réseaux sociaux permettrait d’échapper à l’algorithmisation des contenus haineux, et on republiait l’article de Stéphane Bortzmeyer qui vulgarisait excellemment bien la notion technique et politique d’interopérabilité.
En septembre 2020, nous saisissions l’opportunité d’une consultation en vue du Digital Service Act (DSA) pour pousser cette idée au sein de la Commission européenne.

Depuis lors, l’idée a fait son chemin. Nous n’avons cessé de l’affiner et de la proposer, sous forme d’élément d’analyse du débat et d’amendements législatifs, lors des débats parlementaires qui ont eu lieu à l’occasion de la loi Avia « contre la haine en ligne » ou de bien d’autres, à chaque fois en vérité que le gouvernement a préféré confier aux GAFAM et aux grands réseaux sociaux privés un pouvoir de censure et de surveillance supplémentaire, sans réfléchir aux mécanismes qui donnent à ces plateformes géantes une responsabilité démesurée dans le pourrissement du débat démocratique.

L’idée est mûre et doit maintenant s’inscrire dans la loi française et européenne. Mais c’est quoi l’interopérabilité ? Un principe tout simple, qui est à la racine d’Internet et à permis son essor incroyable : les services similaires utilisent les mêmes protocoles, ou les mêmes standards techniques, pour communiquer entre eux. L’exemple classique est celui de l’e-mail : sans un protocole commun, les utilisateurs de GMail ne pourraient pas écrire à ceux de Microsoft Outlook ou de ProtonMail. Or, à l’heure actuelle, les utilisateurs de Twitter, de Facebook, d’Instagram ou de BlueSky ne peuvent pas échanger entre eux. Chacun est captif chez soi, enfermé dans son « silo », à l’encontre de l’idée même du réseau ouvert et décentralisé d’Internet.

Les conséquences de cet enfermement sont innombrables et toutes sont toxiques. D’abord, ce public captif est soumis à une exploitation débridée (et illégale) de ses données personnelles, pour être ensuite gavé de publicités soi-disant « ciblées ». Ensuite, chaque personne étant enfermée avec des personnes qu’elle n’a pas forcément envie de fréquenter, des adversaires politiques radicaux par exemple, la plateforme en tire un avantage cynique : les algorithmes promeuvent en priorité les messages qui suscitent le plus « d’engagement », c’est-à-dire d’hostilité et de réactions outrées, afin de retenir les gens collés à l’écran, et de leur infliger encore plus de publicité… Enfin, quand on veut quitter cet enfer de polémiques stériles, de consumérisme abyssal et de conflictualité exacerbée, on doit laisser derrière soi tous ses contacts, « amis » ou « followers », c’est-à-dire renoncer à tout un pan de sa sociabilité, qui n’a rien de « virtuel » ou d’inférieur, dans son degré de réalité et d’importance, avec la sociabilité quotidienne ordinaire.

Imposer à ces plateformes toxiques une obligation d’être interopérables, c’est mettre fin à ces trois poisons que sont la surveillance publicitaire, l’antagonisation de la société, et la confiscation des liens amicaux. Quand on pourra s’inscrire à un réseau social libre, Mastodon par exemple, avec la garantie de ne pas y subir de publicité, d’y suivre des règles de modération auxquelles on adhère et auxquelles on peut même participer, et qu’on pourra y retrouver ses contacts qui utilisent d’autres services, alors la tyrannie de Twitter, de Facebook ou d’Instagram aura cessé d’exister.

Pour poser et expliquer très finement les mécanismes un peu expédiés ici, nous avons écrit un article exhaustif, qui sera notre référence dans les mois qui viennent et pour tous nos plaidoyers en faveur de l’interopérabilité. Une lecture solide à garder dans vos signets !

Notre argumentaire complet sur l’interopérabilité : https://www.laquadrature.net/interop/

Soutenez La Quadrature en 2024

Comme bon nombre d’associations, nous avons lancé fin novembre notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la réflexion nécessaire autour du numérique dans le contexte de la crise écologique, la défense du droit au chiffrement des communications, et la promotion de l’interopérabilité des services Web.

Cette semaine, nos publications ont mis l’accent sur les enjeux de l’interopérabilité, seule à même de briser le carcan des GAFAM et de nuire à l’envahissement de la publicité. Vous pouvez retrouver l’ensemble de nos « fils » sur nos réseaux sociaux : comment les grandes plateformes sont fermées grâce à leur structure technique, comment la fermeture des plateformes convient à leur nature de régies publicitaires géantes, comment la centralisation dans les grands réseaux sociaux privés favorise la censure d’État, et comment on peut imaginer les services alternatifs et interopérables de demain, et même d’aujourd’hui.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

La Quadrature dans les médias

Algo de la CAF

• L’algorithme de la CAF « automatise et amplifie les discriminations », selon La Quadrature du Net [Causette]
• L’algorithme de la CAF profile et discrimine ses allocataires [L’Humanité]
• Plus on est pauvre, plus on est contrôlé : la révélation des méthodes de la Cnaf interroge [Mediapart]
• L’opacité des algorithmes favorise les dérives au sein des établissements publics [Le Monde]
• ATD Quart Monde demande aux CAF d’abandonner leur algorithme « discriminatoire et pauvrophobe » [Le Monde]
• Algorithme des CAF : le département de Seine-Saint-Denis saisit la Défenseure des droits [Le Monde]
• Contrôles de la CAF : « En tant que mère célibataire, j’ai été ciblée par l’algorithme » [L’Obs]
• La CAF surveille-t-elle plus ses allocataires handicapés ? [Handicap.fr]
• Un projet d’IA peut en cacher un autre… moins éthique [Stratégies]

Divers

• De l’Internet libre à la dérive techno-autoritaire [Cairn]
• Reconnaissance faciale, les recours se multiplient [La Croix]
• Comment le Conseil d’État est devenu l’omniprésent arbitre des libertés [Mediapart]
• Le chiffrement, un droit fondamental à défendre [Ritimo]

Agenda

• 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
• 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 14 décembre 2023 : Table ronde au festival OSINT à La Gaité Lyrique – à 11h, à La Gaité Lyrique, 259 rue Saint-Martin 75003 Paris. Plus d’informations sur cette page.
• 27-30 décembre 2023 : La Quadrature sera au 37e Chaos Communication Congress à Hambourg.
]]> https://www.laquadrature.net/?p=22424http://isyteck.com/autoblog/quadrature/index.php5?20231204_144516_Pour_l___interoperabilite_des_reseaux_sociauxMon, 04 Dec 2023 13:45:16 +0000L’interopérabilité, c’est-à-dire la capacité pour différents systèmes de communiquer entre eux, est omniprésente dans notre quotidien. Partout où sont établis des standards – dans la langue et l’écriture, dans la circulation routière, dans les pièces mécaniques de nos machines, dans la connectique de nos appareils électroniques, dans les formats de nos fichiers numériques –, un certain nombre de règles permettent à deux systèmes distincts de fonctionner comme un seul, formant un écosystème.

Le monde informatique est fait de ces règles que l’on appelle « protocoles ». Certaines entreprises font le choix de concevoir plutôt des protocoles propriétaires, c’est-à-dire de poser des barrière pour bloquer la communication avec d’autres systèmes qui ne seraient pas sous leur contrôle. Cela leur permet de s’assurer que les personnes qui utilisent leurs logiciels ou leurs matériels soient dépendantes de l’entreprise. L’entreprise Apple, par exemple, est connue pour fonder l’ensemble de son modèle économique sur ces stratégies de fermeture : si la communication entre les différents appareils et logiciels Apple est possible, elle est rendue difficile voire impossible avec d’autres appareils et logiciels n’appartenant pas à la marque. Posséder un ordinateur Apple implique d’utiliser le système d’exploitation d’Apple, d’utiliser la connectique Apple et d’intégrer des logiques d’utilisation souvent très différentes, rendant les utilisateur·rices captif·ves de leur écosystème.



Les réseaux sociaux commerciaux comme Facebook, Twitter, Instagram, Youtube, TikTok et bien d’autres reposent sur l’absence de protocole pour communiquer vers l’extérieur : ils empêchent leurs utilisateur·rices d’opter pour d’autres moyens de communiquer et d’échanger des informations. Les contenus publiés sur l’un de ces réseaux sociaux ne sont accessibles qu’en passant par celui-ci. Toute communication vers l’extérieur est volontairement bloquée et il est parfois même nécessaire de se créer un compte pour consulter un contenu via une interface imposée (interface web ou application).

La stratégie des réseaux sociaux commerciaux fonctionne sur une logique de régie publicitaire. Pour être rentables, il leur faut rassembler un public auquel exposer la publicité de leurs annonceurs. Dans un premier temps, ces entreprises s’emploient à créer un logiciel de réseau social désirable, en mettant l’accent sur des fonctionnalités innovantes pour attirer des utilisateur·rices. L’usage de protocoles fermés n’est alors pas encore une nécessité. On se rappelle par exemple de Facebook, qui, entre 2008 et 2015, supportait le protocole XMPP dans sa messagerie privée, ce qui permettait à ses utilisateur·rices d’échanger avec les personnes ayant un compte AIM, ou utilisant d’autres messageries basées sur ce protocole. Ils constituent de cette manière une grosse base d’utilisateur·rices afin de renforcer ce qu’on appelle l’« effet réseau » de leur logiciel : plus il y a des personnes présentes sur le réseau social, plus cela en attire de nouvelles.

Une fois un certain seuil d’utilisateur·rices atteint, pour avoir une stratégie publicitaire plus offensive, les réseaux sociaux commerciaux investissent l’ensemble de leurs ressources pour servir la publicité. Cela a pour effet de dégrader le service, notamment en réorganisant les contenus créés sans but commercial en les diluant dans ceux « sponsorisés ». Le réseau social commercial n’est alors plus aussi attrayant pour le service qu’il offre, mais seulement en ce qu’il permet de communiquer avec les gens qui y ont un compte. La stratégie de mise en captivité devient alors une nécessité. Les techniques utilisées pour empêcher les utilisateur·rices de partir et en attirer d’autres malgré la dégradation du service passent alors par la fermeture des protocoles – voire l’impossibilité stricte de communiquer vers l’extérieur –, la complexification de l’accès au contenu pour les personnes non connectées, et bien d’autres obstacles.

Ce fonctionnement en silos semble être la norme aujourd’hui car cette méthode de captivité est efficace : alors qu’une grande partie des utilisateur·rices d’un réseau social commercial comme Facebook sont très critiques de ses méthodes de surveillance commerciale, de ses méthodes de modération, de son volontarisme à appliquer la censure réclamée par les États, de sa manière d’afficher en priorité des contenus publicitaires, iels continuent de l’utiliser car tous·tes leurs ami·es y sont.

Table des matières

Le caractère commercial à l’origine de la nécessité de centralisation

• Dissection d’un GAFAM, analyse technique de la logique de centralisation
• Centraliser et enfermer pour mieux surveiller

Modération, censure, espaces d’expression

• Centralisation : régime de modération unique
• Censure passive due au modèle économique
• La place privilégiée des contenus publicitaires
• Économie de l’attention, viralité boostée et censure par enterrement
• Censure active
• Le pouvoir des annonceurs
• Le pouvoir des États
• Le pouvoir de l’industrie culturelle
• Centralisation et censure par algorithme

L’obligation d’interopérabilité des réseaux sociaux comme outil de leur régulation

• Casser les silos : ouvrir de nouveaux possibles
• Comment cela fonctionne ? L’exemple du fédivers
• Régulation de l’expression par la décentralisation
• De nouveaux usages possibles grâce à l’interopérabilité
• Forcer l’interopérabilité : stratégies politiques et juridiques
• Le refus du législateur jusqu’à présent d’instaurer une obligation d’interopérabilité
• Un rapport de force entre grandes plateformes et États d’une part, et société civile d’autre part
• L’urgence à obliger les réseaux sociaux commerciaux à être interopérables
• La proposition législative de La Quadrature
• Prévoir les impacts de l’interopérabilité
• Protocole ouvert = accès massif aux données ?
• Décentraliser les espaces de discussions, c’est enlever du pouvoir aux États

Conclusion



Le caractère commercial à l’origine de la nécessité de centralisation

Dissection d’un GAFAM, analyse technique de la logique de centralisation

Pour mieux comprendre comment les réseaux sociaux commerciaux concentrent autant de pouvoir, commençons par analyser ce qui les compose. Nous prendrons ici l’exemple de Facebook, mais il en est de même pour Youtube, Tiktok et les autres :



Lorsque l’on parle de Facebook, on parle en réalité de plusieurs choses différentes. Premièrement, pendant longtemps, Facebook était le nom de l’entreprise qui commercialise le réseau social (depuis 2021, cette entreprise s’appelle Meta). Deuxièmement, c’est le nom du logiciel de réseau social. Ce logiciel détermine les règles applicables au service : il prévoit non seulement les fonctionnalités (l’échange de contenus privés, publics, d’images, etc.), mais aussi les conditions à respecter pour en bénéficier. Ce logiciel de réseau social détermine ainsi les restrictions, comme le fait d’empêcher de pouvoir communiquer avec d’autres logiciels que ceux de l’entreprise, via l’obligation d’utiliser des protocoles propriétaires. Ce logiciel est hébergé uniquement sur les serveurs de l’entreprise, ce qui garantit à cette dernière d’être la seule à pouvoir administrer le réseau social (c’est aussi ce qui lui confère une responsabilité juridique particulière). Troisièmement, Facebook est aussi le nom des interfaces qui permettent d’accéder au réseau social, que l’on appelle « clients ». Il s’agit à la fois de l’interface web accessible depuis un navigateur que des applications mobiles que l’internaute installe sur son smartphone.

Les stratégies de protocoles fermés sont appliquées à tous les étages techniques, ce qui confère au réseau social cette nature centralisée :

• il n’est pas possible d’héberger les contenus que l’on poste sur le réseau social ailleurs que sur les serveurs de l’entreprise ;
• le logiciel est construit de manière à ce qu’il ne soit pas possible d’accéder directement à des contenus publiés sur un autre réseau social ;
• la connexion au logiciel de réseau social ne peut se faire que via des clients développés et proposés par le réseau social, il est impossible d’utiliser des clients alternatifs (ou alors de manière très difficile en raison du manque de documentation des API pour les développeurs·euses tiers·ces ou de leurs restrictions d’usages).

Le principe d’interopérabilité veut précisément briser ces stratégies de centralisation technique qui sont à l’origine de la concentration du pouvoir des réseaux sociaux sur leurs utilisateur·rices. L’interopérabilité rendrait au contraire toutes ces choses possibles : héberger ses contenus où l’on veut, employer le logiciel de réseau social que l’on veut pour communiquer avec qui on veut, ou encore utiliser un client de son choix.

Centraliser et enfermer pour mieux surveiller

Le fonctionnement en silo des réseaux sociaux commerciaux maintient leurs utilisateur·rices captif·ves et leur permet d’imposer leurs conditions. Leur modèle économique étant basé sur la publicité ciblée, ils traitent un très grand nombre d’informations. Premièrement, les réseaux sociaux collectent les données fournies directement par l’utilisateur·rice. Cela varie d’un réseau social à un autre (en fonction de la politique propre à chaque service), mais on retrouve souvent l’âge, le nom, la nationalité, les centres d’intérêts, etc. Deuxièmement, les réseaux sociaux déduisent des informations à partir de l’usage fait par l’internaute. Ils peuvent recréer le graphe social (c’est-à-dire avec qui l’internaute interagit et à quelle fréquence), mais ils peuvent également traiter les métadonnées, c’est-à-dire ce qui entoure une communication : heure, fréquence et lieu de connexion, type de matériels et de logiciels utilisés, temps passé sur un contenu, etc.

Le but de cette collecte d’information est de dresser des profils types d’utilisateur·rices afin de leur adresser la publicité la plus ciblée possible – donc la plus « efficace » possible commercialement parlant. Par exemple, si vous êtes abonné·e à une page ou un compte d’un bar LGBT et que vous « likez » des posts de la Marche des Fiertés, le réseau social pourra commencer à déduire votre orientation sexuelle. Les réseaux sociaux commerciaux investissent beaucoup d’énergie, de recherche et développement dans ce domaine car c’est ce qui leur permet de satisfaire leurs vrais clients et sources de revenus : les annonceurs.

En théorie, en Europe, le règlement général sur la protection des données (RGPD) interdit de récupérer ces données sans le consentement libre de l’utilisateur·rice. En vertu ce de texte, un consentement est « libre » s’il est donné sans la menace d’être exposé·e à des « conséquences » négatives, comme de ne pas pouvoir accéder au service ou devoir payer pour y accéder. Ce règlement n’est pas respecté par la plupart des réseaux sociaux commerciaux. La grande majorité des utilisateur·rices, s’iels avaient le choix, refuseraient de donner les informations sur lesquelles reposent l’économie entière des entreprises concernées. C’est sur cette base qu’en 2018 La Quadrature du Net a déposé, avec 12 000 utilisateur·rices, des plaintes collectives contre les réseaux sociaux commerciaux Facebook et Linkedin. La procédure est encore en cours devant la CNIL irlandaise.

Le RGPD et la nécessité du consentement individuel ne sont donc pas suffisant·es en pratique pour lutter contre la surveillance commerciale. Ce règlement est très peu appliqué et ne propose qu’une solution individuelle, qui place l’utlisateur·rice devant un choix sans liberté : consentir à la publicité ou renoncer à utiliser le réseau social (donc se couper de ses contacts). Nous pensons, à l’inverse, que les réseaux sociaux et leur politique de modération et de fonctionnement doivent être gérés collectivement par les utilisateur·rices iels-mêmes. Autrement dit, il ne sert à rien d’essayer de réparer les réseaux sociaux commerciaux, il est préférable de s’organiser directement pour reprendre le pouvoir des communautés.

Si les réseaux sociaux étaient interopérables, les internautes pourraient déménager vers des réseaux sociaux non commerciaux, qui n’imposent pas de surveillance à leurs utilisateur·rices, sans pour autant perdre le contact avec leurs proches qui ont toujours un compte sur un réseau social commercial.

Modération, censure, espaces d’expression

Centralisation : régime de modération unique

Il existe de nombreux régimes de modération qui répondent à des besoins différents. Tout le monde est confronté au quotidien, en dehors des réseaux sociaux, à une multitude de régimes. Par exemple, en présence d’enfants, il est souvent d’usage de surveiller son langage et de ne pas employer de vocabulaire grossier. En fonction du contexte professionnel ou amical dans lequel on se trouve, on adaptera son registre de mots. Cela ne représenterait donc aucun intérêt de vouloir unifier ces régimes d’expression et impliquerait même, au contraire, une perte de diversité culturelle et un blocage des perspectives d’évolution de la langue. La langue est interopérable dans le sens où elle fournit à la fois un certain nombre de standards permettant aux gens d’être compris entre eux sans empêcher pour autant que puissent exister des règles plus spécifiques dans certains groupes. Il peut s’agir de règles tacites ou de règles verbalisées par le groupe. Cette diversité de régimes d’expression coexiste sans que l’un d’entre eux soit intrinsèquement meilleur.

Nous avons expliqué plus haut comment le fonctionnement en silo des réseaux sociaux commerciaux leur permet de concentrer tous les pouvoirs et d’imposer unilatéralement un certain nombre de règles à l’ensemble de leurs utilisateur·rices. En pratique, cela revient à déposséder en partie les espaces de discussion de leur pouvoir de choisir un régime d’expression donné. Cette dépossession n’est, certes, pas entière, car un certain nombre de régimes d’expressions sont compatibles avec les règles fixées par le réseau social. En revanche, dès qu’il s’agit de vouloir publier un contenu interdit par le réseau social, même lorsque ce contenu n’est pas illégal, les utilisateur·rices se retrouvent bloqué·es dans leur expression, ou censuré·es.

Les questions de pouvoir d’expression ne sont pas spécifiques à l’usage des outils numériques mais générales à l’ensemble de la société. La liberté d’expression, la liberté d’opinion, la liberté de recevoir ou de communiquer des informations, la liberté de la presse ainsi que les limites de ces droits que sont la diffamation, l’injure ou le dénigrement entendent encadrer nos échanges. Ces droits et leurs limites sont souvent invoqués pour formuler deux critiques à l’égard de ces réseaux. La première provient d’utilisateur·rices frustré·es d’avoir vu des contenus légaux modérés, iels sont attaché·es à voir leur liberté d’expression assurée et voudraient que les réseaux sociaux commerciaux n’aient pas le droit de supprimer des contenus qui ne soient pas illégaux. La seconde provient d’utilisateur·rices sont confronté·es à des contenus qui les offensent et aimeraient ne plus l’être, même si ces contenus ne sont pas manifestement illégaux.

Ces deux critiques quant à l’excès ou au manque de censure de la part des réseaux sociaux sont caractéristiques du problème central : celui d’un régime de modération unique imposé par les plateformes.

Le choix d’une organisation centralisée, qui impose les même règles à une grande quantité de groupes et de personnes différentes, est assez absurde et insatisfaisant pour les utilisateur·rices des réseaux sociaux. Mais la centralisation engendre d’autres problèmes, que nous évoquons par la suite, davantage dus à la concentration des pouvoirs.

Censure passive due au modèle économique

La place privilégiée des contenus publicitaires

Les réseaux sociaux commerciaux ont cette particularité de ne pas seulement héberger le contenu de leurs utilisateur·rices, mais également celui de leurs clients : les annonceurs. Honneur aux payeurs, l’ensemble du réseau social est façonné dans un seul but : maximiser l’exposition au contenu publicitaire et renforcer son efficacité, c’est-à-dire conduire les utilisateur·rices à cliquer sur la publicité. Les données personnelles recueillies servent donc à dresser des profils d’utilisateur·rices pour leur adresser la publicité à laquelle iels seraient le plus sensibles, mais tout le reste du réseau social sert également cet objectif. Les algorithmes ont donc pour but de donner plus ou moins d’importance à tel ou tel contenu afin de le sur-visibiliser ou le sous-visibiliser, dans l’optique de pousser l’utilisateur·rice à rester le plus longtemps sur le réseau, et à être la ou le plus receptif·ve possible à la publicité.

Économie de l’attention, viralité boostée et censure par enterrement

L’ensemble de ces stratégies visant à pousser l’utilisateur·rice à rester longtemps sur la plateforme est couramment appelé « économie de l’attention ». En pratique, les algorithmes d’organisation des contenus repèrent ceux qui font polémique et qui provoquent un engagement spontané de la part des utilisateur·rices, afin de leur donner une place privilégiée en les faisant apparaître plus haut dans le flux de l’internaute ou dans les résultats de recherche, voire en envoyant une notification à l’utilisateur·rice. L’espace d’expression étant limité, cette mise en avant de certains contenus conduit également à sous-visibiliser les autres : les contenus plus complexes, plus étayés, nécessitant plus d’investissement de la part du public et n’obéissant pas aux critères de création de contenus valorisés par les réseaux sociaux commerciaux sont moins souvent mis en avant et proposés à la lecture. Ils subissent alors une censure invisible, dite « censure par enterrement ».

Ces mécanismes renforcent l’addiction au réseau social et sont à l’origine de la viralité mondiale de certains contenus. Ils sont également à l’origine de la grande propagation de contenus problématiques. Les contenus qui entraînent beaucoup d’engagement de la part des internautes sont souvent des contenus clivants et choquants. C’est le cas des contenus racistes, du harcèlement, des fausses informations, des images d’actes de violence.

Ces contenus suscitent de l’engagement de toute part : celleux qui les soutiennent les partagent en masse, et celleux qui s’y opposent sont offusqué·es et les partagent en masse pour les dénoncer. En 2019, la tuerie de l’église de Christchurch en Nouvelle-Zélande a été filmée et diffusée en direct par son auteur sur Facebook. Elle a été massivement partagée par des personnes d’extrême droite. Facebook n’a pas bloqué ces images et, pire, leur a donné une viralité supplémentaire car, étant choquantes, elles ont suscité beaucoup d’engagement.

Malheureusement, quand il s’agit de lutter contre les effets délétères des stratégies commerciales des réseaux sociaux, le réflexe des États n’est jamais de remonter aux causes du problème. La solution proposée est toujours d’en passer par une loi de censure, imposant aux réseaux sociaux de supprimer tel ou tel type de contenus, validant ainsi la giga-structure centralisée des réseaux sociaux commerciaux, pourtant à la base du problème.

Censure active

Les réseaux sociaux commerciaux ayant un grand pouvoir sur leurs utilisateur·rices, il est intéressant de voir et de critiquer les décisions prises par les entreprises qui les possèdent. On peut penser par exemple à la volonté de Mark Zuckerberg de mener une politique «  antisuicide » sur son réseau social (Facebook) reposant sur l’analyse automatisée des contenus et non un accompagnement humain, ou encore aux transformations qu’a subies Twitter après son rachat par Elon Musk en novembre 2022. On voit alors comment la volonté d’un seul homme ou d’une seule entreprise peut avoir des conséquences sur des millions de personnes. Mais il est plus intéressant encore de voir que la majorité des décisions qui sont prises viennent surtout d’autres forces extérieures à l’entreprise, et auxquelles les réseaux sociaux commerciaux doivent se plier pour conserver leur place hégémonique.

Le pouvoir des annonceurs

Le modèle économique basé sur la publicité motive les réseaux sociaux commerciaux à se modeler en fonction de celle-ci. Nous avons qualifié cette dynamique de « censure passive » car la censure n’en est qu’un effet secondaire. Mais il existe aussi une demande active de censure de la part des annonceurs, en particulier pour que leur publicité ne soit pas affichée à côté de certaines catégories de contenus. Récemment avec Twitter, des annonceurs se sont retirés en raison de la recrudescence de contenus d’extrême-droite. Cette pression possible des annonceurs sur les plateformes explique aussi pourquoi on retrouve souvent des règles de censure proscrivant la nudité. Cette influence n’est pas spécifique aux réseaux sociaux : partout où il y a un financement publicitaire, les annonceurs ont le pouvoir de retirer leur publicité (et donc leur financement) si leurs exigences en matière de censure ne sont pas respectées (la presse papier, également, est souvent tributaire du pouvoir de ses annonceurs).

Le pouvoir des États

Le pouvoir centralisé des réseaux sociaux commerciaux représente aussi une opportunité de pouvoir pour les États. Nous l’avons particulièrement vu durant ces cinq dernières années. Les volontés de censure des États viennent du constat d’un changement dans les dynamiques d’expression en ligne dont nous avons expliqué les causes (le caractère commercial des réseaux sociaux et leur caractère centralisé). Pour autant, le biais d’administration centralisée de l’État ou le manque de temps nécessaire à cette compréhension n’ont pas conduit les représentant·es politiques à vouloir remonter à la racine des problèmes. À chaque « problème » identifié — haine et harcèlement, contenus violents, fausses informations, etc — l’urgence les a toujours conduit à valider le pouvoir de l’instance centralisée des réseaux sociaux commerciaux en leur imposant de durcir leur modération, souvent dans des délais courts qui ne peuvent être respectés que par l’usage d’algorithmes de filtrage des contenus.

Le pouvoir de l’industrie culturelle

La création de contenus sur les réseaux sociaux est très prolifique et a apporté un renouveau dans les moyens d’expression et la production de contenus créatifs. Le vieux modèle de production d’œuvres culturelles, façonné lui aussi pour obéir à des impératifs économiques au détriment de l’écosystème créatif et des populations nécessitant un accès à la culture, n’a pas disparu pour autant. Sous la pression de l’industrie culturelle, les réseaux sociaux commerciaux — c’est particulièrement le cas de Youtube — ont mis en place des algorithmes pour censurer certains contenus qui ne respecteraient pas le droit d’auteur. L’industrie culturelle a par la suite, avec l’aide du législateur, réussi à imposer cette idée qu’il faudrait surveiller l’ensemble des contenus en ligne afin de repérer les œuvres « illégalement » partagées. Le fonctionnement de l’outil Content ID de Youtube, qui consiste à comparer les condensas (hash) de musiques et vidéos à une base de données de contenus protégés et, en cas de similitude, à bloquer le contenu a donc depuis été mis en place sur tous les grands réseaux sociaux commerciaux.

Centralisation et censure par algorithme

La très grande quantité de contenus que les réseaux sociaux commerciaux hébergent demande un lourd travail de modération. La motivation économique étant la raison première de leur existence, ils ont rapidement cherché à « rationaliser » la modération, à l’aide de la sous-traitance de ce travail à des « fermes de modérateurs » et à l’usage d’algorithmes de filtrage.

Les « fermes de modérateurs » sont des entreprises, souvent implantées dans des pays où les salaires sont très bas. Les conditions de travail y sont généralement très dures et les salarié·es sont exposé·es à une quantité phénoménale de contenus violents (aux conséquences psychiques lourdes sur les personnes) sortis de leur contexte (le contexte culturel variant d’un pays à l’autre, le contexte d’une publication serait de toute manière très difficile à appréhender). Leur travail sert à modérer les contenus des réseaux sociaux commerciaux et à entraîner des algorithmes dans le but d’automatiser la modération¹Lire les travaux du sociologue Antonio Casilli sur les « travailleurs du clic » et la déconstruction du fantasme selon lequel l’intelligence artificielle remplacerait le travail humain. Casilli, Antonio. En attendant les robots – Enquête sur le travail du clic, Seuil, 2019.

Pour ces raisons, la modération par algorithme n’est pas souhaitable. Elle est en plus de cela largement fantasmée. Comme en témoigne l’exemple de la tuerie de Christchurch que nous présentions plus tôt : les algorithmes remplissent mal l’objectif de censure qui leur est donné et laissent passer des contenus qu’ils étaient censés censurer. Ces erreurs fonctionnent aussi dans l’autre sens : certains contenus qui ne devraient pas être censurés par l’algorithme le sont quand même. Diverses représentations d’œuvres d’art se sont ainsi retrouvées censurées, suscitant de vives polémique.

Le législateur, valide, encourage et va parfois jusqu’à imposer l’usage des algorithmes de filtrage en exigeant des délais très court aux retraits de contenus. La directive européenne sur le droit d’auteur et le règlement européen relatif à la prévention de la diffusion de « contenus à caractère terroriste » en ligne qui imposent l’usage de ces algorithmes semblent passer totalement à côté de la réalité de comment sont entraînés ces algorithmes et de leur soi-disant « efficacité ».

L’interopérabilité, et son objectif de décentralisation, permettrait de remettre en avant la modération humaine effectuée par des personnes concernées ayant un regard plus juste et contextualisé sur les contenus à modérer.

L’obligation d’interopérabilité des réseaux sociaux comme outil de leur régulation

L’interopérabilité des réseaux sociaux consiste à permettre à un·e utilisateur·rice inscrit·e sur une plateforme A de pouvoir communiquer avec celleux inscrit·es sur une plateforme B, et inversement, sans pour autant avoir besoin de compte sur cette deuxième plateforme. Un·e utilisateur·rice pourrait écrire à des personnes qui sont sur une autre plateforme et s’abonner à leurs fils d’actualités ou pages sans avoir besoin de compte chez les autres réseaux sociaux, donc sans accepter non plus leurs conditions générales d’utilisation et leur surveillance.

L’objectif principal de La Quadrature du Net lorsqu’elle demande au législateur de contraindre les plus gros réseaux commerciaux de devenir interopérables est de briser leurs silos afin que leurs utilisateur·rices puisse échapper à leur captivité et rejoindre d’autres réseaux. Le fait de briser ces silos a de nombreuses conséquences possibles, dont certaines nous semblent particulièrement désirables.

Casser les silos : ouvrir de nouveaux possibles

Comment cela fonctionne ? L’exemple du fédivers

Le fédivers (de l’anglais fediverse, mot-valise entre « fédération » et « univers ») est un grand réseau social permettant d’échanger des informations, des photos, des vidéos, de la musique, … Il est très différent des réseaux sociaux commerciaux dans sa conception, mais s’utilise de manière similaire au quotidien. Nous prenons cet exemple car il a connu un essor ces dernières années (notamment avec le logiciel Mastodon), mais il ne s’agit pas forcément pour autant de la meilleure solution technique : plusieurs voies sont en cours de développement et les choix techniques et standards choisis ont toujours des conséquences sur l’organisation des réseaux et sur les utilisateur·rices. L’avantage des protocoles ouverts comme ActivityPub (sur lequel se fonde le fédivers), ou encore Matrix, Solid, XMPP, Diaspora, etc., est qu’ils rendent possibles de créer des ponts entre eux, de « traduire » un protocole vers un autre²Souvent la mise en place de tel « bridge » n’est pas aussi efficace et fonctionnel que si le protocole utilisé était le même, mais cela permet tout de même de maintenir un lien entre eux.. Ces protocoles ont donc l’intérêt de faire fonctionner plusieurs réseaux sociaux comme un seul.

Dans le fédivers, tous les rôles que nous avons décrit plus haut sont gérés par des acteurs différents qui ont des noms différents : le réseau social s’appelle « fédivers », le protocole « ActivityPub », et les logiciels sont très nombreux (on vous en présente quelques uns plus bas). Cela peut donner une sensation de complexité pour les utilisateur·rices, mais c’est ce qui garantit l’ouverture du réseau, la possibilité d’en créer de nouvelles parties, et permet surtout la déconcentration des pouvoirs.

Dans le fédivers, on trouve par exemple des alternatives à Twitter : Mastodon est la plus connue, mais il existe aussi GNU social, Pleroma, Misskey et d’autres. Il y a Peertube, une alternative à Youtube, Plume, une alternative à Medium, Mobilizon qui permet d’organiser des événements (et remplace les événements Facebook), Pixelfed, qui permet de partager des images et se propose comme alternative à Instagram, Lemmy, une alternative aux sites-forums d’agrégation d’actualité comme Reddit, ou encore Funkwhale qui permet d’héberger et partager des fichiers audio et se propose en alternative à Deezer ou Spotify.

Notons la place importante de nos ami·es de Framasoft dans le développement de cet écosystème de logiciels libres, notamment à travers leur travail sur Mobilizon et Peertube ainsi que le rôle des CHATONS, collectif d’hébergeurs alternatifs qui hébergent et administrent de nombreuses instances de réseaux sociaux décentralisés³Cette liste de logiciels du fédivers est loin d’être exhaustive : il en existe bien d’autres, d’autant plus si on ajoute les logiciels utilisant d’autres protocoles interopérable qu’ActivityPub. Ces logiciels libres sont plus ou moins proches des logiciels privateurs desquels ils sont l’alternative et sont dans des états de développement plus moins avancés..

Le fédivers fonctionne sur le principe de fédération : pour faire partie du réseau, il faut créer ou rejoindre une instance. Une instance est une version installée sur un serveur d’un logiciel qui communique avec ActivityPub. N’importe qui peut donc créer une instance. La Quadrature du Net a par exemple une instance Mastodon, mamot.fr.

Voici un schéma d’une instance Mastodon.
Contrairement aux réseaux sociaux commerciaux, on peut y accéder via des clients différents :


Contrairement aux réseaux sociaux commerciaux, plusieurs instances Mastodon peuvent se fédérer et permettre à leurs utilisateur·rices de communiquer entre elles tout en ayant des règles de modération différentes. Mais il y a également une nouveauté supplémentaire : différents logiciels, à partir du moment où ils sont basés sur ActivityPub, peuvent communiquer entre eux même si leurs usages sont différents. Ainsi, une personne avec un compte sur une instance Mastodon (dont l’usage est du micro-blogging) peut s’abonner à un compte PixelFed (partage d’images) ou bien commenter des vidéos hébergées sur une instance Peertube (partage de vidéos).



Nombreux·ses sont les utilisateur·rices qui souffrent de la démultiplication des comptes sur les messageries et les réseaux sociaux. L’interopérabilité pourrait devenir une solution permettant à chaque utilisateur·rices d’avoir des comptes uniquement sur les services qui l’intéressent tout en ayant la possibilité de communiquer avec quelqu’un ayant un compte sur n’importe quel autre service interopérable.

Régulation de l’expression par la décentralisation

La première étape pour transformer l’écosystème des réseaux sociaux passe donc par la possibilité pour les utilisateur·rices de se diriger vers les alternatives existantes, qui leur montreront ce que donnent des logiques de modération différentes de celles des réseaux sociaux commerciaux. Les logiciels de réseaux sociaux existants utilisant des protocoles interopérables proposent déjà des services qui permettent aux utilisateur·rices de s’extraire de la surveillance et de l’organisation des contenus au service de la publicité, de choisir parmi une multitude de régimes de modération différents, et même d’en créer de nouveaux.

On peut d’ores et déjà observer la différence, en termes de diffusion des contenus, qu’apporte le caractère décentralisé des politiques de modération, via une comparaison entre Mastodon et Twitter. Sur Mastodon, la modération est effectuée à l’échelle des instances (et donc de chaque serveur sur lequel est installée le logiciel Mastodon). Elle est faite par des personnes humaines, se référant aux règles de modération établies par l’instance en question. Les contenus problématiques ne bénéficient pas d’une viralité boostée comme sur Twitter ; au contraire, leur viralité est même plutôt freinée par les décisions de modération de chaque instance au fur et à mesure que les contenus atteignent différentes instances en étant partagés par des utilisateur·rices.



Ce système de modération est bien plus fin que la modération par algorithmes car les personnes humaines qui modèrent chaque instance ont une meilleure compréhension du contexte et se réfèrent à des règles collectives correspondant à l’espace d’expression dont elles sont les actrices. Par ailleurs, la décision de modérer ou non un contenu est beaucoup moins lourde de conséquences car elle n’entraîne pas pour tout le monde une interdiction d’accès au contenu : seule l’instance hébergeant le compte qui a posté le contenu peut le supprimer complètement. Une instance peut donc modérer un contenu chez elle, sans que cela n’impacte la manière dont le contenu sera vu sur les autres instances. Il n’y a donc pas de censure hégémonique. De cette manière, la logique décentralisée prend bien plus en compte la complexité du monde des espaces d’expression : elle accepte que la validité d’un propos ne soit pas binaire et dépende de l’espace où il est exprimé et des règles que celui-ci s’est données.

De nouveaux usages possibles grâce à l’interopérabilité

Ces initiatives sont pour la plupart en cours de développement et beaucoup de critiques peuvent leur être faites. Pour reprendre l’exemple précédent de la comparaison entre Mastodon et Twitter, de nombreux problèmes subsistent : Mastodon étant très largement inspiré de Twitter, il en copie le fonctionnement en favorisant par défaut les contenus publics, en étant construit comme une grande arène uniquement constituée de comptes d’individus, en valorisant le sentiment de récompense rattaché aux outils de mesure de la « performance d’un contenu » (les partages et les favoris), etc. Le fonctionnement par instance maintient corrélées les décisions de modération et la question de l’hébergement : les personnes ayant la capacité technique d’héberger une instance ont plus de pouvoir que les personnes qui n’ont pas cette capacité technique puisqu’elles en seront la plupart du temps administratrices.

Les critiques et pistes d’amélioration sont nombreuses et déjà très investies par l’écosystème de développeur·euses et d’utilisateur·rices des réseaux sociaux décentralisés. Parmi les réflexions en cours, celles s’intéressant aux modes de décisions collectives sont particulièrement intéressantes. Il y a un fort enjeu pour les groupes à avoir des outils en ligne qui leur permettent de s’organiser aussi librement qu’ils le souhaitent.

Ainsi, le protocole Scuttlebut propose un fonctionnement entièrement basé sur l’auto-hébergement et le pair-à-pair : les contenus sont hébergés directement par les utilisateur·rices et circulent de manière chiffrée au sein du réseau sur la logique du bouche-à-oreilles. Comme dans des discussions entre ami·es : on ne peut savoir ce qu’a dit quelqu’un que si quelqu’un d’autre nous le répète, le tout restant privé.

De même, Bonfire est un logiciel de réseau social basé sur ActivityPub qui permet de faire du microblogging. Il permet de reproduire les usages de type « Twitter », comme les alternatives que nous avons précédemment mentionnées, mais tente aussi de proposer de nouvelles fonctionnalités comme la possibilité de faire exister des logiques de groupes ou encore d’avoir une interface adaptable à différents usages.

Enfin, on soulignera les travaux de l’association Technostructures, qui formule plusieurs critiques à l’égard du protocole ActivityPub : le lien indissociable entre hébergement de l’instance et pouvoir de modération et le caractère public par défaut des contenus. C’est sur ce constat qu’elle développe Posca, un réseau social qui n’est pas basé sur le protocole ActivityPub mais sur le protocole Matrix (tout en proposant tout de même la fédération avec le fédivers via un pont). L’usage du protocole Matrix apporte aussi l’avantage que les échanges sont chiffrés.

Un autre enjeu est celui de l’avenir des réseaux sociaux. Les vieux réseaux sociaux commerciaux semblent depuis longtemps s’être figés. Parce qu’ils n’ont plus besoin d’attirer les utilisateur·rices avec de nouveaux usages intéressants depuis qu’ils les ont rendus captif·ves, on n’y voit quasiment plus rien de nouveau. Les quelques nouveautés ne servent que l’objectif économique des entreprises, comme la mise en avant par Meta de la réalité virtuelle à travers son idée de Metaverse qui répondait à une logique de création d’un nouveau marché (sur lequel Meta aurait eu un monopole grâce à son fonctionnement en silo) et s’est écroulée car ne répondant à aucun usage des utilisateur·rices. Il y a pourtant de nombreuses pistes à explorer pour proposer des usages réellement utiles aux groupes et aux personnes qui cherchent le bon moyen de communiquer. Promouvoir l’interopérabilité, c’est aussi rouvrir la question des usages médiatiques du Web et de leur devenir.

Forcer l’interopérabilité : stratégies politiques et juridiques

Il ne faut bien évidemment pas compter sur les réseaux sociaux commerciaux pour être interopérables de leur plein gré. La Quadrature du Net demande donc, depuis 2019, que soit instaurée dans le droit une obligation d’interopérabilité des grands réseaux sociaux.

Le refus du législateur jusqu’à présent d’instaurer une obligation d’interopérabilité

En France, la députée Laetitia Avia (LREM) a fait voté en 2020 une proposition de loi qui, sous couvert de lutte contre la haine en ligne, instaurait un gigantesque dispositif de censure obligatoire et arbitraire. Lors des débats parlementaires, La Quadrature a rappelé qu’il existe une autre manière de réguler les plateformes et de lutter contre la haine en ligne, sans passer par la censure, grâce à l’obligation d’interopérabilité afin de permettre aux internautes de quitter une plateforme toxique. Ainsi, en 2019, plus soixante-dix organisations, aux côtés de La Quadrature, demandaient au législateur d’obliger les grands réseaux sociaux commerciaux à être interopérables. Le choix du législateur a été d’ignorer cet appel, de rester dans une vision de régulation par la censure, et cette loi est aujourd’hui tombée dans les oubliettes de la République depuis que le Conseil constitutionnel l’a quasiment intégralement déclarée contraire à la Constitution.

Lorsque l’Union européenne a voulu réformer son cadre juridique sur le numérique avec le Digital Services Act (règlement sur les services numériques, ou DSA) et le Digital Markets Act (règlement sur les marchés numériques, ou DMA), de nombreuses associations de défense des libertés, dont La Quadrature, EDRi, ARTICLE 19, ou encore l’Electronic Frontier Foundation ont demandé à ce qu’une obligation d’interopérabilité des réseaux sociaux soit inscrite dans ces textes législatifs : l’Union européenne avait enfin l’occasion d’innover dans sa manière de réguler les géants du net. Le Parlement européen a été réceptif à cet appel : la version du DMA votée par le Parlement européen comportait une obligation d’interopérabilité des grands réseaux sociaux. Mais c’était sans compter sur les efforts de la France et de Cédric O, alors secrétaire d’État au numérique. Lors des négociations sur le DMA, la France, alors présidente du Conseil (l’autre organe législatif de l’UE à côté du Parlement européen), a obtenu, à la toute fin des négociations, le retrait de cette obligation d’interopérabilité.

Enfin, récemment, le gouvernement français a présenté en mai 2023 un projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN ») dont l’objectif est, entre autres, de réguler les plateformes en ligne. Là encore, de la même manière que la loi Avia, le gouvernement a préféré la solution de la censure à celle de l’interopérabilité des réseaux sociaux, grande absente. Et ici encore, alors que des député·es de gauche et du centre avaient proposé d’instaurer une forme d’obligation d’interopérabilité, le gouvernement s’y opposa. La raison de son refus ? Nous ne la connaîtrons pas : le ministre du numérique Jean-Noël Barraut n’a pas pris la parole pour s’expliquer, se contentant d’un lapidaire « Défavorable », et la majorité présidentielle suivit sagement l’avis négatif du ministre pour rejeter les amendements proposés.

Un rapport de force entre grandes plateformes et États d’une part, et société civile d’autre part

Alors que l’obligation d’interopérabilité des réseaux sociaux aurait pu devenir une réalité si la France et Cédric O n’avaient pas autant bataillé contre, les déclarations de ce dernier éclairent assez bien le rapport de force qui se joue aujourd’hui.

Dès 2019 en effet, Cédric O se montrait très réticent à l’idée d’obliger les grands réseaux sociaux à être interopérables. Devant la commissions des lois de l’Assemblée nationale, il regrettait le caractère « excessivement agressif pour le modèle économique des grandes plateformes » d’une obligation d’interopérabilité. Autrement dit, le secrétaire d’État a préféré sacrifier les libertés publiques et la possibilité d’explorer de nouvelles manières de s’exprimer en ligne sur l’autel des intérêts économiques des grandes plateformes.

Il y a donc un véritable rapport de force aujourd’hui autour de la question de l’obligation d’interopérabilité des réseaux sociaux, où grandes plateformes et États travaillent de concert. Meta, notamment, n’a pas hésité à critiquer l’interopérabilité pour ses risques – exagérés, nous revenons dessus plus bas – en termes de vie privée. Or, en juillet 2020, Facebook et Snapchat réussissaient à s’afficher aux côtés du Conseil national du numérique (CNNum) à l’occasion d’une table-ronde sur l’interopérabilité des réseaux sociaux et de la publication d’un rapport de l’institution très critique sur l’interopérabilité.

L’urgence à obliger les réseaux sociaux commerciaux à être interopérables

Il est particulièrement important d’agir et de faire en sorte que cette obligation d’interopérabilité des réseaux sociaux arrive vite, parce que de leur côté, les grands réseaux sociaux n’attendent pas. Reconnaissons un point à Cédric O lorsqu’il s’opposait pendant les débats sur la loi Avia à une telle obligation : elle remettra drastiquement en cause le modèle économique actuel des grands réseaux sociaux qui n’est possible, nous l’expliquions plus haut, que grâce à leur position hégémonique. Ces derniers n’investiront le champ de l’interopérabilité que s’ils y ont quelque chose à gagner.

Or, c’est précisément ce que voudrait faire Meta : lancer un réseau social interopérable sans attendre d’y être contraint par le législateur. L’entreprise a en effet annoncé à l’été 2023 que son nouveau réseau de microblogging, Threads, serait interopérable avec le reste du fédivers grâce au support du protocole ActivityPub. Bonne nouvelle ? Non, comme nous l’expliquions à l’époque. Meta profite de l’absence d’obligation d’être interopérable, donc de l’absence de régulation de ce domaine, pour devenir le plus gros acteur et ainsi, pouvoir peser sur les choix techniques du fédivers et du protocole ActivityPub.

En effet, aujourd’hui, parce qu’aucun réseau social n’a l’obligation d’être interopérable, le domaine de l’interopérabilité des réseaux sociaux n’est pas régulé. Cela fonctionne à peu près correctement lorsque l’écosystème des réseaux sociaux interopérables est composé de petits acteurs, qui ne cherchent pas le profit, donc qui ne voient pas le fédivers comme un marché à conquérir et qui ne cherchent pas à le canibaliser. Mais cet équilibre serait radicalement modifié avec l’arrivée d’une entreprise comme Meta : non seulement en raison de l’objectif commercial de Meta, mais également en raison du nombre d’utilisateur·rices qu’elles représenterait et du pouvoir d’influence que cela lui conférerait (les plus grosses instances Mastodon ont quelques centaines de milliers d’utilisateur·rices quand Facebook en a plusieurs milliards).

C’est pour cette raison qu’il est nécessaire que l’obligation d’interopérabilité s’accompagne d’une régulation de ce secteur. Aujourd’hui, même si la question de la nature de la régulation est ouverte, La Quadrature du Net estime, à défaut de meilleure solution, que celle-ci devrait prendre la forme d’un régulateur indépendant étatique, comme c’est le cas avec la régulation des télécoms et l’obligation de neutralité du net. En France, ce serait l’ARCEP, déjà chargée de réguler les télécoms. Ce régulateur aurait non seulement le pouvoir d’imposer aux géants les protocoles à implémenter (afin qu’un Meta ne puisse pas inventer son propre protocole fermé et ne l’ouvrir que partiellement pour garder le contrôle sur son évolution), mais pourrait également, avec des sanctions dissuasives, punir les réseaux sociaux commerciaux qui ne se plieraient pas à cette obligation (par exemple si un réseau social voulait se refermer après avoir capté une partie de la communauté, comme ce qu’il s’est passé avec Google et GTalk).

La proposition législative de La Quadrature

La Quadrature du Net a proposé à des député·es, à l’occasion du projet de loi SREN, d’instaurer une obligation d’interopérabilité par voie d’amendement. Deux amendements leur ont été proposés, qui peuvent être redéposés clé-en-main à l’occasion d’un futur véhicule législatif, voire être transformés en proposition de loi.

Le premier amendement vise à instaurer une véritable obligation d’interopérabilité. Il repose sur les définitions et seuils européen·nes et s’inspire de la proposition du Parlement européen d’instaurer une telle obligation dans le DMA. Lorsqu’un réseau social est un « contrôleur d’accès » (c’est-à-dire une grande plateforme) au sens de l’article 3 du DMA, il devra être interopérable. Cette obligation est contrôlée par l’ARCEP, qui voit ses pouvoirs de régulation et de sanction étendus à la question de l’interopérabilité.

Le deuxième amendement est un amendement de repli. Il n’instaure pas d’obligation d’interopérabilité, mais régule les plateformes qui, comme Meta, voudraient cannibaliser le fédivers. Cet amendement de repli repose sur les mêmes définitions du DMA, mais ne prévoit d’obligation de respecter les règles de l’ARCEP que si le réseau social commercial appartient à un « contrôleur d’accès » et est interopérable.

Prévoir les impacts de l’interopérabilité

Nous avons évoqué de nombreuses formes que peuvent prendre les réseaux sociaux grâce à l’interopérabilité, à travers les initiatives existantes : en reprenant certaines logiques des réseaux sociaux dominants dans une version décentralisée ou en proposant de nouvelles logiques de diffusion de l’information. On ne peut pas prévoir de manière certaine les dynamiques que provoqueraient une obligation d’interopérabilité. Toutefois, il est important d’envisager que cette obligation (ou la menace de la création d’une telle obligation) va provoquer des tentatives de « prise de marché » de la part du monde commercial.

Protocole ouvert = accès massif aux données ?

Pouvoir acceder aux informations et publications de nos proches sur les réseaux sociaux commerciaux, c’est aussi permettre aux personnes sur les réseaux sociaux commerciaux d’accèder aux informations et aux publications des personnes sur les réseaux sociaux non commerciaux qui ont une politique de gestions des données personnelles protectrice. Cela soulève donc la question suivante : l’interopérabilité risque-t-elle de donner une opportunité technique au réseaux sociaux commerciaux de récupérer également les informations issues des autres réseaux sociaux ? Bien sûr, cela serait parfaitement illégal, mais on ne peut pas faire confiance aux réseaux sociaux commerciaux pour respecter la loi, ils ne le font déjà pas.

Il est aujourd’hui déjà possible de collecter les informations publiquement accessibles sur un réseau social, en collectant les pages web qui contiennent les informations recherchées. Il est techniquement possible de faire une copie de toutes les pages publiques d’un réseau social pour analyser leur structure HTML et extraire le contenu (on appelle cela du scraping). Mais cette manière de faire est compliquée : il faut passer d’un contenu non-structuré (une page HTML) à un contenu structuré (l’information intéressante dans cette page HTML), ce qui n’est possible que par une analyse fine de la structure de la page HTML. Cette analyse est complexe mais les outils existent déjà ; c’est ce que fait par exemple l’administration fiscale française.

Or, l’intéropérabilité facilite la collecte par un acteur malveillant de données puisque le protocole servant à différentes instances pour communiquer entre elles (ActivityPub pour le fédivers) vise, précisément, à structurer les données. Mais cette facilitation technique de la collecte de données n’est pas le propre de l’interopérabilité : certains réseaux sociaux commerciaux proposent, parfois moyennant finances ou à des conditions strictes d’utilisation, des API (« application programming interface », ou « interface de programmation d’application ») qui permettent de structurer les données. Pour reprendre le cas de l’administration fiscale, celle-ci utilise ces API lorsqu’elle en a la possibilité et ne procède à du scraping que dans le cas où ces API ne sont pas disponibles.

Il est donc vrai que l’interopérabilité facilite le travail d’un acteur malveillant qui voudrait collecter des données. Mais il ne crée pas de nouveau risque à proprement parler, d’autant que ces outils de scraping sont largement à la portée des géants du Web.

Toutefois, ce débat – éminemment légitime – a pris de la place sur le fédivers lorsque l’entreprise Meta a annoncé la sortie de Threads, à terme basé sur le protocole ActivityPub donc pouvant communiquer avec d’autres instances du fédivers. Certain·es utilisateur·rices du fédivers ont notamment eu peur de voir leur données récupérées par Meta et de nombreuses instances ont même signé le « Fedipact », s’engageant à bloquer Threads.

En effet, une grande partie des utilisateur·rices du fédivers est particulièrement soucieuse aux questions de collecte de leur données personnelles. Nous ne pensons pas pour autant que cette crainte doive bloquer la possibilité de permettre aux personnes toujours captives des réseaux sociaux commerciaux de s’en echapper.

Décentraliser les espaces de discussions, c’est enlever du pouvoir aux États

Comme on l’a expliqué plus haut, l’interopérabilité a beaucoup d’avantages : pourquoi, alors, les États persistent-ils à vouloir maintenir des espaces de discussions centralisés au sein de quelques acteurs commerciaux ? Parce que cela répond à leur logique de recherche de pouvoir.

La régulation de l’expression en ligne est parsemé d’exemples où les États ont voulu accroître leur pouvoir. Il y a tout d’abord la question de la censure des expressions : avec le règlement européen « terroriste », il est possible pour une police de n’importe quel État de l’UE d’obliger le retrait d’un contenu, sans passer par un juge, qu’elle estimerait être à caractère terroriste. Avant les contenus terroristes, au début des années 2010, ce sont les contenus d’abus sur enfant qui ont, les premiers, été le prétexte pour ouvrir la boîte de Pandore de la censure administrative.

Or, il est beaucoup plus facile pour un État de discuter avec quelques acteurs commerciaux qui suivent des logiques de marchés et qui seront sensibles aux menaces économiques, qu’avec des collectifs informels, mouvants et difficilement palpables comme le fédivers en comporte. Les États ont donc intérêt à maintenir l’hégémonie des géants, puisqu’ils auront face à eux un petit nombre d’acteurs clairement identifiés.

Cette centralisation des réseaux sociaux permet de plus facilement faire pression sur eux pour censurer, y compris en dehors de tout cadre légal. Ainsi, à l’été 2023, lorsque des révoltes ont éclaté en France suite au meurtre par un policier d’un adolescent, la classe politique a ignoré les causes sociales de cette colère, et a préféré ressortir le vieux bouc émissaire des réseaux sociaux. Certains parlementaires et ministres, ainsi qu’Emannuel Macron, ont suggéré d’accentuer les obligations de censure s’imposant aux plateformes. Or, sans attendre une évolution législative, les réseaux sociaux commerciaux se sont s’exécuté. Ainsi, après une « convocation » par le ministère de l’intérieur, la responsable des affaires publiques de Snapchat, Sarah Bouchahoua (ancienne collaboratrice de Laetitia Avia), n’hésitait à révéler devant l’Assemblée nationale que, sur demande du gouvernement, le réseau social avait procédé au retrait de certains contenus. Une censure extralégale, qui repose sur une interprétation arbitraire et a maxima des conditions générales d’utilisation de la plateforme.

On voit bien le problème pour les États d’une généralisation des réseaux sociaux interopérables. Le ministre de l’intérieur ne pourra pas « convoquer » le fédivers. Ses décisions de censures, si elles sont illégitimes, seront d’un effet beaucoup plus réduit. Si une instance se voyait bloquée arbitrairement, ses utilisateur·rices pourraient migrer ailleurs.

Conclusion

Depuis 2019, date où nous avons commencé à expliquer aux parlementaires la nécessité de prévoir dans la loi une obligation d’interopérabilité, nos constats sur les dangers des pratiques hégémoniques des réseaux sociaux commerciaux n’ont pas bougé. Ce qui a évolué en revanche, c’est la volonté croissante des internautes de s’en libérer. Nous avons ainsi vu s’enchaîner les vagues de migration d’utilisateur·rices vers les alternatives. L’Internet libre aussi a bougé et foisonne de nouvelles initiatives porteuses d’idées à même de réellement réinventer le monde des réseaux sociaux. Nous avons également vu apparaître des stratégies d’interopérabilité adversarielle, c’est-à-dire des stratégies pour libérer de force les contenus présents sur les réseaux sociaux commerciaux et les rendre accessibles depuis d’autres services.

Malheureusement, nous avons aussi assisté à un enchaînement de lois de censure, cherchant à « réparer » les problèmes des réseaux sociaux tout en les confortant dans leur centralisation et leur hégémonie. L’interopérabilité devient une urgence.

Ce n’est pas la première fois que nos droits à communiquer et à partager des informations sont remis en question par la position hégémonique d’intermédiaires techniques à des fins commerciales. Dans les années 2010, les fournisseurs d’accès Internet ont cherché à tirer plus de profit de leur position en tentant de filtrer ou de ralentir l’accès à certains sites. Pour assurer un accès à Internet sans restriction de leur part, nous avons érigé la neutralité du net en principe fondamental d’Internet. Aujourd’hui face à la surveillance, la censure, les régimes de modération uniques et unilatéraux nous devons tous·tes ensemble pousser le principe d’interopérabilité et le rendre obligatoire pour les réseaux sociaux hégémoniques.

Nous plaçons la promotion l’interopérabilité des réseaux sociaux dans nos principaux combats pour l’année 2024. Ce principe est encore bien trop méconnu du grand public et une adhésion massives des populations faciliterait son insertion dans un texte de loi. Parlez donc de l’interopérabilité autour de vous !

Et pour soutenir La Quadrature du Net, n’hésitez pas à nous faire un don.

Faire un don

References[+]

References

↑1	Lire les travaux du sociologue Antonio Casilli sur les « travailleurs du clic » et la déconstruction du fantasme selon lequel l’intelligence artificielle remplacerait le travail humain. Casilli, Antonio. En attendant les robots – Enquête sur le travail du clic, Seuil, 2019
↑2	Souvent la mise en place de tel « bridge » n’est pas aussi efficace et fonctionnel que si le protocole utilisé était le même, mais cela permet tout de même de maintenir un lien entre eux.
↑3	Cette liste de logiciels du fédivers est loin d’être exhaustive : il en existe bien d’autres, d’autant plus si on ajoute les logiciels utilisant d’autres protocoles interopérable qu’ActivityPub. Ces logiciels libres sont plus ou moins proches des logiciels privateurs desquels ils sont l’alternative et sont dans des états de développement plus moins avancés.

]]> https://www.laquadrature.net/?p=22359http://isyteck.com/autoblog/quadrature/index.php5?20231201_171527_QSPTAG__299_____1_decembre_2023Fri, 01 Dec 2023 16:15:27 +0000Algorithmes de suspicion de la CAF : la preuve par les faits

C’est une enquête qui a duré 18 mois. Dès avril 2022, conjointement avec le collectif Changer de Cap, nous demandions l’arrêt des pratiques discriminatoires de la Caisse d’allocations familiales (CAF), qui utilise un algorithme pour attribuer un « score de suspicion » aux bénéficiaires des aides sociales, pour détecter les personnes les plus susceptibles de percevoir des sommes indues. Sous prétexte de lutter contre la « fraude sociale » — une ambition très populaire dans l’idéologie de la chasse à « l’assistanat » — fraude réelle dont toutes les études au sein même des agences de l’État ont depuis longtemps démontré qu’elle est majoritairement une fraude aux cotisations de la part des employeurs notamment, il s’agit avec cet algorithme de débusquer plutôt les bénéficiaires qui, du fait de la complexité des règles relatives aux minima sociaux, auraient touché des sommes plus importantes que celles à quoi ils et elles auraient droit.

Le « bon sens » tel qu’il s’exprime sur les réseaux sociaux, et nous avons pu le constater à chaque publication de nos articles, ne trouve pas d’inconvénient à ce procédé : « Il faut bien attraper les fraudeurs ! Vous préférez ne rien faire ? ». On peut discuter le principe, mais ce n’est pas le sujet. Le problème, comme souvent, est dans la manière de faire.

En pratique, la CAF dispose d’environ 1 000 types de données différents sur les allocataires et en utilise une quarantaine pour passer au crible la vie d’environ 13 millions de personnes. Leur vie personnelle et intime, sous prétexte de leur donner ou non de l’argent public, devient l’objet d’une analyse et d’un jugement, de fond en comble. Le logiciel mouline cette masse d’informations avec son petit mécanisme et sort à la fin pour chaque bénéficiaire un « score de suspicion » compris entre 0 et 1. S’il se rapproche de 1, le risque de fraude est considéré comme étant plus grand, et la personne concernée fera l’objet d’un contrôle humain par des agents soumis à une pression de rentabilité. En pratique, la sanction algorithmique touche d’abord les personnes les plus pauvres, soit que l’allocation retirée ou réduite représente une partie importante de leurs revenus de survie, soit qu’elle en représente la totalité.

Plus grave encore : nous avions l’intuition, après l’étude de plusieurs cas particuliers, que les critères qui faisaient augmenter le score de suspicion incluaient le fait d’être d’origine étrangère, de toucher le RSA, ou d’être une femme seule qui élève des enfants. Pour en avoir le cœur net, nous avions demandé à la CAF, par l’intermédiaire d’une « demande Cada », de publier son algorithme de calcul. La CAF a refusé autant qu’elle a pu de fournir le code-source logiciel, sous prétexte que sa publication permettrait aux « fraudeurs » de le contourner — peut-être en arrêtant fourbement d’être une femme noire au RSA, par exemple ?

Mais, faute d’avoir accès à la version actuelle, nous avons enfin obtenu la communication d’une ancienne version de cet algorithme de « scoring », et notre analyse est sans appel : oui, l’algo de flicage de la CAF pénalise, dans sa structure même et dans le poids qu’il donne aux critères d’évaluation, les personnes à l’emploi précaire, qui doivent changer de logement souvent et, de manière générale, qui ont des parcours de vie compliqués. Autrement dit, les personnes les plus précaires se retrouvent traquées et sanctionnées par une administration sociale. Nous demandons par conséquent l’interdiction de cette technologie numérique de contrôle social, qui cache sous la prétendue neutralité de la technique une politique sociale discriminatoire, dégradante et injuste.

Notre analyse complète de l’algorithme de la CAF : https://www.laquadrature.net/2023/11/27/notation-des-allocataires-lindecence-des-pratiques-de-la-caf-desormais-indeniable/

Soutenez La Quadrature en 2024

Comme bon nombre d’associations, nous avons lancé il y a quinze jours notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la promotion de l’interopérabilité des services Web, la lutte contre les algorithmes de contrôle social dans les administrations, la réflexion nécessaire autour du numérique dans le contexte de la crise écologique, et la défense du droit au chiffrement des communications.

Cette semaine, nos publications ont mis l’accent sur la question des algorithmes administratifs, dont notre travail sur l’algo de suspicion de la CAF était le point culminant. Vous pouvez retrouver l’ensemble de nos « fils » sur nos réseaux sociaux : la présentation de notre travail sur la CAF, une invitation à rejoindre la lutte contre les algos administratifs en demandant votre propre « score de risque », et un panorama du travail mené par ou avec nos partenaires européens.

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

La Quadrature dans les médias

Algo de la CAF

• Fraude sociale : selon la Quadrature du net, l’algorithme de la Cnaf a un « fonctionnement délibérément discriminatoire » [France Info TV]
• Qu’est-ce que le « score de suspicion » de la CAF, accusée de discriminer les plus précaires ? [Le Parisien]
• Allocations familiales : un « score de suspicion » antifraude accusé de discriminer les plus précaires à la CAF [RTL]
• Allocations familiales : un algorithme anti-fraude critiqué par des associations [Le Figaro]
• L’algorithme de la CAF, « un système de surveillance de masse particulièrement pernicieux » selon la Quadrature du Net [Clubic]
• Fraude aux allocations familiales : la CAF utilise bien des algorithmes qui ciblent les plus précaires, selon la Quadrature du Net [01Net]
• L’algorithme qui n’aimait pas les pauvres [Le Pavé numérique]
• La Quadrature du Net dénonce un « algorithme de la honte » utilisé par la CAF [Siècle Digital]

Divers

• Reconnaissance faciale : le logiciel de BriefCam devant le Conseil d’État [Mediapart]
• Vidéosurveillance algorithmique : mais que fait la police ? [France Culture]
• Contrôle de la majorité, cyberharcèlement… pourquoi la loi SREN inquiète autant ? [Journal du Geek]

Agenda

• 2 décembre 2023 : le groupe Saccage 2024 appelle à une journée d’action contre les Jeux Olympiques de Paris 2024, notamment en raison des mesures de surveillance numérique prévues par la loi JO. Plus d’informations : https://saccage2024.noblogs.org/archives/2480.
• 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
• 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 14 décembre 2023 : Table ronde au festival OSINT à La Gaité Lyrique – à 11h, à La Gaité Lyrique, 259 rue Saint-Martin 75003 Paris. Plus d’informations sur https://www.gaite-lyrique.net/evenement/festival-osint
• 27-30 décembre 2023 : La Quadrature sera au 37e Chaos Communication Congress à Hambourg : https://events.ccc.de/category/37c3/.
]]> https://www.laquadrature.net/?p=22126http://isyteck.com/autoblog/quadrature/index.php5?20231127_132334_Notation_des_allocataires____l___indecence_des_pratiques_de_la_CAF_desormais_indeniableMon, 27 Nov 2023 12:23:34 +0000Après plus d’un an de mobilisation contre les pratiques de notation des allocataires de la CAF au côté des collectifs Stop Contrôles et Changer de Cap¹Vous pouvez les contacter à stop.controles@protonmail.com et contact@changerdecap.net.
, et après avoir détaillé le fonctionnement de l’algorithme de la CAF et son cadre politique, nous publions aujourd’hui le code source de cet algorithme de notation. Nous vous invitons aussi à consulter notre page de présentation sur l’utilisation d’algorithmes similaires au sein d’autres administrations.

Les détails techniques de l’algorithme (code, liste de variables et leurs pondérations) et de la méthodologie employée pour la construction de profils-types sont présentés dans cette annexe méthodologique.

Petit à petit, la lumière se fait sur un système de surveillance de masse particulièrement pernicieux²La CAF n’est pas la seule administration à utiliser ce type d’algorithmes, mais elle fut la première à le faire. Nous reviendrons bientôt sur une vision plus globale de l’utilisation de ce type d’algorithmes par les administrations sociales dans leur ensemble.
 : l’utilisation par la CAF d’un algorithme de notation des allocataires visant à prédire quel·les allocataires seraient (in)dignes de confiance et doivent être contrôlé·es.

Pour rappel, cet algorithme, construit à partir de l’analyse des centaines de données que la CAF détient sur chaque allocataire³Si l’algorithme lui-même n’utilise que quelques dizaines de variables pour calculer la note des allocataires, celles-ci sont sélectionnées après une phase dite d’« entraînement » mobilisant plus de 1000 informations par allocataire. Pour des détails techniques voir l’article de Pierre Collinet « Le datamining dans les caf : une réalité, des perspectives », écrit en 2013 et disponible ici.
, assigne un « score de suspicion » à chaque allocataire. Ce score, mis à jour chaque premier du mois, est compris entre zéro et un. Plus il est proche de un, plus l’algorithme juge qu’un·e allocataire est suspect·e : un contrôle est déclenché lorsqu’il se rapproche de sa valeur maximale⁴Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés », p.258).
.

Lever l’opacité pour mettre fin à la bataille médiatique

Nos critiques portent tant sur la nature de cette surveillance prédictive aux accents dystopiques que sur le fait que l’algorithme cible délibérément les plus précaires⁵Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi Dubois V., Paris M., Weill P-Edouard., 2016, Politique de contrôle et lutte contre la fraude dans la branche famille, Cnaf, Dossier d’études, n°183 disponible ici
. Face à la montée de la contestation, les dirigeant·es de la CAF se sont réfugié·es derrière l’opacité entourant l’algorithme pour minimiser tant cet état de fait que leur responsabilité dans l’établissement d’une politique de contrôle délibérément discriminatoire. Un directeur de la CAF est allé jusqu’à avancer que « l’algorithme est neutre » et serait même « l’inverse d’une discrimination » puisque « nul ne peut expliquer pourquoi un dossier est ciblé »⁶Extrait de la réponse d’un directeur de la CAF aux critiques opposées par le Défenseur des Droits à l’utilisation de cet algorithme.
.

C’est pourquoi nous avons bataillé de longs mois pour que la CAF nous donne accès au code source de l’algorithme, c’est à dire la « formule » utilisée par ses dirigeant·es pour noter les allocataires⁷La CAF nous avait initialement communiqué un code source « caviardé » dans lequel la quasi-totalité des noms de variables étaient masqués. Nous avons finalement obtenu le code de deux versions de l’algorithme. La première a été utilisée entre 2010 et 2014. La seconde entre 2014 et 2018. Six variables ont tout de même été occultées du modèle « 2010 » et 3 du modèle « 2014 ».
. Nous espérons que sa publication mette un terme à ces contre-vérités afin, qu’enfin, puisse s’installer un débat autour des dérives politiques ayant amené une institution sociale à recourir à de telles pratiques.

L’algorithme de la honte…

La lecture du code source des deux modèles utilisés entre 2010 et 2018 — la CAF a refusé de nous transmettre la version actuelle de son algorithme — confirme tout d’abord l’ampleur du système de surveillance de détection des allocataires « suspect·es » mis en place par la CAF.

Situation familiale, professionnelle, financière, lieu de résidence, type et montants des prestations reçues, fréquence des connexions à l’espace web, délai depuis le dernier déplacement à l’accueil, nombre de mails échangés, délai depuis le dernier contrôle, nombre et types de déclarations : la liste de la quarantaine de paramètres pris en compte par l’algorithme, disponible ici, révèle le degré d’intrusion de la surveillance à l’oeuvre.

Elle s’attache à la fois aux données déclarées par un·e allocataire, à celles liées à la gestion de son dossier et celles concernant ses interactions, au sens large, avec la CAF. Chaque paramètre est enfin analysé selon un historique dont la durée est variable. Visant tant les allocataires que leurs proches, elle porte sur les plus de 32 millions de personnes, dont 13 millions d’enfants, vivant dans un foyer bénéficiant d’une prestation de la CAF.

Quant à la question du ciblage des plus précaires, la publication du code source vient donner la preuve définitive du caractère discriminant des critères retenus. Ainsi, parmi les variables augmentant le « score de suspicion », on trouve notamment :

• Le fait de disposer de revenus faibles,
• Le fait d’être au chômage,
• Le fait d’être allocataire du RSA,
• Le fait d’habiter dans un quartier « défavorisé »⁸Concernant la variable liée au lieu de résidence, cette dernière fait a priori partie des variables masquées dans le code reçu. Elle est toute fois mentionnées dans la réponse de la CAF à la CADA, ce pourquoi il nous paraît raisonnable de l’inclure ici. Voir notre annexe méthodologique pour une discussion détaillée de la formule.
  ,
• Le fait de consacrer une partie importante de ses revenus à son loyer,
• Le fait de ne pas avoir de travail ou de revenus stables.

Comble du cynisme, l’algorithme vise délibérément les personnes en situation de handicap : le fait de bénéficier de l’Allocation Adulte Handicapé (AAH) tout en travaillant est un des paramètres impactant le plus fortement, et à la hausse, le score d’un·e allocataire.

En un graphique

Bien entendu, ces facteurs sont corrélés et ne peuvent être considérés indépendamment les uns des autres. Il est ainsi probable qu’une personne aux faibles revenus ait connu des périodes de chômage ou bénéficie de minima sociaux etc…

Disposant tant des paramètres que de leurs pondérations, nous avons pu construire différents profils-types d’allocataires pour lesquels nous avons calculé les scores de suspicion⁹Pour ce faire, nous avons simulé les données nécessaires – une trentaine de variables – pour chaque « profil-type » puis utilisé l’algorithme pour calculer leur note. Pour plus de détails, voir notre annexe méthodologique.
. Entre les différents profils-types, nous avons seulement fait varier les paramètres liées à la situation professionnelle, aux revenus, aux prestations reçues, à la situation maritale ou de handicap.

Nous tenons à préciser que pour réaliser ces simulations, nous devons faire de nombreuses hypothèses dont il est parfois difficile de savoir si elles sont justes ou non. Ainsi, les scores simulés ci-dessous sont donnés à titre indicatif seulement. Nos résultats sont toutefois cohérents avec les analyses de Vincent Dubois basées sur des statistiques agrégées¹⁰Le sur-ciblage des personnes en situation de handicap – bénéficiaires de l’AAH – ne concerne que celles disposant d’un travail. C’est ainsi que ces résultats sont compatibles avec les analyses du chapitre 10 du livre Contrôler les assistés de Vincent Dubois qui regroupent l’ensemble des personnes en situation de handicap. Voir notre annexe méthodologique pour une discussion détaillée de ce point.
. Dans un souci de transparence, nous détaillons leur construction — et ses limites — dans une annexe méthodologique¹¹Voir notamment une méthodologie alternative utilisée par LightHouse Reports dans son article sur Rotterdam pour lequel les journalistes disposaient non seulement de la formule mais aussi de données sur les personnes visées. Elle est disponible ici.
.

Les profils-types correspondent tous à des foyers comprenant deux enfants à charge et sont censés correspondre à :

1. Une famille « aisée » aux revenus stables et élevés,
2. Une famille « modeste » dont les deux parents gagnent le SMIC,
3. Un parent isolé gagnant aussi le SMIC,
4. Une famille dont les deux parents sont bénéficiaires des minima sociaux,
5. Une famille dont un des parents est travailleur·se en situation de handicap : pour ce profil, nous simulons le score de la personne bénéficiant de l’AAH trimestrialisée.

Les résultats sont éclairants comme le montre le graphique ci-dessous. Les « scores de suspicion » des foyers les plus aisés sont bien plus faibles que ceux des foyers bénéficiant des minima sociaux ou de l’AAH trimestrialisée.

On observe également le ciblage des familles monoparentales, dont 80% sont des femmes¹²Voir la note de l’Insee disponible ici.
. Nos simulations indiquent que ce ciblage se fait indirectement — la CAF ayant peut-être jugé que l’inclusion d’une variable « mère célibataire » était trop risquée politiquement — en intégrant des variables comme le revenu total du foyer et le nombre de mois en activité cumulés sur un an des responsables du foyer, dont la nature vient mécaniquement défavoriser les foyers ne comprenant pas deux parents¹³A revenus égaux, un parent seul gagne moins que deux parents. Quant au nombre de mois d’activité sur une année, il ne dépassera jamais 12 par an pour une famille monoparentale mais peut aller jusqu’à 24 pour un couple. Ce ciblage est particulièrement fort dans les mois qui suivent une séparation, ce type d’évènement dégradant fortement le score d’un·e allocataire. Voir nos analyses additionnelles en annexe méthodologique.
.



Effets de seuil, discriminations et double peine

Il y a quelques mois, la CAF cherchait à minimiser la stigmatisation des plus précaires engendrée par son algorithme en expliquant que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière »¹⁴C’est ce qu’elle a déjà fait dans son « Vrai/Faux » sur le datamining où elle expliquait que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière ».
. Nos analyses viennent démontrer à quel point ce raisonnement est fallacieux.

Ce que montre notre graphique c’est justement que les variables socio-économiques ont un poids prépondérant dans le calcul du score, désavantageant structurellement les personnes en situation de précarité. Ainsi, le risque d’être contrôlé suite à un événement considéré comme « facteur de risque » par l’algorithme – déménagement, séparation, décès – se révèle inexistant pour un allocataire aisé puisque son score est initialement proche de zéro. A l’inverse, pour un allocataire du RSA dont le score est déjà particulièrement élevé, le moindre de ces évènements risque de faire basculer son score au-delà du seuil à partir duquel un contrôle est déclenché.

Pire, la plupart des variables non financières sont en fait liées à des situations d’instabilité et d’écart à la norme – séparation récente, déménagements, changements de loyers multiples, modification répétée de l’activité professionnelle, perte de revenus, erreurs déclaratives, faible nombre de connexions web… – dont tout laisse à penser qu’elles sont elles-mêmes liées à des situations de précarité. A l’opposé de ce que veut faire croire la CAF, tout indique que cet algorithme fonctionne plutôt comme une « double peine » : il cible celles et et ceux qui, parmi les plus précaires, traversent une période particulièrement compliquée.

Clore le (faux) débat technique

La CAF ayant refusé de nous communiquer la version la plus récente de son algorithme, nous nous attendons à ce que ses dirigeant·es réagissent en avançant qu’iels disposent d’un nouveau modèle plus « équitable ». En anticipation, nous tenons à clarifier un point fondamental : il ne peut exister de modèle de l’algorithme qui ne cible pas les plus défavorisé·es, et plus largement celles et ceux qui s’écartent de la norme définie par ses concepteurs.

Comme nous l’expliquions ici de manière détaillée, si l’algorithme de la CAF a été promu au nom de la « lutte contre la fraude », il a en réalité été conçu pour détecter les « indus » (trop-perçus). Ce choix a été fait pour des questions de rentabilité : les indus sont plus nombreux et plus faciles à détecter que des cas de fraude dont la caractérisation nécessite, en théorie, de prouver une intention¹⁵Les témoignages collectés par Stop Contrôles ou Changer de Cap montrent que la nécessité de prouver l’intentionnalité pour qualifier un indu de fraude – dont les conséquences pour un•e allocataire sont plus lourdes – est très régulièrement bafouée.
.

Or, ces indus ont pour cause principale des erreurs déclaratives involontaires, dont toutes les études montrent qu’elles se concentrent principalement sur les personnes aux minima sociaux et de manière plus générale sur les allocataires en difficulté. Cette concentration s’explique d’abord par le fait que ces prestations sont encadrées par des règles complexes — fruit des politiques successives de « lutte contre l’assistanat » — multipliant le risque d’erreurs possibles. Pour reprendre les termes d’un directeur de la lutte contre la fraude de la CNAF : « ce sont les prestations sociales elles-mêmes qui génèrent le risque […] ceci est d’autant plus vrai pour les prestations liées à la précarité […], très tributaires de la situation familiale, financière et professionnelle des bénéficiaires. »¹⁶Voir Daniel Buchet. 2006. « Du contrôle des risques à la maitrise des risques ». Disponible ici.
.

Nul besoin donc de connaître le détail de la formule de l’algorithme pour prédire quelles populations seront ciblées car c’est l’objectif politique de l’algorithme — détecter les trop-perçus — qui le détermine. C’est pourquoi laisser s’installer un débat autour de l’inclusion de telle ou telle variable est un jeu de dupes statistiques. La CAF pourra toujours substituer à une variable jugée politiquement « sensible » d’autres critères jugés « acceptables » permettant d’aboutir au même résultat, comme elle semble déjà le faire pour les mères célibataires¹⁷Il serait ainsi relativement facile pour la CAF de supprimer la référence directe aux minima sociaux ou à l’AAH dans son algorithme en se limitant à l’utilisation de la variable « faits générateurs trimestriels ». Cette dernière ne concerne que les allocations nécessitant une déclaration de ressources trimestrielles : AAH trimestrielle, APL, RSA et prime d’activité. S’agissant du ciblage des allocataires du RSA et de l’AAH, la CAF pourrait ainsi prétendre, sans trop perdre de précision, avoir modifié son algorithme en ne retenant dans le calcul que cette variable « faits générateurs trimestriels » tout en continuant à cibler les personnes aux minima sociaux.
.

Logiques policières, logiques gestionnaires

Dire cela, c’est enfin dépasser le débat technique et reconnaître que cet algorithme n’est que le reflet de la diffusion de logiques gestionnaires et policières au sein de nos administrations sociales au nom des politiques de « lutte contre la fraude ».

C’est en transformant les allocataires en « assisté·es », puis en risques pour la survie de notre système social que le discours de « lutte contre l’assistanat » a fait de leur contrôle un impératif de « bonne gestion »¹⁸Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. Qu’importe que toutes les estimations montrent que la « fraude sociale » est marginale et que c’est au contraire le non-recours aux aides qui se révèle être un phénomène massif.

Devenu objectif institutionnel, le contrôle doit être rationalisé. Le numérique devient alors l’outil privilégié de « la lutte contre la fraude sociale » par la capacité qu’il offre aux dirigeant·es de répondre aux injonctions de résultats tout en offrant un alibi technique quant aux pratiques de discrimination généralisée que leur tenue impose.

Ces logiques sont saillantes dans la réponse écrite par la CAF pour s’opposer à la transmission du code de son algorithme, avant d’y être contrainte par la Commission d’Accès aux Documents Administratifs (CADA). Elle assume ouvertement un discours policier en avançant comme principal argument que cette communication consisterait en une « atteinte à la sécurité publique » car « en identifiant les critères constituant des facteurs de ciblage, des fraudeurs pourraient organiser et monter des dossiers frauduleux ».

Lutter

L’Assurance maladie, l’Assurance vieillesse, les Mutualités Sociales Agricoles ou dans une moindre mesure Pôle Emploi : toutes utilisent ou développent des algorithmes en tout point similaires. À l’heure où ces pratiques de notation se généralisent, il apparaît nécessaire de penser une lutte à grande échelle.

C’est pourquoi nous avons décidé de faire de ces pratiques de contrôle algorithmique une priorité pour l’année à venir. Vous trouverez ici notre page dédiée à ce sujet, que nous alimenterons régulièrement.

References[+]

References

↑1	Vous pouvez les contacter à stop.controles@protonmail.com et contact@changerdecap.net.
↑2	La CAF n’est pas la seule administration à utiliser ce type d’algorithmes, mais elle fut la première à le faire. Nous reviendrons bientôt sur une vision plus globale de l’utilisation de ce type d’algorithmes par les administrations sociales dans leur ensemble.
↑3	Si l’algorithme lui-même n’utilise que quelques dizaines de variables pour calculer la note des allocataires, celles-ci sont sélectionnées après une phase dite d’« entraînement » mobilisant plus de 1000 informations par allocataire. Pour des détails techniques voir l’article de Pierre Collinet « Le datamining dans les caf : une réalité, des perspectives », écrit en 2013 et disponible ici.
↑4	Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés », p.258).
↑5	Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi Dubois V., Paris M., Weill P-Edouard., 2016, Politique de contrôle et lutte contre la fraude dans la branche famille, Cnaf, Dossier d’études, n°183 disponible ici
↑6	Extrait de la réponse d’un directeur de la CAF aux critiques opposées par le Défenseur des Droits à l’utilisation de cet algorithme.
↑7	La CAF nous avait initialement communiqué un code source « caviardé » dans lequel la quasi-totalité des noms de variables étaient masqués. Nous avons finalement obtenu le code de deux versions de l’algorithme. La première a été utilisée entre 2010 et 2014. La seconde entre 2014 et 2018. Six variables ont tout de même été occultées du modèle « 2010 » et 3 du modèle « 2014 ».
↑8	Concernant la variable liée au lieu de résidence, cette dernière fait a priori partie des variables masquées dans le code reçu. Elle est toute fois mentionnées dans la réponse de la CAF à la CADA, ce pourquoi il nous paraît raisonnable de l’inclure ici. Voir notre annexe méthodologique pour une discussion détaillée de la formule.
↑9	Pour ce faire, nous avons simulé les données nécessaires – une trentaine de variables – pour chaque « profil-type » puis utilisé l’algorithme pour calculer leur note. Pour plus de détails, voir notre annexe méthodologique.
↑10	Le sur-ciblage des personnes en situation de handicap – bénéficiaires de l’AAH – ne concerne que celles disposant d’un travail. C’est ainsi que ces résultats sont compatibles avec les analyses du chapitre 10 du livre Contrôler les assistés de Vincent Dubois qui regroupent l’ensemble des personnes en situation de handicap. Voir notre annexe méthodologique pour une discussion détaillée de ce point.
↑11	Voir notamment une méthodologie alternative utilisée par LightHouse Reports dans son article sur Rotterdam pour lequel les journalistes disposaient non seulement de la formule mais aussi de données sur les personnes visées. Elle est disponible ici.
↑12	Voir la note de l’Insee disponible ici.
↑13	A revenus égaux, un parent seul gagne moins que deux parents. Quant au nombre de mois d’activité sur une année, il ne dépassera jamais 12 par an pour une famille monoparentale mais peut aller jusqu’à 24 pour un couple. Ce ciblage est particulièrement fort dans les mois qui suivent une séparation, ce type d’évènement dégradant fortement le score d’un·e allocataire. Voir nos analyses additionnelles en annexe méthodologique.
↑14	C’est ce qu’elle a déjà fait dans son « Vrai/Faux » sur le datamining où elle expliquait que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière ».
↑15	Les témoignages collectés par Stop Contrôles ou Changer de Cap montrent que la nécessité de prouver l’intentionnalité pour qualifier un indu de fraude – dont les conséquences pour un•e allocataire sont plus lourdes – est très régulièrement bafouée.
↑16	Voir Daniel Buchet. 2006. « Du contrôle des risques à la maitrise des risques ». Disponible ici.
↑17	Il serait ainsi relativement facile pour la CAF de supprimer la référence directe aux minima sociaux ou à l’AAH dans son algorithme en se limitant à l’utilisation de la variable « faits générateurs trimestriels ». Cette dernière ne concerne que les allocations nécessitant une déclaration de ressources trimestrielles : AAH trimestrielle, APL, RSA et prime d’activité. S’agissant du ciblage des allocataires du RSA et de l’AAH, la CAF pourrait ainsi prétendre, sans trop perdre de précision, avoir modifié son algorithme en ne retenant dans le calcul que cette variable « faits générateurs trimestriels » tout en continuant à cibler les personnes aux minima sociaux.
↑18	Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.

]]> https://www.laquadrature.net/?p=22088http://isyteck.com/autoblog/quadrature/index.php5?20231124_174012_QSPTAG__298_____24_novembre_2023Fri, 24 Nov 2023 16:40:12 +0000Campagne de soutien 2024 : gros plan sur le Chiffrement

Comme bon nombre d’associations, vous le savez, nous avons lancé la semaine dernière notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la promotion de l’interopérabilité des services Web, la lutte contre les algorithmes de contrôle social dans les administrations, la réflexion nécessaire autour du numérique nécessaire dans le contexte de la crise écologique, et la défense du droit au chiffrement des communications.

Cette semaine, nos publications ont mis l’accent sur la défense du chiffrement. Vous pouvez retrouver l’ensemble de ces « fils » sur nos réseaux sociaux : ici la présentation générale de la problématique, ici la nécessité du chiffrement pour que les réseaux soient structurellement compatibles avec le droit fondamental à la vie privée, ici les risques que le règlement européen CSAR, surnommé « Chat Control », fait peser sur le chiffrement de bout en bout des messageries instantanées, ici le rappel des fantasmes du ministre de l’Intérieur selon qui le chiffrement des communications par les militant·es politiques couvre la prolifération des projets « clandestins » fomentés par « les extrêmes », et enfin ici nous racontons comment le chiffrement, dans la logique de la DGSI, est carrément devenu un élément à charge dans le procès des inculpé·es de l’affaire du « 8 décembre ».

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

Censure constitutionnelle des mouchards audio, mais la géolocalisation passe l’épreuve

Le 16 novembre dernier, le Conseil constitutionnel, après avoir examiné la loi de programmation et d’orientation du ministère de la justice (LOPJ), a censuré la disposition qui autorisait les services de renseignement et de police à transformer les objets connectés en « mouchards » en les activant à distance (avec des techniques d’intrusion), pour utiliser leur micro ou leur caméra en toute discrétion dans le cadre de leurs enquêtes.

L’Observatoire des Libertés et du Numérique (OLN), dont La Quadrature du Net fait partie, s’était prononcé contre cette légalisation de l’espionnage policier, mal bordée par des conditions trop faciles à élargir dans l’usage, une fois l’idée rendue acceptable et banalisée.

Aujourd’hui, l’OLN se réjouit donc de la censure des « mouchards » comme micros ou comme caméras à distance, tout en soulignant le gros défaut de cette censure : l’activation à distance des objets connectés pour géo-localiser leur propriétaire reste autorisée par la loi. Si cela paraît moins grave, alors la stratégie du « chiffon rouge » chère au gouvernement aura fonctionné encore une fois : introduire une mesure inacceptable pour camoufler une mesure tout aussi contestable mais moins scandaleuse. Vous ne voulez pas être légalement écouté·es par les services de renseignement ? D’accord, d’accord… Mais vous serez légalement localisé·es.

La réaction de l’OLN : https://www.laquadrature.net/2023/11/23/censure-de-la-surveillance-par-mouchard-loln-ne-crie-pas-victoire/

La Quadrature dans les médias

Reconnaissance faciale et police

• Vidéosurveillance : Gérald Darmanin lance une enquête administrative sur l’utilisation de la reconnaissance faciale — https://www.humanite.fr/societe/disclose/videosurveillance-gerald-darmanin-lance-une-enquete-administrative-sur-lutilisation-de-la-reconnaissance-faciale [L’Humanité]
• La CNIL et le ministère de l’Intérieur vont enquêter sur la reconnaissance faciale à des fins policières — https://next.ink/678/la-cnil-et-ministere-interieur-vont-enqueter-sur-reconnaissance-faciale-a-fins-policieres/ [Next]
• La police accusée d’utiliser illégalement un logiciel de reconnaissance faciale : la CNIL ouvre une enquête ! — https://www.clubic.com/actualite-509302-la-police-accusee-d-utiliser-illegalement-un-logiciel-de-reconnaissance-faciale-la-cnil-ouvre-une-enquete.html [Clubic]
• Les policiers municipaux ont constitué leurs propres fichiers de délinquants dans cette commune azuréenne — https://www.monacomatin.mc/justice/a-saint-laurent-du-var-les-policiers-municipaux-ont-constitue-leurs-propres-fichiers-de-delinquants-886441 [Monaco-Matin]

Agenda

• 30 novembre 2023 : Rencontre autour de Contre-histoire d’Internet — à partir de 19h, La Carmagnole, Montpellier.
• 2 décembre 2023 : le groupe Saccage 2024 appelle à une journée d’action contre les Jeux Olympiques de Paris 2024, notamment en raison des mesures de surveillance numérique prévues par la loi JO. Plus d’informations : https://saccage2024.noblogs.org/archives/2480.
• 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
• 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 14 décembre 2023 : Table ronde au festival OSINT à La Gaité Lyrique – à 11h, à La Gaité Lyrique, 259 rue Saint-Martin 75003 Paris. Plus d’informations sur https://www.gaite-lyrique.net/evenement/festival-osint
• 27-30 décembre 2023 : La Quadrature sera au 37e Chaos Communication Congress à Hambourg : https://events.ccc.de/category/37c3/.
]]> https://www.laquadrature.net/?p=21959http://isyteck.com/autoblog/quadrature/index.php5?20231123_131029_Censure_de_la_surveillance_par_mouchard____l___OLN_ne_crie_pas_victoireThu, 23 Nov 2023 12:10:29 +0000 Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 23 novembre 2023.

Le 16 novembre 2023, le Conseil constitutionnel a rendu sa décision sur la loi de programmation de la justice en censurant une disposition relative à l’activation à distance des objets électroniques. Pour les organisations de l’Observatoire des libertés et du numérique (OLN) qui s’étaient fortement opposées à cette mesure, cette décision est plus que bienvenue. Pour autant, elle ne saurait constituer une victoire criante.

Il faut se souvenir des récentes décisions de ce même Conseil constitutionnel faisant peu cas du respect des libertés : validation de la vidéosurveillance algorithmique dans la loi JOP 2024, légalisation des drones, blanc-seing à l’assouplissement de la procédure pénale dans la LOPMI au nom d’une « efficacité opérationnelle »… Si l’on peut saluer le sursaut de la décision de la semaine dernière, il est difficile d’y déceler une volonté de mettre fin à la fuite en avant sécuritaire, tant cette institution l’a accompagnée ces dernières années. Pour caractériser une atteinte au droit à la vie privée, le Conseil retient qu’il existe un risque pour les tierces personnes étant dans le champ d’une éventuelle captation déclenchée par cette activation à distance du micro ou de la caméra. Si nous saluons l’établissement d’une telle limite, qui pourra servir d’argument pour d’autres types de surveillance, nous regrettons que le Conseil ne prenne jamais en compte le changement de paradigme philosophique et politique qu’implique la possibilité de transformation de tout objet numérique en mouchard de la police.

Cette absence dans le raisonnement s’illustre par la validation pure et simple de l’activation à distance des fonctions de géolocalisation de téléphone et autres objets connectés (voiture, balises airtag, montre etc) qui repose exactement sur le même procédé technique que le dispositif censuré : la compromission d’un périphérique, en y accédant directement ou par l’intermédiaire d’un logiciel espion pour en prendre le contrôle à distance. Or, une telle possibilité soulève de graves problèmes en termes de vie privée, de sécurité et d’intégrité des preuves. On le comprend, le caractère intrusif de cette technique, pourtant au cœur des scandales Pegasus et Predator Files, n’intéresse pas le Conseil.

Pour justifier cette nouvelle forme de surveillance, le gouvernement et ses soutiens ont répété que les services de renseignement seraient déjà autorisés à activer à distance les micros ou caméras de terminaux. Pourtant, la lecture de l’article L. 853-2 du code de la sécurité intérieure montre précisément l’inverse : ne peuvent être mis en œuvre par les services de renseignement que des dispositifs qui permettent d’accéder à des données qui « s’affichent sur un écran », telles qu’une personne les « introduit par saisie de caractère » ou « telles qu’elles sont reçues et émises par des périphériques. » Autrement dit, le droit actuel ne permet aux services de renseignement que d’enregistrer l’activité d’une personne sur un téléphone ou un ordinateur, mais en aucun cas d’activer à son insu une fonctionnalité supplémentaire comme un micro ou une caméra. Cette pratique, pourtant avancée pour justifier le bien-fondé de la mesure, semble donc illégale et doit être sérieusement questionnée.

De façon générale, on assiste à un essor toujours plus important des technologies de surveillance et à une banalisation de leurs usages par les services de police et de renseignement alors que, souvent, elles ne répondent à aucun cadre. Ces pratiques illégales se généralisent aussi bien dans les ministères que sur le terrain, et la licéité de ces outils n’est jamais une préoccupation de ceux qui les utilisent. Qu’il s’agisse de logiciels illégaux de surveillance algorithmique et reconnaissance faciale, de fichage sauvage ou ou encore d’exploitation de téléphone en garde à vue, l’impunité se répand, l’illégalité se banalise. Dans ce contexte et avec ces tendances lourdes, la décision du Conseil constitutionnel est salutaire mais nous apparaît malheureusement trop peu engageante pour y voir un avertissement fort contre la surveillance.

Organisations signataires membres de l’OLN : Globenet, Creis-Terminal, la Ligue des droits de l’Homme (LDH), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN).

]]> https://www.laquadrature.net/?p=21834http://isyteck.com/autoblog/quadrature/index.php5?20231117_181059_QSPTAG__297_____16_novembre_2023Fri, 17 Nov 2023 17:10:59 +0000Campagne 2024 : c’est le moment de soutenir La Quadrature !

Comme chaque fin d’année à l’approche de l’hiver, nous lançons notre campagne de soutien pour financer l’année qui vient. Si vous pouvez faire un don pour nous aider à travailler en 2024, c’est maintenant, et c’est ici !

Pour nous, c’est bien sûr aussi un moment important pour réfléchir aux chantiers qui nous attendent, en plus de ceux qui nous occupent déjà beaucoup. Sans cesse il faut faire des choix, décider où mettre le temps et l’énergie qui ne sont pas illimitées. Alors on se donne une sorte de « feuille de route » pour garder le cap, sans s’interdire bien sûr de se consacrer aux surprises bonnes ou mauvaises de l’actualité quand elles se présenteront. Cette « feuille de route » est ici.

Nous porterons plus haut que jamais l’idée et la nécessité d’obliger les services web à l’interopérabilité, seul moyen de lutter contre la recentralisation du Web et la tyrannie de l’économie de l’attention. Nous lutterons autant que nécessaire contre les algorithmes utilisés par les administrations pour criminaliser et punir les bénéficiaires des services sociaux. Nous défendrons le droit au chiffrement des communications, attaqué de toutes parts par les gouvernements français et européens sous prétexte de lutter contre le terrorisme, au mépris du droit fondamental qu’est le secret des correspondances, vital pour les démocraties. Et enfin, nous réfléchirons à ce que le numérique fait au monde, non seulement selon les points de vues sociaux et politiques qui sont les nôtres depuis toujours, mais aussi du point de vue écologique, dans le contexte bien connu de la destruction de l’écosystème par les activités humaines. Quels usages faut-il promouvoir et lesquels abandonner ? Il nous semble que La Quadrature à quelque chose à en dire : « l’écologie sans la politique, c’est du jardinage », dit le dicton.

Nous aurons donc beaucoup à faire dans l’année qui vient. Alors si vous le pouvez, soutenez-nous ! Tous les dons sont les bienvenus, même les tout petits, et les dons mensuels même minimes auront toujours notre prédilection parce qu’ils nous permettent d’envisager le budget de l’année avec plus de sérénité. Merci pour tout ce que vous pourrez faire, et merci aussi de faire connaître cette campagne de soutien sur vos réseaux sociaux !

Lire notre feuille de route pour 2024 : https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://www.laquadrature.net/donner/

Révélation : la police nationale utilise de manière illégale les logiciels de VSA de la société Briefcam

C’est l’association Disclose qui a publié l’information après une enquête approfondie : la police nationale utilise en toute illégalité et en toute connaissance de cause les logiciels de la société Briefcam, qui appliquent un traitement algorithmique aux photos et aux flux de vidéosurveillance pour analyser les images et identifier des personnes par reconnaissance faciale.

Nous avons documenté depuis quelque temps l’utilisation de ce logiciel ou d’outils similaires par les polices municipales, mais nous n’avions pas de preuves concernant les pratiques de la police nationale. C’est aujourd’hui chose faite>. Nous rappelons dans un article de réaction à cette publication de Disclose les éléments juridiques qui posent l’illégalité du dispositif, et nous en appelons aussi à la CNIL, beaucoup trop conciliante jusqu’à présent avec les usages illégaux de la reconnaissance faciale et de logiciels d’analyse par les forces de police.

Lire l’article de Disclose : https://disclose.ngo/fr/article/la-police-nationale-utilise-illegalement-un-logiciel-israelien-de-reconnaissance-faciale/
Notre réaction : https://www.laquadrature.net/2023/11/14/videosurveillance-algorithmique-a-la-police-nationale-des-revelations-passibles-du-droit-penal/

Une coalition d’associations européennes attaque le Règlement Terro en France

Le 8 novembre denier, six organisations européennes — La Quadrature du Net, Access Now, ARTICLE 19, European Center for Not-for-Profit Law, EDRi et Wikimedia France — ont déposé devant le Conseil d’État un recours contre le décret qui doit adapter dans le droit français les dispositions du « règlement Terro » européen (ou TERREG) adopté en 2021.

Mais en quoi ce contentieux français concerne-t-il nos partenaires européens ? C’est que ce recours en France est pour nous un point d’entrée : nous demandons au Conseil d’État de transmettre à la Cour de justice de l’Union européenne (CJUE) une « question préjudicielle » sur la validité du TERREG. Nous pensons que ce règlement, qui permet aux forces de police d’un pays de l’UE d’ordonner à un site web de bloquer dans un délai d’une heure (oui, une heure) tout contenu supposé être à caractère terroriste, contrevient au regard des droits fondamentaux protégés par le droit de l’UE.

La procédure durera plusieurs mois, avant que le gouvernement français produise sa réponse, et probablement plusieurs années avant que la CJUE ne rende sa décision. Mais comme nous rejetons les dispositions numériques du TERREG depuis sa première ébauche en 2018, on peut dire que La Quadrature a les idées longues. On suit l’affaire et on vous tiendra au courant !

Lire l’article : https://www.laquadrature.net/2023/11/09/une-coalition-de-6-organisations-attaque-en-justice-le-dangereux-reglement-de-lue-sur-les-contenus-terroristes/

La Quadrature dans les médias

Reconnaissance faciale et VSA

• Recours à la reconnaissance faciale par la police : « Une affaire très grave », selon la socialiste Sylvie Robert — https://www.publicsenat.fr/actualites/societe/recours-a-la-reconnaissance-faciale-par-la-police-une-affaire-tres-grave-selon-la-socialiste-sylvie-robert [Public Sénat]
• Logiciel de vidéosurveillance : la Cnil lance une «procédure de contrôle» visant le ministère de l’Intérieur — https://www.lefigaro.fr/conjoncture/logiciel-de-videosurveillance-la-cnil-lance-une-procedure-de-controle-visant-le-ministere-de-l-interieur-20231115 [Le Figaro]
• Vidéosurveillance : la Cnil ouvre une « procédure de contrôle » contre le ministère de l’intérieur — https://www.la-croix.com/france/Videosurveillance-Cnil-ouvre-procedure-controle-contre-ministere-linterieur-2023-11-15-1201290903 [La Croix]
• Reconnaissance faciale : « Ce que propose Laurent Wauquiez est inacceptable en démocratie », juge un expert — https://www.radiofrance.fr/franceinter/reconnaissance-faciale-ce-que-propose-laurent-wauquiez-est-inacceptable-en-democratie-juge-un-expert-6299239 [France Inter]
• Vidéosurveillance : la Cnil lance une « procédure de contrôle » visant le ministère de l’Intérieur — https://rmc.bfmtv.com/actualites/police-justice/videosurveillance-la-cnil-lance-une-procedure-de-controle-visant-le-ministere-de-l-interieur_AD-202311150808.html [BFM/RMC]
• Sensivic, start-up créatrice de détecteurs de sons anormaux à Orléans, a été acquise par une société alsacienne — https://www.larep.fr/orleans-45000/actualites/sensivic-start-up-creatrice-de-detecteurs-de-sons-anormaux-a-orleans-a-ete-acquise-par-une-societe-alsacienne_14404400/ [La République du Centre]
• Hervé Zandrowicz (Sensivic) : « Nous n’écoutons pas les conversations mais nous analysons le paysage sonore de manière anonymisée » — https://www.infoprotection.fr/herve-zandrowicz-sensivic-nous-necoutons-pas-les-conversations-mais-nous-analysons-le-paysage-sonore-de-maniere-anonymisee/ [InfoProtection]

JO et VSA

• « Faisons du 2 décembre une journée de mobilisations contre les ravages des JO » — https://basta.media/2-decembre-journee-mobilisations-contre-ravages-jeux-olympiques-paralympiques-JO-Paris-2024-Alpes-2030 [Basta]
• Loi Jeux olympiques : Big Brother en finale — https://journaloptions.fr/2023/10/13/loi-jeux-olympiques-big-brother-en-finale/ [Options]

Surveillance

• Risque d’attentat en France : la sécurité à quel prix ? — https://video.lqdn.fr/w/uHec8vZhmPFVonwv8hGQA5 [Le Talk/France Info]
• L’activation à distance par la police des appareils électroniques en partie censurée — https://www.mediapart.fr/journal/france/171123/l-activation-distance-par-la-police-des-appareils-electroniques-en-partie-censuree [Mediapart]
• À Orléans, la Cnil dit non au couple vidéosurveillance-captation sonore — https://www.lagazettedescommunes.com/891582/a-orleans-la-cnil-dit-non-au-couple-videosurveillance-captation-sonore/ [La Gazette des Communes]

Recours contre le TERREG

• Lutte contre le terrorisme en ligne : des associations demandent au Conseil d’État de saisir la justice européenne — https://www.humanite.fr/societe/libertes-publiques/lutte-contre-le-terrorisme-en-ligne-des-associations-demandent-au-conseil-detat-de-saisir-la-justice-europeenne [L’Humanité]
• Six organisations, menées par La Quadrature du Net, attaquent en justice le règlement de l’UE sur les contenus terroristes — https://www.zdnet.fr/blogs/l-esprit-libre/six-organisations-menees-par-la-quadrature-du-net-attaquent-en-justice-le-reglement-de-l-ue-sur-les-contenus-terroristes-39962366.htm [ZDNet]
• Six ONG attaquent le règlement de l’UE sur les contenus terroristes en justice — https://www.nextinpact.com/article/72832/six-ong-attaquent-reglement-lue-sur-contenus-terroristes-en-justice [NextINpact]
• Technosurveillance – Le règlement de l’UE sur la gestion des contenus « terroristes » contesté par La Quadrature du Net et cinq autres ONG — https://ewatchers.org/info/2023-11-09-technosurveillance-le-reglement-de-l-ue-sur-la-gestion-des-contenus-terroristes-conteste-par-la-quadrature-du-net-et-cinq-autres-ong-168 [eWatchers.org]
• Le règlement européen sur le retrait des contenus terroristes, un danger pour la protection des données ? — https://www.usine-digitale.fr/article/le-reglement-europeen-sur-le-retrait-des-contenus-terroristes-un-danger-pour-la-protection-des-donnees.N2194103 [L’Usine Digitale]

Loi SREN

• C’est quoi le projet de loi « Sécuriser et Réguler l’Espace Numérique » (SREN) ? — https://www.instagram.com/p/CzOPZvoL2XT/ [Konbini]
• Et une loi de plus pour « réguler et sécuriser » Internet votée à l’Assemblée — https://www.april.org/et-une-loi-de-plus-pour-reguler-et-securiser-internet-votee-a-l-assemblee [April]
• Blocage de l’accès des mineurs aux contenus porno : un casse-tête mondial — https://www.france24.com/fr/%C3%A9co-tech/20231103-blocage-de-l-acc%C3%A8s-des-mineurs-aux-contenus-porno-un-casse-t%C3%AAte-mondial [France24]
• « Ce rapport est une honte » : Des universitaires et professionnels dénoncent un réquisitoire contre la pornographie — https://www.neonmag.fr/societe-politique/ce-rapport-est-une-honte-des-universitaires-et-professionnels-denoncent-un-requisitoire-contre-la-pornographie-561605 [Neon]

Procès du 8 décembre

• Au procès de « l’ultragauche », l’introuvable projet terroriste — https://www.mediapart.fr/journal/france/251023/au-proces-de-l-ultragauche-l-introuvable-projet-terroriste [Mediapart]
• Procès du «8 décembre» : les délires de l’antiterrorisme — https://lanticapitaliste.org/videos/proces-du-8-decembre-les-delires-de-lantiterrorisme [L’Anticapitaliste]
• Au procès de l’ultragauche, les prévenus dénoncent une « criminalisation » de leurs opinions — https://www.sudouest.fr/justice/au-proces-de-l-ultragauche-les-prevenus-denoncent-une-criminalisation-de-leurs-opinions-17154722.php [Sud-Ouest]
• The Fictional Terrorist Conspiracy Being Tried in France — https://www.thenation.com/article/world/france-left-terrorism-affaire-decembre-8/ [The Nation]

Divers

• La (belle) et (terrifiante) « Contre-Histoire d’Internet » — https://www.auposte.fr/la-terrifiante-contre-histoire-dinternet/ [Au Poste]
• La surveillance algorithmique des données de connexion dans le cadre de la lutte contre le terrorisme — https://journals.openedition.org/crdf/8874
• Bruxelles : remise à plat de la proposition de loi sur la surveillance des conversations privées — https://www.macg.co/ailleurs/2023/11/bruxelles-remise-plat-de-la-proposition-de-loi-sur-la-surveillance-des-conversations-privees-140481 [MacGénération]
• IA en France : la Cnil trace des lignes rouges — https://www.zdnet.fr/actualites/ia-en-france-la-cnil-trace-des-lignes-rouges-39961880.htm [ZDNet]
• Quand Gérald Darmanin repart à l’assaut du chiffrement, après l’attentat d’Arras — https://www.01net.com/actualites/quand-gerald-darmanin-repart-a-lassaut-du-chiffrement-apres-lattentat-darras.html [01Net]
• La cartographie comme outil de luttes — https://www.socialter.fr/article/cartographie-lutte-militante [Socialter]
• The Advocate General on how to balance personal data protection and action to combat online copyright infringement — https://www.lexology.com/library/detail.aspx?g=9aad2863-0660-462f-92cc-72388bc1b73e [Lexology]

Agenda

• 18 novembre 2023 : Atelier Technopolice sur la surveillance policière dans les quartiers — à partir de 18h au 152 rue de la Rose, Marseille.
• 30 novembre 2023 : Rencontre autour de Contre-histoire d’Internet — à partir de 19h, La Carmagnole, Montpellier.
• 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
• 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
]]> https://www.laquadrature.net/?p=21750http://isyteck.com/autoblog/quadrature/index.php5?20231115_144027_De_nouveaux_combats_pour_2024Wed, 15 Nov 2023 13:40:27 +0000La Quadrature du Net défend depuis quinze ans les droits et les libertés fondamentales de toutes et tous à l’ère du numérique. Ces quinze années de combat n’auraient pas été possibles sans vous, merci beaucoup ! Et nous avons besoin de vous pour continuer la lutte en 2024 !

Les chantiers que nous suivons depuis quinze ans déjà, vous les connaissez sans doute : contre la criminalisation du partage de la culture depuis la loi Hadopi de 2008, pour la neutralité du Net, contre l’exploitation des données personnelles et la tyrannie de la publicité en ligne, contre la censure et la surveillance du Web par les États, contre la Technopolice, les drones et la vidéosurveillance algorithmique.

Mais de nouvelles questions surgissent, de nouveaux fronts se réactivent, où nous sentons que nous pouvons jouer un rôle utile. On a vu les administrations publiques s’armer d’algorithmes dans la guerre aux pauvres et aux « fraudeurs », avec pour effet l’amplification des discriminations structurelles, le tout sous sous prétexte de modernité caricaturale, de pseudo-efficacité et de « dématérialisation ». On a vu la logique de la surveillance s’immiscer partout et s’étendre à tous les aspects de nos vies publiques et intimes. D’abord pour les besoins d’une surenchère publicitaire qui a transformé le Web en gigantesque galerie marchande, où chacune de nos curiosités, chacun de nos intérêts et chacune de nos relations amoureuse ou amicale devient l’enjeu d’une vente, d’un produit, ou d’un « service » toujours plus inutile et farfelu. Ensuite, et surtout, pour les besoins d’un pouvoir politique et étatique friand de fichage et toujours plus intrusif, beaucoup trop content d’exploiter nos innombrables traces numériques pour mieux nous surveiller, nous connaître, et anticiper nos comportements politiques et sociaux. Face à ces défis, nous voulons amplifier de nouveaux chantiers — sans pour autant oublier ceux sur lesquels nous travaillons déjà.

D’abord, nous continuerons de porter toujours plus loin et toujours plus haut (ça tombe bien, on entre dans une année olympique) l’idée d’un Web interopérable. L’Internet ouvert et horizontal des débuts, qui fut une réalité incontestable, s’est retrouvé ces quinze dernières années mis en « silos » par les grandes plateformes et les réseaux sociaux privés (Facebook, Twitter, Instagram bien sûr, mais aussi YouTube, etc.). Aujourd’hui, quitter un de ces réseaux c’est perdre les relations et les échanges qui sont tout le sel du Web. Alors que si les différents services sont interopérables, on peut déménager sans perdre de vue personne, et choisir l’environnement dans lequel on se sent libre de s’exprimer sans être soumis à l’hostilité qui fait vivre les plateformes et détruit le tissu des sociétés. Nous porterons avec entêtement cette idée simple, qui a déjà une réalité technique (dans le Fédivers par exemple), jusqu’à ce que les lois européennes et françaises en fassent un principe de base du Web et de l’Internet en général.

Nous allons aussi continuer notre travail d’enquête et de lutte contre les algorithmes de contrôle social, jusqu’à leur disparition. Aujourd’hui, des algos de « scoring » ou de profilage traquent les bénéficiaires des minima sociaux, que ce soit à la CAF, à Pôle Emploi ou ailleurs, pour transformer en enfer la vie des personnes les plus précaires, sous prétexte de lutter contre les abus. En réalité, ici comme ailleurs, l’outil numérique n’a servi qu’à introduire une surveillance très fine des vies les plus ordinaires pour contester les droits des personnes et criminaliser les comportements marginaux. Le numérique ne doit pas être l’instrument complaisant d’une politique sociale qui déresponsabilise la société dans son ensemble et déshumanise les personnes. Nous ferons tout pour que ces outils dangereux soient remplacés par une volonté d’humanité et le désir d’une société plus aimante et plus juste.

Ensuite, nous défendrons partout où il le faudra le droit au chiffrement des données et des communications. C’est une vieille lune des États, quels qu’ils soient : accéder aux correspondances des citoyens pour des raisons de police. Le « cabinet noir », c’était autrefois ce lieu secret métaphorique où la police lisait discrètement les lettres des opposants avant de les remettre en circulation. Alors que le numérique menace de rendre tout transparent aux yeux du pouvoir, le chiffrement des données a rétabli un peu de l’équilibre perdu entre le secret des correspondances et la prétention du « cabinet noir » à tout voir. Sans le chiffrement des communications, n’importe qui d’un peu déterminé peut accéder aux photos et aux blagues que vous échangez avec votre famille, aux échanges scientifiques inaboutis des chercheurs, aux discussions des groupes politiques ou syndicaux, etc. Le secret des communications est un des piliers de la démocratie bien tempérée : la transparence totale des opinions aux yeux de l’État est exactement la définition d’un régime policier. Pour mille raisons, dont le fait qu’il s’agit d’un droit fondamental, nous devons donc défendre notre droit au chiffrement et au secret contre tous les sophismes sécuritaires et policiers. Et plus les États voudront forcer ce droit au secret, plus nous aurons de raisons urgentes de le protéger.

Enfin, nous ne pouvons plus longtemps faire l’impasse sur les dangers immédiats et majeurs que notre mode de vie numérique fait collectivement peser sur les conditions de notre survie, et celle d’innombrables autres espèces. L’écosystème dont nous faisons partie craque de toutes parts, on le sait, on le voit, et la surproduction numérique a largement sa part dans ce désastre. Porté par le culte incontesté de la croissance et de la nouveauté permanente, le numérique entraîne avec lui une industrie colossale et polluante, qui détruit des territoires et des vies, pour alimenter notre ivresse d’écrans et de connectivité. Des mines de cobalt et de lithium jusqu’aux entrepôts des géants de la distribution mondiale, de la frénésie consumériste à l’économie de l’attention qui nous retient avec des procédés d’addiction, le numérique est aujourd’hui sans conteste un facteur de destruction autant que d’échanges, de liberté et de savoir. Il faut donc rendre au « digital » le poids de son corps physique, et à la « dématérialisation » sa matérialité, pour réfléchir aux outils et aux usages qui nous paraissent devoir être sauvés, préservés, cultivés ou inventés, et ceux auxquels ils nous faut renoncer.

Vaste programme ! Et on ne s’arrêtera pas à cela. Notre campagne Technopolice va connaître des rebondissements avec l’expérimentation prochaine de la vidéosurveillance algorithmique légalisée par la loi relative aux Jeux Olympiques. Nous voulons aussi participer de manière plus résolue à lutter contre la surveillance numérique croissante à laquelle font face les groupe militants. Enfin, nous envisageons d’ouvrir un front contre l’« intelligence artificielle », qui déferle partout sans qu’une résistance organisée puisse y faire face.

Tout cela pour vous dire à quel point votre soutien et vos dons seront précieux pour cette nouvelle année qui s’annonce !

Faire un don !

L’équipe de La Quadrature du Net

]]> https://www.laquadrature.net/?p=21732http://isyteck.com/autoblog/quadrature/index.php5?20231114_192347_Videosurveillance_algorithmique_a_la_police_nationale____des_faits_passibles_du_droit_penalTue, 14 Nov 2023 18:23:47 +0000Dans un article publié aujourd’hui, le média d’investigation Disclose révèle que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale a recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui serait, d’après Disclose, « activement utilisée ».

Cela fait désormais près de cinq ans qu’à travers la campagne Technopolice, La Quadrature du Net, en lien avec des collectifs partout dans le pays, documente l’usage illégal de la vidéosurveillance algorithmique (VSA) par les forces de police municipale. De fortes présomptions existaient quant à son utilisation par la police nationale. Nous l’évoquions d’ailleurs dans notre dossier sur la VSA publié lors de la campagne contre la loi sur les jeux olympiques et paralympiques (voir page 20). La confirmation faite aujourd’hui n’en est pas moins choquante. Non seulement compte tenu de l’échelle du déploiement de cette technologie, avec des licences Briefcam couvrant plusieurs départements. Mais aussi en raison des dissimulations dont ce marché public hautement sensible a fait l’objet de la part de hauts fonctionnaires et de responsables politiques.

Il faut se souvenir de Gérald Darmanin qui, l’an dernier en préparation des débats sur l’article 10 de la loi Jeux Olympiques, reconnaissait qu’il n’existait aucune base légale pour l’utilisation policière de ces technologies d’analyse automatisée. L’intelligence artificielle transforme radicalement l’économie politique de la vidéosurveillance, raison pour laquelle nous refusons la VSA. Même dans le cadre d’enquêtes judiciaires, l’État se devrait au minimum de prévoir une base juridique claire pour l’encadrer.

Tout aussi choquant est le sentiment d’impunité généralisé que révèle cette affaire. Les cadres de la Direction Générale de la Police Nationale, de même que les ministres successifs, ont sciemment organisé le secret par peur de la controverse, se sachant hors du droit.

Rappelons-le : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. » (cf. art. 226-18 et -19 du code pénal). Par ailleurs, tout·e fonctionnaire est tenu·e de signaler sur le champ une infraction dont il ou elle aurait connaissance au procureur (article 40 du code de procédure pénale). Enfin, Disclose explique que pour financer le renouvellement des licences Briefcam, « la hiérarchie policière a pioché dans le « fonds concours drogue » ». Ce qui pourrait s’apparenter à du détournement de fonds publics.

Ces faits sont extrêmement graves. L’impuissance chronique à laquelle se condamnent les contre-pouvoirs institutionnels, de la CNIL à l’IGPN, est elle aussi symptomatique d’une crise systémique de l’État de droit. L’actualité donne d’ailleurs une nouvelle et triste illustration de cette coupable inaction : la CNIL s’est contentée d’un « rappel à l’ordre » à l’encontre de deux ministères après le détournement de fichiers et l’envoi au printemps dernier de 2 millions de messages de propagande destinés à manipuler l’opinion au sujet de la réforme des retraites.

]]> https://www.laquadrature.net/?p=21545http://isyteck.com/autoblog/quadrature/index.php5?20231109_121534_Une_coalition_de_6_organisations_attaque_en_justice_le_dangereux_reglement_de_l___UE_sur_les_contenus_terroristesThu, 09 Nov 2023 11:15:34 +0000Le 8 novembre 2023, une coalition de six organisations – La Quadrature du Net (LQDN), Access Now, ARTICLE 19, European Center for Not-for-Profit Law (ECNL), European Digital Rights (EDRi) et Wikimedia France – a déposé un recours devant la plus haute juridiction administrative française, le Conseil d’État, contre le décret français adaptant le règlement européen relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (également connu sous le nom de « TERREG »).

Elles demandent au Conseil d’État de saisir la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle sur la validité du TERREG au regard des droits fondamentaux protégés par le droit de l’UE.

Ce règlement permet aux forces de police d’un pays de l’UE d’ordonner à un site web, à un réseau social ou à tout fournisseur de services en ligne hébergeant des contenus créés par les utilisateurs de bloquer, dans un délai d’une heure, tout contenu supposé être à caractère terroriste – et cela dans tous les États membres de l’UE. Ces fournisseurs de services peuvent également être contraints de mettre en œuvre des « mesures spécifiques » pour prévenir la publication de contenus terroristes. Ces « mesures spécifiques » – dont la nature reste à la discrétion des fournisseurs de services – peuvent inclure, par exemple, des dispositifs de filtrage automatisé, afin d’analyser l’ensemble des contenus avant leur publication. Ces systèmes automatisés sont incapables de prendre en compte le contexte de la publication et sont notoirement prédisposés à commettre des erreurs, entraînant la censure de contenus protégés tels que le travail de journalistes, la satire, l’art ou les contenus documentant les violations des droits humains. En outre, l’obligation d’adopter des « mesures spécifiques » peut violer l’interdiction d’imposer une obligation générale de surveillance en vertu du règlement sur les services numériques (Digital Services Act, ou DSA).

Depuis que la proposition législative a été publiée par la Commission européenne en 2018, les organisations de la société civile parties au litige – comme beaucoup d’autres – ont dénoncé le risque de violation des droits fondamentaux qu’implique le TERREG. Bien que la lutte contre le terrorisme soit un objectif important, le TERREG menace la liberté d’expression et l’accès à l’information sur internet en donnant aux forces de l’ordre le pouvoir de décider de ce qui peut être dit en ligne, sans contrôle judiciaire indépendant préalable. Le risque d’excès et d’abus des forces de l’ordre en matière de suppression de contenu a été largement décrit, et augmentera inévitablement avec ce règlement. Cette législation renforce également l’hégémonie des plus grandes plateformes en ligne, car seules quelques plateformes sont actuellement en mesure de respecter les obligations prévues par le TERREG.

« La question de la modération des contenus en ligne est grave et la réponse ne peut être une censure policière technosolutionniste, simpliste mais dangereuse », déclare Bastien Le Querrec, juriste à La Quadrature du Net, l’ONG cheffe de file de la coalition.

La défense de l’affaire par le gouvernement français est attendue pour les prochains mois. La décision du Conseil d’État n’est pas attendue avant l’année prochaine.

La Quadrature du Net (LQDN) promeut et défend les libertés fondamentales dans le monde numérique. Par ses activités de plaidoyer et de contentieux, elle lutte contre la censure et la surveillance, s’interroge sur la manière dont le monde numérique et la société s’influencent mutuellement et œuvre en faveur d’un internet libre, décentralisé et émancipateur.

Le European Center for Not-for-Profit Law (ECNL) est une organisation non-gouvernementale qui œuvre à la création d’environnements juridiques et politiques permettant aux individus, aux mouvements et aux organisations d’exercer et de protéger leurs libertés civiques.

Access Now défend et améliore les droits numériques des personnes et des communautés à risque. L’organisation défend une vision de la technologie compatible avec les droits fondamentaux, y compris la liberté d’expression en ligne.

European Digital Rights (EDRi) est le plus grand réseau européen d’ONG, d’expert·es, de militant·es et d’universitaires travaillant à la défense et à la progression des droits humains à l’ère du numérique sur l’ensemble du continent.

ARTICLE 19 œuvre pour un monde où tous les individus, où qu’ils soient, peuvent s’exprimer librement et s’engager activement dans la vie publique sans crainte de discrimination, en travaillant sur deux libertés étroitement liées : la liberté de s’exprimer et la liberté de savoir.

Wikimédia France est la branche française du mouvement Wikimédia. Elle promeut le libre partage de la connaissance, notamment à travers les projets Wikimédia, comme l’encyclopédie en ligne Wikipédia, et contribue à la défense de la liberté d’expression, notamment en ligne.

]]> https://www.laquadrature.net/?p=21306http://isyteck.com/autoblog/quadrature/index.php5?20231013_141527_QSPTAG__296_____13_octobre_2023Fri, 13 Oct 2023 12:15:27 +0000Filtre anti-arnaques : la censure administrative embarquée dans le navigateur ?

Parmi les mesures contestables et contestées de la loi « visant à sécuriser et réguler l’espace numérique » (SREN), l’obligation des filtres anti-arnaques n’est pas la moindre. L’article 6 du projet de loi oblige les navigateurs web à bloquer les sites identifiés par les autorités administratives (la police) comme étant des arnaques (phishing, mineurs de Bitcoin, usurpation d’identité, etc.).

Aujourd’hui déjà, la police peut exiger que les plateformes et les fournisseurs d’accès à Internet (FAI) censurent les contenus terroristes ou pédocriminels. Dans ce cas, les FAI paramètrent leurs serveurs DNS, chargés de traduire les URL des sites (www.laquadrature.net) en adresses IP (185.34.33.4). Après cette modification, le site n’est plus trouvable à partir de son URL et se trouve donc hors d’atteinte pour la grande majorité des internautes. Sauf si.
Sauf si l’internaute sait choisir son DNS et contourner l’interdiction en passant par un autre serveur. Il est donc tout à fait possible, et pas très difficile à vrai dire, de contourner une censure par DNS. C’est un procédé utilisé lorsque certains États bloquent les DNS nationaux, comme cela s’est vu lors des révoltes du Printemps arabe en 2011 par exemple.

Mais la solution choisie dans le projet de loi pour les « arnaques » implique directement le navigateur web de l’internaute. Les navigateurs incluent déjà des listes de sites ou de pages web malhonnêtes, sur lesquelles les utilisateurs pourraient croiser des virus ou des scripts malveillants. Si le navigateur détecte une tentative de connexion à l’une de ces pages « dangereuses », il prévient l’internaute, qui a le choix de passer outre à ses risques et périls. L’outil est donc envisagé à l’heure actuelle comme un service que les navigateurs choisissent de rendre à l’utilisateur, qui garde la main sur la décision finale.

Avec ce que le projet de loi SREN propose, les listes seraient non seulement tenues par la police, mais s’imposeraient surtout aux navigateurs. Une pratique très différente dans sa philosophie, et qui ouvre la porte à tous les excès possibles, à la censure de sites politiques par exemple, quand le fait sera installé et qu’il suffira de l’étendre pour censurer à discrétion tous les sites « gênants ».
Plus de détails dans notre article paru le 5 octobre dernier, avant le vote de l’article 6 à l’Assemblée ce mercredi 11 octobre.

Lire l’article : https://www.laquadrature.net/2023/10/05/projet-de-loi-sren-et-filtre-anti-arnaque-les-navigateurs-comme-auxiliaires-de-police/

La Quadrature dans les médias

Vidéosurveillance algorithmique

• JO de Paris 2024 : des centaines de nouvelles caméras HD installées dans les gares SNCF d’Île-de-France — https://www.leparisien.fr/info-paris-ile-de-france-oise/transports/jo-de-paris-2024-des-centaines-de-nouvelles-cameras-hd-installees-dans-les-gares-sncf-dile-de-france-12-10-2023-HOIJCCXCLRDLBDS5HCS4ERXFMU.php [Le Parisien]
• Sécuriser les grands événements sportifs : que faut-il attendre des outils technologiques ? — https://theconversation.com/securiser-les-grands-evenements-sportifs-que-faut-il-attendre-des-outils-technologiques-214986 [The Conversation]
• Un logiciel israélien dans la vidéosurveillance de l’Assemblée Nationale — https://www.linforme.com/tech-telecom/article/un-logiciel-israelien-dans-la-videosurveillance-de-l-assemblee-nationale_1062.html [L’Informé]
• Mais au fait, pourquoi a-t-on besoin de sécuriser les Jeux Olympiques ? — https://www.numerama.com/cyberguerre/1517202-mais-au-fait-pourquoi-a-t-on-besoin-de-securiser-les-jeux-olympiques.html [Numerama]
• Loi jeux olympiques : Big Brother en finale… — https://journaloptions.fr/2023/10/13/loi-jeux-olympiques-big-brother-en-finale/ [Options]

Divers

• Mélanie Jaoul : « Ce n’est pas tant le porno qu’il faut réguler, ce sont les plateformes » — https://actu.fr/occitanie/montpellier_34172/melanie-jaoul-ce-n-est-pas-tant-le-porno-qu-il-faut-reguler-ce-sont-les-plateformes_60178741.html [Actu.fr]
• EU: Artificial Intelligence Regulation Should Ban Social Scoring — https://www.hrw.org/news/2023/10/09/eu-artificial-intelligence-regulation-should-ban-social-scoring [Human Rights Watch]

Agenda

• 3-27 octobre : procès de l’affaire du « 8 décembre », audiences publiques les après-midis du mardi au vendredi à partir de 13h30 au tribunal de Paris (porte de Clichy). Les débats sur la question du chiffrement devraient commencer aux alentours du mercredi 18, mais le calendrier des audiences change sans cesse au gré des retards pris dans les auditions.
• 13 octobre : Félix Tréguer sera l’invité de David Dufresne dans « Au Poste », à l’occasion de la publication de son livre « Contre-histoire d’Internet » aux éditions Agone : https://www.auposte.fr/convocation/contre-histoire-de-linternet-avec-felix-treguer/
• 2 novembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre « Contre-histoire d’Internet » aux éditions Agone.
]]> https://www.laquadrature.net/?p=21277http://isyteck.com/autoblog/quadrature/index.php5?20231006_160350_QSPTAG__295_____6_octobre_2023Fri, 06 Oct 2023 14:03:50 +0000Sensivic, couic

Voilà déjà deux ans que nous avons attaqué en justice et devant la CNIL l’initiative de la mairie d’Orléans qui voulait installer dans certaines rues les micros de surveillance de l’entreprise Sensivic pour détecter « des sons anormaux ». Des cris de misère, des ventres qui gargouillent, des protestations contre la suppression des services publics ? Non : des bruits de bombe de peinture, de bagarre, de verre brisé ou des éclats de voix. Petit problème : le système implique « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies ». N’allez pas raconter votre dernier secret amoureux dans les rues d’Orléans.

Suite à notre action, Sensivic (aujourd’hui en redressement judiciaire) et la ville d’Orléans ont reçu la visite de la CNIL qui a étudié de près cette surveillance. Finalement, par un courrier du 27 septembre dernier, l’autorité nous a informé qu’elle considère illégal le couple maléfique constitué par les caméras et les micros dans les rues. On détaille dans l’article pourquoi cette position est insatisfaisante à nos oreilles – les micros tout seuls seraient-ils donc plus acceptables ?

Lire l’article : https://www.laquadrature.net/2023/09/30/audiosurveillance-algorithmique-a-orleans-la-cnil-donne-raison-a-la-quadrature-sur-lillegalite-du-dispositif/

Affaire du « 8 décembre » : le chiffrement mis en procès

C’est un sujet grave dont nous parlons depuis le mois de juin dernier. Un groupe de sept personnes est inculpé du chef de terrorisme, pour diverses raisons sans lien apparent, et surtout sans trace d’un projet terroriste avéré. Mais les enquêteurs de la DGSI et le parquet national antiterroriste ne doutent pas de leur intuition et pensent que les intentions terroristes des inculpé·es sont d’autant plus certaines qu’elles sont cachées.

Et ce n’est même pas une blague : pour l’accusation, le fait que les accusé·es utilisaient des messageries chiffrées (Signal par exemple) et des disques durs chiffrés est la marque évidente d’une « culture de la clandestinité ». Encore plus fort : alors qu’elle a saisi tous les appareils électroniques des accusé·es, ordinateurs et téléphones, et qu’elle a pu lire 80 à 90 % de leur contenu, l’accusation prétend que les preuves d’un projet terroriste se cachent forcément dans les 10% restants, qui sont chiffrés. Comme le dit l’un des avocats d’une inculpée, « l’absence de preuve devient une preuve ».

L’histoire serait absurde si elle n’était pas très grave. D’abord, des vies ont été détruites : surveillance, prison, procès, emplois perdus, désastre psychologique. Et pour nous, les prémisses et les conséquences du raisonnement policier et judiciaire concernent tout le monde : tout le monde utilise des messageries chiffrées. Whatsapp par exemple, qui est le moyen de communication utilisé pour un très grand nombre de conversations amicales et familiales, est une messagerie chiffrée. Les journalistes, les lanceur·euses d’alerte, les militant·es politiques et syndicales, les chercheur·euses, les industriel·les, ont besoin de protéger leurs communications. Au quotidien, le secret des correspondances est protégé par le droit, comme principe de base de libertés civiles et du débat démocratique. Le droit à la vie privée est la condition sine qua non à l’exercice d’autres libertés fondamentales.

Si l’utilisation d’outils de chiffrement devenait, lors de ce procès et de son verdict, un élément incriminant ou aggravant, alors nous serions toutes et tous des terroristes, des malfaiteurs ou des comploteurs en puissance. Et si les outils de chiffrement était interdits, alors nos échanges numériques seraient accessibles à toutes les personnes malintentionnées et à toutes les polices. Cela n’est pas envisageable. C’est pourquoi nous suivons de très près ce procès, pour les droits de toutes et tous.

Lire l’article : https://www.laquadrature.net/2023/10/02/affaire-du-8-decembre-le-droit-au-chiffrement-et-a-la-vie-privee-en-proces/

La Quadrature dans les médias

Technopolice (reconnaissance faciale)

• Reconnaissance faciale : « Une opposition entre le Parlement européen et les États membres », explique Bastien Le Querrec, juriste et membre de la Quadrature du Net — https://www.francetvinfo.fr/sciences/high-tech/reconnaissance-faciale-une-opposition-entre-le-parlement-europeen-et-les-etats-membres-explique-bastien-le-querrec-juriste-et-membre-de-la-quadranure-du-net_6095601.html [France Info TV]

Technopolice (audiosurveillance algorithmique)

• Derrière le cas d’Orléans, le procès de la surveillance sonore — https://www.lemonde.fr/pixels/article/2023/09/29/derriere-le-cas-d-orleans-le-proces-de-la-surveillance-sonore_6191636_4408996.html [Le Monde]
• Testée dans les rues d’Orléans, l’audiosurveillance algorithmique jugée illégale par la Cnil—
  https://www.bfmtv.com/tech/actualites/donnees-personnelles/testee-dans-les-rues-d-orleans-l-audiosurveillance-algorithmique-jugee-illegale-par-la-cnil_AV-202310030618.html [BFM TV]
• La Cnil dit non à la vidéosurveillance algorithmique dans les rues d’Orléans — https://www.usine-digitale.fr/article/la-cnil-dit-non-a-la-videosurveillance-algorithmique-dans-les-rues-d-orleans.N2178342 [L’Usine Digitale]
• Vidéosurveillance : la Cnil retoque la captation sonore couplée aux images — https://incyber.org/videosurveillance-cnil-retoque-captation-sonore-couplee-aux-images/ [In Cyber News]
• Les caméras de vidéosurveillance dotées de capteurs de son jugées illégales par la Cnil — https://www.ouest-france.fr/societe/securite/les-cameras-de-videosurveillance-dotees-de-capteurs-de-son-jugees-illegales-par-la-cnil-bc03d738-62a6-11ee-baff-05c4272f4825 [Ouest-France]

Technopolice (police prédictive)

• L’intelligence artificielle est nulle pour prédire les crimes — https://www.ladn.eu/tech-a-suivre/lintelligence-artificielle-est-nulle-pour-predire-les-crimes/ [L’ADN]

Loi SREN (Espace numérique)

• Le climat anti-porno nuit à la santé sexuelle, alertent Act Up-Paris et la Quadrature du Net — https://tetu.com/2023/10/04/tribune-act-up-paris-quadrature-du-net-climat-anti-porno-projet-loi-regulation-numerique/ [Têtu]
• Cyberharcèlement, accès au porno, filtre anti-arnaques… Ce que contient le projet de loi qui veut « sécuriser et réguler l’espace numérique » — https://www.francetvinfo.fr/sciences/high-tech/cyberharcelement-acces-au-porno-filtre-anti-arnaques-ce-que-contient-le-projet-de-loi-qui-veut-securiser-et-reguler-l-espace-numerique_6085515.html [France Info TV]
• SREN : vive opposition et amendement Mozilla sur la table — https://goodtech.info/sren-un-amendement-mozilla-sur-la-table/ [Goodtech.info]

Règlement CSAR (Chat control)

• Le Parlement européen veut-il surveiller nos conversations sur les messageries ? — https://www.nouvelobs.com/opinions/20231005.OBS79069/le-parlement-europeen-veut-il-surveiller-nos-conversations-sur-les-messageries.html [Nouvel Obs]

Chiffrement et « 8 décembre »

• Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement — https://paris-luttes.info/affaire-du-8-decembre-17397 [Paris Luttes Info]

Agenda

• 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 6 octobre : Rencontres Radicales d’Alternatiba – Table ronde sur la répression. Césure – 13 rue Santeuil 75005, 19h.
• 3-27 octobre : procès de l’affaire du « 8 décembre », audiences publiques les après-midis du mardi au vendredi à partir de 13h30 au tribunal de Paris (Porte de Clichy).
• 12 octobre : causerie mensuelle Technopolice Marseille, de 19h à 20h, au Manifesten (59 rue Adolphe Thiers, Marseille).
]]> https://www.laquadrature.net/?p=21259http://isyteck.com/autoblog/quadrature/index.php5?20231005_173733_Projet_de_loi_SREN_et_filtre_____anti-arnaque________les_navigateurs_comme_auxiliaires_de_policeThu, 05 Oct 2023 15:37:33 +0000Le projet de loi visant à sécuriser et réguler l’espace numérique (« SREN », parfois appelé projet de loi « Espace numérique »), qui est actuellement débattu en hémicycle à l’Assemblée nationale, comporte un article 6 qui crée une nouvelle excuse pour imposer un mécanisme de censure administrative : la protection contre les « arnaques » en ligne. Cet article ne se contente pas de créer un nouveau prétexte pour faire retirer un contenu : pour la première fois, il exige également que les fournisseurs de navigateurs Internet participent activement à cette censure.

L’article 6 du projet de loi SREN prévoit en effet d’obliger les navigateurs Internet à censurer les sites qui proposeraient des « arnaques ». Cette censure administrative se ferait sur demande de la police (c’est-à-dire sans passer par un juge) si celle-ci estime qu’un contenu en ligne constitue une « arnaque ». Il faut entendre par « arnaque » les contenus qui usurperaient l’identité d’une personne, collecteraient de manière illicite des données personnelles, exploiteraient des failles de sécurité pour s’introduire dans le terminal de l’internaute ou tenteraient de tromper l’internaute par une fausse page de paiement ou de connexion (phishing, ou hameçonnage). Pour comprendre ce texte, présentons d’abord comment la censure se passe aujourd’hui en France.

La faible efficacité de la censure par DNS

Aujourd’hui, lorsqu’une censure d’un site est demandée, soit par un juge, soit par la police, elle passe par un blocage DNS. Pour simplifier, le DNS est le système qui traduit un nom de domaine en une adresse IP (par exemple www.laquadrature.net correspond à l’adresse IP 185.34.33.4). Quand un internaute veut consulter un site Internet, son périphérique interroge un service appelé « serveur DNS » qui effectue cette traduction. Chaque fournisseur d’accès Internet (FAI) fournit des serveurs DNS, de manière transparente pour l’abonné·e, qui n’a pas besoin de configurer quoi que ce soit : les serveurs DNS du FAI sont paramétrés par défaut.

Les injonctions de censure jouent aujourd’hui sur ce paramétrage par défaut : les FAI soumis à une obligation de censurer un site font mentir leur service DNS. Ainsi, au lieu de retourner à l’internaute la bonne adresse IP, le serveur DNS du FAI répondra qu’il ne connaît pas l’adresse IP du site censuré demandé, ou répondra par une adresse IP autre que celle du site censuré (par exemple pour rediriger l’internaute vers les serveurs du ministère de l’intérieur, comme c’est le cas avec la censure des sites terroristes ou des sites pédopornographiques).

La censure par DNS menteur a deux problèmes majeurs. Premièrement, elle est facilement contournable : il suffit à l’internaute de changer de serveur DNS. L’internaute peut même, lorsque sa box Internet le permet, paramétrer des serveurs DNS différents de ceux de son FAI, pour ne pas avoir à faire ce changement sur chaque périphérique connecté à son réseau. Deuxièmement, cette censure n’est pas précise : c’est tout le nom de domaine qui est bloqué. Il n’est ainsi pas possible de bloquer une page web seule. Si un FAI voulait bloquer avec un DNS menteur l’article que vous êtes en train de lire, il bloquerait aussi tous les autres articles sur www.laquadrature.net.

Lorsque le principe de la censure sur Internet a été introduit en droit, les législateurs dans le monde ont tâtonné pour trouver un moyen de la rendre effective. Différentes techniques ont été expérimentées avec la censure par DNS, et toutes posaient de sérieux problèmes (voir notamment l’article de Benjamin Bayart sur le site du FAI associatif French Data Network). Finalement, la censure par DNS menteur, lorsqu’elle ne consiste pas à renvoyer vers les serveurs d’un ministère¹Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée., a l’avantage de ne poser que peu de restrictions aux libertés fondamentales. Et le status quo aujourd’hui est de préférer cette technique de censure peu efficace à d’autres qui poseraient des problèmes techniques ou conduiraient à devoir surveiller tout le trafic.

En France, on n’a pas de pétrole, mais on a des idées

C’est là que le gouvernement français innove avec son idée de censure par les navigateurs Internet. L’article 6 du projet de loi SREN vise à obliger les navigateurs à censurer des sites qui auraient été notifiés par la police parce qu’ils proposeraient des « arnaques ». Pour cela, le gouvernement compte sur une technologie déjà présente dans les principaux navigateurs : les filtres anti-phishing.

Aujourd’hui, les principaux navigateurs protègent leurs internautes en comparant les URL des sites visités avec une liste d’URL connues pour être dangereuses (par exemple, si le site héberge des applications malveillantes ou un faux formulaire de connexion pour tenter de voler des identifiants). Il existe différentes listes d’URL dangereuses, notamment Google Safe Browsing (notamment utilisée par Firefox) ou Microsoft Defender SmartScreen (utilisée par Edge) : le navigateur, à partir d’une copie locale de cette liste, va vérifier que l’internaute n’est pas en train de naviguer vers une URL marquée comme dangereuse. Et si c’est le cas, un message d’avertissement est affiché²Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration..

Mais cette censure n’est pas obligatoire : l’internaute peut passer outre l’avertissement pour un site et il peut désactiver totalement cette censure dans les paramètres de son navigateur. Celle-ci est également transparente : les listes d’URL bloquées sont téléchargées localement, c’est-à-dire qu’elle sont intégralement connues par l’ensemble des internautes (voir, pour Firefox, l’explication du fonctionnement sur le site de Mozilla).

Or, avec ce projet de loi SREN, le législateur entend s’inspirer de ces filtres, mais en changeant leur esprit. Les navigateurs devront obligatoirement intégrer un mécanisme de censure des sites d’« arnaques » et, même si l’internaute pourra passer outre un avertissement, ce mécanisme ne pourra pas être désactivé dans son ensemble.

Certes, le gouvernement voulait initialement aller plus loin : dans la version du texte présentée en juillet au Sénat, il n’était pas question de laisser la possibilité à l’internaute de contourner un blocage. Exit le bouton « J’ai compris » : si la police avait décidé qu’une URL était dangereuse, il n’était pas envisagé que vous puissiez accéder à cette adresse. En commission spéciale à l’Assemblée nationale, des député·es ont modifié le texte issu des travaux du Sénat pour ajouter la possibilité de contourner un blocage exigé d’un navigateur. Leur élément de langage était tout trouvé : ne parlez plus de « censure », il ne s’agit désormais que de « filtrage ». Bon, peut-être n’avaient-ils pas ouvert un dictionnaire : « Filtrage, n.m. […] Censure des informations jugées non conformes à la loi ou aux bonnes mœurs » nous rappelle le Wiktionnaire.

Malgré cette maigre atténuation des dangers de cette censure par rapport à la version du Sénat, le principe de cet article 6 n’a pas été remis en cause par les député·es en commission spéciale : les navigateurs devront toujours, en l’état actuel du projet de loi, censurer les URL notifiées par la police.

Un texte flou qui sapera la confiance dans les navigateurs

Ce nouveau mécanisme de blocage comporte énormément de parts d’ombre. Par exemple, le texte ne précise pas comment les navigateurs devront l’intégrer. Le décret d’application que devra adopter le gouvernement pour préciser la loi pourrait très bien, en raison du flou de la rédaction actuelle, exiger l’utilisation d’une sorte de boîte noire non-libre pour faire cette censure. Cela aurait comme conséquence que les navigateurs Internet aujourd’hui libres, comme Firefox, ne le seraient plus réellement puisqu’ils intégreraient cette brique non-libre du gouvernement.

Par ailleurs, le projet de loi est également flou sur la question de la transparence des URL bloquées. En l’état actuel du texte, les URL censurées ne doivent être rendues publiques que 72h après une injonction de censure. Autrement dit, la police pourrait exiger des navigateurs qu’ils ne dévoilent pas aux internautes quelles URL sont censurées. Dès lors, à défaut de ne pouvoir embarquer la liste complète des URL bloquées, les navigateurs devraient interroger la police (ou un tiers agissant pour son compte) à chaque fois qu’une page web serait demandée par l’internaute pour vérifier si celle-ci n’est pas soumise à une injonction de blocage. Ce faisant, la police (ou ce tiers) connaîtrait l’intégralité de la navigation Internet de tout internaute.

Au-delà du flou entretenu sur cet article 6, les navigateurs deviendront, avec ce texte, des auxiliaires de police. Ils devront opérer pour le compte de la police cette censure. Ils devront assumer à la place de l’État les cas de surcensure qui, vu la quantité de contenus à traiter, arriveront nécessairement³Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.. Ils devront engager leur crédibilité lorsque des abus seront commis par la police. Alors que ce filtre anti-arnaque voulait redonner confiance aux internautes lorsqu’ils ou elles naviguent en ligne, c’est bien l’inverse qui se produira : le gouvernement retourne les navigateurs contre leurs utilisateur·rices, en imposant à ces dernier·es des censures possiblement injustifiées et potentiellement arbitraires. Comment, dans ce cas, faire confiance à un navigateur dont le comportement est en partie dicté par la police ?

Et c’est sans parler de cet effet cliquet qui se met en place à chaque nouvelle mesure sécuritaire. Il est impossible de revenir sur de nouvelles formes de contrôle par l’État : initialement présentées comme limitées, elles finissent inévitablement par être étendues. Avec son texte, le gouvernement envoie un signal fort à sa police et aux autres administrations : une fois l’État capable de faire bloquer sans juge les « arnaques » par les navigateurs, tout le monde pourra avoir sa part du gâteau de la censure par navigateur. Demain, la police voudra-t-elle faire censurer les discours politiques ou d’actions écologistes sous prétexte de lutte contre le terrorisme ? Les parlementaires voudront-ils faire bloquer des contenus haineux comme au temps de la loi Avia ? L’Arcom, qui a récupéré les pouvoirs de l’Hadopi en matière de droit d’auteur, voudra-telle bloquer les sites de streaming ?

Prendre les internautes pour des enfants incapables

Une fois encore, la CNIL est brandie en garde-fou qui permettrait de neutraliser et faire oublier tous les dangers de ce texte. Le projet de loi prévoit ainsi qu’une « personnalité qualifiée » de la CNIL sera notifiée des URL censurées et pourra enjoindre à la police de cesser un blocage abusif.

Or, ce « garde-fou » n’est pas sans rappeler celui, similaire et totalement défaillant, que l’on retrouve en matière de censure des sites terroristes ou pédopornographiques : lorsque la police veut faire censurer un contenu à caractère terroriste ou pédopornographique, une personnalité qualifiée de l’Arcom est chargée de vérifier que la demande est bien légitime. Avant l’Arcom, c’était à une personnalité qualifiée de la CNIL, Alexandre Linden, que revenait cette tâche. En 2018, il dénonçait le manque de moyens humains à sa disposition, ce qui a conduit à l’impossibilité de contrôler l’ensemble des demandes de censure. En 2019, il réitérait son appel et rappelait que les moyens nécessaires à son contrôle n’étaient toujours pas là. En 2020, il alertait sur les obstacles techniques mis en place par le ministère de l’intérieur.

Avec la censure des contenus terroristes ou pédopornographiques, ce sont déjà près de 160 000 contenus qui ont été vérifiés en 2022. Or, ce filtre « anti-arnaque » opèrerait un changement d’échelle : avec environ 1000 nouvelles menaces quotidiennes, il faudrait deux à trois fois plus de vérifications. Autant dire qu’il est illusoire de compter sur un tel garde-fou. Pire ! La police n’aura pas à motiver ses décisions de blocage lorsqu’une « mesure conservatoire » est prise, c’est-à-dire dans les cinq jours suivants la détection de l’arnaque, lorsque la police attend l’explication du site concerné. La personnalité qualifiée devra donc vérifier la véracité des « mesures conservatoires » sans connaître la raison pour laquelle la police a ordonné la censure.

En quoi la protection des internautes justifie-t-elle d’imposer une censure qu’ils ou elles ne pourront que contourner au cas par cas avec un message dont l’objectif est de dissuader de continuer ? Le gouvernement adopte une nouvelle fois une posture paternaliste auprès des internautes qui, pour leur bien, devraient accepter d’être pris·es par la main et de se voir imposer des mesures coercitives.

Reconnaissons un point : ce filtre « anti-arnaques » part d’une bonne intention. Mais l’imposer comme le fait l’article 6 du projet de loi SREN est un non-sens. Ce filtre aurait sa place dans un ensemble de mesures facultatives, mais qui ne relèvent pas de la loi : si le gouvernement est persuadé qu’il peut proposer un filtre « anti-arnaques » complet, fiable et à jour, pourquoi ne confie-t-il pas à la police le soin de maintenir une liste anti-phishing concurrente à celles de Google ou Microsoft ? Si ce filtre est de qualité, les navigateurs seront incités à l’intégrer, de leur plein gré et en laissant la liberté à l’internaute de le désactiver. Non, au contraire, le législateur préfère imposer sa solution, persuadé d’avoir raison et que forcer la main des navigateurs et des internautes serait une bonne chose. Et tant pis si cette censure ne sert à rien puisque, comme pour la censure des sites pornographique, les origines du problème ne sont pas abordées : rien n’est prévu dans ce projet de loi pour éduquer les citoyen·nes aux risques sur Internet, aucun nouveau moyen pour la CNIL ou l’ANSSI et son service cybermalveillance.gouv.fr n’est envisagé.

La vision paternaliste qui se dégage de ce filtre « anti-arnaque » montre bien la philosophie de l’ensemble de ce projet de loi : réguler Internet par l’excès d’autorité. Taper du poing sur la table, montrer que le gouvernement agit même si cela est parfaitement inefficace, et finalement sacrifier les libertés fondamentales sur l’autel du marketing politique en se ménageant de nouveaux moyens de surveillance et de censure. Le législateur ne doit pas tomber dans le piège, tendu par la commission spéciale, d’un « filtrage » qui serait acceptable : ce texte prévoit bel et bien une censure administrative par les navigateurs inacceptable en elle-même. Il est donc fondamental que cet article 6 et, au-delà, l’ensemble du projet de loi soient rejetés. Alors pour nous aider à continuer à défendre un Internet libre, vous pouvez nous faire un don !

References[+]

References

↑1	Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée.
↑2	Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration.
↑3	Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.

]]> https://www.laquadrature.net/?p=21247http://isyteck.com/autoblog/quadrature/index.php5?20231002_154832_Affaire_du_____8_decembre________le_droit_au_chiffrement_et_a_la_vie_privee_en_procesMon, 02 Oct 2023 13:48:32 +0000Le 3 octobre prochain s’ouvrira le procès de l’affaire dite du « 8 décembre ». Sept personnes sont accusées d’association de malfaiteurs terroriste. Pour construire le récit du complot terroriste, les services de renseignement de la DGSI chargés de l’enquête judiciaire, le parquet national antiterroriste (PNAT) puis le juge d’instruction instrumentalisent à charge le fait que les inculpé·es utilisaient au quotidien des outils pour protéger leur vie privée et chiffrer leurs communications. Face à cette atteinte inédite, que nous documentions longuement il y a quelques mois, le temps de ce procès va donc être crucial dans la bataille contre les velléités récurrentes de l’État de criminaliser des pratiques numériques banales, sécurisées et saines, pratiques que nous défendons depuis toujours.

« Il reconnaissait devant les enquêteurs utiliser l’application Signal »

Comme le souligne le journal Le Monde qui a consacré un long article au « 8 décembre », cette affaire repose « sur des bases fragiles ». Parmi celles-ci, nous sommes particulièrement inquiets de la place donnée à l’utilisation des outils de chiffrement ou, plus largement, des moyens pour protéger sa vie privée. Un des enjeux de ce procès sera donc de savoir si une telle pratique peut être utilisée à charge par la police et la justice pour étayer la la présomption d’un projet terroriste. Un tel parti pris de la part du juge constituerait un passage de cap extrêmement dangereux, puisque toute forme de confidentialité deviendrait alors suspecte par défaut.

Dans ce dossier, protéger sa vie privée et chiffrer ses communications n’est plus seulement suspect mais devient constitutif d’un « comportement clandestin », un moyen de cacher un projet criminel. À travers différentes notes, la DGSI s’est ainsi affairée à démontrer comment l’utilisation d’outils comme Signal, Tor, Proton, Silence, etc., serait une preuve de la volonté de dissimuler des éléments compromettants. Et en plus de cela, comme nous le dénonçions en juin dernier, la DGSI justifie l’absence de preuves d’un projet terroriste par l’utilisation d’outils de chiffrement : les éléments prouvant une intention terroriste sont nécessairement, selon elle, dans ces fameux messages chiffrés et inaccessibles. Le serpent se mord la queue, ce qui amène les avocats d’un des inculpé·es à dénoncer le fait qu’« ici, l’absence de preuve devient une preuve ».

Plus inquiétant encore, l’enquête de la DGSI est parsemée d’approximations voire d’erreurs techniques, qui seront ensuite reprises par le PNAT puis le juge d’instruction. Ainsi, les enquêteurs confondent Tor et Tails dans certaines pièces du dossier. Le résultat de l’enquête pointe également comme un élément de culpabilité le fait que les inculpé·es chiffrent le contenu de leur téléphone ou de leur ordinateur. Toujours avec beaucoup de confusions techniques, la DGSI reproche ainsi aux personnes en cause d’utiliser LUKS, un outil disponible sous Linux pour chiffrer ses disques, pourtant banal et recommandé pour protéger ses données. Mais, de manière générale, l’ensemble du dossier tend à démontrer que la police et la justice ignorent que le chiffrement par défaut des supports de stockage est mis en place par les principaux développeurs de logiciels. Et ces mêmes autorités oublient que leurs périphériques aussi sont chiffrés (en tout cas nous l’espérons pour elles !).

En somme, il est reproché aux inculpé·es de respecter des règles élémentaires de sécurité informatique. Ce qui est parfois appelé « hygiène numérique »¹Voir par exemple le guide de l’ANSSI sur l’hygiène numérique. devient le symbole d’un prétendu comportement clandestin.

Les États relancent leur guerre contre le chiffrement

Il existe depuis toujours une tension politique autour du chiffrement des communications électroniques, et cela est bien logique puisque le chiffrement est politique par nature. Martin Hellmann, un des chercheurs en mathématiques ayant participé à la conception du chiffrement asymétrique dans les années 1970, justifiait à l’époque sa démarche par sa crainte que « l’utilisation croissante des outils de traitement automatisés représente une réelle menace pour l’économie et la vie privée ». Pour lui, les techniques de chiffrement fiables constituaient une manière d’empêcher le développement de la « surveillance d’un État policier s’appuyant sur l’informatisation » ²Voir la citation de Corrigan-Gibbs, « Keeping Secrets », dans la thèse de Félix Tréguer, « Pouvoir et résistance dans l’espace public : une contre-histoire d’Internet (XVe-XXIe siècle) » accessible sur https://shs.hal.science/tel-01631122. Voir aussi le livre Contre-histoire d’Internet : Du XVe siècle à nos jours, édition revue et actualisée, Agone, 2023.. On le comprend, l’émergence de cette technologie n’est pas le résultat de découvertes scientifiques fortuites mais bien le fruit d’un rapport de force naissant. Et cela explique pourquoi les États ont toujours opposé une résistance à son développement et à son utilisation, une volonté de contrôle trahie par un discours transformant leurs créateur·rices et les utilisateur·rices du chiffrement en criminels potentiels.

En effet, dès la publication des travaux d’Hallman et de ses camarades, le gouvernement des États-Unis a fait pression pour que cette technique reste dans le domaine militaire, afin de pouvoir en maîtriser le développement. Ensuite, dans les années 1990, la démocratisation du chiffrement, notamment via le protocole PGP, donne de nouvelles sueurs froides au gouvernement états-unien qui repart à l’attaque. Ce dernier propose alors de mettre en place des « Clipper Chips », c’est-à-dire l’obligation d’installer une puce contenant une « porte dérobée » dans tout système chiffré, permettant un accès aux données pour les autorités judiciaires et administratives.

Commence alors une « crypto-war » qui oppose l’administration Clinton et les nombreux activistes défendant le droit à la cryptographie. Le gouvernement fédéral se défend en expliquant que « si les technologies cryptographiques sont rendues librement accessibles à l’échelle mondiale, elles seraient sans aucun doute largement utilisées par les terroristes, les trafiquants de drogue et autres criminels qui portent préjudice aux Américains sur le territoire national et à l’étranger. » Mais ce discours de criminalisation échoue et le chiffrement est retiré de la liste des « armes et munitions » en 1996, ouvrant la voie à sa libéralisation. En France, bien que poussée par des militant·es, cette libéralisation du chiffrement n’a eu lieu qu’en 1999, faisant de la France un des derniers États à vouloir garder cette technique sous son contrôle.

Les attaques contre le chiffrement ont refait surface dans les années 2010, à un moment où la population a tout à la fois pris conscience des méga-programmes de surveillance étatiques, vécu des épisodes d’attentats donnant lieu à un climat sécuritaire intense, et pu accéder à des messageries chiffrées grand public. Cette conjoncture a ainsi donné de nouvelles occasions aux différents ministres de l’intérieur (Cazeneuve, Castaner puis Darmanin), députés, ou président pour redonner corps à la criminalisation aussi bien des concepteur·rices des outils fondés sur du chiffrement (pensons par exemple à l’affaire de l’iPhone de San Bernardino qui a mis Apple au centre des critiques) que de ses utilisateur·rices.

La crainte d’un précédent irrémédiable

Avec l’affaire du « 8 décembre », nous assistons donc à une matérialisation de ce discours qui tente de faire croire que le chiffrement des communications serait l’apanage des criminels et terroristes. Sauf qu’il ne s’agit plus d’une déclaration politique opportuniste pour étendre des pouvoirs voulus depuis des décennies. Nous parlons cette fois-ci d’une accusation policière et judiciaire aux conséquences concrètes et graves, qui a participé à mettre des personnes en prison. Nos inquiétudes sont grandes face à la possibilité que les juges puissent adhérer à cette narration criminalisant les outils de protection de la vie privée. Cela créerait un précédent aussi bien juridique que politique, en plus d’avoir des conséquences humaines désastreuses pour les principales personnes concernées. La confidentialité, ici numérique mais qui pourrait s’étendre demain à des pratiques physiques, deviendrait alors une présomption de culpabilité. Se protéger, adopter des mesures de sécurité pour soi et les autres serait alors un motif de poursuites.

Isabela Fernandes, la directrice exécutive du Tor Project nous a fait part de son soutien dans cette bataille à venir. Pour elle, « le chiffrement ne doit pas être compris à tort comme un signe d’intention malveillante mais, doit au contraire être vu comme une composante fondamentale du droit à la vie privée et à la sécurité informatique des personnes. Dès lors que de plus en plus d’aspects de nos vies ont lieu en ligne, le chiffrement est garant de la capacité à protéger sa vie privée et ses droits. »

Elle ajoute : « De nombreux outils préservant la vie privée sont utilisés par les membres de la Commission européenne et des organes d’État. Les gouvernements ont la responsabilité d’assurer le droit à la liberté d’expression et à la vie privée pour toutes et tous afin de protéger un fondement des sociétés démocratiques – plutôt que de promouvoir une interprétation biaisée de qui peut bénéficier de ces droits et qui ne le peut pas. »

C’est bien parce que déduire de l’utilisation d’outils pour protéger sa vie privée et chiffrer ses communications un comportement clandestin vient nourrir un dossier pénal très faible que plus de 130 personnes et organisations ont dénoncé cela dans une tribune parue dans Le Monde. À l’heure où l’État étend ses filets de plus en plus loin, autorise la surveillance à distance des objets connectés , y compris ceux des journalistes sous prétexte de sécurité nationale, assimile les revendications écologiques à du terrorisme pour mieux justifier sa débauche de moyens répressifs et intrusifs, perquisitionne les journalistes qui révèlent des crimes de guerre commis avec la complicité de l’État, veut mettre fin à toute idée d’anonymat en ligne ou à tout secret des correspondances, nous assistons actuellement à un emballement autoritaire terriblement inquiétant.

Ce procès est une énième attaque contre les libertés fondamentales, mais surtout un possible aller sans retour dans le rapport que l’État entretient avec le droit à la vie privée. Alors votre mobilisation est importante ! Rendez-vous demain, 3 octobre, à 12h devant le tribunal de Paris (Porte de Clichy) pour un rassemblement en soutien aux inculpé·es. Puis si vous le pouvez, venez assister aux audiences (qui se tiendront les après-midis du 3 au 27 octobre au tribunal de Paris) afin de montrer, tous les jours, solidarité et résistance face à ces attaques.

References[+]

References

↑1	Voir par exemple le guide de l’ANSSI sur l’hygiène numérique.
↑2	Voir la citation de Corrigan-Gibbs, « Keeping Secrets », dans la thèse de Félix Tréguer, « Pouvoir et résistance dans l’espace public : une contre-histoire d’Internet (XVe-XXIe siècle) » accessible sur https://shs.hal.science/tel-01631122. Voir aussi le livre Contre-histoire d’Internet : Du XVe siècle à nos jours, édition revue et actualisée, Agone, 2023.

]]> https://www.laquadrature.net/?p=21242http://isyteck.com/autoblog/quadrature/index.php5?20230930_145122_Audiosurveillance_algorithmique_a_Orleans____la_CNIL_donne_raison_a_La_Quadrature_sur_l___illegalite_du_dispositifSat, 30 Sep 2023 12:51:22 +0000En 2021, La Quadrature du Net avait attaqué un dispositif d’audiosurveillance algorithmique déployé à Orléans dans le cadre d’une convention avec l’entreprise de surveillance Sensivic. Cette semaine, la CNIL vient de nous donner raison en soulignant l’illégalité de ce dispositif technopolicier.

En 2021, la ville d’Orléans concluait avec une startup locale, Sensivic, un contrat pour expérimenter une nouvelle forme de surveillance policière de l’espace public : l’audiosurveillance algorithmique (ASA). Comme ce qui avait été tenté à Saint-Étienne, le projet consistait à déployer des « détecteurs de sons anormaux » (c’est-à-dire des « mouchards ») sur des caméras de surveillance.

L’ASA est un des composantes de la Technopolice qui s’affirme sur le territoire français, aux côtés de la vidéosurveillance algorithmique (VSA), des drones ou de la reconnaissance faciale. Il est essentiel de la freiner et de la combattre partout où elle se déploie. C’est la raison pour laquelle nous avions donc attaqué la convention entre Orléans et Sensivic, aussi bien devant la justice administrative que devant la CNIL. C’est aujourd’hui que la CNIL, après plus de deux ans d’instruction, vient de nous donner raison.

Pas d’oreilles pour les caméras

La CNIL vient ici rappeler ce qu’elle avait déjà dit à Saint-Étienne. En effet, en 2019, avec l’aide de l’entreprise Serenicity, Saint-Étienne avait envisagé un projet similaire de surveillance sonore : la CNIL avait déjà à l’époque considéré qu’il est illégal de capter des sons dans l’espace public pour améliorer la vidéosurveillance.

Le projet orléanais que nous avons attaqué prévoyait bien lui aussi une analyse automatisée de tous les sons de l’espace public dans l’objectif d’aider les caméras à repérer certains comportements suspects. Malgré tout ce qu’a pu baratiner Sensivic dans le cadre de notre contentieux, la CNIL rappelle le droit : ce dispositif de micros, couplé à la vidéosurveillance, est illégal car le droit existant ne permet en aucun cas une telle surveillance.

Après Saint-Étienne, une telle décision à Orléans permet au moins de clarifier les choses et de mettre un frein, aussi petit soit-il, à l’industrie de la surveillance qui cherche par tous les moyens à revendre ses logiciels de surveillance de masse.

La CNIL relègue l’ASA au rang de technologie inutilisable

Cette position de la CNIL est néanmoins décevante.

D’une part, alors qu’il ne s’agissait que de l’application stricte d’une décision déjà prise dans le passé à Saint-Étienne, la CNIL a mis presque trois ans à instruire ce dossier et à prendre une décision. Trois ans pendant lesquels l’ASA a pu se normaliser et se développer. Trois ans de gagnés pour la Technopolice. Notons que nous sommes d’ailleurs toujours en attente de la décision du tribunal administratif sur ce même dossier.

D’autre part, la CNIL limite son raisonnement à la question du couplage de l’ASA avec la vidéosurveillance. A contrario, elle considère que, lorsque l’ASA n’est pas couplée à de la vidéosurveillance, il pourrait ne pas y avoir de traitement de données personnelles. Cette analyse de la CNIL, bien que sans conséquence pratique, reste très contestable juridiquement. En bref, elle semble laisser une marge à l’industrie de la surveillance sur la question de l’analyse automatisée des sons.

Considérer qu’il n’y a de traitement de données personnelles que lorsque l’ASA est couplée avec un dispositif de vidéosurveillance (ou n’importe quel un mécanisme d’identification des personnes) est juridiquement contestable. Mais cela n’a pas de conséquence pratique directe : l’objectif de l’ASA est bien de connaître la source d’un bruit, c’est-à-dire d’être couplée à un autre dispositif. Ce « complément naturel à l’image dans les systèmes de sécurité et de vidéosurveillance », pour reprendre les mots de Sensivic, est bien illégal.

Cette victoire devant la CNIL est une bonne nouvelle. Au tour de la justice administrative, désormais, de rendre sa décision. Il est urgent, aujourd’hui, de mettre un terme définitif à ces projets de surveillance sonore. Alors pour nous aider à continuer la lutte, vous pouvez participer à documenter cette surveillance ou faire un don.

Mise à jour du 24 octobre 2023 : nous venons d’informer le tribunal administratif d’Orléans de la position de la CNIL (notre mémoire est consultable ici).

]]> https://www.laquadrature.net/?p=21214http://isyteck.com/autoblog/quadrature/index.php5?20230922_181956_QSPTAG__294_____22_septembre_2023Fri, 22 Sep 2023 16:19:56 +0000Loi SREN : un catalogue de mauvaises nouvelles

Le projet de loi « visant à sécuriser et réguler l’espace numérique » (SREN), voté en juillet dernier par le Sénat mais actuellement en discussion à l’Assemblée, est dans son état actuel un grand fourre-tout de mesures pour « civiliser » le « Far-West » qu’est encore aujourd’hui le web dans l’esprit des politiques.

De nombreux faits divers sont venus alimenter cette vision noire d’internet, coupable de tous les maux de la société : après le terrorisme, la pédophilie, la désinformation, les mouvements sociaux spontanés ou les émeutes de banlieue, les maux qui justifient une action énergique sont aujourd’hui le harcèlement scolaire et la pornographie accessible aux enfants. Et comme à chaque fois, on n’imagine rien d’autre que davantage de répression, de censure et de surveillance, confiées à des acteurs privés (les grandes plateformes de réseaux sociaux, en général) sans contrôle de la justice et avec les encouragements des services administratifs et policiers de l’État.

Bien sûr, personne ne songe à nier ou à minimiser les problèmes ni les faits de société qui sont à l’œuvre. En revanche, il est de notre rôle de prendre la parole quand les moyens imaginés pour les résoudre sont démesurés, inefficaces, ou carrément dangereux : surveiller tout et tout le monde présente beaucoup de risques pour une société démocratique… Nous avons donc publié le 12 septembre un long article d’analyse — aussi dense et copieux que la loi — pour présenter les points qui nous inquiètent.

Le projet de loi aborde la problématique du harcèlement en ligne par la manière autoritaire : une personne condamnée, donc bien connue et punie en proportion de ses actes, serait désormais bannie des réseaux sociaux. À charge aux plateformes de se débrouiller pour identifier les nouveaux comptes créés par une personne condamnée. Comment y arriver, si chacun ne doit pas fournir son identité civile pour créer le moindre compte ?
Même logique encore contre les arnaques en ligne (phishing et autres) : une liste de sites identifiés à bloquer serait fournie par l’État et intégrée directement dans les navigateurs web. Un moyen parfait pour créer des listes à tout faire où se retrouveraient des sites à teneur politique ou contestataire.

Par ailleurs, le projet de loi ne propose aucune solution favorisant l’autogestion des contenus en ligne, comme l’interopérabilité des réseaux sociaux que nous défendons depuis plusieurs années. En permettant la création d’instances spécifiques, gérées par une communauté qui se dote de règles, elle permettrait pourtant aux internautes jeunes et vieux d’évoluer dans des espaces modérés où les contenus haineux et pédopornographiques seraient exclus, et au pire cantonnés à des espaces plus faciles à identifier et à isoler. La promotion des plateformes géantes entraîne le recours à des moyens massifs qui attentent aux droits du plus grand nombre.

Le texte présente enfin des mesures contre l’accès jugé trop facile des enfants et des jeunes à la pornographie en ligne. L’obligation faite aux sites depuis 2020 de filtrer l’entrée aux mineurs n’ayant rien changé, le projet de loi SREN introduit une nouvelle obligation de prouver son âge. Devoir faire usage de son identité civile pour naviguer sur Internet, voilà une nouveauté très dérangeante. Comme chaque point de cette loi mérite une analyse particulière, nous avons également publié le 19 septembre un article consacré à la question de l’accès au porno, écrit en partenariat avec l’association Act-Up.

Passé en commission des lois cette semaine, le projet de loi sera discuté en séance par l’Assemblée à partir du 4 octobre prochain.

L’analyse complète de la loi : https://www.laquadrature.net/2023/09/12/projet-de-loi-sren-le-gouvernement-sourd-a-la-realite-dinternet/

L’article sur l’accès au porno : https://www.laquadrature.net/2023/09/19/projet-de-loi-sren-et-acces-au-porno-identifier-les-internautes-ne-resoudra-rien/

Règlement CSAR : la fin des échanges confidentiels ?

Les instances de l’Union européenne travaillent en ce moment sur un projet de règlement contre la pédopornographie intitulé « Child Sexual Abuse Regulation » (CSAR) et souvent appelé « Chat control » par les acteurs européens. Idée forte du texte : pour lutter contre les violences sexuelles faites aux enfants, il est demandé aux hébergeurs de contenus en ligne de détecter les contenus pédopornographiques et de surveiller les conversations des utilisateurs.

En réalité, l’analyse des images postées par les utilisateurs de services en ligne existe déjà, pratiquée par Meta, envisagée par Apple, et encouragée à titre expérimental, pour 3 ans, par un précédent règlement européen de 2021. Le CSAR doit justement prendre le relais et inscrire cette obligation d’analyse et de filtrage dans le marbre. L’enjeu est colossal. Dans ce cadre comme dans celui de la loi SREN, la lutte contre la pédopornographie, totem inattaquable et légitime, justifie l’abolition de la confidentialité de tous les échanges en ligne.

Le pseudonymat, le chiffrement des échanges, le secret des correspondances, la vie privée qui va de pair avec la liberté d’expression, tout disparaît devant une seule cause élevée en absolu — et pour des résultats que des études et des services de police ne jugent même pas probants.

Lire l’article complet :
https://www.laquadrature.net/2023/09/18/reglement-csar-la-surveillance-de-nos-communications-se-joue-maintenant-a-bruxelles/

La Quadrature dans les médias

Loi SREN

• Projet de loi sur l’espace numérique : « une surenchère autoritaire » pour la Quadrature du Net — https://www.notretemps.com/depeches/projet-de-loi-sur-l-espace-numerique-une-surenchere-autoritaire-pour-la-quadrature-du-net-78288 [Notre Temps]
• Il faut qu’on parle du projet de loi SREN qui pourrait détruire les libertés fondamentales d’Internet — https://www.konbini.com/internet/il-faut-quon-parle-du-projet-de-loi-sren-qui-pourrait-detruire-les-libertes-fondamentales-dinternet/ [Konbini]
• Porno, harcèlement en ligne, blocage de sites Web : que contient la loi SREN ? — https://www.commentcamarche.net/securite/protection/29049-porno-harcelement-en-ligne-blocage-de-sites-web-que-contient-la-loi-sren/ [Comment ça marche]
• https://alloforfait.fr/internet/news/121431-sren-paul-midy-souhaite-fin-anonymat-internet-sonner-fin-impunite.html — https://alloforfait.fr/internet/news/121431-sren-paul-midy-souhaite-fin-anonymat-internet-sonner-fin-impunite.html [AlloForfait]

VSA et JO

• JO de Paris 2024 : La vidéosurveillance algorithmique signe-t-elle la fin de nos libertés ? — https://www.20minutes.fr/high-tech/4053081-20230920-jo-paris-2024-videosurveillance-algorithmique-signe-fin-libertes [20 minutes]
• Responsables politiques de l’UE : réglementez les technologies policières ! La société civile demande à l’UE de fixer des limites aux technologies de surveillance dans la loi sur l’intelligence artificielle — https://www.ldh-france.org/responsables-politiques-europeens-reglementez-la-technologie-policiere/ [Ligue des droits de l’Homme]
• Police AI needs strict limits and controls, warn civil society organisations — https://www.statewatch.org/news/2023/september/police-ai-needs-strict-limits-and-controls-warn-civil-society-organisations/ [Statewatch]

Divers

• Weltweite Warnung vor Überwachungsplänen der EU — https://netzpolitik.org/2023/chatkonrolle-weltweite-warnung-vor-ueberwachungsplaenen-der-eu/ [Netzpolitik]
• Jusqu’où faut-il équiper la police ? — https://usbeketrica.com/fr/article/jusqu-ou-faudra-t-il-equiper-la-police [Usbek & Rica]
• « Les techniques de surveillance utilisées par le renseignement justifieraient un contrôle plus resserré » — https://www.lepoint.fr/monde/les-techniques-de-surveillance-utilisees-par-le-renseignement-justifieraient-un-controle-plus-resserre-18-09-2023-2535789_24.php [Le Point]

Agenda

• 23 septembre : soirée de soutien aux inculpé·es du « 8 décembre » au Centre Paris Anim’ Montparnasse (Jardin Atlantique, 26 allée du Chef d’Escadron de Guillebon, 75014) — discussion à 16h avec L’Envolée et La Quadrature du Net, puis grand concert de 18h à 23h : https://www.agendamilitant.org/Concert-de-soutien-aux-inculpee-es-du-8-12.html.



• 25 septembre : discussion «  Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement » à la Bourse du Travail à Paris (29 boulevard du Temple, 75003) — à partir de 19h avec La Quadrature du Net, le SNJ, N0thing to Hide et les avocats des inculpé·es.
  
• 26 septembre : La Quadrature participera à une discussion sur le chiffrement et la surveillance organisée par EDRi à partir de 16h30 à Bruxelles (lieu à préciser) : https://edri.org/take-action/events/save-the-date-join-edri-to-talk-encryption-surveillance-and-privacy/.
• du 28 septembre au 1er octobre : deuxième édition du Festival Technopolice à Marseille ! Films, ateliers et débats, toutes les infos ici : https://technopolice.fr/festival-2023/.
• 28 septembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant, 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
• 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
]]> https://www.laquadrature.net/?p=21195http://isyteck.com/autoblog/quadrature/index.php5?20230919_111614_Projet_de_loi_SREN_et_acces_au_porno____identifier_les_internautes_ne_resoudra_rienTue, 19 Sep 2023 09:16:14 +0000Article co-écrit par La Quadrature du Net et Act Up-Paris.

Parmi les nombreuses mesures du projet de loi visant à sécuriser et réguler l’espace numérique (« SREN » ou « Espace numérique ») figurent deux articles qui renforcent le contrôle des sites proposant du contenu à caractère pornographique, en leur imposant de vérifier l’âge des internautes pour bloquer l’accès aux mineur·es. Nous revenons, La Quadrature du Net et Act Up-Paris, sur cette mesure et ses dangers (voir aussi l’analyse globale de La Quadrature sur le projet de loi SREN).

Vérification de l’âge et blocage

À l’été 2020, la loi n° 2020-936 a renforcé les obligations pesant sur les sites proposant du contenu à caractère pornographique afin d’empêcher les mineur·es d’accéder à ces derniers. D’une part, elle a renforcé le délit que commet un site à caractère pornographique s’il est accessible à un·e mineur·e : demander à l’internaute de déclarer sur l’honneur qu’il ou elle est majeur·e ne suffit pas. D’autre part, cette loi a introduit une obligation pour ces sites de recourir à des dispositifs de vérification de l’âge des internautes. La sanction en cas d’absence de vérification de l’âge est la censure. L’Arcom, autorité née de la fusion entre le CSA et la Hadopi, est chargée de mettre en demeure les sites ne vérifiant pas correctement l’âge des internautes, puis de saisir la justice pour les faire censurer si les mises en demeures sont restées sans effet.

À l’époque, La Quadrature constatait que, encore une fois, les élu·es n’avaient rien compris à ce qu’est Internet. Vouloir mettre en place une obligation de vérifier l’âge des internautes en empêchant la seule technique respectueuse des libertés fondamentales qu’est l’auto-déclaration de l’internaute revient à supprimer le droit à l’anonymat en ligne. Act Up-Paris s’était prononcée également contre de tels procédés de censure, contre-productifs tant pour protéger les mineur·es de l’exposition aux contenus pornographiques que pour l’indépendance des travailleur·ses du sexe.

Le projet de loi SREN actuellement débattu à l’Assemblée montre que le gouvernement et les élu·es qui soutiennent ce texte n’ont toujours pas compris le fonctionnement d’Internet et les enjeux en termes de libertés fondamentales. En effet, à ses articles 1^er et 2, ce texte va encore plus loin dans l’obligation de vérifier l’âge des internautes qui souhaiteraient accéder à un site à caractère pornographique : si ces deux articles étaient votés en l’état, l’Arcom pourrait imposer aux plateformes ses propres choix techniques pour vérifier l’âge (à travers l’édiction d’un référentiel), puis censurer elle-même, sans passer par un juge, les sites qui ne se plieraient pas à ses exigences (par des injonctions de blocage et de déréférencement).

Contourner le juge

Ce projet de loi prévoit deux contournements du juge : celui-ci ne décidera plus du bien-fondé d’une censure avant que celle-ci ne soit prononcée, et il ne décidera plus de la manière de procéder à la vérification de l’âge.

En effet, premièrement, le ministre Jean-Noël Barrot à l’origine de ce projet de loi ne cache pas que l’objectif est de ne plus attendre la justice pour censurer les sites : le projet de loi confie, dans son article 2, le soin à l’Arcom de censurer elle-même les sites, au lieu de passer par la justice, dans un mouvement de défiance envers cette dernière. M. Barrot justifiait ainsi devant le Sénat le rôle du référentiel qu’édictera l’Arcom : « En réalité, le référentiel vient sécuriser la capacité de l’Arcom à ordonner le blocage et le déréférencement. Et puisque nous prévoyons dans les articles 1^er et 2 d’aller beaucoup plus vite, en contournant la procédure judiciaire, pour procéder à ce blocage, il faut que nous puissions fixer, à tout le moins, les conditions dans lesquelles le blocage et le déréférencement puissent être prononcés par l’Arcom. »

Le ministre a admis également dans la presse que ce mécanisme pourrait parfaitement conduire à censurer des réseaux sociaux comme Twitter. En effet, censurer Twitter est une demande récurrente de certaines associations de protection de l’enfance qui avaient formellement saisi l’année dernière l’Arcom afin qu’elle obtienne le blocage judiciaire du réseau social. Pourtant, à notre connaissance, l’autorité n’a jamais fait droit à cette demande, très certainement parce qu’une telle censure serait refusée par la justice. Demain, si ce texte passait, l’autorité pourrait exiger directement le blocage d’un réseau social comme Twitter, d’autant plus que le gouvernement l’y incite.

Deuxièmement, le contournement du juge réside également dans les règles qui s’appliqueront aux sites pour vérifier l’âge. En effet, l’Arcom sera chargée d’établir un référentiel pour déterminer les caractéristiques obligatoires de la vérification de l’âge. Aujourd’hui, en l’absence de précision dans la loi, c’est le juge qui, lorsqu’il est saisi d’une demande de l’Arcom de censure d’un site, regarde si la vérification de l’âge est techniquement possible et décide de prononcer ou non une censure en fonction des outils disponibles et des conséquences pour les droits fondamentaux. Mais demain, ce sera l’Arcom qui décidera de comment procéder à cette vérification¹On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.. Ce référentiel s’imposera aux sites, qui n’auront pas d’autre choix que de s’y conformer sous peine d’être censuré, même si cela aurait des conséquences dramatiques pour les libertés fondamentales.

Ce contournement du juge est particulièrement inquiétant dans un État de droit. La justice est vue par le gouvernement comme un frein, un obstacle qu’il faudrait « contourner ». Pour le ministre, la fin justifie les moyens : parce que la justice est considérée comme trop lente, elle doit être contournée. Les mêmes dangers pour les libertés que dans le reste des cas de censure administrative se poseront ici : la justice pourra toujours se prononcer sur le bien-fondé d’une censure, mais une fois seulement que celle-ci sera mise en place. Agir d’abord, réfléchir ensuite.

Surveillance automatisée des contenus et risques de sur-censure

À première vue, on serait tenté de se dire que l’obligation de vérification de l’âge pour les sites proposant du contenu pornographique n’est pas très grave car elle est limitée. Mais comme on l’a dit juste avant, les réseaux sociaux seront eux aussi concernés.

Pour une plateforme dont l’objet principal est de proposer du contenu à caractère pornographique, l’étendue de cette obligation de vérifier l’âge des internautes est facile à déterminer : avant l’accès à la moindre page de ces sites, la vérification de l’âge devra être faite. Mais il est beaucoup plus difficile pour un site dont l’objet principal n’est pas de proposer un tel contenu, notamment les réseaux sociaux, de distinguer ce qui relèverait de la pornographie ou non.

L’obligation de vérifier l’âge des internautes avant d’accéder à un contenu pornographique va donc, de fait, imposer aux plateformes de réseaux sociaux d’analyser automatiquement tous les contenus que publieraient leurs utilisateur·rices afin de déterminer les contenus à caractère pornographique, pour activer la vérification de l’âge quand cela sera nécessaire. Une analyse humaine n’est en effet pas envisageable en raison de la masse à traiter. Et comme la responsabilité repose sur les plateformes, elles seront nécessairement incitées à englober des contenus qui ne relèvent pas de la pornographie, dans le doute et par crainte d’une sanction pénale et d’une censure administrative²Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent »..

Le résultat sera catastrophique car les plateformes censureront par exemple les contenus de prévention en santé sexuelle. En effet, aujourd’hui, des associations de santé comme le Projet Jasmine de Médecins du Monde font des maraudes virtuelles pour toucher les travailleur·ses du sexe les plus éloigné·es de l’accès au soin. D’autres, comme Grisélidis, effectuent des maraudes en ligne sur les applications pour toucher les personnes mineur·es qui se prostituent. Or, ces différentes actions, qui visent à accompagner et aider ces personnes, seront impactées par cette censure. Aujourd’hui déjà, les campagnes de santé sexuelle sont limitées car les algorithmes invisibilisent tout ce qui touche aux sexualités : la simple mention du mot « sexe » fait perdre de la visibilité aux contenus en ligne et la nudité est censurée (voir par exemple la censure par Meta d’une une de Télérama contre la grossophobie, ou la censure d’une campagne de prévention d’Act-Up Paris). Le public que ces associations tentent d’aider subit aujourd’hui déjà des suppression de comptes sur les réseaux sociaux, et ce projet de loi aggravera cela. Le principal risque pour les associations de santé communautaire est de perdre le contact avec ces personnes particulièrement vulnérables.

Fin de l’anonymat en ligne

Enfin, de manière encore plus grave, cette vérification de l’âge implique la fin de l’anonymat en ligne. On rappellera que le principe est le droit à l’anonymat en ligne, qui est protégé tant par le droit de l’Union européenne³Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat. que par la Convention européenne de sauvegarde des libertés fondamentales (CESDH)⁴La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).. Or, le projet de loi SREN remet directement en cause ce principe en ligne.

Le texte ne dit pas comment la vérification de l’âge devra se faire : c’est sur l’Arcom, lorsqu’elle édictera son référentiel, que reposera cette mission. Il existe plusieurs manières de vérifier l’âge en ligne. La plupart sont relativement peu fiables et constitueraient de graves atteintes aux libertés fondamentales (analyse biométrique du visage, analyse de l’historique, utilisation d’une carte bancaire, envoi de sa carte d’identité au site). Il existe également une manière non-fiable mais qui offre l’avantage de ne pas créer d’atteinte disproportionnée aux libertés : l’auto-déclaration par l’internaute. Mais le législateur a explicitement écarté cette dernière en 2020.

La solution qui revient régulièrement, parce qu’elle serait la moins mauvaise solution, est l’identité numérique et on peut s’attendre à ce que l’Arcom s’oriente vers cette solution dans son référentiel. L’identité numérique consiste à s’identifier en ligne à l’aide d’un service autre. Les GAFAM ont leur système d’identité numérique (par exemple Google qui permet de s’identifier sur un site tiers à l’aide du compte Google de l’internaute), l’État également (avec ses services FranceConnect et France Identité). Or, l’identité numérique, si elle est bien implémentée via un tiers de confiance, permet de limiter les informations traitées. Comme le relevait le laboratoire d’innovation numérique de la CNIL (le LINC), passer par un tiers de confiance qui sera chargé de vérifier l’âge pour le compte d’un site internet permet à ce dernier de ne pas connaître l’identité de l’internaute. Avec ce mécanisme, l’internaute se connecte à ce tiers de confiance à l’aide d’une identité numérique d’État pour justifier de son identité donc de son âge. Puis le tiers de confiance délivre un certificat de majorité (aussi appelé ici « jeton » ou « token ») à l’internaute. Enfin, l’internaute transmet au site ce certificat pour prouver qu’il ou elle a 18 ans ou plus. Concrètement, cela prend la forme d’une page de connexion sur la plateforme du tiers de confiance et la transmission du certificat est effectuée automatiquement par le navigateur de l’internaute vers le site qui demande la majorité.

Cette solution, parfois appelée « en double aveugle », a beau être la moins mauvaise, elle reste dangereuse. Certes, le site qui doit vérifier l’âge de l’internaute ne connaît pas son identité réelle (mais seulement s’il a 18 ans ou plus) et le tiers de confiance ne sait pas sur quel site l’internaute se connecte (parce que le certificat de majorité n’est pas présenté directement par le tiers de confiance au site). En revanche, une telle solution implique nécessairement de devoir justifier de son identité à un moment avant de pouvoir accéder à un service en ligne : même si l’internaute ne se connecte pas directement auprès du site voulant vérifier l’âge, il devra justifier de son identité auprès d’un tiers. L’anonymat n’est plus possible si un site impose à ses internautes de s’identifier pour vérifier leur âge. Dit autrement, lorsque le législateur impose de vérifier l’age des internautes, il empêche fatalement tout anonymat en ligne.

Et cette affirmation est d’autant plus vraie que d’autres mesures voulues par la majorité impliquent de vérifier l’âge au-delà des contenus à caractère pornographique.

Interdire, interdire, interdire

Comme La Quadrature du Net le relevait, la vérification de l’identité des internautes avant d’accéder à du contenu à caractère pornographique s’insère dans une série de prises de positions et de lois en défaveur de l’anonymat en ligne. En juillet, le Parlement a adopté une proposition de loi Horizons qui instaure une « majorité numérique ». Cette loi veut imposer aux plateformes en ligne⁵Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. » d’empêcher leurs utilisateur·rices de moins de 13 ans de se créer un compte, de s’assurer que celles et ceux ayant entre 13 et 15 ans ont bien l’accord de leurs parents, et, pour les mineur·es entre 15 et 18 ans de permettre à leurs parents de suspendre a posteriori leur compte sans avoir à se justifier. Heureusement que la rapporteure du texte au Sénat a torpillé la loi en soumettant son entrée en vigueur au feu vert de la Commission européenne qui ne devrait jamais être donné⁶Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.. En revanche, cette tentative législative montre bien que le législateur est prêt à généraliser le contrôle de l’identité en ligne, parce que pour lui la solution aux problèmes ne peut résider que dans l’interdiction : interdire le porno et les réseaux sociaux aux mineurs, voire peut-être demain également les VPN. Parce que pourquoi pas.

L’art de passer à côté du vrai problème

Sous couvert de réguler les plateformes, le gouvernement évite soigneusement de répondre au problème de l’éducation sexuelle des enfants. Encore une fois, il préfère agir sur les conséquences (l’accès aux contenus à caractère pornographique par les mineur·es) plutôt que de s’occuper du fond du problème, qui est l’échec de l’éducation sexuelle en France.

Il y a un an, le Haut Conseil à l’égalité entre les femmes et les hommes (HCE) tirait la sonnette d’alarme sur le sexisme à l’école. Il notait que, loin d’être un lieu d’éducation des enfants aux questions d’égalité de genre, l’école, au contraire, « entretient et amplifie les stéréotypes de sexe ». S’il relève également que l’accès à la pornographie peut être une des raisons de la culture du viol prégnante (bien que celle-ci ne soit pas propre aux pornographies mais se diffuse dans toutes les strates de la société), il ne préconise pas la censure des sites. Au contraire, le HCE presse les pouvoirs publics de s’attaquer à la racine du problème à l’école : les enseignements obligatoires à la sexualité ne sont pas assurés, le harcèlement, le cyberharcèlement et les violences en ligne ne sont pas traitées à la hauteur des enjeux, il n’existe pas d’obligation de justes représentation et proportion de figures féminines dans les manuels, programmes scolaires et sujets d’examen. En effet, seul·es 15 % des élèves bénéficient des trois séances d’éducation à la sexualité obligatoires pendant l’année scolaire jusqu’à la fin du lycée alors même qu’elles sont prévues dans la loi depuis 2001. Cette carence grave de l’éducation nationale a récemment conduit les associations Sidaction, Planning Familial et SOS Homophobie à saisir la justice pour faire appliquer la loi. Or, comme le rappellent ces associations, « l’éducation à la sexualité, c’est donc moins de grossesses non désirées, moins d’IST, moins de VIH, moins de violences sexistes et sexuelles, moins de discriminations et de violences LGBTIphobes, plus de consentement, plus de comportements responsables, plus d’autonomie, plus de respect de soi même et de l’autre, plus de confiance en soi, plus d’égalité entre les femmes et les hommes ». Le Défenseur des droits faisait le même constat en 2021 de la nécessité d’accompagner et d’aider les enfants au lieu de leur rajouter de nouvelles interdictions : « Il est par ailleurs nécessaire de déployer la prévention à l’école, afin de mieux protéger les enfants de l’exposition précoce à la pornographie. Il convient également de renforcer les campagnes de sensibilisation auprès des enfants, adolescents et de leurs familles (éducation à la vie affective, relationnelle et sexuelle […]) ».

En définitive, le projet de loi SREN est une énième opération de marketing électoral. Non seulement il ne résoudra rien aux problèmes qu’il prétend vouloir régler, mais en plus il signifierait la fin de l’anonymat en ligne. Cette dernière est une vieille demande de la droite française et le symptôme d’une classe politique qui ne comprend toujours pas ce qu’est Internet. Le rejet des articles 1^er et 2 du projet de loi est nécessaire. Ils ne sont pas seulement contraires aux droits fondamentaux, ils feraient sauter la digue de l’anonymat en ligne, pourtant cruciale pour beaucoup de personnes, et feraient entrer encore un peu plus la France dans le club des États autoritaires. Alors n’hésitez pas à nous aider dans notre lutte, en faisant un don à Act-Up Paris ou à La Quadrature du Net et en parlant de ces sujets autour de vous.

References[+]

References

↑1	On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.
↑2	Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent ».
↑3	Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat.
↑4	La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).
↑5	Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. »
↑6	Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.

]]> https://www.laquadrature.net/?p=21184http://isyteck.com/autoblog/quadrature/index.php5?20230918_153444_Reglement_CSAR____la_surveillance_de_nos_communications_se_joue_maintenant_a_BruxellesMon, 18 Sep 2023 13:34:44 +0000Il y a un peu plus d’un an, la Commission européenne proposait l’un des pires textes jamais pensés sur le numérique : le règlement CSAR, également appelé « Chat control ». Affichant l’objectif de lutter contre les abus sexuels sur les enfants, cette proposition vise en réalité à créer un outil inédit de surveillance des communications. Dès le dépôt de ce projet de règlement, partout en Europe, associations et expert·es se sont insurgé·es contre cette initiative car elle reviendrait à mettre fin au chiffrement des communications. Aujourd’hui, bien que les critiques sont aujourd’hui plus nombreuses encore, les discussions avancent rapidement à Bruxelles, laissant présager une adoption très prochaine du texte. Afin de comprendre ses enjeux et aider à renforcer la mobilisation, nous revenons sur le contenu de ce règlement qui pourrait signer la fin de toute confidentialité des échanges en ligne.

La genèse du projet

Le 11 mai 2022, la Commission européenne lâchait une bombe dans le monde du numérique en publiant sa proposition de règlement « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants ». Dénommé « Chat control » ou « CSAR » (pour « Child sexual abuse regulation »), ce texte vise à obliger les fournisseurs de contenus en ligne à détecter des contenus d’abus sexuels de mineurs en analysant les conversations de leurs utilisateur·ices.

Cette initiative s’inspire d’outils mis en œuvre depuis plusieurs années par les grandes entreprises du web. Meta, par exemple, analyse de façon proactive l’ensemble des messages échangés sur Facebook Messenger ainsi que les données non chiffrées de Whatsapp (photos de profil ou groupe, descriptions, …) en vue de détecter des images connues d’exploitation d’enfants. En 2021, Apple annonçait mettre en place un outil d’analyse des données de ses clients hébergées sur iCloud afin de les comparer à une base de données de contenus signalés comme liés à de la pédopornographie, tout comme Microsoft qui a développé l’outil de comparaison PhotoDNA.

Dès 2020, la Commission avait commencé à laisser présager son appétence pour ce type d’outils dans sa « stratégie de lutte contre les abus sexuels commis contre les enfants » qui a débouché en 2021 sur l’adoption d’un règlement sur le sujet. Celui-ci autorisait, de façon temporaire pendant trois ans, les services de communication électronique à faire de l’analyse de contenus en vue de détecter ceux liés à ce type d’abus. Si cette possibilité était facultative et devait reposer sur leurs conditions générales, une telle inscription formelle dans la loi légitimait néanmoins les initiatives et techniques de surveillance des grandes plateformes, renforçant par là même leur pouvoir hégémonique, sans qu’aucune évaluation de la pertinence de ces méthodes ne soit par ailleurs réalisée.

Cette autorisation prend fin en 2024 et c’est pour cette raison que le CSAR a été proposé. Mais contrairement au règlement temporaire qui ne faisait que l’autoriser, ce projet de règlement impose de façon obligatoire la détection de ces contenus pédopornographiques sous certaines conditions, mettant donc fin à toute forme de confidentialité. Depuis le début des discussions il y a un an et demi, le réseau européen EDRi, dont La Quadrature du Net fait partie, a fourni un travail d’analyse considérable sur ce texte, que vous pouvez retrouver dans leur « position paper » ou, de façon plus condensée, dans leur brochure (en anglais). Nous vous résumons ici les principaux enjeux autour de ce règlement.

Le contenu du règlement

Le règlement CSAR vise à s’appliquer à un nombre très important d’acteurs. Entrent ainsi dans le champ d’application tous les « fournisseurs de services de communications interpersonnelles », c’est-à-dire les messageries en ligne telles que Signal, Whatsapp ou Telegram, les fournisseurs de mail, les applications de rencontre mais également les messageries qui ne sont qu’une fonction accessoire à d’autres services, comme dans les jeux par exemple. Rentrent également dans le champ d’application les « fournisseurs de services d’hébergement » tels que NextCloud, iCloud, DropBox ou les hébergeurs associatifs des CHATONS, les boutiques d’applications ainsi que les réseaux sociaux.

Ces fournisseurs seraient contraints à mettre en œuvre une surveillance considérable de leurs utilisateur·ices. D’une part, les articles 3 et 4 prévoient qu’ils obéissent à une obligation d’évaluer et réduire au maximum les risques de partage de contenus pédopornographiques sur les services concernés. Cela impliquerait de fournir, via une étude d’impact, des éléments sur le fonctionnement et l’usage de leur outil afin de théoriquement anticiper les risques pour identifier les mesures d’atténuation correspondantes. Les fournisseurs devraient ainsi être en capacité de donner des informations sur quel type d’utilisateur·rice (personne majeure, mineure..) utilisent leur service et quel type de contenu (vidéo, texte..) y sont échangés. Cette obligation est pourtant incompatible avec un des principes de base de respect de la vie privée sur lesquels repose le fonctionnement de nombreux services : l’absence de collecte de ce type de données personnelles. Ces prestataires seraient alors dans une position intenable car, pour se conformer à cette nouvelle réglementation, ils devront changer de modèle et commencer à recueillir des informations qu’aujourd’hui ils ne possèdent pas. Le règlement CSAR reviendrait pour eux à abandonner leur promesse de confidentialité, garantie notamment par le recours au chiffrement et l’anonymisation de données.

En outre, l’article 6 du CSAR préconise que les fournisseurs aient recours à des solutions de vérification d’âge pour remplir cet objectif de réduction des risques. Or, non seulement aucun outil viable et respectueux de la vie privée n’existe réellement à ce jour mais, surtout, le recours à ce genre de solution pose de sérieux problèmes quant à la protection de l’anonymat en ligne, comme nous le rappelions récemment dans notre analyse de la loi française SREN. Au final, le texte pousse pour privilégier la mise en place de mesures coercitives et remet frontalement en cause le droit à la vie privée.

D’autre part, ces acteurs auront l’obligation de répondre à toute « injonction de détection » émise par un juge ou une autorité administrative. Ainsi, les articles 7 à 11 prévoient que, s’il existe « un risque important que le service soit utilisé à des fins d’abus sexuels sur enfants en ligne », les fournisseurs pourront se voir obligés d’installer au cœur même de leur application ou infrastructure des outils leur permettant de scanner les données qui y transitent, afin d’y détecter de potentiels contenus liés aux abus sexuels d’enfants.

Plus précisément les fournisseurs devront repérer trois types de données :

• Des contenus « connus » c’est-à-dire des images ou des vidéos déjà répertoriées par les autorités comme liées à de la pédopornographie ou des abus sexuels d’enfants.
• Des contenus « inconnus » c’est-à-dire des photos ou vidéos susceptibles de constituer de la pédopornographie, mais qui n’auraient pas été identifiées comme telles. Pour trouver ces contenus, les services devront utiliser des outils fondés sur de l’intelligence artificielle qui identifieront des corrélations entre les contenus partagés et des indicateurs prédéfinis (par exemple de la peau nue).
• Des activités consistant à solliciter des enfants (appelé « pédopiégeage »). Il s’agit de détecter des comportements « types » de personnes qui rentrent en contact avec des enfants, à nouveau à partir de modèles statistiques et probabilistes fondés sur de l’intelligence artificielle.

Concrètement, il s’agira de mettre en œuvre une technique de « client side scanning » (littéralement « analyse côté client »), c’est-à-dire analyser directement sur les appareils des utilisateur·ices les données qui y transitent. Lorsqu’un internaute enverra un message ou postera une publication via un des services concernés par une injonction, ce contenu sera analysé avant envoi. Plus précisément, ce sont des « hash », c’est-à-dire des empreintes numériques liées aux images, qui seront examinées. Ce hash sera alors comparé à une base de données déjà constituée de contenus relatifs à des abus sexuels d’enfants. Si le hash correspond avec une photo de la base, une alerte est déclenchée. Dans le cas contraire, cela signifie que le contenu doit être qualifié d’« inconnu » et un outil d’analyse supplémentaire vérifiera alors s’il existe des corrélations ou similitudes avec des contenus d’abus sexuels pour déclencher une alerte le cas échéant.

Le cheval de Troie de la Commission : vers la fin du chiffrement

En affichant l’objectif de protéger les enfants, l’Union européenne tente en réalité d’introduire une capacité de contrôle gigantesque de l’ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement. Ce texte a fait l’objet de tant de réactions qu’EDRi se demande si le CSAR ne serait pas la loi européenne la plus critiquée de tous les temps. Les critiques contre ce texte viennent des institutions européennes elles-mêmes, mais aussi d’organisations de défense des enfants en passant par les acteurs de la tech, ainsi que de scientifiques et chercheur·es où 465 d’entre eux ont signé une lettre contre cette proposition. Et à raison.

Sur le plan technique, il faut comprendre que les injonctions de détections obligent les fournisseurs à analyser toutes les communications de l’ensemble des utilisateur·ices des services concernés. Et puisque les messages sont alors analysés avant d’être envoyés à leurs destinataires, cela supprime non seulement toute confidentialité mais cela rendra également inutile toute technique de chiffrement appliquée ultérieurement, c’est-à-dire une fois que le message à quitté l’appareil de l’utilisateur·ice. L’objectif premier du chiffrement est d’empêcher un tiers de lire le message. Le CSAR vise pourtant précisément à permettre une telle lecture tierce. De même, la recherche de photo ou vidéo « inconnue » est totalement inacceptable. En pratique, le risque de « faux positifs » est énorme et cela signifie que pourraient faire l’objet d’une alerte des contenus tout à fait légitimes tels le corps d’adulte d’apparence trop juvénile, une photo d’enfant envoyée dans un cadre familial ou encore des ados échangeant de façon consentante.

Enfin, appliqué au cas particulier de la détection de contenus pédopornographiques, envisager la constitution et l’utilisation d’une telle base de données ne prend pas en compte la réalité des humains devant la manipuler, l’alimenter, et qui seront confrontés à des contenus difficiles quotidiennement. Sans parler du fait que les images des enfants victimes seront conservées pour « améliorer » l’efficacité de ces outils.

Non seulement le CSAR crée des obligations disproportionnées et implique des techniques extrêmement intrusives, mais surtout ces mesures sont loin d’être pertinentes pour atteindre l’objectif crucial de protection des enfants et de lutte contre les abus sexuels. En effet, aucune étude sérieuse n’a été fournie sur l’adéquation, la fiabilité ou la pertinence de telles mesures extrêmement intrusives. Au contraire, il a été révélé par l’association allemande Gesellschaft für Freiheitsrechte que la Commission fondait sa proposition sur les seules allégations de l’industrie, particulièrement la fondation Thorn et Meta, pour justifier ce projet de règlement. Des institutions policières et judiciaires, comme en Allemagne par exemple, ont elles aussi exprimé leurs réserves sur l’utilité de ces dispositifs pour leurs enquêtes dès lors que cela ne répond pas aux problématiques qu’ils rencontrent au quotidien.

Par ailleurs, depuis le début de la campagne contre ce texte, beaucoup de ressources ont été produites pour démontrer que la protection des enfants contre les abus passait principalement par des politiques de prévention ou d’éducation et que toute éventuelle réponse pénale devait être encadrée par des mesures ciblées et fondées sur des preuves tangibles. Comment a-t-on pu alors en arriver là ?

La tentation autoritaire des États

Cette proposition législative est une solution largement conçue par l’industrie, et ensuite généralisée par les élites politiques qui illustrent ainsi une nouvelle fois leur absurde propension au « solutionnisme technologique » et au renforcement de la surveillance numérique. Pour rendre acceptable ces mesures de surveillance, elles affichent un objectif qui fait l’unanimité. Mais tout le monde sait que la stratégie consiste avant tout à affaiblir le niveau de sécurité et de confidentialité des communications numériques. Depuis les crypto-wars des années 1990, un certain nombre d’États affirment que les technologies protégeant la vie privée, et principalement le chiffrement des communications, sont un obstacle aux enquêtes policières. De fait, ces technologies sont conçues pour cela, puisque c’est à cette condition qu’elle garantissent à toutes et tous la possibilité de contrôler nos modes d’expression et de communication. L’une des plus importantes conséquences des révélations du lanceur d’alerte de la NSA Edward Snowden, il y a dix ans, fut justement une démocratisation de la pratique du chiffrement et, à l’époque, l’établissement d’un relatif consensus en faveur du droit au chiffrement au plan institutionnel. Mais police et gouvernements sont gênés, et l’on assiste depuis plusieurs années au retour de positionnements autoritaires de dirigeants prenant tour à tour l’excuse du terrorisme, de la criminalité organisée et de la pédopornographie pour obtenir sa remise en cause.

En France, aussi bien Bernard Cazeneuve qu’Emmanuel Macron ont déjà affirmé leur volonté de contrôler les messageries chiffrées, rêvant ainsi de percer l’intimité des millions de personnes qui les utilisent. Au cours d’une audition devant le Sénat le 5 avril dernier, Gérald Darmanin a expressément demandé pouvoir casser le chiffrement des militant·es écologistes et de « l’ultragauche », qui auraient une « culture du clandestin ». Aussi avons-nous récemment exposé comment, dans l’affaire dite du « 8 décembre », les services de renseignement et de police ont construit une narration similaire autour de l’utilisation d’outils respectueux de la vie privée par les personnes inculpées (Signal, Tor, Tails…), afin de dessiner le portrait de personnes criminelles ayant des choses à cacher ou la volonté de fuir la police. Au niveau européen, des fuites ont révélé l’intention de plusieurs États de réduire le niveau de sécurité du chiffrement de bout-en-bout, tels que l’Espagne qui veut tout simplement y mettre fin.

Le règlement CSAR s’inscrit dans cette continuité et constitue une opportunité parfaite pour les États membres pour enfin concevoir et généraliser un outil de surveillance des échanges de la population et ainsi mettre fin aux obstacles posés par les services trop protecteurs de la vie privée. Mais passer ce cap, c’est supprimer toute confidentialité des communications qui passeraient par des infrastructures numériques. L’intégrité et la sécurité de ces dernières ne pourraient alors plus jamais être garanties dès lors que cette « porte dérobée » existe. C’est créer des occasions, aussi bien pour les États que les acteurs malveillants, de détourner et d’abuser de cette capacité d’entrer dans les téléphones et ordinateurs de la population. Enfin, c’est ouvrir une brèche, un espace à surveiller qui n’existait pas auparavant, et qui sera nécessairement étendu dans le futur par de nouvelles législations pour repérer d’autres types de contenus.

Ce risque est dénoncé par des services tels que Signal, Proton ou Matrix, qui proposent des communications chiffrées de bout-en-bout et sécurisées — et promettent donc une confidentialité presque intégrale. Cette proposition viendrait casser leur promesse en les obligeant à analyser les contenus et à créer une vulnérabilité dans leurs technologies. Ce risque a également été récemment dénoncé par Apple : pour justifier la fin de l’analyse des contenus hébergés sur iCloud, l’entreprise expliquait que la technologie utilisée est trop dangereuse en termes de sécurité et de respect de la vie privée¹Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux..

En Grande-Bretagne, où est actuellement discuté un projet de loi similaire, le Online Safety Bill, Signal et Whatsapp ont menacé de supprimer leur service du pays si ce texte venait à passer. Face à cette fronde, les Britanniques ont très récemment annoncé suspendre la mise en œuvre de cette mesure au regard de l’infaisabilité à ce stade de protéger le chiffrement de bout-en-bout. Cependant, la mesure est toujours dans la loi et pourrait donc être applicable un jour. À Londres comme à Bruxelles, la bataille est loin d’être finie.

Refuser et agir

Il est donc urgent d’agir pour arrêter cette nouvelle initiative qui créerait un grave précédent et donnerait aux États une légitimité pour pousser toujours plus loin l’intrusion dans les communications. Mais les discussions avancent vite à Bruxelles. D’un coté, le Conseil, organe regroupant les gouvernements des États membres, doit publier sa position sur ce texte d’ici fin septembre. Celle-ci s’annonce très mauvaise, poussée par plusieurs États – France en tête. Certains États comme l’Allemagne ou l’Autriche auraient néanmoins exprimé des réserves quand à l’incompatibilité de cette dernière version par rapport à leur propre position officielle. Une lettre ouverte a été signée le 13 septembre par plus de 80 organisations, dont La Quadrature, pour que les États membres n’adoptent pas le CSAR dans sa version actuelle.

De l’autre coté, le Parlement européen devra également adopter sa version du texte, d’abord en commission en octobre puis en novembre en séance plénière. Si beaucoup d’eurodéputé·es s’opposent au texte, cela ne suffira sans doute pas à bloquer son adoption. Pour agir, nous vous invitons à rejoindre la campagne « Stop Scanning me » menée par une coalition d’organisations et à partager le plus possible les informations sur la mobilisation en cours²Aussi, vous pouvez regarder cette conférence faite au dernier Chaos Communication Camp sur le combat contre Chat control (en anglais).. Vous pouvez également appeler des parlementaires européens pour les inviter à rejeter ce texte.

Et si vous le pouvez n’hésitez pas à faire un don à La Quadrature ou à EDRi qui agit à Bruxelles. Merci !

References[+]

References

↑1	Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux.
↑2	Aussi, vous pouvez regarder cette conférence faite au dernier Chaos Communication Camp sur le combat contre Chat control (en anglais).

]]> https://www.laquadrature.net/?p=21179http://isyteck.com/autoblog/quadrature/index.php5?20230918_111311_Festival_Technopolice_2023_____Marseille__edition__2Mon, 18 Sep 2023 09:13:11 +0000Aujourd’hui, nous sommes heureux de vous annoncer l’organisation par le collectif Technopolice Marseille de la deuxième édition du Festival Technopolice qui aura lieu du 28 septembre au 1er octobre 2023 à Marseille, avec le soutien de La Quadrature du Net.

Dans un contexte de répression des mouvements populaires, le recours aux technologies de surveillance de l’espace public se normalise sous prétexte de sécurité, tandis que la violence policière continue de s’accroître en France. En vue des Jeux Olympiques 2024, une loi légalisant la vidéosurveillance algorithmique (VSA) a été adoptée malgré de nombreuses oppositions (voir notamment ici et ici), faisant de la France le premier pays de l’Union Européenne à légaliser la surveillance biométrique de l’espace public.

Il y a 4 ans, La Quadrature du Net, association de défense des libertés numériques, lançait l’initiative Technopolice avec le soutien d’une vingtaine d’associations, pour recenser et contrer les nouvelles technologies de surveillance policières dans nos villes. Le collectif Technopolice Marseille commençait alors à s’organiser localement avec des conférences, expositions artistiques, cartographies de caméras et actions de rue contre le dispositif de surveillance de la ville. En 2022, nous organisions la première édition du festival Technopolice à Marseille et y lancions notre plainte collective contre la vidéosurveillance, le fichage de masse et la reconnaissance faciale de l’État. Pour cette deuxième édition, nous souhaitons dénoncer le rôle de ces technologies, qui donnent davantage de pouvoir à une police toujours plus répressive,

Face à la mise en place de la surveillance totale de l’espace public, il est urgent de résister et d’agir pour nos futurs désirables. À travers des films, des débats et des ateliers, en entrée libre, cette 2ème édition du festival vous invite à une réflexion collective.

Retrouvez le programme du festival sur technopolice.fr/festival-2023.

]]> https://www.laquadrature.net/?p=21144http://isyteck.com/autoblog/quadrature/index.php5?20230915_164428_QSPTAG__293_____15_septembre_2023Fri, 15 Sep 2023 14:44:28 +0000Au Garage cette semaine, on a publié un gros article sur la loi SREN (on en reparlera la semaine prochaine) et on vous propose pour les quinze jours qui viennent un agenda rempli de rendez-vous :
– trois rencontres avec Félix Tréguer, membre fondateur de l’association, qui présentera son livre Contre-histoire d’Internet dans des librairies de Marseille, Nice et Paris,
– deux soirées de soutien aux inculpé·es du « 8 décembre » à Nantes et à Pantin ainsi qu’un évènement organisé à Paris par La Quadrature et d’autres collectifs pour revenir sur cette affaire et débattre de la manière dont le chiffrement a été criminalisé par les services de renseignement et la justice,
– une rencontre à Lyon pour parler également du « 8 décembre » et du secret des communications,
– une rencontre à Bruxelles pour parler de la surveillance et de la défense du chiffrement avec nos partenaires européens,
– la deuxième édition du Festival Technopolice à Marseille, avec films et débats,
– et un apéro public dans nos locaux parisiens le vendredi 29 septembre : on vous attend pour parler de tout ça !

Alex, Bastien, Marne, Mathieu, Myriam, Noémie et Nono

Agenda du 15 septembre au 6 octobre 2023

• 15 septembre : rencontre avec Félix Tréguer à 19h à la librairie Les Parleuses à Nice (18 rue Defly, 5 pl. du Général Georges Marshall) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 16 septembre : La Quadrature du Net sera à Lyon dans le cadre du Festival « Techxploitation, pour un usage critique des technologies » — pour une discussion sur la criminilasiation du chiffrement et la confidentialité des échanges. Plus d’infos sur le festival : https://amicale.online/du-14-09-au-17-09-techxploitation-pour-un-usage-critique-des-technologies-2
• 17 septembre : soirée de soutien aux inculpé·es du « 8 décembre » à La Cocotte à Nantes (Île de Versailles) à partir de 19h30, toutes les informations ici : https://contre-attaque.net/2023/09/11/qui-terrorise-qui-soiree-de-soutien-a-nantes-dimanche-17-septembre/.
• 23 septembre : soirée de soutien aux inculpé·es du « 8 décembre » à La Trotteuse à Pantin (61 rue Charles Nodier) — discussion à 16h avec L’Envolée et La Quadrature du Net, puis grand concert à partir de 18h jusqu’à minuit : https://www.agendamilitant.org/Concert-de-soutien-aux-inculpee-es-du-8-12.html.
• 25 septembre : discussion « Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement » à la Bourse du Travail à Paris (29 boulevard du Temple, 75003) — à partir de 19h avec La Quadrature du Net, le SNJ, Nothing to Hide et les avocats des inculpé·es.



• 26 septembre : La Quadrature participera à une discussion sur le chiffrement et la surveillance organisée par EDRi à partir de 16h30 à Bruxelles (lieu à préciser) : https://edri.org/take-action/events/save-the-date-join-edri-to-talk-encryption-surveillance-and-privacy/.
• du 28 septembre au 1er octobre : deuxième édition du Festival Technopolice à Marseille ! Films, ateliers et débats, toutes les infos ici : https://technopolice.fr/festival-2023/.
• 28 septembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant, 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
• 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
]]> https://www.laquadrature.net/?p=21120http://isyteck.com/autoblog/quadrature/index.php5?20230912_170448_Projet_de_loi_SREN____le_gouvernement_sourd_a_la_realite_d___internetTue, 12 Sep 2023 15:04:48 +0000Le projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN » ou « Espace numérique ») est actuellement en discussion à l’Assemblée nationale, après avoir été voté en juillet dernier au Sénat. Ce texte, présenté comme une simple adaptation d’une série de règlements européens, change en réalité la manière de concevoir la régulation des plateformes en ligne. En voulant instaurer une censure autoritaire et extra-judiciaire, en voulant mettre fin à l’anonymat en ligne et en répétant les erreurs déjà commises avec la loi Avia, le gouvernement fait une nouvelle fois fausse route. Ce projet de loi étant très dense, commençons par une présentation générale des éléments importants du texte (nous reviendrons plus tard en détails sur certains points avec des articles dédiés).

L’accès au porno, prétexte pour mettre fin à l’anonymat

Les articles 1^er et 2 du projet de loi renforcent l’obligation pour les sites pornographiques de vérifier l’âge de leurs utilisateurs. Pour rappel, depuis une proposition de loi issue de la majorité présidentielle en 2020, les sites proposant du contenu pornographique doivent vérifier l’âge des internautes, une simple case à cocher auto-déclarative ne suffisant pas. En cas de non-respect, une peine de censure peut être prononcée par un juge. Nous dénoncions à l’époque un tel principe d’obliger les personnes à justifier de leur âge, qui passe nécessairement par une mise à mal de l’anonymat en ligne.

Mais en réalité, cette loi de 2020 n’a pas vraiment changé les choses : les sites pornographiques continuent d’afficher un bouton pour que l’internaute déclare sur l’honneur avoir plus de 18 ans, et très peu de censures ont été prononcées par la justice. Pour la simple raison que personne, ni les plateformes, ni le gouvernement, ni la CNIL ne savent comment effectuer cette vérification de l’âge d’une manière qui soit simple techniquement et respectueuse de la vie privée des personnes. Le laboratoire de prospective de la CNIL, le LINC, suggère une solution passant par un tiers de confiance, c’est-à-dire une autorité chargée de délivrer à l’internaute un certificat (un jeton, ou « token ») confirmant qu’il est bien majeur, sans que ce tiers ne connaisse le service réclamant ce certificat. Mais, d’une part, cette solution implique que le tiers de confiance pourra facilement déduire que, quand une personne lui demandera une « preuve de majorité », l’objectif sera de consulter un site pornographique. D’autre part, ce mécanisme du tiers de confiance impose l’utilisation d’une identité numérique d’État, aujourd’hui théoriquement facultative, qui deviendra alors encore plus obligatoire de fait.

Malgré ces obstacles pratiques et en dépit de l’absence de solution viable décidée conjointement par les institutions et les experts techniques, le gouvernement persiste. Mécontent d’une justice qui, à son goût, ne censure pas assez les sites pornographiques, il propose tout simplement de la contourner : le projet de loi SREN passe d’une censure judiciaire des sites ne vérifiant pas l’âge de leurs internautes à une censure administrative, c’est-à-dire extra-judiciaire. Ce n’est donc qu’une fois la censure décidée qu’un juge vérifiera sa légalité. L’Arcom, autorité née de la fusion entre la Hadopi et le CSA, sera chargée de prononcer la censure d’un site pornographique qui ne vérifierait pas l’âge des internautes. Cet entêtement à vouloir fliquer les internautes est d’autant plus surprenant que même la Grande-Bretagne, pourtant pionnière dans la censure des sites pornographiques et source d’inspiration du gouvernement, a abandonné en 2019 un dispositif similaire, faute de solution technique satisfaisante. Très récemment encore, l’Australie a abandonné un tel mécanisme de vérification d’âge et le Texas a été obligé de suspendre une loi similaire parce que la justice américaine a considéré cette loi contraire à la liberté d’expression.

Le retour de la censure obligatoire en 24 heures

L’article 3 du projet de loi renforce les obligations de retrait des contenus à caractère pédopornographique pesant sur les hébergeurs de sites internet. Aujourd’hui, la loi impose que ces derniers doivent retirer ces contenus en 24 heures sur demande de la police, mais il n’y a pas de sanction spécifique en cas d’absence de retrait (seule la responsabilité des hébergeurs pourra être retenue, mais elle s’apprécie en fonction des capacités des plateformes, de la gravité du contenu, de la difficulté à contrôler la légalité de la demande, etc.). La nouveauté du projet de loi réside dans le fait que l’absence de retrait une fois passé le délai de 24 heures constitue automatiquement un délit, sans que ne soient examinées les potentielles raisons ou explications de cette absence d’action. Dès lors, la menace d’une répression systématique accentue le joug de l’État sur ces hébergeurs et renforce le principe de la censure administrative qui est déjà, en soi, un danger pour la liberté d’expression en ligne (voir par exemple ce que nous disions il y a 13 ans à propos de la LOPPSI).

Mais surtout, il est très probable que, par crainte d’une sanction, les hébergeurs préfèrent retirer trop de contenus, quitte à se tromper. C’est exactement ce que voulait la loi Avia qui imposait des délais fixes pour retirer des contenus haineux ou à caractère terroriste. Nous dénoncions alors le risque de surcensure que ce mécanisme impliquait, tout comme le Conseil constitutionnel lorsqu’il a déclaré cette loi contraire à la Constitution.

Malgré cela, le gouvernement ne cache pas vraiment ses intentions de censure généralisée. Dans l’étude d’impact du projet de loi, il explique que l’objectif de l’article 3 est d’« aligner » les régimes de censure administrative sur celui du terrorisme. En effet, après la censure de la loi Avia, la France s’est empressée de pousser un règlement européen qui oblige aujourd’hui les hébergeurs à retirer les contenus à caractère terroristes sous peine de lourdes sanctions pénales, par un mécanisme similaire à feue la loi Avia. Par cet article 3 qui introduit des sanctions similaires pour les contenus pédopornographiques, le gouvernement organise donc le retour masqué de la loi Avia.

Le bannissement des réseaux sociaux, un coup d’épée dans l’eau

Pour lutter contre le harcèlement en ligne, le gouvernement n’envisage pas de donner les moyens humains et financiers à la justice pour faire son travail. À l’inverse, l’article 5 du projet de loi préfère miser sur un réflexe disciplinaire, en créant une peine complémentaire d’interdiction de réseaux sociaux pour les personnes qui seraient condamnées pour harcèlement : sur décision de justice, les plateformes en ligne devront suspendre les comptes détenus par les personnes condamnées et les empêcher de se créer un nouveau compte. Mais comment s’assurer qu’une personne condamnée ne se recrée pas un compte ? Le projet de loi est parfaitement silencieux sur ce point. On peut en revanche légitimement craindre que cette nouveauté ouvre la voie à la généralisation du contrôle d’identité en ligne, afin de s’assurer que l’internaute voulant se créer un compte ne sera pas sur la liste des personnes interdites de réseaux sociaux.

Cette peine d’interdiction des réseaux sociaux et la généralisation de la vérification d’identité qu’elle risque d’induire s’inscrivent dans la même ligne que la récente loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne, adoptée il y a quelques mois. Issue d’une proposition de loi du groupe Horizons, elle instaure une interdiction pour les mineur·es de moins de 13 ans de se créer un compte en ligne, impose à celles et ceux entre 13 et 15 ans d’obtenir l’accord de leurs parents, et permet aux parents d’adolescent·es ayant entre 15 et 18 ans de suspendre leurs comptes jusqu’à leur majorité. Or, ces règles ne peuvent être respectées qu’en vérifiant l’identité de toute personne voulant s’inscrire sur un réseau social.

Cette « majorité numérique » semble non seulement impossible à mettre en œuvre sans atteinte excessive au droit à l’anonymat en ligne, mais également contraire au droit de l’Union européenne. Cette situation inconfortable a poussé le législateur à soumettre, à la toute fin du processus législatif, l’entrée en vigueur de ce texte à une décision de la Commission européenne sur la conformité au droit de l’UE de ce mécanisme.

Pour autant, cela ne rebute toujours pas le gouvernement, qui continue avec le projet de loi SREN et son idée de bannissement des réseaux sociaux. Le Sénat est même allé plus loin : le rapporteur du texte à la chambre haute, Loïc Hervé, a introduit de nouvelles dispositions pour que ce bannissement des réseaux sociaux puisse être prononcé par un juge d’application des peines, voire par un procureur de la République via une composition pénale¹Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal..

La censure administrative par le navigateur

Autre surprise du texte : le gouvernement propose une nouvelle manière de faire de la censure administrative, en passant par un blocage des contenus au niveau des navigateurs web. Sous couvert de proposer un filtre « anti-arnaques », l’article 6 du projet de loi impose non seulement aux fournisseurs d’accès à Internet (FAI) et aux fournisseurs de systèmes de résolution de noms de domaine (c’est-à-dire les fournisseurs de DNS alternatifs autres que ceux des FAI) de censurer certaines ressources en ligne que la police aurait identifiées comme étant des « arnaques », mais oblige également les navigateurs web à procéder à une telle censure.

Autrement dit, si demain la police repère un site de phishing, elle pourra imposer à l’éditeur de votre navigateur préféré de procéder à son blocage pur et simple. Et peu importe s’il s’avère que la demande est erronée ou abusive. Peu importe aussi si cela ouvre grand la porte à des censures d’un autre genre, politiques par exemple. Bien évidemment, la fondation Mozilla, qui édite le navigateur Firefox, est vent debout contre cette obligation. Nous vous invitons d’ailleurs à signer leur pétition et à la faire circuler largement.

Et peut-être d’autres mesures autoritaires à venir

Ces quelques articles de ce projet de loi sont déjà très inquiétants, au regard de la mise à mal de l’anonymat en ligne, de l’atteinte à la liberté d’expression et de la négation du droit à la vie privée qu’ils instaurent. Mais ce projet de loi risque encore de s’aggraver au cours des discussions.

En juillet dernier, la réponse du gouvernement et de ses soutiens a été de pointer les réseaux sociaux comme responsables des révoltes en France, pour mieux passer sous silence le malaise social grandissant. À cette occasion, le député Renaissance Paul Midy, rapporteur général de ce projet de loi SREN, avait déjà annoncé qu’il était favorable à l’obligation de justifier de son identité civile avant de pouvoir s’inscrire sur une plateforme en ligne, emboîtant ainsi le pas d’Emmanuel Macron. Cette marotte de la droite française pourrait bien se concrétiser avec ce texte. Suite aux violences estivales, un « groupe de travail » interparlementaire s’est déjà réuni trois fois cet été pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Seraient pour l’instant envisagées des restrictions temporaires de la géolocalisation ou l’obligation pour les plateformes de conserver les messages éphémères qui y sont échangés.

De plus, tout le monde au gouvernement veut maintenant son petit bout de censure. En réponse à la polémique née autour d’un site de rencontres pour jeunes enfants et adolescents devenu le terrain de chasse de pédophiles, la secrétaire d’État en charge de l’Enfance Charlotte Caubel s’imagine déjà censurer ce type de site. Mais comme la loi instaurant une majorité numérique, qui obligerait à vérifier l’identité de toute personne, n’est pas encore en vigueur, elle pourrait bien profiter de ce projet de loi SREN pour pousser ses idées de censure.

Une grande absente : l’obligation d’interopérabilité des réseaux sociaux

Finalement, il n’est pas surprenant que l’idée d’une interopérabilité obligatoire des réseaux sociaux ne figure pas dans ce projet de loi : il s’agit d’une manière radicalement différente de celle du gouvernement de réguler les contenus en ligne. L’obligation d’interopérabilité des réseaux sociaux consiste à imposer aux grandes plateformes d’ouvrir leurs communautés à d’autres réseaux sociaux. Concrètement, avec une telle obligation, les utilisateur·rices de Mastodon seraient capables de discuter avec leurs contacts restés sur Facebook. Autrement dit : les internautes pourraient partir d’un réseau social dangereux (car il marchanderait la vie privée de ses utilisateur·rices et/ou mettrait en avant des contenus problématiques) sans se couper de leurs ami·es qui y resteraient.

L’obligation d’interopérabilité des réseaux sociaux remettrait largement en question le modèle économique des géants actuels. Celui-ci repose en effet sur le non-respect structurel du droit des données personnelles et la mise en avant algorithmique de contenus haineux. En faisant réagir, ces réseaux sociaux commerciaux gardent les internautes plus longtemps sur la plateforme, augmentant ainsi les revenus publicitaires. En permettant aux internautes de partir d’un Twitter aux mains d’un milliardaire aux choix erratiques et qui met en avant l’extrême-droite ou d’un Meta régulièrement condamné pour ne pas respecter le droit des données personnelles, l’obligation d’interopérabilité de ces plateformes les pousseraient à s’adapter face à la concurrence plus éthique des réseaux sociaux décentralisés. Sans passer par une censure verticale des contenus problématiques en ligne, l’interopérabilité des réseaux sociaux, si elle est obligatoire, permettrait qu’ils ne soient plus mis en avant, et donc de réduire leur impact sur les sociétés.

Ce projet de loi, en ne s’intéressant pas à la question de l’interopérabilité, passe d’autant plus à côté du vrai sujet que les géants du numérique, eux, commencent à s’intéresser à cette question. Cet été, Meta a lancé son concurrent à Twitter, Threads, et a annoncé que son service serait interopérable, notamment avec le reste du fédivers. L’absence d’autorité capable de réguler les ardeurs des géants comme Meta crée alors un danger immédiat pour le fédivers (voir notre explication). Il est aujourd’hui crucial d’empêcher un aussi grand acteur que Meta de prendre ce qui l’intéresse dans l’écosystème des réseaux sociaux interopérables sans donner en retour. Alors que le Digital Markets Act, règlement européen voulant réguler les plateformes, avait un temps envisagé d’instaurer une telle obligation d’interopérabilité des réseaux sociaux, la France était parvenue en bout de course législative à supprimer une telle obligation. On ne peut que déplorer cette stratégie d’ignorer la question de l’interopérabilité des réseaux sociaux.

S’il fallait résumer le projet de loi SREN, nous pourrions le présenter comme l’exemple parfait de ce qu’il ne faut pas faire. Réguler par la censure, l’autoritarisme et les atteintes massives aux droits fondamentaux n’est pas la bonne solution. Il existe pourtant d’autres manières de faire, notamment en passant par l’obligation d’interopérabilité des réseaux sociaux. Nous reviendrons plus en détails sur certaines des dispositions que nous venons de présenter. En attendant, vous pouvez nous aider à continuer de défendre un Internet respectueux des personnes en nous faisant un don.

References[+]

References

↑1	Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal.

]]> https://www.laquadrature.net/?p=21082http://isyteck.com/autoblog/quadrature/index.php5?20230908_173256_QSPTAG__292_____8_septembre_2023Fri, 08 Sep 2023 15:32:56 +0000La VSA marseillaise fait de la résistance

Voilà trois ans déjà que nous agissons contre l’installation à Marseille de caméras de surveillance « augmentées », dont les images sont analysées en direct par des algorithmes de reconnaissance des comportements. Le recours que nous avions déposé devant le tribunal administratif de Marseille a été rejeté le 2 juin dernier, pour un défaut de procédure : le tribunal a donc avalisé la stratégie de la mairie, constante malgré un changement de majorité en 2020, qui prétendait avoir « suspendu » le déploiement de ces caméras, sans pour autant s’empêcher d’utiliser celles qui étaient déjà installées… Puisque les caméras algorithmiques sont « suspendues », alors le recours n’avait plus lieu d’être, a tranché le tribunal sans chercher plus loin.

Ce faisant, le tribunal a évité de se pencher sur le fond de la question, alors que la CNIL et le Conseil d’État ont clairement énoncé l’illégalité de la vidéosurveillance algorithmique (VSA). Nous avons donc fait appel devant la cour administrative d’appel de Marseille.

Lire l’article entier : https://www.laquadrature.net/2023/08/30/la-justice-refuse-de-sanctionner-la-videosurveillance-algorithmique-marseillaise/

Le député Philippe Latombe en porte-à-faux entre la CNIL et l’AN2V

Le mardi 5 septembre nous avons publié sur TwiX et sur notre compte Mastodon une lettre adressée à Marie-Laure Denis, présidente de la CNIL, pour attirer son attention sur les liens très étroits qu’entretient Philippe Latombe, député (Modem) et tout nouveau membre de la CNIL, avec l’industrie de la vidéosurveillance et son principal lobby, l’AN2V.

Nous avons récemment documenté cette connivence entre le député et les tenants économiques de la surveillance généralisée. Au moment où la CNIL devait se prononcer sur les expériences de vidéosurveillance automatisée dans le cadre des JO de Paris 2024 (les décrets d’application de la « loi JO » étaient alors en préparation), le député-membre de la CNIL n’a pas hésité à inviter un parterre conquis à intégrer l’intelligence artificielle « sur tous les domaines qui pourront être utilisés », s’engageant de son coté à tout faire pour « élargir l’utilisation des drones malgré la réserve du Conseil constitutionnel ». Le mélange des genres est total : tout à la fois député, lobbyiste et commissaire, chacun de ses avatars servant les deux autres, M. Latombe se place de lui-même en flagrante position de conflit d’intérêts.

Il ne se gêne d’ailleurs pas pour expliquer devant l’AN2V comment manœuvrer la CNIL, dont il est bien placé pour connaître les logiques internes, et suggérer dans quel sens il faudrait modifier le collège des membres pour l’orienter vers une vision moins soucieuse du droit et plus sensible aux attentes du monde économique. À nos yeux, cette confusion des rôles n’est pas seulement choquante, elle est contraire à toutes les dispositions qui régissent la conduite déontologique de la CNIL pour assurer l’indépendance d’esprit de ses membres. Nous les rappelons donc dans notre courrier, pour soumettre l’ensemble de la situation à sa présidente, garante de l’indépendance et de la crédibilité de la Commission.

La Quadrature dans les médias

Philippe Latombe et la CNIL

• Vidéosurveillance : mis en cause par La Quadrature du Net, le député Philippe Latombe se défend de tout conflit d’intérêts — https://www.usine-digitale.fr/article/videosurveillance-mis-en-cause-par-la-quadrature-du-net-le-depute-philippe-latombe-se-defend-de-tout-conflit-d-interets.N2167592 [L’Usine Digitale]
• Vidéosurveillance : la Quadrature du Net met en cause le commissaire Latombe — https://www.zdnet.fr/actualites/videosurveillance-la-quadrature-du-net-met-en-cause-le-commissaire-latombe-39961172.htm [ZDNet]

VSA et JO

• Caméras intelligentes pendant les JO de Paris : « Les personnes vont être utilisées comme des cobayes », déplore la Quadrature du Net — https://www.01net.com/actualites/cameras-dopees-aux-algorithmes-pendant-les-jo-de-paris-vers-un-recours-systematique.html [01Net]
• France’s Surveillance Plans For 2024 Olympics Raise Privacy Concerns — https://www.forbes.com/sites/federicoguerrini/2023/09/06/frances-surveillance-plans-for-2024-olympics-raise-privacy-concerns/?sh=1170adf09541 [Forbes]

Divers

• Digital Services Act : « On traite les symptômes sans mettre en cause le fonctionnement des grandes plateformes » — https://www.humanite.fr/social-et-economie/digital-service-act/digital-services-act-on-traite-les-symptomes-sans-mettre-en-cause-le-fonctionnement-des-grandes-plateformes [L’Humanité]
• Un projet de loi pour renforcer la censure du web : « Une perspective inquiétante pour la liberté d’expression » — https://basta.media/Un-projet-de-loi-pour-renforcer-la-censure-du-web-Une-perspective-inquietante-pour-la-liberte-d-expression [Basta!]
• Enfants et écrans : « La clé est une utilisation plus vertueuse, plus rationnelle des outils numériques » — https://leclaireur.fnac.com/article/340290-enfants-et-ecrans-la-cle-est-une-utilisation-plus-vertueuse-plus-rationnelle-des-outils-numeriques/ [L’Éclaireur FNAC]

Agenda

• 14 septembre : La Quadrature donne à 19h une conférence à la Bibliothèque publique d’information (BPI) du Centre Pompidou : « Tout savoir sur la surveillance biométrique ». Plus d’infos : https://agenda.bpi.fr/evenement/tout-savoir-sur-la-surveillance-biometrique/.
• 14 septembre : causerie mensuelle Technopolice Marseille. C’est à 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 16 septembre : La Quadrature du Net sera à Lyon pour le Festival Techxploitation – pour un usage critique des technologies – pour une discussion sur les menaces sur le chiffrement et la confidentialité des échanges. Plus d’infos sur le Festival : https://amicale.online/du-14-09-au-17-09-techxploitation-pour-un-usage-critique-des-technologies/.
• du 28 septembre au 1er octobre : Festival Technopolice Marseille, 2e édition. Toutes les infos ici : https://technopolice.fr/festival-2023/.
• 29 septembre : apéro mensuel au Garage (115 rue de Ménilmontant 75020 Paris) à partir de 19h : apportez un petit truc à manger ou à boire si vous pouvez et venez discuter avec nous !
]]> https://www.laquadrature.net/?p=20981http://isyteck.com/autoblog/quadrature/index.php5?20230831_142030_QSPTAG__291_____25_aout_2023Thu, 31 Aug 2023 12:20:30 +0000Mouchards partout : le contrôle à distance des appareils numériques est légalisé

C’est une pratique de police judiciaire et des services de renseignement : retourner un téléphone contre son utilisateur, pour en faire une balise GPS ou un micro, voire une caméra espion. Une pratique banalisée par les fictions télévisées, qui la présentent à la fois sous l’angle de la prouesse technologique et de la normalité. C’est toujours pour attraper des méchants qui l’ont bien mérité, qui peut donc trouver ça scandaleux ? La réalité est différente.

Dans la réalité, l’Assemblée nationale et le Sénat viennent d’adopter, dans le cadre de la loi Orientation et programmation du ministère de la justice 2023-2027, une disposition autorisant la prise de contrôle à distance des objets connectés, pour que la police puisse exploiter leur géolocalisation, leur micro ou leur caméra intégrée.

Pour l’heure, la mise en œuvre de cette prise de contrôle à distance est assortie de conditions restrictives : l’enquête en cours doit par exemple concerner des faits passibles d’au moins 5 ans de prison. Mais c’est justement l’existence de conditions qui doit mettre en alerte. L’histoire est pleine de dispositions dont les conditions d’applications se sont doucement élargies, au gré des événements, pour autoriser les pratiques dans un nombre toujours croissant de cas.

On se souvient par exemple du fichier national des empreintes génétiques (FNAEG), créé pour ficher les auteurs de crimes sexuels graves, et dans lequel se retrouvent aujourd’hui un tiers des Français (à lire ici : https://www.nextinpact.com/article/48209/plus-dun-tiers-francais-sont-fiches-dans-fnaeg). Dans le même ordre d’idées, on se souvient aussi des dispositions de lutte contre le terrorisme, adoptées dans l’urgence après les attentats de novembre 2015, qui ont aussitôt servi à réprimer les manifestations du mouvement écologiste lors de la COP 21 à Paris en décembre 2015.

Dans un contexte politique et social où les mobilisations politiques sont dorénavant traitées par les gouvernements comme des événements « anti-républicains » et « factieux », comment croire une seule seconde que l’accès aux appareils numériques sera toujours réservé aux vrais méchants de la fiction ? Comme le dit l’article : « Il n’y a jamais de retour en arrière ».

Surtout que la qualification pénale, à ce stade des enquêtes, revient aux procureurs, qui pourront user et abuser de leurs pouvoirs pour s’autoriser ces nouveaux pouvoirs d’enquête. Or, l’exemple de l’affaire de Tarnac montre bien que ce qui est présenté comme terroriste par la police ne l’est pas nécessairement pour la justice. En pleine urgence climatique, certaines actions de sabotage menées par des activistes écologistes pourraient déjà tomber sous le coup de ces mesures.

Lire l’article complet du 25 juillet : https://www.laquadrature.net/2023/07/25/lassemblee-adopte-lactivation-a-distance-des-appareils-electroniques/

Réseaux sociaux et boucs émissaires

Dans la bouche des personnalités politiques paresseuses, les réseaux sociaux sont responsables de tous les maux, sauf quand c’est la faute des jeux vidéo. Lors des révoltes urbaines qui ont suivi la mort du jeune Nahel à Nanterre, le 27 juin dernier, ça n’a pas raté : juste après avoir doctement affirmé que « certains d’entre eux vivent dans la rue les jeux vidéo qui les ont intoxiqués », le Président de la République (également sociologue, spécialiste des médias et analyste des comportements de foules), a pointé « celles et ceux qui utilisent ces réseaux sociaux pour appeler au désordre ou exacerber la violence ».

Pour le gouvernement, les émeutiers sont des gamins qui agissent uniquement par imitation et pour cumuler les vues sur TikTok et SnapChat. Belle analyse au doigt mouillé, qui accuse le mécanisme de propagation de la révolte sans interroger son origine sociale dans la profondeur ni dans la durée. On accuse le médium sans lire le message, c’est de l’escamotage politicien dans toute sa splendeur.

Mais au-delà de ce tour de passe-passe affligeant qui cache la démission de toute ambition politique, le gouvernement retombe une fois encore dans les réflexes sécuritaires qui en sont le complément habituel : on parle de censurer en urgence, et à la volée, les contenus qui « appellent à l’émeute », en particulier les vidéos tournées dans les rues. Cette censure administrative est un vieil ennemi de La Quadrature : utilisée à discrétion par la police et le gouvernement, sans décision judiciaire et au gré des errances politiques, elle donne paradoxalement un pouvoir démesuré aux grandes plateformes privées du web, qui appliquent les décisions de censure administrative avec le plus grand zèle et les devancent même volontiers.

Le gouvernement prépare pour cet automne une loi numérique qui devra adapter les mesures du Digital Service Act (DSA) européen. Sera-t-elle l’occasion pour le gouvernement de renforcer les pouvoirs des plateformes ? Ce sera un des grands enjeux de cette rentrée pour La Quadrature, qui soutient toujours l’obligation d’interopérabilité.

Une analyse détaillée de l’actualité et des enjeux à venir, à lire sur notre site.

Lire l’article paru le 28 juillet : https://www.laquadrature.net/2023/07/28/revoltes-et-reseaux-sociaux-le-retour-du-coupable-ideal/

Pourquoi nous n’accueillerons pas Meta dans le fédivers

L’interopérabilité que nous réclamons est en train d’advenir. Le fédivers, basé sur le protocole ActivityPub, a pris une ampleur intéressante dans la dernière année, avec une multiplication des services qui l’utilisent — et peuvent donc tous s’interopérer — et une forte hausse de la fréquentation du réseau Mastodon, provoquée par la déréliction de Twitter sous la direction erratique d’Elon Musk. La fin du monopole de Twitter sur le micro-blogging et le développement de nouvelles formes de réseaux sociaux attirent maintenant les appétits des autres grandes plateformes.

Meta a donc annoncé le lancement de Threads, qui devrait à terme se baser sur ActvityPub pour être interopérable avec le reste du fédivers. Le groupe a même engagé, sous couvert d’un accord de confidentialité, des discussions avec quelques-unes des plus grandes instances de Mastodon. Aussitôt, le débat a pris au sein de la communauté : faut-il ou non accueillir Meta et Threads dans le fédivers ? Notre réponse est non.

L’histoire enseigne que les grandes entreprises privées du web sont toujours intéressées par les technos et les idées qui les concurrencent. Elles commencent par s’en approcher, par s’interconnecter avec elles, puis elles développent de nouvelles fonctions qui redéfinissent le jeu, avant de le refermer en absorbant tout le monde. Pour fonctionner de manière équitable et résister à la recentralisation, à la force de gravitation des grands groupes, l’interopérabilité doit être formalisée et encadrée par des règles contraignantes, les mêmes pour tous les acteurs.

C’est pourquoi les GAFAM ne seront pas les bienvenus dans le fédivers tant que l’interopérabilité ne sera pas obligatoire et strictement encadrée.

Lire notre prise de position parue le 9 août : https://www.laquadrature.net/2023/08/09/larrivee-de-meta-sur-le-fedivers-est-elle-une-bonne-nouvelle/

La Quadrature dans les médias

Censure des réseaux sociaux

• Des réseaux sociaux coupés en cas d’appel à la révolte ? Après la lettre ouverte des ONG, Thierry Breton publie une « clarification » — https://www.01net.com/actualites/des-reseaux-sociaux-coupes-en-cas-dappel-a-la-revolte-apres-la-lettre-ouverte-des-ong-thierry-breton-publie-une-clarification.html [01net]
• Censurer les réseaux sociaux : tout sur l’inquiétant projet de Macron face aux « émeutes » — https://www.lemediatv.fr/emissions/2023/censurer-les-reseaux-sociaux-tout-sur-linquietant-projet-de-macron-face-aux-emeutes-Ghbgv7J8SbOLk9b8huik8Q [Le Média]
• Emmanuel Macron au JT de 13h : ce qu’il a en tête quand il parle d’« ordre public numérique » — https://www.huffingtonpost.fr/politique/article/emmanuel-macron-au-jt-de-13h-ce-qu-il-a-en-tete-quand-il-parle-d-ordre-public-numerique_221013.html [HuffPost]
• Un communiqué du ministère pour restreindre l’accès à Internet ? — https://factuel.afp.com/doc.afp.com.33M4746 [AFP factuel]
• Émeutes : « S’en prendre aux réseaux sociaux, c’est la marque de fabrique des régimes autoritaires » — https://www.nouvelobs.com/societe/20230705.OBS75377/emeutes-s-en-prendre-aux-reseaux-sociaux-c-est-la-marque-de-fabrique-des-regimes-autoritaires.html [L’Obs]
• Snapchat a-t-il « bidonné » sa map à la demande du gouvernement pendant les émeutes ? — https://www.huffingtonpost.fr/france/video/snapchat-a-t-il-bidonne-sa-map-a-la-demande-du-gouvernement-pendant-les-emeutes_220516.html [Huffington Post]

Mouchards

• Ces appareils connectés, sextoys inclus, qui doivent remplacer balises et micros espions — https://www.zdnet.fr/actualites/ces-appareils-connectes-sextoys-inclus-qui-doivent-remplacer-balises-et-micros-espions-39960336.htm [ZDnet]
• L’activation à distance des appareils électroniques par la police inquiète — https://www.mediapart.fr/journal/france/240623/l-activation-distance-des-appareils-electroniques-par-la-police-inquiete [Mediapart]
• Loi Justice : police partout, même dans la chambre ? — https://video.blast-info.fr/w/kopjESc92fvHhvregUEZ8K [Blast]
• France set to allow police to spy on suspects through remote phone access — https://www.rfi.fr/en/france/20230706-france-set-to-allow-police-to-spy-on-suspects-through-remote-phone-access [RFI]
• Lawmakers approve bill allowing French police to locate suspects by tapping their devices — https://www.pbs.org/newshour/world/lawmakers-approve-bill-allowing-french-police-to-locate-suspects-by-tapping-their-devices [Associated Press]
• Caméras et micros activés à distance : un projet de loi pour surveiller les militants — https://reporterre.net/Cameras-et-micros-actives-a-distance-un-projet-de-loi-pour-surveiller-les-militants [Reporterre]
• Espionner des suspects via leur smartphone : l’Assemblée approuve le principe des portables « mouchards » — https://www.francebleu.fr/infos/societe/espionner-des-suspects-via-leur-smartphone-l-assemblee-approuve-le-principe-des-portables-mouchards-4215182 [France Bleu]
• L’activation à distance « de téléphones mouchards » menace-t-elle les libertés ? — https://www.sudouest.fr/justice/l-activation-a-distance-de-telephones-mouchards-menace-t-elle-les-libertes-15784747.php [Sud-Ouest]

Meta et le fédivers

• Sauver ou pas le soldat Elon : tirera-t-on vraiment un Threads ? — https://www.ecranmobile.fr/Sauver-ou-pas-le-soldat-Elon-tirera-t-on-vraiment-un-Threads_a74588.html [Ecran Mobile]

Agenda

• 24 au 27 août : La Quadrature du Net sera au Hadra Trance Festival, aux côtés de Framasoft, Picasoft, Exarius et Linux07 – Plan d’eau de Vieure, Allier (France). Plus d’infos sur : https://hadratrancefestival.net/fr/.
• 1er au 4 septembre : La Quadrature du Net sera à Freedom Not Fear à Bruxelles. Plus d’infos sur : https://freedomnotfear.org/2023.
• 14 septembre : causerie mensuelle Technopolice Marseille à 19h, au Manifesten, 59 rue Adolphe Thiers à Marseille.

Retour aux archives

]]> https://www.laquadrature.net/?p=20963http://isyteck.com/autoblog/quadrature/index.php5?20230830_143741_La_justice_refuse_de_sanctionner_la_videosurveillance_algorithmique_marseillaiseWed, 30 Aug 2023 12:37:41 +0000Par un jugement rendu début juin, le tribunal administratif de Marseille a refusé de constater l’illégalité de la vidéosurveillance algorithmique (VSA) de la cité phocéenne. En se retranchant derrière des considérations procédurales contestables, et après trois ans de procédure, la justice administrative marseillaise déçoit. La Quadrature du Net a fait appel de ce jugement et compte bien rappeler à la cour administrative d’appel de Marseille – désormais saisie de l’affaire – que la VSA, mise en place par la ville sous l’ère Gaudin et soutenue aujourd’hui par le Printemps marseillais, est bien illégale.

Une ville tombée dans la facilité du technosolutionnisme

L’affaire remonte à fin 2019. Alors que nous venions de lancer la campagne Technopolice, un des premiers projets documentés était celui de la vidéosurveillance algorithmique (VSA) à Marseille. La mairie, sous l’ère de son ancien maire Jean-Claude Gaudin, a commencé à mettre en œuvre ses premières caméras de VSA vers la fin de l’année 2019, comme le révélait Télérama à l’époque. Nous avons donc attaqué ce dispositif mais le tribunal administratif a estimé que la procédure d’urgence alors choisie n’était pas adéquate, et a donc rejeté notre recours.

Les élections municipales qui ont suivi, en 2020, nous ont alors laissé penser qu’il ne serait peut-être pas nécessaire de saisir de nouveau la justice pour faire retirer la VSA de l’espace public marseillais. En effet, la droite a été battue aux élections municipales par la liste du Printemps marseillais, alliance de gauche ayant pris position pendant la campagne électorale contre ce projet de surveillance de l’espace urbain. Mais une fois élue, la liste qui voulait réinventer la politique à Marseille préféra poursuivre la politique de la précédente majorité en matière de sécurité. Faute de dialogue avec la nouvelle équipe municipale, nous avons alors attaqué, à nouveau, le contrat prévoyant cette surveillance. Plus précisément nous avons contesté devant le tribunal administratif de Marseille le contrat suite au refus de la ville de résilier le marché public de la VSA.

L’enfumage de l’équipe municipale marseillaise

Face à ce nouveau recours (voir également notre premier mémoire en réplique puis notre second), la ville a adopté une stratégie de l’enfumage. Alors qu’elle affirmait à qui voulait l’entendre, y compris à la justice, que ce projet serait suspendu, la réalité était pourtant toute autre : par « suspension », il ne fallait pas croire que les caméras de VSA déjà en place avait été retirées ou, a minima, désactivées. La ville a joué sur les mots pendant les trois années de procédure en affirmant que le projet était suspendu alors que seul le déploiement de nouvelles caméras étaient arrêté ; les caméras de VSA déjà en place (« une cinquantaine » indiquait la ville au tribunal administratif, se refusant à donner plus de détails) ont toujours continué de fonctionner. Non seulement la mairie a choisi de défendre la surveillance qu’elle dénonçait pendant sa campagne électorale, mais a également joué sur les mots pour essayer de s’en sortir à moindre frais.

Et cette stratégie s’est révélée payante puisque le tribunal administratif a considéré que, le projet étant soi-disant suspendu, et ce malgré nos éléments prouvant l’inverse, il n’y avait pas lieu d’exiger la résiliation du marché public.

Un dangereux signal adressé aux communes

Le cadre contentieux de cette affaire est particulier : parce que nous attaquons un contrat passé entre la ville et un industriel local (la société SNEF), la seule illégalité du contrat ne suffit pas. Il faut démontrer que cette illégalité porte une atteinte manifeste à l’intérêt général. Or, pour rejeter notre recours, le tribunal administratif estime, en substance, que surveiller l’ensemble des marseillais·es qui passeraient devant l’une des cinquante caméras de VSA ne suffit pas pour qualifier une atteinte manifeste à l’intérêt général, peu importe que cette surveillance puisse être illégale. C’est parce que nous refusons cette manière de voir les choses que nous avons fait appel.

Ainsi, le tribunal administratif n’a même pas eu à se pencher sur le fonctionnement concret de la VSA, ni sur la légalité des traitements de données qu’elle implique, pour maintenir cette surveillance. Et pour cause. À part le ministre Darmanin qui fait faussement le naïf en parlant d’un pseudo « vide juridique » de la VSA, tout le monde s’accorde à dire que la VSA est illégale¹À l’exception, désormais, de celle autorisée par la loi JO lorsque les décrets d’application seront publiés, mais le cas de Marseille ne rentre pas dedans. : la CNIL²Dans son rapport sur la VSA, la CNIL retient l’absence de base légale de la VSA, donc son illégalité., le Conseil d’État³Dans une étude de 2022 sur l’usage de l’IA par les administrations, le Conseil d’État rejoint la position de la CNIL en indiquant page 137 de son rapport que les bases légales du RGPD, de la directive « police-justice » et de la loi Informatique et Libertés ne sont pas mobilisables pour la VSA dans l’espace public., ou encore la rapporteure de la loi JO au Sénat⁴Dans son rapport fait à la commission des Lois du Sénat, la rapporteure Agnès Canayer se range derrière l’avis de la CNIL et du Conseil d’État, et mentionne même un avis non publié de ce dernier qui confirmerait l’illégalité de ces dispositifs.. Il a simplement eu à se retrancher derrière la soi-disant suspension du contrat pour ne pas avoir à se prononcer sur le fond.

Ce faisant, le tribunal administratif de Marseille envoie un signal dangereux aux communes : cachez vos surveillances illégales dans des contrats, faites semblant de les suspendre, et personne ne pourra venir les contester. Ce qui est inconcevable dans un État de droit.

Bien entendu, nous continuons à penser que la ville de Marseille agit dans l’illégalité en maintenant en place son dispositif de VSA. Nous continuons de penser que cette VSA constitue une surveillance biométrique des personnes filmées. Combien de temps encore faudra-t-il pour que la ville de Marseille et, au-delà de cette affaire, l’ensemble des villes utilisatrices de dispositifs de VSA, soient contraintes de respecter les droits fondamentaux des habitant·es ?

Pour que nous puissions continuer cette lutte, n’oubliez pas que vous pouvez nous aider en faisant un don ou en aidant à documenter ces dispositifs technopoliciers.

References[+]

References

↑1	À l’exception, désormais, de celle autorisée par la loi JO lorsque les décrets d’application seront publiés, mais le cas de Marseille ne rentre pas dedans.
↑2	Dans son rapport sur la VSA, la CNIL retient l’absence de base légale de la VSA, donc son illégalité.
↑3	Dans une étude de 2022 sur l’usage de l’IA par les administrations, le Conseil d’État rejoint la position de la CNIL en indiquant page 137 de son rapport que les bases légales du RGPD, de la directive « police-justice » et de la loi Informatique et Libertés ne sont pas mobilisables pour la VSA dans l’espace public.
↑4	Dans son rapport fait à la commission des Lois du Sénat, la rapporteure Agnès Canayer se range derrière l’avis de la CNIL et du Conseil d’État, et mentionne même un avis non publié de ce dernier qui confirmerait l’illégalité de ces dispositifs.

]]> https://www.laquadrature.net/?p=20919http://isyteck.com/autoblog/quadrature/index.php5?20230809_113133_L___arrivee_de_Meta_sur_le_fedivers_est-elle_une_bonne_nouvelle___Wed, 09 Aug 2023 09:31:33 +0000Le fédivers (de l’anglais fediverse, mot-valise de « fédération » et « univers ») est un ensemble de médias sociaux composé d’une multitude de plateformes et de logiciels, où les uns communiquent avec les autres grâce à un protocole commun. Mastodon est un des logiciels qui permet de proposer une instance sur le fédivers¹Pour en savoir plus sur le fédiverse : fediverse.party. En juin dernier, Meta a annoncé son arrivée sur le fédivers, à travers le lancement d’un concurrent à Twitter, nommé Threads, qui prévoit à terme de pouvoir s’intéropérer avec d’autres instances du fédivers. La Quadrature du Net réclame depuis plusieurs années une obligation d’interopérabilités pour ces grands réseaux sociaux. Alors l’interopérabilité d’un service proposé par Meta est-elle une bonne nouvelle ? Certainement pas.

Le fédivers est important

Depuis 2018, La Quadrature du Net défend le modèle vertueux du fédivers et réclame qu’il soit introduit dans le droit une obligation pour les plateformes de réseaux sociaux d’être interopérables, c’est-à-dire qu’ils puissent s’insérer dans l’écosystème du fédivers. L’objectif premier du fédivers et de notre revendication d’interopérabilité est de faire en sorte que les utilisateur·rices des grandes plateformes ne soient pas piégé·es par l’effet réseau, c’est-à-dire le fait que certaines plateformes deviennent aujourd’hui incontournables parce que les communautés sont dessus. L’interopérabilité permet ainsi de librement décider depuis quelle plateforme communiquer avec ses contacts, sans être poussé avec plus ou moins de force vers un site ou une application en particulier parce que tous·tes ses ami·es y seraient.

L’interopérabilité en matière de messageries interpersonnelles existe déjà depuis des décennies avec le courrier électronique. Avec une adresse chez un fournisseur A, il est possible d’écrire à ses contacts chez un fournisseur B.

Appliquée aux réseaux sociaux, l’interopérabilité permet à une personne sur une instance A d’écrire à une personne sur une instance B. Surtout, cela permet donc de quitter une plateforme sans se couper de ses ami·es, notamment face à un réseau social qui abuserait des données personnelles de ses utilisateur·rices ou qui aurait des politiques de modération ou de mise en avant de certains contenus problématiques.

La Quadrature du Net promeut depuis 2017 l’interopérabilité des réseaux sociaux. Nous pensons qu’il s’agit d’une réponse alternative à la problématique de la régulation des contenus en lignes. Face à des contenus racistes, antisémites, xénophobes, etc., mis en avant par certaines grandes plateformes, permettre à leurs utilisateur·rices de partir sans se couper de ses ami·es permet de faire émerger des alternatives plus vertueuses, au modèle économique différent.

Ainsi, depuis 2017, nous gérons une instance Mastodon, Mamot.fr. Avec cette instance, nous maintenons une petite pierre du grand réseau social fédéré qu’est le fédivers. Nos utilisateur·rices peuvent donc communiquer avec les autres instances du fédivers, sans avoir besoin d’un compte sur chaque autre plateforme, et en pouvant partir du jour au lendemain si notre politique de modération ne convenait pas. En sommes, un réseau social fédéré permet de redonner du pouvoir à l’internaute, en le retirant aux plateformes.

La beauté du fédivers est aussi qu’il ne s’arrête pas à du microblogging. Nous avons aussi une instance Peertube sur video.lqdn.fr, qui fait aussi partie du fédivers : chacun·e peut commenter et partager nos vidéos sans avoir de compte sur notre plateformes, mais simplement sur une instance quelconque du fédivers.

Mais voici que le géant Meta arrive

Qu’on l’appelle Meta ou Facebook, c’est bien le même géant qui est à la manœuvre. On rappellera que le réseau social de Mark Zukerberg à l’origine de nombreux scandales, sur la gestion des données personnelles et le non-respect du RGPD, ou encore le fait qu’il a servi, à travers le scandale de Cambridge Analytica, à des campagnes massives de manipulations électorales.

Meta est peut-être trop gros, sa position dominante et presque monopolistique dans le milieu des réseaux sociaux aujourd’hui lui octroyant une forme d’impunité. C’est bien en regroupant l’ensemble des internautes de Facebook, Instagram, WhatsApp, etc. que le groupe aux plusieurs milliards d’utilisateur·rices peut survivre à ses innombrables scandales.

Mais aujourd’hui Meta est face à un double souci. Premièrement, les réseaux sociaux ne durent pas éternellement et sont régulièrement abandonnés lors des migrations vers d’autres réseaux. Facebook en fait petit à petit les frais, concurrencé par d’autres plateformes qui ont su jouer sur les phénomènes d’addiction comme TikTok. Deuxièmement, sa taille fait de lui une cible prioritaire des différents États, qui cherchent à réguler les plateformes. Le Digital Markets Act (DMA), règlement européen qui, en tandem avec le Digital Services Act (DSA), vise à réguler les plateformes et l’économie numériques, a bien failli imposer aux réseaux sociaux une obligation d’interopérabilité. Si la France, sous l’impulsion de Cédric O, est venue, en toute fin de parcours législatif, retirer les obligations d’interopérabilités pour les réseaux sociaux du texte final, on voit bien que l’idée de la régulation par la décentralisation d’Internet fait son chemin parmi les décideur·euses public·ques et qu’une telle obligation finira probablement par arriver.

L’arrivée de Facebook sur le fédivers ressemble à la stratégie de prendre les devants, d’agir tant qu’il n’existe pas encore d’encadrement, afin de cannibaliser le fédivers en profitant de la circonstance de l’effondrement de Twitter.

L’interopérabilité est importante

Afin de promouvoir le modèle vertueux du fédivers, nous réclamions avec la loi Avia qu’il soit imposée aux grandes plateformes de réseaux sociaux une obligation d’interopérabilité. En permettant aux utilisateur·rices de quitter un réseau social toxique sans se couper de ses ami·es, il s’agit de casser le monopole qu’ont les géants sur les communautés et de permettre aux internautes de choisir l’endroit qui les accueillera, en fonction des préférences, affinités et valeurs de chacun·es.

Alors que la loi Avia proposait comme manière de réguler les plateformes le contrôle, la censure et la confirmation de l’hégémonie des plateformes et de leur pouvoir, nous proposions l’obligation d’interopérabilité comme modèle alternatif à la censure. Si Twitter, Facebook ou TikTok sont nocifs, c’est (entre autres) que leur modèle économique les pousse à mettre en avant des contenus problématiques, haineux, qui feront réagir les internautes et maintiendront leur attention pour engranger plus de revenus publicitaires, au détriment du débat apaisé et du respect de l’autre.

Avec le DSA et le DMA, nous proposions l’obligation d’interopérabilité pour cette même raison : réguler les géants doit passer par leur retirer le contrôle de leurs communautés. Et nos efforts, épaulés par d’autres organisations comme EDRi, Article 19 ou l’Electronic Frontier Foundation (EFF), ont bien failli réussir puisque sans les efforts du gouvernement français et de son ministre de l’époque Cédric O, l’obligation d’interopérabilité des réseaux sociaux aurait pu devenir réalité puisque le Parlement européen avait voté en sa faveur.

Récemment, nous critiquions également l’attitude du gouvernement qui, sourd aux problèmes sociaux qui touchent les banlieues, préfère museler la liberté d’expression sur les réseaux sociaux avec la vieille rengaine de la censure, alors que cela ne résoudra pas les problèmes de fond et que la régulation des plateformes devrait passer par plus de décentralisation au lieu de plus de censure.

S’interopérer, oui, mais pas n’importe comment

Alors finalement, face à ce constat de nécessité de décentraliser les réseaux sociaux, le fédivers ne devrait-il pas accueillir à bras ouverts Meta ? L’histoire nous montre que non.

Déjà, notons que, au moment où nous écrivons ces lignes, Threads n’est pas interopérable. L’annonce a été faite par Meta que son service permettrait de communiquer avec le reste du fédivers, mais il ne s’agit à ce stade que d’une annonce. Notons également que Meta a restreint Threads aux internautes qui ne sont pas dans l’Union européenne, invoquant une incompatibilité avec le RGPD.

Ce contexte étant posé, il est nécessaire, pour comprendre l’ensemble du problème, de revenir sur l’épisode de GTalk et XMPP. XMPP est un protocole ouvert de messagerie interpersonnelle. De manière relativement similaire au courrier électronique, chaque utilisateur·rice a son compte sur un service et peut discuter avec ses ami·es qui peuvent être sur d’autres services. En 2005, Google lance son service de messagerie, GTalk, qui utilise le protocole XMPP et l’année d’après la fédération est activée : il était alors possible de discuter avec un·e utilisateur·rice de GTalk en ayant un compte ailleurs que chez Google. Mais en 2012, après avoir capté une partie des utilisateur·rices externes, l’entreprise annonça qu’elle comptait réorganiser ses produits et fusionner tous ceux de messagerie avec Hangouts. En 2013, Google annonçait que Hangouts ne serait pas compatible avec XMPP, refermant sur elle-même sa communauté qu’il avait fait grossir grâce à l’interopérabilité permise par XMPP.

On le voit, la taille de Google permettait d’imposer ce choix. Couper les internautes de leurs ami·es qui ne seraient pas chez Google n’est pas une décision en faveur des utilisateur·rices. Elle a pourtant été rendue possible par la puissance de Google sur sa communauté.

Lorsque les premières rumeurs sur l’arrivée de Meta sur le fédivers avec Threads (dont le nom de code à l’époque était « Project92 ») ont émergéMeta a demandé à discuter avec des administrateur·rices d’instances Mastodon en exigeant au préalable qu’iels signent un accord de confidentialité (non-disclosure agreement). La méthode cavalière n’a bien entendu pas plu et c’est ainsi que certain·es administateurs·rices, sans connaître le contenu des échanges qu’a pu avoir Meta avec d’autres, ont révélé l’information en dénonçant au passage la méthode., l’initiative du Fedipact a été lancée. Le principe est simple, les signataires de cet engagement s’engageant à bloquer les services de Meta en raison de la nocivité de l’entreprise pour le fédivers : « Je suis un·e administeur·rice/modérateur·rice sur le fédivers. En signant ce pacte, je m’engage à bloquer toute instance de Meta qui pourrait arriver sur le fédivers. Le Projet92 pose un risque sérieux et réel à la santé et à la longévité du fédivers et doit être combattu à chaque occasion. »

La Quadrature du Net partage les craintes mais ne signera pas cet appel

De nombreuses instances du fédivers, francophone ou non, ont décidé de signer cet appel. De nombreux arguments en faveur du blocage de Meta ont été développés (voir, par exemple, l’explication de Ploum et sa traduction en français). D’autres instances ont préféré attendre, ne voulant pas condamner par avance Meta mais ne fermant pas la porte à son blocage si le service venait créer des problèmes de modération.

Si nous ne signons pas le Fedipact, nous partageons les craintes exprimées et l’instance Mastodon que gère La Quadrature du Net, mamot.fr, bloquera Threads et tout service de Meta qui arriverait sur le fédivers tant qu’une obligation d’interopérabilité accompagnée d’un régulateur capable de tenir tête aux GAFAM et autres géants du numérique ne sera pas introduite en droit.

Nous pensons en effet qu’il est possible, et souhaitable, d’avoir Facebook et les autres réseaux sociaux commerciaux sur le fédivers. C’est une condition sine qua non à leur affaiblissement. En revanche, la démarche de Meta avec Threads est tout sauf une stratégie d’affaiblissement de l’entreprise : Meta ne compte pas se tirer une balle dans le pied, son invasion du fédivers vise à le cannibaliser.

Nous demandons toujours que ces réseaux sociaux aujourd’hui fermés par nature deviennent interopérables. Mais pas n’importe comment ni au détriment de l’écosystème existant ni, in fine, au détriment des droits et libertés des utilisateur·rices. Une telle obligation doit passer par un contrôle, un encadrement, pour que Meta ne puisse pas imposer ses choix au reste d’Internet.

Par sa taille, en effet, Threads deviendrait d’office la plus grosse plateforme du fédivers, sans pour autant prendre d’engagement sur le respect du fonctionnement et de la pérennité de la structure interopérable de l’écosystème. Meta pourrait par exemple chercher à influencer le protocole sur lequel repose le fédivers, ActivityPub. Il pourrait même refuser d’utiliser ce protocole, forçant les autres plateformes à s’interopérer avec lui. Ou adopter la stratégie du Embrace, extend and extinguish.

En somme, sans régulateur fort qui puisse empêcher Meta de prendre ce qui l’arrange dans le fédivers sans participer à son développement (le fédivers repose, rappelons-le, sur une conception radicalement opposée à la logique commerciale de Meta), c’est bien un danger de mort qui pèse sur le fédivers.

Tout comme Google a pris ce qui l’arrangeait dans XMPP, sans contrôle externe Meta prendra ce qui lui convient dans le fédivers puis s’en ira, ou fera en sorte de laisser se dégrader la partie interopérée de son service, par exemple en réservant certaines fonctionnalités à ses seul·es utilisateur·rices uniquement. Comme nous l’écrivions par le passé, « en quelques années, les géants se refermèrent sur eux-même et cessèrent de communiquer, même entre eux. Ils n’avaient plus de raisons de permettre de communiquer avec l’extérieur, « tout le monde » était déjà là, prisonnier et ne pouvant s’échapper sous peine de voir un pan de sa vie sociale disparaître. » Nous ne voulons pas revivre cette situation avec le fédivers.

Nous prenons souvent l’exemple du courrier électronique pour montrer la faisabilité technique de l’interopérabilité. Mais en matière d’email aussi, les géants imposent leurs règles. Framasoft écrivait il y a déjà six ans qu’« Être un géant du mail, c’est faire la loi… ». Et pour cause : par leur captation de la majorité des utilisateur·rices, les géants du net peuvent imposer aux plus petits leurs règles, leurs standards techniques, faire en sorte de forcer les petits à s’adapter aux gros, et non les gros à s’adapter aux petits. Le même risque pèse sur le fédivers sans un régulateur pour les en empêcher.

Les conséquences pour les utilisateur·rices de Mamot.fr

Face à ces incertitudes, pour préserver notre possibilité d’agir à l’avenir et pour nous protéger d’un risque que nous jugeons réel, nous pensons que les actions de Meta doivent être observées avec la plus grande prudence.

Pour les raisons évoquées précédemment, Mamot.fr procédera, jusqu’à nouvel ordre, au blocage préventif de Threads ainsi que de tout autre service de Meta qui viendrait sur le fédivers.

Les personnes ayant un compte sur Mamot.fr ne pourrons donc pas être vues ou suivies par celles ayant un compte chez Threads, et vice versa. Si des personnes que vous connaissez sont sur cette instance et aimeraient vous suivre, nous recommandons qu’elles mettent leur données entre les mains de collectifs et d’associations de confiances, notamment les instances gérées par les CHATONS, par exemple.

Un tel blocage n’est bien évidemment pas idéal : c’est l’internaute, in fine, qui se retrouve victime de cette situation. Mais la balle est dans le camp du législateur. Notre position n’a pas changé : nous pensons qu’il est nécessaire que les grosses plateformes soient interopérables, sur des bases techniques et sociales communes, ce qui ne peut se réaliser qu’avec une obligation d’interopérabilité contrôlée par un régulateur qui aura les pouvoirs suffisants pour empêcher les gros d’écraser les petits. Ce qui, aujourd’hui, n’est malheureusement pas le cas. Le projet de loi Espace numérique, qui a été voté au Sénat en juillet et sera débattu à l’Assemblée nationale en octobre, est l’occasion pour le législateur d’introduire cette obligation d’interopérabilité. Nous reviendrons prochainement sur ce texte. En attendant, n’hésitez pas à faire un don à La Quadrature du Net, afin que nous puissions continuer ce combat pour un Internet décentralisé et bénéfique aux internautes.

Illustration : « NoisePlanet_Asteroid belt_2.0 », par Samuel YAN, CC BY-NC-SA 3.0.

References[+]

References

↑1	Pour en savoir plus sur le fédiverse : fediverse.party

]]> https://www.laquadrature.net/?p=20905http://isyteck.com/autoblog/quadrature/index.php5?20230728_115351_Revoltes_et_reseaux_sociaux____le_retour_du_coupable_idealFri, 28 Jul 2023 09:53:51 +0000Les révoltes qu’ont connues de nombreuses villes de France en réaction à la mort de Nahel ont entraîné une réponse sécuritaire et autoritaire de l’État. Ces évènements ont également réactivé une vieille antienne : tout cela serait dû au numérique et aux réseaux sociaux. On aimerait railler cette rhétorique ridicule si seulement elle n’avait pas pour origine une manœuvre politique de diversion et pour conséquence l’extension toujours plus dangereuse de la censure et du contrôle de l’information.

« C’est la faute aux réseaux sociaux »

Aux premiers jours des révoltes, Emmanuel Macron a donné le ton en annonçant, à la sortie d’une réunion de crise, que « les plateformes et les réseaux sociaux jouent un rôle considérable dans les mouvements des derniers jours ». Aucune mention des maux sociaux et structurels dans les quartiers populaires depuis plusieurs décennies, rien sur l’écœurement d’une population vis-à-vis des violences policières. Non, pour le président, c’est Snapchat, TikTok et les autres réseaux sociaux qui participeraient à « l’organisation de rassemblements violents » et à une « forme de mimétisme de la violence » qui conduirait alors à « une forme de sortie du réel ». Selon lui, certains jeunes « vivent dans la rue les jeux vidéo qui les ont intoxiqués ». Il est vrai que nous n’avions pas vu venir cette sortie d’un autre temps sur les jeux vidéos, tant elle a déjà largement été analysée et démentie par de nombreuses études.

Mais si le jeu vidéo a vite été laissé de côté, les critiques ont toutefois continué de se cristalliser autour des réseaux sociaux, à droite comme à gauche. Benoît Payan, maire de Marseille, a ainsi expliqué que les réseaux sociaux « sont hors contrôle et ils permettent à des bandes organisées qui font n’importe quoi d’être extrêmement mobiles, de se donner des rendez-vous ». Éric Dupond-Moretti, ministre de la Justice, s’est quant à lui taillé un rôle paternaliste et moralisateur, dépolitisant les évènements et essentialisant une jeunesse qui aurait l’outrecuidance d’utiliser des moyens de communication. Selon lui, « les jeunes » utilisent les réseaux sociaux et se « réfugient derrière leurs téléphone portable », se pensant « comme ça en toute liberté dans la possibilité d’écrire ce qu’ils veulent ». Car pour Dupond-Moretti, le jeune doit « rester chez lui » et les parents doivent « tenir leurs gosses ». Et si le jeune veut quand même « balancer des trucs sur Snapchat », alors attention, « on va péter les comptes ».

En substance, il menace d’identifier les personnes qui auraient publié des vidéos de violences pour les retrouver, quand bien même ces contenus seraient totalement licites. À l’image d’un surveillant courant avec un bâton après des enfants, dépassé par la situation, le ministre de la Justice se raccroche à la seule branche qui lui est accessible pour affirmer son autorité. Les récits de comparution immédiate ont d’ailleurs démontré par la suite la violence de la réponse judiciaire, volontairement ferme et expéditive, confirmant la détermination à prouver son ascendant sur la situation.

Le clou du spectacle a été prononcé par Emmanuel Macron lui-même le 4 juillet, devant plus de 200 maires, lorsqu’il a évoqué l’idée de « réguler ou couper » les réseaux sociaux puisque « quand ça devient un instrument de rassemblement ou pour essayer de tuer, c’est un vrai sujet ». Même avis chez Fabien Roussel « quand c’est chaud dans le pays », car celui-ci préfère « l’état d’urgence sur les réseaux sociaux que sur les populations ». Pour rappel, couper Internet à sa population est plutôt apprécié par les régimes autoritaires. En 2023, l’ONG Access Now a recensé que ce type de mesure avait été utilisé en Inde, Birmanie, Iran, Pakistan, Éthiopie, Russie, Jordanie, Brésil, Chine, Cuba, Irak, Guinée et Mauritanie.

Quelques semaines plus tard, le président annonçait le projet : restaurer un « ordre public numérique », ranimant la vieille idée sarkoziste qu’Internet serait une « zone de non-droit ».

La censure au service de l’ordre

L’ensemble de ces réactions révèle plusieurs des objectifs du gouvernement. D’abord, il attaque les moyens de communication, c’est-à-dire les vecteurs, les diffuseurs, les tremplins d’une expression populaire. Ce réflexe autoritaire est fondé sur une erreur d’appréciation majeure de la situation. Comme avec Internet à sa création, l’État semble agacé que des moyens techniques en perpétuelle évolution et lui échappant permettent aux citoyens de s’exprimer et s’organiser.

Depuis sa création, La Quadrature l’observe et le documente : le réflexe du blocage, de la censure, de la surveillance traduit en creux une incapacité à comprendre les mécanismes technologiques de communication mais surtout révèle la volonté de limiter la liberté d’expression. En démocratie, seul un juge a l’autorité et la légitimité pour décider si un propos ou une image enfreint la loi. Seule l’autorité judiciaire peut décider de retirer un discours de la sphère publique par la censure.

Or, sur Internet, cette censure est déléguée à des entités privées dans un cadre extra-judiciaire, à rebours de cette protection historique. L’expression et l’information des utilisateur·rices se heurtent depuis des années aux choix de plateformes privées auto-désignées comme entités régulatrices du discours public. Ce mécanisme de contrôle des moyens d’expression tend en effet à faire disparaître les contenus militants, radicaux ou alternatifs et à invisibiliser l’expression de communautés minoritaires. Alors que ce modèle pose de sérieuses questions quant à la liberté d’expression dans l’espace démocratique, c’est pourtant bien sur celui-ci que le gouvernement compte pour faire tomber les vidéos de violences et de révoltes.

Ensuite, cette séquence démontre l’absence de volonté ou l’incompétence de l’État à se confronter aux problématiques complexes et anciennes des quartiers populaires et à apporter une réponse politique et sociale à un problème qui est uniquement… politique et social. L’analyse des évènements dans les banlieues est complexe, difficile et mérite qu’on se penche sur de multiples facteurs tels que le précédent de 2005, l’histoire coloniale française, le rapport des habitant·es avec la police ou encore le racisme et les enjeux de politique de la ville. Mais ici, le gouvernement convoque les réseaux sociaux pour contourner la situation. Comme à chaque crise, la technologie devient alors le usual suspect préféré des dirigeants : elle est facile à blâmer mais aussi à maîtriser. Elle apparaît ainsi comme une solution magique à tout type de problème.

Rappelons-nous par exemple de l’application TousAntiCovid, promue comme l’incarnation du progrès ultime et salvateur face à la crise sanitaire alors qu’il s’agissait uniquement d’un outil de surveillance inefficace. La suite a montré que seules des mesures sanitaires étaient de toute évidence à même de résorber une épidémie. Plus récemment, cette manœuvre a été utilisée pour les Jeux Olympiques, moment exceptionnel par ses aspects logistiques, économiques et sociaux mais où la réponse politique apportée a été de légaliser un degré supplémentaire de surveillance grâce à la technologie, la vidéosurveillance algorithmique.

Ici, le gouvernement se sert de ces deux phénomènes pour arriver à ses fins. Désigner les réseaux sociaux comme le coupable idéal lui permet non seulement de détourner l’opinion publique des problématiques de racisme, de pauvreté ou de politique des quartiers mais également de profiter de cette séquence « d’exception » pour asseoir sa volonté de contrôle d’Internet et des réseaux sociaux. Ainsi, les ministres de l’Intérieur et du Numérique ont convoqué le 30 juin les représentants de TikTok, Snapchat, Twitter et Meta pour leur mettre une « pression maximale », selon les mots du ministre du Numérique Jean-Noël Barrot, et renforcer ainsi la main mise et l’influence politique sur ces infrastructures de communication.

Une collaboration État-plateformes à son paroxysme

Comment le gouvernement peut-il alors faire pour réellement mettre les réseaux sociaux, des entreprises privées puissantes, sous sa coupe ? Juridiquement, il dispose de leviers pour demander lui-même le retrait de contenus aux plateformes. Certes cette censure administrative est en théorie aujourd’hui réservée à la pédopornographie et à l’apologie du terrorisme, mais cette dernière, notion vague et indéfinie juridiquement, a notamment permis d’exiger le blocage du site collaboratif et militant Indymedia ou de faire retirer une caricature de Macron grimé en Pinochet. Ces pouvoirs ont d’ailleurs été récemment augmentés par l’entrée en vigueur du règlement « TERREG », qui permet à la police d’exiger le retrait en une heure d’un contenu qualifié par elle de « terroriste ». Cependant, il ne semble pas que le gouvernement ait utilisé ces dispositions pour exiger le retrait des vidéos de révoltes. D’ailleurs, et peut-être plus grave, il n’en a probablement pas eu besoin.

Conscient des limites juridiques de son pouvoir, l’État peut en effet miser sur la coopération des plateformes. Comme nous l’avons évoqué, celles-ci ont le contrôle sur l’expression de leurs utilisateur·ices et sont en mesure de retirer des vidéos de révoltes et d’émeutes quand bien même ces dernières n’auraient absolument rien d’illégal, simplement en invoquant leurs larges pouvoirs issus des conditions générales d’utilisation.

D’un côté, les autorités peuvent compter sur le zèle de ces réseaux sociaux qui, après avoir longtemps été accusés de mauvais élèves et promoteurs de la haine en ligne, sont enclins à se racheter une image et apparaître comme de bons soldats républicains, n’hésitant pas à en faire plus que ce que demande la loi. Twitter par exemple, qui a pendant longtemps résisté et ignoré les demandes des autorités, a drastiquement changé sa discipline depuis l’arrivée d’Elon Musk. Selon le media Rest of World qui a analysé les données du réseau, Twitter ne refuse quasiment plus aucune injonction de blocage ou réquisition de données d’identification provenant des différents États dans le monde.

Concernant les récents évènements en France, le ministre Barrot a ainsi confirmé que les « demandes » du gouvernement avaient été « entendues ». Le Commandement de la Gendarmerie dans le cyberespace exposait fièrement que 512 demandes de retrait avaient été adressées aux modérateurs de réseaux sociaux, quand Olivier Veran annonçait quant à lui que « ce sont plusieurs milliers de contenus illicites qui ont été retirés, plusieurs centaines de comptes qui ont été supprimés, plusieurs dizaines de réquisitions auxquelles les plateformes ont répondu ».

Et en effet, Snapchat ne se cachait pas d’avoir fait plus que le nécessaire. Un porte-parole affirmait à l’AFP faire de la « détection proactive » notamment sur la carte interactive qui permet de retrouver des contenus en fonction des lieux et « et plus particulièrement le contenu lié aux émeutes » qui serait supprimé s’il « enfreint [leurs] directives ». La responsable des affaires publiques de l’entreprise assumait quant à elle devant l’Assemblée nationale avoir travaillé avec le ministère de l’Intérieur pour filtrer les contenus et ne laisser en ligne que ceux mettant en scène des personnes se plaignant des violences. Les représentants de Tiktok ont pour leur part annoncé : « Nous menons une modération automatique des contenus illicites, renforcée par des modérateurs humains. En raison de la nécessité urgente en France, nous avons renforcé nos efforts de modération ».

De l’autre côté, si les réseaux sociaux refusent de se plier à ce jeu diplomatique, alors le gouvernement peut menacer de durcir leurs obligations légales. Aujourd’hui, les réseaux sociaux et hébergeurs bénéficient d’un principe européen d’irresponsabilité, créé dans les années 2000 et reposant en France sur l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN). Ils ne sont responsables de contenus que s’ils ont connaissance de leur caractère illicite et ne les ont pas retiré « promptement ». Mais alors que les soirées d’émeutes étaient toujours en cours dans les villes de France, le sénateur Patrick Chaize profitait de l’examen du projet de loi Espace Numérique pour proposer un amendement qui voulait modifier ce régime général et imposer aux plateformes le retrait en deux heures des contenus « incitant manifestement à la violence ».

Si cet amendement a finalement été retiré, ce n’était pas en raison de désaccords de fond. En effet, Jean-Noël Barrot a, dans la foulé de ce retrait, annoncé le lancement d’un « groupe de travail » interparlementaire pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Sont envisagées pour l’instant des restrictions temporaires de fonctionnalités telles que la géolocalisation, des mesures de modération renforcées ou encore la levée de l’anonymat, éternelle marotte des parlementaires. Demande constante de la droite française depuis de nombreuses années, cette volonté de lier identité virtuelle et identité civile est cette fois-ci défendue par le député Renaissance Paul Midy. De quoi agiter le chiffon rouge de futures sanctions auprès de plateformes qui rechigneraient à en faire suffisamment.

L’impasse de la censure

Déjà voté au Sénat, le projet de loi « Espace Numérique » devrait être discuté à la rentrée à l’Assemblée. Outre plusieurs dispositions problématiques sur lesquelles nous reviendrons très prochainement, ce texte a comme objet initial de faire entrer dans le droit français le Digital Services Act (ou DSA). Ce règlement européen adopté en 2022 est censé renouveler le cadre juridique des acteurs de l’expression en ligne.

Contrairement à ce qu’affirmait avec aplomb Thierry Breton, commissaire européen en charge notamment du numérique, ce texte ne permettra en aucun cas d’« effacer dans l’instant » les vidéos de révoltes ni d’interdire d’exploitation les plateformes qui n’exécuteraient pas ces injonctions. Non, ce texte donne principalement des obligations ex ante aux très grosses plateformes, c’est-à-dire leur imposent des efforts sur leur fonctionnement général (transparence des algorithmes, coopération dans la modération avec des tiers certifiés, audits…) pour prévenir les risques systémiques liés à leur taille et leur influence sur la démocratie. M. Breton est ainsi prêt à tout pour faire le SAV du règlement qu’il a fait adopter l’année dernière, quitte à dire des choses fausses, faisant ainsi réagir plus de soixante associations sur ces propos, puis à rétropédaler en catastrophe en voyant le tollé que cette sortie a déclenché.

Cependant, si ce texte ne permet pas la censure immédiate rêvée par le commissaire européen français, il poursuit bien la dynamique existante de confier les clés de la liberté d’expression aux plateformes privées, quitte à les encadrer mollement. Le DSA légitime les logiques de censure extra-judiciaire, renforçant ainsi l’hégémonie des grandes plateformes qui ont développé des outils de reconnaissance et de censure automatisés de contenus.

Des contenus terroristes aux vidéos protégées par le droit d’auteur en passant par les opinions radicales, c’est tout un arsenal juridique européen qui existe aujourd’hui pour fonder la censure sur internet. En pratique, elle permet surtout de donner aux États qui façonnent ces législations des outils de contrôle de l’expression en ligne. On le voit en ce moment avec les vidéos d’émeutes, ces règles sont mobilisées pour contenir et maîtriser les contestations politiques ou problématiques. Le contrôle des moyens d’expression finit toujours aux mains de projets sécuritaires et anti-démocratiques. Face à ce triste constat, de la même manière que l’on se protège en manifestation ou dans nos échanges militants, il est nécessaire de repenser les pratiques numériques, afin de se protéger soi-même et les autres face au risque de détournement de nos publications à des fins répressives (suppression d’images, de vidéos ou de messages, flouter les visages…).

Enfin, cette obsession de la censure empêche surtout de se confronter aux véritables enjeux de liberté d’expression, qui se logent dans les modèles économiques et techniques de ces plateformes. À travers leurs algorithmes pensés pour des logiques financières, ces mécanismes favorisent la diffusion de publications violentes, discriminatoires ou complotistes, créant un tremplin rêvé pour l’extrême droite. Avec la régulation des plateformes à l’européenne qui ne passe pas par le questionnement de leur place prépondérante, celles-ci voient leur rôle et leur influence renforcé·es dans la société. Le modèle économique des réseaux sociaux commerciaux, qui repose sur la violation de la vie privée et la monétisation de contenus problématiques, n’est en effet jamais empêché, tout juste encadré.

Nous espérons que les débats autour du projet de loi Espace Numérique seront enfin l’occasion de discuter de modèles alternatifs et de penser la décentralisation comme véritable solution de la régulation de l’expression en ligne. Cet idéal n’est pas utopique mais existe bel et bien et grandit de jour en jour dans un écosystème fondé sur l’interopérabilité d’acteurs décentralisés, refusant les logiques de concentration des pouvoirs de censure et souhaitant remettre les utilisateurs au cœur des moyens de communications qu’ils utilisent.

]]> https://www.laquadrature.net/?p=20900http://isyteck.com/autoblog/quadrature/index.php5?20230725_160035_L___Assemblee_adopte_l___activation_a_distance_des_appareils_electroniquesTue, 25 Jul 2023 14:00:35 +0000La semaine dernière, l’Assemblée nationale a adopté le projet de loi d’orientation et de programmation du ministère de la justice pour les années 2023-2027. Parmi de multiples dispositions, ce texte prévoit l’introduction dans le droit français la possibilité pour la police d’activer des appareils et objets électroniques à distance, que ce soit les fonctionnalités de géolocalisation, des micros ou des caméras.

Nous vous en parlions il y a quelques semaines, après avoir fait un tour au Sénat, le voila désormais voté par l’Assemblée. Ce projet de surveillance, défendu par le gouvernement comme une simple « évolution technologique » des mesures d’enquête, modifie en réalité profondément la nature même d’objets du quotidien pour accéder à l’intimité des personnes. Il transforme des appareils supposées passifs et contrôlés par leurs propriétaires en des auxiliaires de justice pour s’immiscer dans tous les recoins de nos espaces privés. Alors que la police était jusqu’à présent tenue d’une démarche active et matériellement contraignante pour surveiller quelqu’un, ces dispositions du projet de loi sur la justice permettront de transformer un objet tel qu’un smartphone en dispositif de surveillance, en le compromettant.

Sans trop de surprise, les discussions à l’Assemblée n’ont apporté que peu de changement. Pour l’activation à distance des appareils électroniques à des fins de géolocalisation, permettant d’obtenir l’emplacement de leurs propriétaires, les députés de la majorité – réunis avec la droite et l’extrême droite – ont ramené le texte à sa version initiale. Ainsi, cette mesure pourra être mise en œuvre sur des personnes poursuivies pour des délits et crimes punis de 5 ans d’emprisonnement seulement, alors que les sénateurs avaient rehaussé ce seuil à 10 ans. Pour l’activation du micro et de la caméra des objets connectés permettant de filmer ou d’écouter tout ce qui se passe à leurs alentours, aucune modification substantielle n’est à noter. Prévue pour la criminalité et la délinquance organisées, l’application future de cette technique extrêmement intrusive nous fait craindre le pire. Actuellement déjà, un grand nombre d’actions peuvent tomber dans le champ de la délinquance et la « criminalité organisée », comme par exemple la « dégradation en bande organisée » pour laquelle sont poursuivies les militant·es écologistes arrêtées pour avoir participé à l’action contre l’usine Lafarge.

Mais surtout, il est très probable que cette technique de compromission des appareils s’étende ou se banalise d’ici à quelques années. La dernière décennie, qui a bouleversé en profondeur la réglementation pénale et antiterroriste, démontre par l’exemple quel pourrait être le chemin d’une telle généralisation. En effet, les techniques spéciales d’enquête, particulièrement intrusives, étaient historiquement réservées aux enquêtes et affaires les plus graves, données au seul juge d’instruction. Ce n’est que depuis la réforme pénale de 2016 que ces possibilités ont été élargies aux officiers de police judiciaire et aux procureurs dans le cadre d’enquête de flagrance et préliminaire. Avec cette loi, le procureur pouvait alors ordonner des écoutes téléphoniques, des sonorisations de lieux, des poses de balise GPS, de la vidéosurveillance, des captations de données informatiques ou des perquisitions de nuit.

Cette extension était fortement critiquée au regard des pouvoirs inédits donnés au parquet, hiérarchiquement dépendant de l’exécutif. Le journal « Le Monde » parlait à l’époque de « la loi antiterroriste la plus sévère d’Europe » et s’inquiétait, comme nous aujourd’hui, du « glissement régulier des méthodes du renseignement vers l’antiterrorisme, celles de l’antiterrorisme vers le crime organisé, celles du crime organisé vers la délinquance ordinaire » et de conclure « les procédures d’exception finissent par dissoudre le principe même d’un droit commun ».

Ces prédictions se sont révélées exactes puisque dès 2018, le gouvernement a voulu élargir ces possibilités fraîchement données au procureur à l’ensemble des crimes dans le cadre d’une enquête en flagrance ou d’une enquête préliminaire, et non plus à la seule délinquance et à la criminalité en bande organisée. On ne pourrait donner meilleur exemple de fuite en avant sécuritaire, révélant la volonté de s’arroger toujours plus de pouvoirs dont on pouvait pourtant se passer auparavant. Néanmoins, les gardes fous institutionnels ont plutôt fonctionné à ce moment là : le Conseil constitutionnel a censuré cet appétit grandissant de prérogatives de surveillance. Celui-ci a ainsi estimé que la mesure était excessive et que le juge des libertés et de la détention (JLD), désigné pour autoriser et contrôler ces techniques, ne constituait pas une garantie suffisante. Pour le Conseil, puisque le JLD n’a pas accès à l’ensemble des procès-verbaux de l’enquête ni au déroulé des investigations, cela l’empêche d’assurer un contrôle satisfaisant de la nécessité et la proportionnalité des mesures de surveillance. Pourtant, alors que ces limites sont connues, c’est ce même JLD qui a été choisi dans le PJL Justice 2023-2027 pour contrôler les nouvelles techniques d’activation à distance des objets connectés (hors information judiciaire).

Toutefois, rien ne permet de croire à un coup d’arrêt similaire contre ces nouvelles mesures. À l’heure où l’antiterrorisme est mobilisé pour réprimer des militant·es politiques, ce renforcement des pouvoirs policiers ne fait que souligner les dérives autoritaires du gouvernement. Cette volonté de faire tomber les barrières qui empêchent l’État d’accéder à l’intimité des citoyens rejoint aussi l’offensive actuelle contre le chiffrement des conversations, que nous avons documentée à travers l’instruction de l’affaire dite du « 8 décembre ».

Le projet de loi sera prochainement transmis à une commission mixte paritaire qui tranchera les derniers arbitrages. Les équilibres politiques actuels font qu’il n’y a quasiment aucune chance que les parlementaires reculent et fassent retirer ces mesures de surveillance. Pourtant, si ces dernières sont votées, elles offriront une possibilité de contrôle de masse à faible coût et feront basculer le rapport que peuvent avoir les citoyens à la technologie en transformant radicalement la nature des objets qui nous entourent.

]]> https://www.laquadrature.net/?p=20862http://isyteck.com/autoblog/quadrature/index.php5?20230711_155152_En_visite_aux_____nuits_de_l___AN2V______le_lobby_de_la_videosurveillanceTue, 11 Jul 2023 13:51:52 +0000Tribune de Félix Tréguer, membre de La Quadrature du Net, initialement publiée sur le site lundimatin.

Il a fallu débourser 180€ et s’arracher à la torpeur de ce début d’été pour gagner le droit de s’attabler incognito au beau milieu du « milieu » français de la vidéosurveillance policière. L’AN2V, ou association nationale de la vidéoprotection, tenait l’une de ses « nuits de l’AN2V » à Paris le 27 juin dernier. Événement biennal, les « nuits » sont le moment le plus people de cette association de fabricants, de distributeurs, d’intégrateurs, bref de marchands des milliers de caméras de surveillance installées à grands frais dans nos villes et villages.

Ambiance

J’arrive vers 19 heures au musée des arts forains à Paris, à quelques centaines de mètres du ministère de l’Économie. Près de trois cent participants s’amoncellent dans la grande salle à l’entrée. L’ambiance est feutrée, les décors chatoyants et dorés. De vieux jeux de foire sont disposés aux quatre coins de la pièce, avec des animateurs et animatrices censées amuser la galerie. C’est l’heure de l’apéro et le champagne est servi sur des nappes blanches. Neuf individus sur dix sont des hommes, blancs eux-aussi. La quasi-totalité des quelques personnes non-blanches présentes ce soir sont des hôtes et des hôtesses, au vestiaire ou au service. Malheureusement rien de très étonnant dans ce lieu d’entre-soi élitaire.



Tandis que je m’exfiltre à l’extérieur pour respirer un peu, trois hommes s’assoient non loin de moi. Deux représentants de la société Videtics vendent leur soupe à un homme plus âgé qui semble être un donneur d’ordre : analyse de densité de foule, analyse de trafic et de trajectoire des individus dans l’espace urbain, ils vantent les mérites de leur solution et de l’expérimentation prochaine à Marseille du suivi de foules dans le cadre du consortium Serenity soutenu par BPIfrance. De là, en moins d’un quart d’heure, je vois passer Guillaume Cazenave, PDG de la start-up Two-I, spécialisée dans l’Intelligence Artificielle (IA) appliquée à la vidéosurveillance, mais aussi Élisabeth Sellos-Cartel, chargée de la vidéosurveillance au ministère de l’Intérieur. Quelques jours plus tôt, elle animait une réunion de l’AN2V pour éclairer ses membres quant au travail ministériel sur les futurs décrets d’application de l’article 7 de la loi« Jeux Olympiques » (JO) 2024, qui légalise à titre expérimental l’usage de la vidéosurveillance algorithmique – c’est le gros sujet du moment. De retour à l’intérieur, je vois passer les badges de représentants d’entreprises chinoises comme Hikvision et Dahua, lesquelles se partageraient plus de la moitié du parc français de vidéosurveillance. Des acteurs centraux et pourtant sur la défensive, on le verra. Puis à quelques mètres de là, je vois passer la personnalité politique clé pour l’ensemble du secteur de la vidéosurveillance : Philippe Latombe, ancien cadre au Crédit agricole et depuis 2017 député Modem de Vendée.

Philippe Latombe, député guest-star

Quoique que largement inconnu du grand public, le député Latombe est ce soir la guest-star. Aujourd’hui dans la majorité macroniste, membre de la commission des Lois à l’Assemblée nationale, il s’était présenté aux élections régionales de 2015 sur la liste d’extrême-droite de Debout la France, le parti de Nicolas Dupont-Aignan. Et en tant qu’élu de la majorité en 2021, il n’a pas hésité à propager une fake news sur des supposées « prières de rue musulmanes » à Challans. Pour le reste, il semble s’être employé à bâtir l’image d’un centriste raisonnable et d’ardent défenseur de la vie privée. Il a ainsi voté contre le passe sanitaire en 2020 et cosigné une tribune appelant à un moratoire sur la reconnaissance faciale. Cela a probablement aidé à ce que la présidente de l’Assemblée, Yaël Braun-Privet, le nomme au collège de la CNIL en août 2022.

Son jeu trouble avec l’industrie de la surveillance révèle pourtant son insatiable fascination pour la Technopolice, et le place dans une effarante position de conflit d’intérêt. Il y a quelques mois déjà, lors du salon professionnel ExpoProtection, le lobbyiste Sébastien Garnault, initiateur de la plateforme d’influence CyberTaskForce, le présentait en introduction d’un débat sur la vidéosurveillance comme « un interlocuteur de choix (…), un ardent défenseur de l’excellence française, donc clairement un coéquipier ». Cet hiver, Latombe a joué un rôle clé dans les débats sur l’article 7 de la loi JO 2024. Et il est entre autres choses co-auteur d’un rapport d’information sur « les images de sécurité » publié en avril dernier. Tout en jurant qu’« aucun compromis ne doit être fait concernant la protection des libertés fondamentales », ce rapport appelait à étendre très largement le recours à la vidéosurveillance et à la reconnaissance faciale. C’est de ce document dont l’AN2V a décidé qu’il serait beaucoup question ce soir.

20 heures sonnent. Quelqu’un prend le micro pour demander à ces « messieurs » de passer à table, oubliant les quelques femmes présentes ce soir – la non-mixité masculine est ainsi assumée. Le maître de cérémonie, Dominique Legrand, président de l’AN2V, lobbyiste en chef de la vidéosurveillance à la gouaille insatiable, fait son entrée en scène. À l’aise dans son rôle de MC, il convoque Philippe Latombe sur l’estrade et l’avertit d’emblée : « Ce soir, j’ai envie de vous challenger ». Latombe est prêt, chaud-bouillant même, d’autant plus que, en tant que héraut politique du secteur, il se sait au-dessus de tout reproche. Le petit jeu de questions/réponses qui s’amorce est parti pour durer près de trois longs quarts d’heure. Il va consister pour le lobbyiste à reprendre les recommandations les plus cruciales du rapport parlementaire dont Latombe est co-auteur pour demander à ce dernier de noter, sur une échelle de 0 à 20, la probabilité qu’elles soient bientôt inscrites dans les politiques publiques. Exemple : Va-t-on assister à une refonte totale des « dispositifs de captation d’images dans l’espace public » pour « rationaliser » le cadre juridique fixé par le code de la sécurité intérieure ? 10 sur 20 répond Latombe : « Cela finira par arriver mais il faudra sans doute des années au ministère de l’Intérieur pour conduire ce gros travail légistique ».

Viennent ensuite les recommandations n° 3, 4 et 5 du rapport, puis les n° 8, 9, 11, 14, 15 et 16. Durant l’échange, Dominique Legrand doit s’interrompre une dizaine de fois pour demander le silence : « le bruit de fond est trop important, vous n’écoutez pas ! » C’est que, dans l’auditoire, on sirote le kir le ventre vide et les discussions s’animent. On préfère apparemment laisser Legrand faire son numéro en papotant entre pairs dans une atmosphère détendue, dont il faut bien avouer qu’elle fait un peu mauvais genre. Latombe, beau joueur, ne voudrait surtout pas déranger. Il lâche un « c’est pas grave » et invite à poursuivre.

Recommandation 20 sur l’interopérabilité des systèmes de vidéoprotection et d’IA mis en œuvre dans le cadre de l’expérimentation ouverte par la loi JO. Legrand surjoue la satisfaction : « ça, ça nous convient parfaitement ». Recommandation n° 22 sur des marchés publics réservés aux acteurs français et européens au nom de la souveraineté numérique. Latombe s’enthousiasme : « C’est un sujet qui est en train de prendre partout au sein de l’hémicycle, de la France insoumise au Rassemblement national ». Quant au fait d’avoir co-signé, de façon inédite pour la majorité, un amendement sur ce sujet avec l’extrême droite dans le cadre de la loi JO : « Je l’assume c’est pas un souci ». Chassez le naturel extrême-droitier et il revient au galop. Il faut dire qu’outre le fait que le Rassemblement national aide à faire passer près de la moitié des textes de la majorité macroniste, le souverainisme économique est de bon ton dans un climat de rivalités géopolitiques croissantes. Quoiqu’ils aient eu gain de cause avec l’échec de cet amendement, les représentants des entreprises chinoises présents ce soir doivent trouver ces appels au souverainisme peu ragoutants. Et en même temps, l’incurable dépendance des Français aux technologies de l’Empire du milieu leur paraît sans doute un peu pathétique.

Fabrique de l’acceptabilité sociale de la surveillance

On arrive aux recommandations n° 29, 30 et 31 qui portent sur la reconnaissance faciale et biométrique dans l’espace public, un sujet qui fait l’objet d’une récente proposition de loi de la droite et du centre adoptée au Sénat. Reprochant à ses collègues sénateurs de vouloir aller trop vite en besogne, Latombe détaille la philosophie qui guide son approche, à ses yeux la plus capable de porter ses fruits : la stratégie des petits pas, aussi connue sous le nom de « fable de la grenouille » :

« Avec la reconnaissance faciale, on touche à un tabou absolu, on touche au truc qui fait que ça fait hurler tout le monde. Ce que nous avons proposé dans le rapport, et je pense que c’est la vraie bonne façon de faire les choses : si on y va d’un coup d’un seul, un peu comme les sénateurs veulent le faire, ça va tellement crisper que ça passera pas. Il faut y aller en touchant les choses du bout du doigt et en y allant dans des cas très particuliers et très bien protégés, très bien balisés. C’est pour ça qu’on a proposé avec Philippe Gosselin d’utiliser la reconnaissance faciale en direct, avec le flux live, pour trois cas très particuliers : crise terroriste (il faut retrouver les terroristes, il faut pas qu’on se pose de question pour l’utiliser) ; la finalité « bande organisée » (le braquage de fourgon ou d’une bijouterie avec des gens qui sortent de la bijouterie et sont prêts à tirer sur n’importe qui, il faut savoir où ils sont pour intervenir le plus rapidement possible […]) ; et sur l’alerte-enlèvement ([…] pour récupérer l’enfant le plus vite possible […]). Il s’agit de cas emblématiques pour lesquels nos concitoyens savent bien qu’il y a un risque et qu’il faut mettre en place tous les moyens pour contrer ce risque. Ça serait une faute [de ne pas utiliser la reconnaissance faciale]. Si on a des outils pour le faire, utilisons-les, et après on verra bien si ça marche pas. On verra. »

Legrand fait le mec prudent : « Très bien, ça tombe sous le sens, on comprend bien qu’il faut cadrer tout ça, ça peut pas tourner H24 sur l’ensemble du territoire ». Les businessmen de la vidéosurveillance sont des gens raisonnables, c’est l’un des leitmotivs de la soirée.

On poursuit avec une série de recommandations (n° 32, 33 et 35) portant sur les commissions départementales de vidéoprotection et les comités d’éthique, alibis commodes pour faire croire à l’existence de garde-fous mais tombés en déshérence ces dernières années du fait de leur manque de pouvoir et de leur inutilité. Là encore, le député insiste – et l’AN2V approuve : il faut les relancer, il en va de « l’acceptabilité sociale » de la vidéosurveillance.



« La première idée, explique Latombe, c’est de se dire que pour que ce soit accepté par la population, il faut mettre un certain nombre de garde-fous. C’est la CNIL, c’est des choses comme ça, ou le recours au droit que les personnes peuvent avoir pour accéder à leur images […]. Ça permet de mettre du contrôle citoyen sur les choses sans nuire à l’efficacité. Avec les caméras augmentées, où il y a des biais, le regard citoyen [symbolisé par les comités] permet d’apaiser les craintes, d’être sûr qu’il y a un contrôle citoyen qui permet aux habitants de se tranquilliser […]. C’est pas forcément quelque chose qui coûte très cher, c’est quelque chose qui s’organise et qui doit se réunir au moins une fois par trimestre, de faire un rapport et de challenger les effectifs communal (sic). »

Le patron de l’AN2V écoute avec le regard satisfait du maître à qui l’élève récite une leçon parfaitement apprise. Vient enfin la recommandation 36, qui propose de consacrer la CNIL en tant que « chef de file » de la régulation des systèmes d’IA. C’est alors que le député confirme ce que l’on constate depuis des années : plutôt que le gendarme des données personnelles, la CNIL est désormais une agence dédiée à l’accompagnement de l’innovation.

« Beaucoup de monde voit la CNIL comme un empêcheur de tourner en rond. Pour le voir un peu de l’intérieur depuis l’été dernier, il y a quand même une volonté d’ouverture de la CNIL sur ces sujets. Et d’ailleurs, quand on regarde les différents décrets, et même le texte JO [sur la VSA] et même sur le texte « douanes » sur les LAPI [lecture automatique de plaques d’immatriculation], la CNIL a vraiment ouvert ses chakras, en se disant qu’elle ne pouvait plus être ce gendarme strict et qu’il fallait qu’elle intègre les réalités sociales et technologiques et économiques. Il n’en reste pas moins que dans la loi JO, il a fallu rassurer les citoyens sur le fait que les algorithmes sont expertisés avant d’être déployés. Il y a eu un grand débat au sein du gouvernement sur ce sujet, il a été arbitré par le ministère de l’Intérieur face à Bercy qui voulait absolument que ce soit l’Arcep, réputée plus proche des milieux économiques. Il n’empêche que la CNIL est aujourd’hui en grande mutation sur le sujet [de l’IA…]. Mais on ne peut pas confier ces sujets-là à la CNIL sans lui ouvrir complètement ses chakras, et la meilleure façon d’ouvrir ses chakras, c’est d’abord de renforcer son collège en y mettant peut être un peu moins de juristes issus du Conseil d’État, qui sont majoritaires, en y mettant des personnes qualifiées issues du monde technologique, universitaire, et qui ont un capacité à comprendre ce que sont les technos […] ».

Les membres actuels du collège de la CNIL, qui d’ailleurs incluent déjà des universitaires et spécialistes de l’informatique, apprécieront. Quant au fait que la CNIL soit un « gendarme strict », il s’agit d’une grosse exagération compte tenu du laisser-faire de l’autorité dans de très nombreux dossiers. Mais reconnaissons à Latombe une chose : c’est encore pire depuis quelques mois.

« Comment on fait la bascule »

Quoi qu’enorgueilli de son bilan en tant que relais politique du lobby de la vidéosurveillance, il y a un point sur lequel Philippe Latombe tient à faire son mea culpa : le retard pris dans le calendrier réglementaire dans le déploiement de la vidéosurveillance algorithmique (apparemment, 6 mois de retard sur le calendrier prévu). Les décrets d’application de la loi JO ne sont certes toujours pas parus, mais il en aurait vu passer certains à la CNIL et il assure que tout sera prêt pour septembre. Enfin, conformément au souhait exprimé dans son rapport, une proposition de loi devrait être déposée d’ici la fin d’année avec son collègue Philippe Gosselin (LR) pour donner corps à leurs recommandations. Bref, le député a toutes les raisons d’inviter l’industrie de la surveillance à l’optimisme :

« Sur tous ces sujets, je pense qu’il faut que vous soyez rassurés. L’ensemble des sujets commence à infuser partout. Et pas que simplement dans la sphère politique avec le Sénat et l’Assemblée. Je sens que les élus sur l’ensemble du territoire sont conscients des évolutions technologiques et qu’ils ne peuvent pas rester à l’écart. La vraie question ensuite est de [savoir] comment on fait la bascule. Je pense que la bascule elle se fera pas d’un coup d’un seul parce que si on l’impose par la loi d’un coup d’un seul, on aura des blocages et ça marchera pas. Il faut qu’on arrive à adapter les choses pour que nos concitoyens se rendent compte que ça les aide au quotidien. Et si on y arrive, et si les maires peuvent être là pour aider à pousser ce sujet-là, à ce moment on pourra faire avancer les choses. Mais on voit que c’est un sujet qui porte, on voit que c’est un sujet qui avance partout. Y’en a qui sont plus en avance que d’autres – par exemple les douanes sur les LAPI. Il faudra qu’on revoit la manière dont on peut élargir l’utilisation des drones malgré la réserve du Conseil constitutionnel [qui interdit leur usage par les polices municipales]. Il faut avancer petit bout par petit bout, ça se fera pas en un claquement de doigt, mais on va y arriver. Quant à l’Intelligence Artificielle, c’est une vraie révolution, et il faut que vous l’intégriez sur tous les domaines qui pourront être utilisés ».

Message reçu dans l’assistance. Le patron de l’AN2V est d’accord. Fier même : tout ce petit cirque a montré à ses ouailles qu’il faisait bien son boulot : « il faut apprécier chaque marche engagée, on voit beaucoup de choses avancer », insiste-t-il.

Au confessionnal de l’AN2V

Il est bientôt 21 heures. C’est le moment que l’AN2V a choisi pour nous surprendre. Après avoir remercié Latombe et l’avoir invité à s’asseoir à sa table, Dominique Legrand invite sur scène Alain Chouraqui, directeur de recherche émérite au CNRS et auteur du Vertige identitaire, un ouvrage paru en 2022 et sous-titré : « Tirer les leçons de l’expérience collective  : comment peut basculer une démocratie ? ». Là encore, il sera donc question de bascule.



Proche de la LICRA, Alain Chouraqui est aussi président de la Fondation du camp des Milles, la structure qui gère le mémorial de ce camp d’internement situé près de Aix en Provence créé en 1939 pour y détenir des étrangers et des résistants anti-fascistes et qui, a l’été 1942, a servi de camp de déportation des juifs présents en zone non-occupée. On s’interroge : que peut-il bien faire ici ? Dominique Legrand tente de résumer la démarche : « À l’AN2V, on est pas là pour vendre que des caméras comme le disent très souvent ceux qui ne nous aiment pas, on est là pour réfléchir et de temps en temps lever le nez du guidon ». C’est en tout cas l’image qu’il veut donner à travers les nuits de l’AN2V.

Chouraqui commence donc son exposé, parle du travail de mémoire auquel il participe. Le ton de l’orateur est solennel, l’écoute de l’auditoire plus respectueuse. Chouraqui explique notamment que, dans le cadre d’un projet de recherche comparatif, lui et ses collègues politistes et historiens ont proposé un modèle en trois étapes des dérives autoritaires, génocidaires et fascistes. La France en serait aujourd’hui à la deuxième étape. L’espace d’un instant, il a réussi à casser la bonne ambiance. Dans un sac en papier disposé sur chacune des tables, on trouve son livre. Je l’ouvre au hasard et tombe sur la page 71. J’y lis le paragraphe suivant :

« Les ‘‘progrès techniques’’ offrent aux passions humaines une puissance telle qu’il peut en perdre la maîtrise en des ‘‘embardées monstrueuses’’ dont la Shoah est le paradigme puisqu’elle doit son ‘‘efficacité’’ extrême aux outils techniques et bureaucratiques les plus modernes mis au service du pire. Il suffit de se demander ce que les nazis auraient pu faire avec des outils informatiques et des manipulations génétiques. »



Par politesse, Chouraqui ne livrera ce soir aucune analyse quant au core business des membres de l’AN2V, à savoir la vente d’engins de surveillance qui participent à armer le génocide culturel des Ouïghours en Chine, la colonisation de la Palestine, et tant d’autres atteintes aux droits humains à travers le monde. Mais ce silence un peu hypocrite n’efface pas tout à fait l’incongruité de sa présence à cette soirée. Après son discours, le dîner peut enfin commencer. J’embraye la discussion avec mon voisin de table, dont le métier est, sans surprise, de vendre des caméras de surveillance et les technologies connexes. Il a trouvé l’intervention « passionnante » :

« C’est bien qu’ils l’aient invité, m’explique-t-il. On est des acteurs dans le business et c’est bien de se poser la question de l’impact des techniques qu’on met en place. Est-ce qu’on participe au Big Brother, au Big Data ? Dans un contexte de crise climatique et des migrations qu’il provoque, est-ce que nos instruments ne vont pas participer à faire du tri, à faire des choix dans les individus ? »

Il le dit à sa manière, vaguement inspirée par ce qu’il a retenu du choc des civilisations. Mais on sent que ces questionnements sont sincères. Tout vendeur de vidéosurveillance, pour peu qu’il n’assume pas pleinement ses penchants autoritaires et soit prêt à s’interroger – ce qui n’est certainement pas le cas de chaque personne dans l’assistance ce soir –, doit bien avoir occasionnellement ce genre de cas de conscience. Il sait qu’il flirte non seulement avec l’illégal, mais aussi avec l’amoral, ayant plus ou moins conscience qu’il contribue chaque jour à construire le monde pété que devront habiter ses enfants.

Je reste perplexe face à cet apparent paradoxe : invoquant la caution morale d’un personnage comme Chouraqui, l’AN2V sensibilise ses membres à la dérive autoritaire du pays, ce alors qu’elle est régulièrement pointée du doigt pour sa promotion de la surveillance numérique de l’espace public urbain. Comment l’expliquer ? Outre l’évident capital symbolique engrangé par l’association via la présence de l’intellectuel (« on réfléchit, on lève le nez du guidon »), le spectacle auquel j’ai assisté ce soir invite à faire l’hypothèse suivante : cette séquence sur l’autoritarisme produit la même chose chez les acteurs de la vidéosurveillance (à commencer par Legrand lui-même) que ce que la stratégie des petits pas et des garde-fous inefficaces produit sur la population : une forme de désinhibition vis-à-vis du potentiel totalitaire de cette technologie. Car la leçon d’histoire offerte par Chouraqui aura probablement permis à tout ce petit monde de se rassurer en se disant qu’il reste dans le camp du « Bien », celui de la démocratie, et ainsi de se dissocier de l’image funeste que leur renvoient leurs adversaires « droits-de-l’hommistes » (« ceux qui ne nous aiment pas », comme le résume Legrand de manière presque touchante). Ils peuvent d’autant mieux le faire que ce soir, ni Chouraqui, ni moi, ni personne d’autre n’aura pris la peine d’expliciter le lien entre technologies de surveillance et pratiques autoritaires. Ce lien est dans toutes les têtes et pourtant, il reste à l’état de non-dit.

Au fond, les nuits de l’AN2V sont un peu comme un confessionnal où les acteurs de la Technopolice sont venus ressasser leurs péchés pour mieux laver leur mauvaise conscience, un moment étrange où l’aveu implicite permet d’entretenir le déni. Faute secrètement avouée, à moitié pardonnée. Après ce bref moment de catharsis et de contrition silencieuse, chacun pourra s’en retourner à sa routine consistant à maximiser les profits liés à l’expansion des marchés de la surveillance. Plutôt qu’un paradoxe, et n’en déplaise à Charouqui, le gargarisme de démocratie auquel j’ai assisté ce soir révélerait donc l’un des mécanismes par lesquels les régimes libéraux contemporains « basculent », à savoir la déculpabilisation des élites et la production d’une irresponsabilité collective par la mise en scène des valeurs démocratiques. Des représentants commerciaux aux donneurs d’ordre administratifs en passant par les parlementaires, les hauts-fonctionnaires ou les ministres, nombreux sont ceux qui, en participant à ces événements rituels, se font croire qu’ils croient encore en la démocratie. Peut-être même se convainquent-ils ainsi qu’ils peuvent faire ce qu’ils font, c’est-à-dire déployer des technologies toujours plus sophistiquées de contrôle social, tout en agissant en son nom. Tandis que l’extrême droite s’affirme de manière toujours plus décomplexée, ces processus grâce auxquels les élites libérales gèrent la dissonance cognitive induite par leur complicité objective avec la spirale autoritaire en cours forment l’un des rouages les plus efficaces du fascisme qui vient.

]]> https://www.laquadrature.net/?p=20847http://isyteck.com/autoblog/quadrature/index.php5?20230704_115307_Veesion__la_start-up_illegale_qui_surveille_les_supermarches__Tue, 04 Jul 2023 09:53:07 +0000Nous en parlions déjà il y a deux ans : au-delà de la surveillance de nos rues, la surveillance biométrique se déploie aussi dans nos supermarchés pour tenter de détecter les vols en rayons des magasins. À la tête de ce business, la start-up française Veesion dont tout le monde, même le gouvernement, s’accorde sur l’illégalité du logiciel mais qui continue à récolter des fonds et des clients en profitant de la détresse sociale

La surveillance biométrique de l’espace public ne cesse de s’accroître. Dernier exemple en date : la loi sur les Jeux Olympiques de 2024 qui vient légaliser officiellement la surveillance algorithmique dans l’espace public pour certains événements sportifs, récréatifs et culturels (on en parlait ici). En parallèle, des start-up cherchent à se faire de l’argent sur la surveillance d’autres espaces, notamment les supermarchés. L’idée est la suivante : utiliser des algorithmiques de surveillance biométrique sur les caméras déjà déployées pour détecter des vols dans les grandes surfaces et alerter directement les agents de sécurité.

L’une des entreprises les plus en vue sur le sujet, c’est Veesion, une start-up française dont on parlait déjà il y a deux ans (ici) et qui vient de faire l’objet d’un article de Streetpress. L’article vient rappeler ce que LQDN dénonce depuis plusieurs années : le logiciel déjà déployé dans des centaines de magasins est illégal, non seulement selon l’avis de la CNIL, mais aussi, selon nos informations, pour le gouvernement.

Le business illégal de la détresse sociale

Nous avions déjà souligné plusieurs aspects hautement problématiques de l’entreprise. En premier lieu, un billet publié par son créateur, soulignant que la crise économique créée par la pandémie allait provoquer une augmentation des vols, ce qui rendait nécessaire pour les magasins de s’équiper de son logiciel. Ce billet avait été retiré aussitôt notre premier article publié.

D’autres déclarations de Veesion continuent pourtant de soutenir cette idée. Ici, c’est pour rappeler que l’inflation des prix, en particulier sur les prix des aliments, alimenteraient le vol à l’étalage, ce qui rend encore une fois nécessaire l’achat de son logiciel de surveillance. Un business s’affichant donc sans gêne comme fondé sur la détresse sociale.

Au-delà du discours marketing sordide, le dispositif est clairement illégal. Il s’agit bien ici de données biométriques, c’est-à-dire de données personnelles relatives notamment à des caractéristiques « physiques ou « comportementales » (au sens de l’article 4, par. 14 du RGPD) traitées pour « identifier une personne physique de manière unique » (ici, repérer une personne en train de voler à cause de gestes « suspects » afin de l’appréhender individuellement, et pour cela analyser le comportement de l’ensemble des client·es d’un magasin).

Un tel traitement est par principe interdit par l’article 9 du RGPD, et légal seulement de manière exceptionnelle et sous conditions strictes. Aucune de ces conditions n’est applicable au dispositif de Veesion.

La Quadrature du Net n’est d’ailleurs pas la seule à souligner l’illégalité du système. La CNIL le redit clairement (à sa façon) dans l’article de Streetpress quand elle souligne que les caméras de Veesion « devraient être encadrées par un texte » . Or ce texte n’existe pas. Elle avait exprimé le même malaise au Monde il y a quelques mois, quand son directeur technique reconnaissait que cette technologie était dans un « flou juridique  » .

Veesion est d’ailleurs tout à fait au courant de cette illégalité. Cela ressort explicitement de sa réponse à une consultation de la CNIL obtenu par LQDN où Veesion s’alarme de l’interprétation du RGPD par la CNIL qui pourrait menacer « 500 emplois en France  » .

Plus surprenant, le gouvernement a lui aussi reconnu l’illégalité du dispositif. Selon nos informations, dans le cadre d’une réunion avec des professionnels du secteur, une personne représentant le ministère de l’Intérieur a explicitement reconnu que la vidéosurveillance algorithmique dans les supermarchés était interdite.

La Technopolice rapporte toujours autant d’argent

Tout cela ne semble pas gêner l’entreprise. Sur leur site , ils annoncent équiper plus de 2500 commerçants, dans 25 pays. Et selon les informations de Streetpress, les clients en France sont notamment Leclerc, Carrefour, G20, Système U, Biocoop, Kiabi ou encore la Fnac. Des enseignes régulièrement fréquentées donc par plusieurs milliers de personnes chaque jour.

Autre point : les financements affluent. En mars, la start-up a levé plus de 10 millions d’euros auprès de multiples fonds d’investissement. Sur le site Welcome to the Jungle, la start-up annonce plus de 100 salariés et plus de 5 millions de chiffre d’affaires.

La question que cela pose est la même que celle que nous rappelons sur ce type de sujets depuis 3 ans : que fait la CNIL ? Pourquoi n’a-t-elle pas fait la moindre communication explicite sur ce sujet ? Nous avions fait il y a deux ans une demande de documents administratifs à cette dernière, elle nous avait répondu qu’il s’agissait d’un dossier en cours d’analyse et qu’elle ne pouvait donc pas nous transmettre les documents demandés. Rien depuis.

Une telle inaction a des conséquences lourdes : outre la surveillance illégale imposée sur plusieurs milliers de personnes, la CNIL vient ici normaliser le non-respect du RGPD et faciliter la création d’une industrie de la Technopolice en laissant les investissements affluer.

Comment encore considérer la CNIL comme une autorité de « protection » de nos libertés quand la communication qui en émane sur ce sujet est qu’elle veut « fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe » ?

Surveillance illégale, détresse sociale, financement massif… Toutes les Technopolices se ressemblent, qu’elles soient en supermarché ou sur notre espace public. Mais pour une fois que tout le monde est d’accord sur l’illégalité d’une de ses représentantes, espérons que Veesion soit arrêtée au plus vite.

]]> https://www.laquadrature.net/?p=20750http://isyteck.com/autoblog/quadrature/index.php5?20230615_162018_Tribune________Attaches_aux_libertes_fondamentales_dans_l___espace_numerique__nous_defendons_le_droit_au_chiffrement_de_nos_communications____Thu, 15 Jun 2023 14:20:18 +0000Cette tribune a été rédigée suite à la publication de notre article sur la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre. Cette tribune a été signée par plus de 130 personnes et organisations et publiée hier sur le site du journal Le Monde. La liste complète des signataires est disponible ici.

Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

Rejet de l’amalgame entre protection des données et terrorisme

Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

Pour un numérique émancipateur, libre et décentralisé

De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

]]> https://www.laquadrature.net/?p=20640http://isyteck.com/autoblog/quadrature/index.php5?20230605_091225_Affaire_du_8_decembre____le_chiffrement_des_communications_assimile_a_un_comportement_terroristeMon, 05 Jun 2023 07:12:25 +0000

---

Cet article a été rédigé sur la base d’informations relatives à l’affaire dite du “8 décembre”¹Pour un résumé de l’affaire du 8 décembre voir notamment les témoignages disponibles dans cet article de la Revue Z, cet article de Lundi matin, les articles des comités de soutien suivants (ici ici et ici) et la page Wikipedia ici. dans laquelle 7 personnes ont été mises en examen pour « association de malfaiteurs terroristes » en décembre 2020. Leur procès est prévu pour octobre 2023. Ce sera le premier procès antiterroriste visant « l’ultragauche » depuis le fiasco de l’affaire Tarnac²L’affaire de Tarnac est un fiasco judiciaire de l’antiterrorisme français. Les inculpé·es ont tous et toutes été relaxé·es après dix années d’instruction. C’est la dernière affaire antiterroriste visant les mouvements de gauche en France..

L’accusation de terrorisme est rejetée avec force par les inculpé·es. Ces dernier·es dénoncent un procès politique, une instruction à charge et une absence de preuves. Ils et elles pointent en particulier des propos decontextualisés et l’utilisation à charge de faits anodins (pratiques sportives, numériques, lectures et musiques écoutées…)³Voir cette lettre ouverte au juge d’instruction, cette lettre de Libre Flot au moment de commencer sa grève de la faim, cette compilation de textes publiés en soutien aux inculpé·es ici, l’émission de Radio Pikez disponible ici et celle-ci de Radio Parleur, un article du Monde Diplomatique d’avril 2021 disponible ici et les articles publiés sur les sites des comités de soutien ici et ici.. De son côté la police reconnaît qu’à la fin de l’instruction – et dix mois de surveillance intensive – aucun « projet précis » n’a été identifié⁴Voir notamment cet article du monde..

L’État vient d’être condamné pour le maintien à l’isolement du principal inculpé pendant 16 mois et dont il n’a été libéré qu’après une grève de la faim de 37 jours. Une seconde plainte, en attente de jugement, a été déposée contre les fouilles à nu illégales et répétées qu’une inculpée a subies en détention provisoire⁵Sur les recours déposés par Camille et LibreFlot, voir le communiqué de presse ici. Sur la condamnation de l’État sur le maintien illégal à l’isolement de LibreFlot, voir l’article de Reporterre disponible ici et de Ouest-France disponible ici. Sur ses conditions de vie à l’isolement et sa grève de la faim, voir notamment cette compilation d’écrits de LibreFlot et le témoignage joint au communiqué de presse évoqué ci-avant..

De nombreuses personnalités, médias et collectifs leur ont apporté leur soutien⁶Voir la tribune de soutien signée plusieurs collectifs et intellectuelles féministes ici, la tribune de soutien du collectif des combattantes et combattants francophones du Rojava ici et la tribune de soutien signée par plusieurs médias et personnalités disponible ici..

C’est dans ce contexte que nous avons été alerté du fait que, parmi les faits reprochés (pour un aperçu global de l’affaire, voir les références en notes de bas de page⁷Pour un résumé de l’affaire du 8 décembre voir notamment les témoignages disponibles dans cet article de la Revue Z, cet article de Lundi matin, les articles des comités de soutien suivants (ici ici et ici) et la page Wikipedia ici.), les pratiques numériques des inculpé·es, au premier rang desquelles l’utilisation de messageries chiffrées grand public, sont instrumentalisées comme autant de « preuves » d’une soi-disant « clandestinité » qui ne peut s’expliquer que par l’existence d’un projet terroriste.

Nous avons choisi de le dénoncer.

---

« Tous les membres contactés adoptaient un comportement clandestin, avec une sécurité accrue des moyens de communications (applications cryptées, système d’exploitation Tails, protocole TOR permettant de naviguer de manière anonyme sur internet et wifi public). »

DGSI

« L’ensemble des membres de ce groupe se montraient particulièrement méfiants, ne communiquaient entre eux que par des applications cryptées, en particulier Signal, et procédaient au cryptage de leurs supports informatiques […]. »

Juge d’instruction

Ces deux phrases sont emblématiques de l’attaque menée contre les combats historiques de La Quadrature du Net dans l’affaire du 8 décembre que sont le droit au chiffrement⁸Pour rappel, aujourd’hui le chiffrement est partout. Sur Internet, il est utilisé de manière transparente pour assurer la confidentialité de nos données médicales, coordonnées bancaires et du contenu des pages que nous consultons. Il protège par ailleurs une part croissante de nos communications à travers l’essor des messageries chiffrées comme WhatsApp ou Signal et équipe la quasi-totalité des ordinateurs et téléphones portables vendus aujourd’hui pour nous protéger en cas de perte ou de vol. des communications⁹Le droit au chiffrement des communications, et en particulier le chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés » dont l’objectif est de « résister à toute tentative de surveillance ou de falsification », est régulièrement attaqué par les États au motif qu’il favoriserait la radicalisation politique et constituerait un obstacle majeur à la lutte contre le terrorisme. Récemment, on peut citer un article de Nextinpact décrivant l’appel en avril dernier des services de polices internationaux à Meta (Facebook) pour que Messenger n’intègre pas le chiffrement de bout-en-bout et disponible ici, le projet de loi américain EARN IT, les discussions européennes autour du CSAR ou britannique « Online Safety Bill », deux projets qui, par nature, représentent la fin du chiffrement de bout en bout en forçant les fournisseurs de messageries chiffrées à accéder à tout échange pour les vérifier. Une tribune a été publiée le 4 mai dernier, journée de la liberté de la presse, par une quarantaine d’organisations dénonçant ces différents projets. En 2016 et 2017, de nombreuses voix ont réagi aux velléités françaises et allemandes de limiter le chiffrement de bout en bout. À ce sujet, voir notamment cet article de La Quadrature, mais aussi les réponses de l’Agence européenne pour la cybersécurité, de la CNIL et du Conseil National du Numérique ou encore de l’Agence national pour la sécurité des systèmes d’information ici., la lutte contre l’exploitation des données personnelles par les GAFAM¹⁰Google, Amazon, Facebook, Apple, Microsoft., le droit à l’intimité et la vie privée ainsi que la diffusion et l’appropriation des connaissances en informatique¹¹Parmi les dernières actions de La Quadrature pour le droit au chiffrement et le respect de la vie privée sur Internet, voir notamment notre intervention au Conseil constitutionel contre l’obligation de donner ses codes de déchiffrement en 2018 ici, contre le réglement de censure terroriste adopté en 2021 ici, nos prises de positions suite aux attaques étatiques contre le chiffrement de bout-en-bout en 2016/2017 (ici, ici et ici), ou encore notre plainte collective contre les GAFAM déposée en 2018. Voir aussi nos prises de positions lors du projet de loi Terrorisme en 2014 ici et la loi renseignement en 2015 ici..

Mêlant fantasmes, mauvaise foi et incompétence technique, les éléments qui nous ont été communiqués révèlent qu’un récit policier est construit autour des (bonnes) pratiques numériques des inculpé·es à des fins de mise en scène d’un « groupuscule clandestin » et « conspiratif ».

Voici quelques-unes des habitudes numériques qui sont, dans cette affaire, instrumentalisées comme autant de « preuves » de l’existence d’un projet criminel¹²La criminalisation des pratiques numériques est discutée dans cet article de CQFD par Camille, une inculpée du 8 décembre.:

– l’utilisation d’applications comme Signal, WhatsApp, Wire, Silence ou ProtonMail pour chiffrer ses communications ;

– le recours à des outils permettant de protéger sa vie privée sur Internet comme un VPN, Tor ou Tails ;

– le fait de se protéger contre l’exploitation de nos données personnelles par les GAFAM via des services comme /e/OS, LineageOS, F-Droid ;

– le chiffrement de supports numériques ;

– l’organisation et la participation à des sessions de formation à l’hygiène numérique ;

– la simple détention de documentation technique.

Alors que le numérique a démultiplié les capacités de surveillance étatiques¹³La surveillance généralisée via les outils numériques a notamment été révélée par Snowden en 2013). Concernant les enquêtes policières, le discours selon lequel le chiffrement serait un obstacle à leur avancée est pour le moins incomplet. La généralisation du recours au chiffrement ne peut être analysée qu’en prenant en compte le cadre historique de la numérisation de nos sociétés. Cette numérisation s’est accompagnée d’une accumulation phénoménale de données sur chacun·e, et dans une large partie accessibles à la police. Ainsi, le chiffrement ne fait que rétablir un équilibre dans la défense du droit à la vie privée à l’ère numérique. Dans une étude commanditée par le ministère néerlandais de la justice et de la sécurité publiée en 2023 et disponible ici, des policiers expliquent clairement ce point : « Nous avions l’habitude de chercher une aiguille dans une botte de foin et maintenant nous avons une botte de foin d’aiguilles. En d’autres termes, on cherchait des preuves pour une infraction pénale dans le cadre d’une affaire et, aujourd’hui, la police dispose d’un très grand nombre de preuves pour des infractions pénales pour lesquelles des affaires n’ont pas encore été recherchées ». D’autre part, d’autres techniques peuvent être utilisées pour contourner le chiffrement comme l’expliquait l’Observatoire des libertés et du Numérique en 2017 ici et la magistrate Laurence Blisson dans l’article « Petits vices et grandes vertus du chiffrement » publié dans la revue Délibérée en 2019 et disponible ici., nous dénonçons le fait que les technologies qui permettent à chacun·e de rétablir un équilibre politique plus que jamais fragilisé soient associées à un comportement criminel à des fins de scénarisation policière.

Le chiffrement des communications assimilé à un signe de clandestinité

Loin d’être un aspect secondaire de l’affaire, le lien supposé entre pratiques numériques et terrorisme apparaît dans la note de renseignements à l’origine de toute cette affaire.

Dans ce document, par lequel la DGSI demande l’ouverture d’une enquête préliminaire, on peut lire : « Tous les membres contactés adoptaient un comportement clandestin, avec une sécurité accrue des moyens de communications (applications cryptées, système d’exploitation Tails, protocole TOR permettant de naviguer de manière anonyme sur internet et wifi public). »

Cette phrase apparaîtra des dizaines de fois dans le dossier. Écrite par la DGSI, elle sera reprise sans aucun recul par les magistrat·es, au premier titre desquels le juge d’instruction mais aussi les magistrat·es de la chambre de l’instruction et les juges des libertés et de la détention.

Durant la phase d’enquête, l’amalgame entre chiffrement et clandestinité est mobilisé pour justifier le déploiement de moyens de surveillance hautement intrusifs comme la sonorisation de lieux privés. La DGSI les juge nécessaires pour surveiller des « individus méfiants à l’égard du téléphone » qui « utilisent des applications cryptées pour communiquer ».

Après leurs arrestations, les mis·es en examen sont systématiquement questionné·es sur leur utilisation des outils de chiffrement et sommé·es de se justifier : « Utilisez-vous des messageries cryptées (WhatsApp, Signal, Telegram, ProtonMail) ? », « Pour vos données personnelles, utilisez-vous un système de chiffrement ? », « Pourquoi utilisez-vous ce genre d’applications de cryptage et d’anonymisation sur internet ? ». Le lien supposé entre chiffrement et criminalité est clair: « Avez-vous fait des choses illicites par le passé qui nécessitaient d’utiliser ces chiffrements et protections ? », « Cherchez-vous à dissimuler vos activités ou avoir une meilleure sécurité ? ». Au total, on dénombre plus de 150 questions liées aux pratiques numériques.

Et preuve de l’existence d’« actions conspiratives »

À la fin de l’instruction, l’association entre chiffrement et clandestinité est reprise dans les deux principaux documents la clôturant : le réquisitoire du Parquet national antiterroriste (PNAT) et l’ordonnance de renvoi écrite par le juge d’instruction.

Le PNAT consacrera un chapitre entier aux « moyens sécurisés de communication et de navigation » au sein d’une partie intitulée… « Les actions conspiratives ». Sur plus de quatre pages le PNAT fait le bilan des « preuves » de l’utilisation par les inculpé·es de messageries chiffrées et autres mesures de protection de la vie privée. L’application Signal est particulièrement visée.

Citons simplement cette phrase : « Les protagonistes du dossier se caractérisaient tous par leur culte du secret et l’obsession d’une discrétion tant dans leurs échanges, que dans leurs navigations sur internet. L’application cryptée signal était utilisée par l’ensemble des mis en examen, dont certains communiquaient exclusivement [surligné dans le texte] par ce biais. ».

Le juge d’instruction suivra sans sourciller en se livrant à un inventaire exhaustif des outils de chiffrement qu’ont « reconnu » – il utilisera abondamment le champ lexical de l’aveu – utiliser chaque mis·e en examen : « Il reconnaissait devant les enquêteurs utiliser l’application Signal », « X ne contestait pas utiliser l’application cryptée Signal », « Il reconnaissait aussi utiliser les applications Tails et Tor », « Il utilisait le réseau Tor […] permettant d’accéder à des sites illicites ».

Criminalisation des connaissances en informatique

Au-delà du chiffrement des communications, ce sont aussi les connaissances en informatique qui sont incriminées dans cette affaire : elles sont systématiquement assimilées à un facteur de « dangerosité ».

La note de la DGSI, évoquée ci-dessus, précise ainsi que parmi les « profils » des membres du groupe disposant des « compétences nécessaires à la conduite d’actions violentes » se trouve une personne qui posséderait de « solides compétences en informatique et en communications cryptées ». Cette personne et ses proches seront, après son arrestation, longuement interrogé·es à ce sujet.

Alors que ses connaissances s’avéreront finalement éloignées de ce qu’avançait la DGSI – elle n’est ni informaticienne ni versé·e dans l’art de la cryptographie – le juge d’instruction n’hésitera pas à inscrire que cette personne a « installé le système d’exploitation Linux sur ses ordinateurs avec un système de chiffrement ». Soit un simple clic sur « oui » quand cette question lui a été posée lors de l’installation.

La simple détention de documentation informatique est elle aussi retenue comme un élément à charge. Parmi les documents saisis suite aux arrestations, et longuement commentés, se trouvent des notes manuscrites relatives à l’installation d’un système d’exploitation grand public pour mobile dégooglisé (/e/OS) et mentionnant diverses applications de protection de la vie privée (GrapheneOS, LineageOS, Signal, Silence, Jitsi, OnionShare, F-Droid, Tor, RiseupVPN, Orbot, uBlock Origin…).

Dans le procès-verbal où ces documents sont analysés, un·e agent·e de la DGSI écrit que « ces éléments confirment [une] volonté de vivre dans la clandestinité. ». Le PNAT suivra avec la formule suivante : « Ces écrits constituaient un véritable guide permettant d’utiliser son téléphone de manière anonyme, confirmant la volonté de X de s’inscrire dans la clandestinité, de dissimuler ses activités […]. ».

Ailleurs, la DGSI écrira que « […] la présence de documents liés au cryptage des données informatiques ou mobiles [dans un scellé] » matérialisent « une volonté de communiquer par des moyens clandestins. ».

Et de leur transmission

L’incrimination des compétences informatiques se double d’une attaque sur la transmission de ces dernières. Une partie entière du réquisitoire du PNAT, intitulée « La formation aux moyens de communication et de navigation sécurisée », s’attache à criminaliser les formations à l’hygiène numérique, aussi appelées « Chiffrofêtes » ou « Cryptoparties ».

Ces pratiques collectives et répandues – que La Quadrature a souvent organisées ou relayées – contribuent à la diffusion des connaissances sur les enjeux de vie privée, de sécurisation des données personnelles, des logiciels libres et servent à la réappropriation de savoirs informatiques par toutes et tous.

Qu’est-il donc reproché à ce sujet dans cette affaire ? Un atelier de présentation de l’outil Tails, système d’exploitation grand public prisé des journalistes et des défenseurs·ses des libertés publiques. Pour le PNAT c’est lors de cette formation que « X les a dotés de logiciels sécurisés et les a initiés à l’utilisation de moyens de communication et de navigation internet cryptés, afin de leur garantir l’anonymat et l’impunité ». Le lien fait entre droit à la vie privée et impunité, corollaire du fantasme policier d’une transparence totale des citoyen·nes, a le mérite d’être clair.

Le PNAT ajoutera: « X ne se contentait pas d’utiliser ces applications [de protection de la vie privée], il apprenait à ses proches à le faire ». Phrase qui sera reprise, mot pour mot, par le juge d’instruction.

Pire, ce dernier ira jusqu’à retenir cette formation comme un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme », tant pour la personne l’ayant organisé – « en les formant aux moyens de communication et de navigation internet sécurisés » – que pour celles et ceux l’ayant suivi – « en suivant des formations de communication et de navigation internet sécurisés ».

De son côté, la DGSI demandera systématiquement aux proches des mis·es en examen si ces dernier·es leur avaient recommandé l’utilisation d’outils de chiffrement : « Vous ont-ils suggéré de communiquer ensemble par messageries cryptées ? », « C’est lui qui vous a demandé de procéder à l’installation de SIGNAL ? ».

Une réponse inspirera particulièrement le PNAT qui écrira : « Il avait convaincu sa mère d’utiliser des modes de communication non interceptables comme l’application Signal. »

« Êtes-vous anti-GAFA? »

Même la relation à la technologie et en particulier aux GAFAM – contre lesquels nous sommes mobilisés depuis de nombreuses années – est considérée comme un signe de radicalisation. Parmi les questions posées aux mis·es en examen, on peut lire : « Etes-vous anti GAFA ? », « Que pensez-vous des GAFA ? » ou encore « Eprouvez-vous une certaine réserve vis-à-vis des technologies de communication ? ».

Ces questions sont à rapprocher d’une note de la DGSI intitulée « La mouvance ultra gauche » selon laquelle ses « membres » feraient preuve « d’une grand culture du secret […] et une certaine réserve vis-à-vis de la technologie ».

C’est à ce titre que le système d’exploitation pour mobile dégooglisé et grand public /e/OS retient particulièrement l’attention de la DGSI. Un SMS intercepté le mentionnant sera longuement commenté. Le PNAT indiquera à son sujet qu’un·e inculpé·e s’est renseigné·e à propos d’un « nouveau système d’exploitation nommé /e/ […] garantissant à ses utilisateurs une intimité et une confidentialité totale ».

En plus d’être malhonnête – ne pas avoir de services Google n’implique en rien une soi-disante « confidentialité totale » – ce type d’information surprend dans une enquête antiterroriste.

Une instrumentalisation signe d’incompétence technique ?

Comment est-il possible qu’un tel discours ait pu trouver sa place dans un dossier antiterroriste ? Et ce sans qu’aucun des magistrat·es impliqué·es, en premier lieu le juge d’instruction et les juges des libertés et de la détention, ne rappelle que ces pratiques sont parfaitement légales et nécessaires à l’exercice de nos droits fondamentaux ? Les différentes approximations et erreurs dans les analyses techniques laissent penser que le manque de compétences en informatique a sûrement facilité l’adhésion générale à ce récit.

À commencer par celles de la DGSI elle-même, dont les rapports des deux centres d’analyses techniques se contredisent sur… le modèle du téléphone personnel du principal inculpé.

Quant aux notions relatives au fonctionnement de Tor et Tails, bien qu’au centre des accusations de « clandestinité », elles semblent bien vagues.

Un·e agent·e de la DGSI écrira par exemple, semblant confondre les deux : « Thor [sic] permet de se connecter à Internet et d’utiliser des outils réputés de chiffrement de communications et des données. Toutes les données sont stockées dans la mémoire RAM de l’ordinateur et sont donc supprimées à l’extinction de la machine ». Ne serait-ce pas plutôt à Tails que cette personne fait allusion?

Quant au juge d’instruction, il citera des procès verbaux de scellés relatifs à des clés Tails, qui ne fonctionnent pas sur mobile, comme autant de preuves de connaissances relatives à des « techniques complexes pour reconfigurer son téléphone afin de le rendre anonyme ». Il ajoutera par ailleurs, tout comme le PNAT, que Tor permet de « naviguer anonymement sur internet grâce au wifi public » – comme s’il pensait qu’un wifi public était nécessaire à son utilisation.

La DGSI, quant à elle, demandera en garde à vue les « identifiants et mots de passe pour Tor » – qui n’existent pas – et écrira que l’application « Orbot », ou « Orboot » pour le PNAT, serait « un serveur ‘proxy’ TOR qui permet d’anonymiser la connexion à ce réseau ». Ce qui n’a pas de sens. Si Orbot permet bien de rediriger le trafic d’un téléphone via Tor, il ne masque en rien l’utilisation faite de Tor¹⁴La connexion à Tor peut être masquée via l’utilisation de pont. Voir ici..

Les renseignements intérieurs confondent aussi Tails avec le logiciel installé sur ce système pour chiffrer les disques durs – appelé LUKS – lorsqu’elle demande: « Utilisez vous le système de cryptage “Tails” ou “Luks” pour vos supports numériques ? ». S’il est vrai que Tails utilise LUKS pour chiffrer les disques durs, Tails est un système d’exploitation – tout comme Ubuntu ou Windows – et non un « système de cryptage ». Mentionnons au passage les nombreuses questions portant sur « les logiciels cryptés (Tor, Tails) ». Si Tor et Tails ont bien recours à des méthodes chiffrement, parler de « logiciel crypté » dans ce contexte n’a pas de sens.

Notons aussi l’utilisation systématique du terme « cryptage », au lieu de « chiffrement ». Si cet abus de langage – tel que qualifié par la DGSI sur son site – est commun, il trahit l’amateurisme ayant conduit à criminaliser les principes fondamentaux de la protection des données personnelles dans cette affaire.

Que dire enfin des remarques récurrentes du juge d’instruction et du PNAT quant au fait que les inculpé·es chiffrent leurs supports numériques et utilisent la messagerie Signal ?

Savent-ils que la quasi-totalité des ordinateurs et téléphones vendus aujourd’hui sont chiffrés par défaut¹⁵Pour le chiffrement sur Windows, voir la page Wikipedia de Bitlocker et la documentation de Microsoft. Pour le chiffrement sur Android, voir la documentation officielle et l’article de Wire ici. Pour Apple, voir leur documentation ici.? Les leurs aussi donc – sans quoi cela constituerait d’ailleurs une violation du règlement européen sur la protection des données personnelles¹⁶Voir le guide pratique du RGPD publié par la CNIL et disponible ici. Il y est écrit : « Le règlement général sur la protection des données (RGPD) précise que la protection des données personnelles nécessite de prendre les “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués (article 32 du RGPD) »..

Quant à Signal, accuseraient-ils de clandestinité la Commission Européenne qui a, en 2020, recommandé son utilisation à son personnel¹⁷Voir l’article de Politico disponible ici.? Et rangeraient-ils du côté des terroristes le rapporteur des nations Unies qui rappelait en 2015 l’importance du chiffrement pour les droits fondamentaux¹⁸Voir le rapport du rapporteur des Nations Unies, David Kaye, sur la protection de la liberté d’expression et d’opinion et disponible ici. Voir aussi les prises de position de l’Agence national pour la sécurité des systèmes d’information ici, de la Commission nationale de l’informatique et des libertés, et du Conseil National du Numérique ici ou de l’Agence européenne pour la cybersécurité ici, et le document de l’Observatoire des libertés et du numérique signé notamment par la Ligue des droits de l’Homme, le Syndicat de la magistrature, Amnesty International et le Syndicat des avocats de France ici. ? Voire l’ANSSI et la CNIL qui, en plus de recommander le chiffrement des supports numériques osent même… mettre en ligne de la documentation technique pour le faire¹⁹Voir le guide de l’hygiène numérique de l’ANSSI préconisant le chiffrement de ses disques durs et disponible ici. Voir aussi la page chiffrement de la CNIL ici et son guide de chiffrement des données ici. ?

En somme, nous ne pouvons que les inviter à se rendre, plutôt que de les criminaliser, aux fameuses « Chiffrofêtes » où les bases des bonnes pratiques numériques leur seront expliquées.

Ou nécessité d’un récit policier ?

Si un tel niveau d’incompétence technique peut permettre de comprendre comment a pu se développer un fantasme autour des pratiques numériques des personnes inculpé·es, cela ne peut expliquer pourquoi elles forment le socle du récit de « clandestinité » de la DGSI.

Or, dès le début de l’enquête, la DGSI détient une quantité d’informations considérables sur les futur·es mis·es en examen. À l’ère numérique, elle réquisitionne les données détenues par les administrations (Caf, Pôle Emploi, Ursaff, Assurance-Maladie…), consulte les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ) et analyse les relevés téléphoniques (fadettes). Des réquisitions sont envoyées à de nombreuses entreprises (Blablacar, Air France, Paypal, Western Union…) et le détail des comptes bancaires est minutieusement analysé²⁰Mentionnons les données détenues par les administrations (Assurance maladie, Pôle emploi, les Caisses d’allocations familiales, les URSSAF, les impôts), les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ), les relevés téléphoniques (fadettes). Les réquisitions effectuées par la DGSI auprès des administrations et des entreprises varient selon les inculpé·es. De manière générale, sont contactés Pôle Emploi, la CAF, l’Assurance Maladie, les banques et les opérateurs de téléphonie..

À ceci s’ajoutent les informations recueillies via les mesures de surveillances ayant été autorisées – comptant parmi les plus intrusives que le droit permette tel la sonorisation de lieux privés, les écoutes téléphoniques, la géolocalisation en temps réel via des balises gps ou le suivi des téléphones, les IMSI catcher – et bien sûr les nombreuses filatures dont font l’objet les « cibles ».

Mais, alors que la moindre interception téléphonique évoquant l’utilisation de Signal, WhatsApp, Silence ou Protonmail fait l’objet d’un procès-verbal – assorti d’un commentaire venant signifier la « volonté de dissimulation » ou les « précautions » témoignant d’un « comportement méfiant » – comment expliquer que la DGSI ne trouve rien de plus sérieux permettant de valider sa thèse parmi la mine d’informations qu’elle détient ?

La DGSI se heurterait-elle aux limites de son amalgame entre pratiques numériques et clandestinité ? Car, de fait, les inculpé·es ont une vie sociale, sont déclarées auprès des administrations sociales, ont des comptes bancaires, une famille, des ami·es, prennent l’avion en leur nom, certain·es travaillent, ont des relations amoureuses…

En somme, les inculpé·es ont une vie « normale » et utilisent Signal. Tout comme les plus de deux milliards d’utilisateurs et utilisatrices de messageries chiffrées dans le monde²¹En 2020, WhatsApp annonçait compter plus de deux milliards d’utilisateurs et utilisatrices. À ceci s’ajoutent celles et ceux d’autres applications de messageries chiffrées comme Signal, Silence, Wire… Voir cet article du Monde.. Et les membres de la Commission européenne…

Chiffrement et alibi policier

La mise en avant du chiffrement offre un dernier avantage de choix au récit policier. Elle sert d’alibi pour expliquer l’absence de preuves quant à l’existence d’un soi-disant projet terroriste. Le récit policier devient alors : ces preuves existent, mais elles ne peuvent pas être déchiffrées.

Ainsi le juge d’instruction écrira que si les écoutes téléphoniques n’ont fourni que « quelques renseignements utiles », ceci s’explique par « l’usage minimaliste de ces lignes » au profit d’« applications cryptées, en particulier Signal ». Ce faisant, il ignore au passage que les analyses des lignes téléphoniques des personnes inculpées indiquent une utilisation intensive de SMS et d’appels classiques pour la quasi-totalité d’entre elles.

Ce discours est aussi appliqué à l’analyse des scellés numériques dont l’exploitation n’amène pas les preuves tant espérées. Suite aux perquisitions, la DGSI a pourtant accès à tout ou partie de six des sept téléphones personnels des inculp·ées, à cinq comptes Signal, à la majorité des supports numériques saisis ainsi qu’aux comptes mails et réseaux sociaux de quatre des mis·es en examen. Soit en tout et pour tout des centaines de gigaoctets de données personnelles, de conversations, de documents. Des vies entières mises à nu, des intimités violées pour être offertes aux agent·es des services de renseignements.

Mais rien n’y fait. Les magistrat·es s’attacheront à expliquer que le fait que trois inculpé·es refusent de fournir leurs codes de déchiffrement – dont deux ont malgré tout vu leurs téléphones personnels exploités grâce à des techniques avancées – entrave « le déroulement des investigations » et empêche « de caractériser certains faits ». Le PNAT ira jusqu’à regretter que le refus de communiquer les codes de déchiffrement empêche l’exploitation… d’un téléphone cassé et d’un téléphone non chiffré. Après avoir tant dénoncé le complotisme et la « paranoïa » des inculpé·es, ce type de raisonnement laisse perplexe²²Cette affaire ne fait par ailleurs que confirmer notre opposition, portée devant le Conseil constitutionel en 2018, à l’obligation de fournir ses codes de déchiffrement et dont nous rappellions récemment l’utilisation massive pour les personnes placées en gardes à vue. En plus d’être particulièrement attentatoire à la vie privée et au droit de ne pas s’auto-incriminer, cette obligation a, dans cette affaire, été utilisée comme un moyen de pression au maintien des mesures de détention provisoire et même mise en avant pour justifier le refus d’accès au dossier d’instruction à un·e des inculpé·es. A ce sujet voir notre article revenant sur l’utilisation de cette mesure lors des gardes à vue ici et notre article présentant la question prioritaire de ponstitutionalité posée par La Quadrature à ce sujet en 2018..

Antiterrorisme, chiffrement et justice préventive

Il n’est pas possible de comprendre l’importance donnée à l’association de pratiques numériques à une soi-disant clandestinité sans prendre en compte le basculement de la lutte antiterroriste « d’une logique répressive à des fins préventives »²³Pauline Le Monnier de Gouville, « De la répression à la prévention. Réflexion sur la politique criminelle antiterroriste », Les cahiers de la Justice, 2017. Disponible ici. dont le délit « d’association de malfaiteurs terroristes en vue de » (AMT) est emblématique²⁴Voir l’article de la magistrate Laurence Buisson « Risques et périls de l’association de malfaiteurs terroriste » publié en 2017 dans la revue Délibérée et disponible ici.. Les professeur·es Julie Alix et Oliver Cahn²⁵Julie Alix et Olivier Cahn, « Mutations de l’antiterrorisme et émergence d’un droit répressif de la sécurité nationale », Revue de science criminelle et de droit pénal comparé, 2017. Disponible ici. évoquent une « métamorphose du système répressif » d’un droit dont l’objectif est devenu de « faire face, non plus à une criminalité, mais à une menace ».

Ce glissement vers une justice préventive « renforce l’importance des éléments recueillis par les services de renseignements »²⁶Pauline Le Monnier de Gouville, « De la répression à la prévention. Réflexion sur la politique criminelle antiterroriste », Les cahiers de la Justice, 2017. Disponible ici. qui se retrouvent peu à peu libres de définir qui représente une menace « selon leurs propres critères de la dangerosité »²⁷Julie Alix et Olivier Cahn, « Mutations de l’antiterrorisme et émergence d’un droit répressif de la sécurité nationale », Revue de science criminelle et de droit pénal comparé, 2017. Disponible ici..

Remplacer la preuve par le soupçon, c’est donc substituer le récit policier aux faits. Et ouvrir la voie à la criminalisation d’un nombre toujours plus grands de comportements « ineptes, innocents en eux-mêmes »²⁸Intervention devant le Conseil constitutionnel sur le délit d’« Entreprise individuelle terroriste » en 2017. Une rediffusion est disponible ici. pour reprendre les mots de François Sureau. Ce que critiquait déjà, en 1999, la Fédération internationale des droits humains qui écrivait que « n’importe quel type de “preuve”, même insignifiante, se voit accorder une certaine importance »²⁹Fédération Internationale des Droits Humains, Rapport « La porte ouverte à l’arbitraire », 1999. Voir aussi le rapport de Human Rights Watch de 2008 intitulé « La justice court-circuitée. Les lois et procédure antiterroristes en France » et disponible ici. Voir aussi l’entretien dans Lundi matin avec une personne revenant du Rojava, citée ici, revenant sur la criminalisation de la parole..

Et c’est exactement ce qu’il se passe ici. Des habitudes numériques répandues et anodines sont utilisées à charge dans le seul but de créer une atmosphère complotiste supposée trahir des intentions criminelles, aussi mystérieuses soient-elles. Atmosphère dont tout laisse à penser qu’elle est, justement, d’autant plus nécessaire au récit policier que les contours des intentions sont inconnus.

À ce titre, il est particulièrement frappant de constater que, si la clandestinité est ici caractérisée par le fait que les inculpé·es feraient une utilisation « avancée » des outils technologiques, elle était, dans l’affaire Tarnac, caractérisée par le fait… de ne posséder aucun téléphone portable³⁰Voir le rapport de la DCPJ du 15 novembre 2008 et disponible ici et les chapitres « Benjamin R. » et « Mathieu B. », pages 109 et 143 du livre Tarnac, Magasin Général de David Dufresne (édition de poche).. Pile je gagne, face tu perds³¹Voir notamment l’archive du site des comités de soutien aux inculpé·es de Tarnac ici, une tribune de soutien publiée en 2008 ici et cette interview de Julien Coupat. Voir aussi le livre de David Dufresne Tarnac, Magasin Général..

Toutes et tous terroristes

À l’heure de conclure cet article, l’humeur est bien noire. Comment ne pas être indigné·e par la manière dont sont instrumentalisées les pratiques numériques des inculpé·es dans cette affaire ?

Face au fantasme d’un État exigeant de toute personne une transparence totale au risque de se voir désignée comme « suspecte », nous réaffirmons le droit à la vie privée, à l’intimité et à la protection de nos données personnelles. Le chiffrement est, et restera, un élément essentiel pour nos libertés publiques à l’ère numérique.

Soyons clair: cette affaire est un test pour le ministère de l’intérieur. Quoi de plus pratique que de pouvoir justifier la surveillance et la répression de militant·es parce qu’ils et elles utilisent WhatsApp ou Signal?

Auditionné par le Sénat suite à la répression de Sainte-Soline, Gérald Darmanin implorait ainsi le législateur de changer la loi afin qu’il soit possible de hacker les portables des manifestant·es qui utilisent « Signal, WhatsApp, Telegram » en des termes sans équivoque: « Donnez-nous pour la violence des extrêmes les mêmes moyens que le terrorisme ».

Pour se justifier, il avançait qu’il existe « une paranoia avancée très forte dans les milieux d’ultragauche […] qui utilisent des messageries cryptées » ce qui s’expliquerait par une « culture du clandestin ». Un véritable copier-coller de l’argumentaire policier développé dans l’affaire du 8 décembre. Affaire qu’il citera par ailleurs – au mépris de toute présomption d’innocence – comme l’exemple d’un « attentat déjoué » de « l’ultragauche »³²Son audition est disponible ici. Voir à partir de 10:53:50 et 10:55:20 pour les moyens de l’antiterrorisme et à 10:20:19 pour la référence à l’affaire du 8 décembre. Voir aussi sur BFM ici Gérald Darmanin utiliser l’affaire du 8 décembre pour dénoncer la « menace d’ultragauche ». pour appuyer son discours visant à criminaliser les militant·es écologistes.

Voici comment la criminalisation des pratiques numériques s’inscrit dans la stratégie gouvernementale de répression de toute contestation sociale. Défendre le droit au chiffrement, c’est donc s’opposer aux dérives autoritaires d’un pouvoir cherchant à étendre, sans fin, les prérogatives de la lutte « antiterroriste » via la désignation d’un nombre toujours plus grand d’ennemis intérieurs³³Voir notamment les livres L’ennemi intérieur. La généalogie coloniale et militaire de l’ordre sécuritaire dans la France contemporaine de Mathieu Rigouste et Répression. L’État face aux contestations politiques de Vanessa Codaccioni..

Après la répression des personnes musulmanes, des « écoterroristes », des « terroristes intellectuels », voici venu la figure des terroristes armé·es de messageries chiffrées. Devant une telle situation, la seule question qui reste semble être : « Et toi, quel·le terroriste es-tu ? ».

References[+]

References

↑1, ↑7	Pour un résumé de l’affaire du 8 décembre voir notamment les témoignages disponibles dans cet article de la Revue Z, cet article de Lundi matin, les articles des comités de soutien suivants (ici ici et ici) et la page Wikipedia ici.
↑2	L’affaire de Tarnac est un fiasco judiciaire de l’antiterrorisme français. Les inculpé·es ont tous et toutes été relaxé·es après dix années d’instruction. C’est la dernière affaire antiterroriste visant les mouvements de gauche en France.
↑3	Voir cette lettre ouverte au juge d’instruction, cette lettre de Libre Flot au moment de commencer sa grève de la faim, cette compilation de textes publiés en soutien aux inculpé·es ici, l’émission de Radio Pikez disponible ici et celle-ci de Radio Parleur, un article du Monde Diplomatique d’avril 2021 disponible ici et les articles publiés sur les sites des comités de soutien ici et ici.
↑4	Voir notamment cet article du monde.
↑5	Sur les recours déposés par Camille et LibreFlot, voir le communiqué de presse ici. Sur la condamnation de l’État sur le maintien illégal à l’isolement de LibreFlot, voir l’article de Reporterre disponible ici et de Ouest-France disponible ici. Sur ses conditions de vie à l’isolement et sa grève de la faim, voir notamment cette compilation d’écrits de LibreFlot et le témoignage joint au communiqué de presse évoqué ci-avant.
↑6	Voir la tribune de soutien signée plusieurs collectifs et intellectuelles féministes ici, la tribune de soutien du collectif des combattantes et combattants francophones du Rojava ici et la tribune de soutien signée par plusieurs médias et personnalités disponible ici.
↑8	Pour rappel, aujourd’hui le chiffrement est partout. Sur Internet, il est utilisé de manière transparente pour assurer la confidentialité de nos données médicales, coordonnées bancaires et du contenu des pages que nous consultons. Il protège par ailleurs une part croissante de nos communications à travers l’essor des messageries chiffrées comme WhatsApp ou Signal et équipe la quasi-totalité des ordinateurs et téléphones portables vendus aujourd’hui pour nous protéger en cas de perte ou de vol.
↑9	Le droit au chiffrement des communications, et en particulier le chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés » dont l’objectif est de « résister à toute tentative de surveillance ou de falsification », est régulièrement attaqué par les États au motif qu’il favoriserait la radicalisation politique et constituerait un obstacle majeur à la lutte contre le terrorisme. Récemment, on peut citer un article de Nextinpact décrivant l’appel en avril dernier des services de polices internationaux à Meta (Facebook) pour que Messenger n’intègre pas le chiffrement de bout-en-bout et disponible ici, le projet de loi américain EARN IT, les discussions européennes autour du CSAR ou britannique « Online Safety Bill », deux projets qui, par nature, représentent la fin du chiffrement de bout en bout en forçant les fournisseurs de messageries chiffrées à accéder à tout échange pour les vérifier. Une tribune a été publiée le 4 mai dernier, journée de la liberté de la presse, par une quarantaine d’organisations dénonçant ces différents projets. En 2016 et 2017, de nombreuses voix ont réagi aux velléités françaises et allemandes de limiter le chiffrement de bout en bout. À ce sujet, voir notamment cet article de La Quadrature, mais aussi les réponses de l’Agence européenne pour la cybersécurité, de la CNIL et du Conseil National du Numérique ou encore de l’Agence national pour la sécurité des systèmes d’information ici.
↑10	Google, Amazon, Facebook, Apple, Microsoft.
↑11	Parmi les dernières actions de La Quadrature pour le droit au chiffrement et le respect de la vie privée sur Internet, voir notamment notre intervention au Conseil constitutionel contre l’obligation de donner ses codes de déchiffrement en 2018 ici, contre le réglement de censure terroriste adopté en 2021 ici, nos prises de positions suite aux attaques étatiques contre le chiffrement de bout-en-bout en 2016/2017 (ici, ici et ici), ou encore notre plainte collective contre les GAFAM déposée en 2018. Voir aussi nos prises de positions lors du projet de loi Terrorisme en 2014 ici et la loi renseignement en 2015 ici.
↑12	La criminalisation des pratiques numériques est discutée dans cet article de CQFD par Camille, une inculpée du 8 décembre.
↑13	La surveillance généralisée via les outils numériques a notamment été révélée par Snowden en 2013). Concernant les enquêtes policières, le discours selon lequel le chiffrement serait un obstacle à leur avancée est pour le moins incomplet. La généralisation du recours au chiffrement ne peut être analysée qu’en prenant en compte le cadre historique de la numérisation de nos sociétés. Cette numérisation s’est accompagnée d’une accumulation phénoménale de données sur chacun·e, et dans une large partie accessibles à la police. Ainsi, le chiffrement ne fait que rétablir un équilibre dans la défense du droit à la vie privée à l’ère numérique. Dans une étude commanditée par le ministère néerlandais de la justice et de la sécurité publiée en 2023 et disponible ici, des policiers expliquent clairement ce point : « Nous avions l’habitude de chercher une aiguille dans une botte de foin et maintenant nous avons une botte de foin d’aiguilles. En d’autres termes, on cherchait des preuves pour une infraction pénale dans le cadre d’une affaire et, aujourd’hui, la police dispose d’un très grand nombre de preuves pour des infractions pénales pour lesquelles des affaires n’ont pas encore été recherchées ». D’autre part, d’autres techniques peuvent être utilisées pour contourner le chiffrement comme l’expliquait l’Observatoire des libertés et du Numérique en 2017 ici et la magistrate Laurence Blisson dans l’article « Petits vices et grandes vertus du chiffrement » publié dans la revue Délibérée en 2019 et disponible ici.
↑14	La connexion à Tor peut être masquée via l’utilisation de pont. Voir ici.
↑15	Pour le chiffrement sur Windows, voir la page Wikipedia de Bitlocker et la documentation de Microsoft. Pour le chiffrement sur Android, voir la documentation officielle et l’article de Wire ici. Pour Apple, voir leur documentation ici.
↑16	Voir le guide pratique du RGPD publié par la CNIL et disponible ici. Il y est écrit : « Le règlement général sur la protection des données (RGPD) précise que la protection des données personnelles nécessite de prendre les “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués (article 32 du RGPD) ».
↑17	Voir l’article de Politico disponible ici.
↑18	Voir le rapport du rapporteur des Nations Unies, David Kaye, sur la protection de la liberté d’expression et d’opinion et disponible ici. Voir aussi les prises de position de l’Agence national pour la sécurité des systèmes d’information ici, de la Commission nationale de l’informatique et des libertés, et du Conseil National du Numérique ici ou de l’Agence européenne pour la cybersécurité ici, et le document de l’Observatoire des libertés et du numérique signé notamment par la Ligue des droits de l’Homme, le Syndicat de la magistrature, Amnesty International et le Syndicat des avocats de France ici.
↑19	Voir le guide de l’hygiène numérique de l’ANSSI préconisant le chiffrement de ses disques durs et disponible ici. Voir aussi la page chiffrement de la CNIL ici et son guide de chiffrement des données ici.
↑20	Mentionnons les données détenues par les administrations (Assurance maladie, Pôle emploi, les Caisses d’allocations familiales, les URSSAF, les impôts), les fichiers administratifs (permis de conduire, immatriculation, SCA, AGRIPPA), les fichiers de police (notamment le TAJ), les relevés téléphoniques (fadettes). Les réquisitions effectuées par la DGSI auprès des administrations et des entreprises varient selon les inculpé·es. De manière générale, sont contactés Pôle Emploi, la CAF, l’Assurance Maladie, les banques et les opérateurs de téléphonie.
↑21	En 2020, WhatsApp annonçait compter plus de deux milliards d’utilisateurs et utilisatrices. À ceci s’ajoutent celles et ceux d’autres applications de messageries chiffrées comme Signal, Silence, Wire… Voir cet article du Monde.
↑22	Cette affaire ne fait par ailleurs que confirmer notre opposition, portée devant le Conseil constitutionel en 2018, à l’obligation de fournir ses codes de déchiffrement et dont nous rappellions récemment l’utilisation massive pour les personnes placées en gardes à vue. En plus d’être particulièrement attentatoire à la vie privée et au droit de ne pas s’auto-incriminer, cette obligation a, dans cette affaire, été utilisée comme un moyen de pression au maintien des mesures de détention provisoire et même mise en avant pour justifier le refus d’accès au dossier d’instruction à un·e des inculpé·es. A ce sujet voir notre article revenant sur l’utilisation de cette mesure lors des gardes à vue ici et notre article présentant la question prioritaire de ponstitutionalité posée par La Quadrature à ce sujet en 2018.
↑23, ↑26	Pauline Le Monnier de Gouville, « De la répression à la prévention. Réflexion sur la politique criminelle antiterroriste », Les cahiers de la Justice, 2017. Disponible ici.
↑24	Voir l’article de la magistrate Laurence Buisson « Risques et périls de l’association de malfaiteurs terroriste » publié en 2017 dans la revue Délibérée et disponible ici.
↑25, ↑27	Julie Alix et Olivier Cahn, « Mutations de l’antiterrorisme et émergence d’un droit répressif de la sécurité nationale », Revue de science criminelle et de droit pénal comparé, 2017. Disponible ici.
↑28	Intervention devant le Conseil constitutionnel sur le délit d’« Entreprise individuelle terroriste » en 2017. Une rediffusion est disponible ici.
↑29	Fédération Internationale des Droits Humains, Rapport « La porte ouverte à l’arbitraire », 1999. Voir aussi le rapport de Human Rights Watch de 2008 intitulé « La justice court-circuitée. Les lois et procédure antiterroristes en France » et disponible ici. Voir aussi l’entretien dans Lundi matin avec une personne revenant du Rojava, citée ici, revenant sur la criminalisation de la parole.
↑30	Voir le rapport de la DCPJ du 15 novembre 2008 et disponible ici et les chapitres « Benjamin R. » et « Mathieu B. », pages 109 et 143 du livre Tarnac, Magasin Général de David Dufresne (édition de poche).
↑31	Voir notamment l’archive du site des comités de soutien aux inculpé·es de Tarnac ici, une tribune de soutien publiée en 2008 ici et cette interview de Julien Coupat. Voir aussi le livre de David Dufresne Tarnac, Magasin Général.
↑32	Son audition est disponible ici. Voir à partir de 10:53:50 et 10:55:20 pour les moyens de l’antiterrorisme et à 10:20:19 pour la référence à l’affaire du 8 décembre. Voir aussi sur BFM ici Gérald Darmanin utiliser l’affaire du 8 décembre pour dénoncer la « menace d’ultragauche ».
↑33	Voir notamment les livres L’ennemi intérieur. La généalogie coloniale et militaire de l’ordre sécuritaire dans la France contemporaine de Mathieu Rigouste et Répression. L’État face aux contestations politiques de Vanessa Codaccioni.

]]> https://www.laquadrature.net/?p=20620http://isyteck.com/autoblog/quadrature/index.php5?20230531_153828_Transformer_les_objets_connectes_en_mouchards____la_surenchere_securitaire_du_gouvernementWed, 31 May 2023 13:38:28 +0000Communiqué de l’Observatoire des Libertés et du Numérique, 31 mai 2023

---

Le projet de loi « Orientation et programmation du ministère de la Justice 2023-2027 » a commencé à être discuté au Sénat, et son article 3 fait déjà polémique. À raison.

Au milieu de dispositions qui visent à entériner pêle-mêle les interventions à distance des médecins en cas de prolongation de la garde à vue et des interprètes dès le début de la garde à vue, ou l’extension des possibilités des perquisitions de nuit à des crimes de droit commun, est créé un nouvel outil d’enquête permettant d’activer, à distance, les appareils électroniques d’une personne à son insu pour obtenir sa géolocalisation en temps réel ou capter des images et des sons. Art. 3 points 12° et 13° et 17° à 19°.

En clair, il s’agira par exemple pour les enquêteurs judiciaires de géolocaliser une voiture en temps réel à partir de son système informatique, d’écouter et enregistrer tout ce qui se dit autour du micro d’un téléphone même sans appel en cours, ou encore d’activer la caméra d’un ordinateur pour filmer ce qui est dans le champ de l’objectif, même si elle n’est pas allumée par son propriétaire. Techniquement, les policiers exploiteront les failles de sécurité de ces appareils (notamment, s’ils ne sont pas mis à jour en y accédant, ou à distance) pour installer un logiciel qui permet d’en prendre le contrôle et transformer vos outils, ceux de vos proches ou de différents lieux en mouchards.

Pour justifier ces atteintes graves à l’intimité, le Ministère de la Justice invoque la « crainte d’attirer l’attention des délinquants faisant l’objet d’enquête pour des faits de criminalité organisée, de révéler la stratégie établie ou tout simplement parce qu’elle exposerait la vie des agents chargés de cette mission » en installant les outils d’enquête. En somme, il serait trop risqué ou compliqué pour les agents d’installer des micros et des balises « physiques » donc autant se servir de tous les objets connectés puisqu’ils existent. Pourtant, ce prétendu risque n’est appuyé par aucune information sérieuse ou exemple précis. Surtout, il faut avoir en tête que le piratage d’appareils continuera de passer beaucoup par un accès physique à ceux-ci (plus simple techniquement) et donc les agents encourront toujours ce prétendu risque lié au terrain. De plus, les limites matérielles contingentes à l’installation d’un dispositif constituent un garde-fou nécessaire contre des dérives d’atteintes massives à la vie privée.

La mesure prévue par l’article 3 est particulièrement problématique pour les téléphones portables et les ordinateurs tant leur place dans nos vies est conséquente. Mais le danger ne s’arrête pas là puisque son périmètre concerne en réalité tous les « appareils électroniques », c’est-à-dire tous les objets numériques disposant d’un micro, d’une caméra ou de capteurs de localisations. Cette mesure d’enquête pourrait ainsi permettre de :

• « sonoriser » donc écouter des espaces à partir d’une télévision connectée, d’un babyphone, d’un assistant vocal (type Google Home), ou d’un micro intégré à une voiture ;
• de retransmettre des images et des vidéos à partir de la caméra d’un ordinateur portable, d’un smartphone ou d’une caméra de sécurité à détection de mouvement ;
• de récupérer la localisation d’une personne grâce au positionnement GPS d’une voiture, d’une trottinette connectée ou d’une montre connectée. De nombreux autres périphériques disposant de ces capteurs pourraient aussi être piratés.

Si ce texte était définitivement adopté, cela démultiplierait dangereusement les possibilités d’intrusion policière, en transformant tous nos outils informatiques en potentiels espions.

Il est, à cet égard, particulièrement inquiétant de voir consacrer le droit pour l’Etat d’utiliser les failles de sécurité des logiciels ou matériels utilisés plutôt que de s’attacher à les protéger en informant de l’existence de ces failles pour y apporter des remèdes.

Les services de police et de renseignement disposent pourtant déjà d’outils extrêmement intrusifs : installation de mouchards dans les domiciles ou les voitures (balise GPS, caméras de vidéosurveillance, micro de sonorisation), extraction des informations d’un ordinateur ou d’un téléphone par exemple et mise en oeuvre d’enregistreurs d’écran ou de frappes de clavier (keylogger). Ces possibilités très larges, particulièrement attentatoires à la vie privée, sont déjà détournées et utilisées pour surveiller des militant·es comme (dans la lutte du Carnet, dans l’opposition aux mégabassines, dans les lieux militants de Dijon, ou dans les photocopieuses de lieu anarchistes, etc.)

Alors que les révélations sur l’espionnage des téléphones par Pegasus continuent de faire scandale et que les possibilités des logiciels espions ont été condamnées par le Haut-Commissariat des Nations Unies aux droits de l’homme, le ministère de la Justice y voit a contrario un exemple à suivre. Il tente de légitimer ces dispositifs en assurant que seuls le crime organisé et le terrorisme seront visés via ces « techniques spéciales d’enquête ».

Si le projet de loi renvoie effectivement à des infractions considérées comme graves, cela n’est pas de nature à apaiser les inquiétudes légitimes. En effet, ces mêmes infractions graves ont déjà été utilisées pour poursuivre des actions militantes, que ce soit à l’encontre de personnes solidaires avec les migrants accusées d’aide à l’entrée de personnes en bande organisée, de militants écologistes, encore qualifiés récemment d’ « écoterroristes » ou encore de militants contre l’enfouissement de déchets nucléaires à Bure. Plus généralement, le spectre des infractions visées peut aussi dépasser l’imaginaire de la « grande criminalité », y sont inclus notamment : la production et la vente de stupéfiant quelque soit l’échelle, le proxénétisme dont la définition très large peut inclure la seule aide à une personne travailleuse du sexe, les vols en bande organisée…

Concernant la technique de géolocalisation des objets connectés, le spectre est encore plus large puisque l’activation à distance pourra concerner toutes les personnes suspectées d’avoir commis un délit puni de cinq années de prison, ce qui – en raison de l’inflation pénale des lois successives – peut aller par exemple du simple recel, à la transmission d’un faux document à une administration publique, ou le téléchargement sans droit de documents d’un système informatique.

Surtout, l’histoire nous a démontré qu’il existait en la matière un « effet cliquet » : une fois qu’un texte ou une expérimentation sécuritaire est adopté, il n’y a jamais de retour en arrière. À l’inverse, la création d’une mesure intrusive sert généralement de base aux extensions sécuritaires futures, en les légitimant par sa seule existence. Un exemple fréquent est d’étendre progressivement des dispositions initialement votées pour la répression d’un crime choquant à d’autres délits. Le fichage génétique (FNAEG) a ainsi été adopté à l’encontre des seuls auteurs d’infractions sexuelles, pour s’étendre à quasiment l’ensemble des délits : aujourd’hui, 10% de la population française de plus de 20 ans est directement fichée et plus d’un tiers indirectement.

Permettre de prendre le contrôle de tous les outils numériques à des fins d’espionnage policier ouvre la voie à des risques d’abus ou d’usages massifs extrêmement graves.

Au regard de la place croissante des outils numériques dans nos vies, accepter le principe même qu’ils soient transformés en auxiliaires de police sans que l’on ne soit au courant pose un problème grave dans nos sociétés. Il s’agit d’un pas de plus vers une dérive totalitaire qui s’accompagne au demeurant d’un risque élevé d’autocensure pour toutes les personnes qui auront – de plus en plus légitimement – peur d’être enregistrées par un assistant vocal, que leurs trajets soient pistés, et même que la police puisse accéder aux enregistrements de leurs vies – par exemple si elles ont le malheur de passer nues devant la caméra de leur téléphone ou de leur ordinateur.

Pour toutes ces raisons, l’article 3 de la LOPJ suscite de graves inquiétudes quant à l’atteinte aux droits et libertés fondamentales (droit à la sûreté, droit à la vie privée, au secret des correspondances, droit d’aller et venir librement). C’est pourquoi nous appelons l’ensemble des parlementaires à oeuvrer pour la suppression de ces dispositions de ce projet de loi et à faire rempart contre cette dérive sécuritaire.

Organisations membres de l’OLN signataires : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme, La Quadrature du Net, Le Syndicat des Avocats de France, Le Syndicat de la Magistrature.

---

]]> https://www.laquadrature.net/?p=20590http://isyteck.com/autoblog/quadrature/index.php5?20230523_095034_Drones____qui_fera_atterrir_le_ministere_de_l___Interieur___Tue, 23 May 2023 07:50:34 +0000Mardi dernier, nous avons participé à une audience au Conseil d’État pour demander la suspension du décret autorisant la police nationale à déployer des drones sur le territoire. La décision devrait être rendue dans quelques jours. D’un côté, associations et syndicats dénonçant une nouvelle dérive de surveillance et de militarisation de l’espace public ; de l’autre, un ministère de l’intérieur méprisant ouvertement les principes élémentaires des droits fondamentaux. Épaulé par le contexte sécuritaire, ce dernier se permet même de clamer tout haut ses fantasmes sécuritaires, entre dispositifs de marquage invisible et pilotes de drones à moto.

Nous en parlions ici : l’année dernière, après plusieurs revers pour le gouvernement, celui-ci a réussi à faire voter par le Parlement un texte légalisant l’usage des drones par la police nationale et la gendarmerie. En avril dernier, un décret – attendu depuis longtemps – a été publié par le ministère de l’intérieur. Il permet aux préfets de prendre des arrêtés pour autoriser la police à utiliser des drones pour des missions de surveillance.

Depuis la publication de ce décret, il est rare que quelques jours se passent sans qu’un arrêté vienne prévoir un nouveau déploiement. Manifestations, frontières, rodéos urbains, événements culturels, … Le Monde dénombrait la semaine dernière plus d’une cinquantaine d’usages en à peine un mois. Les drones ne sont d’ailleurs pas les seuls à être autorisés, la police peut également utiliser des caméras fixées sur des hélicoptères – on parle de « boules optroniques », capables d’identifier des individus à plus de 2km.

Pour contrer cette vague sécuritaire d’une rare intensité (parmi d’autres), les associations et organisations syndicales mènent une bataille sur le terrain, en procédures d’urgence directement contre les arrêtés devant les tribunaux administratifs, avec quelques succès mais beaucoup de défaites. En complément, c’est pour lutter en amont contre ce déploiement que l’Association de Défense des Libertés Constitutionnelles (Adelico) a attaqué directement le décret d’autorisation des drones en demandant la suspension en référé (c’est-à-dire une procédure d’urgence) de ce texte, en attendant une décision sur le fond pour son annulation. La Quadrature du Net est intervenue au soutien de cette procédure.

Des dispositifs de surveillance ni nécessaires ni proportionnés

L’audience dans cette affaire s’est déroulée mardi dernier. Comme toute audience de référé, les débats oraux se sont déroulés avec, d’un côté, une représentante du ministère de l’Intérieur (en l’occurence, la directrice des libertés publiques au ministère), et de l’autre les associations et syndicats parties ou intervenants au recours (c’est-à-dire l’Adelico, le Syndicat des avocats de France, le Syndicat de la magistrature et La Quadrature du Net). Entre les deux, le juge des référés, un conseiller d’État, qui décidera seul s’il convient oui ou non de suspendre le texte.

Pendant près de trois heures, les associations ont répété leurs inquiétudes sur la nouvelle atteinte que représente la surveillance par drones : une surveillance mobile, invisible, en capacité de surveiller d’un seul regard plusieurs centaines de milliers de personnes. L’intervention (une requête et une réplique) de LQDN se concentrait sur le principe de nécessité et de proportionnalité, au sens du droit de l’UE (ce même droit, pourtant protecteur dans le domaine de la surveillance, que le Conseil d’État refusait d’appliquer en 2021 en matière de surveillance d’Internet).

Le principe que nous invoquions pour démontrer l’illégalité de ce décret se résume en un mot : le ministère ne démontre à aucun moment la nécessité d’utiliser des drones pour remplir ses missions de protection de l’ordre public, en particulier par rapport à l’armada d’agents, de caméras et de véhicules qu’il a déjà à terre. Pire, les drones étant en capacité de récupérer des données sensibles (comme des opinions politiques lors de la surveillance de manifestations, même si les drones traitent d’autres types de données sensibles dans les autres contextes d’utilisation), le ministère doit prouver la nécessité absolue d’utiliser ce dispositif – ce qu’il ne fait à aucun moment.

Ces principes ont beau être inscrits explicitement dans le droit français et européen (et renforcés par des arrêts de la Cour de justice de l’Union européenne), la représentante du ministère les a balayé d’un revers de main pendant l’audience.

Le ministère clame haut et fort son mépris des droits fondamentaux

Monopolisant la parole et coupant celle des représentant.es des associations, la représentante du ministère de l’intérieur s’est contentée d’affirmer que cet outil leur était désormais bien utile car la police était devenue une « cible » qui « excite les manifestants ». Les débats ont ainsi révélé que l’objectif du ministère n’était pas seulement de protéger la population ou de suppléer à un manque d’effectif mais, particulièrement pendant les manifestations, de protéger la police des manifestant·es.

Le ministère a refusé toute considération sur les libertés, considérant qu’il s’agissait d’une innovation technologique sans gravité particulière par rapport à la vidéosurveillance, nécessaire par rapport au risque terroriste, et qu’on avait heureusement évolué par rapport « aux épées du Moyen-Âge ». Un tel raisonnement passe-partout lui permettra de justifier de toute invention technologique, peu importe les finalités et les conséquences sur nos libertés.

Autre point : le décret reconnaît que les drones pourront filmer l’intérieur des domiciles (ainsi que les entrées ou terrasses ou jardins). Alors qu’il s’agissait auparavant d’une limite infranchissable dans la surveillance, le ministère soutient au contraire qu’il se donne quarante-huit heures pour conserver ces images et les transmettre, si besoin, à l’autorité judiciaire.

Notons que ce mépris du ministère pour le droit n’est pas nouveau. Cela fait plus de 3 ans que nous menons des contentieux contre l’usage des drones par la police, et cela fait plus de 3 ans que le ministère enchaîne les contre-vérités et les approximations devant les juridictions. Il aura fallu deux décisions du Conseil d’État en 2020 et une sanction de la CNIL début 2021 pour les forcer à s’arrêter une première fois – avant que la loi ne vienne les légaliser. Et encore, déjà à l’époque le ministère de l’intérieur ne montrait que du mépris envers les institutions qui le contraignaient : en mai 2020, il inventait une doctrine d’emploi pour tenter d’échapper à la sanction ; à l’été 2020, la préfecture de police de Paris sortait de son chapeau un dispositif de floutage désactivable à souhait ; en 2021, la CNIL justifiait la sanction (décision la plus forte que la CNIL peut prendre) du ministère de l’intérieur par le fait que ce dernier avait annoncé qu’il ne respecterait pas une éventuelle mise en demeure ou avertissement.

La surveillance de l’espace public en surchauffe

Cette surchauffe se fait sur deux lignes parallèles. L’une d’entre elle concerne la multiplication et l’extension des moyens de captation. Caméras de vidéosurveillance fixes, caméras-piétons, caméras sur les véhicules, caméras dans les halls d’immeubles, hélicoptères de surveillance, drones de surveillance. Depuis 1995, cette extension est exponentielle. De l’autre côté, c’est l’utilisation des images captées qui est démultipliée : mutualisation des flux, vidéosurveillance augmentée, reconnaissance faciale…

Il devient d’ailleurs difficile de tenir le compte des lois et règlements sur le sujet, entre loi Sécurité Globale en 2021, loi Responsabilité pénale et sécurité intérieure et loi d’orientation et de programmation du ministère de l’intérieur en 2022, loi Jeux olympiques en 2023, et on en oublie sûrement. Le Sénat prépare d’ailleurs déjà la prochaine étape, avec une proposition de loi sur la surveillance biométrique. Le ministère de l’intérieur a par ailleurs annoncé à l’audience qu’un décret encadrant l’usage des drones en police judiciaire (soit pour la recherche d’auteurs d’infractions) était dans les tiroirs.

Toujours plus inquiétant : les préfets et le ministère ne se satisfont déjà plus des drones. Dans les échanges lors de l’audience ou pendant la procédure écrite (comme l’a soulevé Mediapart), le ministère fait déjà part de ses velléités pour le futur : drones équipés de lampes puissantes, pilotes de drones à moto, et drones équipés de dispositifs de produits de marquage codés (spray ou billes tirées à partir de fusils à air comprimé permettant de marquer certains individus lors de manifestations). Où s’arrêtera le ministère de l’Intérieur ?

Nous espérons que le Conseil d’État mettra un coup d’arrêt à cette intensification sans précédent de la surveillance de l’espace public.

]]> https://www.laquadrature.net/?p=20535http://isyteck.com/autoblog/quadrature/index.php5?20230512_114200_EN_GAV__t___es_fiche__e_____EPISODE_2____les_empreintesFri, 12 May 2023 09:42:00 +0000Après avoir dressé le bilan des évolutions juridiques concernant l’accès aux téléphones en garde à vue, nous revenons dans ce nouveau volet sur l’inscription généralisée des personnes arrêtées au fichier automatisé des empreintes digitales – ou FAED.

La prise d’empreintes relève d’un vieux et sombre rêve de la fin du XIXe siècle de classification, catégorisation et identification de la population criminelle d’après ses caractéristiques physiques. À l’époque du bertillonnage – du nom du criminologue qui a créé l’anthropométrie judiciaire -, les empreintes étaient relevées sur fiches cartonnées. Désormais, les justiciables se voient prendre leurs empreintes digitales et palmaires sur scanner, de gré ou de force.

Que dit la loi ?

Les empreintes digitales et palmaires font systématiquement l’objet d’un relevé signalétique par les policiers lors d’une garde à vue (GAV), puisque, en application de l’article 55-1 du code de procédure pénale, il suffit d’être suspecté d’un délit ou d’un crime pour y avoir droit. Dans ce cadre, la prise de la photographie fait également partie de la signalétique et est versée au fichier des antécédents judiciaires (TAJ) qui sert actuellement de tremplin à la reconnaissance faciale en France. Ce sera l’objet d’un prochain article.

Au 1er janvier 2020, 6,7 millions de personnes étaient enregistrées au FAED. Mais la police nationale annonce détenir seulement 6,5 millions de profils à la fin de l’année 2022. Peut-on croire les chiffres de la police et imaginer qu’un nettoyage des fichiers ait été effectué ? Difficile à imaginer : en septembre 2021, la CNIL sanctionnait le ministère de l’Intérieur après avoir constaté que des données non prévues par la loi y étaient conservées et que l’obligation d’effacement des données en cas d’absence de poursuites était peu respectée, tout comme la durée de conservation des données, qui excédait les limites légales.

De plus, une nouvelle disposition législative a certainement contribué à gonfler les chiffres : la loi du 24 janvier 2022, dite « sécurité intérieure », a en effet introduit la possibilité, en cas de refus de la personne gardée à vue, et s’il s’agit de l’unique moyen de l’identifier, de prendre ses empreintes sans son consentement, ou autrement dit, de force. Cette prise forcée d’empreintes concerne à la fois les adultes et les mineur·es (article 55-1 alinéa 5 du code de procédure pénale et article L413-17 du code de justice pénale des mineurs). Le Conseil constitutionnel a récemment précisé les conditions de cette prise forcée des empreintes dans sa décision n° 2022-1034 QPC du 10 février 2023.

Pour être légale, elle doit remplir l’ensemble de ces conditions : que la personne concernée soit suspectée d’avoir commis un délit puni d’au moins trois ans d’emprisonnement (cinq pour les mineurs), qu’aucun autre moyen ne permette de justifier de l’identité de la personne, avoir l’autorisation écrite du Procureur de la République, que l’avocat·e soit présent, et que la contrainte soit strictement nécessaire et proportionnée (en tenant compte, théoriquement, de la vulnérabilité de la personne ainsi que de la situation particulière du ou de la mineur·e). Aussi, le Conseil constitutionnel a finalement exclu l’audition libre¹L’ audition libre est un régime plus léger que la garde à vue pour entendre une personne suspectée d’avoir commis une infraction. Celle-ci ne doit pas avoir été emmenée sous la contrainte, et peut quitter les lieux à tout instant. du champ des situations où la prise d’empreintes de force est autorisée, ne laissant cette opération possible « que » pendant les gardes à vue. La prise d’empreintes a enfin été modifiée par la LOPMI qui a discrètement donné une base juridique à la comparaison, au moment de leur inscription, des empreintes et des photographies avec les fichiers existants (pratique qui avait déjà cours). Pour rappel, ces données biométriques sont ensuite conservées au FAED entre 15 à 25 ans selon l’infraction (pour laquelle, à ce stade, la personne n’a même pas été encore jugée).

La France condamnée par la CEDH

La Cour européenne des droits de l’homme (CEDH) a considéré en 2013, dans l’arrêt M.K. contre France, que cette durée de conservation des empreintes digitales par l’État français était excessive et constituait une violation du droit au respect de la vie privée, alors même que la personne était uniquement suspectée d’avoir commis un délit et n’avait pas été condamnée. Cependant, les possibilités effectives de consultation, de rectification et d’effacement de ces données au FAED sont traditionnellement considérées comme des garanties suffisantes.

Malgré cette condamnation, cela n’a pas empêché la France de continuer son fichage massif des empreintes digitales. En 2019, elle a reconnu elle-même dans une déclaration publique la violation de l’article 8 de la Convention Européenne des Droits de l’Homme (droit à la vie privée) à l’occasion de la collecte des empreintes et de l’ADN de plusieurs personnes condamnées au pénal pour refus d’inscription au FAED ou à son fichier équivalent pour l’ADN, le FNAEG, alors que ces personnes avaient saisi la CEDH. Mais cette déclaration unilatérale, assortie d’indemnisations, a opportunément et malgré la volonté des requérant·es, mis fin aux recours devant la Cour européenne, qui ne jugera donc jamais cette affaire.

Un récent arrêt d’une autre Cour européenne, la Cour de justice de l’Union européenne (CJUE), pourrait mettre des bâtons dans les roues des politiques de fichage en France. Cette décision du 26 janvier 2023 porte sur le système bulgare de prise d’empreintes en garde à vue. Et le jugement de la Cour est très intéressant : il réaffirme que la collecte systématique de données biométriques est contraire au droit de l’Union, auquel la France est soumise.

En pratique : des violences au service du fichage

Cette nouvelle législation inquiétante sur la prise d’empreintes de force a, sans surprise, occasionné des dérives majeures. Dès les premiers mois après son entrée en vigueur, on pouvait lire le témoignage glaçant d’une personne frappée et tasée en garde à vue. Plus récemment, c’est notamment au cours des très nombreux placements en garde à vue dans le cadre des protestations contre la réforme des retraites que cette pratique a refait surface. Ainsi, la bâtonnière du barreau de Rennes, Catherine Glon, a suspendu les désignations d’avocat·es d’office pour ces procédures, refusant que la présence de l’avocat·e, nécessaire pour la prise d’empreintes sous contrainte, ne serve de caution à une disposition « profondément attentatoire aux libertés individuelles et à la vie privée ». La bâtonnière a été soutenue sans réserve par la conférence des bâtonnier·es qui a dénoncé le recours systématique à ce fichage forcé.

Dans les commissariats, la menace du recours à la force est couramment employée à l’encontre des personnes gardées à vue afin de leur faire accepter le fichage au FAED, y compris pour les personnes qui portent sur elles des papiers d’identité et sont donc censées échapper à la contrainte.

Mais au-delà des menaces et des intimidations, des violences physiques ont également été constatées, particulièrement à Paris. Hanna Rajbenbach, membre elle aussi du collectif d’avocat·es à l’origine du dépôt d’une centaine de plaintes concernant les GAV arbitraires en atteste : « Il y a des violences tout à fait illégitimes exercées : des personnes ont été par exemples tasées ou se sont retrouvées la tête écrasée au sol en vue de procéder au relevé de leurs empreintes digitales.» D’autres témoignages de manifestant·es à ce sujet ont été rapportés par RadioParleur dans une émission du 6 mars dernier. Ces violences font actuellement l’objet d’une saisine auprès du Défenseur des Droits, à l’initiative de plusieurs avocat·es qui pointent la responsabilité du parquet. Ainsi l’État est prêt à brutaliser, à taser et à faire usage de ce qui est somme toute une forme de torture sur des personnes en garde à vue pour s’assurer que celles-ci seront fichées.

Des procédures d’effacement existent : en cas de non-lieu, relaxe ou classement sans suite, cet effacement est en principe acquis (et doit d’ailleurs, en théorie, être effectué d’office par le responsable de traitement). Il est envisageable de le demander dans d’autres cas. La demande d’accès aux données s’effectue auprès du ministère de l’Intérieur et la demande de suppression auprès du procureur de la République. Si besoin, le guide « La folle volonté de tout contrôler » produit par la caisse de solidarité de Lyon propose des lettres types pour accompagner les demandes d’effacement (mise à jour à venir !).

Dans les tribunaux, les réquisitions des procureur·es ne s’embarrassent en tout cas souvent pas de pédagogie quant aux finalités de ce fichage systématique : au-delà des dispositions légales contraignantes, inscrire des personnes aux fichiers se justifie « par la nécessité d’alimentation du fichier ». CQFD.

References[+]

References

↑1	L’ audition libre est un régime plus léger que la garde à vue pour entendre une personne suspectée d’avoir commis une infraction. Celle-ci ne doit pas avoir été emmenée sous la contrainte, et peut quitter les lieux à tout instant.

]]> https://www.laquadrature.net/?p=20524http://isyteck.com/autoblog/quadrature/index.php5?20230510_143701_Tout_le_monde_deteste_les_dronesWed, 10 May 2023 12:37:01 +0000Un an après la légalisation des drones par la loi de « sécurité Intérieure », le gouvernement a publié le 19 avril dernier le décret tant attendu par la police pour faire décoller ses appareils. Aux côtés d’autres associations, nous attaquons ce texte devant le Conseil d’État afin de dénoncer les atteintes aux libertés que portent en eux les drones et continuer de marteler le refus de ces dispositifs qui nourrissent un projet de surveillance de masse toujours plus décomplexé.

Une longue bataille

Rappelez vous, c’était pendant le confinement, en 2020. Les polices de France déployaient alors dans le ciel des drones pour contrôler les rues et ordonner aux personnes de rentrer chez elles. Avec la Ligue des droits de l’Homme, nous nous lancions dans un recours devant le Conseil d’État, qui a abouti à leur interdiction à Paris. Si cet épisode a marqué le début de la visibilité des drones aux yeux de tous·tes, ces engins de surveillance étaient en réalité loin d’être nouveaux. On en observait dès 2007 pour surveiller les banlieues, aux frontières mais aussi dès 2016 en manifestation, notamment dans la contestation contre la loi Travail. Provenant de l’industrie militaire en recherche de débouchés pour rentabiliser ses recherches ¹Voir Cities under siege -The new military urbanism, Stephen Graham, accessible ici, les drones se sont petit à petit installés dans les pratiques policières, à coup d’appels d’offres astronomiques et de batailles juridiques.

En effet, les velléités répétées et affichées des autorités pour utiliser ces drones ont été entravées par un certain nombre d’embûches. Malgré la décision du Conseil d’État, la préfecture de police de Paris a continué ostensiblement à les déployer en manifestation au cours de l’année 2020. Pourtant, il n’existait aucun cadre juridique à ce moment-là, ce qui signifiait que toute captation d’images par ces drones était illégale. Nous sommes alors retourné contester leur légalité et avons obtenu une nouvelle victoire, suivie d’une sanction de la CNIL auprès du ministère de l’Intérieur.

Dans une impasse, le gouvernement a choisi la sortie facile : faire adopter une loi qui donnerait un cadre légal aux drones. En toute logique, il a choisi pour cela la loi Sécurité globale, proposition de loi issue de la majorité LaREM à l’objectif assumé de généralisation de la surveillance de l’espace public. Mais au moment où le gouvernement allait arriver à ses fins, le Conseil constitutionnel a mis un nouvel obstacle sur sa route en censurant l’article sur les drones, estimant le cadre trop large et les garanties trop minces. Ce n’est donc qu’après avoir revu sa copie que le gouvernement a finalement réussi à obtenir leur autorisation au travers de la loi « responsabilité pénale et sécurité intérieure », adoptée fin 2021 et dont nous parlions ici. Le nouveau chapitre qu’il crée dans le code de la sécurité intérieure autorise la police à recourir aux drones pour un éventail très large de situations : manifestations et rassemblements jugés comme « susceptibles d’entraîner des troubles graves à l’ordre public », aux abords de lieux ou bâtiments « particulièrement exposés à des risques de commission de certaines infractions » ou encore dans les transports ou aux frontières.

Un déploiement qui ne s’est pas fait attendre

Le décret d’application récemment publié était donc attendu depuis l’année dernière, en ce qu’il précise les conditions d’utilisation et lance ainsi formellement le top départ de la surveillance volante (ou « aéroportée » comme on dit dans le jargon militaro-policier). Dans le cadre d’une procédure de référé (c’est-à-dire une procédure d’urgence), l’Association de Défense des Libertés Constitutionnelles (ADELICO) a attaqué ce texte pour dénoncer la violation des droits qu’entraîne cette surveillance. Nous nous sommes joint·es à cette affaire en déposant vendredi dernier un mémoire en intervention, afin de compléter les arguments de l’ADELICO en soulevant également la violation du droit de l’Union européenne qu’entraîne l’utilisation disproportionnée de ces dispositifs (vous pouvez le lire ici).

Car ce décret ne fait qu’aggraver le cadre général extrêmement permissif des drones. En effet, la loi laisse les mains libres à la police pour décider elle-même quels évènements doivent être surveillés, avec en première ligne les manifestations. Ainsi, il revient au préfet de justifier seul de la nécessité de l’utilisation des drones et, dans le cadre de rassemblements, de démontrer notamment qu’il est « susceptible d’entraîner des troubles graves à l’ordre public » pour avoir recours à cette surveillance. Or, nous l’avons observé de près ces dernières semaines, l’inventivité des préfets est sans borne dès qu’il s’agit de construire des récits et de présupposer des risques à la sécurité afin d’interdire des manifestations ou des casseroles. Néanmoins, un premier recours victorieux a réussi à les clouer au sol à Rouen le 5 mai, le tribunal administratif jugeant leur emploi non nécessaire.La perspective de devoir systématiquement, à chaque fois qu’on voudra manifester, déposer un recours contre les arrêtés préfectoraux d’interdiction, a quelque chose d’épuisant et de décourageant par avance qui avantage évidemment la position du pouvoir et de l’ordre policier.

Empêcher la banalisation

L’arrivée des drones dans l’arsenal policier a de quoi inquiéter : ce dispositif de surveillance ultime, qui se déplace, suit et traque, arrive dans un contexte de très importante répression des mouvements sociaux. Les premières utilisations qui ont suivi la publication du décret démontrent la volonté des préfets de les utiliser à tout va et de les installer dans l’imaginaire collectif. Que ce soit à Mayotte, aux rassemblements des Soulèvements de la Terre dans le Tarn ou à Rouen, lors des manifestations du 1er mai ou pour la finale de la Coupe de France, dès que la foule se rassemble, les drones devraient être là pour surveiller. De façon attendue, ces drones seront également utilisés en priorité dans les quartiers populaires, comme à Nice où la préfecture a annoncé y avoir recours pour « lutter contre le trafic de drogues » avant que l’on apprenne dans dans l’arrêté concerné que cela serait pour une durée de trois mois ! Cette même préfecture des Alpes-Maritimes s’est également empressé de les faire autoriser pour surveiller la frontière franco-italienne. Comme pour les caméras et leurs algorithmes, le but est d’alimenter la croyance que la sécurité passera par la surveillance, sans chercher une quelconque solution alternative qui ne serait pas répressive.

De plus, le décret prévoit que les images captées par drone pourront être conservées sept jours notamment pour être utilisées lors d’enquêtes judiciaires. Nous craignons qu’à partir de ce moment-là les interdictions de recoupements avec des fichiers, prévues uniquement pour la police administrative, ne s’appliquent plus. Ces flux vidéo pourraient alors être utilisés pour faire de l’identification de personnes, notamment à travers le fichier TAJ qui permet aujourd’hui aux policiers d’avoir recours massivement à la reconnaissance faciale, en moyenne, 1600 fois par jours.

L’arrivée des drones s’inscrit dans une logique délibérée de banalisation toujours plus importante de la surveillance de l’espace public, un mois après l’adoption de la loi JO. Si l’opposition contre ces dispositifs est heureusement bien présente, ce nouveau texte affaiblit considérablement le niveau de protection des libertés. Leur défense est ainsi laissée aux associations et militant·es qui devront, pour chaque autorisation préfectorale, contester en urgence leur caractère abusif et infondé devant un juge.

L’audience de cette affaire aura lieu le 16 mai et nous espérons que le Conseil d’État prendra au sérieux les arguments avancés par les associations, à l’heure où la France a troqué sa place de pays défenseur des droits humains pour celle de leader européen de la surveillance.

Nous vous tiendrons au courant de la décision et de la suite combat contre les drones. Et si vous voulez nous aider dans cette lutte, n’hésitez pas à faire un don si vous le pouvez !

Mise à jour du 12 mai 2023 : en réponse à la défense du ministre de l’intérieur, nous venons d’envoyer un mémoire en réplique que vous trouverez ici.

References[+]

References

↑1	Voir Cities under siege -The new military urbanism, Stephen Graham, accessible ici

]]> https://www.laquadrature.net/?p=20482http://isyteck.com/autoblog/quadrature/index.php5?20230428_124105_En_GAV__t___es_fiche__e___Fri, 28 Apr 2023 10:41:05 +0000ÉPISODE 1 : le smartphone

Le mouvement contre la réforme des retraites, qui n’en finit pas de ne pas finir, s’est heurté au maintien de l’ordre « à la française». Violences policières et placements massifs de personnes en garde à vue (GAV) ont suscité les inquiétudes du Conseil de l’ordre du barreau de Paris, de la Défenseure des Droits, et ont entrainé le dépôt d’une centaine de plaintes par un collectif d’avocat·es parisien·nes. Sans parler des inquiétudes internationales quant au respect du droit de manifester en France.

Un nombre croissant de personnes font l’expérience de la garde à vue et de son corollaire: la collecte massive d’un certain nombre de données personnelles. Code de téléphone, ADN, photographie et empreintes : un passage en GAV laisse des traces difficiles à effacer. Alors que le ministère de l’intérieur compte investir dans des capteurs nomades biométriques qui permettront, en vue des JO 2024, le relevé de photos et d’empreintes « en bord de route », nous revenons dans une série d’articles sur le fichage galopant en France, son cadre juridique et les pratiques policières en la matière, qui se développent parfois en toute illégalité.

Cet article, le premier de la série, revient sur les données collectées en GAV par la police sur nos téléphones portables.

Les témoignages de personnes placées en garde à vue relatent que, quasi systématiquement, la police exige la divulgation du code de déverrouillage de téléphone, sous peine d’être sanctionné·e ou de se voir confisquer son appareil. Pourtant, ce n’est pas ce que prévoit la loi, qui a connu plusieurs interprétations et est le plus souvent instrumentalisée pour faire pression sur les personnes arrêtées.

Que dit la loi ?

Les dispositions légales qui entourent la demande du code de déverrouillage d’un téléphone proviennent initialement de lois assez anciennes, adoptées dans la foulée du 11 septembre 2001¹loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne et prévues principalement dans le cadre de l’anti-terrorisme.

À l’origine, ce texte avait pour esprit de pénaliser le fait de ne pas remettre le mot de passe d’un appareil susceptible d’avoir facilité la commission d’un crime ou délit. On est alors dans les années 2000 et on parle de « convention secrète de déchiffrement » et de « moyen de cryptologie ». Le texte prévoit aussi une peine alourdie si la remise de cette clé aurait pu permettre d’éviter la commission dudit délit. Un petit air de Jack Bauer dans 24H Chrono : tous les moyens doivent être mis en œuvre pour récupérer des informations qui permettraient d’éviter un drame. La garde des Sceaux de l’époque précisait d’ailleurs que ce dispositif s’inscrivait dans la « lutte contre l’usage frauduleux de moyens de cryptologie qui interviennent dans la commission d’infractions particulièrement graves liées, on l’a vu, à des actes de terrorisme ou de grande criminalité ». ²Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..

Alors que ces dispositions légales n’étaient quasiment pas mobilisées par les procureurs, elles sont remises au goût du jour en 2016 par la loi qui succède aux attentats de novembre 2015 en France et renforce la lutte contre la criminalité organisée et le terrorisme (loi n° 2016-731 du 3 juin 2016). C’est cette loi qui permet aujourd’hui à un officier de police judiciaire (OPJ) de solliciter le code de déverrouillage d’un téléphone lors d’une garde à vue. Elle pénalise donc le refus de remettre « la convention secrète de déchiffrement d’un moyen de cryptologie » lorsqu’un appareil est « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » (434-15-2 du code pénal).

La loi de 2016 ne fait en réalité qu’aggraver la peine pour non remise d’une convention de chiffrement, mais ne se prononce pas sur le périmètres des délits concernés. C’est d’ailleurs bien ce qui a permis aux parquets de détourner ce dispositif, présenté au départ pour la lutte contre le terrorisme, et de l’utiliser dans tout un tas de situations. En pratique, l’existence d’un simple « groupement en vue de la préparation » d’un délit, infraction introduite en 2010, punie d’un an de prison et très fréquemment utilisée pour justifier l’arrestation de manifestant·es, suffit désormais à ce que la police puisse demander à accéder au téléphone en GAV.

Ainsi, suivant un schéma désormais tristement connu, le champ des procédures d’exception justifiées par la lutte contre le terrorisme s’élargit et finit par concerner une grande partie de la population. On se souvient ainsi de la loi SILT de 2017 qui était venue intégrer certaines dispositions de l’état d’urgence dans le droit antiterroriste : perquisitions administratives, mesures individuelles de contrôle administratif et de surveillance (MICAS), fermeture de lieux de culte et instauration de périmètres de protection… Mais l’atteinte aux droits et libertés fondamentales inhérente à l’antiterrorisme a vite fait de s’étendre à d’autres situations: c’est sur cette notion de « périmètre de protection » que se basent actuellement de nombreux arrêtés préfectoraux pour interdire les manifestations à l’occasion de la visite d’un ministre ou du président.

L’état actuel de la loi aboutit donc à ce que presque n’importe qui, retenu en garde à vue, puisse se voir demander le code de son téléphone dès lors qu’existe le soupçon d’un lien potentiel entre cet appareil et une éventuelle commission d’infraction. Et si la personne refuse, elle commet une nouvelle infraction qui permet de la poursuivre indépendamment des premiers faits délictueux qui lui étaient reprochés.

Une jurisprudence défavorable

Ces différents textes ont donné lieu à plusieurs interprétations par les juges. Mais la jurisprudence n’a pas davantage protégé les droits des personnes et certaines décisions ont, au contraire, donné un nouveau tour de vis sécuritaire à la possibilité d’accéder au contenu des téléphones.

En 2018, le Conseil constitutionnel a été saisi d’une question prioritaire de constitutionnalité (QPC) et La Quadrature était intervenue au soutien dans cette affaire. Nous avions défendu la nécessaire censure de cette obligation de livrer ses clefs de chiffrement, au motif notamment que cette mesure est attentatoire au droit fondamental de chacun·e à ne pas s’auto-incriminer et au droit à la vie privée.

En vain, puisque le Conseil constitutionnel a considéré que le droit au silence et le droit ne pas s’auto-incriminer n’entraient pas en contradiction avec la pénalisation du refus de communiquer son code. Le tour de passe-passe du Conseil constitutionnel consistait à dire que le droit à ne pas s’auto-incriminer ne pouvait être atteint puisque les données étaient déjà entre les mains de la police au moment où la convention secrète de chiffrement est exigée, même si la police ne détenait qu’une forme illisible – car chiffrée – des données.

Quant à la définition de l’« autorité judiciaire » censée requérir la remise du code, la Cour de cassation a décidé en mars 2021 qu’un simple officier de police judiciaire était habilité, sous le contrôle du procureur, à le faire.³Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone. Ce sont les OPJ qui mènent les gardes à vue, en relation avec le procureur et sous son autorité, leur qualité est notamment visible sur les procès verbaux des différents actes de la procédure. Concernant le code de téléphone, une simple réquisition de l’OPJ semble donc suffire d’après la Cour de cassation. Cette même Cour avait par contre estimé que le juge aurait dû vérifier que le téléphone du prévenu était bien équipé d’un moyen de cryptologie.

Un flou subsistait également quant à l’interprétation retenue par les tribunaux de ce qui constitue une « convention secrète de déchiffrement d’un moyen de cryptologie » : le code de déverrouillage d’un téléphone est-il réellement concerné par ces dispositions ? En effet, techniquement, le code de téléphone n’opère pas une mise en clair de données qui seraient chiffrées au préalable mais permet juste un accès au téléphone et à son contenu, qui peut n’avoir jamais été chiffré. Saisie de cette question, la Cour de cassation a rendu le 7 novembre 2022 une décision clairement défavorable en considérant qu’« une convention de déchiffrement s’entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission ». Cette conception extensive empiète nécessairement sur le droit des personnes à la protection de leurs données personnelles.

Plusieurs cas de figure n’ont à notre connaissance pas encore été tranchés : qu’en est-il d’un oubli de code dans les conditions stressantes de la GAV ou d’une défaillance du système d’exploitation ?

Un espoir au niveau européen?

La Cour de justice de l’Union européenne (CJUE) est actuellement saisie d’une affaire concernant l’accès au téléphone d’une personne placée en garde à vue⁴Affaire C-548/21, Bezirkshauptmannschaft Landeck. Cette affaire concerne une tentative d’exploitation d’un téléphone sans l’accord de son détenteur. La CJUE doit donc dire si l’atteinte au droit à la vie privée et à la protection des données personnelles (droits fondamentaux respectivement protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne) est proportionnelle à l’objectif poursuivi.

Malheureusement, l’avocat général, magistrat chargé de proposer à la Cour une décision, a estimé qu’un tel accès au téléphone devrait être relativement large et ne devrait pas être restreint aux faits de criminalité grave. La CJUE n’est pas obligée de suivre les conclusions de son avocat général, mais si elle le faisait elle mettrait gravement à mal les droits fondamentaux, en autorisant l’exploitation des téléphones peu importe la gravité des faits reprochés . Pire, l’avocat général montre une certaine naïveté lorsqu’il se contente de renvoyer à un contrôle au cas par cas de la nécessité d’exploiter un téléphone : on sait très bien que ces mécanismes de contrôles ne fonctionnent pas, par exemple en matière de vidéosurveillance où les préfets sont censés en théorie contrôler les autorisations alors qu’en pratique leur déploiement est massif.

Cette affaire est pourtant l’occasion pour la CJUE, en s’inspirant de sa jurisprudence sur les données de connexion, de poser un cadre exigeant, en limitant au strict nécessaire l’accès à des données qui, étant donné le rôle d’un téléphone aujourd’hui qui devient presque un avatar numérique, révèlent nécessairement l’intimité des personnes. Gageons qu’elle ne suivra pas son avocat général et qu’elle ne cédera pas aux appels des États membres à donner plus de pouvoirs à la police.

En pratique, atteintes à la vie privée et « confiscations sanctions » à Paris

En attendant, côté manifestant·es, le code de déverrouillage du téléphone est quasi systématiquement demandé lors des GAV et il n’est pas rare que les OPJ brandissent la menace d’une mise sous scellé de l’appareil pour une tentative d’exploitation qui mettra des mois ou n’aboutira jamais.

En pratique, de nombreux commissariats se sont vus doter ces dernières années de dispositifs d’aspiration des données d’un téléphone : Cellebrite, société informatique israélienne, a ainsi commercialisé des UFED (pour Universal Forensics Extraction Device, ou « kiosk »), petits dispositifs qui se branchent par USB sur un téléphone pour en copier le contenu. Cellebrite annonce que leur technologie est capable de contourner le chiffrement d’un téléphone. En pratique, on est bien loin du compte et ces kiosks semblent surtout utiles pour copier les données auxquelles le ou la propriétaire du téléphone a donné accès. 

Ainsi, lorsqu’une personne déverrouille son téléphone, seront utilisées pour la procédure toutes les informations que les policiers pourront trouver : messages dans des applications de messagerie (du type Signal, Telegram, WhatsApp, Messenger, etc.), photos, vidéos, identifiants et contenus de réseaux sociaux, messages SMS, etc. Et la liste n’est pas exhaustive. Des photos et des extraits de conversations pourront alimenter un profil à charge, motiver des peines d’interdiction de manifester ou ouvrir la voie à des poursuites pour d’autres faits. On est déjà bien loin de l’enquête sur des faits de préparation ou de facilitation d’un délit grâce à un téléphone, tel que le prévoit la loi. 

En effet, alors que l’exploitation d’un téléphone n’est en théorie possible que lorsqu’un faisceau d’indices montre qu’il aurait servi à commettre une infraction, en pratique cette condition n’est pas réellement respectée dans les commissariats : la présomption est généralisée et toute personne en GAV verra sont téléphone exploité sans qu’aucun indice ne démontre qu’il aurait servi à préparer ou commettre un délit. Coline Bouillon, avocate au barreau de Créteil ayant participé au dépôt de plainte collectif pour gardes à vue arbitraires, nous a confirmé cette pratique : « Le recours à ce procédé hautement intrusif est devenu monnaie courante, et ce même dans les cas où l’infraction poursuivie ne peut être établie par le contenu d’un téléphone. Bien souvent, les services de police font face à des dossiers vides qu’ils essaient de nourrir par l’exploitation du téléphone de la personne gardée à vue. » Elle pointe aussi l’objectif de renseignement inhérent à la demande de consultation du téléphone : « Cette infraction sert autant à condamner des militants qu’à nourrir des fichiers de police ». Les contacts contenus dans les téléphones pourraient ainsi servir à tracer des arborescences d’un milieu militant (le graphe social), toujours intéressantes pour le renseignement.

Dans le paysage français, le parquet de Paris semble particulièrement zélé. Actuellement, en cas de refus de communiquer les codes, deux procédures sont utilisées aux fins de confiscation des appareils : le classement pénal sous conditions, et l’avertissement pénal probatoire (le cousin éloigné du défunt « rappel à la loi ») par lesquels il est demandé aux personnes de « se déssaisir de leur téléphone au profit de l’Etat». Jusqu’à l’absurde, puisqu’un manifestant a récemment reçu un avertissement pénal probatoire pour avoir refusé de donner le code d’un téléphone… qu’il ne possédait pas.

Le procureur peut également demander à l’audience la confiscation du téléphone en cas de refus de communication du code de déverrouillage (voir ce compte-rendu d’audience du procès de Camille, libraire). Autant de confiscations à la limite du droit : à Paris, plusieurs personnes se sont par exemple vues saisir leur téléphone professionnel dans le cadre d’arrestations arbitraires. Coline Bouillon alerte sur ces « “confiscations sanctions” quasi systématiques » et souligne le fait que la justice décide parfois de poursuivre des personnes uniquement pour le refus de donner son code de téléphone, alors même que l’infraction initiale qui a justifié le placement en garde à vue est tombée.

Nous avons également recueilli le témoignage d’un manifestant qui, à l’occasion d’un piquet de grève d’éboueurs à Aubervilliers, le 31 mars dernier, a été obligé, de même que toutes les personnes présentes, à donner aux policiers, non seulement son identité, mais également accès à son téléphone portable pour que les fonctionnaires récupèrent le numéro IMEI (l’identifiant physique du téléphone, consultable en tapant *#06#). Ces pratiques hors de tout cadre légal suscitent de nombreuses questions : les données prélevées sont-elles stockées quelque part? Quel(s) fichier(s) contribuent-elles à enrichir? Qui y a accès? En 2019, déjà, Le Monde avait documenté une pratique similaire à l’occasion des mouvements de Gilets Jaunes, cette fois-ci par la prise en photo des cartes d’identité des manifestant·es.

Ces pratiques sont le reflet d’une politique pénale du parquet pour le moins agressive à l’encontre des personnes gardées à vue : à la privation de liberté qui s’apparente déjà à une sanction s’ajoute la confiscation du téléphone. Il s’agit clairement d’un dévoiement des textes existants, qui s’inscrit dans une politique générale plus large, à la fois de collecte de renseignements mais aussi de dissuasion des manifestant·es.

Cet état des lieux des pratiques policières et de la protection peu cohérente qui a été accordée par la jurisprudence n’est guère réjouissant. Face à ces pratiques abusives, la meilleure protection des données à ce jour semble encore de ne pas emmener son téléphone en manifestation. Des brochures et guides fleurissent également pour protéger au mieux ses données et informations en contexte militant et la legal team de Paris avait par exemple, en mai 2021, publié un article conséquent à ce sujet et proposé des conseils toujours pertinents. Enfin, certaines applications, comme Wasted ou Duress, permettent de configurer son téléphone pour effectuer un effacement de données en urgence, en activant une appli factice, en tapant un code spécifique ou simplement en réaction à la connexion d’un cable USB au téléphone alors qu’il est verrouillé.
Quoiqu’il en soit, la lutte pour la protection des données n’est pas terminée et le refus de dévoiler son code de téléphone est un choix qui se plaide dans les tribunaux.

References[+]

References

↑1	loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne
↑2	Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..
↑3	Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone.
↑4	Affaire C-548/21, Bezirkshauptmannschaft Landeck

]]> https://www.laquadrature.net/?p=20468http://isyteck.com/autoblog/quadrature/index.php5?20230424_140300_Loi_JO_2024____Passage_de_flambeau_au_Conseil_constitutionnelMon, 24 Apr 2023 12:03:00 +0000 Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 24 avril 2023.

La loi sur les Jeux olympiques a été définitivement adoptée le 12 avril. Dans la foulée, des député·es de l’opposition ont saisi le Conseil constitutionnel. L’Observatoire des Libertés et du Numérique (OLN) a adressé ses observations dans un mémoire (accessible ici), invitant le Conseil constitutionnel à censurer les articles portant sur la vidéosurveillance algorithmique (article 7), les scanners corporels (article 11) et l’infraction d’intrusion dans les stades (article 12).

Après avoir mené le combat contre la vidéosurveillance algorithmique (VSA) au Parlement, l’OLN a réitéré ses critiques auprès du Conseil constitutionnel contre cette technologie de surveillance de masse, introduites pour la première fois en Europe à travers cette loi. Les dangers que la VSA fait peser sur les libertés découlent directement de la conception et du fonctionnement des logiciels de détection des comportements.

Le mémoire débute par un exposé technique, qui se veut didactique, sur l’élaboration de systèmes algorithmiques. El est ensuite démontré que le recours à la VSA ne répond ni à la condition de nécessité ni à l’exigence de proportionnalité.

D’une part, le gouvernement n’est pas parvenu à prouver de façon concrète et tangible une quelconque utilité ou efficacité de la VSA pour prévenir la délinquance, la criminalité ou les situations supposément risquées. D’autre part, les atteintes aux droits sont trop importantes par rapport à l’objectif poursuivi, les prétendues garanties prévues étant illusoires : celles-ci dépendent toutes du bon vouloir de l’État tandis que l’opacité de la fabrication des algorithmes par le secteur privé n’est jamais remise en question.

Le flou des « évènements » censés être détectés par les algorithmes, qui ne sont jamais définis précisément dans la loi ni au cours des débats parlementaires, a été dénoncé. Ils ne seront précisés qu’ultérieurement par décret. La CNIL sera certes consultée mais son avis n’est pas contraignant. Surtout, il est difficile de compter sur cette institution tant elle s’est révélée défaillante sur le sujet notamment depuis qu’elle a perdu son rôle de contre-pouvoir.

Une décision récente de la Cour constitutionnelle allemande a jugé inconstitutionnels des logiciels de police prédictive. Elle a considéré un traitement algorithmique problématique en ce qu’il crée et révèle de nouvelles informations plus intrusives sur les personnes. Le Conseil Constitutionnel a été invité à s’en inspirer.

L’OLN a également soutenu l’inconstitutionnalité de l’article 11, qui met en place des scanners corporels attentatoires au droit à la vie privée, et de l’article 12, qui créé de nouvelles sanctions disproportionnées en cas d’intrusion dans des stades, et dont il est à craindre qu’elles visent principalement les actions militantes dans le prolongement d’autres dispositions législatives répressives.

Le Conseil constitutionnel a maintenant un mois pour se prononcer. Sa jurisprudence passée, validant les dernières lois sécuritaires (loi sécurité intérieure, loi transposant le règlement de censure terroriste, LOPMI) ne laisse rien augurer de bon. Quoi qu’il en soit, les associations et organisations parties prenantes de l’OLN continueront d’agir contre chacune des expérimentations de la VSA et de dénoncer cette escalade vers un État de surveillance de plus en plus généralisé.

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, la Ligue des droits de l’Homme (LDH), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN).

]]> https://www.laquadrature.net/?p=20439http://isyteck.com/autoblog/quadrature/index.php5?20230405_120044_Videosurveillance_biometrique____derriere_l___adoption_du_texte__la_victoire_d___un_lobbyWed, 05 Apr 2023 10:00:44 +0000Derrière l’adoption la semaine dernière par l’Assemblée nationale du projet de loi sur les Jeux olympiques et son article 7 sur la vidéosurveillance biométrique, il y a aussi la victoire d’un lobby. Mêlant multinationales de la sécurité, start-up de l’intelligence artificielle et décideurs publics adeptes de la répression, ce lobby avance ses pions pour récupérer les parts d’un marché estimé à plusieurs milliards d’euros, bien loin de toute notion de transparence et de débat public.

Cet article est réalisé dans le cadre d’un travail commun entre LQDN et l’Observatoire des multinationales.

La semaine dernière, l’Assemblée nationale a adopté le projet de loi « relatif aux jeux Olympiques et Paralympiques de 2024 ». Déjà voté par le Sénat en janvier dernier, ce texte contient un article 7 qui autorise l’expérimentation de la vidéosurveillance automatisée sur le territoire français.

Comme l’a rappelé La Quadrature du Net, cet article entérine un changement d’échelle sans précédent dans les capacités de surveillance et de répression de l’État et de sa police. La vidéosurveillance automatisée (VSA) est un outil de surveillance biométrique qui, à travers des algorithmes couplés aux caméras de surveillance, détecte, analyse et classe nos corps et comportements dans l’espace public pour alerter les services de police et faciliter le suivi des personnes.

Après le déploiement ininterrompu des caméras de vidéosurveillance (dont le nombre exact n’est toujours pas connu), il s’agit d’une nouvelle étape dans la surveillance du territoire. Alors que la VSA est expérimentée depuis plusieurs années en toute illégalité, ce projet de loi sur les Jeux Olympiques vient la légaliser et donner le champ libre aux industriels pour perfectionner et installer dans la durée leurs outils d’algorithmisation de l’espace public.

Un marché à plusieurs milliards d’euros

Comme tout terrain d’influence des lobbies, la vidéosurveillance automatisée est avant tout un marché en pleine expansion. Si l’on en croit la CNIL, qui se base elle-même sur l’étude d’un cabinet américain, le marché représentait en 2020, au niveau mondial, plus de 11 milliards de dollars, avec une croissance de 7% par an (pour celui de la vidéosurveillance, c’est même 45 milliards en 2020 et 76 milliards estimés en 2025).

L’argent attirant l’argent, les grands groupes et les start-up du secteur enchaînent les levées de fonds, aussi bien auprès des acteurs publics que privés. Dernier exemple en date, la start-up XXII qui a levé il y a quelques semaines 22 millions d’euros pour sa solution de surveillance automatisée auprès de Bpifrance. En 2018, c’était Thales qui avait levé 18 millions d’euros pour sa solution de « Safe City » à Nice et à La Défense. Notons aussi Sensivic, qui développe de l’audiosurveillance automatisée, et qui a levé 1,6 million en juin dernier.

N’oublions pas les financements publics directs qui affluent dans le secteur de la vidéosurveillance et qui motivent d’autant plus les entreprises à se positionner sur le marché pour récolter le pactole. En 2022, ce sont 80 millions d’euros du fonds de prévention contre la délinquance qui ont été alloués principalement à la bien mal nommée vidéoprotection (une augmentation de 10 millions par rapport à l’année précédente).

Tant d’argent qui amène tout un écosystème à s’organiser le plus efficacement possible pour profiter du gâteau.

Lobby multiforme : multinationales, start-ups et associations

Ce lobby de la VSA est avant tout multiforme, c’est-à-dire porté par de multiples acteurs, aussi discrets que puissants, parmi lesquels se trouvent des multinationales bien connues telles que Thales, Safran, Idemia, IBM, Atos ainsi que de nombreuses start-up florissantes. Parmi les plus prometteuses, XXII, Two-I, Datakalab, Aquilae ou encore Sensivic.

La plupart sont enregistrés auprès de la Haute Autorité pour la transparence de la vie publique (HATVP), avec à chaque fois le nombre de « représentants d’intérêts » (lobbyistes), les dossiers ayant donné lieu à lobby et un montant moyen des dépenses de lobbying sur l’année. Thales par exemple déclare entre 400 et 500 000 euros de dépenses de lobbying en 2022, Idemia 10 000 euros. Notons que la start-up XXII déclare près de 200 000 euros de dépenses.

Si l’on additionne rapidement les chiffres des entreprises citées au premier paragraphe, on arrive, et alors même qu’il ne s’agit ici que d’un échantillon restreint des entreprises du secteur, à environ 1,4 million d’euros dépensés en lobbying sur une année (à noter bien évidemment que ces entreprises ne s’occupent pas uniquement de VSA et utilisent cet argent pour sûrement d’autres sujets – cela permet simplement de donner un ordre de grandeur).

Leur toile d’influence est d’ailleurs largement plus vaste et complexe. Chacune de ces entreprises, notamment sur le site de la HATVP, renvoie vers des mandants ou des associations qui sont elles-mêmes actives en matière de lobbying. Et sur le sujet de la vidéosurveillance, il y en a tellement que cela devient presque impossible à suivre. Toutes ces entreprises se regroupent dans des associations professionnelles – des lobbies – chargées de représenter leurs intérêts auprès des institutions, telles que le GICAT, l’Alliance pour la confiance numérique (ACN), la Secure Identity Alliance, le CIGREF, le FIEEC et l’AN2V, l’Association nationale de la vidéoprotection… Suivre les dépenses et les activités d’influence publique de chacune de ces entreprises, de leurs mandants (cabinets de conseils) et de leurs associations devient alors quasiment impossible.

Des noms pour la plupart inconnus du grand public, mais qui sont bel et biens intégrés dans les rouages du système et dotés d’une puissante force de frappe en matière d’influence.

Un lobby de l’intérieur

A tout cela, il faut encore ajouter la couche des responsables publics qui influencent l’appareil étatique de l’intérieur. Les entreprises n’ont pas toujours besoin de dépenser beaucoup d’énergie pour convaincre des décideurs qui semblent eux-mêmes déjà persuadés de la nécessité de transformer nos villes en un fantasme sécuritaire. La liste serait longue à faire mais on peut évoquer les principaux.

Le plus vocal est Christian Estrosi, le maire de Nice, aujourd’hui proche du pouvoir et qui ne cesse de se faire le promoteur de la vidéosurveillance automatisée. Depuis plusieurs années, il expérimente la VSA hors de tout cadre légal et insulte la CNIL dès que celle-ci ose, occasionnellement, lui faire des remontrances. Il n’est bien évidemment pas le seul.

Outre les ministres de l’Intérieur qui sont, par nature, les premiers à défendre les différentes lois sécuritaires (citons Gérarld Darmanin qui lors de l’examen de la loi sur les Jeux Olympiques a défendu la VSA avec passion), plusieurs députés se sont déjà fait les chantres de l’industrie : Jean-Michel Mis, ancien député de la majorité, qui a rédigé un rapport vantant la VSA et proche de l’industrie (voir son portrait ici), Didier Baichère, lui aussi ancien député de la majorité qui a multiplié les entretiens pour faire de la reconnaissance faciale « éthique », Philipe Latombe, député Modem en place qui a donné de sa personne à l’Assemblée pour la défense de la VSA. Citons enfin Marc-Philippe Daubresse, sénateur, qui, on le verra plus bas, a redoublé d’efforts pour convaincre ses collègues de la nécessité de déployer la VSA.

Il n’y a d’ailleurs pas que l’Intérieur. Le secrétariat d’Etat au numérique lui aussi a toujours été un allié de l’industrie de la VSA. Cédric O, ancien de Safran et ancien Secrétaire d’Etat, est allé jusqu’à dire que « expérimenter la reconnaissance faciale est une nécessité pour que nos industries progressent ». Qui retrouve-t-on d’ailleurs aujourd’hui au poste de directeur de cabinet de l’actuel Secrétaire ? Renaud Vedel, ancien préfet engagé sur la stratégie nationale pour l’IA, qui avait déjà prouvé son goût pour la surveillance biométrique.

Autant d’acteurs ou de proches de la majorité se sont fait remarquer pour leur énergie à expliquer l’intérêt et le formidable progrès que représente, selon eux, la surveillance de masse algorithmique. L’influence de ce lobby s’étend la Cour des Comptes qui, en 2023, déclarait sans aucune forme de retenue que « les innovations technologiques qui pourraient être déployées pour assurer une meilleure sécurité des Jeux et réduire les besoins doivent être arbitrées et financées sans délai ».

La stratégie d’influence des industriels est d’autant plus efficace qu’il ne s’agit pas de deux mondes, privé et public, distincts, mais d’un seul système où les uns et les autres s’échangent les postes et responsabilités.

Brassage public-privé

Cette influence passe en effet aussi par des techniques traditionnelles, comme le mécanisme ordinaire des portes tournantes, qui consiste à embaucher des personnes passées par le secteur public, afin de profiter de leur connaissance des rouages du système et de leur réseau personnel.

Quelques exemples. Chez Thales, la directrice des relations institutionnelles Isabelle Caputo a travaillé plusieurs années avant à l’Assemblée nationale. Olivier Andries, le Directeur général de Safran, a commencé sa carrière dans la fonction publique, au ministère de l’Industrie puis à la direction du Trésor, avant de devenir conseiller pour l’industrie dans le cabinet du ministre de l’Économie et des Finances. Toujours chez Safran, le directeur des affaires publiques, Fabien Menant, a quant à lui occupé des postes à la mairie de Paris, au ministère des Affaires étrangères, puis de la Défense.

N’oublions pas les start-up et les associations : François Mattens, lobbyiste pour XXII, est passé par le Sénat, le ministère de l’Intérieur et celui des Affaires étrangères et Axel Nicolas, actuel directeur des affaires publiques pour le GICAT, est un ancien de l’Assemblée nationale.

On pourrait continuer longtemps. Les acteurs du lobby ont en commun le même entremelêment d’expériences dans l’administration, dans le privé, au Parlement qui tendent à en faire une force compacte, qui partage les mêmes réseaux, le même carnet d’adresses – et qui multiplie les possibilités d’échanges occasionnels, discrets, loin des regards du public.

Tout ce monde se retrouve d’ailleurs bien officiellement au COFIS (pour « Comité de la filière industrielle de sécurité ») qui, selon sa page officielle, permet « un dialogue public-privé rénové« , c’est-à-dire, en plus clair, met en relations industriels de la sécurité et hauts fonctionnaires. La liste des participants à son comité de pilotage atteste de cette mixité public-privé. Nous avons cherché à en savoir plus sur ce fameux dialogue public-privé, en sollicitant les documents préparatoires à la signature du contrat stratégique pour la filière « Industries de Sécurité », conclu le 30 janvier 2020 par le gouvernement et le COFIS. Nous n’avons toujours obtenu aucune réponse malgré un avis positif de la Commission d’accès aux documents administratifs (CADA).

Rendez-vous discrets

Les rendez-vous avec les responsables publics se font souvent très discrètement, ce mélange entre public et privé empêchant une réelle publicité des liens entre industries de la sécurité et pouvoirs publics.

Ainsi, malgré l’obligation de les produire chaque année au registre de la HATVP, les déclarations d’activités de lobbying restent sommaires et imprécises, ne permettant pas de rendre compte de l’ampleur et de la portée de ces rencontres, d’autant qu’elles sont soumises au bon vouloir des entreprises.

Par exemple, on sait que des représentants de Thales ont rencontré un « Membre du Gouvernement ou membre de cabinet ministériel – Intérieur » (qui?) sur l’activité « Plan numérique du Gouvernement : Sensibiliser sur les enjeux industriels de l’identité numérique » entre le 1er janvier et le 31 décembre 2020 (quand?). On ne sait donc ni qui, ni quand, ni où, ni la forme de cette rencontre et ce qui en a résulté.

Assez peu d’activités de lobbying sont en réalité déclarées sur le sujet. Par exemple, Thales n’a déclaré que 5 activités tous domaines d’activités confondus en 2021, Idemia aucune, Safran seulement 2 en 2022…

Sans compter que ces déclarations ne prennent pas en compte le lobbying plus insidieux, indirect, qui s’exerce à travers la participation des entreprises aux travaux des think thanks, leurs liens dans les universités, l’organisation de conférences, au sein du COFIS ou aux multiples salons qui pullulent sur le sujet (le plus connu reste Milipol, auto-proclamé évènement mondial de la sécurité intérieure). À quoi il faut encore ajouter les activités des associations professionnelles qui regroupent ces mêmes entreprises.

Du côté des décideurs publics, on ne trouve pas plus d’information. L’agenda public du Ministre des armées, Sébastien Lecornu, annonce un seul rendez-vous avec Patrice Caine, le DG de Thales, le 8 juillet 2022, mais sans dévoiler les sujets discutés.

Le Sénat main dans la main avec les industriels de la VSA

La même alliance complaisante entre décideurs et industriels se remarque dans les rapports parlementaires faisant la promotion de la VSA. Et ils sont nombreux. En 2019, une note de l’OPECST étudie la reconnaissance faciale. En septembre 2021, c’est Jean-Michel Mis qui remet une note au Premier ministre sur le sujet. En mai 2022, c’est Marc Daubresse qui rend son rapport sur la surveillance biométrique sur lequel on reviendra plus bas. Et aujourd’hui, en 2023, la mission d’information de Latombe devrait rendre sous peu son rapport.

Ce sont aussi les modalités de rédaction de ces rapports qui interpellent. À l’occasion de l’examen de la loi JO au Sénat, un rapport général d’information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles a été rendu le 10 mai 2022.

Ont été auditionnés plusieurs entreprises et lobbies du secteur : IDEMIA, ID3 Technologies, Amazon France, Microsoft France, l’Alliance pour la confiance numérique, l’AFNOR et Meta et IBM ont livré des contributions écrites. Par contraste, seules trois associations de défense des libertés – dont la Quadrature du Net – ont été entendues.

Le plus choquant reste les rencontres privilégiées dont ont pu profiter les entreprises à l’occasion de l’élaboration de ce rapport. La mission d’information a organisé plusieurs déplacements de délégués entre février et avril 2022 pour participer à des événements professionnels dédiés à la promotion de la vidéosurveillance ou pour des démonstrations offertes par les industriels. Le jeudi 17 mars 2022 par exemple, la délégation s’est rendue à Nice et pu visiter le Centre de supervision de la Ville, assister à des présentations des travaux en matière de reconnaissance faciale de l’INRIA et du Sophia Antipolis Accenture Labs (un centre de recherche financé par l’entreprise Accenture) avant de participer à une table ronde d’entreprises qui développent des solutions utilisant la reconnaissance faciale. Une journée très productive pour le lobby de la surveillance.

Quelques jours plus tard, le 29 mars 2022, clou du spectacle au centre Thales de Meudon, où les sénateurs ont été invités à participer à différentes activités, présentations des produits Thales et démonstrations vantant l’efficacité de la VSA, une vitrine inestimable pour l’entreprise.

Au cours de ses 5 jours de déplacements entre la France et Londres, la délégation n’a en revanche assisté à aucun événement critique de la VSA. Une simple comparaison entre le temps passé à absorber les élements de langage des industriels de la sécurité et celui à écouter les critiques de la vidéosurveillance suffit à comprendre le caractère absurdement biaisé de cette mission parlementaire.

Il suffit de reprendre les comptes-rendus des débats du Sénat et de l’Assemblée pour voir les effets d’une telle proximité sur la manière dont la loi est examinée et adoptée.

Adoption du texte et victoire du lobby de la VSA

Il n’y a jamais eu de véritable « débat » ou « réflexion » sur la question de la vidéosurveillance biométrique en France. L’adoption de l’article 7 de la loi JO est avant tout l’aboutissement d’un travail d’influence de multinationales, de start-up et de décideurs publics qui veulent se faire une place sur les marchés de la sécurité.

La toute petite partie de ce travail d’influence qu’il nous est possible d’analyser, sur la base des déclarations partielles du registre de transparence de la HATVP, laisse deviner la force de frappe de ce lobby, que ce soit en matière d’argent ou de réseaux. C’est surtout l’entremêlement public-privé qui le caractérise, ce dont personne ne semble se cacher, comme s’il était naturel que les personnes au pouvoir, qui décident et votent sur le sujet, soient aussi proches des industriels qui vendent leurs produits.

Il est toujours effrayant de voir comment à force d’expérimentations illégales, de mirage financier et de déterminisme technologique, ce lobby a réussi à faire voter une loi lui donnant les mains libres dans l’expérimentation de ces technologies.

]]> https://www.laquadrature.net/?p=20415http://isyteck.com/autoblog/quadrature/index.php5?20230330_113053_____Le_numerique_nous_insere_dans_une_trame_toujours_plus_resserree____Thu, 30 Mar 2023 09:30:53 +0000Fin 2022, deux membres de La Quadrature ont répondu aux question de Ruptures, un collectif de militant.es grenoblois.es formé à l’automne 2021. L’entretien a été publié dans leur journal La nouvelle vague n°10, paru en mars 2023. Cet échange aborde les enjeux de la campagne Technopolice, le front plus large de la lutte contre les technologies numériques de contrôle, ainsi que certaines questions stratégiques. Nous le reproduisons ci-dessous.

Pouvez-vous nous expliquer ce qu’est la technopolice, et les moyens d’actions que vous vous êtes donnés ?

Technopolice est le nom de la campagne de recherche-action lancée par La Quadrature du Net en 2019. Elle désigne aussi ce contre quoi nous luttons dans cette campagne, à savoir le développement et l’adoption croissante par la police française de nouvelles technologies numériques dédiées à la surveillance de l’espace public : vidéosurveillance automatisée et microphones intelligents censés repérer des comportement suspects, police prédictive, drones… Depuis le départ, l’idée est de documenter la genèse et la mise en œuvre de déploiement de ces technologies, des laboratoires de recherches qui les mettent au point aux usages opérationnels en passant par les grands programmes budgétaires et les lois qui les financent ou en autorisent l’usage.

Nous tentons aussi d’offrir à des individus ou collectifs des analyses, guides, des espaces de discussion afin d’articuler les combats locaux à des mobilisations nationales ou européennes. Nous dénonçons des projets de loi et tentons de faire supprimer les dispositions les plus dangereuses ; nous allons devant les tribunaux pour démontrer l’illégalité de certains projets et y mettre un terme (par exemple, nous avons attaqué le couplage de l’intelligence artificielle et de la vidéosurveillance à Moirans) ; nous organisons des actions de sensibilisation, d’affichage public ou des projections de documentaires pour faire connaître notre combat et convaincre de nouvelles personnes d’y prendre part. Plus largement, notamment aux travers de nos interactions avec certains médias, nous cherchons à sensibiliser les gens à la prolifération de ces technologies de surveillance policière et à mettre en œuvre les moyens d’y résister collectivement.

État d’urgence, État d’urgence sanitaire, procédures parlementaires accélérées, 49.3, procédures dérogatoires au droit commun… Devant la multiplication de règles de droit à géométrie variable, la question se pose : peut-on encore croire en la justice ?

À La Quadrature du Net, nous avons commencé à développer l’action contentieuse en 2015, après avoir constaté que nos stratégies d’influence parlementaire achoppaient sur un consensus sécuritaire de plus en plus prégnant, à gauche comme à droite. Notre idée d’alors était que si le législateur était incapable de protéger les droits humains inscrits au sommet de la hiérarchie des normes juridiques, si « les droits de l’Homme et du citoyen » ne trouvaient plus aucune traduction tangible dans la fabrique de la loi, alors il fallait mobiliser le terrain judiciaire contre l’alliance entre un pouvoir exécutif dopé à l’exception et un Parlement trop enclin à lui concéder les pleins pouvoirs.

Nous savons que le champ juridique agit en grande partie comme un terrain de neutralisation des revendications politiques et de la contestation de l’ordre établi. Force est de constater que les usages contestataires du droit se heurtent à toutes sortes d’obstacles techniques – par exemple la lenteur des procédures – et au fait que le plus souvent, les magistrats – et c’est en particulier le cas du Conseil d’État devant qui se soldent nos contentieux contre le gouvernement – agissent comme des garants de l’État et de sa violence.

Mais de fait, il se trouve encore des juges pour tenir tête au pouvoir politique. Nous avons remporté quelques victoires, dont certaines non négligeables, à l’image de l’interdiction de la reconnaissance faciale à l’entrée des lycées de la Région Sud ou devant la Cour de justice de l’Union européenne dans le dossier de la conservation généralisée des données (les opérateurs de télécommunications sont censés conserver les métadonnées de la population – qui communique avec qui, à quelle heure, pendant combien de temps, depuis quel endroit). Et ces jurisprudences créent un univers de contraintes autour des bureaucraties d’État. Elles permettent aussi de donner de l’écho à nos luttes politiques.

Au final, l’action juridique est ambivalente. Il y a toujours le risque qu’une défaite vienne légitimer ce contre quoi on se bat. Mais, à condition d’être articulée à d’autres modes d’action, elle reste selon nous un outil symbolique fondamental. Car en dépit de toutes leurs limites et contradictions internes, les droits humains sont un héritage des luttes démocratiques des siècles passées. Nous sommes en tout cas d’avis qu’il importe de les faire vivre en ces heures sombres. Même lorsque nous perdons ou que nous obtenons des victoires temporaires ou cosmétiques, nos recours permettent de mettre en évidence les contradictions d’un régime représentatif qui s’enfonce dans le libéralisme autoritaire, de parler aux juges dans leur langage qui prétend à l’universel et de montrer dossier après dossier à quel point l’État de droit qu’ils prétendent incarner n’est pour l’essentiel qu’un mensonge, à quel point ils demeurent pour la plupart, comme l’écrivait Pierre Bourdieu, les « gardiens de l’hypocrisie collective ». Bref, lorsqu’il est bien manié et complété par d’autres moyens de lutte, le droit peut en réalité être un moyen de délégitimer le pouvoir et donc d’y résister.

Selon tous les indicateurs, les prochaines années vont être secouées de multiples crises (climatique, sanitaire, économique…), que Jérôme Baschet unifie sous le terme de « crise systémique du capitalisme ». Dans le contexte de nouvelles tensions géopolitiques entre grandes puissances (Russie vs Ukraine/Europe, Chine vs Taïwan/usa,…), avec toutes les entorses au droit que cela permet, et avec le développement de moyens technologiques toujours plus puissants, quelles évolutions du contrôle social envisagez‑vous pour les prochaines années ?

Nous n’avons évidemment pas de boule de cristal et il est reste très compliqué de faire des prédictions, à fortiori dans un environnement politique aussi tumultueux. Sans doute la crise sanitaire a-t-elle offert un bon aperçu de ces nouvelles formes de contrôle social qui vont continuer à se développer dans les prochaines années, ou revenir en force à l’aune des prochaines « crises ».

La reprise en main d’Internet risque de se poursuivre au rythme de sa place toujours plus importante dans l’infrastructure de nos sociétés de masse. Les quelques espaces alternatifs qu’une association comme La Quadrature du Net s’est donné pour objectif de défendre risquent de connaître une marginalité encore plus grande qu’aujourd’hui. Dans le même temps, les espaces « mainstreams » – fussent-ils la propriété de libertariens comme Elon Musk – continueront de s’insérer dans les politiques de contrôle étatiques. Ils seront les seuls à pouvoir surnager dans un océan de normes toujours plus drastiques en matière de censure, de surveillance ou de cybersécurité, tout en continuant de jouer un rôle dans les compétitions géopolitiques internationales. Ainsi, la censure extra-judiciaire d’Internet a beaucoup progressé ces dernières années, que ce soit au prétexte de lutter contre la propagande terroriste et les discours de haine que de combattre la désinformation scientifique, comme on l’a vu pendant la crise sanitaire. Les élites politiques prétendent s’armer contre la position dominante d’acteurs comme Google, Microsoft et consorts. La réalité, c’est que les dispositifs mis en place consacrent ces entreprises dans le rôle de points de contrôle sur lesquels peut s’appuyer la reprise en main d’Internet.

Il y a aussi l’automatisation croissante de l’ensemble des structures bureaucratiques qui nous administrent, de Parcousup à Linky en passant par les algorithmes de la CAF ou de Pôle Emploi. La déshumanisation bureaucratique va se poursuivre sous les oripeaux de la « transformation numérique » de l’État et du marché, cherchant à invisibiliser le déni de justice et la violence de classe liés à ces bureaucraties, le tout sous couvert d’efficacité. La 5G et la domotique s’inscrivent dans ce mouvement vers une capillarité croissante de l’infrastructure numérique, insérant nos existences dans la trame toujours plus resserrée d’administrations centralisées.

Et puis il y a les questions d’identité numérique. Les plans en la matière au niveau européen ou français permettront demain de confier à n’importe quelle personne munie d’un smartphone la mission de contrôler les allées et venues de la population, la capacité de les retracer dans le temps encore plus finement que ne le permettent les réseaux de télécommunications, de réguler l’accès à certains espaces ou services sans forcément en passer par la police, et ce à un coût extrêmement faible pour l’État puisque nous avons déjà financé l’essentiel de cette infrastructure en achetant nous-mêmes nos smartphones. Depuis le mois d’août 2021, les cartes d’identité délivrées en France embarquent un code en deux dimensions contenant les données d’état civil et l’adresse du domicile – des informations lisibles par n’importe qui – et une puce biométrique lisible pour l’instant pour les seuls usages « régaliens ». Quelques jours plus tard, la multinationale française de l’identité Idemia a été retenue par l’Agence nationale des titres sécurisés (ANTS) dans le cadre du programme interministériel France Identité Numérique. Le but de ce marché public est de permettre de contrôler l’identité d’une personne à l’aide d’un smartphone et de la nouvelle carte d’identité électronique. Ces évolutions préparent dans l’Hexagone la généralisation du « portefeuille d’identité numérique » européen prévue pour 2024, et promue par le commissaire européen Thierry Breton.

Ce qui se passe en Chine sur le plan du contrôle numérique nous concerne assez directement. En effet, derrière les stratégies de distinction des élites européennes, la modernisation à marche forcée de la société chinoise en lien avec l’édification d’un système techno-sécuritaire spectaculaire contribue à un véritable soft-power de l’Empire du milieu auprès des élites européennes. Comme le résume Junius Frey dans la préface française d’un livre du philosophe Yuk Hui, « la gouvernementalité chinoise sert d’ores et déjà de modèle aux formes occidentales d’exercice de la puissance ». Après, ici comme là-bas, on sent bien à quel point toutes ces tendances sont fragiles. Elles sont non seulement insoutenables au plan écologique – sauf à finir de mettre la planète à sac – et elles restent soumises à de multiples résistances.

Outre son impact en termes de contrôle social, il nous semble que la technologie a d’autres aspects négatifs : emprise totalitaire sur nos vies, aliénation (chacun rivé sur son écran à regarder des vidéos pour se divertir), dépendance de plus en plus accrue à l’énergie et aux matières premières… Pensez-vous que c’est simplement l’usage policier de la technologie qui est problématique ? Ou bien la technologie est-elle la manifestation de la démesure humaine à l’ère industrielle ? En d’autres termes : selon vous la technologie est-elle neutre ?

Bien sûr que non, la technologie n’est pas neutre : bien qu’elle soit plurielle et elle aussi soumise à des tendances contradictoires, elle est globalement produite – et elle tend généralement à reproduire – un système politique, économique et social à la fois écocide, capitaliste, raciste, patriarcal. Et oui, la technologie porte en elle la démesure d’un système technicien mis presque tout entier au service de l’édification de sociétés de masse inégalitaires, bureaucratisées et industrialisées.

Nous sommes parties prenantes d’un milieu militant qui a largement bercé dans les utopies fondatrices d’Internet, mais l’expérience politique collective qu’est La Quadrature du Net nous a permis de nous en départir. Même si nos moyens limités nous conduisent à mettre l’accent sur tel ou tel sujet selon les moments, notre action collective est loin de se réduire aux seuls sujets liés à la Technopolice, bien qu’ils soient sans doute les plus visibles ces temps-ci. Nous voyons évidemment plus loin que les usages policiers et nous sommes bien conscients de l’imbrication entre technologies numériques et les différentes formes de pouvoir qui régissent nos existences.

L’une des difficultés, une fois que l’on admet cette non-neutralité de la technique, c’est que le numérique est un fait social total et qu’il est très difficile aujourd’hui d’exister socialement ou politiquement sans en passer par lui. Ce qui pose la question de la place que l’on accorde aux usages alternatifs de l’informatique, des formes d’adoption minimale auxquelles nous consentons malgré tout, et la manière dont on peut les articuler à des stratégies d’évitement ou de contestation des infrastructures numériques existantes. Sur ces sujets notamment, il existe des positions et des pratiques diverses au sein de notre collectif. Nous tâchons de nous nourrir de cette diversité et des débats qu’elle suscite.

Que faire face à ce déferlement de contrôle ? Peut‑on revenir en arrière ? Quels moyens de résistance pensez‑vous efficaces ?

Revenir sur les lois sécuritaires et les régimes d’exception est bien évidemment possible, mais soyons lucides : le vent de l’histoire n’est pas favorable. Sur le plan de la matérialité technologique, revenir en arrière est impossible. Nous héritons quoiqu’il arrive de quantités d’infrastructures numériques qu’il faudra pour certaines maintenir – au moins un temps –, d’autres dont il faudra organiser le démantèlement immédiat, le tout en s’occupant de milieux saccagés dont nous devrons tâcher de tirer nos moyens d’existence.

Quant aux stratégies de résistance efficaces, notre sentiment personnel, c’est que même si certaines sont plus pertinentes que d’autres, il ne faut en rejeter aucune à priori. De l’entrisme au sabotage, toutes peuvent avoir leur efficacité dans un contexte donné. À chacun de décider ce qui lui incombe de faire, selon ses positions sociales et ses appétences, en essayant d’apprendre constamment de nos échecs et de nos erreurs ; d’être lucide, d’ajuster le diagnostic et de réviser nos tactiques avant de réessayer.

L’efficacité politique de nos luttes dépend sans doute pour beaucoup de notre capacité à articuler toutes ces différentes manières de faire, à nourrir un dialogue et des solidarités entre elles en faisant preuve de réflexivité, en les arrimant à un horizon commun de rupture avec le système existant pour faire percoler la radicalité. Même lorsque tout peut sembler perdu, rappelons-nous qu’à travers l’histoire, des pouvoirs en apparence inébranlables se sont avérés extrêmement fragiles. Des stratégies réfléchies et la contingence de l’histoire peuvent en venir à bout bien plus vite qu’il n’y paraît.

]]> https://www.laquadrature.net/?p=20395http://isyteck.com/autoblog/quadrature/index.php5?20230323_131217_La_France__premier_pays_d___Europe_a_legaliser_la_surveillance_biometriqueThu, 23 Mar 2023 12:12:17 +0000L’article 7 de la loi sur les Jeux olympiques a été adopté ce midi par l’Assemblée, actant l’entrée formelle de la vidéosurveillance algorithmique (VSA) dans le droit français, jusqu’en décembre 2024. À l’ombre du tumulte de la réforme des retraites, et grâce à une procédure comme d’habitude extrêmement rapide, le gouvernement a réussi à faire accepter une des technologies les plus dangereuses jamais déployées. Pour cela, il a usé de stratégies, de mensonges et de récits fictifs, pour que jamais ne soient sérieusement et concrètement discutés le fonctionnement technique de ces outils et leurs conséquences politiques et juridiques en termes de surveillance de masse. Grâce à une majorité totalement désinvestie et au soutien total de l’extrême droite, la VSA a donc pu être légalisée sur la base de mensonges sapant toujours un peu plus le jeu démocratique.
• Le mensonge de la biométrie : le gouvernement a répété et inscrit dans la loi que la VSA ne relevait pas de la surveillance biométrique. C’est totalement faux. Cette technologie identifie, analyse, classe en permanence les corps, les attributs physiques, les gestes, les silhouettes, les démarches, qui sont incontestablement des données biométriques. Nous n’avons cessé de l’expliquer (voir notre note et notre video), de le rabâcher aux rapporteurs du Sénat et de l’Assemblée ainsi qu’aux députés, comme l’ont également fait 38 organisations internationales et une quarantaine d’eurodéputés qui ont récemment interpellé le gouvernement. Mais celui-ci a continué de s’enfoncer dans ce mensonge à la fois technique et juridique. Ainsi la France viole à nouveau le droit de l’Union européenne et consacre sa place de championne européenne de la surveillance.
  
• Le mensonge de l’utilité : le gouvernement a utilisé les Jeux olympiques comme prétexte pour atteindre plus vite l’objectif, fixé depuis des années, de légaliser ces technologies, s’inscrivant par là dans la « tradition », observée partout ailleurs et consistant à instrumentaliser de façon très opportuniste les méga-évènements internationaux. Le gouvernement a réussi à faire croire à une nécessité, fabriquée de toute pièce, pour « repérer les colis suspects » ou « prévenir les mouvements de foule ». Ces évènements sont soudainement devenus la nouvelle priorité du ministère de l’Intérieur et des députés zélés, qui n’ont cessé de résumer la sécurité des JO à ces situations, rarement identifiées comme prioritaires en temps normal, et dont nous démontrions ici que la résolution dépend davantage de maîtrise humaine que de technologie. Ainsi, la VSA a été acceptée sur le seul fondement d’un mythe bien ancré selon lequel la technologie permettrait d’assurer magiquement la sécurité, sans qu’aucune évaluation ni démonstration de l’utilité ou de la proportionnalité de ces technologies très opaques n’ait jamais été honnêtement réalisée.
  
• Le mensonge technique : l’application principale de la VSA consiste à identifier des comportements que la police aura préalablement définis comme « suspects ». Arbitraire et dangereux par essence, le fonctionnement de ces algorithmes n’a jamais été expliqué par le gouvernement : et pour cause, il n’est sans doute pas compris par la majorité des décideurs… Incompétence inexcusable ou volonté assumée de noyer le poisson, dans tous les cas, cela a ramené les débats parlementaires à un niveau extrêmement bas, qui n’est pas à la hauteur des enjeux gravissimes soulevés par ces technologies biométriques. Grâce à l’aide des rapporteurs Renaissance Guillaume Vuilletet et Sacha Houlié (le remplaçant) et de quelques députés, ce sont les rhétoriques de minimisation tirées des arguments de vente des entreprises de la VSA, les mensonges et les inepties techniques qui ont prédominé. Ce qui en ressort, c’est l’incapacité patente du Parlement à discuter de questions techniques, mais surtout la crainte légitime que la société doit avoir pour le futur, au vu de l’incompétence des représentants à appréhender les contours et les dangers des prochaines technologies qui émergeront.

À l’heure où les images de violences policières inondent les écrans, où la police, armée de matraques, assure le service après-vente de mesures impopulaires au possible, l’accentuation de la surveillance policière participe d’une stratégie politique visant à étouffer toute contestation.

Il faut dénoncer ces manœuvres permettant à l’État de détourner la réalité des prérogatives de surveillance qu’il s’arroge. Particulièrement dans un contexte où les mots sont sciemment déviés de leur sens, où l’on tente de nous convaincre que « la surveillance c’est la protection », que « la sécurité c’est la liberté », et que « la démocratie c’est le passage en force ». Il est nécessaire de visibiliser, de contrer ce faux jeu démocratique, et de remettre en cause sans relâche les pouvoirs exorbitants attribués à l’appareil policier français. Il n’est pas nécessaire d’évoquer une dystopie « à la chinoise » pour prendre la mesure des dangers. Mieux vaut regarder l’histoire française et le climat politique actuel, pour mesurer et comprendre la fuite en avant sécuritaire visible depuis vingt ans : toujours plus de caméras, de surveillance et de fichiers, dans une dépolitisation croissante des enjeux sociaux, et une perte de repères des décideurs politiques. Ainsi, les débats sur la loi JO ont principalement brillé par la perte de boussole politique des dirigeants qui semblent hermétiques à tout questionnement sur ces sujets.

Cette première légalisation de la vidéosurveillance automatisée est une victoire d’étape pour les industries sécuritaires françaises. Elles qui demandaient depuis des années à pouvoir tester leurs algorithmes sur les populations, pour les perfectionner et les vendre à l’international, les voilà servies. Bientôt Thales, XXII, Two-I et Neuroo pourront vendre leurs logiciels biométriques à d’autres États, tout comme Idemia a vendu sa technologie de reconnaissance faciale à la Chine. La startup XXII n’a même pas attendu le vote de la loi pour annoncer en fanfare qu’elle avait levé 22 millions d’euros pour devenir, selon ses mots « le leader européen » de la VSA.

Du côté des institutions censées préserver les libertés, comme la CNIL, on note une démission totale. Institution dotée de véritables capacités de contre-pouvoir pour mesurer les velléités étatiques de surveillance à sa création en 1978, la CNIL est devenue un service après-vente des mesures gouvernementales et s’applique méticuleusement à accompagner les entreprises à exercer une « bonne » surveillance afin de préserver les intérêts économiques de l’industrie en dépit de toute considération pour les droits et libertés collectives.

Cette première légalisation de la vidéosurveillance automatisée va nécessairement ouvrir la voie à toutes les autres technologies de surveillance biométrique : audiosurveillance algorithmique, reconnaissance faciale, suivi biométrique des personnes a posteriori…

Nous n’allons pas lâcher le combat, nous continuerons de dénoncer les mensonges du gouvernement, nous serons présents dès que la première expérimentation sera mise en œuvre pour documenter les abus inévitables auxquels conduisent ces technologies. Nous chercherons des moyens de les contester devant les tribunaux, et nous nous battrons pour que cette expérimentation ne conduise pas, comme c’est hélas probable, à leur pérennisation.
Et nous continuerons de refuser ces technologies et la Technopolice qu’elles incarnent, notamment en nous battant au niveau européen pour obtenir leur interdiction.

Alors si vous voulez nous aider dans cette lutte, gardez un œil sur ce qu’on pourra lancer dans les mois à venir, et si vous le pouvez n’hésitez pas à faire un don !

]]> https://www.laquadrature.net/?p=20365http://isyteck.com/autoblog/quadrature/index.php5?20230321_152834_Fiasco_du_Stade_de_France____la_VSA_ne_masquera_pas_les_echecs_du_maintien_de_l___ordreTue, 21 Mar 2023 14:28:34 +0000Alors que la loi JO est actuellement débattue à l’Assemblée, que l’article 7 va être examiné ce soir ou demain en séance, que plus de 250 élu·es appellent à s’opposer à la VSA, tout comme 38 organisations internationales et les eurodéputés, le gouvernement continue de défendre dur comme fer cette technologie. Et pour cela, il monte en épingle des problèmes de sécurité avec des arguments fallacieux :

Dans un précédent article, nous revenions sur les stratégies d’acceptation des technologies biométriques utilisées par les industriels et les politiques. Nous avions listé quelques-unes de ces stratégies, comme la dépolitisation des mesures de surveillance, l’expérimentation pour faire croire à leur côté éphémère, la dialectique du progrès versus les réactionnaires qui refusent de tels dispositifs… Et l’une d’entre elles consiste à être opportuniste, c’est-à-dire à utiliser n’importe quel événement ou actualité médiatique pour justifier l’utilisation de la vidéosurveillance algorithmique, et même parfois la reconnaissance faciale.
Le fiasco du Stade de France est un de ces évènements. Durant les débats à l’Assemblée et au Sénat, le ministère de l’Intérieur, de même que les députés et sénateurs de la majorité, n’ont pas cessé de faire référence à la finale de la Ligue des champions comme exemple ultime de la nécessité pour la France de se doter en algorithmes d’analyse d’images afin de garantir la sécurité lors de grands événements comme les Jeux olympiques. En réalité, il s’agit plutôt d’instrumentaliser une catastrophe pour cacher un échec, le cas du Stade de France étant un parfait contre-exemple pour montrer que la technologie sécuritaire ne fonctionne visiblement pas.

Rappel des faits

Le 28 mai 2022 avait lieu la finale de la Ligue des champions de football, opposant les clubs de Liverpool et du Réal de Madrid. Mais suite à une conjonction d’événements, la soirée a viré au drame : le RER B en grève, les autorités décidant de placer un point de contrôle pour plusieurs milliers de personnes en amont, à la sortie d’un corridor sous l’autoroute, finalement enlevé en fin de journée pour risque de piétinement. Ensuite des temps d’attente interminables avant d’entrer dans le stade, sans aucune information ni indication, des supporters agressés, les grilles du stade de France fermées, des personnes qui s’agglutinent et enfin l’usage de gaz lacrymogène par la police par dessus tout ça. Finalement, le coup de sifflet sera donné avec plus de 30 minutes de retard. Cet article, qui reprend le rapport cinglant de l’UEFA (Union des associations européennes de football), livre des témoignages glaçants de supporters.

L’instrumentalisation de l’événement

Dans un rapport sénatorial chargé de faire la lumière sur les événements et publié en juillet 2022, les élus étrillaient le ministère de l’Intérieur et son chef, G. Darmanin, pour « dysfonctionnement » et « défaillances ». L’Intérieur est accusé : « Les premières déclarations ne correspondaient pas à la vérité », et sont pointées les « défaillances » de la préfecture de police de Paris. Défaillances reprises par le rapport de l’UEFA, qui, à l’aune de centaines de témoignages, analyse les failles de la gestion sécuritaire de la préfecture de police de Paris et de l’Intérieur.

Si la situation n’a pas débouché sur une catastrophe, le rapport de l’UEFA
estime notamment que c’est uniquement grâce au sang froid des supporters : « Mieux organisés et plus réactifs que les policiers et les gendarmes chargés de veiller à leur sécurité, ces fans de Liverpool ou de Madrid n’ont dû leur salut qu’à une solidarité sans faille et une capacité à se discipliner qui forcent l’admiration dans un contexte aussi résolument hostile à leur endroit. »

L’ensemble de ces rapports mettent donc clairement en lumière la responsabilité de la préfecture de police de Paris et du ministère de l’Intérieur dans l’échec de la gestion de cet événement. La colère ne faiblit pas pour les supporters de Liverpool, qui déplient lors d’un match en février dernier des banderoles qui accusent le ministre de l’Intérieur et la ministre des Sports d’être des « menteurs ».

Mais dès les jours suivant ce qui était déjà communément désigné comme le « fiasco du Stade de France », le maire de Nice, Christian Estrosi sautait sur l’occasion : « Nous sommes équipés, nous avons les logiciels, nous avons des start-ups et des grands industriels, y compris français comme Thalès, qui ont des systèmes très au point pour garantir les libertés individuelles, et que seules les personnes fichées puissent être détectées par l’intelligence artificielle ».

Du côté de l’Intérieur, après s’être embrouillé dans des pseudo-justifications de dizaines de milliers de faux billets imaginaires, G. Darmanin commence à réciter une fable : celle de la VSA et de sa nécessité afin d’éviter des violences comme celles ayant eu lieu au Stade de France. En janvier 2023 devant le Sénat , c’est la ministre des sports et jeux olympiques et paralympiques, Amélie Oudéa-Castéra (qui défend la loi avec le ministre de l’Intérieur) qui revient dessus lors de la présentation des dispositions de l’article 7 et se félicite de ne pas utiliser de reconnaissance faciale « En matière de sécurité, nous entendons enfin tirer tous les enseignements des événements survenus au Stade de France le 28 mai dernier ».

Et la vidéosurveillance algorithmique ne manque pas de soutien dans l’hémicycle, elle est plébiscitée par l’extrême-droite, qui reprend parfaitement l’argumentaire de la majorité :

Yoann Gillet (RN) : « L’organisation des Jeux olympiques et paralympiques rend cruciale cette question. Au vu des défaillances majeures constatées en mai 2022 au Stade de France, le groupe Rassemblement national réclame des actions concrètes et adaptées pour assurer la sécurité intérieure du pays. Le traitement algorithmique des images de vidéosurveillance, prévu à titre expérimental par l’article 7, est un outil indispensable pour identifier les risques qui pourraient menacer la sécurité des personnes pendant cette manifestation internationale ».

Le ministre de l’Intérieur utilise notamment un point, qu’on retrouve parmi une liste de plusieurs dizaines de recommandations dans le rapport sénatorial précédemment cité, à savoir celui qui préconise le recours à l’intelligence artificielle pour éviter d’autres situations comme celle du Stade de France. La petite histoire commence alors.



Lors des discussions sur la loi JO, le 24 janvier dernier, le sénateur Thomas Dossu, résume parfaitement l’absurdité de ce technosolutionnisme :

«  Disons-le clairement, voir émerger cette recommandation dans ce rapport avait déjà un caractère saugrenu. En effet, l’intelligence artificielle aurait-elle permis d’éviter la défaillance dans l’orientation des supporters anglais ? L’intelligence artificielle aurait-elle déconseillé l’usage immodéré des gaz lacrymogènes sur des supporters pacifiques ? L’intelligence artificielle aurait-elle tiré, en amont, les conclusions d’une grève touchant l’une des deux lignes de RER qui menaient au Stade de France ? En d’autres termes, l’intelligence artificielle aurait-elle fait mieux que les intelligences combinées du ministre Darmanin et du préfet Lallement ? Aussi surprenant que cela puisse paraître, je ne le pense pas. »

Ainsi, on passe d’un événement où la responsabilité des forces de police françaises est mise en cause à la soi-disant nécessité d’une extension des pouvoirs de surveillance de cette même police, à travers l’ajout d’algorithmes aux caméras. Cette instrumentalisation de l’événement pour cacher un échec est bien pratique. À un peu plus d’un an des Jeux olympiques, le gouvernement français joue sa crédibilité : s’il est incapable de gérer une finale de Ligue des champions, comment pourrait-il accueillir un méga-évènement comme les JO ? Plutôt que d’avouer son échec, il jette de la poudre aux yeux en déviant sur la pseudo nécessité de la vidéosurveillance algorithmique.
Depuis le début des débats sur la loi JO, la prévention des « mouvements de foule » est alors mise en avant par la majorité comme l’usage principal de cette technologie. D’une part, cela invisibilise – à dessein- les applications bien plus dangereuses de la VSA. D’autre part, le gouvernement infuse de cette manière dans le débat une source d’insécurité fabriquée de toute pièce et qui n’avait jamais pris autant d’importance lors des autres évènements organisés en France.

La VSA aurait-elle pu être utile pour éviter le fiasco ?

Idée reçue : La VSA permettrait à la police d’être mieux organisée

Le fiasco du Stade de France est de toute évidence instrumentalisé pour promouvoir la VSA : mais celle-ci pourrait-elle quand même être efficace face à de tels événements ?
Le problème majeur de cette finale de la Ligue des champions n’a pas été le manque de technologie pour gérer la foule, mais bien la stratégie du maintien de l’ordre de l’Intérieur et de la préfecture, comme l’exposent les différents rapports précédemment cités, avec des erreurs de gestion de foule (contrôle des tickets dans des endroits trop étroits, ligne de RER en grève) couplées au gazage à tout-va des supporters. On voit mal comment la vidéosurveillance algorithmique aurait permis à l’évènement d’être mieux organisé ou à la police d’être moins violente…

Si la rengaine du technosolutionnisme presque magique, qui pourrait résoudre tous les problèmes, est régulièrement utilisée, elle laisse complètement dubitative dans ce cas-là. Le Stade de France compte 260 caméras de vidéosurveillance, pourtant celles-ci n’ont pas servi à grand-chose. Les bandes ont d’ailleurs étrangement été effacées au bout d’une semaine, personne n’ayant visiblement pensé à les réquisitionner : ni le tribunal, ni les sénateurs n’ont pu avoir accès aux images. En quoi l’ajout d’algorithmes aurait-il pu empêcher un tel événement ? Au contraire, le fiasco du Stade de France montre bien qu’une politique de sécurité répressive et inhumaine, dans laquelle les caméras et la VSA s’inscrivent largement et où la police est en partie à l’origine des mouvements de foule, n’aboutit qu’à la violence

Si l’Intérieur souhaite réellement éviter la reproduction de tels événements, il faudrait plutôt songer à changer la doctrine du maintien de l’ordre et s’enquérir de gestion humaine de l’espace : s’assurer d’avoir des couloirs assez grands, d’indiquer les guichets, d’avoir des agents multilingues pour orienter les supporters, d’informer en temps réel sur ce qui se passe, et de défaire les préjugés des forces de l’ordre sur le « hooliganisme anglais »…

Idée reçue : La VSA permettrait de détecter et prévenir des mouvements de foule

Pour éviter les mouvements de foules, les chercheurs dans le domaine pointent l’importance de l’organisation spatiale en amont, la nécessité de poster des humains pour orienter et aider les personnes présentes, le désengorgement des transports… Toutes solutions sans rapport avec la vidéosurveillance, qui ne peut clairement rien pour prévenir les mouvements de foule.

La concentration de milliers de personnes en un même endroit nécessite certes une préparation en amont, mais une fois la foule réunie, qu’est ce que la VSA pourrait repérer qui ne serait perceptible par des humains ? Et si un mouvement de foule se déclenche effectivement, la technologie biométrique ne peut ni porter secours ni réorienter les personnes pour diminuer la densité. On voit donc mal ce que la VSA apporterait sur le sujet. Rappelons également que chaque semaine depuis des décennies, des stades se remplissent et se vident en France. A notre connaissance, il n’a pas été documenté ou identifié de nouveaux problème majeurs de mouvements de foule qui nécessite de changer le savoir faire humain habituellement mis en œuvre dans ces lieux.

Que ce soit dans la prévention ou la résolution de tels mouvements, la technologie n’est pas une aide. Ici, c’est au contraire une stratégie afin d’orienter le débat et le dépolitiser. La vraie question est ailleurs : la VSA n’est pas un outil « neutre » d’aide à la décision, mais s’inscrit dans des stratégies de répression qui ont conduit à produire le fiasco du Stade de France.

Mouvement de foule à Séoul, 2022

Un autre exemple utilisé pour justifier la VSA par son fervent défenseur – encore et toujours – P. Latombe est celui du mouvement de foule meurtrier le soir d’Halloween à Séoul en octobre dernier. Encore une fois, c’est un mauvais exemple, la Corée du Sud et notamment la ville de Séoul utilisent déjà la vidéosurveillance algorithmique, ce qui n’a pas empêché 156 personnes de mourir et des centaines d’autres d’être blessées lors de ce dramatique évènement. Dans ce cas-là, il semble que la faute incombe une fois de plus à la police, trop peu nombreuse sur place et occupée à arrêter des personnes pour trafic de drogues (une centaine de policiers présents pour 100 000 personnes entassées dans un quartier de Séoul), mais aussi à l’ignorance des appels d’urgence de personnes sur place et de ceux des pompiers.
Les spécialistes des mouvements de foule pointent¹Voir la vidéo d’un chercheur en mouvement de foule, Mehdi Moussaïd https://www.youtube.com/watch?v=hlnZA89hVwo l’aménagement de l’espace comme la donnée la plus importante pour éviter ces phénomènes (présence d’issues de secours, nombre et largeur de celles-ci), suivie par l’organisation en amont (communication avec la foule, orientation des flux, organisation des secours). La technologie n’a pas de place là-dedans. Encore une fois, filmer une catastrophe ne permet pas de la prévenir.

Conclusion :

La référence au fiasco du Stade de France pour justifier le recours à la vidéosurveillance algorithmique ne tient pas l’analyse une seconde. Il est donc clair qu’il s’agit davantage d’une tentative d’utiliser un choc émotionnel provoqué par une catastrophe et d’essayer de couvrir un échec organisationnel et de répression policière. Mais surtout, en imposant ce faux débat dans les discussions sur la VSA, le gouvernement parvient à étouffer les véritables enjeux liés aux dangers de ces technologies. Le sujet des mouvements de foule a monopolisé les discussions sur la loi JO en commission des lois, empêchant les députés de questionner en profondeur les usages bien plus problématiques de ces algorithmes. Ainsi, la définition de « comportement suspect » ou le suivi biométrique des personnes dans la rue n’ont quasiment pas été débattus alors qu’il s’agit d’applications existantes et dangereuses, promues et développées par les entreprises de VSA qui seront chargées des expérimentations.

La légalisation de la VSA ne permettra pas d’empêcher les fiascos tels que celui ayant eu lieu lors de la finale de la Ligue des champions, mais contribuera bien à augmenter les capacités de surveillance de l’État et la répression de la population. Il faut contrer les manœuvres du gouvernement et regarder en face la société de surveillance qu’il est en train de faire accepter. Refusons toutes et tous l’article 7 !

References[+]

References

↑1	Voir la vidéo d’un chercheur en mouvement de foule, Mehdi Moussaïd https://www.youtube.com/watch?v=hlnZA89hVwo

]]> https://www.laquadrature.net/?p=20350http://isyteck.com/autoblog/quadrature/index.php5?20230316_193839_JO_securitaires____le_podium_des_incompetentsThu, 16 Mar 2023 18:38:39 +0000Le 8 mars dernier, les débats sur la loi relative aux Jeux Olympiques et Paralympiques de 2024 ont débuté en commission des lois à l’Assemblée nationale. Ce texte s’apprête, via son article 7, à amorcer la légalisation de la surveillance biométrique, en commençant par la vidéosurveillance algorithmique (VSA). Cette technologie, basée sur des algorithmes d’intelligence artificielle, est très complexe. Pour nous assurer que les députés soient en mesure de mener ces débats, d’en comprendre les enjeux techniques ainsi que la dangerosité de l’usage de la biométrie, La Quadrature du Net a envoyé à l’ensemble des parlementaires une note fournie et a organisé des sessions d’appel aux députés.

Le résultat a été stupéfiant : à peine une semaine avant le vote en commission, aucun député n’était réellement informé sur le sujet. Ces derniers justifient leur manque d’investissement sur le sujet en pointant du doigt un agenda législatif très chargé. D’autres assument ne pas s’intéresser au sujet et suivre l’avis des responsables du dossier au sein de leur parti. Alors qu’il s’agit de la légalisation d’une des technologies les plus graves de la dernière décennie, de l’acceptation en creux d’une société de surveillance, les députés sont aux abonnés absents.

Sans surprise donc, le jour des débats en commission, très peu de députés ont pris la parole sur le sujet. À coté de celles et ceux de droite ou d’extrême droite ne jurant que par la sécurité et la protection qui seraient inhérentes à la VSA, les élus de la majorité ont été totalement silencieux et n’ont quasiment pas pris la parole (les groupes Horizons et Renaissance n’ont déposé que quelques amendements). Plus effrayant encore, les quelques députés censés être chargés du sujet ont fait étalage de connaissances très approximatives sur les technologies utilisées par la VSA et ont énoncé nombre d’absurdités avec une grande assurance.

Le champion de cette catégorie est sans aucun doute Philippe Latombe, député Modem, fraîchement nommé à la CNIL et autoproclamé spécialiste de la VSA, alors même que ses liens avec l’industrie sont plus que visibles. Ce dernier assumait en effet pousser pour la légalisation de VSA au salon Expo Protection en novembre 2022, durant lequel il a d’ailleurs été qualifié de « coéquipier » par Sébastien Garnault, représentant du lobby CyberTaskForce. Il a également rencontré le lobby de la vidéosurveillance AN2V dont le président Dominique Legrand regrette que l’impasse ait été faite, dans le texte de loi, sur « la détection des anomalies sonores […] telles qu’un coup de feu ou un bris de vitre. ». Qu’il se console, Philippe Latombe est là pour proposer un amendement sur la surveillance sonore !

De manière générale, le passage en revue des interventions des députés démontre leurs véritables intentions politiques pro-business sécuritaire, mais révèle qu’une fois de plus les parlementaires ne savent pas ce qu’ils votent.

Les jeux de données

Une des incohérences les plus grossières avancées en commission a été de laisser penser qu’en maîtrisant les données fournies aux systèmes d’IA pour apprendre à reconnaître les prétendus comportements « suspects », on pourrait empêcher toute mauvaise utilisation ou « biais » de ces algorithmes. Cette affirmation révèle une compréhension très lacunaire de l’impact de l’usage des données captées dans l’espace public.

• Le caractère « biaisé » de certains jeux de données

La question de la construction du jeu de données — sa représentativité en terme de diversité de genre, d’ethnie, d’âge, etc. — est devenue incontournable. Le cas du logiciel COMPAS, utilisé par certaines juridictions américaines et dont l’objectif était de détecter les possibilités de récidive en fonction des éléments d’un dossier policier, a popularisé les dérives de l’automatisation de la prise de décision. Le programme avait appris sur un jeu de données qui embarquait les décisions racistes du dispositif de police américain concerné, et avait déduit qu’une des caractéristiques principales liée à la récidive était la couleur de peau. On peut trouver d’autres exemples plus récents en parcourant la AI Incident Database.

Le problème est souvent présenté de cette manière : « Lorsque l’on recueille des données et que l’on recherche des corrélations entre elles, on peut aboutir à des résultats orientés si dans le jeu de données, une corrélation est surreprésentée ». On qualifie alors souvent de « biaisé » le jeu de données de départ et l’algorithme ainsi entraîné à partir de ces données. Cette qualification sous-entend qu’il serait possible d’avoir un algorithme neutre, fournissant une analyse objective de la réalité. En fait, si l’on reprend l’exemple de COMPAS, ce n’est pas un « biais », une erreur, qui a conduit à l’automatisation de décisions racistes de la part de l’algorithme, mais bel est bien le fait que les données réelles à partir desquelles on entraîne les machines sont des données produites par des humains et donc teintées d’opinions et portant en leur sein toutes les oppressions existant dans la société. Présenter le problème comme un « biais », c’est penser que le problème est technique alors qu’il s’agit d’un problème politique. C’est aussi reproduire le vain idéal d’une technique neutre, qui n’existe pas : toute technique est formatée par ses conditions de production, et par l’intention de ses auteurs.

La VSA, c’est la surveillance des espaces publics. Dans ces lieux il y a une surreprésentation des personnes précaires et marginalisées par rapport à la population globale, il y a aussi plus d’hommes, moins de personnes très jeunes ou très âgées. Cette surreprésentation se retrouve donc aussi dans les flux vidéo issus de la surveillance de ces espaces. Peut-on pour autant dire que les jeux de données issus de ces captations sont « biaisés » ? Non, cet état de fait n’est pas la conséquence d’une erreur de constitution d’un jeu de données mais bien de la décision politique, ciblée et discriminatoire, de vouloir renforcer la répression précisément dans ces espaces.

Plutôt que de confronter la réalité politique du choix des lieux d’implantation et des populations visées, les défenseurs du texte se cachent derrière des réponses techniques inopérantes relatives à de prétendus « biais ». Par exemple, Philippe Latombe explique :

«Le vrai souci sur l’IA c’est de s’assurer qu’il n’y a pas de biais. Il y a une façon assez simple qui est celle prévue par la CNIL notamment, c’est de dire « on vous donne des jeux de données, on sait exactement ce qu’il y a dans ces jeux de données, on sait ce qu’on doit attendre comme résultat positif mais aussi ce qu’il ne faut pas que nous ayons comme résultat négatif », et dans ces cas là on saura si le traitement est loyal ou pas loyal, s’il y a des biais ou s’il y a pas de biais.(…) Il faut des jeux de données standardisées.»

Pour résoudre ce soi-disant problème, il demande à ce que l’État fournisse lui-même des jeux de données aux entreprises, persuadé que cela permettrait de « pouvoir vérifier justement que les algorithmes n’ont pas de biais » et qu’avoir un laboratoire public [comme le NIST] permettrait de « prouver que l’algorithme il est loyal, il n’y a pas de biais, que les biais sont maîtrisés et qu’il n’y a pas de discrimination » (à écouter ici et là).
M. Latombe manie l’argument du recours à l’État comme figure d’autorité rassurante, faisant mine d’oublier que le droit à la sûreté individuelle est précisément censé protéger aussi contre l’arbitraire de l’État.

Il est rejoint sur ce point par le rapporteur Guillaume Vuilletet, qui explique que « le fait de fournir des données à un algorithme pour le nourrir, faire en sorte qu’il apprenne et qu’il évite les biais est consubstantiel de la démarche algorithmique ». Mais en réalité, cela signifie d’ouvrir l’accès aux images des caméras publiques à des entreprises privées pour qu’elles puissent utiliser les vidéos des personnes dans la rue, désignées cobayes involontaires, pour alimenter généreusement leurs logiciels. Une manne de données gratuites mises au profit d’entreprises privées.

La discrimination des populations imposée par la VSA n’est pas circonscrite à la seule sélection des jeux de données. En réalité, les conséquences les plus problématiques résultent davantage des fonctionnalités qui sont développées dans les logiciels et qui visent précisément les publics les plus vulnérables. Si le simple fait d’augmenter la répression dans les espaces publics est déjà discriminatoire, le fait que la VSA ait pour but de repérer les personnes allongées (personnes sans abri), les regroupements de personnes (personnes n’ayant accès qu’à des espaces publics pour se retrouver) tout en qualifiant ouvertement tous ces comportements de « suspects » est encore plus discriminatoire et problématique. Sans parler de l’atteinte potentielle aux droits fondamentaux de réunion, d’expression et de manifestation sur la voie publique. Cette question très inquiétante de la qualification des « comportements suspects » n’a cependant pas été développée lors des discussions en commission, alors qu’il s’agit d’un des problèmes majeurs de cette loi.

• Les usages possibles d’un jeu de données particulier

Plusieurs fois au cours des débats, les députés ont sous-entendu que les algorithmes n’étaient utiles que dans un cadre similaire à celui dans lequel ils ont été entraînés. Le rapporteur du texte, Guillaume Vuilletet lui-même, dit par exemple :

«La réalité c’est que c’est parfaitement borné. Les fournisseurs ne pourront pas revendre ailleurs ce qu’ils ont fait avec des cas d’usage. Ce que nous expérimentons ce sont des cas d’usage. Comme les JO ne reviendront pas à Paris avant un siècle, avant qu’on ait la configuration géographique et périmétrique du stade de France ou d’un autre site, ça ne veut rien dire.»

Le but est de minimiser le danger de la VSA et de prétendre que les algorithmes ne fonctionnent pas de manière générale mais seulement dans un contexte donné, parce que leur apprentissage s’est déroulé dans un contexte et pour un usage déterminé. Ceci est totalement faux. En réalité, les algorithmes entraînés sur les images des JO pourront tout à fait être utilisés à l’avenir pour surveiller les foules dans un contexte différent (une manifestation, par exemple). Encore pire, ces algorithmes développés par des entreprises privées utilisant la population comme cobaye pourront parfaitement être revendus, par la suite, à d’autres pays. Idémia, société française et leader du marché international de la reconnaissance faciale, pourra continuer à vendre ses algorithmes à la Chine.

On comprend qu’il importe peu que les données d’entraînement soient supprimées, ou propres à un contexte particulier : le résultat auquel elles ont permis d’aboutir sera conservé et pourra servir à une multitude d’applications qui peuvent être différentes du contexte premier de l’expérimentation.
Ce qui a de la valeur et qui sert à des usages futurs, ce sont la quantité de données utilisées et le modèle entraîné qui en résulte.

Est-ce par stratégie ou par méconnaissance que le rapporteur du texte affirme de telles absurdités ? Que ce soit l’une ou l’autre de ces explications, nous avons de grandes raisons de nous inquiéter de laisser l’avenir de la surveillance biométrique entre ses mains.

La fausse neutralité de l’automatisation

Ce qui ressort également des interventions des défenseurs de la VSA, c’est une croyance aveugle en la neutralité des outils techniques et en leur potentialité à résoudre facilement les problèmes politiques auxquels ces mêmes défenseurs seraient censés se confronter.

À entendre les députés, l’IA serait une forme de baguette magique statistique qui permettrait de révéler des corrélations invisibles pour l’humain et de détecter, comme par miracle, les signes précurseurs de mouvements de foule ou d’attentats terroristes. Cela relève du fantasme : toute la conception de l’algorithme est guidée du début à la fin par l’humain et implique un ensemble de prises de décisions techniques et politiques.

Outre le choix du jeu de données évoqué plus haut, dont on a vu qu’il influençait considérablement les décisions prises par l’algorithme, on trouve dans le processus d’élaboration d’un logiciel de VSA d’autres étapes qui orientent la décision finale et imposent à leurs concepteurs de faire des choix qui resteront inscrits dans le logiciel.

L’entraînement du modèle, c’est à dire le moment où les données sont fournies à l’algorithme pour qu’il établisse des corrélations et converge vers un état final satisfaisant, est également très important. On peut voir ce processus comme le calibrage de boutons à tourner : en fonction de la position des boutons, les différentes données de l’images sont pondérées différemment dans la décision d’activer, ou non, la détection. Ces boutons sont tournés de façon automatique par l’algorithme, mais le concepteur avance « à l’aveugle » : il favorise un résultat conforme à son attente, mais sans qu’il sache avec quels critères l’algorithme est arrivé à ce résultat. Si, pour rechercher une personne « suspecte », la combinaison finale de boutons tournés aboutit à ce que l’algorithme trouve plus efficace de repérer les personnes en survêtement, ou encore les personnes de telle couleur de peau, le concepteur ne saura même pas que c’est cette information qui est décisive pour l’algorithme. Il connaîtra juste la pondération que l’algorithme a faite et choisira d’opter pour cette configuration de paramètres car c’est celle-ci qui rend ce dernier le plus efficace.

Il y a donc trois moments décisifs dans la conception de l’algorithme qui vont orienter sa décision finale (et déclencher une intervention de la police) :
– Le choix de la finalité du logiciel de VSA : autrement dit, la définition du comportement suspect (point totalement évacué par les députés lors des débats),
– Le choix du jeu de données et la manière dont il est labellisé (on en parle juste au dessus),
– Et enfin cette étape de pondération d’usage de telle ou telle caractéristique (faite à l’aveugle, sans moyen de savoir si la donnée en question est sensible).

Difficile donc, quand on connaît le fonctionnement de cette technologie de prétendre qu’elle est neutre, tant son élaboration impose de faire des choix, des choix ayant des conséquences politiques importantes.

Ainsi, lorsque Philippe Gosselin (député LR, ex membre de la CNIL, et corapporteur avec Philippe Latombe d’une mission d’information sur la vidéosurveillance) dit : « L’algorithme n’est évidemment qu’un « outil » qui ne doit pas être confondu avec une « intrusion dans la vie privée » », il s’insère exactement dans ce discours visant à prétendre que les logiciels de VSA seraient « neutres ». Il escamote la question du pouvoir conféré à L’État et à la police par la technologie, et efface en quelques secondes les sombres traces de la surveillance dans l’Histoire moderne.

Fonctionnement des algorithmes

Tout au long des discussions, les députés ont tenté des explications techniques, parfois agrémentées de mots savants, sans que cela suffise à cacher leur manque de maîtrise du sujet. Voici notre podium.

Médaille de bronze

La médaille de bronze revient au multimédaillé et favori dans sa catégorie, Philippe Latombe, qui manipule les notions juridiques d’obligation de moyens et d’obligation de résultat sans que l’on comprenne vraiment où il veut en venir. Ce qu’on comprend surtout c’est qu’il estime impossible d’évaluer techniquement la VSA et qu’il faudrait absolument l’« expérimenter » pour garantir la sécurité lors des JO. Cela, sans jamais prévoir la manière dont on évaluera l’impact réel de telles technologies de surveillance de masse, alors même que l’on a jamais eu de retour sur les résultats sur les tests réalisés depuis des années sur la VSA. .

La vision assistée par ordinateur nécessite d’avoir recours au deep learning, ou « apprentissage profond », car les flux vidéo contiennent de grandes quantités de variables impliquant de très nombreux calculs. Une simple image HD compte plus de 2 millions de pixels : il n’est pas imaginable que toutes les dimensions que nécessite son analyse soit chapeautées par un humain.

Les calculs que nécessite l’analyse de telles images sont effectués dans différentes couches de réseaux de neurones. Chaque couche a un rôle précis et permet de pondérer l’algorithme pour lui faire adopter différents comportements. Certains algorithmes comportent de si nombreuses couches que leur fonctionnement est opaque, y compris pour les data scientists qui les manipulent, souvent à tâtons, sans pourvoir dire pourquoi tel réglage fonctionne mieux que tel autre : on se retrouve face à un divorce entre, d’un côté l’intention du programmeur et ses a priori, et de l’autre ce que la machine produit effectivement comme programme. Les ingénieurs ne peuvent avoir la main que sur la correction des erreurs du résultat (est-ce bien une personne qui court ?) et non sur la manière dont le résultat est obtenu (comment l’algorithme a déduit qu’il s’agissait d’une personne qui court).

Regarder les résultats d’un algorithme ne permet donc ni une vision claire de son fonctionnement et des décisions (aux conséquences politiques) qui l’ont conduit au résultat final, ni de savoir tout ce que l’IA n’a pas réussi à reconnaître.

Ainsi, quand Philippe Latombe bafouille « Dans le cas d’un système d’intelligence artificielle reposant sur un apprentissage, il est très compliqué de valider sur le plan technique la notion d’obligation de résultat. On valide éventuellement un logiciel ou un traitement algorithmique au départ, mais en fonction de l’apprentissage, ils peuvent évoluer. (…) il faut assumer le fait qu’il soit impossible de recourir à un algorithme s’il a évolué et ne répond plus entièrement aux conditions de départ. », pensant briller en mêlant jargon juridique et technique, il ne fait que démontrer qu’il n’est pas en mesure de mettre en place des garde-fous juridiques pour encadrer la surveillance biométrique (et pour cause, ce n’est pas possible tant le deep learning est une technologie opaque) ni même de garantir une quelconque efficacité. Bien essayé.

Médaille d’argent

À la deuxième place du podium, on trouve le rapporteur Guillaume Vuilletet qui, pour refuser l’ouverture et la transparence des algorithmes, explique : « S’il y a bien quelque chose qui peut servir aux terroristes c’est d’avoir le code et de comment le contourner (…) donner les codes des algorithmes, les rendre publics, c’est donner les outils à tous ceux qui voudraient pirater les algorithmes et voudraient les détourner. »

Car c’est bien connu : les terroristes, si facilement détectables avec une caméra et un bon logiciel, pourraient changer leur attitude pour laisser croire qu’ils ne sont pas terroristes. Car avant tout, le terroriste est fourbe.
Oui, c’est de l’ironie, mais c’est le député qui a commencé en nous prenant pour des buses.

Il n’est pas le seul, les députés ont à plusieurs reprises mentionné l’idée « d’ouvrir le code » pour dire à quel point il ne fallait surtout pas le faire.

Concernant les logiciels de VSA, il y a plusieurs choses qui peuvent être rendue accessibles :
– les données d’entraînement : en pratique, nombre de ces jeux de données sont déjà accessibles, sous des licences autorisant plus moins d’usages. Parmi eux, beaucoup sont utilisés de manières illégales et comportent, par exemple, des images récupérées sans consentement sur les réseaux sociaux.
– les algorithmes utilisés : il en existe de nombreux et eux aussi sont très fréquemment opensource
– le paramétrage de ces algorithmes : c’est la partie qui est développée par les entreprises de VSA et comme on l’a dit plus tôt qui détermine les décisions politiques.

Donc la question de la transparence des algorithmes n’est jamais posée correctement car elle est multiple. Surtout, cette problématique de l’ouverture du code efface la question de l’interdiction même de cette technologie. Plutôt que de chercher à rendre la surveillance biométrique plus transparente, autant se contenter de ne pas la légaliser.

Petite mention spéciale à Philippe Latombe, qui déclare « Donc ne commencez pas à dire « suspicion généralisée », ca va forcément être avec des biais, il faut ouvrir le code. Désolé mais vous demandez à Google d’ouvrir le code, le lendemain il vaudra plus rien, vous n’aurez pas les expertises pour pouvoir le faire. Y a des vrais sujets de praticité des choses.»

On comprend qu’il n’a aucune notion de ces éléments. Par exemple, Google n’a rien à perdre à rendre ses méthodes d’apprentissage publiques, elles sont déjà open sources pour la plupart (notamment la bibliothèque TensorFlow utilisée dans le monde entier) et la croyance que la mise à disposition d’un code lui enlève sa valeur est particulièrement datée. Les députés démontrent ainsi ne rien connaître à l’économie de l’opensource, qui est très importante dans le développement de l’intelligence artificielle (OpenAI, par exemple, a publié le modèle GPT2 qui est derrière ChatGPT) et n’abordent jamais le véritable sujet qui serait d’être plus transparent sur les pratiques policières pour lutter contre celles qui sont les plus discriminantes.

Médaille d’or

Enfin, la médaille d’or est attribuée à Philippe Latombe (encore lui, quel champion !), pour avoir expliqué – ici et là – que les traitements de la VSA ne sont que des « traitements vectoriels », car : « Les images sont transformées en vecteur et en points». Ainsi, la foule ne serait qu’une agrégation de points attribués à des personnes. Et pour les bagages abandonnés ? C’est très simple :

«On associe une personne que l’on transforme en un vecteur mathématique à un objet qui lui n’est pas un vecteur, et on voit si ça bouge et si il y a un écartement entre les deux. Cet écartement permet simplement d’éviter qu’il y ait un bagage abandonné sur le quai de la SNCF.»

On le connaît bien cet enfumage ! On vous en parlait il y a deux semaines lorsqu’on analysait les stratégies des entreprises pour donner à la VSA une image acceptable. À entendre les promoteurs de la VSA, on donne une définition mathématique des données biométriques et hop ! Magie ! Il n’y a plus de biométrie. « Ce n’est pas une image d’une personne, c’est juste une suite de nombres ! Et ça, ce n’est pas un micro, c’est un capteur de vibration de l’air ! ». Bientôt on aura droit à « Non ce n’est pas de l’ADN, c’est juste une macromolécule définie par une suite de bases nucléiques, rien de biométrique ! ».

Oui, une image est faite de pixels, qui restent des nombres, et oui on peut modéliser ce qui y est représenté avec des vecteurs. Une image avec des personnes majoritairement Noires, si on la modélise mathématiquement avec des vecteurs par exemple, « contiendra » l’information qu’une majorité des personnes sont Noires. Le prétendu « passage en vecteur » n’empêche absolument pas au programme de reconnaître une démarche, des vêtements ou une couleur de peau, de conserver cette information, de lui donner un poids et de prendre des décisions en fonction de ces variables. Au contraire, c’est grâce à ce traitement que l’on peut exploiter plus facilement les données biométriques.

Une fois encore, M. Latombe — par ignorance ou délibérément ? — tente de minimiser la qualification biométrique de cette surveillance, qui est pourtant indiscutable. La reconnaissance de comportements suspects implique nécessairement l’analyse du corps humain, de sa démarche, de ses attributs physiques et de ses mouvements, pour l’individualiser et le reconnaître. Il sera ainsi possible de reconnaître que telle personne présente sur telle zone est la même que celle visible sur une autre caméra, par exemple en raison de sa démarche. Le suivi et l’identification biométrique (c’est-à-dire la capacité à dire qu’il s’agit de la même personne d’après ses caractéristiques physiques, quand bien même on ne connaît pas son nom) sont explicitement rendus possibles par l’utilisation de cette nouvelle technologie, et c’est l’un des dangers prégnants qu’elle fait peser sur le droit à l’anonymat.

Malheureusement, comme un certain nombre de ses collègues, le député Thomas Rudigoz (Renaissance) prétend que « ce traitement algorithmique exclut tout traitement biométrique. Ce que l’on recherche c’est à identifier les mouvements de foule, les densifications de personne à un endroit particulier, identifier des zones interdites qui seraient occupées par telle ou telle personne, des colis suspects et aucunement une reconnaissance faciale ou biométrique ».

Nous l’avons déjà répété plusieurs fois : la VSA met en œuvre des traitements de données biométriques. Les associations européennes ont récemment alerté les députés sur ce point et il est totalement faux de prétendre l’inverse. L’industrie a usé de stratégies de communication pour modifier le sens de ce mot et le cantonner à la reconnaissance faciale (nous avons décortiqué cette manœuvre ici). Il est désolant de voir une grande partie des députés se laisser mener en bateau par cette rhétorique sans sourciller.

Conclusion

Les débats en commission des lois ont montré que les députés de la majorité ne maîtrisent ni les enjeux techniques ni les dangers politiques des technologies de vidéosurveillance automatisée. À aucun moment la question de la définition politique et morale de la notion de « comportement suspect » n’a été sérieusement abordée, ni les problématiques du rapport de la population à la sécurité dans l’espace public — qui passe par bien d’autres solutions que la surveillance et la répression. La croyance que la « protection » ne peut être atteinte que par l’installation de dispositifs de surveillance est tellement ancrée dans l’imaginaire des gouvernants qu’ils ne savent même plus déceler les pouvoirs à limiter et les abus à prévenir.

De nouveau la dépolitisation des questions collectives, voulue par le marché de la sécurité et alimentée par les politiques univoques de ces dernières décennies qui mettent systématiquement le sentiment d’insécurité au centre du débat public, a achevé d’enterrer tout débat constructif, les parlementaires ne faisant même plus semblant de maîtriser l’objet de leurs lois.

Les débats commencent lundi prochain en séance. Il est urgent de mettre les députés face à leurs contradictions pour les convaincre de voter contre cet article 7. Rendez-vous sur notre page de campagne pour voir comment les contacter et refuser ensemble la surveillance biométrique !

]]> https://www.laquadrature.net/?p=20321http://isyteck.com/autoblog/quadrature/index.php5?20230307_114430_38_organisations_internationales_contre_la_surveillance_biometrique___Tue, 07 Mar 2023 10:44:30 +0000 Hier, trente-huit organisations européennes et internationales, coordonnées par l’ECNL, ont dénoncé dans une lettre ouverte le projet du gouvernement français de légaliser la vidéosurveillance algorithmique en France. Nous les remercions de leur soutien à notre campagne et republions leur lettre ci-dessous.

Ces associations alertent l’Assemblée nationale sur le fait qu’il s’agirait de la première légalisation de la surveillance biométrique en Europe, qui confirmerait la position de la France comme fer de lance de la surveillance dans l’Union européenne. Cela n’est pas si étonnant quand on se souvient que le Conseil d’État avait courant 2021 écarté le droit de l’UE pour valider les pratiques de surveillance de la police et des services de renseignement, et que plus récemment la France s’est positionnée dans les négociations du règlement sur l’intelligence artificielle pour qu’il y ait le moins de restrictions possibles à l’usage de la surveillance biométrique.

Les Jeux olympiques sont instrumentalisés pour rendre acceptable un objectif politique pensé et voulu de longue date. Alors interpellons les député·es pour les convaincre de refuser ce premier pas vers une société où les logiciels de surveillance automatisée de nos corps deviendraient la norme. Rendez-vous sur notre page de campagne pour empêcher le vote de l’article 7 de la loi !

Lettre de la société civile aux députés français sur le projet de loi relatif aux Jeux olympiques et paralympiques 2024

Nous, 38 organisations de la société civile soussignées, exprimons notre vive inquiétude en ce qui concerne l’article 7 du projet de loi relatif aux Jeux olympiques et paralympiques de 2024¹ https://www.senat.fr/leg/pjl22-220.html . Cette disposition crée une base juridique pour l’utilisation de caméras dotées d’algorithmes en vue de détecter des événements suspects spécifiques dans l’espace public.

Ce projet de loi ouvre la voie à l’utilisation d’une vidéosurveillance algorithmique intrusive sous couvert d’assurer la sécurité lors d’événements de grande ampleur. En vertu de cette loi, la France deviendrait le premier État de l’Union européenne (UE) à légaliser de manière explicite ce type de pratiques. Nous estimons que les mesures de surveillance introduites sont contraires au droit international relatif aux droits humains dans la mesure où elles ne satisfont pas aux principes de nécessité et de proportionnalité et impliquent des risques inacceptables vis-à-vis de plusieurs droits fondamentaux tels que le droit à la vie privée, le droit à la liberté de réunion et d’association et le droit à la non-discrimination.

Nous invitons les députés français à envisager le retrait de l’article 7 et à consulter la société civile en ouvrant un débat sur cette question. Si l’article était adopté, il créerait un précédent inquiétant en matière de surveillance injustifiée et disproportionnée dans l’espace public, au détriment des droits fondamentaux et des libertés.

Ce projet de loi représente une grave menace pour les libertés civiques et les principes démocratiques

Par sa simple présence dans des zones accessibles au public, la vidéosurveillance algorithmique non ciblée (souvent appelée « indiscriminée ») peut avoir un effet dissuasif sur les libertés civiques fondamentales, et notamment sur le droit à la liberté de réunion, d’association et d’expression. Comme l’ont souligné le Comité européen de la protection des données et le Contrôleur européen de la protection des données²https://edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_fr.pdf, la surveillance biométrique a de graves répercussions sur les attentes raisonnables des personnes en matière d’anonymat dans les espaces publics et a un effet négatif sur leur volonté et leur capacité d’exercer leurs libertés civiques, car elles redoutent d’être identifiées, repérées ou même poursuivies à tort. En l’état, cette mesure menace l’essence même du droit à la vie privée et à la protection des données, ce qui la rend contraire au droit international et européen relatif aux droits
humains.

Conformément aux valeurs et aux principes démocratiques, lors d’événements de grande ampleur tels que les Jeux olympiques, il est essentiel de garantir l’entière protection de ces droits fondamentaux et d’offrir des conditions propices au débat public, et notamment à l’expression politique dans les espaces publics.

Par ailleurs, ce projet de loi allonge considérablement et dangereusement la liste des motifs justifiant la surveillance des espaces publics. Ainsi, les situations de mendicité ou de rassemblements statiques pourraient être qualifiées d’« atypiques », créant un risque de stigmatisation et de discrimination pour les personnes qui passent beaucoup de temps dans l’espace public, par exemple parce qu’elles sont sans abri, en situation de vulnérabilité économique ou de handicap. Il est prouvé que l’utilisation des technologies de surveillance crée un état de contrôle, de profilage et de suivi permanent qui nuit de manière disproportionnée aux personnes marginalisées. L’utilisation de systèmes algorithmiques pour lutter contre la criminalité a entraîné une surveillance excessive de la part de la police, une discrimination structurelle dans le système de justice pénale et une criminalisation disproportionnée des minorités raciales, ethniques et religieuses. Cela conduit à la violation, entre autres, du principe de non-discrimination inscrit dans les normes internationales et européennes relatives aux droits humains.

Ce projet de loi entraînerait une surveillance biométrique de masse

Le paragraphe III de l’article 7 du projet de loi dispose de manière erronée que les systèmes algorithmiques de vidéosurveillance ne traiteront aucune donnée biométrique. Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les données biométriques comme des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (article 4-14 du RGPD).

Si l’usage de caméras dotées d’algorithmes est destiné à détecter des événements suspects spécifiques dans l’espace public, ces caméras capteront et analyseront forcément des traits physiologiques et des comportements de personnes présentes dans ces espaces. Il pourra s’agir de la posture de leurs corps, de leur démarche, de leurs mouvements, de leurs gestes ou de leur apparence. Le fait d’isoler des personnes par rapport à leur environnement, qui s’avère indispensable en vue de remplir l’objectif du système, constitue une « identification unique ». Tel que l’établit la loi sur la protection des données de l’UE et selon l’interprétation du Comité européen de la protection des données³https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_fr.pdf, la capacité d’isoler une personne parmi une foule ou par rapport à son environnement, que son nom ou son identité soient connus ou non, constitue une « identification unique ».

Il est important de garder à l’esprit que l’utilisation de systèmes basés sur l’intelligence artificielle en vue d’analyser et de prédire les comportements, les émotions ou les intentions des personnes peut être tout autant intrusive et dangereuse que celle de systèmes visant à identifier des personnes. Le fait de placer des personnes dans une catégorie regroupant les comportements « à risque » sur la base de leurs données biométriques constituerait une catégorisation biométrique, que le Défenseur des droits et le projet de loi sur l’intelligence artificielle de l’UE définissent comme le fait de catégoriser des personnes physiques en fonction de
caractéristiques spécifiques en se fondant sur leurs données biométriques. Nous attirons l’attention des députés français sur le risque que cette mesure soit en contradiction avec la future loi de l’UE sur l’intelligence artificielle. Dans le cadre du travail législatif en cours, plusieurs amendements proposent l’interdiction totale de la catégorisation biométrique au regard des risques importants qu’elle entraîne pour les droits fondamentaux.

Les atteintes graves aux droits humains contreviennent aux exigences de nécessité et de proportionnalité

Pour garantir une véritable protection des droits humains, il convient de commencer par comprendre les limites des technologies et apporter des preuves de leur adéquation par rapport aux objectifs poursuivis. Dès lors, il est indispensable de mener une étude en vue de déterminer si les technologies introduites au nom de la sécurité répondent à des menaces avérées et quelles incidences leur utilisation aura sur les droits humains et les libertés civiques.

Bien que ce projet de loi présente des risques élevés pour les droits fondamentaux et malgré les preuves existantes⁴https://www.lemonde.fr/societe/article/2021/12/22/une-etude-commandee-par-les-gendarmes-montre-la-relative-inefficacite-de-la-videosurveillance_6106952_3224.html de l’inefficacité de la vidéosurveillance en matière de prévention des infractions et des menaces à la sécurité, le gouvernement n’a pas démontré la conformité de ce projet de loi aux principes de nécessité et de proportionnalité et il n’a pas engagé de véritable dialogue avec la société civile au sujet de cette mesure. De ce fait, nous estimons que les restrictions des droits humains introduites ne satisfont pas aux trois critères de légalité, de but légitime et de nécessité et de proportionnalité. Elles constituent une violation des obligations incombant aux États en matière de droits humains en vertu de traités internationaux, et notamment du Traité international relatif aux droits civils et
politiques et de la Convention européenne des droits de l’homme.

Ce projet de loi constitue une étape vers la normalisation de pouvoirs d’exception en matière de surveillance

L’article 7 du projet de loi est représentatif de la tendance inquiétante des gouvernements à étendre leurs pouvoirs de surveillance dans le cadre de mesures d’urgence prises au nom de la sécurité. Or, il est rare que ces mesures dites « d’exception » soient levées rapidement. En lieu et place, les mesures de surveillance et de contrôle deviennent la norme. Souvent, elles ne s’accompagnent pas de garanties suffisantes et de mécanismes de responsabilité, elles manquent de transparence et elles ne font l’objet d’aucun dialogue avec les parties intéressées.

Cette tendance a été amplement constatée en ce qui concerne les mesures de surveillance prises au cours des deux dernières décennies sous couvert de la lutte contre le terrorisme et, plus récemment, avec les solutions numériques adoptées dans le contexte de la pandémie de Covid-19⁵https://ecnl.org/publications/under-surveillance-misuse-technologies-emergency-responses. Nous avons également observé par le passé que les Jeux olympiques peuvent servir de terrain d’expérimentation⁶https://www.scielo.br/j/cm/a/zcKnN9ChT9Wqc4hfGWKSk4d/?format=pdf&lang=en pour doter l’État de pouvoirs renforcés qui sont ensuite maintenus lorsque la situation d’exception prend fin.

Ces exemples suffisent à justifier nos craintes de voir l’utilisation de la vidéosurveillance algorithmique perdurer au-delà de 2025. Si elle est adoptée, cette loi constituera également un précédent dangereux pour d’autres pays européens, tels que le Portugal et la Serbie, qui ont tenté, à ce jour sans succès, de légaliser une série de pratiques de surveillance biométrique risquées. La France endosserait alors le rôle peu reluisant de « leader » des politiques de surveillance au sein de l’Union européenne.

Nous espérons sincèrement que les députés français prendront des mesures de toute urgence en consultation avec la société civile afin de répondre aux préoccupations exposées ci-dessus.

• Access Now, International
• AlgoRace, Espagne
• AlgorithmWatch, Allemagne
• AlgorithmWatch CH, Suisse
• Amnesty International, International
• ApTI, Roumanie
• ARTICLE 19, International
• Association Nationale des Supporters, France
• Big Brother Watch, Royaume-Uni
• Bits of Freedom, Pays-Bas
• Centre for Democracy & Technology, Europe
• Chaos Computer Club Lëtzebuerg, Luxembourg
• Citizen D / Državljan D, Slovénie
• Civil Liberties Union for Europe, Europe
• Deutsche Vereinigung für Datenschutz e.V. (DVD), Allemagne
• Digitalcourage e.V., Allemagne
• Digitale Gesellschaft, Suisse
• Digitale Freiheit e.V., Allemagne
• Elektronisk Forpost Norge, Norvège
• Eticas Tech, Espagne
• European Center for Not-for-Profit Law Stichting (ECNL), Europe
• European Digital Rights, Europe
• Fair Trials, International
• Forum Civique Européen, France/Europe
• Football Supporters Europe, Europe
• Homo Digitalis, Grèce
• Human Rights Watch, International
• Irish Council for Civil Liberties, Irlande
• IT-Pol, Danemark
• Iuridicum Remedium, République tchèque
• Liberty, Royaume-Uni
• Panoptykon Foundation, Pologne
• Privacy International, International
• Privacy Network, Italie
• Share Foundation, Serbie
• Society Vrijbit, Pays-Bas
• Statewatch, Europe
• Today is a new day / Danes je nov dan, Slovénie

References[+]

References

↑1	https://www.senat.fr/leg/pjl22-220.html
↑2	https://edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_fr.pdf
↑3	https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_fr.pdf
↑4	https://www.lemonde.fr/societe/article/2021/12/22/une-etude-commandee-par-les-gendarmes-montre-la-relative-inefficacite-de-la-videosurveillance_6106952_3224.html
↑5	https://ecnl.org/publications/under-surveillance-misuse-technologies-emergency-responses
↑6	https://www.scielo.br/j/cm/a/zcKnN9ChT9Wqc4hfGWKSk4d/?format=pdf&lang=en

]]> https://www.laquadrature.net/?p=20270http://isyteck.com/autoblog/quadrature/index.php5?20230302_145810_PARIS_2024____LA_FRANCE_CHAMPIONNE_OLYMPIQUE_DE_LA_TECHNOPOLICEThu, 02 Mar 2023 13:58:10 +0000Nous republions un article écrit pour le numéro 24 de la revue papier Mon Lapin Quotidien. Illustration de Quentin Faucompré.

À moins de deux ans des Jeux olympiques de Paris 2024, et à un an de la Coupe du monde de Rugby 2023, les décideurs publics annoncent de grands projets sécuritaires : la nation tout entière est en ordre de marche vers la Sécurité, comprise uniquement comme pratique policière de la répression et comme industrie de l’équipement de surveillance.

Jeux olympiques de Paris 2024. La liesse, la foule, les couleurs, le bruit. Des milliers de spectateurs se pressent dans les allées du village olympique et dans les alentours du Stade de France. Au-dessus d’eux, à peine visibles dans le ciel bleu, des drones bourdonnent. Ils filment en haute définition, et les images sont transmises au sol où des ordinateurs analysent sans relâche l’écoulement fluide de la foule, à la recherche d’un groupe qui chahute ou d’individus dont le comportement trop singulier inquiète : un attroupement sans cause visible, un arrêt prolongé dans un lieu de passage qui ralentirait ou dévierait le flux des spectateurs, ou une personne qui se met brusquement à courir. Le logiciel lance aussitôt une alerte. Sur chaque mât de lampadaire, des caméras pivotent en direction de la zone désignée par l’ordinateur. Alertés, des opérateurs humains se penchent sur les écrans. Les drones convergent pour donner une image plus précise de la situation vue du ciel — point de vue idéal, dispositif panoptique absolu, partout présent et localisable nulle part, un peu comme Dieu mais avec quatre hélices.
Comme 30 000 agents de police sont mobilisés chaque jour pour contrôler et rassurer la foule des touristes, le suspect est vite appréhendé dans une rue de Saint-Denis. Les policiers le photographient avec leur téléphone et soumettent son visage à leurs bases de données, en passant par le fichier du Traitement des antécédents judiciaires (TAJ), qui comporte une très utile fonction de reconnaissance faciale, interrogée plusieurs milliers de fois par jour. Très vite son nom revient, accompagné de toutes les informations dont disposent le fichier des Titres électroniques sécurisés (TES) : son âge, son adresse, ses empreintes digitales et son empreinte faciale. Il est relâché : malgré son aspect maghrébin, qui pouvait motiver une inquiétude bien acquise chez un policier français (de la police française), l’homme n’est pas défavorablement connu des services. En revanche, son comportement anormal ayant troublé l’ordre public et nécessité l’intervention coûteuse et inutile des forces de l’ordre, alors que le risque d’attentat est très élevé, une amende forfaitaire lui est infligée. Soulagé de quelques centaines d’euros, il peut reprendre le cours de sa vie d’innocent en sursis, à condition de ne pas courir.

Le désastre sécuritaire qui vient

Cette description relève encore partiellement de la science-fiction, mais plus pour très longtemps. Car l’ambition déclarée du ministère de l’Intérieur — dirigé aujourd’hui par Darmanin, Gérald — est bien de permettre au système sécuritaire français de concrétiser ce cauchemar avant juin 2024. Dans un « Livre blanc de la sécurité intérieure » paru fin 2020¹Livre blanc de la sécurité intérieure, novembre 2020. ainsi que dans un rapport annexe à la récente « Loi d’orientation et de programmation du ministère du l’Intérieur » (LOPMI, adoptée à l’Assemblée nationale le 18 novembre 2022), les intentions du ministère sont explicitées sans fausse pudeur : il s’agit d’un « réarmement », selon les mots du ministre lui-même, dans le cadre duquel les outils de haute technologie numérique seront de précieux auxiliaires de police. Casques à vision intégrée, exosquelette de protection, consultation des fichiers à distance, caméras mobiles, reconnaissance faciale en continu, drones, fichage, tout l’arsenal imaginable est envisagé, avec ses besoins de financement et son encadrement législatif, suivant un calendrier qui prend 2024 comme horizon. Tout doit être prêt pour les Jeux olympiques.

L’ambition est bien entendue habillée des meilleures intentions du monde. La légitime protection contre la menace terroriste est abondamment invoquée pour justifier ce déferlement sécuritaire. Darmanin parle de « terroristes islamistes, de l’ultra-droite et de l’ultra-gauche », et affirme que les renseignement feront un « effort » pour « maîtriser » ces personnes en amont des JO. Ce n’est pas sans rappeler la COP 21 de 2015, quand nombre de militants écologistes avaient été perquisitionnés, arrêtés pour certains, et assignés à résidence un peu avant le début de l’événement²« Les militants de la COP21, cibles de l’état d’urgence », Le Monde, 27 novembre 2015..

Apparition de la Technopolice

La Quadrature du Net, dont l’objet est la défense des droits et des libertés fondamentales à l’ère du numérique, s’intéresse activement depuis 2018 aux pratiques de surveillance technologique dans les villes françaises, que nous appelons la Technopolice. Tout est parti d’un article de presse³« À Marseille, le big data au service de la sécurité dans la ville », Le Monde, 8 décembre 2017. au sujet d’un projet municipal, à Marseille, de construire un « Observatoire de la Tranquillité publique », qui devait mettre le big data au service de la sécurité. Le nouveau centre de supervision urbain (CSU) — endroit où arrivent les flux vidéos de toutes les caméras de vidéosurveillance — devait également centraliser toutes les données numériques produites par les services de la ville : trafic routier, police municipale, marins-pompiers, hôpitaux, etc. L’ambition : malaxer cette montagne de données quotidiennes avec des algorithmes d’intelligence artificielle pour dégager des motifs, des récurrences, des lois, bref, des éléments signifiants, dans l’espoir d’anticiper la délinquance ou les perturbations de l’ordre public.
Il nous a aussitôt paru nécessaire de mettre en lumière ce qui se passait à Marseille et sans doute dans d’autres villes les françaises. Pour cela, nous avons utilisé un outil démocratique intéressant, le « droit d’accès au documents administratifs » que tous les citoyens peuvent exercer auprès des administrations, sous le contrôle d’un commission nationale (la Cada). Nous avons donc demandé aux mairies, par courrier, leurs délibérations et leurs appels d’offres en matière de dispositifs numériques de sécurité.

Les demandes Cada et l’effet vampire

Nous avons assez vite obtenu de nombreux documents, qui décrivent les dispositifs technologiques vendus par les industriels aux mairies. Des caméras, des logiciels, des algorithmes d’intelligence artificielle, des micros, des drones… Il faut bien comprendre que ces dispositifs ne sont pas des fantasmes de policiers ou de militants anti-répression, mais des réalités quotidiennes aujourd’hui en France. Un bestiaire étonnant, mais vite monotone, car les acteurs sont peu nombreux et toujours les mêmes. Autre surprise : de nombreuses communes ont acheté des packs de vidéosurveillance sans être toujours conscientes de la nature des systèmes qui leur ont été vendus. Et parfois, des initiatives plus déroutantes que d’autres se font remarquer : le maire de Saint-Étienne voulait installer des micros dans quelques rues « sensibles » d’un quartier populaire de la ville, pour lancer des interventions de police en cas de bruits suspects (bombe aérosol de peinture, cris, etc.). Dès que le projet a été rendu public, la mairie l’a retiré pour mettre un terme aux protestations. C’est ce qu’on appelle l’effet vampire  : les projets honteux ne résistent pas à la lumière.

La campagne Technopolice

Cet arsenal hybride se déploie depuis quelques années à très grande vitesse, mais derrière une brume tactique qu’il fallait dissiper. C’est pourquoi La Quadrature du Net a lancé une campagne Technopolice invitant les habitants des communes du pays à se saisir du problème et à faire des demandes Cada auprès de leurs mairies.
La campagne s’est organisée autour d’un forum pour fédérer les initiatives locales et d’un site internet pour publier les documents obtenus et cartographier l’emprise croissante de la Technopolice. Elle cherche à documenter les dispositifs de surveillance, illégaux pour la plupart, qui sont aujourd’hui mis en place sous couvert d’expérimentation dans un premier temps, avant d’être entérinés par la pratique, puis par le droit.

Les JO, un grand accélérateur de sécurité

Dans ce contexte de monomanie sécuritaire — dernier pouvoir d’un État réduit à son squelette régalien, et confiné dans un rôle d’orientation des fonds publics vers l’entreprise privée — les Jeux olympiques sont une aubaine : pouvoir légaliser des pratiques (policières), financer une économie (industrielle) et fabriquer de la sécurité.
La Coupe du monde de Rugby 2023 et surtout les Jeux olympiques de Paris 2024 sont explicitement envisagés comme des rendez-vous pour les forces de surveillance, car ils permettront de faire entrer dans le droit commun des pratiques jusqu’alors illégales, et de faire sauter le verrou qui bloquait la massification d’usages policiers encore marginaux, et de faire perdurer, bien au-delà de la période des JO, les moyens déployés spécifiquement pour ces derniers. C’est le célèbre effet cliquet : un événement exceptionnel justifie des mesures exceptionnelles qui ne seront jamais remises en cause par la suite. On se souvient par exemple que de nombreuses mesures de « simplification » administrative et judiciaire, prises lors de la longue période d’état d’urgence qui a suivi les attentats du 13 novembre 2015, ont ensuite été versées au droit commun par la loi Sécurité intérieure du 31 octobre 2017⁴Loi Sécurité intérieure du 31 octobre 2017.. Le pays baigne de fait dans un état d’exception permanente.

Une nouvelle « loi olympique » en 2023

Lors d’une audition récente au Sénat, Gérald Darmanin a déclaré que la préparation des JO occupait un tiers de son temps de ministre, et annoncé que 30 000 agents des forces de sécurité seront mobilisés chaque jour, que 15 000 nouvelles caméras de surveillance seront installées, financées à hauteur de 44 millions d’euros par le ministère de l’Intérieur, et renforcées par des programmes de vidéosurveillance et des dispositifs anti-drones (la police se réservant ainsi le monopole du drone légitime).
En amont, selon les mots du ministre, un « plan Zéro délinquance » prévoit de « nettoyer les banlieues », c’est-à-dire de harceler les populations ayant le malheur de vivre là où se tiendront les JO, dans les communes de Seine-Saint-Denis qui accueilleront le village olympique et les installations sportives (Saint-Denis, Aubervilliers, etc). Comme le Comité d’organisation des Jeux olympiques (COJO) l’écrit lui-même sur la page consacrée à « l’héritage » de ces Jeux : « Paris 2024 est un laboratoire pour inventer la ville de demain, une ville pour les gens »⁵Site officiel de Paris 2024…
Au cours de la même audition⁶Audition de Gérald Darmanin au Sénat, 25 octobre 2022., le ministre Darmanin a annoncé qu’une nouvelle « loi sur les Jeux olympiques » sortira des cartons au début de l’année 2023. Outre les dispositions déjà évoquées, son objectif sera d’introduire des « ajustements juridiques » pour légaliser la vidéosurveillance algorithmique.

La VSA, un vieille connaissance de La Quadrature du Net

Au cours de nos enquêtes sur les usages de la Technopolice municipale, nous avons beaucoup rencontré la vidéosurveillance intelligente, que nous préférons appeler la vidéosurveillance automatisée ou algorithmique (VSA). Les caméras urbaines génèrent chaque jour des centaines, des milliers d’heures d’images. L’humain n’est pas capable de les regarder avec efficacité. L’industrie a donc imaginé d’imposer cette fausse évidence : il suffit de confier le travail à des logiciels. Les algorithmes sont dressés à reconnaître des situations-types et chargés de repérer les « comportements suspects » définis par la police elle-même⁷« Qu’est-ce que la surveillance algorithmique ? », Technopolice, mars 2022..
Ces algorithmes sont capables de s’intéresser à des « événements » (déplacements rapides, altercations, immobilité prolongée) ou aux traits distinctifs des personnes : une silhouette, un habillement, une démarche, grâce à quoi ils peuvent isoler une personne au sein d’une foule et la suivre tout le long de son déplacement dans la ville. Plus large et plus variée que la seule reconnaissance faciale, la VSA est à la fois un outil de police idéal et une filière industrielle aux débouchés nombreux.
Pour cela, le gouvernement doit faire entrer dans le droit commun ces technologies aujourd’hui illégales, avec le moins de débat public possible.
La vidéosurveillance, en plus d’être inefficace en regard de l’objectif qu’elle prétend atteindre (« moins de délinquance »), est une chimère politique de droite qui trace un signe égal entre la notion de sécurité et la simple répression. Une « sécurité de gauche », qui engage d’autres imaginaires, comme la sécurité sociale, sanitaire, alimentaire, ou le droit au logement, est beaucoup plus coûteuse à défendre. La VSA, à l’inverse, propose une solution simple en venant automatiser des dynamiques discriminatoires à l’œuvre depuis longtemps.

Un enjeu de taille pour une industrie impatiente

Les Jeux olympiques sont une aubaine pour les industriels de la sécurité, depuis les grandes multinationales comme Thalès ou Dassault, jusqu’aux petites start-ups agiles et disruptives de l’intelligence artificielle qui concoctent, avec un zèle touchant, les algorithmes de détection des « comportements suspects ».
Thalès a déjà testé la reconnaissance faciale en 2021 dans les allées de Roland-Garros. La start-up Two-I avait essayé d’identifier les visages des supporters interdits de stade, à Metz, en 2020⁸Reconnaissance faciale au stade de Metz, France 3 Grand Est, février 2020. : la CNIL lui avait infligé un avertissement pour cette expérience de police sauvage. Ces prestataires de la Technopolice se frottent aujourd’hui les mains : portés par les fonds de l’Agence Nationale de la Recherche et par l’appel d’air sécuritaire créé par les JO, ils comptent exposer aux yeux de monde entier le savoir-faire français en matière de surveillance et vendre leurs solutions à d’autres villes en France, en Europe, ou plus loin encore.
Ces technologies sont aujourd’hui en phase de test — pas moins de 180 expérimentations avant la fin de 2022, pour un budget de 21 millions d’euros donnés par l’ANR — avant d’être « déployées » pour la Coupe du monde de Rugby de septembre 2023, dernière répétition générale avant les JO. Le gouvernement et les industriels sont main dans la main pour faire de la France une championne du marché techno-sécuritaire mondial.
Au moment où le ministère de l’Intérieur voit son budget croître encore de 15 milliards d’euros sur cinq ans⁹« Loi d’orientation du ministère de l’Intérieur : nouvelle version mais vieilles recettes », Libération, 8 septembre 2022., le budget « sécurité » des Jeux olympiques, d’abord prévu à 182 millions d’euros, est passé à 295 millions d’euros. La surveillance et la répression n’ont pas entendu parler de la fin de l’abondance. Pour un gouvernement économiquement libéral et politiquement autoritaire, comme celui que pratique Emmanuel Macron, la dépense publique de sécurité est un fusil à deux coups : les milliards d’argent public permettent d’« assurer la sécurité des Français » et de « créer de l’emploi ». En même temps. On nage dans le bonheur et l’efficacité.

Croissance et fragilité de la sécurité privée

Cette privatisation de la sécurité publique présente un autre aspect : les nombreuses lois sécuritaire de ces dernières années donnent aux entreprises privées une part toujours plus grande des missions de sécurité publique.
Les mouchards stipendiés par les préfets parisiens du 19e siècle regarderaient sans doute avec envie la rigueur professionnelle que le Livre blanc de la sécurité intérieur (2020) entend donner au « continuum de la sécurité privée ». Comme l’écrit Thomas Jusquiame : « moralisée, intégrée, contrôlée, protégée, alimentée, organisée, la sécurité privée n’a jamais paru autant en harmonie avec les forces de répression régaliennes »¹⁰« Sécurité privée et privatisation de la police », Lundi matin, 27 décembre 2021..
Mais les organisateurs de Paris 2024 sont hantés par le souvenir des Jeux de Londres en 2012 : l’entreprise de sécurité privée mandatée par l’État avait déclaré forfait trois semaines avant le début des Jeux, faute d’agents disponibles, et le gouvernement britannique avait dû faire appel au personnel de l’armée. Or, à deux ans de la cérémonie d’ouverture des Jeux de Paris 2024, les 25 000 à 30 000 agents de sécurité demandés par le COJO manquent encore à l’appel.
Le Conseil national des activités privées de sécurité (CNAPS) tente de rendre ce métier attractif, en proposant aux chômeur·euses d’île-de-France des formations payées par l’État, et cible même les étudiantes (il faut du personnel féminin pour les fouilles). À cela s’ajoute la nécessité de réaliser un million d’enquêtes administrative, dont la grande majorité concerne le recrutement des agents de sécurité privée. Le COJO a déjà annoncé avoir refusé entre 100 et 200 candidats fichés S.
Le grand embrigadement dans la société de surveillance est apparemment un chemin plein d’épines. Et il convient d’en rajouter.

Perspectives de lutte et plainte collective

Les Jeux olympiques ont souvent été dénoncés pour leur manière d’affirmer que le capitalisme fonctionne, tout en détruisant à la pelleteuse des vies, des habitats et des communautés¹¹« Paris JO 2024, miracle ou mirage », ouvrage collectif publié en 2022 aux éditions Libre et Solidaire.. En mai dernier, une rencontre anti-olympique a eu lieu à Paris¹²Retour sur les rencontres anti-olympiques internationales, mai 2022.. Le collectif Vigilance JO Saint-Denis dénonce les projet d’aménagement urbain destructeurs¹³Collectif Vigilance JO Saint-Denis. Le collectif Saccage 2024¹⁴Saccage 2024 regroupe les organisations qui combattent les destructions occasionnées par les Jeux, qui accélèrent « les problèmes écologiques et les injustices sociales dans nos villes, et nous privent des moyens de décider collectivement de ce qui nous entoure ».
Le déploiement des dispositifs technopoliciers diffère en fonction des contextes locaux, des volontés municipales et des accointances avec des industriels. Mais l’ambition du chantier de surveillance des JO de Paris 2024 confirme que le ton général est donné par le sommet de la pyramide sécuritaire nationale. C’est pourquoi la Quadrature du Net a décidé de porter une plainte collective — plus de 15 000 personnes nous ont confié leur mandat, et la plainte été déposée devant la CNIL le 24 septembre 2022 — contre le ministère de l’Intérieur et contre les grands piliers du système de la Technopolice : la vidéosurveillance, les logiciels de VSA, la reconnaissance faciale, et le fichage généralisé (fichiers TAJ et TES). Nous dénonçons la volonté d’imposer à marche forcée ces dispositifs de surveillance totale, sans volonté démocratique et sans retour possible, pour le maintien d’un ordre dont tout indique, des hôpitaux aux universités, des crises sanitaires aux crises migratoires, des océans aux forêts, de la biodiversité au climat, qu’il est un ordre de mort.

References[+]

References

↑1	Livre blanc de la sécurité intérieure, novembre 2020.
↑2	« Les militants de la COP21, cibles de l’état d’urgence », Le Monde, 27 novembre 2015.
↑3	« À Marseille, le big data au service de la sécurité dans la ville », Le Monde, 8 décembre 2017.
↑4	Loi Sécurité intérieure du 31 octobre 2017.
↑5	Site officiel de Paris 2024
↑6	Audition de Gérald Darmanin au Sénat, 25 octobre 2022.
↑7	« Qu’est-ce que la surveillance algorithmique ? », Technopolice, mars 2022.
↑8	Reconnaissance faciale au stade de Metz, France 3 Grand Est, février 2020.
↑9	« Loi d’orientation du ministère de l’Intérieur : nouvelle version mais vieilles recettes », Libération, 8 septembre 2022.
↑10	« Sécurité privée et privatisation de la police », Lundi matin, 27 décembre 2021.
↑11	« Paris JO 2024, miracle ou mirage », ouvrage collectif publié en 2022 aux éditions Libre et Solidaire.
↑12	Retour sur les rencontres anti-olympiques internationales, mai 2022.
↑13	Collectif Vigilance JO Saint-Denis
↑14	Saccage 2024

]]> https://www.laquadrature.net/?p=20188http://isyteck.com/autoblog/quadrature/index.php5?20230224_150608_Une_BD_pour_refuser_la_surveillance_biometrique___Fri, 24 Feb 2023 14:06:08 +0000 Nous publions une BD de Grisebouille contre la surveillance biométrique (dont on peut retrouver le site internet ici) de Framasoft. Merci !



]]> https://www.laquadrature.net/?p=20162http://isyteck.com/autoblog/quadrature/index.php5?20230223_121130_Strategies_d___infiltration_de_la_surveillance_biometrique_dans_nos_villes_et_nos_viesThu, 23 Feb 2023 11:11:30 +0000Depuis 2019, l’initiative Technopolice documente et analyse le déploiement illégal des technologies d’intelligence artificielle qui cherchent à augmenter la puissance policière de répression dans l’espace public. En quatre ans, ces technologies se sont perfectionnées et leurs promoteurs – des entreprises et des représentants de politiques sécuritaires – tentent de sortir de cette position illégale inconfortable.
Alors que le déploiement de ces IA policières s’est fait dans l’illégalité la plus totale, la loi sur les Jeux Olympiques et Paralympiques de 2024 a précisément pour but d’amorcer cette légalisation de la surveillance biométrique, en commençant par la VSA : la vidéosurveillance algorithmique. Mais pour arriver jusqu’ici, l’industrie a déployé tout un panel de stratégies pour rendre ces technologies acceptables. Décortiquons-les.

Panorama des technologies phares de surveillance biométrique

Tout d’abord, rappelons la véritable nature des trois technologies phares des entreprises du marché de la surveillance biométrique, qui mêlent captation de nos attributs (couleur des vêtements, sacs, couvre-chefs, etc.), de nos caractéristiques physiques (formes de nos corps, démarche…) et intelligence artificielle.

• VSA

La vidéosurveillance algorithmique consiste en l’automatisation du travail d’analyse des images de vidéosurveillance grâce à un logiciel, basé sur des algorithmes de « computer vision » (le champ de l’intelligence artificielle spécialisé dans le traitement des images), qui se charge de produire des notifications lorsque qu’il détecte un événement qu’on l’a entraîné à reconnaître, généralement en vue d’une intervention policière. Cette technologie est aussi utilisée pour des usages privés, par exemple pour détecter des intrusions dans une propriété privée ou pour surveiller les clients des supermarchés.

Les algorithmes ayant pour but de reconnaître une information sur une image sont généralement basés sur de l’apprentissage automatique, aussi appelé « machine learning ». Pour pouvoir faire de la reconnaissance sur ces flux vidéo, il convient de traduire des informations (nombre de pixels, position, couleur, et leur évolution dans le temps) en informations statistiques plus intelligibles et manipulables qu’on appelle des caractéristiques.

Nous avons recensé de manière non exhaustive la mise en place de cette technologie dans plus de 200 villes françaises. Par exemple, la VSA peut détecter des « évènements anormaux » qui sont en réalité des comportements anodins tels que des rassemblements ou le fait d’être statiques, mais aussi suivre le parcours d’une personne ou lire des plaques d’immatriculation.

• ASA

L’audiosurveillance algorithmique fonctionne de la même manière que la VSA mais en utilisant des signaux audio à la place des flux vidéo. Contrairement à la VSA, qui se base sur le parc de vidéosurveillance existant, cette technologie demande d’installer des micros dans les rues. La première ville dans le viseur des collectifs luttant contre la technopolice a été Saint-Étienne, où, sous couvert d’expérimentation la municipalité avait prévu d’installer plusieurs dizaines de capteurs sonores dans un quartier de la ville afin d’en traquer les « bruits suspects » (klaxons, bris de verres, bombes aérosols)… Dès 2019, nous avions pu analyser la gravité du projet qui a finalement été annulé suite à une grande mobilisation des Stéphanoi·ses et un avertissement de la CNIL.

Cela n’a pas empêché la ville d’Orléans de lancer un projet similaire en 2021, contre lequel La Quadrature a déposé un recours, toujours en cours d’examen par le tribunal.

• Reconnaissance faciale

La reconnaissance faciale fonctionne grâce aux mêmes algorithmes de « computer vision » que la VSA, c’est à dire de l’apprentissage statistique qui a pour but d’analyser et déterminer les corrélations et paramètres identiques entre des images. Dans cette application là, les algorithmes sont circonscrits aux traits du visage, on peut donc considérer la reconnaissance faciale comme une sous-catégorie de la VSA.

En France, la reconnaissance faciale est déjà massivement utilisée par la police à travers le fichier de police du Traitement des Antécédents Judiciaires (TAJ). Dans ce cadre, la reconnaissance faciale est utilisée pour créer un lien direct entre le visage d’une personne et son identité civile enregistrée dans le TAJ. Cet usage permet aux agents de comparer, a posteriori, des images de vidéosurveillance ou de réseaux sociaux avec plus de huit millions de photos de personnes contenues dans ce fichier.

De plus, nous avons pu observer plusieurs tentatives d’installation de la reconnaissance faciale dans l’espace public en France. Par exemple, la région PACA a voulu mettre en place des portiques de reconnaissance faciale dans deux lycées, à Nice et à Marseille en 2018. Nous avons fait un recours et le dispositif a été jugé illégal en 2020, car totalement disproportionné, par le Tribunal administratif de Marseille et par la CNIL.

Les entreprises qui proposent des solutions de VSA sont tout autant en mesure de faire de la reconnaissance faciale. Officiellement, la plupart d’entre elles affirment ne pas utiliser les caractéristiques biométriques propres au visage car cela les ferait souffrir d’une trop mauvaise publicité, due au rejet massif de la reconnaissance faciale dans la société. Pourtant, elles utilisent bien d’autres caractéristiques biométriques (analyse des corps et de leurs mouvements) qui leur permettent de vendre leurs outils de VSA aux municipalités. De plus, nombre de ces entreprises proposent conjointement la VSA et la reconnaissance faciale dans leurs services, c’est le cas par exemple de Atos, Idemia, Thales, Axis, Avigilon ou encore Two-I.

Nous dénonçons depuis longtemps le lien étroit entre toutes les technologies de surveillance biométrique. Si la VSA venait à être légalisée, les promoteurs de la reconnaissance faciale n’auraient plus qu’à expliquer qu’elle est seulement une application particulière de la VSA pour la faire accepter à son tour, comme un prolongement naturel ou logique. En autoriser une, c’est les accepter toutes, il est donc extrêmement important de ne laisser aucune de ces technologies gagner du terrain.

Les stratégies d’acceptation et de légalisation de la surveillance biométrique

Le droit actuel fournit une large protection des données personnelles et particulièrement des données biométriques. Nous l’expliquions dans cet article, avec le RGPD et la directive Police-Justice, la surveillance biométrique est pour l’heure strictement illégale. Les promoteurs de la surveillance biométrique sont au fait de cette illégalité. Pour contourner cet obstacle juridique, ils utilisent plusieurs stratégies pour faire exister ces technologies, les rendre acceptables et, in fine, les légaliser.

Comme ces technologies sont déployées en toute opacité, obtenir des informations sur ces stratégies nous a demandé d’employer divers moyens : demandes d’accès à des documents administratifs (pour les appels d’offre et les procès-verbaux de conseils municipaux par exemple), analyse de la communication des entreprises ou réception d’informations par des lanceurs d’alertes (notamment par notre plateforme de leak sécurisée). Récemment, nous avons aussi obtenu auprès de la CNIL les réponses des entreprises à la consultation qu’elle avait lancée il y a un an sur le sujet, que nous citons et publions ici, tant celles-ci sont l’illustration patente de ces techniques d’acceptabilité¹Les autres réponses reçues et non citées dans l’article sont disponibles ici : celles de l’association 810, du lobby AFEP, de la ville de Cagnes-sur-mer, du Cerema (Centre d’études et d’expertise sur les risques, l’environnement, la mobilité et l’aménagement), du CNPEN (Comité national pilote d’éthique du numérique), de Décathlon, du Défenseur des droits, de l’entreprise Digeiz, du délégué à la protection des données du ministère de l’Intérieur, de la Délégation à la protection des données (DPD) de la Ville et de l’Eurométropole de Strasbourg, du GPMSE (Groupement Professionnel des Métiers de la Sécurité Electronique), d’Île-de-France Mobilités, de la ville du Havre, de la ville de Neuilly -Plaisance, du PERIFEM (groupe réunissant les grandes enseignes de distribution, de l’entreprise Pizzorno, l’entreprise Quantaflow, du thinktank Renaissance Numérique, de l’entreprise Samsara, du groupe Transdev, de la Ville de Nice et de l’entreprise Wintics. .

• L’expérimentation : faire croire à la surveillance éphémère

L’expérimentation a été une des premières stratégies mises en œuvre pour confronter les publics à la surveillance biométrique et ainsi les habituer à cette technologie. L’appellation d’« expérimentation » permet de donner un sentiment d’éphémère et de réversibilité de leur mise en place.

Dès 2018, nous avons assisté à une tentative d’installation de portiques de reconnaissance faciale à l’entrée de deux lycées à Nice et à Marseille, sous couvert d’expérimentation. De même, la ville de Nice a expérimenté un système de reconnaissance faciale en 2019 lors de son carnaval, expérimentation dont les résultats n’ont jamais été objectivement communiqués.

Pour justifier la violation du RGPD et de la directive Police-Justice, les arguments consistaient à dire que l’expérience de reconnaissance faciale était « limitée dans le temps » et fondée sur le consentement explicite de volontaires. Cette stratégie se résume à faire exister des projets de surveillance biométrique en les « adoucissant » grâce à l’image expérimentale et permet aux promoteurs de la surveillance biométrique d’ancrer ces technologies sur le territoire, de les rendre normales dans nos environnements. Une fois que ces technologies ont une existence physique, il est beaucoup plus facile de les pérenniser et donc de justifier leurs légalisation.

Un grand nombre d’entreprises poussent cette stratégie dans les réponses à la consultation de la CNIL. Par exemple le lobby de la vidéosurveillance AN2V(l’Association Nationale de la « Vidéoprotection ») plaide pour un « droit à l’expérimentation » quand l’entreprise Deveryware juge que « les tests grandeur nature constituent également une nécessité pour vérifier la robustesse du produit, son efficacité et son efficience ».

On retrouve exactement le même procédé d’acceptabilité dans le projet de loi sur les Jeux olympiques, celui-ci prévoyant une « expérimentation » dans les évènements récréatifs, sportifs et culturels. Le gouvernement peine à masquer les volontés d’installer la VSA dans le quotidien puisque cette « expérimentation » durerait quasiment deux ans !

• La dialectique du progressisme contre les réactionnaires

Les technologies de surveillance biométriques sont fondées sur des algorithmes de « machine learning » dont l’existence est assez récente et qui sont très en vogue, y compris en dehors de l’industrie de la surveillance. Ils incarnent donc la nouveauté, le progrès et un futur soi-disant « inéluctable ». De nombreuses villes, y compris de très petites communes – comme Moirans en Isère – veulent l’adopter pour se donner une image de progrès et de modernité. Couplé à la stratégie d’expérimentation, il est assez facile pour ses promoteurs de présenter les militants s’opposant à la surveillance biométrique comme des réactionnaires souhaitant « revenir en arrière », alors même que ceux-ci ne font que réclamer la suspension de projets illégaux et présentés initialement comme éphémères.

Pour mettre en avant ces bienfaits, les entreprises s’arment d’un discours publicitaire toujours plus valorisant à l’égard de leurs produits en les présentant comme très efficaces, voire « technomagiques », pour résoudre tout type de problème. Ainsi, dans les réponses à la CNIL, un grand nombre d’acteurs présentent la VSA comme ayant des bénéfices « évidents » pour la sécurité et arguent que les refuser serait préjudiciable pour la société. Pourtant l’évidence de ces bénéfices n’est jamais démontrée.

Pour l’Union des Transports publics et Ferroviaires (qui voit dans la VSA un « bien commun », le chargé d’affaires publiques était manifestement très inspiré), « le déploiement de nouveaux systèmes de vidéos augmentées est important : il offre une nouvelle capacité d’anticipation et de réaction des opérateurs de service public non seulement en adéquation avec les réalités de fonctionnement du quotidien en matière de transport de masse, mais aussi, en adéquation avec les risques de notre temps et les attentes de « mieux vivre ensemble » du citoyen-voyageur ».

Pour l’entreprise Idemia (leader du marché de la reconnaissance faciale), l’intérêt de la vidéosurveillance est « indiscutable » car la VSA « permettrait de réduire le nombre d’agents chargés de l’exploitation des flux des caméras (…) au bénéfice d’agents sur le terrain, plus vite (stratégie des feux naissants) et donc plus directement au service des citoyens ». L’entreprise prétend même que les biais algorithmiques – par leur nature supposée quantifiable et maîtrisable – seraient moindres que les biais humains. Cela l’amène à rêver de « salles vidéo aux écrans éteints, et donc une liberté d’aller et de venir retrouvée » car « chaque caméra aura alors l’efficacité d’une patrouille expérimentée, sans avoir les dérives potentielles [des biais humains] ».

Ce discours péremptoire et mensonger de l’industrie – la VSA aurait un « intérêt indiscutable », serait du « bien commun », permettrait de « mieux vivre ensemble », etc. – ne s’accompagne d’aucune étude, d’aucune preuve, il s’agit simplement d’un discours publicitaire qui se retrouve pourtant bien souvent repris sans être questionné par des représentants politiques voulant démontrer qu’ils agissent pour la « sécurité ».

• La hiérarchisation : accabler une technologie pour faire accepter les autres

Une autre stratégie utilisée par les promoteurs de la surveillance biométrique est de mettre en concurrence la capacité d’atteinte aux libertés des différents outils de surveillance biométrique pour en présenter certaines comme inoffensives. Tout l’enjeu de cette stratégie est de hiérarchiser ces technologies – pourtant toutes considérées comme illégales par le RGPD et la directive Police-Justice – afin de jeter l’opprobre sur certaines et ainsi maintenir les autres dans l’opacité pour en cacher la gravité. Les entreprises de l’industrie de la surveillance biométrique entendent par cette rhétorique contribuer à dessiner la ligne d’un soi-disant « garde-fou » tout en se donnant l’image de se préoccuper des libertés alors qu’elles sont en réalité en train de les piétiner.

La reconnaissance faciale est alors un outil stratégique très utile. Bien connue et depuis longtemps car très représentée dans la fiction dystopique, elle évoque instantanément la surveillance de masse : elle est dans l’imaginaire collectif la « ligne rouge » à ne pas franchir. Conscientes de cela, les entreprises tentent de créer une différenciation entre la reconnaissance faciale, dangereuse, et les autres technologies de surveillance biométrique – l’ASA et la VSA – qui seraient beaucoup moins graves en comparaison, et donc acceptables.

Le choix des mots utilisés pour nommer et décrire ces technologies représente un enjeu stratégique majeur pour leur acceptabilité par la population. Chaque entreprise développe donc tout un discours marketing mélioratif et dédramatisant visant a éclipser le caractère biométrique de leur surveillance et à le présenter comme moindre par rapports à d’autres technologies plus graves. Dans les réponses envoyées par les entreprises à la CNIL lors de sa consultation sur la VSA, on retrouve beaucoup de ces éléments de langage. Par exemple, l’entreprise francilienne Alyce affirme « qu’il ne peut y avoir de postulat de dangerosité » concernant la VSA, niant ainsi tous les dangers de l’usage des données biométriques pour faire de la surveillance. Elle reconnaît que beaucoup des systèmes de VSA présentent « un fort risque d’intrusion » mais tente de les hiérarchiser en précisant que « tous ne présenteront pas un niveau de risque fort, notamment selon le caractère identifiant des images captées, le niveau d’identification permise par la captation », et cite comme exemple les dispositifs en différé ou bien ceux sur les axes routiers « car notamment insusceptible de révéler des données sensibles ». Rappelons pourtant que la surveillance des axes routiers et notamment la LAPI (le type de VSA qui permet la lecture automatisée des plaques d’immatriculation) fournit un identifiant unique rattachable à l’identité civile du conducteur du véhicule.

De la même manière, l’entreprise Veesion (qui fait de la détection de vol) minimise sa technologie en la comparant à d’autres dans sa présentation : « La technologie de Veesion se fonde uniquement sur un traitement algorithmique de la gestuelle et des attitudes. L’entreprise n’utilise donc ni la reconnaissance faciale, ni le suivi de client, ni l’enregistrement d’identité ».

Ces stratégies se révèlent souvent assez efficaces. Le choix de faire de la reconnaissance faciale un épouvantail attirant toute la lumière, alors que c’est surtout la VSA qui est au cœur du texte de la loi Olympique, a déteint jusqu’au gouvernement, qui a précisé au paragraphe III de l’article 7 que l’expérimentation n’incluait pas la reconnaissance faciale. La présidente de la CNIL a également foncé dans le piège en soutenant que l’exclusion de la reconnaissance faciale était une garantie.

L’urgence pour l’heure n’est pas de parler de la reconnaissance faciale mais de visibiliser les conséquences de la VSA, au cœur de l’article 7 de la loi : la reconnaissance faciale est massivement rejetée par la population car ses dangers sont connus, c’est beaucoup moins le cas de la VSA qui comporte pourtant des dangers similaires. Il est essentiel de faire connaître cette technologie et de manifester notre opposition. N’hésitez pas à appeler les député·es (on vous explique comment faire ici) pour leur faire prendre conscience de la gravité du texte qu’ils sont en train de voter.

• L’opportunisme : saisir chaque événement ou actualité pour promouvoir la surveillance biométrique

Conscients qu’avec un espace de débat ouvert sur le temps long, les mesures d’augmentation de la surveillance seraient fortement rejetées par la population, les promoteurs de la surveillance biométrique se servent de toutes les occasions possibles leur permettant de précipiter sa légalisation. C’est une stratégie à laquelle nous sommes fréquemment confrontés : l’épidémie de covid-19 a par exemple été prétexte à l’usage de drones, à la mise en œuvre du suivi de nos déplacements et à une accélération de la collecte des données de santé.

L’événement ici instrumentalisé, les Jeux olympiques, a déjà servi par le passé à l’extension de la surveillance. Par exemple, pour les JO de Tokyo, le gouvernement japonais a fait passer une loi « anti-conspiration » voulue de longue date pour mater les groupes militants et syndicaux, et fortement critiquée notamment par les Nations Unies au regard des atteintes aux libertés qu’elle créait et aux pouvoirs de surveillance qu’elle conférait à l’État. Plus récemment, le Qatar a mis en place un grand système de surveillance des personnes assistant à la Coupe du monde de football en 2022.

L’avantage, en terme d’acceptabilité, de se servir d’un événement exceptionnel comme les Jeux olympiques est de venir renforcer le sentiment d’éphémère et d’expérimentation. Dans les réponses à la CNIL, on retrouve l’échéance de la Coupe du monde de Rugby 2023 et des Jeux de Paris 2024 dans quasiment toutes les bouches, comme par exemple celle de Deveryware (page 4), la RATP (page 13) ou encore la SNCF (page 3).

Autre opportunisme que l’on croise très fréquemment dans la technopolice : celui des débouchés économiques. Pour le secteur, le développement des technologies créerait de l’emploi et favoriserait la croissance économique du marché de la surveillance. Aussi, celui-ci doit exister en France pour se positionner face à la concurrence internationale, qui apparaît inéluctable.

Ainsi, l’ancien député Jean-Michel Mis clame la « souveraineté » du marché et pour le réseau Alliance pour la Confiance Numérique (représentant un certain nombre d’entreprises de vidéosurveillance), la CNIL doit « favoriser l’émergence de leaders français de l’intelligence artificielle de confiance et non pas aboutir à des règles ou des situations qui pourraient entraver leurs développements à la faveur d’acteurs non souverains ». Pour Deveryware, « les industriels ont pour mission de créer de la richesse pour la nation avec notamment l’objectif d’exporter leurs solutions » quand Veesion juge qu’un droit d’opposition trop contraignant exposerait « les entreprises du secteur à être considérées comme illégales et donc à arrêter l’ensemble de leurs activités. Cela conduirait à menacer, de manière immédiate, 500 emplois directs en France. »

De nouveau, cette stratégie parvient à ses fins puisqu’elle a été reprise par le ministre de l’Intérieur lui-même pendant les débats sur le projet de loi au Sénat le mois dernier : « Lorsqu’un dispositif est développé avec un cadre français, nous pouvons parler aux industriels, gérer en partie leurs actions, les réguler, regarder leur capital. Soyons fiers des entreprises françaises ! »

• L’euphémisation : mettre en avant les usages les moins inquiétants

Les algorithmes utilisés dans la surveillance biométrique ont des applications bien plus larges que l’analyse des seuls corps humains. Si l’on prend l’exemple de la VSA, les algorithmes de « computer vision » peuvent très bien être utilisés sur des images ne contenant pas d’activité d’humaine, et n’utilisant donc pas de données biométriques, comme par exemple pour détecter des produits défectueux au bout d’une chaîne de fabrication.

Une stratégie particulièrement mise en avant par les promoteurs de la surveillance biométrique est alors de la rapprocher d’autres usages qui semblent beaucoup moins problématiques. Ils mettent généralement en avant les situations où l’activité humaine est la moins perceptible : repérer des ordures déposées sur des trottoirs ou des bagages abandonnés par exemple. Étant donné que l’objet de la détection n’est pas humain, il est facile de prétendre qu’il s’agit là d’une détection similaire à la détection d’anomalie dans une chaîne de production et de faire fi du fait que, pour aboutir à cette détection, l’algorithme sonde continuellement les flux vidéo de la rue, ou de l’espace public où se retrouve déposé l’objet. Avec cette technique, les entreprises se gardent bien de faire comprendre que, même pour repérer un objet, les humains sont analysés en permanence.

Ainsi, pour justifier le bon usage de la VSA, l’AN2V mentionne des traitements ne « disposant d’aucun algorithme permettant de détecter des personnes : détection d’animal errant, mesure des traversées d’animaux, ouverture automatique d’une borne sur une rue piétonne sur détection d’un véhicule d’urgence, affichage d’un message ou commande d’un dispositif (feu rouge, borne) sur mesure de vitesse, etc. ». Pour la RATP, « l’amélioration de la puissance d’analyse d’un système de vidéoprotection ne dénature ni ne change la portée de la vidéo [exploitée] depuis de nombreuses années » car dans tous les cas, « que la détection soit d’origine humaine ou algorithmique », l’action des service de police ou de la RATP, serait « identique ».

Autre exemple, quand le maire de Nice laissait croire l’année dernière que le système de VSA qu’il souhaitait mettre en place ne traitait que des données « générales » et non biométriques (ce qui est faux), afin de minimiser ce que faisait réellement l’algorithme.

Les entreprises ont aussi recours à des jeux rhétoriques et des périphrases. La ville d’Orléans a par exemple
tenté de faire passer l’audiosurveillance algorithmique implantée dans ses rues par la société Sensivic pour un simple « détecteur de vibration de l’air ». Cette technologie, en réalité basée sur la pose de microphones couplés à un logiciel d’analyse algorithmique, fonctionne comme la VSA et la reconnaissance faciale sur de l’analyse de l’activité humaine afin de repérer des cris ou divers bruits. La ville d’Orléans tentait par cette pirouette de faire oublier que cette surveillance était basée sur de l’analyse de données personnelles, et comptait ainsi échapper au RGPD. De la même manière, l’AN2V mentionne des « détections d’anormalité sonore » ou des « signatures sonores », tant de mots techniques destinés à camoufler que l’on parle de la mise sur écoute des personnes.

• La neutralisation de la technologie

Une autre rhétorique que l’on a beaucoup rencontrée à La Quadrature est, lorsque l’on dénonce l’usage d’une technologie renforçant la surveillance, de s’entendre rétorquer que cet outil aurait un soi-disant caractère neutre et impartial. Les technologies sont alors présentées comme de simples aides techniques, des logiciels sans conséquence.

Concernant la VSA, la stratégie consiste alors à mettre en avant la décision finale de l’humain et à présenter le logiciel comme une simple « aide à la décision » ayant une fonctionnalité de « levée de doute ». Les entreprises insistent alors sur le fait que la véritable décision serait, elle, prise par l’humain au bout de la chaîne, et que la technologie ne serait qu’un outil neutre n’orientant le résultat de la surveillance d’aucune manière.

Par exemple, pour l’ACN, « cette technologie peut aider à la détection de situations pouvant conduire à une infraction, mais ne prend pas, à date, de décision finale automatisée. C’est une simple aide à la décision qui laisse la liberté à l’homme de contrôler/confirmer/infirmer ». Même chose chez l’Agora (un club de directeurs de la sécurité), « ces signalements sont alors validés ou non par une action humaine. La technologie utilisée dans ce cadre intervient donc en amont, en tant que support de l’action humaine » ou l’AN2V : « Seul le regard et l’interprétation humaine envisage ou non une action ou une procédure. On est là dans un cas d’aide à la décision ».

En réalité, ce travail de « détection de situations » réalisé par le logiciel présuppose d’avoir choisi en amont, d’une part, les événements pertinents à relever et, d’autre part, les critères pertinents pour détecter et retrouver ces évènements sur une image. Ainsi, de nombreuses décisions impactantes et révélant des choix politiques et moraux surviennent au cours du processus de construction de ces algorithmes. En effet, de façon identiques à ce que nous dénoncions pour la CAF, les algorithmes fonctionnent en traduisant et imitant des décisions et subjectivités humaines, contenues jusqu’au sein même des jeux de données qui sont fournis aux algorithmes pour l’apprentissage. Rien n’est neutre dans la VSA.

Conclusion

Au final, toutes ces stratégies ont une conséquence : dépolitiser la surveillance, en faire un objet banal et inéluctable, masquer sa véritable nature. On aimerait en rire mais que dire lorsque l’on voit que certaines entreprises comme Veesion ou l’ACN regrettent le caractère « anxiogène » de l’analyse de la CNIL quand elle évoque la versatilité des technologies ou le « changement de nature et de portée » des caméras ? Ou quand la SNCF exige de cette même CNIL qu’elle apporte preuves et études lorsqu’elle ne fait que relever « la dangerosité des technologies de [VSA] » et évoque le « sentiment de surveillance généralisée » ?

Ce déni de ce que représente la surveillance, de ce qu’elle a causé dans l’Histoire, des raisons pour lesquelles on a cherché à la limiter il y a cinquante ans, est vertigineux. La surveillance a été et sera toujours un instrument de pouvoir pour les États. Nier que la collecte, l’organisation et la rationalisation d’informations sur une population est source de contrôle pour qui les détiennent est une manœuvre non seulement cynique mais aussi dangereuse et révélatrice de la perte de repères politiques d’un grand nombre d’acteurs. Car on pourrait ne pas être surpris que ces pratiques éhontées viennent d’entreprises capitalistiques qui n’ont d’autre but que de faire du profit (et encore). Mais que dire lorsque l’on retrouve l’ensemble de ces stratégies et discours des industriels dans la bouche des ministres et des élus censés savoir que dans un État de droit qui se respecte, tout pouvoir étatique doit être contrôlé et limité ?

Nous nous battons depuis des années contre la surveillance abusive et le déploiement du contrôle de masse dans l’espace public. Aujourd’hui nous observons de façon inédite d’un côté la prégnance d’un marché tentaculaire de la sécurité, qui voit dans toute offre commerciale une occasion bonne à prendre, et de l’autre coté des gouvernants qui y répondent sans sourciller même si la demande n’existe pas et que les dangers sont réels. Ces manœuvres doivent être dénoncées. Car à mesure qu’elles s’installent comme des évidences, elles effacent de notre mémoire collective tous les exemples passés et présents de dérives du pouvoir étatique, de surveillance et de répression des populations. Elles participent à saper l’héritage des luttes démocratiques qui nous permettent de lutter contre les abus de pouvoirs et l’autoritarisme.

Luttons contre ce monde de la technopolice, luttons contre l’article 7 !

References[+]

References

↑1

Les autres réponses reçues et non citées dans l’article sont disponibles ici : celles de l’association 810, du lobby AFEP, de la ville de Cagnes-sur-mer, du Cerema (Centre d’études et d’expertise sur les risques, l’environnement, la mobilité et l’aménagement), du CNPEN (Comité national pilote d’éthique du numérique), de Décathlon, du Défenseur des droits, de l’entreprise Digeiz, du délégué à la protection des données du ministère de l’Intérieur, de la Délégation à la protection des données (DPD) de la Ville et de l’Eurométropole de Strasbourg, du GPMSE (Groupement Professionnel des Métiers de la Sécurité Electronique), d’Île-de-France Mobilités, de la ville du Havre, de la ville de Neuilly -Plaisance, du PERIFEM (groupe réunissant les grandes enseignes de distribution, de l’entreprise Pizzorno, l’entreprise Quantaflow, du thinktank Renaissance Numérique, de l’entreprise Samsara, du groupe Transdev, de la Ville de Nice et de l’entreprise Wintics.

]]> https://www.laquadrature.net/?p=20097http://isyteck.com/autoblog/quadrature/index.php5?20230222_130145_Petition_des_elu__es_fran__ais__es_contre_la_videosurveillance_algorithmique_de_la_loi_JOWed, 22 Feb 2023 12:01:45 +0000Le Parlement doit rejeter l’article 7 de la loi Jeux olympiques 2024 !

Notre page de campagne contre la loi JO

Cette pétition s’adresse aux élu·es (conseillers municipaux, départementaux, régionaux, députés, sénateurs). Si possible, merci de nous indiquer votre signature depuis votre adresse mail officielle, afin de nous assurer qu’il s’agit bien de vous en écrivant à petition@technopolice.fr (merci de préciser votre mandat — par exemple « conseillère municipale de Paris (75) — et, le cas échéant, le parti auquel vous êtes rattaché·e). Nous refusons toute signature provenant de l’extrême-droite.

À travers l’article 7 du projet de loi relatif aux Jeux Olympiques 2024, le gouvernement entend légaliser la vidéosurveillance algorithmique (VSA). Il s’agit ainsi de satisfaire aux demandes des industriels et de certains responsables du ministère de l’Intérieur pour permettre, via une simple autorisation préfectorale, le couplage de l’Intelligence artificielle aux caméras de vidéosurveillance disposées dans les lieux publics ou placées sur des drones. Prenant pour prétexte les Jeux olympiques organisés à l’été 2024, l’article 7 autoriserait ces technologies de surveillance massive pour toutes les manifestations « sportives, culturelles ou récréatives », allant des matchs de Ligue 1 aux marchés de Noël en passant par les festivals de musique. Le tout au nom d’une prétendue expérimentation de deux ans devant s’achever en juin 2025, imposant à toutes les personnes qui assisteront à ces événements de devenir à la fois cobayes et victimes de ces algorithmes sécuritaires.

Qu’est-ce au juste que la VSA ? Il s’agit d’un type de logiciels consistant à automatiser l’analyse des flux de vidéosurveillance pour déclencher des alertes à destination des forces de police ou de sécurité dès lors que des « comportements suspects » sont repérés. Il peut par exemple s’agir du fait de rester statique dans l’espace public, de marcher à contre-sens de la foule, de se regrouper à plusieurs dans la rue ou encore d’avoir le visage couvert. Ces logiciels peuvent aussi suivre automatiquement le parcours d’une personne dans un territoire à l’aide d’attributs biométriques tels que la taille, le fait d’être perçu comme homme ou femme, ou encore la couleur de ses vêtements. Demain, il suffira de croiser ces technologies avec divers fichiers pour pratiquer massivement l’identification par reconnaissance faciale — une fonctionnalité que proposent déjà de nombreuses startups et industriels positionnés sur ce marché, à l’image du logiciel Briefcam, dont les logiciels sont déployés dans plus de 200 communes françaises.

Si le gouvernement instrumentalise les Jeux olympiques en prétendant « expérimenter » la VSA, cela fait en réalité des années que des expérimentations ont lieu sur le territoire français, et ce en toute illégalité comme l’a lui-même reconnu le ministre de l’Intérieur. L’État a lui-même directement financé nombre de ces déploiements au travers du Fonds interministériel de prévention de la délinquance, de l’Agence nationale de la recherche ou du programme d’expérimentation lancé par le ministère de l’Intérieur pour Paris 2024 (lequel a par exemple conduit à tester la reconnaissance faciale lors du tournoi de Roland-Garros en 2021).

Quant aux prétendues garanties apportées par le gouvernement aux libertés publiques dans le cadre de ce projet de loi, elles apparaissent tout-à-fait dérisoires au regard des enjeux soulevés par la VSA. Contrairement à ce que prétendent ses promoteurs, ces technologies ne sont pas de simples outils d’« aide à la décision » : l’adoption de l’article 7 du projet de loi Jeux olympiques s’assimilerait à un véritable changement d’échelle et de nature dans la surveillance de la population, installant dans nos sociétés démocratiques des formes de contrôle social qui sont aujourd’hui l’apanage de pays autoritaires comme la Chine. C’est ce qu’explique la CNIL lorsqu’elle écrit que l’article 7 « ne constitue pas une simple évolution technologique de dispositifs vidéo, mais une modification de leur nature », ajoutant qu’un tel déploiement, « même expérimental, (…) constitue un tournant » . La Défenseure des droits met également en garde¹ Réponse de la Défenseure des droits à la consultation de la CNIL contre la VSA : selon elle, « le changement de paradigme » induit par le passage des « caméras de vidéoprotection « classiques » vers des dispositifs aux capacités de détection et d’analyse algorithmiques poussées est extrêmement préoccupant ». Elle insiste sur « les risques considérables que représentent les technologies biométriques d’évaluation pour le respect [des] droits »

Il est aussi particulièrement choquant de constater que, de l’aveu même de ses promoteurs, ce basculement vers la surveillance biométrique de l’espace public est motivé par des considérations économiques. Sous couvert d’expérimentation, la loi prépare la banalisation de ces technologies tout en permettant aux acteurs privés de peaufiner leur algorithmes avant leur généralisation. Lorsqu’on sait que l’achat d’une seule caméra coûte à une collectivité entre 25 et 40 000€ (sans la maintenance ni les logiciels d’analyse), on comprend aisément que la vidéosurveillance et son pendant algorithmique constituent une immense manne financière pour les industriels du secteur : 1,6 milliards d’euros de chiffre d’affaire sur l’année 2020²Pixel 2022, page 96 consultable ici : data technopolice rien qu’en France. Au niveau international, le marché devrait plus que doubler d’ici 2030 pour atteindre près de 110 milliards de dollars. Faisant fi du risque d’erreurs et d’abus en tous genres, certains promoteurs de la VSA expliquent dores et déjà qu’après la détection de « comportements suspects », les pouvoirs publics pourront amortir ces technologies en automatisant la vidéoverbalisation. Il y a donc fort à parier qu’une fois ces technologies achetées au prix fort, une fois des dizaines de milliers d’agent·es formé·es à leur utilisation, il sera pratiquement impossible de faire marche arrière.

Conscient·es du risque que fait peser la vidéosurveillance algorithmique sur la vie démocratique de nos sociétés, nombre d’élu·es de par le monde ont décidé d’interdire son usage. En décembre 2022, suite à l’adoption d’une résolution du Conseil municipal, la ville de Montpellier est devenue la première commune française à interdire la VSA. Elle a ainsi rejoint la liste des municipalités en Europe et aux États-Unis qui ont proscrit une telle surveillance biométrique sur leur territoire. En réponse à une pétition signée par des dizaines de milliers de citoyens à travers le continent, le Parlement européen discute lui aussi d’une interdiction de ces technologies.

Nous, élu·es de la République, refusons à notre tour le recours à la vidéosurveillance automatisée et le projet de société de surveillance qu’elle incarne. C’est pourquoi nous appelons chaque parlementaire à voter en conscience contre l’article 7 de la loi relative aux Jeux olympiques.

Signataires

• Abomangoli Nadège, députée de la 10e circonscription de Seine-Saint-Denis, LFI/NUPES
• Accarion Ombeline, vice-présidente handicap du département de Loire Atlantique, Pays de la Loire, EELV
• Ait-Salah-Lecervoisier, Florence, conseillère municipale d’Orly, LFI
• Alexandre Laurent, député de l’Aveyron, LFI-NUPES
• Alfonsi François, eurodéputé Verts/ALE, Parlement européen, RPS
• Amard Gabriel, député du Rhône, LFI-NUPES
• Amiot Ségolène, députée de Loire-Atlantique, LFI-NUPES
• Amrani Farida, députée d’Essonne, LFI-NUPES
• Aqua Jean-noël, conseiller de Paris, PCF
• Arenas Rodrigo, député de Paris 10ème, LFI-NUPES
• Aubry Martine, conseillère municipale d’opposition, La Queue-en-Brie, LFI
• Autain Clémentine, députée de Seine-Saint-Denis, LFI-NUPES
• Averous Annie, élue municipale à Castanet-Tolosan, Occitanie, Parti Socialiste
• Back Antoine, adjoint au maire de Grenoble, Ensemble!
• Baudonne Anne, conseiller d’arrondissement de la mairie du 20e, communiste
• Barles Sébastien, adjoint au maire de Marseille, conseiller métropolitain à Marseille, PACA, EELV
• Bassani Catherine, adjointe à la maire de Nantes, Pays de la Loire, EELV
• Beltran-Lopez Luis, conseiller municipal délégué de Grenoble, EELV
• Benarroche Guy, sénateur des Bouches-du-Rhône, EELV
• Berland Jean-Louis, conseiller municipal de Saint-Michel-sur-Orge, Île-de-France, LFI/NUPES
• Bernalicis Ugo, député du Nord, LFI-NUPES
• Bernard Grégory, adjoint au maire et conseiller métropolitain, Clermont-Ferrand, Génération.s
• Bex Christophe, député de la Haute-Garonne, LFI-NUPES
• Billouet Simon, conseiller départemental de l’Isère, LFI
• Bilongo Carlos Martens, député du Val d’Oise, LFI-NUPES
• Biteau Benoît, eurodéputé Verts/ALE, Parlement européen, EELV
• Bompard Manuel, député des Bouches du Rhônes, LFI-NUPES
• Bonnet Nicolas, maire-adjoint, Clermont-Ferrand
• Bony Catherine, conseillère régionale Auvergne-Rhône-Alpes, EELV
• Boumertit Idir, député du Rhône, LFI-NUPES
• Boutté Catherine, conseillère municipale d’opposition à Villeneuve-d’Ascq, Nord, LFI
• Bosquillon Christophe, conseiller municipal à Cesson, Île-de-France, LFI
• Boyard Louis, député du Val-de-Marne, LFI-NUPES
• Brobecker Astrid, conseillère départementale Hauts-de-Seine, EELV Bruyère Jérôme, conseiller municipal à Givenchy-en-Gohelle, LFI
• Bu Ludovic, conseiller municipal du Mans, groupe écologiste
• Bub Jerôme, conseiller métropolitain écologiste de la Métropole Grand Lyon, EELV
• Bussière Sophie, porte-parole d’EELV, conseillère régionale Nouvelle-Aquitaine, EELV
• Bui-Xuan Myriam, conseillère municipale de Clapiers, Génération.s
• Bury Thomas, conseiller municipal d’Asnières-sur-Seine, EELV
• Cala Sylvère, conseiller municipal à Massy, Ile-de-France, LFI
• Camara Lamine, conseiller régional Île-de-France, PCF
• Carême Damien, eurodéputé Verts/ALE, Parlement européen, EELV
• Candelier Catherine, conseillère municipale de Sèvres, Île-de-France, EELV
• Caron Aymeric, député de Paris 18ème, LFI-NUPES
• Carrière Sylvain, député de l’Hérault, LFI-NUPES
• Cassé Damien, conseiller municipal, Noisiel, LFI
• Cerezo-Lahiani Louise, conseillère municipale, La Ricamarie, sans étiquette
• Challande Névoret Théo, adjoint au maire de Marseille en charge de la Démocratie et de la Lutte contre les discriminations, Écologiste
• Chapal Arnaud, conseiller municipal de Basville et député suppléant de la Creuse, EELV
• Chauche Florian, député du territoire de Belfort, LFI-NUPES
• Chenevez Odile, élue municipale à Forcalquier, liste citoyenne
• Chesnel-Le Roux Juliette, présidente du groupe des élus écologistes à la mairie de Nice, Écologiste
• Chihi Mohamed, adjoint au maire de Lyon en charge des questions de sécurité, sûreté et tranquillité à Lyon, Auvergne-Rhône-Alpes, Écologiste
• Chikirou Sophia, députée de Paris 6ème, LFI-NUPES
• Citeau Simon, adjoint à la maire de Nantes, Pays de la Loire, EELV
• Clouet Hadrien, député de la Haute-Garonne, LFI-NUPES
• Coiffard Marie, conseillère municipale de Saint Martin d’Hères, en Isère, EELV
• Colomban Nathalie, conseil municipal de Saint-Chamas, PACA, liste d’opposition, LFI
• Coquerel Eric, député de la 1ère circonscription de Seine-Saint-Denis et président de la commission des Finances, LFI
• Corbière Alexis, député de la Seine-Saint-Denis, LFI-NUPES
• Cormand David, eurodéputé écologiste, Parlement européen, EELV
• Coulomme Jean-François, député de la Savoie, LFI-NUPES
• Courtay Murielle, conseillère municipale et d’agglomération à Cholet, Pays de la Loire, EELV
• Couturier Catherine, députée de la Creuse, LFI/NUPES
• Davi Hendrik, député de la 5ème circonscription des Bouches-du-Rhône, LFI-NUPES
• Deglise Cédric, adjoint au maire délégué à la transition écologique, à la démocratie locale et aux associations à Chasse-sur-Rhône, Auvergne-Rhône-Alpes, LFI
• Dageville Bénédicte, adjointe au maire du 11e arrondissement de Paris, PCF
• Dannaud Charles, conseiller municipal de Forcalquier (Alpes-de-Haute-Provence), Forcalquier en commun
• Déjean Pierre, conseiller municipal à Montigny-le-Bretonneux, ïle-de-France, LFI
• Delbos-Corfield Gwendoline, eurodéputée Verts/ALE, Parlement européen, EELV
• Delcambre Philippe, adjoint au maire, Transition écologique, Saint-Egrève, LFI
• Delli Karima, eurodéputée Verts/ALE, Parlement européen, EELV
• Delogu Sébastien, député des Bouches-du-Rhône, LFI-NUPES
• Denes Owen, conseiller départemental d’Ille-et-Vilaine, EELV
• Dossus Thomas, sénateur du Rhône, EELV
• Dufour Alma, députée de Seine Maritime, LFI-NUPES
• Duthoit Rémi, conseiller municipal et communautaire à Forcalquier, liste citoyenne
• Etienne Martine, Meurthe-et-Moselle, LFI-NUPES
• Erodi Karen, députée du Tarn, LFI-NUPES
• Etoundi Zita, conseillère d’arrondissement (8e) Marseille, sans étiquette
• Fardoux Clémentine, conseillère municipale à Aubagne, GES/LFI/NUPES
• Fenasse Delphine, maire adjointe à l’Enfance, à l’activité périscolaire et au Programme de réussite éducative à Fontenay-sous-bois, LFI/Parti de Gauche
• Fernandes Emmanuel, député du Bas-Rhin, LFI-NUPES
• Ferrer Sylvie, députée des Hautes-Pyrénées, LFI-NUPES
• Fiat Caroline, députée de Meurthe-et-Moselle, LFI-NUPES
• Fillol Étienne, adjoint au maire d’Alfortville et conseiller territorial GPSEA, Île-de-France, Génération.s
• Fischer Karine, conseillère régionale du Centre-Val-de-Loire, LFI,
• Gaillard Perceval, député de la Réunion, LFI-NUPES
• Galera Richard, conseiller municipal de Montreuil et vice-président Est-Ensemble, Île-de-France, LFI
• Garrido Raquel, députée de la Seine-Saint-Denis, LFI-NUPES
• Gaspaillard Damien, conseiller départemental des Côtes d’Armor, EELV
• Genty Julien, Conseiller municipal à Esbly, Île-de-France, LFI/NUPES
• Ghedjati Myriam, conseillère municipale, Port Saint Louis du Rhône, LFI
• Girard Cyril, conseiller municipal, conseiller communautaire à Arles, groupe Changeons d’avenir
• Girardot Moitié Chloé, vice-présidente du département de la Loire-Atlantique, Pays de la Loire, EELV
• Gleizes Jérôme, conseiller de Paris 20e arrondissement, EELV
• Gries Aurélie, adjointe du 7e arrondissement de Lyon, LFI
• Grillon-Colledani Marie-Hélène, conseillère Municipale à Duttlenheim, Bas-Rhin, sans étiquette
• Gruffat Claude, eurodéputé Verts/ALE, Parlement européen, EELV
• Guetté Clémence, députée du Val-de-Marne, LFI-NUPES
• Guiraud David, député de la 8e circonscription du Nord, LFI
• Gutierez Grégory, conseiller municipal délégué Numérique et Citoyenneté, à Malakoff, Hauts-de-Seine, EELV
• Hédouin Guillaume, conseiller régional de Normandie, groupe Normandie Écologie
• Helfter-Noah Prune, conseillère 3e secteur de Marseille, conseillère métropolitaine Aix-Marseille-Provence Marseille, PACA, EELV
• Hignet Mathilde, députée d’Ille-et-Vilaine, LFI-NUPES
• Hoffsess Marc, adjoint à la maire de Strasbourg, Ecologiste
• Huguin Angélique, conseillère municipale à Vadelaincourt, Grand Est, sans étiquette
• Hugon Christophe, conseiller municipal Mairie de Marseille Délégué à la transparence, à lʼopen data municipal et au système dʼinformation, au numérique de la ville, au numérique responsable et à la transition numérique, parti pirate
• Jadot Yannick, eurodéputé Verts/ALE, Parlement européen, EELV
• Jamet Delphine, adjointe au maire en charge de l’administration générale, de l’évaluation des politiques publiques et de la stratégie de la donnée à Bordeaux, Aquitaine, EELV
• Janssens Jonathan, conseiller municipal dans le groupe Tourcoing Vert Demain, Haut-de-France, sans étiquettes
• Jourdan Maxime, conseiller municipal délégué de Villeurbanne, Génération.s
• Joyeux Benjamin, conseiller régional de Haute-Savoie et membre des commissions santé, sécurité et relations internationales, Auvergne-Rhône-Alpes, Les Écologistes
• Juquin Sylvie, conseillère métropolitaine pour la ville de Lormont à la métropole de Bordeaux, Écologiste
• Keke Rachel, députée du Val-de-Marne, LFI-NUPES
• Kerbrat Andy, député de Loire-Atlantique, 2e circonscription, commissaire aux lois, délégation aux collectivités territoriales et à la décentralisation, LFI/NUPES
• Klingler Danièle, élue municipale et communautaire à Forcalquier, PACA, Liste citoyenne Forcalquier en commun
• Labertrandie Lydia, conseillère Municipale à Cesson, Île-de-France, EELV
• Lachaud Bastien, député de la Seine-Saint-Denis, LFI-NUPES
• Lafay Franck, adjoint Communication & Services Publics à Saint Sernin du Bois en Saône-et-Loire
• Lagarde Catherine, conseillère métropolitaine de Villeurbanne, membre de la commission éducation, culture, patrimoine et sport, Écologiste
• Lahmer Annie, conseillère régionale écologiste d’Île de France, Île-de-France, Écologiste
• Laïdouni-Denis Myriam, conseillère régionale Auvergne Rhône Alpes, EELV
• Laisney Maxime, député de Seine-et-Marne, LFI-NUPES
• Léaument Antoine, député de l’Essone, LFI-NUPES
• Leboucher Élise, députée de la 4ème circonscription de la Sarthe, LFI/NUPES
• Lecerf Meunier Harmonie, adjointe au maire de Bordeaux en charge de l’accès aux droits et des solidarités Bordeaux, EELV
• Leduc Charlotte, députée de Moselle, LFI-NUPES
• Le Dily Michèle, adjointe à la mairie du 8e arrondissement de Lyon, Lyon en commun
• Lefebvre Stéphane, conseiller municipal délégué à la mobilité et aux différents modes de déplacement Cugnaux, Occitanie, NUPES
• Le Gall Arnaud, député du Val d’Oise, LFI-NUPES
• Legavre Jérôme, député de Seine-Saint-Denis, LFI-NUPES
• Legrain Sarah, députée de Paris 16ème, LFI-NUPES
• Lemaire Mirabelle, conseillère municipale LFI à Le Plessis Trévise, Île-de-France, LFI
• Lepage Geneviève, conseillère municipale d’opposition à Villeneuve-lès-Avignon, LFI
• Lepvraud Murielle, députée des Cotes-d’Armor, LFI-NUPES
• Liévin Mathilde, conseillère municipale à La Madeleine, Liste citoyenne écologique et solidaire
• Loe Mie Brice, conseiller municipal à Puteaux, EELV
• Loiseau Franck, conseiller municipal à Cholet, Pays de la Loire, EELV
• Lynseele Stéphanie, conseillère municipale à Queue-en-Brie, Île-de-France, LFI
• Maes Bertrand, adjoint au maire de Lyon délégué au numérique, Génération Écologie
• Maillebouis Fabienne, conseillère municipale à Rochefort-en-Yvelines, Île-de-France, sans étiquette
• Mailler Sylvain, conseiller municipal à Chevilly-Larue, Île-de-France, Parti de Gauche
• Majerowicz Sébastien, conseiller municipal de la commune de L’Arbresle dans le Rhône, LFI,
• Malaisé Céline, conseillère régionale d’Île-de-France, présidente de la Gauche communiste, écologiste et citoyenne, Île-de-France, PCF
• Marchand Jérôme, conseiller d’arrondissement Paris 14e, EELV
• Marcel Lisa, élue municipale Forcalquier, liste citoyenne
• Mariaud Jean, conseiller municipal d’opposition à Rochefort, EELV
• Marque Sébastien, conseiller délégué à la maire du 12ème arrondissement de Paris, PCF
• Martin Elisa, députée de la 3e circonscription de l’Isère, LFI/NUPES
• Martin Pascale, députée de Dordogne, LFI-NUPEs
• Martin Nicolas, vice-président de Nantes Métropole en charge des mobilités douces et conseiller municipal de Nantes en charge de la restauration scolaire, EELV
• Martinet William, député des Yvelines, LFI-NUPES
• Marszalek Antoine, élu municipal à Villeneuve-d’Ascq, LFI
• Maudet Damien, député d’Haute-Vienne, LFI-NUPES
• Mathieu Frédéric, député d’Ille-et-Vilaine, LFI-NUPES
• Maximi Marianne, députée du Puy-de-Dôme, LFI-NUPES
• Messier Maxime, conseiller municipal de Fontenay-aux-Roses, Île-de-France, EELV
• Meunier Manon, députée de Haute-Vienne, LFI-NUPES
• Michel Cécile, conseillère régionale, région Auvergne-Rhône-Alpes, Les écologistes
• Mignot Didier, conseiller régional PCF d’île-de-France
• Monta Julie, conseillère municipale à Revest-des-Brousses, PACA, sans étiquette
• Montava David, conseiller municipal à Vitry-sur-Seine, Île-de-France, LFI
• Monville Bénédicte, conseillère municipale et communautaire de Melun, Île-de-France, EELV
• Nenner Charlotte, conseillère régionale Île-de-France, EELV
• Neveu Bernard, élu municipal et communautaire de la commune à Castanet-Tolosan, Occitanie, LFI
• Nicolas Julie, conseillère municipale à Lille, EELV
• Nilor Jean-Philippe, député de Martinique, LFI-NUPES
• Normand Xavier, maire de Castanet-Tolosan, Occitanie, EELV
• Obono Danièle, députée de Paris 17ème, LFI-NUPES
• Ouldji Soraya, adjointe à la ville de Strasbourg petite enfance, politique familiale, restauration scolaire, Écologiste
• Oziol Nathalie, députée de l’Hérault, LFI-NUPES
• Pahun Louise, conseillère départementale du canton de Nantes 4, vice-présidente Sports solidaires, responsables, activités de pleine nature, Pays de la Loire, Groupe écologiste
• Panot Mathilde, députée du Val-de-Marne, LFI-NUPES
• Perin Laurent, conseiller départemental du Nord, Génération.s
• Pfeiffer Stéphane, 2e adjoint au maire de Bordeaux, EELV
• Picard Yves, adjoint Vie locale, associative et démocratique de la mairie de Saint-Sulpice-la-Forêt en Bretagne, sans étiquette
• Pilato René, député de Charente, LFI-NUPES
• Piquemal François, député de Haute-Garonne, LFI-NUPES
• Pochon Marie, députée de la Drôme, Auvergne-Rhône-Alpes, Écologiste/NUPES
• Poix Évelyne, conseillère municipale de Vellerot-lès-Vercel dans le Doubs, EELV
• Portes Thomas, député de la 3e circonscription de Seine-Saint-Denis, LFI/NUPES
• Primault Lionel, adjoint au maire, Les Lilas, Seine-Saint-Denis, EELV
• Primet Raphaelle, conseillère de Paris 20e, groupe communiste et citoyen
• Provoost Christine, conseillère municipale, Bévenais, LFI
• Prud’homme Loïc, député de Gironde, LFI-NUPES
• Quintallet Ludivine, conseillère d’Alsace, Strasbourg, EELV
• Rabardel Évelyne, conseillère départementale du Val-de-Marne, PCF
• Rabeau Roland, conseiller municipal de Clamart, Île-de-France, EELV
• Raifaud Sylvain, conseiller municipal et métropolitain de Paris 10e, co-président du groupe Écologiste Social et Citoyen
• Ramdane Abdelkarim, adjoint à la maire de Strasbourg, EELV
• Raux Jean-Claude, député écologiste de Loire-Atlantique, membre de la commission Affaires culturelles et éducation, Pays de la Loire, Ecologiste/NUPES
• Ratenon Jean-Hugues, député de la Réunion, LFI-NUPES
• Regnaud Mathilde, conseillère municipale et communautaire de Belfort, ainsi que suppléante du député (LFI-Nupes) Florian Chauche, NUPES
• Regol Sandra, députée du Bas-Rhin, cheffe de file du groupe écologiste du projet de loi Jeux Olympiques et Paralympiques, Grand Est, EELV
• Rémy-Leleu Raphaëlle, conseillère de Paris, EELV
• Revel Ivan, conseiller municipal, Lyon, EELV
• Reynaud Manu, adjoint au maire délégué à la ville apaisée, respirable et numérique, conseiller métropolitain en charge du numérique et président du groupe des élu·es Choisir l’écologie à Montpellier, EELV
• Rigard Sophie, conseillère municipale à Saint Denis, sans étiquette
• Rispal Yoann, conseiller municipal délégué à Fontenay-sous-Bois, Île-de-France, Gauche Communiste Écologiste et Citoyenne
• Rivasi Michèle, eurodéputée Verts/ALE, Parlement européen, EELV
• Roger Michel, conseiller d’arrondissement délégué au Maire du 20e, groupe communiste et citoyen
• Rome Sébastien, député de l’Hérault, LFI-NUPES
• Romera Sophie, conseillère départementale, canton de Grenoble 1, LFI
• Roose Caroline, eurodéputée Verts/ALE, Parlement européen, EELV
• Rosenblatt Annie, conseillère municipale ville d’Avignon, conseillère communautaire Grand Avignon, EELV
• Rossignol Puech Clément, maire de Bègles et vice-président Bordeaux Métropole, EELV
• Rouanet Dominique, conseillère municipale à Forcalquier, liste d’opposition
• Rouffignac Didier, conseiller municipal à Saint-Molf, Pays de la Loire, EELV
• Roziere Régine, adjointe à l’éducation et adjointe à la vie citoyenne de Sévérac d’Aveyron, LFI/NUPES
• Ruffin François, député de la Somme, LFI-NUPES
• Saintoul Aurélien, député des Hauts-de-Seine, LFI/NUPES
• Sala Michel, député du Gard, LFI-NUPES
• Salliot Julien, conseiller municipal de Bruz
• Salmon Daniel, sénateur d’Ille-et-Vilaine, EELV
• Satouri Mounir, eurodéputé Verts/ALE, Parlement européen, EELV
• Saveret Gilles, élu conseiller municipal et communautaire à Meaux, Île-de-France, LFI
• Senée Ghislaine, présidente du Pôle écologiste à la région Île-de-France, Écologiste
• Simonnet Danielle, députée de Paris 15ème, LFI-NUPES
• Smihi Amine, adjoint au maire délégué à la tranquillité, la sécurité, la prévention et la tenue de l’espace public à Bordeaux, EELV
• Soldeville Jérôme, conseiller municipal, Grenoble, LFI
• Soudais Ersilia, députée de Seine-et-Marne, LFI-NUPES
• Steffen Joël, adjoint à la mairie de Strasbourg, EELV
• Stambach-Terrenoir Anne, députée de Haute-Garonne, LFI-NUPES
• Tain Daniel, conseiller municipal à Novalaise en Savoie
• Taurinya Andrée, députée de la Loire, LFI-NUPES
• Tavel Matthias, député de Loire-Atlantique, LFI-NUPES
• Teisseire Christophe, adjoint à la maire du 12ème arrondissement de Paris, EELV
• Textoris Joanne, conseillère municipale à Avignon, sans étiquette
• Thomas Marie-claire, conseillère régionale Bourgogne-Franche-Comté, EELV
• Tomic Sylvie, adjointe au maire de Lyon, déléguée à l’accueil, l’hospitalité et au tourisme responsable, Génération.s
• Tondelier Marine, secrétaire nationale d’EELV, conseillère régionale des Hauts-de-France, conseillère municipale d’Hénin-Beaumont, EELV
• Toussaint Marie, eurodéputée Verts/ALE, Parlement européen, EELV
• Toutain Frédric, conseiller municipal à Nonant, Normandie, sans étiquette
• Trichet-Allaire Sarah, conseillère municipale de Saint-Nazaire, Pays de la Loire, EELV
• Troadec Luce, conseillère municipale à Valenciennes, LFI
• Trouvé Aurélie, députée de Seine-Saint-Denis, LFI-NUPES
• Vailhé David-Marie, conseiller municipal de la commune de Le Coteau, dans la Loire
• Vannier Paul, député de la 5e circonscription du Val-d’Oise, LFI/NUPES
• Van Thienen Manuel, conseiller municipal à Lafarre, Ardèche, sans étiquette
• Vialard Louise, conseillère métropolitaine déléguée aux mutations économiques, élue de quartier Île de Nantes et conseillère municipale en charge du numérique responsable, e-citoyenneté et de l’open-data à Nantes, Écologiste
• Vigignol Yannick, conseiller municipal délégué à l’Open data et à la vie associative à Clermont-Ferrand, EELV
• Viguer Simon, adjoint au maire chargé des finances, des affaires juridiques et des marchés publics à Castanet-Tolosan, Occitanie, Parti Socialiste
• Vince Jacques, conseiller municipal délégué à Villeurbanne, Les écologistes
• Vivien Emmanuel, conseiller municipal, Lyon, EELV
• Vuylsteker Katy, conseillère régionale Haut-de-France, EELV
• Walter Léo, député de la 2e circonscription des Alpes-de-Haute-Provence, LFI/NUPES
• Watanabe-Vermorel Thomas, adjoint à la maire du 10e arrondissement de Paris, EELV
• Werlen Jean, conseiller municipal et conseiller métropolitain de Strasbourg, EELV
• Zaoui Slimane, conseiller municipal sur la ville d’Esbly en Seine-et-Marne, sans étiquette
• Zika Didier, conseiller Municipal de Sausset-Les-Pins, PACA, LFI/NUPES
• Zorn Caroline, conseillère municipale et vice-présidente de l’Eurométropole de Strasbourg, Strasbourg écologiste et citoyenne

References[+]

References

↑1	Réponse de la Défenseure des droits à la consultation de la CNIL
↑2	Pixel 2022, page 96 consultable ici : data technopolice

]]> https://www.laquadrature.net/?p=20033http://isyteck.com/autoblog/quadrature/index.php5?20230213_135128_La_Quadrature_lance_sa_campagne_de_mobilisation_contre_la_loi_J.O.Mon, 13 Feb 2023 12:51:28 +0000Aujourd’hui, La Quadrature lance une campagne contre l’article 7 de la loi JO 2024 et la vidéosurveillance algorithmique (VSA) ! Déjà voté par le Sénat, ce texte utilise les Jeux olympiques comme prétexte pour légaliser la VSA et faire accepter la surveillance biométrique en France. Il arrive à l’Assemblée nationale dans quelques semaines et nous allons avoir besoin de vous pour le combattre et faire rejeter cet article !

Voulu de longue date par le gouvernement, et fortement poussé par la police et le marché grandissant de la sécurité privée, le texte vise à donner une base légale à une technologie déjà présente dans les villes de France. Il ne s’agit pas d’une simple évolution technique mais d’un véritable changement de paradigme : à travers des algorithmes couplés aux caméras de surveillance, ces logiciels détectent, analysent et classent nos corps et comportements dans l’espace public. Le projet derrière ? Traquer les comportements soi-disant « suspects » et éradiquer de la rue des actions anodines mais perçues par l’État comme nuisibles ou anormales. En effet, ces algorithmes peuvent par exemple repérer le fait de rester statique dans l’espace public, de marcher à contre-sens de la foule, de se regrouper à plusieurs dans la rue ou encore d’avoir le visage couvert.

Ces outils de surveillance biométrique sont intrinsèquement dangereux et ne peuvent être contenus par aucun garde-fou, qu’il soit légal ou technique. Les accepter c’est faire sauter les derniers remparts qui nous préservent d’une société de surveillance totale. Seuls le rejet et l’interdiction de la VSA doivent être envisagés. C’est pour cela que nous lançons une campagne de mobilisation dès aujourd’hui afin de lutter ensemble contre la surveillance biométrique.

Retrouvez ici la page de campagne. Nous vous y proposons plusieurs moyens d’actions pour les prochaines semaines :

1. Appeler sans relâche les député·es pour les convaincre de voter contre l’article 7 et faire pression sur la majorité présidentielle et les élu·es qui pourraient changer le cours du vote. Pour les convaincre, nous avons préparé quelques arguments phares que vous pouvez sélectionner, utiliser, remanier à votre sauce lorsque vous appelez les parlementaires.
2. Leur envoyer des mails, lettres ou tout autre moyen de leur faire parvenir votre avis sur cet article 7.
3. Organiser des réunions publiques pour se mobiliser contre la VSA et cet article 7. Nous publierons très prochainement des tracts, de l’affichage ainsi que des outils pour interpeller les élu·es de votre ville.
4. Lire les articles et analyses et en parler autour de vous et sur les réseaux sociaux. D’ailleurs, restez à l’affût, on va certainement organiser une mobilisation au moment du vote.
5. Enfin, La Quadrature a toujours besoin de soutien financier, si vous avez les moyens, n’hésitez pas à nous faire un don ici

Luttons ensemble pour repousser l’article 7 et la surveillance totale !

Loi J.O. : Refusons la surveillance biométrique !

]]> https://www.laquadrature.net/?p=20030http://isyteck.com/autoblog/quadrature/index.php5?20230213_124808_Loi_J.O.____refusons_la_surveillance_biometrique__Mon, 13 Feb 2023 11:48:08 +0000Courant mars, l’Assemblée nationale va se prononcer sur le projet de loi relatif aux Jeux olympiques et paralympiques, déjà adopté par le Sénat. En son sein, l’article 7 vise à autoriser la vidéosurveillance automatisée (VSA), cet outil de surveillance biométrique qui, à travers des algorithmes couplés aux caméras de surveillance, détecte, analyse et classe nos corps et comportements dans l’espace public. Il s’agit d’un changement d’échelle sans précédent dans les capacités de surveillance et de répression de l’État et de sa police.

Sur cette page, vous retrouverez un ensemble de ressources et d’outils pour vous permettre de vous engager contre la VSA et contre l’article 7 du projet de loi Jeux olympiques.

Une frise chronologique des passages à l’Assemblée indiquant les meilleurs jours pour téléphoner aux député·es
Un « Piphone » : un outil qui fournit les numéros des député·es
Un argumentaire pour convaincre les député·es

1 · Frise législative : quel est le meilleur moment pour appeler ?

2 · Piphone : choisir quel·le député·e appeler

Stratégiquement, nous vous conseillons d’appeler les député·es de la majorité (Renaissance, Horizons et Modem) et du PS (qui s’est abstenu au Sénat). Vous pouvez les contacter toute la semaine et si possible les lundi, jeudi et vendredi, lorsqu’ils ne sont pas dans l’hémicycle. C’est probable que vous ayez un·e assistant·e au téléphone et ce n’est pas grave ! N’hésitez surtout pas à lui parler, en lui demandant ensuite de relayer votre opinion auprès de son ou de sa députée.

3 · Argumentaire : convaincre le·a député·e de rejeter l’article 7

Appelons sans relâche les député·es afin de faire pression sur la majorité présidentielle et les élu·es qui pourraient changer le cours du vote.
Pour les convaincre, nous avons préparé quelques arguments phares que vous pouvez sélectionner, utiliser, remanier à votre sauce lorsque vous appelez les parlementaires. D’abord, cinq points d’alarme sur les dangers de la vidéosurveillance algorithmique. Ensuite deux « débunkages » d’arguments que l’on retrouve souvent dans la bouche des adeptes de la surveillance.
La VSA est par essence un outil de surveillance totale :

La VSA n’est pas un simple logiciel : elle analyse des milliers d’heures de vidéos pour catégoriser les comportements suivant ce que les autorités auront qualifié de « suspect » ou « anormal » pour l’appliquer en temps réel sur les caméras de surveillance. Cela crée un gigantesque système de ciblage « d’anomalies » afin d’automatiser le travail de la police. Il s’agit d’un réel changement de dimension de la surveillance et d’industrialisation du travail d’image pour démultiplier les notifications et interpellations, guidées par cette intelligence artificielle.
La VSA existe déjà et est déployée dans l’opacité

Déployée ces dernières années en toute opacité, la VSA est une technologie quasiment inconnue de la population. Développée et vendue discrètement par des entreprises, elle est implantée sans information par les collectivités, empêchant les habitant·es d’avoir facilement accès à ce qui est installé dans leur ville. Ce déploiement ne répond pas à un besoin démocratique mais à des logiques économiques alors qu’aucune preuve d’efficacité n’existe.
Par exemple, le logiciel de l’entreprise Briefcam, déployé en catimini dans plus de 200 municipalités en France, permet de réaliser des recherches par attributs (couleur des vêtements, couvre-chef, sac, type de vêtement et supposé genre de la personne), de faire du suivi de personne à travers toutes les caméras de la ville et possède même l’option « comparaison faciale » qui permet de faire une recherche parmi les flux vidéos du visage identifié. C’est grâce à un long travail de documentation de notre part et d’investigation de journalistes qu’il a été possible de comprendre ce que peut réellement faire ce fameux logiciel de VSA le plus vendu en France.
Cette opacité rend totalement impossible l’expression d’un choix démocratique sur la question.
La VSA n’est pas moins dangereuse que la reconnaissance faciale.

La VSA et la reconnaissance faciale reposent sur les mêmes algorithmes d’analyse d’images et de surveillance biométrique. La seule différence est que la première isole et reconnaît des corps, des mouvements ou des objets, lorsque la seconde détecte un visage. Ce sont généralement les mêmes entreprises qui développent ces deux technologies. Par exemple, la start-up française Two-I s’est d’abord lancé dans la détection d’émotion, a voulu la tester dans les tramways niçois, avant d’expérimenter la reconnaissance faciale sur des supporters de football à Metz. Finalement, l’entreprise semble se concentrer sur la VSA et en vendre à plusieurs communes de France. La VSA est une technologie biométrique intrinsèquement dangereuse, l’accepter c’est ouvrir la voie aux pires outils de surveillance.
La France est la cheffe de file de l’Europe en terme de surveillance

Avec cette loi, la France sera le premier État membre de l’Union européenne à légaliser et autoriser la surveillance biométrique, à l’opposée d’autres positionnements au sein de l’UE. Les discussions actuellement en cours sur le règlement européen sur l’intelligence artificielle envisagent même son interdiction formelle. La France confirmerait sa place de cheffe de file de la surveillance en Europe, s’éloignant toujours plus des idéaux de respect des droits fondamentaux et se rapprochant de la culture de la surveillance d’autres pays plus autoritaires. Les pays qui ont profité d’évènements sportifs pour tester et rendre acceptables des technologies de surveillance sont la Russie, la Chine et le Qatar.
Aucun garde-fous possible pour la VSA

Pour faire des traitements d’images pointus et reconnaître des formes avec précision, les algorithmes de VSA doivent être basés sur une technologie complexe dite de « deep learning » qui fonctionne grâce à des calculs si sophistiqués qu’ils dépassent l’entendement humain. L’algorithme décide lui-même quels paramètres sont pertinents pour détecter un évènement, sans qu’il soit possible de savoir lesquels ont été retenus pour donner le résultat. Il est impossible de garantir que le logiciel n’exploitera pas de données sensibles et de caractéristiques biométriques. Même les concepteurs de ces algorithmes n’ont pas de visibilité sur les données qu’ils exploitent. Ces technologies sont intrinsèquement dangereuses et ne pourront jamais être limitées efficacement sur le plan légal ou technique. Le seul garde-fou envisageable est l’interdiction de leur usage sur des activités humaines filmées dans l’espace public.
Réponses aux contre-arguments
« La VSA sera expérimentée uniquement pour les Jeux Olympiques »

FAUX, les Jeux Olympiques ne sont pas une expérimentation : la VSA est déjà déployée en toute opacité et illégalité et continuera à l’être après. On a retrouvé des traces de contrat entre la ville de Toulouse et IBM pour détecter des comportements anormaux dès 2017, on compte au bas mot deux cent villes en France qui l’emploient et elle s’installe aussi dans les magasins. Il y a donc un projet politique de long terme et les JO ne sont donc qu’un prétexte pour tenter de légaliser cette technologie. Après les Jeux, la vidéosurveillance algorithmique sera généralisée : une fois que des dizaines de milliers d’agents de sécurité et de police sont formés, que la technologie est achetée et mise au point grâce à des fonds publics, il faudra bien la rentabiliser. Son abandon après cette soi-disant expérimentation est donc illusoire.
« La VSA est seulement une aide à la décision »

Faux, la VSA n’est pas une simple aide technique : pour la concevoir, les entreprises doivent prendre une série de décisions morales et subjectives (qu’est-ce qu’un comportement « suspect » ?). Son application est également politique puisque la VSA est un instrument de pouvoir donné à des services coercitifs. La VSA n’est pas un outil neutre mais analyse en permanence les corps et les déplacements, en particulier de celles et ceux qui passent le plus de temps dans la rue. Se cacher derrière une machine, c’est déresponsabiliser les choix des agents de sécurité : « c’est pas nous qui avons ciblé cette personne, c’est l’algorithme ». C’est aussi accepter la déshumanisation du rapport des citoyens avec l’État, qui finira par ne prendre que des décisions automatisées sur sa population comme cela commence à être le cas avec la vidéoverbalisation. La VSA n’est pas une « aide à la décision » mais constitue bien un changement d’échelle dans les capacités de surveillance de l’État.

]]> https://www.laquadrature.net/?p=19899http://isyteck.com/autoblog/quadrature/index.php5?20230123_150437_Nos_arguments_pour_faire_interdire_la_videosurveillance_automatiseeMon, 23 Jan 2023 14:04:37 +0000La loi sur les Jeux Olympiques, qui cherche notamment à légaliser la vidéosurveillance automatisée (VSA) et dont vous nous parlions ici, est passée sans encombre jeudi dernier en commission des lois au Sénat et sera discutée dès demain en séance.

Nous avons envoyé à l’ensemble des sénatrices et sénateurs un dossier d’analyse de cette technologie, fruit du travail de documentation et d’étude mené depuis plus de trois ans avec l’initiative Technopolice. Ce long document reprend et expose les enjeux techniques, politiques et juridiques de la VSA afin que nos élu·es prennent la mesure du danger engendré par sa mise en place et prennent surtout conscience du contexte dans lequel elle est défendue. Car contrairement à ce que le gouvernement prétend, la VSA ne sauvera pas les Jeux Olympiques de 2024.

Pour démystifier ce discours, les parlementaires doivent connaître la réalité économique et politique dans laquelle ces technologies ont émergé mais également comment leur conception implique un ensemble de choix politiques tout en débouchant sur une application qui sera, elle aussi, un instrument de mise en œuvre d’une politique répressive et de surveillance. Aussi, le Sénat doit prendre le temps d’appréhender le cadre juridique actuel, protecteur des données personnelles et de la vie privée, et qui est est en passe d’être fallacieusement écarté par ce projet de loi pour rendre acceptable la légalisation de la VSA.

Le rapport est accessible ici.

Nous espérons que les parlementaires le liront et arriveront à la seule conclusion possible : la vidéosurveillance automatisée est un outil de surveillance totale, qui analyse et classe la population, et qui ne doit jamais être légalisé. Seule la suppression de l’article 7 est envisageable.

Nous avons d’ailleurs pu prendre le temps de discuter de ce sujet samedi 14 janvier à la Flèche d’Or à Paris, où vous êtes venu·es nombreuses et nombreux écouter et débattre du phénomène des Jeux olympiques comme accélérateur de surveillance. Vous pouvez retrouver la présentation de Technopolice et de la VSA et le débat sur les jeux olympiques sur notre Peertube.

Nous reviendrons vite sur les actions à mener contre la vidéosurveillance automatisée et contre ce projet de société de surveillance que nous devons absolument refuser !

]]> https://www.laquadrature.net/?p=19884http://isyteck.com/autoblog/quadrature/index.php5?20230118_170733_Non_a_la_videosurveillance_algorithmique__refusons_l___article_7_de_la_loi_olympique___Wed, 18 Jan 2023 16:07:33 +0000Aujourd’hui, le projet de loi olympique commence à être examiné en commission au Sénat. En son sein, l’article 7 vise à autoriser la vidéosurveillance algorithmique (VSA). Bien qu’elle soit prétendument circonscrite aux JO, il n’en est rien : la VSA est un projet politique du gouvernement qui n’attendait qu’une occasion pour sortir des cartons (lire notre analyse de ce projet de loi ici).

La VSA est déjà déployée illégalement en France

Après avoir voulu intégrer la VSA dans la loi Sécurité Globale, puis dans la LOPMI, le gouvernement utilise les Jeux olympiques comme prétexte pour faire passer des mesures qui visent à accélérer la surveillance de la population.

Depuis 2019, date de lancement de la campagne Technopolice, nous observons que des dizaines de villes en France ont expérimenté, illégalement, la vidéosurveillance algorithmique. Dès 2016, c’est la ville de Toulouse qui a passé un contrat avec IBM pour détecter des « événements anormaux ». Le logiciel de VSA de l’entreprise Briefcam est également déployé dans au moins 35 communes en France (dont Nîmes, Moirans où nous l’avons attaqué devant le tribunal administratif). Depuis 2018, c’est la ville de Marseille, avec la SNEF, qui analyse algorithmiquement les corps de ses habitant·es via les caméras de vidéosurveillance du centre ville.


extrait du programme fonctionnel technique, accompagnant le marché public de la ville de Marseille

Pour se représenter les différentes fonctionnalités de la vidéosurveillance algorithmique voici une vidéo de présentation du logiciel de Briefcam, un des plus répandus en France :

À l’origine de la vidéosurveillance algorithmique : les caméras

1) Une absence criante d’évaluation publique concernant la vidéosurveillance

Depuis la fin des années 90, la vidéosurveillance n’a cessé de se déployer en France. Le dernier recensement des caméras, privées comme publiques, réalisé par la CNIL il y a plus de 10 ans en comptabilisait 800 000 sur le territoire. Depuis, les subventions publiques qui leur sont destinées n’ont cessé de croître, atteignant 15 millions d’euros en 2021. La LOPMI a acté le triplement de ce fonds. S’il existe un tel engouement pour la vidéosurveillance, c’est qu’il doit exister des résultats tangibles, non ? Et pourtant non…

Le projet de loi propose d’expérimenter la vidéosurveillance automatisée alors même qu’aucune évaluation publique des dispositifs actuels de vidéosurveillance n’existe, qu’aucun besoin réel n’a été identifié ni une quelconque utilité scientifiquement démontrée. Le projet du gouvernement est donc de passer à une nouvelle étape de la surveillance de masse, en fondant la légitimité d’une technologie très intrusive sur l’intensification de la surveillance via l’automatisation de l’analyse des images, alors que l’utilité des caméras de vidéosurveillance pour lutter contre la délinquance n’a jamais fait ses preuves. Contrairement au principe qui voudrait que toute politique publique soit périodiquement évaluée, la vidéosurveillance — notamment dans sa nouvelle version automatisée — se développe sur le seul fondement des croyances défendues par les personnes qui en font commerce et qui la déploient. De fait, aucune étude d’impact préalable à l’installation de dispositifs de vidéosurveillance ou de VSA n’est sérieusement menée.

2) De rares études pointent unanimement vers l’inutilité de la vidéosurveillance

Or, les évaluations portant sur la vidéosurveillance soulignent au contraire l’inefficacité et le coût faramineux de tels dispositifs.
Le rapport de la Cour des comptes de 2020 rappelle qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de la délinquance commise sur la voie publique, ou encore les taux d’élucidation ». Quant au laboratoire de recherche de la CNIL, le LINC, il affirme après avoir passé en revue l’état de l’art que « la littérature académique, en France et à l’international […], a démontré que la vidéosurveillance n’a pas d’impact significatif sur la délinquance ».
Plus récemment, les recherches du chercheur Guillaume Gormand, commandées par la gendarmerie, concluent elles aussi à une absence d’effet sur la commission d’infraction et à une utilité résiduelle pour l’élucidation des infractions commises (1,13 % des enquêtes élucidées ont bénéficié des images de caméras sur la voie publique).

3) Le coût faramineux de la vidéosurveillance

En outre, petit à petit, la vidéosurveillance a fait exploser les budgets publics qui lui étaient consacrés. Sur le court terme, ces dispositifs impliquent le développement ou l’achat de logiciels de gestion du parc de caméras (système de gestion vidéo sur IP, ou VMS), l’installation de nouvelles caméras, la transmission de flux, des capacités de stockage des données, des machines assez puissantes pour analyser des quantités de données en un temps très rapide. Sur le temps long, ils nécessitent la maintenance, la mise à niveau, le renouvellement régulier des licences logicielles, l’amélioration du matériel qui devient très vite obsolète et enfin les réparations du matériel endommagé.

À titre d’illustration, le ministère de l’Intérieur évoque pour les Jeux olympiques l’installation de 15 000 nouvelles caméras, pour 44 millions d’euros de financement du Fond interministériel pour la prévention de la délinquance (FIPD).

Une caméra de vidéosurveillance coûte à l’achat aux municipalités entre 25 000 et 40 000 euros l’unité¹D’après cet article de La Dépêche du 13 septembre 2021, sans prendre en compte le coût de l’entretien, du raccordement ou du potentiel coût d’abonnement 4G/5G (autour de 9 000 € par an et par caméra²D’après cet article d’Actu Toulouse du 18 juin 2021).

« Il y aura toujours plus de caméras et toujours plus d’utilisation de l’intelligence artificielle » à Nice, affirme Christian Estrosi, pour « gérer la circulation, les risques de pollution, les risques majeurs, pour lutter contre le trafic de drogues, les rodéos urbains et pour anticiper toutes les menaces  ».

La VSA : une nouvelle étape dans le mythe de l’efficacité de la vidéosurveillance

La vidéosurveillance algorithmique est présentée comme une manière de rendre plus efficace l’exploitation policière de la multitude de caméras installées sur le territoire. Il existerait trop de caméras pour qu’on puisse les utiliser efficacement avec du personnel humain, et l’assistance de l’intelligence artificielle serait inévitable et nécessaire pour faire face à la quantité de flux vidéo ainsi générée.

Cette idée que l’automatisation permettrait de rendre la vidéosurveillance enfin efficace s’inscrit dans une vieille logique du « bluff technologique » de la vidéosurveillance. Depuis des années, les industriels du secteur ne cessent de promettre que l’efficacité de la vidéosurveillance dépend d’un surcroît d’investissement : il faudrait plus de caméras disséminées sur le territoire, il faudrait que celles-ci soit dotées d’une meilleure définition, qu’elles offrent une champ de vision plus large (d’où l’arrivée de caméras 360, pivot, etc). Mais aussi qu’elles soient visionnées « en direct ». Il a donc fallu créer des centres de supervision urbaine (CSU) dans toutes les villes, puis y mettre des gens pour visionner le flux vidéo 24h/24. Il a aussi souvent été dit qu’il fallait davantage d’agents dans les CSU pour scruter les flux vidéo à la recherche d’actes délinquants commis en flagrance. Maintenant, il faut « mutualiser » les CSU au niveau des intercommunalités, ce dont se félicite Dominique Legrand, président du lobby de français de la vidéosurveillance, l’AN2V.

Dominique Legrand, président fondateur de l’AN2V, l’association nationale de la vidéoprotection évoque, à propos de la centralisation de CSU : « L’objectif de la création d’un tel dispositif est de pouvoir assurer le visionnage en temps réel de manière centralisée, en un même lieu (cyber) sécurisé, de l’ensemble des caméras des communes et intercommunalités. […] L’AN2V a déjà évangélisé cette idée sur plusieurs départements et régions ! » (cité dans le guide PIXEL 2023 édité par l’AN2V).

Chaque nouvelle nouvelle étape dans la surveillance promet son efficacité et tente de légitimer les investissements précédents. Au fil des années, ces multiples promesses de la vidéosurveillance n’ont pas été tenues. En l’absence de toute évaluation ou étude préalable, la généralisation de la VSA ne serait qu’une perte de temps et d’argent, en plus de constituer une profonde remise en cause de nos droits et libertés.

LA VSA ne sera pas circonscrite aux Jeux olympiques

Symptomatique d’un marché économique juteux, les industriels ont patiemment attendu que le gouvernement trouve une bonne opportunité pour légaliser cette technologie tout en ménageant « l’acceptabilité » auprès de la population. Si les JO sont le prétexte idéal, ne soyons pas naïfs : comme on l’a vu, la VSA est déjà « expérimentée » depuis plusieurs années dans des communes et fait l’objet de quantité de financements publics pour se perfectionner. De plus, une fois que tous ces algorithmes auront pu être testés pendant deux ans, lors de toutes « manifestations sportives, récréatives ou culturelles » comme le prévoit l’article 7, que les entreprises sécuritaires auront fait la promotion de leurs joujoux devant le monde entier lors des JO, que des dizaines de milliers d’agents auront été formés à l’utilisation de ces algorithmes, il semble peu probable que la VSA soit abandonnée fin 2024.

Des populations-laboratoires

Un autre aspect de la VSA est la tendance croissante à être mis en données. Au-delà de la surveillance de l’espace public et de la normalisation des comportements qu’accentue la VSA, c’est tout un marché économique de la data qui en tire un avantage. Dans le cadre des expérimentations prévues par le projet de loi, dès lors qu’un acteur tiers est en charge du développement du système de surveillance, cela permet aux entreprises privées concernées d’utiliser les espaces publics et les personnes qui les traversent ou y vivent comme des « données sur pattes ». C’est exactement ce que prévoit le titre VIII de l’article 7 puisque les données captées par les caméras dans l’espace public peuvent servir de données d’apprentissage pour perfectionner les algorithmes.

Les industries de la sécurité peuvent donc faire du profit sur les vies et les comportements des habitants d’une ville, améliorer leurs algorithmes de répression et ensuite les vendre sur le marché international. C’est ce que fait notamment la multinationale française Idémia, qui affine ses dispositifs de reconnaissance faciale dans les aéroports français avec les dispositifs PARAFE ou MONA, pour ensuite vendre des équipements de reconnaissance faciale à la Chine et participer à la surveillance de masse, ou encore pour remporter les appels d’offres de l’Union européenne en vue de réaliser de la surveillance biométrique aux frontières de l’Europe. Tel a également été le cas à Suresnes, où l’entreprise XXII a obtenu le droit d’utiliser les caméras de la ville pour entraîner ses algorithmes, les habitantes et habitants de la ville étant transformé·es en cobayes pour le développement commercial d’un produit de surveillance.

L’un des plus importants marchés de la surveillance aujourd’hui porte sur le contrôle des frontières à l’intérieur et à l’extérieur des pays membres de l’Union européenne. L’usage d’algorithmes de détection de comportements est ainsi utilisé sur des drones en Grèce afin de repérer et suivre des personnes aux zones de frontières. Dans ce cas précis, il est impossible de réduire la technologie fournie (et donc conçue et entraînée au préalable) à une seule assistance technique. Au contraire, elle est au service d’une politique répressive et d’une pratique policière dénoncée pour sa brutalité.³De l’aveu même d’une personne faisant partie d’un consortium de recherche ayant développé cet outil : « Le truc, c’est que je ne sais pas ce que les policiers font aux migrants après qu’on les a alertés. Mais qu’est-ce que je peux faire ». Article en anglais

Nous appelons les parlementaires à refuser l’article 7 du projet de loi olympique et continuons à nous mobiliser contre l’imposition de ces technologies liberticides !

References[+]

References

↑1	D’après cet article de La Dépêche du 13 septembre 2021
↑2	D’après cet article d’Actu Toulouse du 18 juin 2021
↑3	De l’aveu même d’une personne faisant partie d’un consortium de recherche ayant développé cet outil : « Le truc, c’est que je ne sais pas ce que les policiers font aux migrants après qu’on les a alertés. Mais qu’est-ce que je peux faire ». Article en anglais

]]> https://www.laquadrature.net/?p=19853http://isyteck.com/autoblog/quadrature/index.php5?20230112_094629_Surveillance_sonore____Orleans_baratine_la_justiceThu, 12 Jan 2023 08:46:29 +0000Il y a plus d’un an, La Quadrature du Net a déposé un recours contre un contrat passé par la ville d’Orléans qui autorise l’expérimentation de capteurs sonores dans l’espace public. L’été dernier, la commune défendait sa surveillance privée en adoptant la stratégie du baratin : raconter le plus de bêtises possibles pour embrouiller le tribunal administratif. Nous venons de lui répliquer.

Comme cela a déjà été fait à Saint-Étienne, Marseille, Paris ou Moirans, l’objectif est de faire tomber ce nouveau projet de Technopolice. Il s’agit d’un énième dispositif néfaste issu d’une start-up, ici Sensivic, qui utilise comme tremplin marketing l’avidité de certain·es élu·es pour la surveillance totale des populations.

En octobre 2021, nous avions appris que la ville d’Orléans avait signé une convention avec l’entreprise Sensivic pour expérimenter des « capteurs sonores » sur sa population. Dans la droite lignée de ce qui avait été tenté à Saint-Étienne, le projet consiste à déployer des « détecteurs de sons anormaux » (une douce expression pour « mouchards ») sur des caméras de surveillance.

L’idée, selon les termes de la convention, est « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies » et ainsi orienter les caméras ou les agents de police vers la source des bruits considérés comme « anormaux » par le micro. En somme, lier à la surveillance automatique visuelle, déjà déployée en masse dans nos villes, une surveillance sonore. En attendant la surveillance des odeurs, comme cela avait été évoqué en 2020 dans un livre blanc du ministre de l’Intérieur ?

La surveillance sonore ne passera pas

Des caméras, des micros, l’ensemble boosté par une supposée « intelligence artificielle » pour effacer toute trace d’anormalité dans nos villes… Non seulement ce projet est un énième fantasme sécuritaire né d’une start-up prête à tout pour rentabiliser son stand à Milipol (le salon parisien de la sécurité), mais il est aussi purement illégal. C’est ce que nous essayons de faire constater au tribunal administratif d’Orléans depuis désormais plus d’un an.

Pour cela, nous nous appuyons sur un précédent très similaire : la CNIL a en effet déjà considéré comme illégal un projet de surveillance sonore déployé quelques années plus tôt à Saint-Étienne. C’est notamment sur la base de cette analyse de la CNIL que nous avons attaqué l’expérimentation d’Orléans, déposant non seulement un recours devant le tribunal administratif mais aussi une plainte devant la CNIL pour la forcer à prendre position.

Si la procédure devant la CNIL n’a pas encore aboutie, la mairie d’Orléans a, en revanche, communiqué à l’été dernier sa défense devant le juge administratif. Nous venons d’y répondre.

Ne dites pas « microphone » mais « détecteur de vibration de l’air »…

La stratégie d’Orléans est simple : pour ne pas avoir à appliquer les règles protectrices du droit des données personnelles qu’elle sait ne pas respecter, la commune tente de faire passer l’idée que son dispositif de surveillance ne traiterait pas de données personnelles. Et par un tour de magie, de faire disparaître toutes les critiques sur les dangers de cette surveillance.

Le débat ressemble beaucoup à ce que l’on observe depuis que ces dispositifs de surveillance sont documentés dans le cadre de notre campagne Technopolice : des collectivités (mais derrière, en fait, des entreprises qui dictent leurs arguments de défense à la collectivité attaquée) qui refusent de se voir appliquer le droit des données personnelles, ou toute règle protectrice des droits fondamentaux.

Orléans fait figure d’exemple type. Ainsi, la ville refuse de voir le produit de la société Sensivic qualifié de micros et préfère parler de « détecteur de vibration de l’air ». Cela ne s’invente pas. La commune pense ainsi perdre le juge et la CNIL en inventant sa novlangue et en préférant des mots creux qui feraient oublier qu’il s’agit d’une surveillance permanente et totale de l’espace public.

La palme de l’absurdité revient de justesse à l’affirmation de la commune selon laquelle « Il convient de préciser que le traitement numérique s’opère par un code “firmware” c’est-à-dire embarqué dans le processeur électronique, et non pas de code “informatique” utilisé dans des ordinateurs classiques. Il s’agit, donc, d’électronique numérique. » La concurrence dans la course à l’aberration juridico-technique était pourtant rude.

Pire ! Le discours de la ville d’Orléans devant la justice entre en contradiction non seulement avec les termes mêmes de la convention passée (la convention que nous attaquons parle de « capteur sonore ») mais aussi avec la communication officielle de Sensivic, qui explique aux communes sur son site que « vos caméras peuvent maintenant avoir des oreilles affûtées ».

Toute l’analyse juridique de la ville d’Orléans repose en réalité sur deux documents inutiles. Le premier est issu d’un laboratoire « indépendant » et déclare, par un grossier argument d’autorité, que les produits de l’entreprise seraient « conformes au RGPD ». Mais comment croire en l’objectivité d’un laboratoire payé par une entreprise pour lui donner un document venant certifier un produit vis-à-vis des acheteurs potentiels ? Surtout lorsque son avis va frontalement à l’encontre du droit en la matière et des avis précédents de la CNIL ?

Le second est un courrier de la CNIL qui dit l’exact opposé de ce que veut démontrer Sensivic. La CNIL y rappelle justement sa position déjà exprimée sur Saint-Étienne : qu’un tel capteur sonore, couplé à une caméra de vidéosurveillance, est susceptible de porter une atteinte disproportionnée à la vie privée et à la liberté d’expression.

Bref, encore une start-up qui pense avoir trouvé un business fructueux en accentuant la surveillance de la population, au mépris de toute considération politique ou juridique – et qui reçoit pour cela le soutien aussi bien des collectivités publiques que des administrations.

Surveiller les gens, cela rapporte de l’argent

Entre temps, et sans être le moins du monde inquiétée par les autorités (qui l’ont plutôt encouragée), Sensivic, l’entreprise qui travaille avec Orléans sur cette surveillance, a tranquillement prospéré, continuant d’amasser les projets et les financements sur son business de surveillance sonore.

Présentant fièrement ses produits de surveillance au salon Viva Technology, la start-up a bénéficié d’une levée de fonds de plus de 1,6 millions d’euros en 2022 auprès d’un ensemble d’investisseurs, dont la BPI (la Banque Publique d’Investissement), fidèle investisseuse des pires projets de la Technopolice (dont le logiciel de surveillance TestWe, sanctionné il y a quelques semaines par la juridiction administrative).

Sur son site, la startup annonce d’ailleurs 1 542 détecteurs installés en France, Belgique et Suisse, et une équipe de 12 salarié·es, tous·tes dédié·es au déploiement d’une surveillance sonore de nos rues et villes, couplée à la vidéosurveillance déjà existante. 

Tout cela gravite dans un petit monde d’entreprises de surveillance, d’associations de lobbys et de financeurs bien habitués entre eux. Sensivic échange sur Youtube avec une autre start-up à tendance sécuritariste, Two-I (qui vend des solutions d’analyse d’image) en discutant analyse d’émotion, surveillance continue de l’espace et partenariat financier. Les deux sont d’ailleurs membres des mêmes associations de professionnels de la surveillance, dont l’AN2V (pour Association Nationale de Vidéoprotection), et sont toutes les deux soutenues par le « Comité Stratégique Filière Sécurité », sorte de lobby des industries de la sécurité officiellement soutenu et encouragé par l’État. 

Nous espérons bien gagner ce nouveau contentieux, devant la juridiction administrative et devant la CNIL, pour mettre un nouveau coup d’arrêt à l’extension de la Technopolice. Après la victoire contre le logiciel de surveillance des étudiant·es TestWe, cela serait une nouvelle encourageante dans la lutte qui s’annonce contre les Jeux Olympiques 2024.

]]> https://www.laquadrature.net/?p=19834http://isyteck.com/autoblog/quadrature/index.php5?20230105_162921_Mobilisation_generale_contre_la_legalisation_de_la_videosurveillance_automatisee___Thu, 05 Jan 2023 15:29:21 +0000En catimini pendant les fêtes, le gouvernement a déposé le projet de loi concernant les jeux Olympiques et Paralympiques de 2024. Comme on l’attendait, ce texte prévoit d’ouvrir la voie à la légalisation de la vidéosurveillance automatisée (ou algorithmique, abrégée « VSA »), le tout sous un vernis théorique d’expérimentation limitée dans le temps. Et ce alors que partout sur le territoire, ces technologies sont déjà employées dans l’illégalité et l’impunité la plus totale. Prenant pour prétexte l’organisation prochaine des grandes compétitions sportives, le gouvernement et nombre de parlementaires se posent en défenseurs de l’industrie française en lui permettant de s’étendre durablement sur le marché de la vidéosurveillance.

Pour rappel : la vidéosurveillance automatisée, c’est la surveillance policière massive de l’espace public pour détecter des comportements réputés « anormaux » ; c’est le suivi algorithmique d’individus « suspects » dans la rue ; c’est l’intelligence artificielle pour faire la chasse aux illégalismes populaires ; c’est, à terme, l’identification par reconnaissance faciale en temps réel et la massification de la vidéoverbalisation ; ce sont des dizaines de millions d’euros d’argent public pour des technologies dangereuses déployées sans aucun débat digne de ce nom.

Si nous voulons tenir en échec ce projet de société, il nous faut obtenir coûte que coûte le rejet de ces dispositions. Tenez-vous prêt·es pour la mobilisation !

Cela fait plus de trois ans que nous documentons l’expérimentation illégale de la vidéosurveillance automatisée dans les villes et les villages français, que nous saisissons les tribunaux, dans des grandes villes comme à Marseille ou de petits villages comme à Moirans (Isère), pour dénoncer l’illégalité de ces technologies de surveillance dopées à l’intelligence artificielle. Trois années que, de leur côté, le gouvernement et les industriels se savent dans l’illégalité et qu’ils cherchent à changer la loi pour sécuriser ces déploiements sur le plan juridique. En 2020 déjà, la loi Sécurité Globale avait failli servir de canal législatif. Par peur des oppositions, le gouvernement avait alors préféré temporiser. Mais cette fois, nous y sommes…

L’opportunisme des Jeux olympiques

Le choix des Jeux olympiques et paralympiques de 2024 pour tenter de légaliser ces technologies n’est pas anodin. Les JO sont un « méga-évènement » qui, par leur dimension exceptionnelle, vont permettre la mise en œuvre et l’accélération de politiques tout aussi exceptionnelles. Comme cela a pu être observé lors des précédentes éditions, ces évènements sont l’occasion d’innovations législatives sécuritaires. Les lois accompagnant les Jeux olympiques mettent systématiquement en place un cadre pour un maintien de l’ordre strict, une militarisation de l’espace public ou encore une intensification des mesures de surveillance.

Le chercheur Jules Boykoff compare ce phénomène d’accélération législative à la « théorie du choc », développée par Naomi Klein, selon laquelle les gouvernements utilisent une catastrophe ou un traumatisme social pour faire passer des mesures basées sur la privatisation et la dérégulation. Les Jeux olympiques apparaissent eux aussi comme un accélérateur de politiques exceptionnelles, mais cette fois-ci en prenant appui sur un moment de fête ou de spectacle, par essence extra-ordinaire, où les règles politiques pourraient être temporairement suspendues, pour faire progresser des politiques qu’il aurait été difficile, voire impossible, de mettre en place en temps normal. 

Le gouvernement brésilien a ainsi utilisé les Jeux olympiques de 2016 à Rio pour mener des opérations quasi militaires dans les favelas ou expulser des personnes de leur logement. De la même manière, pour les Jeux olympiques de Tokyo, le gouvernement japonais a fait passer une loi « anti-conspiration » en réalité voulue de longue date pour mater les groupes militants et syndicaux. Les gouvernements précédents avaient tenté sans succès à trois reprises de faire passer une législation analogue. Cette loi a été très critiquée, notamment par les Nations Unies, au regard des atteintes aux libertés qu’elle créait et aux pouvoirs de surveillance qu’elle conférait à l’État. 

De la même manière, les méga-évènements sportifs sont souvent qualifiés de « spectacles de sécurité » ou « vitrines sécuritaires » puisqu’ils permettent à la fois d’être des moments d’expérimentation et des laboratoires des technologies, mais aussi de jouer sur ce moment exceptionnel pour atténuer les mesures de surveillance et les rendre plus acceptables (on vous en parlait notamment déjà ici et là).

Paris dans la course

Le choix du gouvernement français d’introduire les expérimentations de vidéosurveillance automatisée dans la loi sur les JO 2024 répond exactement à ce schéma et cette logique d’instrumentalisation des méga-évènements. Alors qu’aucune étude publique et scientifique n’existe sur ce sujet et qu’aucun besoin n’a été précisément identifié, les mesures concernant la VSA sont présentées par le gouvernement et certains parlementaires comme nécessaires à la sécurité de cet évènement. 

Dans l’analyse d’impact, le gouvernement se contente de prendre comme exemple la détection de colis abandonnés : « Plutôt que d’attendre son signalement par des effectifs de voie publique ou sa localisation par les opérateurs chargés du visionnage de milliers d’images de vidéosurveillance, cette mesure permettrait de gagner un temps précieux » et « seule l’utilisation d’un traitement algorithmique est de nature à signaler en temps réel cette situation à risque et de permettre aux services concernés de l’analyser et d’y donner suite le cas échéant.» Voilà pour la seule justification à l’introduction d’une surveillance algorithmique de l’espace public que le gouvernement entend déjà pérenniser et qui concerne potentiellement des millions de personnes.

Car en réalité, les expérimentations s’insèrent dans un projet politique plus large et satisfont les désirs exprimés depuis plusieurs années par le secteur industriel et les institutions policières d’utiliser massivement ces dispositifs. Il est donc certain que ces outils ne seront pas abandonnés après la fin de la période d’expérimentation, de la même manière que les boites noires des services de renseignement ou les règles dérogatoires de l’état d’urgence de 2015 ont été pérennisées alors qu’elles étaient censées être temporaires et exceptionnelles. D’ailleurs, des parlementaires en vue sur ce dossier, comme Philippe Latombe, évoquent dores et déjà une autre loi, plus généraliste, à venir sur le même sujet dans le courant de l’année 2023.

Un laisser-passer pour le marché de la VSA

Afin de permettre le développement de la VSA, le gouvernement a prévu un article 7 au sein du projet de loi qui propose un processus d’expérimentation découpé en plusieurs étapes jusqu’en juin 2025. Derrière cet apparent formalisme procédurier, l’article 7 constitue en réalité un tremplin pour la vente des logiciels de VSA à l’État et aux collectivités locales par le secteur privé. 

Si la loi est présentée comme concernant les Jeux olympiques, c’est en réalité sur une quantité d’évènements toute autre que les algorithmes vont être déployés pendant la durée prescrite pour les expérimentations : festivals de musique, courses de marathon, spectacles en plein air, marchés de Noël ou encore la coupe du monde de rugby 2023. Autant d’évènements « sportifs », « récréatifs » ou « culturels » qui serviront de terrain de jeux à ces algorithmes. D’ailleurs, le périmètre de ces évènements est également très large puisque les images utilisées iront jusqu’aux abords de ces lieux et aux moyens de transport les desservant (l’intérieur et les voies).

Tout d’abord, les expérimentations sont censées respecter une double condition qui épouse parfaitement le vocable et les offres créés par le marché de la VSA. Premièrement, elles doivent avoir pour finalité « d’assurer la sécurité de manifestations sportives, récréatives ou culturelles, qui, par leur ampleur ou leurs circonstances sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteinte grave à la sécurité des personnes ». Deuxièmement, l’objet des traitements doit être « de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler en vue de la mise en œuvre des mesures nécessaires » pour une panoplie de services de sécurité (la police et la gendarmerie nationales, la police municipale, les services d’incendie et de secours et les services internes de sécurité de la SNCF et de la RATP). Les images traitées peuvent être celles issues des caméras de surveillance ou des drones, ces derniers étant autorisés depuis l’année dernière.

Comme pour beaucoup de dispositifs de surveillance, le gouvernement se justifie par une logique de prévention de risques. Et, comme souvent, ceux-ci sont si largement définis qu’ils peuvent inclure un nombre très large de situations. On retrouve à travers la fonctionnalité de détection d’évènements le cœur des dispositifs conçus et vendus par le marché de la VSA : deviner et classer les comportements « à risque » dans l’espace public et alerter sur ceux qui nécessiteraient une attention et une intervention de la police. Ainsi, dans la loi, l’« intelligence artificielle » (qui n’est jamais définie dans le texte) permettrait de déceler dans nos manières de vivre, bouger, marcher celles qui doivent déclencher – ou non – une alerte. 

Dans l’étude d’impact, les seuls « impacts sociaux » que le gouvernement relève seraient des avantages : la VSA « renforcerait » la sécurité, garantirait la « préservation de l’anonymat dans l’espace public et l’absence d’atteinte au droit à la vie privée » du fait de l’absence de reconnaissance faciale – carrément ! – et, enfin, les exigences de la loi permettraient la « neutralité de l’outil ». De son coté dans son avis, le Conseil d’État reprend la même logique que celle promue par les entreprises, à savoir que la fonction de l’algorithme se limite à une « levée de doute », minimisant ainsi le rôle du logiciel dans la prise de décision des agents de sécurité qui se déresponsabilisent derrière un outil technique. La CNIL, elle, est aux abonnés absents, se contentant de se féliciter que les « garanties » exigées dans sa précédente position qui appelait à légaliser la VSA aient été reprises dans le projet de loi…

Nous l’avons dénoncé à plusieurs reprises : ces outils sont tout sauf neutres. Dans la pratique actuelle du secteur, ces évènements vont de la « détection de comportement suspect », au « maraudage » (le fait d’être statique dans l’espace public), en passant par le « dépassement d’une ligne virtuelle » (c’est-à-dire l’entrée d’une personne dans une zone), le suivi de personne, la détection d’objets abandonnés, d’une bagarre ou encore d’un vol. Les comportements dits « suspects » ne reflètent aucune réalité tangible mais ne sont que la matérialisation de choix politiques subjectifs et discriminatoires qui se focalisent sur les personnes passant le plus de temps dans la rue : par exemple, sous la fonctionnalité de détection du « maraudage » se cache en réalité une chasse aux personnes mendiant. Qu’elle soit humaine ou algorithmique, l’interprétation des images est toujours dictée par des critères sociaux et moraux, et l’ajout d’une couche logicielle n’y change rien. Au final, elle automatise et massifie la prise de décision de la police pour mieux lui permettre d’augmenter son pouvoir de surveillance et de répression. 

Afin de pousser cette stratégie de minimisation de sa surveillance, le gouvernement affirme également que ces dispositifs ne traiteraient pas de données biométriques (ce qui est faux comme nous l’expliquions ici, et comme l’a récemment rappelé le Défenseur des droits¹Dans son rapport « Technologies biométriques : l’impératif respect des droits fondamentaux » de 2021, le Défenseur des droits considérait déjà les technologies de VSA comme des traitements de données biométriques. En 2022, il rappelait que la VSA consiste à traiter des données biométriques dans son enquête sur la « Perception du développement des technologies biométriques en France ».) et qu’ils ne feront pas de reconnaissance faciale. En s’engageant à renoncer pour l’instant à cette technologie qui a une place bien particulière dans l’imaginaire collectif, il joue ici un jeu politique et stratégique de communication pour donner à la VSA une image moins dangereuse. Le discours consiste à affirmer que la VSA ne reposerait « que » sur une analyse d’images purement technique qui ne se contenterait « que » d’« assister » l’humain. À nouveau, le gouvernement et le Conseil d’État piochent ici directement dans la pile d’arguments des marchands et promoteurs de la VSA. Celle-ci n’est en rien moins dangereuse que la reconnaissance faciale et touche à la même intimité du corps. En d’autres termes, la reconnaissance faciale n’est que l’une des nombreuses applications de la VSA. Et il y a fort à parier que son usage pour identifier des personnes en temps réel sur la voie publique sera à son tour légalisé, à l’occasion d’une prochaine et énième loi sécuritaire. Dès 2018, c’est d’ailleurs cet usage-là que des élus comme Christian Estrosi, le maire Horizons de Nice, mettaient en avant pour légitimer le recours à la vidéosurveillance automatisée dans leurs villes.

L’État aux manettes

Ensuite, le projet de loi prévoit que la confection et le déploiement des algorithmes soient divisé·es en plusieurs étapes, toutes supervisées par le pouvoir exécutif et avec le moins d’obstacles ou de gardes-fous possibles. 

Tout d’abord, à l’instar de la vidéosurveillance classique, les services de l’État ou des collectivités locales devront faire une demande d’autorisation au préfet. Ces demandes d’autorisation devront identifier un évènement précis où l’expérimentation aura lieu (par exemple le marathon de Paris en avril 2023 ou le festival des Vieilles Charrues en juillet) et définir l’algorithme à mettre en œuvre (quel « évènement » détecter, les spécificités de la situation justifiant l’usage de la VSA, qui peut y a voir accès, comment cela est financé…). Une analyse « bénéfices/risques » doit également être jointe à cette demande mais ce type de document est classiquement exigé en droit des données personnelles et il a dores et déjà fait la preuve de son incapacité à protéger les libertés publiques (ces analyses d’impact sont généralement mal rédigées par les demandeurs et n’empêchent presque jamais le déploiement de dispositifs qui pourraient plus tard être jugés illégaux par la justice).

Pour fabriquer le logiciel, l’État et les collectivités auront trois options : le développer eux-mêmes, le faire développer par un tiers, ou bien l’acquérir directement sur le marché. C’est bien entendu ces deux dernières options qui seront très probablement privilégiées puisqu’il est bien moins cher et bien plus rapide de confier la tâche à des entreprises qui le font depuis des années que de créer un service d’ingénieur·es en interne (qui gagneraient d’ailleurs davantage dans le secteur privé). Et du coté des industriels de la VSA – les gros comme Thales ou Idemia, les plus petits comme Briefcam, Aquilae, XXII, Two-I ou Datakalab –, c’est banco  ! Cette loi va leur permettre de démultiplier les déploiements en apportant un cadre juridique qui fait largement défaut jusqu’à présent, en réorientant l’ensemble des développements de leurs technologie de « vision assistée par ordinateur » vers des applications sécuritaires.

Quant aux foules passées au crible de ces systèmes au cours de la multitude d’évènements où auront lieu les tests, elles serviront de cobayes : le projet de loi prévoit en effet que les images de vidéosurveillance « classique » encadrées par le code de sécurité intérieure pourront être utilisées comme données d’apprentissage si leur durée de conservation n’est pas expirée. Or, on apprend dans l’étude d’impact que « si la réutilisation de ces données est nécessaire à la correction des paramètres du traitement, ces dernières peuvent être conservées au-delà de ces durées, dans la limite de la durée de l’expérimentation et pour ce seul usage, afin de parfaire l’apprentissage des algorithmes ». Cela signifie que les entreprises de VSA pourront donc disposer d’un volume conséquent d’images pour entraîner leurs algorithmes. Et les citoyen·nes filmé·es deviendraient tout simplement leurs rats de laboratoire. 

Coté technique, le projet de loi prévoit que le développement du logiciel devra répondre à des exigences qui sont en total décalage avec la réalité de la confection de ce type de logiciels d’analyse d’image. Nous y reviendrons plus longuement dans un prochain article. 

Ces exigences feront l’objet d’une attestation de conformité établie par une autorité administrative qui n’est pas encore définie et selon des critères et des méthodes qui ne sont jamais précisées. On apprend dans l’étude d’impact que l’État demandera probablement de l’aide à un « organisme de certification spécialisée ». Sans doute un autre acteur privé ? En tout cas, la seule chose qui est demandée aux industriels est de « présenter des garanties de compétences et de continuité et fournir une documentation technique complète ». 

Une fois le logiciel prêt, ce seront le préfet du département et, à Paris, le préfet de police qui autoriseraient l’utilisation des algorithmes auprès des services de sécurité qui en feront la demande. Ils seront également les seuls à pouvoir décider d’arrêter son utilisation ou de la renouveler, tous les mois, si les conditions sont remplies. À la fin de tout ça, ce que l’on remarque, c’est l’absence criante de la CNIL. Évincée du processus, ses pouvoirs sont extrêmement limités et jamais contraignants, qu’il s’agisse du décret d’autorisation de l’expérimentation (il s’agit d’un avis uniquement consultatif), dans la décision du représentant de l’État ou du préfet de police de mettre en œuvre le système (cette décision lui est simplement adressée) ou dans le suivi de expérimentation (le préfet la tient au courant « au tant que besoin », c’est-à-dire selon son bon vouloir).

Cette éviction de tout contrôle indépendant n’est pas étonnante et s’inscrit dans la perte de pouvoirs de la CNIL observée depuis le début des années 2000, celle-ci étant mise à distance sur les sujets de surveillance étatique pour se concentrer vers l’accompagnement des entreprises. L’absence de réaction forte de la CNIL face au déploiement de la VSA pour préférer le dialogue complaisant avec ses constructeurs confirme bien sa mue en autorité régulatrice du secteur économique de la surveillance. 

La bataille commence

Le gouvernement avait ce projet dans ses cartons depuis longtemps. Nous ne souhaitons en aucun cas l’améliorer ou rafistoler la loi : nous voulons le rejet pur et simple de cet article 7 pour le projet de société de surveillance qu’il incarne. 

La VSA est un changement de dimension de la surveillance de masse. En autorisant l’État à analyser, classer, évaluer les mouvements et comportements de chaque individu dans l’espace public, en lui donnant des pouvoirs de décision décuplés par l’automatisation de la prise de décision, cette technologie transforme notre rapport à l’espace public et démultiplie les capacités de contrôle et de répression de la police. 

Nous allons nous battre pour que cette première étape de la légalisation de la VSA ne puisse jamais voir le jour. Nous allons avoir besoin de vous afin de montrer l’opposition de la société à ces technologies et interpeller les parlementaires. La bataille commence au Sénat dès le 18 janvier, avant que soit transmis le texte à l’Assemblée. Nous reviendrons rapidement avec de nouvelles analyses et des outils pour vous permettre d’agir avec nous ! En attendant, nous vous invitons à venir nombreuses et nombreux en discuter le 14 janvier à la Flèche d’Or, à Paris. Nous parlerons Technopolice et Jeux olympiques avec des militant·es et chercheur·euses qui travaillent sur le sujet, toutes les infos sont ici !

References[+]

References

↑1	Dans son rapport « Technologies biométriques : l’impératif respect des droits fondamentaux » de 2021, le Défenseur des droits considérait déjà les technologies de VSA comme des traitements de données biométriques. En 2022, il rappelait que la VSA consiste à traiter des données biométriques dans son enquête sur la « Perception du développement des technologies biométriques en France ».

]]> https://www.laquadrature.net/?p=19807http://isyteck.com/autoblog/quadrature/index.php5?20230105_070000_Negligences_a_la_CAF____10_000_dossiers_d___allocataires_en_acces_libreThu, 05 Jan 2023 06:00:00 +0000Après avoir documenté l’utilisation d’un algorithme de notation des allocataires à des fins de contrôle social par la CAF (voir ici et ici), nous revenons ici sur la fuite de plus de 10 000 dossiers d’allocataires suite à un ensemble de négligences de la part de l’institution.

Suite à notre travail sur l’utilisation d’un algorithme de notations des allocataires utilisé afin de sélectionner celles et ceux qui feront l’objet d’un contrôle (voir ici et ici), nous avons été contacté·es par la cellule investigation de Radio France (voir leur article ici) à propos d’une base de données contenant plus de 10 000 dossiers d’allocataires de la CAF disponible en ligne sans aucune protection et accessible par n’importe qui.

Une fuite majeure : état civil, situation familiale, données médicales et multiples informations sur les enfants

Pour chaque dossier, 181 variables sont disponibles¹Pour l’explication des variables présentes, voir ce dictionnaire. La liste des variables est accessible ici. D’autres données relatives à la navigation internet des allocataires sur le site de la CAF étaient disponibles.. On trouve notamment les informations suivantes sur chaque allocataire :

• État civil : sexe, date de naissance, nationalité (française ou non), adresse (sans le nom de la ville)²Voir SEXE, DTNAIRES, NATIFAM, LILI4ADR..
• Logement : type de logement (propriétaire, locataire, sans domicile fixe, hébergement à titre gracieux, hôtel…), informations sur le loyer ³Voir OCCLOG, MTAIDEL, MTLOYREM..
• Situation personnelle : célibataire/veuf·ve/en couple/divorcé·e, personne sous tutelle ou non (civile, judiciaire, médicale…) ⁴Voir SITFAM, NATTUT..
• Situation médicale : grossesse en cours ou non, « niveau » de handicap⁵Voir TITUAAH, TOPGRO, CINCAAH..
• Situation professionnelle : « activité » (chômeurs·es, salarié·e, retraité·e, étudiant·e, handicapé·e, personne « inactive ») ⁶Voir ACTRESPD0..
• Situation du conjoint : activité (chômeurs·es, activité « normale », retraité·e, étudiant·e, handicapé·e, « inactive »), date de naissance ⁷Voir PRESCONJ, DTNAICONJ, ACTCONJ..
• Situation familiale : nombre de personnes du foyer, nombre d’enfants, existence de pensions alimentaires, de garde alternée, revenus du foyer ⁸Voir SITFAM, PERSCOUV, NBENLEFA, TPA, NBUC, RUC..
• Pour chaque enfant de l’allocataire : date de naissance, sexe, s’il ou elle est orphelin, a été abandonné·e à la naissance, sa « qualité » (« infirme », étudiant·e, stagiaire, salarié·e, apprenti·e), s’il ou elle est à charge ou encore en résidence alternée⁹Voir variables DNAIENF, CATEENF, QUALENF, ENFASFVERS..
• Type et montant des allocations : Allocations familiales, APL, RSA, Prime d’activité, Allocation d’adultes Handicapés ¹⁰Voir toutes les variables en *VERS, TITUAAH..

L’exposition de cette base de données révèle donc énormément d’informations personnelles et sensibles sur plus de 10 000 allocataires. Et ce depuis plus d’un an et demi¹¹Les premiers exercices semblent avoir été publiés en mars 2021., sa date de mise en ligne remontant à mars 2021.

L’authenticité de ces données a été vérifiée par des journalistes de Radio France qui ont contacté plusieurs des allocataires identifiés à partir des informations disponibles.

Des données transférées à un prestataire privé sans aucune justification

Ces données ont été mises en ligne par un prestataire privé à qui la CAF avait demandé de former ses agent·es à la manipulation d’un logiciel de traitement statistique. C’est dans le cadre de cette formation que la CAF a communiqué quelques 10 000 dossiers d’allocataires à ce prestataire. Le but était qu’il puisse créer des exercices portant sur des cas réalistes.

À la vue du niveau très basique des exercices proposés dans la formation (manipulation simple de variables, tri de données, export/import de tables…), rien ne justifie l’utilisation de données personnelles des allocataires. En d’autres termes, les exercices auraient pu être réalisés avec des jeux de données complètement anodins (accessibles publiquement par exemple).

Contacté par Radio France, le prestataire a lui-même dit qu’il pensait que les données envoyées étaient « fictives », ajoutant qu’il n’avait pas demandé de données réelles car cela n’était pas nécessaire…

Ce transfert de données semble donc révéler le peu de cas que la CAF fait de nos données personnelles. Ou plutôt un sentiment de propriété de nos données personnelles de la part de ses responsables, qui semblent trouver cela normal de les transférer sans aucune raison à des prestataires privés… Ou de les utiliser pour développer un algorithme de notation ciblant les plus précaires.

Petit rappel aux responsables de la CAF (1/2) : supprimer les noms et prénoms ne revient pas à anonymiser des données

Certes, la CAF avait pris la « précaution » d’enlever du jeu de données les noms et prénoms des allocataires ainsi que le code postal. Mais une simple recherche à partir du reste de l’adresse (numéro et nom de rue), sur un site comme les Pages jaunes, suffit à identifier de nombreuses personnes.

C’est cette approche qu’a adoptée l’équipe de Radio France pour vérifier l’authenticité des données via l’appel à des allocataires dont la trace a été retrouvée.

Ainsi la CAF semble ignorer les principes de base de l’anonymisation des données personnelles. Une anonymisation correcte nécessite bien plus de traitements de manière à ce qu’il ne soit pas possible d’identifier les individus auxquels sont rattachés les données. Il faut par exemple supprimer, ou a minima modifier, les informations directement identifiantes (date de naissance et adresse par exemple). Nous redirigeons ces responsables vers le guide de la CNIL portant sur ce sujet.

Petit rappel aux responsables de la CAF (2/2) : chiffrer ses données, c’est bien

Pire, la base de données a été publiée sans que son accès n’ait été protégé. On aurait pu imaginer, a minima, que le prestataire les chiffrerait avant de les mettre en ligne pour les élèves de la formation à qui il aurait communiqué le mot de passe protégeant le fichier.

Mais même cette mesure de précaution élémentaire a été écartée. Le fichier contenant les informations a été publié sans la moindre protection. Il était donc accessible à toute personne se rendant sur le site du prestataire.

Le « Centre National d’Appui au Datamining » au centre des controverses

L’analyse des adresses des allocataires présentes dans les fichiers révèle que la plupart se trouvent en région bordelaise. Or c’est à Bordeaux que se trouve le « Centre National d’appui au Datamining » (CNAD)¹²Le centre d’appui au datamining (CNAD) a été créé en 2012 à Bordeaux par la CAF de Gironde. Voir notamment l’article de Mathieu Arzel dans le numéro 58 revue Regards publié en 2020 et disponible ici. de la CAF.

Ce centre a été créé en 2012 pour développer le fameux algorithme de notation des allocataires aujourd’hui vivement contesté (voir ici, ici, ici, ici ou encore ici).

Il est ainsi légitime de se demander si la formation ayant conduit à la fuite de données était à destination des agent·es du CNAD. Peut-être même d’agent·es ayant vocation à travailler sur l’algorithme de notation lui-même ?

La CAF doit rendre des comptes sur ses pratiques numériques

Les révélations sur les pratiques numériques nocives et irrespectueuses des données personnelles des allocataires par la CAF s’accumulent. Face aux questions légitimes qui lui sont posées, la CAF préfère s’enfermer dans l’opacité (voir notre article ici).

Nous n’arrêterons pas pour autant de les documenter.

Image d’illustration : reconstitution d’un extrait de la base de données concernée par la fuite.

References[+]

References

↑1	Pour l’explication des variables présentes, voir ce dictionnaire. La liste des variables est accessible ici. D’autres données relatives à la navigation internet des allocataires sur le site de la CAF étaient disponibles.
↑2	Voir SEXE, DTNAIRES, NATIFAM, LILI4ADR.
↑3	Voir OCCLOG, MTAIDEL, MTLOYREM.
↑4	Voir SITFAM, NATTUT.
↑5	Voir TITUAAH, TOPGRO, CINCAAH.
↑6	Voir ACTRESPD0.
↑7	Voir PRESCONJ, DTNAICONJ, ACTCONJ.
↑8	Voir SITFAM, PERSCOUV, NBENLEFA, TPA, NBUC, RUC.
↑9	Voir variables DNAIENF, CATEENF, QUALENF, ENFASFVERS.
↑10	Voir toutes les variables en *VERS, TITUAAH.
↑11	Les premiers exercices semblent avoir été publiés en mars 2021.
↑12	Le centre d’appui au datamining (CNAD) a été créé en 2012 à Bordeaux par la CAF de Gironde. Voir notamment l’article de Mathieu Arzel dans le numéro 58 revue Regards publié en 2020 et disponible ici.

]]> https://www.laquadrature.net/?p=19639http://isyteck.com/autoblog/quadrature/index.php5?20221223_165916_Notation_des_allocataires__febrile__la_CAF_s___enferme_dans_l___opaciteFri, 23 Dec 2022 15:59:16 +0000Extrait du code source de l’algorithme de notation transmis par la CAF.

Alors que la contestation monte (voir ici, ici, ici ou ici) concernant son algorithme de notation des allocataires à des fins de contrôle social, la CAF choisit de se réfugier dans l’opacité tout en adaptant, maladroitement, sa politique de communication. Suite à son refus de communiquer le code source de son algorithme, nous avons saisi la Commission d’Accès aux Documents Administratifs (CADA).

Comme nous l’expliquions ici, la CAF utilise depuis 2012 un algorithme de profilage attribuant à chaque allocataire une note ou «score de risque». Construite à partir des centaines de données dont la CAF dispose sur chaque allocataire, cette note est ensuite utilisée pour sélectionner celles et ceux qui seront contrôlé·es.

Cet algorithme symbolise l’étendue des dérives de l’utilisation des outils numériques au service de politiques de contrôle social portées par des logiques policières de suspicion généralisée, de tri et d’évaluation continue de chacun de nos faits et gestes.

Ici, comme c’est généralement le cas par ailleurs, ce tri cible les plus précaires. Les rares informations disponibles à ce sujet laissent apparaître que parmi les critères dégradant la note d’un·e allocataire, et augmentant ses chances d’être contrôlé·e, on trouve pêle-mêle : le fait de disposer de faibles revenus, d’habiter dans un quartier défavorisé, d’être une mère célibataire ou encore d’être né·e hors de France.

Pour en avoir le coeur net, nous avons donc demandé à la CAF de nous communiquer le code source de son algorithme¹Voir notre demande CADA ici. Et sa réponse est affligeante²Voir la réponse de la CAF ici et le code source caviardé ici..

Sortir de la précarité pour “tromper l’algorithme”

Si la CAF a bien accepté de nous communiquer le code de l’algorithme… ce n’est qu’après avoir masqué la quasi-totalité des noms des variables comme on peut le voir sur l’illustration de cet article, qui est une photo de ce que la CAF nous a répondu.

En d’autres termes, le fichier fourni nous permet simplement d’apprendre combien de critères sont utilisés pour le calcul de la note des allocataires. Rien de plus. Ce qui n’empêche pas la CAF de préciser dans son courrier qu’elle espère que sa communication nous « permettra de comprendre le modèle »³Voir la réponse de la CAF ici et le code source caviardé ici..

Les responsables de la CAF ont toutefois tenu à justifier le caviardage du fichier. Ces dernier·es précisent que le code source a été « expurgé des mentions qui, si elles étaient communiquées, pourraient donner des indications aux fraudeurs pour tromper l’algorithme»⁴Voir la réponse de la CAF ici et le code source caviardé ici.. Et pour être tout à fait honnête, nous n’étions pas préparé·es à cette réponse.

La CAF croit-elle vraiment que les critères liés à la précarité (situation professionnelle instable, faibles revenus, logement situé dans un quartier défavorisé…) pourraient être modifiés par la seule volonté de l’allocataire? Qu’afin d’augmenter leur note et de « flouer » l’algorithme, des millions d’allocataires pourraient décider, d’un coup, de sortir de la pauvreté?

Ce raisonnement frise l’absurdité. A vrai dire, il est méprisant et insultant pour celles et ceux vivant des situations difficiles.

Pire, le secrétaire général de la CAF entretient publiquement la confusion entre fraudes et erreurs de déclarations involontaires, prenant ainsi le risque de stigmatiser les personnes ciblées par l’algorithme, et ce, dans le seul but de justifier l’opacité de son institution.

En réponse à un journaliste de Radio France⁵Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours. l’interrogeant sur la réponse de la CAF à notre demande, il l’expliquait en disant qu’« il y a un certain nombre de données dont on pense que, si elles sont connues, peuvent nourrir des stratégies de contournement de personnes dont le but c’est de frauder le système ». Et d’ajouter: « Il faut que l’on ait un coup d’avance ».

Faut-il donc lui rappeler que l’algorithme de la CAF n’est pas entraîné à détecter les fraudes mais les erreurs de déclaration, par définition involontaires⁶Voir notre article présentant l’algorithme de notation des allocataires de la CAF disponible ici.. Et que sa réponse pourrait donc être reformulée ainsi : « Nous ne communiquerons pas le code de l’algorithme de peur que les allocataires arrêtent de faire des erreurs ».

De notre point de vue, cette réponse révèle l’ampleur de l’embarras des responsables de la CAF vis-à-vis de leur algorithme. Ils et elles ont peut-être en tête le scandale entourant un algorithme, en tout point similaire, de notation des allocataires ayant été utilisé aux Pays-Bas et dont les suites ont amené à la démission du gouvernement⁷Un algorithme similaire a fait l’object d’un scandale retentissant aux Pays-Bas. Discrimantn. Sur ce sujet, voir notamment le rapport “Xenophobic machines: Discrimination through unregulated use of algorithms in the Dutch childcare benefits scandal” publié en 2021 par Amnesty International et disponible ici.?

Déni de justice

Pire, cette opacité est aussi appliquée, à l’échelle individuelle, aux allocataires ayant été séléctionné·es par l’algorithme pour être controlé·es et qui chercheraient à obtenir des informations sur la raison de ce contrôle. Et ce, alors même que la loi prévoit que tout individu ayant fait l’objet d’une décision prise sur le fondement d’un traitement algorithmique (ici le fait d’être contrôlé) a le droit de connaître les données utilisées ainsi que les paramètres de cet algorithme⁸Voir l’article R-311-3-1-2 du CRPA disponible ici. . Ce qui signifie que les personnes ayant fait l’objet d’un contrôle⁹En tout état de cause, le fait de ne pas avoir été contrôlé est aussi une décision administrative. Le CRPA donne donc des droits étendus à toute personne ayant été notée, qu’elle ait été contrôlée, ou non. sont censées avoir un droit d’accès plus étendu qu’une association comme la Quadrature.

Nous avons pu consulter la réponse à la demande d’informations réalisée par une personne ayant été contrôlée sur la base de sa note. Le courrier, signé par le délégué à la protection des données de la CNAF, se contente de renvoyer l’allocataire à la page “Internet et Libertés” de la CAF.

Sur cette page sont présents deux documents relatifs à l’algorithme de notation : un communiqué de la CAF et l’avis de la CNIL associé¹⁰Le communiqué de la CNAF daté du 27 janvier 2022 et intitulé « Aide à la détermination des dossiers allocataires nécessitant une vérification à l’aide d’un procédé de datamining » est disponible ici. La délibération de la CNIL du 24 mars 2010 est disponible ici. Il est à noter que l’algorithme a à priori grandement évolué depuis la délibération de la CNIL datant de plus de 12 ans. Comme nous l’expliquions ici, la délibération de la CNIl fait notamment référence à un modèle de lutte contre la fraude, alors que l’algorithme est aujourd’hui entraîné pour détecter les erreurs.. Aucun ne fournit d’informations sur les paramètres utilisés par l’algorithme, ni sur leur impact sur le score de risque.

Cette réponse est un déni de justice pour celles et ceux ayant fait l’objet d’un contrôle déclenché algorithmiquement, l’opacité entretenue par la CAF les empếchant de contester juridiquement le bien-fondé du contrôle dont ielles ont fait l’objet.

La discrimination : un savoir-faire à protéger

Nous avions aussi demandé la liste des variables utilisées pour l’entraînement du modèle, c’est à dire sa phase de création. Cette question est importante car elle permet de comprendre l’étendue des données utilisées par l’algorithme. Et donc le degré d’intrusion dans la vie privée des allocataires que la construction d’un tel modèle nécessite.

En effet, en mettant régulièrement en avant dans sa communication que son algorithme n’utilise « que » quelques dizaines de variables¹¹Voir le (faux) Vrai/Faux dans ce document., la CAF fait mine d’ignorer qu’elles sont le fruit d’une sélection qui nécessite l’analyse d’un nombre bien plus grand de variables au préalable¹²Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours..


Et la justification apportée par les responsables de la CAF est, là aussi, déconcertante. Ces dernier·es avancent que la communication de ces variables n’est pas possible car elles constituent un « savoir-faire »¹³Voir la réponse de la CAF ici et le code source caviardé ici.. La CAF souhaiterait-elle monétiser son algorithme et le revendre à d’autres administrations ? Penserait-elle pouvoir équiper les équipes de contrôleurs.ses des institutions sociales du monde entier de son algorithme assimilant les plus précaires à de potentiel·le·s fraudeurs ou fraudeuses?

A défaut de réponse, nous nous en remettons à ce que, techniquement, tout·e data-scientist ferait pour entraîner un modèle le plus « précis » possible. Il suffirait de partir de l’intégralité des variables à sa disposition et, par itérations successives, décider lesquelles garder pour le modèle final. Dans cette hypothèse, ce serait alors la quasi-totalité des variables détenues par la CAF sur chaque allocataire qui serait utilisée pour l’entraînement de son modèle.

Ceci serait cohérent avec un document publié en 2013 dans lequel un statisticien de la CAF que « les statisticiens chargés de la modélisation disposaient d’environ un millier d’informations par allocataire contrôlé » et que « la base d’apprentissage contient toutes les données habituelles des fichiers statistiques »¹⁴Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours..

Vingt ans de développement… et aucun compte-rendu de réunions

Quant à notre demande relative aux documents internes (notes, comptes-rendus, échanges…) concernant le développement de l’algorithme, la CAF nous a tout simplement répondu qu’en presque 20 ans de travail aucune réunion technique n’a fait l’objet de compte-rendu…¹⁵Voir la réponse de la CAF ici et le code source caviardé ici.

Pour être tout à fait honnête, c’est une première dans l’histoire de nos demandes CADA.

Le retour de l’alibi technique

A ceci s’ajoute, depuis le début de l’année, la mise en place de ce qui apparaît comme une véritable communication de crise par l’institution autour de son algorithme. En juin 2022, la CAF a notamment publié un communiqué intitulé « Contrôle et datamining » dans lequel elle tente de répondre aux critiques soulevées par son algorithme¹⁶Le document, publié sur le site de la CAF, est disponible ici..

A sa lecture, on prend toute la mesure du rôle d’alibi technique à une politique de contrôle discriminatoire que joue l’algorithme, ce que nous dénoncions déjà ici.

L’algorithme y est décrit comme étant un objet purement scientifique dont le caractère politique est nié. Il est ainsi expliqué que la note des allocataires est le fruit d’une « démarche scientifique d’étude statistique […] menée par des experts » se fondant sur des critères « scientifiquement pondérés » ayant été sélectionnés « sur seuls critères statistiques ». Le secrétaire général de la CAF ajoute¹⁷Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours. de son côté que cet outil serait un « miroir des situations statistiques » servant à identifier des « environnements de risques ».

Ce faisant, les responsables de la CAF cherchent à nier leur responsabilité (politique) dans la conduite, et la validation, d’une politique de contrôle discriminatoire. Nul part n’apparaît que que si les erreurs se concentrent sur les plus précaires, c’est tout simplement parce qu’au fil des ans se sont multipliées les règles et contraintes encadrant l’accès aux minima sociaux, et ce, dans le seul but de restreindre leur accessibilité¹⁸Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi le rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil, disponible ici..

On mesure enfin l’impact des logiques gestionnaires appliquées aux institutions sociales. Logiques réduisant des millions de vies et d’histoires, à de simples notions statistiques, déshumanisantes, froides et vides de sens.

Communication mensongère

La deuxième partie du document est consacrée à un « Vrai/Faux » portant sur l’algorithme où transpire la malhonnêteté intellectuelle.

A l’affirmation « Les scores de risques les plus élevés concernent toujours les plus pauvres », la CAF répond Faux car « les scores de risques sont calculés pour tous les allocataires ». Ce qui n’a tout simplement aucun sens…

A la question « Les contrôleurs sont payés aux résultats », la CAF répond que ce serait faux, bien qu’elle admette que l’Etat lui fixe bien un objectif à atteindre en termes de détection de fraude. Ici encore, l’institution joue avec les mots. S’il est vrai que les contrôleurs.ses n’ont pas de «prime sur leurs résultats», ils et elles touchent un intéressement, tout comme l’ensemble du personnel de la CAF, dont le montant dépend bien de l’atteinte de ces objectifs de contrôle¹⁹Voir par exemple l’annexe d’intéressement 2021 (ici) de la CAF spécifiant un objectif de fraudes détectées et un objectif de taux de recouvrement des indus non frauduleux. La tenue de ces objectifs impacte directement la prime d’intéressement des employé.e.s de la CAF..

A la question « Plus de 1000 données concernant les allocataires sont utilisées dans le modèle de datamining des CAF », la CAF répond que seules une quarantaine seraient utilisées. Elle détourne ainsi la question puisque – comme expliqué ci-dessus – elle omet de dire que ces quarante variables sont sélectionnées après une phase d’entraînement du modèle qui nécessite l’utilisation, et le traitement, de plus de mille variables par allocataire²⁰Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours..

Enfin, aux questions « Les contrôleurs de la Caf ont accès à toutes les infos qu’ils souhaitent à l’insu des allocataires », et « Les allocations sont suspendues pendant le contrôle », la CAF répond que non car « aucune demande n’est faite à d’autres administrations, sans en avoir averti auparavant l’allocataire, aucune procédure vis-à-vis d’un tiers n’est engagée à l’insu de celui-ci.» Et ajoute que, lors d’un contrôle, « les allocations ne sont pas suspendues ».

Sur ces deux derniers points, nous vous invitons à lire les témoignages collectés par le Défenseur des Droits, les collectifs « Stop Contrôles », « Changer de Cap » et différentes associations de lutte contre la précarité²¹Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici. Voir aussi l’émission de Radio France « Secrets d’info » revenant sur ces questions et disponible ici et l’article l’accompagant ici. qui alertent depuis des années sur les suspensions abusives d’allocations pendant les contrôles et les pratiques invasives (consultation des comptes bancaires, relevés d’électricité, analyse de l’adresse IP etc…) des contrôleurs·ses de la CAF à l’insu des allocataires.

Fraude à enjeux et lutte contre le non-recours : des contre-feux médiatiques

A ceci s’ajoute diverses annonces de la CAF participant à nourrir une stratégie de diversion médiatique autour de son algorithme de notation.

Dans son dernier rapport annuel sur la « lutte contre la fraude », nulle référence n’est faite à l’algorithme alors que celui-ci était mis à l’honneur, en première page, l’année précédente. La CAF précisant au passage qu’il était loué par la Cour des Comptes et l’Assemblée Nationale.

A sa place, la CAF a préféré cette année mettre en avant son équipe de contrôleur.ses dédiée à la « lutte contre la fraude à enjeux »²²Voir notamment ici, ici et ici., c’est à dire des fraudes organisées (usurpation d’identités, faux documents, fraude au RIB) à grande échelle. Soit 30 agentes et agents qui d’après les dires de la CAF sont, ni plus ni moins, chargé·es de « protéger le système de sécurité sociale français des risques de pillage » et qui font rentrer la CAF dans « une nouvelle dimension de la lutte contre la fraude »²³Voir notamment ici, ici et ici..

A titre de comparaison, nous tenons à rappeler que ce sont pas moins de 700 contrôleuses et contrôleurs qui, guidé·es par son algorithme discriminatoire, sont chargé·es de traquer les moindre erreurs de déclaration faites par les plus précaires.

Deuxième angle d’attaque : la mise en avant de l’utilisation d’algorithmes de profilage à des fins de lutte contre le non-recours²⁴Voir notamment ce tweet.. Comme si l’application des techniques de profilage à des fins «positives» pouvait justifier leur application à des fins répressives. Sur ce sujet, la CAF omet pourtant de dire le plus important : depuis maintenant plus de 10 ans, elle a systématiquement favorisé l’application de ces techniques à des fins de contrôle plutôt que de lutte contre le non-recours.

Ses équipes de « data-scientist » regrettaient dès 2013 que les techniques de profilage des allocataires soient uniquement utilisées à des fins de contrôle et non de lutte contre le non recours²⁵Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours.. Cette réalité est rappelée dans un rapport de l’Assemblée Nationale daté de 2016 qui précise que « l’extension explicite de l’usage du data mining à d’autres fins, notamment celle de lutte contre le non-recours, était envisageable dès l’origine, mais cette possibilité a été écartée, au moins dans les premières années d’utilisation de cet outil »²⁶Rapport d’information de l’Assemblée Nationale sur l’évaluation des politiques publiques en faveur de l’accès aux droits sociaux, 2016. Disponible ici. Il aura fallu attendre 2017 pour que la CAF commence à mener des expérimentations, et il semblerait qu’aujourd’hui le profilage contre le non-recours est limité à la prime d’activité et l’allocation de soutien familial²⁷Voir le tome 1 du rapport « Garantir un numérique inclusif : les réponses apportées par les opérateurs de la protection sociale » de l’ Inspection Générale des Affaires Sociales écrit en 2019 et disponible ici. Voir aussi le rapport de la DREES « Le non-recours aux prestations sociales » écrit en 2020 et disponibstyle= »pointer-events: none; » le ici et l’émission de Radio France ici ou ici pour l’article correspondant..

Le sociologue Vincent Dubois ajoute que cette situation « interroge sur la réalité des slogans institutionnels “tous les droits rien que les droits” qui en fait est beaucoup plus tournée vers l’identification des indus, frauduleux ou non, que vers les cas de non-recours qui sont en fait beaucoup plus nombreux »²⁸Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours..

En tout état de cause, l’histoire politique de l’utilisation par la CAF des techniques de profilage à des fins de lutte contre le non-recours ne semble pas très glorieuse.

Ce dernier point interroge aussi sur le fantasme entretenu autour de l’automatisation de l’état social pour répondre aux problèmes sociaux. A l’heure où le gouvernement lance l’expérimentation d’un « RSA sous conditions », la mise en avant de solutions techniques pour lutter contre le non-recours dépolitise la question de l’accès aux droits. Tout en taisant les problèmes que génèrent, pour des millions de personnes, la dématérialisation des services publics.

Enfin, la CAF a annoncé en grande pompe la nomination d’une médiatrice nationale chargée, entre autres, des questions de données personnelles à la CNAF²⁹Voir le communiqué de nomination de la médiatrice nationale de la CNAF ici. en juin 2022. Parmi ses missions: «la protection des données et de la sécurité des usagers dans le cadre des systèmes d’information.» Et le communiqué accompagnant sa nomination ajoute qu’elle «sera également la référente nationale déontologie». Nous serions plus que ravi·es d’entendre son avis sur l’algorithme de notation de la CAF.

Lutter au-delà de la transparence

La transparence que nous exigeons auprès de la CAF ne doit pas masquer le fond du problème. En un sens, ce que nous savons déjà de l’algorithme de cette institution, sans même avoir eu accès à son code, nous suffit à nous y opposer.

La transparence n’est donc pas une fin en soi : c’est un moyen que nous souhaitons mobiliser pour mettre en lumière, et critiquer, un discours politique cherchant à légitimer la volonté de contrôle d’un appareil étatique via l’entretien d’un discours de suspicion généralisée et la stigmatisation de certaines catégories de la population.

Volonté de contrôle qui, hélas, profite aujourd’hui de la puissance des outils numériques et de l’exploitation de nos données personnelles afin de toujours plus nous évaluer et, ainsi, nous trier.

A l’heure où un nombre toujours plus grand d’institutions, sociales et policières, mettent en place de telles solutions de surveillance algorithmique, nous continuerons de les documenter et de faire ce que nous pouvons, à notre niveau, pour les contrer.

Au côté des collectifs Stop Contrôles, Changer de Cap et de toutes les associations et collectifs de lutte contre la précarité qui font face, depuis des années, aux dérives du tout numérique et au développement sans limite des politiques de contrôle social, nous espérons que vous serez nombreux.ses à nous rejoindre.

Enfin, nous ne doutons pas que ce sentiment d’injustice est partagé par la plupart des employé·es de la CAF. C’est pourquoi nous tenons à encourager celles et ceux qui, révolté·es par ces pratiques, pourraient nous aider à les documenter. Vous pouvez nous contacter par mail, téléphone, en venant nous rendre visite ou déposer de manière anonyme des documents sur notre SecureDrop. A l’heure où les responsables de la CAF font le choix de l’opacité, nous avons plus que jamais besoin de vous.

References[+]

References

↑1	Voir notre demande CADA ici
↑2, ↑3, ↑4, ↑13, ↑15	Voir la réponse de la CAF ici et le code source caviardé ici.
↑5, ↑17, ↑28	Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours.
↑6	Voir notre article présentant l’algorithme de notation des allocataires de la CAF disponible ici.
↑7	Un algorithme similaire a fait l’object d’un scandale retentissant aux Pays-Bas. Discrimantn. Sur ce sujet, voir notamment le rapport “Xenophobic machines: Discrimination through unregulated use of algorithms in the Dutch childcare benefits scandal” publié en 2021 par Amnesty International et disponible ici.
↑8	Voir l’article R-311-3-1-2 du CRPA disponible ici.
↑9	En tout état de cause, le fait de ne pas avoir été contrôlé est aussi une décision administrative. Le CRPA donne donc des droits étendus à toute personne ayant été notée, qu’elle ait été contrôlée, ou non.
↑10	Le communiqué de la CNAF daté du 27 janvier 2022 et intitulé « Aide à la détermination des dossiers allocataires nécessitant une vérification à l’aide d’un procédé de datamining » est disponible ici. La délibération de la CNIL du 24 mars 2010 est disponible ici. Il est à noter que l’algorithme a à priori grandement évolué depuis la délibération de la CNIL datant de plus de 12 ans. Comme nous l’expliquions ici, la délibération de la CNIl fait notamment référence à un modèle de lutte contre la fraude, alors que l’algorithme est aujourd’hui entraîné pour détecter les erreurs.
↑11	Voir le (faux) Vrai/Faux dans ce document.
↑12, ↑14, ↑20, ↑25	Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours.
↑16	Le document, publié sur le site de la CAF, est disponible ici.
↑18	Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi le rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil, disponible ici.
↑19	Voir par exemple l’annexe d’intéressement 2021 (ici) de la CAF spécifiant un objectif de fraudes détectées et un objectif de taux de recouvrement des indus non frauduleux. La tenue de ces objectifs impacte directement la prime d’intéressement des employé.e.s de la CAF.
↑21	Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici. Voir aussi l’émission de Radio France « Secrets d’info » revenant sur ces questions et disponible ici et l’article l’accompagant ici.
↑22, ↑23	Voir notamment ici, ici et ici.
↑24	Voir notamment ce tweet.
↑26	Rapport d’information de l’Assemblée Nationale sur l’évaluation des politiques publiques en faveur de l’accès aux droits sociaux, 2016. Disponible ici
↑27	Voir le tome 1 du rapport « Garantir un numérique inclusif : les réponses apportées par les opérateurs de la protection sociale » de l’ Inspection Générale des Affaires Sociales écrit en 2019 et disponible ici. Voir aussi le rapport de la DREES « Le non-recours aux prestations sociales » écrit en 2020 et disponibstyle= »pointer-events: none; » le ici et l’émission de Radio France ici ou ici pour l’article correspondant.
↑29	Voir le communiqué de nomination de la médiatrice nationale de la CNAF ici.

]]> https://www.laquadrature.net/?p=19546http://isyteck.com/autoblog/quadrature/index.php5?20221216_134655_Surveillance_algorithmique_des_examens____TestWe_ne_passera_pas_l___hiverFri, 16 Dec 2022 12:46:55 +0000Il y a deux semaines, nous relayions le recours d’étudiant·es contre l’usage par l’institut d’études à distance de l’Université Paris 8 du logiciel de surveillance algorithmique des examens « TestWe », recours au soutien duquel La Quadrature est intervenue. Hier, dans une ordonnance particulièrement intéressante, le tribunal administratif de Montreuil a suspendu l’usage de ce logiciel.

La société TestWe, qui édite le logiciel du même nom, se vante de développer un outil qui permet de surveiller automatiquement tout·e candidat·e passant une épreuve à distance. Pour résumer, cette surveillance automatisée consiste à analyser algorithmiquement les candidat·es en train de passer une épreuve écrite en dehors des locaux de l’université : l’identité est vérifiée automatiquement au début et pendant l’épreuve, le regard est analysé en permanence, l’environnement immédiat est constamment scruté par analyse vidéo et sonore (voir notre analyse complète du logiciel). Il s’agit donc là d’un traitement de données personnelles, dont un certain nombre de données sensibles.

La procédure introduite par les étudiant·es et dans laquelle La Quadrature est intervenue consistait à demander, en référé (c’est-à-dire en procédure d’urgence), au tribunal administratif de suspendre l’utilisation du logiciel TestWe par l’institut d’études à distance de l’Université Paris 8.

Pour obtenir cette suspension, il fallait faire naître dans l’esprit du juge administratif un « doute sérieux ». C’est-à-dire démontrer qu’il est assez probable que ce logiciel soit illégal, en tout cas suffisamment pour qu’un examen bref de la situation (vu qu’il s’agit d’une procédure très rapide) permette de déceler une atteinte flagrante aux libertés ¹Ce même « doute sérieux » nous permettait, en 2020, d’obtenir la suspension de l’usage de drones par la préfecture de police de Paris.. C’est exactement ce qu’a constaté hier le tribunal administratif de Montreuil : TestWe est un logiciel qui est assez probablement disproportionné et ce doute justifie que son utilisation soit suspendue.

Quels étaient nos arguments juridiques ? Qu’un traitement de données comme TestWe doit respecter un certain nombre de conditions pour être légal. Parmi ces exigences, il y notamment celle que soit prouvées l’existence d’une base légale (c’est-à-dire que le traitement de données doit être autorisé par la loi), d’une finalité (c’est-à-dire l’objectif pour lequel le traitement est mis en œuvre) et d’une proportionnalité (c’est-à-dire que seules les données nécessaires à l’objectif doivent être traitées, ce qui est parfois appelé « principe de minimisation des données »). Dans nos écritures en soutien aux étudiant·es (une requête en intervention, une note en délibéré puis un mémoire en réplique à l’analyse d’impact hallucinante produite par l’Université), nous avons détaillé en quoi le logiciel TestWe ne reposait sur aucune base légale parmi celle prévue par le RGPD et était disproportionné par rapport à la finalité affichée, c’est-à-dire celle de la surveillance d’un examen à distance.

C’est ce deuxième point, la disproportion, qui a retenu l’attention du tribunal administratif. Il a estimé que le « doute sérieux » permettant d’ordonner la suspension de l’usage de TestWe réside dans le fait qu’il est probable que ce logiciel ne respecte pas l’exigence de minimisation des données du RGPD. Et c’est plutôt une bonne nouvelle que le juge soit sensible à cet argument : cela signifie que le périmètre des informations et données sur les étudiant·es que TestWe collecte est bien trop large et démesuré pour l’objectif poursuivi. En somme, ce n’est pas parce que les données existent ou sont disponibles qu’il est légal de les utiliser pour toute finalité. 

Une ordonnance aux différentes conséquences positives

Tout d’abord, réjouissons-nous que la surveillance algorithmique soit écartée de l’Université : en émettant des doutes quant à la légalité de ce genre de dispositif, le tribunal administratif de Montreuil a envoyé un avertissement à toutes les autres universités et écoles.

Également, au-delà de cette affaire, cette ordonnance ouvre surtout une brèche quant à la reconnaissance de la disproportion des dispositifs de surveillance algorithmique. En mai 2020, lorsque nous faisions interdire les drones du préfet Lallement, le Conseil d’État nous donnait raison parce qu’il constatait l’absence de base légale, c’est-à-dire l’absence d’autorisation par la loi. En décembre 2020, lorsque nous obtenions une nouvelle victoire, le Conseil d’État relevait à nouveau l’absence de base légale (il ajoutait aussi quelques considérations dénonçant le principe même de ce genre de dispositif, ce qui nous avait conduit à parler de « victoire totale »). Mais le problème des victoires obtenues grâce à un défaut de base légale est qu’elles ne durent jamais très longtemps : la loi se change et c’est ce que s’est empressé de faire le gouvernement avec la loi Sécurité globale (partiellement censurée par le Conseil constitutionnel) puis la loi de Sécurité intérieure (cette fois-ci validée par le Conseil constitutionnel).

Concernant TestWe, le tribunal administratif de Montreuil estime que le doute quant à la légalité du dispositif vient de sa probable absence de proportionnalité. C’est-à-dire qu’il reconnaît que surveiller les corps et les sons en permanence n’est pas justifié pour des examens à distance.

Or, depuis 2020, nous nous battons contre la vidéosurveillance algorithmique, qu’elle soit dans des grandes villes comme Marseille ou dans de petits bourgs comme à Moirans (en Isère). Nous nous battons également contre la surveillance sonore, face à la ville d’Orléans qui souhaite être pionnière dans ce domaine. Si ce genre de dispositif n’est actuellement pas autorisé par la loi, cette base légale manquante pourrait bien arriver, en tout cas pour la vidéosurveillance algorithmique, par la loi sur les JO 2024 qui se prépare à légaliser ces pratiques de surveillance de masse de l’espace public. Et c’est là tout l’apport de l’ordonnance sur TestWe : la proportionnalité de ce genre de surveillance algorithmique permanente est désormais sérieusement questionnée.

La victoire des étudiant·es devant le tribunal administratif de Montreuil nous permettra également de mieux nous opposer au souhait de la CNIL de rendre ces dispositifs de surveillance des examens légaux. Contrairement à ce que le juge a conclu, la CNIL souhaiterait consacrer un principe de proportionnalité de certaines surveillances vidéos et audio, et encourager l’usage d’algorithmes de détection de comportements.

Une lutte qui continue

Cette victoire en référé ne met pas un terme à la lutte. Le juge n’a pas dit que TestWe est illégal, simplement qu’il y a un doute sérieux quant à sa légalité. Nous poursuivons donc le combat aux côtés des étudiant·es de Paris 8 dans la procédure au fond (c’est à dire la procédure normale, longue et sans condition d’urgence) pour transformer l’essai et faire reconnaître définitivement par le tribunal administratif de Montreuil l’illégalité de TestWe. Cette décision au fond n’arrivera toutefois pas avant de longs mois.

Sur son site internet, l’entreprise TestWe se vante d’avoir pour clientes des institutions comme le CNED, l’ESSEC, le concours SESAME ou encore Grenoble École de Management. Nous appelons donc les étudiant·es de ces établissements, ainsi que ceux dont l’université ou l’école utiliserait un logiciel similaire à TestWe, mais également les professeur·es et enseignant·es, à poursuivre la lutte initiée par la mobilisation à Paris 8 : faites du bruit dans vos facs, réutilisez les arguments juridiques, créez le rapport de force. La victoire d’aujourd’hui n’attend que de se propager pour, in fine, bouter la Technopolice et toutes les idées qu’elle charrie hors des facs.

References[+]

References

↑1	Ce même « doute sérieux » nous permettait, en 2020, d’obtenir la suspension de l’usage de drones par la préfecture de police de Paris.

]]> https://www.laquadrature.net/?p=19356http://isyteck.com/autoblog/quadrature/index.php5?20221202_183929_Mobilisation_etudiante_contre_TestWe__l___entreprise_qui_veut_technopoliser_l___UniversiteFri, 02 Dec 2022 17:39:29 +0000 [MAJ du 15 décembre] Avec les étudiant·es et leur avocat, nous avons remporté ce contentieux ! On vous en dit plus longuement sous peu.

La Quadrature appelle à soutenir la lutte d’un collectif d’étudiant·es de l’Université Paris 8 contre TestWe, la start-up qui veut technopoliser l’Université. Cette télésurveillance d’examens à distance est déshumanisante, discriminatoire et intrusive, en plus d’être très clairement illégale. À l’appel de ces étudiant⋅es, nous vous donnons rendez-vous le 6 décembre à 14h pour montrer devant le tribunal administratif de Montreuil une opposition massive. La Quadrature est intervenue devant le tribunal administratif pour soutenir cette lutte (lire notre intervention ici).

Si vous êtes aussi victime de telles technologies de surveillance par votre établissement d’enseignement, n’hésitez pas à nous envoyer un mail à contact@technopolice.fr pour nous faire part de votre témoignage.

Il y a deux ans, lors du premier confinement, nous alertions déjà sur la gestion autoritaire des examens à distance par les établissements d’enseignement supérieur.

TestWe, un système discriminatoire, intrusif et déshumanisant

Il est question ici de télésurveillance, c’est-à-dire que les élèves passent leur examens à distance, au même moment, et sous surveillance numérique et automatisée de l’établissement. L’une des entreprises les plus en vue dans ce domaine est TestWe, une start-up française qui étend les outils de surveillance algorithmique déjà déployés dans de nombreuses villes en France à la surveillance des examens.

Initialement, leur logiciel consistait à dématérialiser les épreuves : celles-ci se passaient dans un amphi mais les étudiant·es composaient sur leur ordinateur, fini l’examen papier. Depuis 2019, l’entreprise est passée de la dématérialisation à la surveillance à distance des étudiant.es

TestWe offre une multitude d’outils pour perfectionner cette surveillance : un système de reconnaissance faciale, c’est à dire de photographie de l’étudiant avec sa carte d’identité ou étudiant·e ou d’identité par webcam « pour vérifier que la bonne personne est en face de l’écran ». En complément, une surveillance à 360° de l’environnement de l’élève. Son PDG, Benoît Sillard, se vante ainsi de mettre « en place actuellement un système à double caméras, celle de l’ordinateur qui filme par l’avant, et celle de votre smartphone qui filme l’ensemble de la pièce, pour vérifier qu’il n’y a pas un deuxième ordinateur ou quelqu’un en train de vous souffler ». Les élèves utilisant TestWe se voient par ailleurs obligé·es de céder les droits administrateurs de leur ordinateur au logiciel, de désactiver leur pare-feu, antivirus, VPN. Évidemment, cela nécessite d’être équipé·e avec un ordinateur personnel récent, d’avoir une bonne connexion Internet mais l’exigence va au-delà : disposer d’une pièce (« pas trop éclairée ni trop sombre ») sans bruit et sans autre personne présente, pas même un enfant en bas âge ou un animal de compagnie, par exemple.

Après l’identification, TestWe veut vérifier que les étudiant·es ne puissent pas tricher. Dans sa version classique, les élèves sont photographiés toutes les trois secondes, les images analysées et tout comportement suspect fait l’objet d’un signalement à la plateforme. Avec la version avancée « ProctorWe », les candidat⋅e⋅s doivent aussi filmer la pièce, parfois avec une seconde caméra (et donc être équipé·es d’un smartphone en état de fonctionnement).

Iels ont aussi l’obligation de filmer leur cou ainsi que leurs oreilles, afin de vérifier l’absence d’oreillettes. Cette chasse à la triche n’a pas de limite. Les personnes avec les cheveux longs se voient demander de « dégager leurs oreilles », les personnes qui portent un voile se verraient accuser de fraude, et on ne sait pas ce qu’il est prévu pour les personnes malentendantes… Après identification, l’étudiant⋅e doit respecter une liste aberrante d’interdictions, définissant les comportements suspects et les d’objets qui ne doivent pas être présents dans la pièce.


Et la liste continue : obligation de fixer l’écran, interdiction de manger, d’aller aux toilettes, interdiction de tout bruit « suspect », non prise en compte des handicaps (qui n’ont pas été systématiquement signalés en vue d’un aménagement des conditions d’examen, puisque les étudiants pensaient déjà connaître les modalités auxquelles iels sont déjà habituées)…

C’est donc un véritable matraquage d’interdits bafouant la dignité auxquels devraient faire face les étudiant·es, qui déroge aux conditions d’examen en présentiel (il est quand même toujours possible d’avoir les cheveux détachés, de manger, d’aller aux toilettes, de porter un col roulé lors d’un examen en salle), en plus d’acter une rupture d’égalité entre les élèves (tout le monde ne peut pas posséder le matériel informatique dernier cri, occuper une pièce pendant plusieurs heures sans interruptions possibles). Et à tout cela, s’ajoute évidemment la violation de la vie privée des étudiants et des étudiantes, qu’il s’agisse de leur lieu de vie ou de leur matériel informatique.

Des dispositifs très clairement illégaux

Cette surveillance, constante, intrusive, mêlée de biométrie, et attentatoire aux déplacements ainsi qu’à la vie privée des élèves ne peut en aucun cas remplir les critères de proportionnalité exigés dans le règlement général sur la protection des données ou son application française, la loi Informatique et Libertés.

C’était d’ailleurs en partie le message de la CNIL qui, en pleine période Covid, avait notamment réagi à l’utilisation de TestWe en publiant un premier communiqué rappelant les règles à respecter en matière de vie privée et de surveillance d’examens à distance. Comme souvent, la CNIL semble s’être pour l’instant limitée à une communication sur le sujet et n’a pas, à notre connaissance, sanctionné les entreprises qui continuent à surveiller.
Cependant, dans ce document de 2020, la CNIL semblait condamner l’utilisation de TestWe en soulignant notamment que « n’apparaissent a priori pas proportionnés au regard de la finalité poursuivie :

• les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) ;
• les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam). »

Or, si un système n’est pas proportionné, il devient purement illégal, et c’est clairement le cas ici.
Cependant, la CNIL semble aujourd’hui assouplir sa position. Elle vient ainsi, au moment de la publication de cet article, de publier un projet de recommandation sujet à consultation. Ce projet de recommandation promeut une interprétation très permissive du droit à la vie privée en donnant aux entreprises, et particulièrement à TestWe, le bon chemin pour mettre en place son système de surveillance hyper-intrusif (quelle base légale utiliser, comment justifier la reconnaissance faciale…).
Elle va jusqu’à déclarer quels traitements seraient, a priori et de facto, proportionnés.

Malgré l’illégalité de ces pratiques, TestWe continue pourtant, comme une grande partie des entreprises de la surveillance, à se faire de l’argent sur le dos des étudiant·es et de l’Université en contradiction frontale avec les plus élémentaires dispositions du droit à la vie privée et aux données personnelles.

TestWe, profiteur de crise sanitaire

Autre constat, surveiller les étudiant⋅es cela rapporte, et beaucoup. Si l’on s’en tient au chiffre d’affaires déclaré, TestWe aura plus que triplé son chiffre d’affaires entre 2019 et 2020, année du premier confinement, passant de 285.000 euros en 2019 à plus de 928.000 euros en 2020.

Non seulement cela rapporte en terme de chiffre d’affaires, mais cela aide aussi en terme d’investissement. TestWe ne s’est bien évidemment pas lancée toute seule. En juillet 2017, c’est la Banque Publique d’Investissement qui, avec d’autres acteurs financiers, a décidé d’investir dans la start-up en leur donnant 1,3 million d’euros pour lancer leur business sécuritaire. L’accroche ? Le gain de coût à organiser des examens en ligne, avec des robots, et non en salle avec des humain·es : « Avec la digitalisation, on peut diviser par 5 le nombre de personnes affectées à cette tâche ».

Et le succès ne faiblit malheureusement pas : si on en croit la page Linkedin de l’entreprise, ce sont plusieurs dizaines d »universités et d’écoles en majorité privées qui se mettent à utiliser ce système de surveillance biométrique.

Après quelques recherches cependant, il semblerait qu’une bonne partie des établissements du supérieur présents sur le site internet de TestWe n’utilise pas la télésurveillance de l’entreprise mais ont été des clients de la dématérialisation des examens. Seule trace, c’est l’UCLouvain, qui aurait fait l’expérience de la télésurveillance de TestWe lors d’un examen blanc et qui ne l’a pas retenu, évoquant même un « fiasco ».

De la surveillance au greenwashing

Le greenwashing est à la mode et les entreprises de la Technopolice prennent le train en marche ! En plus d’être discriminatoire, intrusif et déshumanisant, le contrôle imposé par TestWe rendrait « obsolète l’examen en salle dans la majorité des cas […] Les candidats sont de plus en plus réticents au stress et sensibles aux problèmes de transport et d’écologie. ». Mais derrière ce discours, les arguments ne tiennent pas : les questions écologiques seraient incompatibles avec le respect des droits fondamentaux et de la dignité humaine. Il est tout de même aberrant de justifier la surveillance par un argument pseudo-vert, quand on sait les coûts incommensurables que représente le numérique dans la pollution des terres à l’autre bout du monde pour produire les objets technologiques, la quantité d’électricité requise dont la part consacrée au numérique est sans cesse en augmentation et, on imagine, tout ce qu’il est nécessaire pour rendre possible des solutions comme TestWe, les quantités de données, d’heures de vidéos conservées afin de surveiller en direct toutes les étudiant·e⋅s.

La lutte des étudiant⋅es contre l’enseignement technopolisé

C’est désormais à l’Institut d’études à distance de Paris 8 d’imposer ces logiciels invasifs, discriminatoires et illégaux et ce, sans aucun dialogue ni possibilité d’opposition de la part des personnes concernées. En effet, fin octobre, la direction de Paris 8 a annoncé aux étudiant·es à distance qu’iels devraient passer leurs examens de janvier sur TestWe sans donner aucune précision sur les modalités de mise en place de cette plateforme. En réaction, un collectif d’étudiant·es s’est rassemblé, a effectué un important travail de documentation du logiciel, de communication auprès des étudiant.e.s et a même lancé une action en justice. Ainsi, après avoir contacté la CNIL, saisi le Défenseur des droits, signé collectivement une lettre d’inquiétude à la direction, le collectif s’est cotisé pour faire appel à un avocat et a décidé de médiatiser l’affaire. Le Tribunal administratif de Montreuil a été saisi en référé pour faire suspendre les décisions de l’IED et enjoindre l’Université à revenir aux conditions initiales d’examen. Une requête au fond a également été déposée pour obtenir une décision plus pérenne.

La Quadrature a déposé une intervention volontaire dans ces recours et nous leur témoignons tout notre soutien ! Vous trouverez nos écritures là.

Nous relayons des extraits de leur communiqué, expliquant la démarche des étudiants et étudiantes de l’IED. Vous pouvez en trouver la version complète ici.

La menace n’est même pas masquée : si TestWe n’est pas retenu, les examens se feront en présentiel et basculeront d’un système semestriel à un système annuel, privant par là-même les L3 de Droit et de Psychologie de candidature en Master. Ils perdraient donc une année. L’objectif de cette communication était bien évidemment de diviser les étudiants contre ceux qui ont exercé leurs droits, tout en évitant à la direction de remettre en question son fonctionnement illégal et liberticide.
L’objectif de l’action juridique est donc de suspendre les décisions illégales de l’IED et de leur faire injonction de revenir à ce qui était prévu en début d’année, à savoir : la passation des examens 2022-2023 à distance et sur la plateforme Moodle.
Il va également de soi que ces nouvelles conditions matérielles de passation des examens représentent une rupture d’égalité de traitement entre les étudiants, tout le monde ne pouvant pas se procurer le matériel à la dernière minute, ni contrôler la stabilité du réseau internet dont il dispose.
Les modalités d’usage imposées par TestWe constituent une véritable atteinte à la vie privée puisque les étudiants vont devoir se plier à une quarantaine d’interdits ou d’obligations liberticides à implémenter chez eux. Elles représentent également une atteinte à la protection des données, sachant que chacun devra désactiver tout pare-feu et anti-virus, laissant ainsi ses données exposées pendant que TestWe exploite les droits administrateurs. Enfin, elles ne ne se font pas dans le cadre d’un consentement libre : les CGU restent inaccessibles tant que le logiciel n’est pas installé. Les droits fondamentaux des individus sont également en jeu. Les personnes de confessions juives ou musulmanes sont impactées par l’obligation de garder tête, oreilles et cou découverts. Par ailleurs, le fait d’être pris en photo toutes les trois secondes porte directement atteinte au droit de l’image. Enfin, plusieurs interdictions totalement disproportionnées (comme, par exemple, manger, aller aux toilettes ou détourner les yeux de l’ordinateur) ne respectent pas la dignité humaine.
Certains étudiants se retrouvent dans des conditions particulièrement difficiles. Nous sommes notamment sensibles aux difficultés des étudiants en situation de handicap, ainsi qu’à tous les étudiants, largement majoritaires, pour qui l’IED représente leur unique chance de faire ces études.


Ces tentatives de nous imposer une télésurveillance liberticide, non respectueuse de la vie privée, de la protection des données personnelles et des contrats pédagogiques que nous avons signés, sont le reflet de l’absence de considération de l’IED envers ses étudiants. Nous ne nous laisserons pas faire.

]]> https://www.laquadrature.net/?p=19301http://isyteck.com/autoblog/quadrature/index.php5?20221129_134521_Paris_2024____les_olympiades_securitaires_du_gouvernementTue, 29 Nov 2022 12:45:21 +0000À moins de deux ans des Jeux Olympiques et Paralympiques de Paris, et à un an de la Coupe du Monde de masculine de rugby présentée comme une sorte de « répétition générale » d’un grand événement sportif en France, où en sommes-nous des projets sécuritaires des décideurs publics ?

Les Jeux Olympiques de 2024 sont un accélérateur de surveillance, un prétexte pour déployer une vitrine sécuritaire des industriels français, qui contribue à renforcer les prérogatives et le nombre des agents de sécurité. Le sécuritarisme qui entoure les JO ne sera pas circonscrit à ces derniers, « l’Héritage » de sécurité des JO est déjà prévu par le Comité d’Organisation des Jeux Olympiques (COJO). Objectif : faire perdurer les investissement déployés pour les JO et la Technopolice qui vient avec. C’est ce qu’on nomme « l’effet cliquet » c’est-à-dire qu’un événement particulier justifie des mesures exceptionnelles qui, ensuite, ne seront plus remises en cause et sans retour en arrière possible.
Après avoir fait un premier état des lieux de cette frénésie sécuritaire, les nombreuses et récentes annonces concernant les Jeux Olympique imposaient une mise à jour des velléités du gouvernement.

Les Jeux olympiques, le prétexte pour légaliser la vidéosurveillance algorithmique

Les grands événements sportifs sont depuis toujours des accélérateurs de surveillance et les Jeux Olympiques de Paris ne sont pas en reste. Quelle meilleure occasion pour tenter de faire rentrer dans la loi des dispositifs aujourd’hui illégaux ? Après avoir envisagé de légaliser la reconnaissance faciale pour l’occasion, c’est la vidéosurveillance algorithmique (VSA) qui semble avoir été choisie par les organisateurs.

Ainsi, comme l’a annoncé le ministre Darmanin lors d’une audition au Sénat, au début de l’année 2023 une « loi sur les Jeux Olympiques » sortira des cartons. L’objectif sera de légaliser la vidéosurveillance algorithmique, c’est-à-dire la détection par logiciel d’événements et de comportements dits « suspects ». Une occasion pour les entreprises françaises de montrer leur savoir-faire en matière de répression, et pour le gouvernement de déployer une technologie encore illégale, mais dont les offres commerciales sont déjà très présentes. En même temps, une mission d’information de l’Assemblée Nationale auditionne des acteurs (entreprises privée comme Datakalab et organismes publics comme la CNIL, ou la Préfecture de police de Paris) sur « les enjeux de l’utilisation d’images de sécurité dans le domaine public dans une finalité de lutte contre l’insécurité ». On sent bien qu’il y a dans l’air une volonté d’accélérer et de de donner une assise légale à l’installation de ces technologies.

Or la VSA est tout aussi dangereuse que la reconnaissance faciale, toutes deux recourant à de l’analyse biométrique, c’est-à-dire à la détection de corps pour repérer ou identifier une personne, comme nous le développions ici ou comme le reconnaît le Défenseur des Droits. La légalisation de la VSA et donc les JO seront surtout l’occasion de déployer toujours plus de caméras de vidéosurveillance. Ainsi aux 4171 caméras de vidéosurveillance déjà déployées par la ville de Paris, l’Intérieur compte en rajouter pas moins de 1000, ainsi que 500 à Saint Denis et 330 à Marseille (où se dérouleront les épreuves nautiques). En tout, ce sont pas moins de 15 000 caméras supplémentaires qui vont être déployées pour les JO et la Coupe du Monde de Rugby, pour 44 millions d’euros via les « plans Zéro Délinquance ». La vidéosurveillance algorithmique et les Jeux sont une nouvelle occasion pour étendre le parc de surveillance de l’espace public.

Les Jeux sont aussi une étape pour travailler l’acceptation par la population de telles technologies. Ainsi, l’état d’exception créé par les Jeux olympiques permet de faire passer des lois sécuritaires qui resteront par la suite, comme l’explique Jules Boykoff. Depuis le début de la campagne Technopolice, des entreprises et villes de France expérimentent illégalement la VSA. L’opportunité que représentent les JO 2024 permet de passer à l’étape suivant : légaliser ces technologies, d’abord pour un grand événement exceptionnel, ensuite pour les généraliser. C’est tout ce travail d’acceptabilité, de réception sociale par la population de ces technologies qui se joue avec les Jeux Olympiques

Les autres projets du ministère de l’intérieur : de la répression pour les habitant·es d’île-de-France

Un centre de renseignement olympique, prévu par la loi olympique de 2018, a été créé courant 2022, regroupant les services de renseignements. Son objectif : « En collaboration avec la police judiciaire, les agences de renseignement vont aussi maintenir la surveillance de tout individu suspect et de groupes qui pourraient représenter une menace pour la sécurité nationale et le bon déroulement des Jeux. » est-il écrit dans le dossier de candidature de la ville.

La menace terroriste est abondamment évoquée pour justifier le déploiement de tout cet arsenal sécuritaire. Darmanin parle des « terroristes islamistes, de l’ultra-droite et de l’ultra-gauche ». Et affirme que les renseignement feront un «  effort » en amont pour « maîtriser » ces personnes au moment des JO. Ce n’est pas sans rappeler la COP21 en 2015, où nombre de militants et militantes écolos s’étaient vus perquisitionnés, arrêtés pour certains et assignés à résidence peu avant le début de l’événement. A cette époque, le gouvernement avait profité de l’État d’Urgence pour mettre en place ces mesures répressives, depuis elles sont rentrées dans le droit commun.

Le ministre de l’Intérieur a par ailleurs annoncé lors de son audition au Sénat qu’il allait bientôt débuter un « plan zéro délinquance  » dont 3500 des 5500 opérations policières prévues se dérouleront en Île-de-France afin de « harceler et nettoyer la délinquance » dixit Darmanin. Comme c’est le cas lors de grands événements, l’État français en profite pour justifier un harcèlement des populations qui ont le malheur de vivre là où vont se dérouler les jeux…

L’enjeu de la sécurité privée pour les Jeux : polices partout

Dans cet article, le journaliste Thomas Jusquiame revient sur la naissance de la sécurité privée au XIXème siècle en France, où la police embauchait des mouchards, sorte d’auxiliaires de police chargés de les renseigner sur les agissements des malfrats parisiens. Et retrace l’institutionnalisation de cette sécurité privée jusqu’à aujourd’hui, où le Livre Blanc de la sécurité intérieure leur offre une consécration à travers le fameux concept de « continuum de la sécurité privée ». « Moralisée, intégrée, contrôlée, protégée, alimentée, organisée, la sécurité privée n’a jamais paru autant en harmonie avec les forces de répression régaliennes. » (ibid)

En ce qui concerne les JO, la peur d’un scénario similaire à celui du Royaume-Uni en 2012 plane. L’entreprise de sécurité privée mandatée par l’État les avait lâchés trois semaines avant le début des Jeux par manque d’agents et le gouvernement britannique avait dû recourir à l’armée. En France, à deux ans des JO et un an de la Coupe du monde de Rugby, les 25 000 à 30 000 agents de sécurité privée demandés par le COJO manquent toujours à l’appel.

La sécurité privée constitue donc un des grands enjeux de l’organisation de ces Jeux Olympiques. Se pose tout d’abord le problème du recrutement : le CNAPS (Conseil national des activités privées de sécurité) tente de rendre ce métier attractif, à travers des formations payées par l’État, des appels personnalisés de tous les chômeurs et chômeuses d’île-de-France pour les convaincre d’entreprendre une formation, un ciblage des étudiants et étudiantes (ils semblent être en demande de personnel « féminin » pour réaliser les fouilles). La peur d’un manque d’agents se fait sentir.

Parce qu’aux difficultés de recrutement s’ajoute celle de la « menace intérieure », c’est-à-dire de personnes qui souhaiteraient intégrer les forces de sécurité pour nuire. A ce titre le SNEAS (Service national des enquêtes administratives de sécurité) prévoit de réaliser pas moins d’un million d’enquêtes administrative en vue des JO, dont la grande majorité concerneront le recrutement d’agents de sécurité privé. Car le COJO a d’ores et déjà annoncé en septembre 2022 avoir refusé entre 100 et 200 personnes fichées S. Une bonne manière de se rendre compte du fichage massif de la population. Darmanin propose même que dans ce projet de loi olympique soit inscrit le fait que les agents de sécurité privée puissent être dotés de caméras piétons.

Les Jeux olympiques confirment la tendance à l’intégration de la sécurité privée en tant que force de police institutionnalisée et bras armé de l’État. L’augmentation de ses effectifs et de ses prérogatives en vue des jeux olympiques s’incarne dans la tendance du tout-sécuritaire de l’espace public.

Des expérimentations aux appels d’offre : le perfectionnement de la souveraineté technopolicière française

Afin d’être sûrs que les technologies employées pour les jeux olympiques de 2024 fonctionnent, les industriels réalisent des expérimentations lors de divers événements sportifs dont la Coupe du Monde de Rugby de 2023, qui sera une sorte de répétition générale. Certaines ont déjà eu lieu mais nombre d’entre elles devraient encore être testées avant la fin de l’année 2022. Elles ont été mises en œuvre par les entreprises ayant répondu aux Appels à Manifestation d’Intérêt (AMI) uivants : « Dans le cadre d’un programme d’expérimentation de technologies par les services de sécurité du ministère de l’Intérieur. Les solutions recherchées portent sur des moyens de commandement, la vidéo dite « intelligente », l’OSINT, la surveillance aéroportée ou encore la cybersécurité », le tout avec un budget de 21,5 millions d’euros, uniquement pour les tests. Au moins 80% de ces « solutions » seront françaises affirme fièrement le préfet Olivier de Mazières, délégué ministériel aux partenariats, aux stratégies et aux industries de sécurité (DPSIS) Déjà plus de 144 expérimentations ont été menées sur une cible finale de 180 expérimentations, et qu’elles ont mobilisé 131 sociétés identifiées comme françaises.
On pense à la reconnaissance faciale testée à Rolland Garros par Thalès, ou encore à la start-up Two-I qui avait voulu identifier les visages des personnes interdites de stade souhaitant rentrer au stade de Metz en 2020 et qui avait reçu un avertissement de la CNIL pour ce projet. Tout comme la coupe du monde au Qatar, le sport et ses supporters semblent être un terrain d’expérimentation privilégié de la technopolice. Coupe du monde où l’on retrouve des grands groupes français comme Thalès chargés de déployer des algorithmes de reconnaissance automatique de comportements anormaux…

Pour Paris 2024, des financements de la recherche, accordés aux expérimentations en amont puis aux tests grandeur nature lors des Jeux, permettent aux industriels de la technopolice de se perfectionner et de devenir plus compétitif au niveau international. Comme le montre Myrtille Picaud, les JO constituent une sorte de catalyseur pour structurer et renforcer la filière des industriels de la sécurité française. L’occasion est trop belle pour ces entreprises, que ce soit des multinationales comme Thalès ou des start-up comme Two-I ou XXII : le marché de la sécurité français leur est offert sur un plateau d’argent. Le champ est libre, du maintien de l’ordre et de la répression policière en France à la vente de ces armes technologiques à l’étranger.

Cette tendance au tout sécuritaire s’inscrit dans une augmentation sans vergogne de tous les budgets ayant trait à la sécurité, et aux technologies de surveillance. Tout comme le ministère de l’Intérieur voit son budget augmenter de pas moins de 15 milliards d’euros, l’inclinaison est similaire pour le budget sécurité des jeux olympiques. D’abord prévu à 182 millions d’euros, celui-ci est passé à 295 millions d’euros et risque de s’accroître encore. Pas de fin de l’abondance pour la surveillance et la répression !

Les JO 2024 apparaissent comme un accélérateur de surveillance et de tendances sécuritaires déjà présentes. Ils représentent une « occasion », un prétexte, comme bien d’autres méga-événements auparavant, afin de justifier le déploiement de mesures présentées comme exceptionnelles. Mais ces choix s’inscrivent en réalité dans une logique de long terme, destructrices de droits mais aussi de mode de vie, d’habitat, d’environnement, comme le démontre depuis plusieurs années maintenant le collectif Saccage 2024.
Ces derniers appellent à un rendez-vous le dimanche 11 décembre, devant le siège du COJO, la veille du conseil d’administration, pour « faire la fête » au Comité d’Organisation des JO et leur montrer notre désaccord autour d’un goûter. Plus d’info ici. Luttons contre les JO et le monde sécuritaire qu’ils amènent avec eux !

]]> https://www.laquadrature.net/?p=19183http://isyteck.com/autoblog/quadrature/index.php5?20221115_155525_La_Quadrature_lance_sa_campagne_de_soutien_pour_2023Tue, 15 Nov 2022 14:55:25 +0000Déjà novembre et la fin de l’année ! Les illuminations de Noël qui scintillent ! Les factures d’électricité qui crépitent ! Enfin la course aux cadeaux de dernière minute ! Le vin chaud en plein air, tandis qu’il fait vingt-cinq degrés dehors ! Bref, c’est la saison des fêtes et de la fin du monde, et comme les joies n’arrivent jamais seules, c’est aussi la saison des campagnes de dons.

Vous êtes déjà énormément sollicité·es, on le sait bien, parce qu’on est comme vous et qu’on donne déjà aux associations qu’on aime (n’oubliez pas Framasoft, Nos Oignons ou Wikipédia par exemple et parmi tant d’autres !). Alors, pourquoi consacrer un peu de temps et d’argent à soutenir La Quadrature du Net ?

Pourquoi des dons ?

La Quadrature a besoin d’argent pour fonctionner : l’association compte 7 salarié·es, elle a un local à Paris, elle doit payer des billets de train et imprimer des affiches, tout cela a un coût. Et nous avons deux boulets aux pieds : d’un côté nous refusons de toucher des subventions publiques, pour des raisons d’indépendance évidentes (notre travail nous amène à critiquer et même à attaquer en justice les pouvoirs publics, tandis que la loi Séparatisme implique pour les associations subventionnées une forme de soumission croissante à l’État) ; de l’autre côté, le ministère des Finances nous a refusé le rescrit fiscal qui vous permettrait de déduire vos dons de vos impôts.
Nous touchons quelques subventions de deux fondations philanthropiques, pour moins de 20 % de nos ressources annuelles. Mais tout le reste vient de vous (c’est expliqué en détail ici).
Chaque année, nous devons donc convaincre assez de donateurs et de donatrices pour vivre une année de plus.

Des dons pour quoi faire ?

Si vous ne connaissez pas l’association et ses missions, vous tombez bien : venez par là, on vous a préparé des vidéos pour expliquer en quelques minutes ce qu’on fait. Vous verrez comment la criminalisation du partage, au moment de la loi Hadopi, a donné naissance à l’association en 2008. Vous comprendrez très vite pourquoi la « neutralité du net » est essentielle pour la fiabilité et la créativité du réseau Internet, et vous prendrez rapidement la mesure des problèmes posés par l’exploitation marchande de nos données personnelles. Ensuite, on vous racontera comment le numérique met, de façon concertée, sa formidable puissance au service de la censure, de la surveillance, du renseignement, et du contrôle de la population. De ce point de vue, la répression des joyeux partageurs de 2008 était un avant-goût de ce qui se déploie aujourd’hui partout, depuis le traçage de nos activités sur le web jusqu’à la surveillance serrée de nos déplacements dans les villes.

Quoi de neuf en 2023 ?

En mars prochain, La Quadrature du Net aura 15 ans. C’est jeune, mais c’est déjà assez pour regarder l’histoire : plusieurs de nos membres ont écrit un livre pour raconter ces quinze années d’engagement et montrer l’évolution naturelle de l’association dans ses moyens et dans ses sujets. Le livre est présenté ici et vous pouvez le commander en ligne. La suite de l’histoire, il nous revient de l’écrire ensemble.

Alors, en 2023, on fait quoi ?

On continue bien sûr de lutter contre Hadopi (ce machin est coriace). On reste sur le qui-vive pour défendre le principe de la neutralité des réseaux partout où l’industrie cherche à le contourner. On continue les actions juridiques, politiques et pratiques contre l’exploitation commerciale des données personnelles par les grands groupes privés qui mettent le web en silos, orientent nos navigations et les transforment en visite guidée publicitaire. Et plus que jamais, on se mobilise contre la transformation des outils numériques en engins de surveillance totale.

C’est sans doute notre dossier le plus important aujourd’hui, rassemblé sous la bannière de notre campagne Technopolice : comme le montrent le livre blanc de la sécurité intérieure de 2020 et le rapport publié en 2022 en annexe de la LOPMI, le ministre de l’Intérieur et le gouvernement sont bien décidés à transformer la police et les autres forces de sécurité, publiques et privées, en « cyberflics » du futur : capteurs, caméras portées, écran intégré au casque, fichiers et flux de données consultés à distance, vidéosurveillance automatisée par des algorithmes, reconnaissance faciale, micros « intelligents » dans les rues, drones… L’arsenal de la surveillance numérique est délirant, mais il attire les investissements par millions, et même la Coupe du Monde de Rugby de 2023 et les Jeux Olympiques de 2024 à Paris sont envisagés comme des vitrines et des laboratoires d’expérimentation pour l’industrie de la surveillance technologique totale « à la française ».

Mais la surveillance numérique, aussi diffuse et généralisée que la souplesse de l’outil le permet, prend aujourd’hui bien d’autres formes que la seule surveillance policière. Nous sommes en particulier très attentifs, depuis plusieurs mois, à la question des algorithmes que l’État utilise pour prendre des décisions administratives. Après une première approche des algorithmes de contrôle de la CAF, nous travaillerons cette année sur les autres applications de ces outils, qui sont l’application de politiques publiques discriminatoires et arbitraires, jamais débattues en public, et dont la place prééminente dans les services publics doit être combattue.

Parce que le monde numérisé grandit chaque jour en étendue et en complexité, parce que les dispositifs de contrôle et de surveillance entrent chaque année plus loin dans l’intimité de nos vies, soutenez l’association qui défend « nos droits et nos libertés à l’ère du numérique » : faites un don à La Quadrature du Net !

Merci et datalove <3

]]> https://www.laquadrature.net/?p=19053http://isyteck.com/autoblog/quadrature/index.php5?20221028_104919_Examen_de_la_LOPMI____Refusons_les_policiers_programmesFri, 28 Oct 2022 08:49:19 +0000Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 28 octobre 2022.

La loi d’orientation et de programmation du ministère de l’Intérieur (la « LOPMI ») a été adoptée au Sénat et sera débattue à l’Assemblée nationale dans les prochaines semaines. Ce texte soulève de sérieuses inquiétudes pour les sujets touchant aux libertés fondamentales dans l’environnement numérique.

L’Observatoire des libertés et du numérique appelle les député·es à rejeter massivement ce texte.

1. Un rapport programmatique inquiétant promouvant une police cyborg

S’agissant d’une loi de programmation, est annexé au projet de texte un rapport sans valeur législative pour décrire les ambitions gouvernementales sur le long terme et même, selon Gérald Darmanin, fixer le cap du « réarmement du ministère de l’Intérieur ». Déjà, en soi, le recours à une sémantique tirée du registre militaire a de quoi inquiéter.  Véritable manifeste politique, ce rapport de 85 pages fait la promotion d’une vision fantasmée et effrayante du métier de policier, où l’agent-cyborg et la gadgétisation technologique sont présentés comme le moyen ultime de faire de la sécurité.

L’avenir serait donc à l’agent « augmenté » grâce à un « exosquelette » alliant tenue « intelligente » et équipements de surveillance. Nouvelles tablettes, nouvelles caméras piéton ou embarquées, promotion de l’exploitation des données par intelligence artificielle, sont tout autant d’outils répressifs et de surveillance que le rapport prévoit d’instaurer ou d’intensifier. Le ministère rêve même de casques de « réalité augmentée » permettant d’interroger des fichiers en intervention. C’est le rêve d’un policier-robot qui serait une sorte de caméra mobile capable de traiter automatiquement un maximum d’information. Ce projet de robotisation aura pour premier effet de rendre plus difficile la communication entre les forces de l’ordre et la population.

Cette projection délirante se poursuit sur d’autres thématiques sécuritaires. Le ministère affiche par exemple la volonté de créer des « frontières connectées » avec contrôles biométriques, drones ou capteurs thermiques. Il confirme également son obsession toujours plus grande de la vidéosurveillance en appelant à en tripler le budget à travers les subventions étatiques du fonds interministériel de prévention de la délinquance (FIPD), malgré l’inutilité démontrée et le coût immense de ces équipements.

Qu’il s’agisse de délire sécuritaire ou de calcul électoraliste, le rapport livre une vision inquiétante du numérique et de la notion de sécurité. Malgré son absence de portée normative, pour le message qu’il porte, l’OLN appelle donc les député·es à voter la suppression de ce rapport et l’article 1 dans son entièreté.

2. Un affaiblissement du cadre procédural des enquêtes policières

Ensuite, le fond des dispositions est guidé par un objectif clair : supprimer tout ce que la procédure pénale compte de garanties contre l’autonomie de la police pour faciliter le métier du policier « du futur ». La LOPMI envisage la procédure pénale uniquement comme une lourdeur administrative inutile et inefficace, détachée du « cœur de métier » du policier, alors qu’il s’agit de règles pensées et construites pour protéger les personnes contre l’arbitraire de l’État et renforcer la qualité des procédures soumises à la justice. On peut d’ailleurs s’étonner que le texte soit principalement porté par le ministère de l’Intérieur alors qu’il s’agit en réalité d’une refonte importante de la procédure pénale semblant plus relever de l’organisation judiciaire.

De manière générale, l’esprit du texte est assumé : banaliser des opérations de surveillance en les rendant accessibles à des agents moins spécialisés et en les soustrayant au contrôle de l’autorité judiciaire. Le texte permet ainsi à de nouvelles personnes (des assistants d’enquête créés par le texte ou des officiers de police judiciaire qui auraient plus facilement accès à ce statut) de faire de nombreux actes d’enquête par essence intrusifs et attentatoires aux libertés.

Par exemple, l’article 11 prévoit que les officiers de police judiciaire peuvent procéder directement à des « constatations et examens techniques » et à l’ouverture des scellés sans réquisition du procureur. Complété par des amendements au Sénat, cet article facilite désormais encore plus les interconnexions et accès aux fichiers policiers (notamment la collecte de photographie et l’utilisation de la reconnaissance faciale dans le fichier TAJ ainsi que l’analyse de l’ADN dans le FNAEG), contribuant à faire davantage tomber les barrières pour transformer le fichage massif en un outil de plus en plus effectif de contrôle des populations.

Ensuite, l’article 12 conduit en pratique à une présomption d’habilitation à consulter des fichiers pendant une enquête ou une instruction. Sous couvert d’une protection contre les nullités de procédure, cette simplification soustrait les policiers à toute contrainte formelle et supprimerait une garantie fondamentale de protection du droit à la vie privée. Cette disposition permettrait un accès total aux fichiers et viderait par ailleurs de leur substance l’ensemble des textes existants visant à limiter l’accès (pourtant déjà très souple), pour chaque fichier, à une liste de personnes habilitées et déterminées. On assiste ainsi à un « effet cliquet »: après avoir multiplié les fichages en prétextant des garanties, on vient ensuite en faciliter les accès et les interconnexions.

3.  L’amende forfaitaire délictuelle : une utilisation du numérique contre les justiciables

Par cette dynamique, le gouvernement fait passer la répression et la surveillance comme l’outil principal du travail policier et affaiblit considérablement le socle de protection de la procédure pénale.

Le projet d’étendre encore un peu plus le champ d’application de l’amende forfaitaire délictuelle (AFD) en est l’une des illustrations les plus éloquentes : cette procédure — dont l’efficacité prétendue n’est mesurée qu’à l’aune du nombre d’amendes prononcées et à la rapidité de la sanction — repose sur un usage de l’outil numérique permettant d’industrialiser et automatiser le fonctionnement de la justice pénale en affaiblissant les garanties contre l’arbitraire, en entravant le débat contradictoire, et en transformant l’autorité judiciaire en simple « contrôleur qualité ». 

Les forces de l’ordre sont ainsi transformés en « radars mobiles » de multiples infractions, le tout sans véritable contrôle judiciaire et en multipliant les obstacles à la contestation pour la personne sanctionnée.

L’évolution vers cette justice-là n’est pas un progrès pour notre société.

Ce projet, s’il est adopté, porterait une atteinte sérieuse au nécessaire équilibre qui doit exister entre, d’une part, la protection des libertés individuelles et collectives et, d’autre part, l’action des policiers. Les député·es doivent donc rejeter ce texte qui affaiblit le contrôle nécessaire de l’activité policière et met en danger les équilibres institutionnels qui fondent la démocratie.

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet,La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM).

]]> https://www.laquadrature.net/?p=18967http://isyteck.com/autoblog/quadrature/index.php5?20221019_124740_CAF____le_numerique_au_service_de_l___exclusion_et_du_harcelement_des_plus_precairesWed, 19 Oct 2022 10:47:40 +0000Depuis bientôt un an nous luttons au sein du collectif « Stop Contrôles »¹Il est possible de contacter le collectif « Stop Contrôles » à l’adresse suivante: stop.controles@protonmail.com pour des récits ou des problématiques actuelles face au contrôles de la CAF ou de Pôle emploi, mais également pour trouver des manières collectives de s’y opposer.afin de s’opposer aux effets de la dématérialisation et de l’utilisation du numérique par les administrations à des fins de contrôle social. Après avoir abordé la situation à Pôle Emploi, nous nous intéressons ici au cas des Caisses d’Allocations Familiales (CAF). Nous reviendrons bientôt sur les suites de cette lutte dans laquelle nous souhaitons pleinement nous engager dans les prochains mois.

« Entre la CAF et vous, il n’y a qu’un clic ». Voilà ce que l’on pouvait lire sur une affiche de la CAF en ce début d’année. Et le sous-titre laisse rêveur : « Accédez à tous les services de la CAF 24h/24 ». Vaine promesse d’un numérique facilitant l’accès aux prestations sociales, et ce, à toute heure du jour et de la nuit. Sinistre slogan masquant la réalité d’une informatisation à outrance, vecteur d’une exclusion sociale calculée.

Alors que la généralisation des démarches en ligne s’accompagne avant tout d’une réduction des capacités d’accueil physique, mode de contact pourtant essentiel pour les personnes en situation de précarité²Voir le rapport du Défenseur des Droits « Dématérialisation des services publics: 3 ans après », disponible ici et l’appel signé par 300 associations/collectifs sur les difficultés engendrées pour les publics en situation de précarité disponible ici., c’est à un algorithme que la CAF laisse le soin de prédire quel·les allocataires seraient « (in)dignes » de confiance et doivent être contrôlé·es³Voir l’avis de la CNIL décrivant l’algorithme comme un « outil permettant de détecter dans les dossiers des allocataires les corrélations existantes entre les dossiers à risque (comportements types des fraudeurs)», disponible ici. Cet avis, positif, est par ailleurs vertigineusement vide de toute critiques portant tant sur le fond du projet et les risques de discrimination qu’il porte que sur le détournement des finalités des données des allocataires collectées initialement pour les besoins de l’état social. Il se borne globalement à recommander un chiffrement de la base de données.. Chargé de donner une note à chaque allocataire, censé représenter le « risque » qu’iel bénéficie indûment d’aides sociales, cet algorithme de scoring sert une politique de harcèlement institutionnel des plus précaires⁴Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. 

L’algorithme de la honte

Nourri des centaines de données dont la CAF dispose sur chaque allocataire⁵Pour des détails techniques sur l’algorithme et son entraînement voir l’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », écrit en 2013 et disponible ici. Il y explique notamment que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude., l’algorithme évalue en continu leur situation afin de les classer, les trier, via l’attribution d’une note (« score de risque »). Cette note, mise à jour mensuellement, est ensuite utilisée par les équipes de contrôleurs·ses de la CAF pour sélectionner celles et ceux devant faire l’objet d’un contrôle approfondi⁶Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés » p.258). Il est à noter que les contrôles sur place peuvent aussi provenir de signalements (police, pôle emploi, conseiller.ère.s…) ou de la définition de cibles-types définies soit localement soit nationalement(contrôles RSA, étudiants…). Ces deux catégories représentaient la plupart des raisons de déclenchement des contrôles avant le recours à l’algorithme..

Les quelques informations disponibles révèlent que l’algorithme discrimine délibérément les précarisé·e·s. Ainsi, parmi les éléments que l’algorithme associe à un risque élevé d’abus, et impactant donc négativement la note d’un·e allocataire, on trouve le fait⁷La CAF entretient une forte opacité autour des critères régissant son fonctionnement. Elle refuse même de donner plus d’informations aux allocataires ayant fait l’objet d’un contrôle suite à une dégradation de leur score. ll n’existe pas de documents présentant l’ensemble des paramètres, et leur pondération, utilisés par l’algorithme dit de « régression logistique ». Les informations présentées ici sont issues des sources suivantes: l’avis de la CNIL portant sur l’algorithme; le livre de Vincent Dubois « Contrôler les assistés »; la Lettre n°23 de la Délégation Nationale à la lutte contre la fraude disponible ici (voir pages 9 à 12); le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. L’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », disponible ici détaille notamment la construction de l’algorithme. : 

– D’avoir des revenus faibles,

– D’être au chômage ou de ne pas avoir de travail stable,

– D’être un parent isolé (80% des parents isolés sont des femmes)⁸Voir la note de l’Insee disponible ici., 

– De dédier une part importante de ses revenus pour se loger,

– D’avoir de nombreux contacts avec la CAF (pour celleux qui oseraient demander de l’aide).

D’autres paramètres comme le lieu de résidence, le type de logement (social…), le mode de contact avec la CAF (téléphone, mail…) ou le fait d’être né·e hors de l’Union Européenne sont utilisés sans que l’on ne sache précisément comment ils affectent cette note⁹Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné.. Mais il est facile d’imaginer le sort réservé à une personne étrangère vivant en banlieue défavorisée. C’est ainsi que, depuis 2011, la CAF organise une véritable chasse numérique aux plus défavorisé·e·s, dont la conséquence est un sur-contrôle massif des personnes pauvres, étrangères et des femmes élevant seules un enfant¹⁰Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. 

Pire, la CAF s’en vante. Son directeur qualifie cet algorithme comme étant partie prenante d’une « politique constante et volontariste de modernisation des outils de lutte contre les fraudeurs et les escrocs ». L’institution, et son algorithme, sont par ailleurs régulièrement présentés au niveau étatique comme un modèle à suivre dans la lutte contre la « fraude sociale », thématique imposée par la droite et l’extrême droite au début des années 2000¹¹Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250..

Comment un dispositif si profondément discriminatoire peut-il être publiquement défendu, qui plus est par une administration sociale ? C’est ici que l’informatisation du contrôle social revêt un caractère particulièrement dangereux, à travers l’alibi technique qu’il offre aux responsables politiques.

Un alibi technique à une politique inique

L’utilisation de l’algorithme permet tout d’abord à la CAF de masquer la réalité sociale du tri organisé par sa politique de contrôle. Exit les références au ciblage des allocataires de minima sociaux dans les  « plans annuels de contrôle ». Ces derniers font désormais état de « cibles datamining », sans que jamais ne soient explicités les critères associés au calcul des « scores de risques ». Comme le dit un contrôleur de la CAF :  « Aujourd’hui c’est vrai que le data nous facilite les choses. Je n’ai pas à dire que je vais sélectionner 500 bénéficiaires RSA. C’est pas moi qui le fais, c’est le système qui le dit ! (Rires). »¹²Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.  

La notion de « score de risque » est par ailleurs mobilisée pour individualiser le processus de ciblage et nier son caractère discriminatoire. Un responsable du contrôle de la CAF déclarait ainsi devant des député·es que « Plus que de populations à risque, nous parlons de profils d’allocataires à risque, en lien avec le data mining »¹³Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé ‘expert de la lutte contre la fraude’. Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout.. En d’autres termes, la CAF avance que son algorithme ne vise pas les pauvres en tant que catégorie sociale mais en tant qu’individus. Une grande partie des « facteurs de risques » utilisés pour cibler les allocataires sont pourtant des critères sociodémographiques associés à des situations de précarité (faibles revenus, situation professionnelle instable…). Ce jeu rhétorique est donc un non-sens statistique comme le rappelle le Défenseur des Droits¹⁴Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné. : « Plus qu’un ciblage sur des « risques présumés », la pratique du data mining contraint à désigner des populations à risque et, ce faisant, conduit à instiller l’idée selon laquelle certaines catégories d’usagers seraient plus enclines à frauder ». 

Enfin, le recours à l’algorithme est utilisé par les dirigeant·es de la CAF pour se défausser de la responsabilité du choix des critères de ciblage des personnes à contrôler. Ielles transforment ce choix en un problème purement technique (prédire quels sont les dossiers les plus susceptibles de présenter des irrégularités) dont la résolution relève de la responsabilité des équipes de statisticien·nes de l’institution. Seule compte alors l’efficacité de la solution proposée (la qualité de la prédiction), le fonctionnement interne de l’algorithme (les critères de ciblage) devenant un simple détail technique ne concernant pas les responsables politiques¹⁵ L’algorithme utilisé, une régression logistique, est un algorithme dit à apprentissage supervisé. A l’image des algorithmes d’analyses d’images, ces algorithmes ‘apprennent’ à détecter certaines choses à partir d’exemples annotés. Ainsi un algorithme de reconnaissance de chats sur des images est, pour le dire schématiquement, simplement entraîné via l’analyse de nombreuses photos annotées chat/pas chat. La tâche de l’algorithme, on parle de phase d’apprentissage, est alors de construire un modèle statistique permettant de reconnaître dans le futur des photos de chat, sans que nul n’ait besoin d’expliciter, à priori, les critères permettant de les identifier. Le recours à un tel algorithme pour la CAF offre donc l’avantage, purement rhétorique, que les critères de ciblage (situation professionnelle, familiale, financière…) semblent ne plus être choisis à priori par la CAF (Voir Vincent Dubois, « Contrôler les assistés » cité précedemment) mais le fruit d’une analyse statistique (corrélations entre ces variables et la probabilité qu’un dossier soit irrégulier).. Un directeur de la CAF peut ainsi dire publiquement: « Nous [la CAF] ne dressons pas le profil type du fraudeur. Avec le datamining, nous ne tirons pas de conclusions », omettant simplement de dire que la CAF délègue cette tâche à son algorithme. 

Un sur-contrôle anticipé des plus précaires

Voilà ce que nous souhaitons répondre aux responsables qui nient le caractère politique de cet algorithme : l’algorithme n’a appris à détecter que ce que vous avez décidé de cibler. Le sur-contrôle des plus précaires n’est ni un hasard, ni le résultat inattendu de complexes opérations statistiques. Il résulte d’un choix politique dont vous connaissiez, avant même le déploiement de l’algorithme, les conséquences pour les précarisé·es.

Ce choix est le suivant¹⁶Pour des détails techniques sur l’algorithme et son entraînement voir l’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », écrit en 2013 et disponible ici. Il y explique notamment que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude.. Malgré la communication de la CAF autour de son nouvel outil de « lutte contre la fraude » (voir par exemple ici, ici ou ici), l’algorithme a été conçu non pas pour détecter la fraude, qui revêt un caractère intentionnel, mais les indus (trop-perçus) au sens large¹⁷Il semblerait qu’initialement l’algorithme ait été entraîné sur des dossiers de fraudes avérées, mais qu’il a été très vite décidé de l’utiliser pour détecter les indus au sens large (indépendamment de l’établissement d’un caractère frauduleux). Un ancien directeur du service « contrôle et lutte contre la fraude » déclarait ainsi en 2010: « Nous sommes en train de tester dans dix-sept organismes des modèles plus perfectionnés, mais fondés sur l’observation des indus et non sur celle des indus frauduleux. » devant la commission des affaires sociales de l’assemblée nationale (voir ici)., dont la très grande majorité résulte d’erreurs déclaratives involontaires¹⁸Une directrice du département Maitrise des Risques Lutte contre la Fraude déclarait ainsi dans le cadre d’une mission gouvernementale sur la fraude aux prestations sociales en 2019: « 80 % de nos indus sont liés à des erreurs sur les ressources et les situations professionnelles, majoritairement les ressources »..

Or la CAF savait que le risque d’erreurs est particulièrement élevé pour les personnes en situation de précarité, en raison de la complexité des règles de calcul des prestations sociales les concernant. Ainsi dès 2006¹⁹Ces citations et appréciations sur la part des fraudes dans les indus sont extraits de trois articles écrits par un ancien directeur du service « contrôle et lutte contre la fraude » de la CNAF. Le premier « Du contrôle des pauvres à la maîtrise des risques » a été publié en 2006 et est disponible ici. Le second intitulé « Le contrôle de la fraude dans les CAF », publié en 2005, est disponible ici. Voir aussi un troisième article intitulé « Le paiement à bon droit des prestations sociales des CAF » publié en 2013 et disponible ici. On trouve des analyses similaires dans des articles publiés dès 1997 disponibles ici (1997) et là (2002)., un ancien directeur de la lutte contre la fraude de la CAF expliquait que « les indus s’expliquent […] par la complexité des prestations », ce qui est « d’autant plus vrai pour les prestations liées à la précarité » (entendre les minima sociaux). Il ajoutait que ceci est dû à la prise en compte « de nombreux éléments de la situation de l’usager très variables dans le temps, et donc très instables ». Concernant les femmes isolées, il reconnaissait déjà la « difficulté d’appréhender la notion de « vie maritale » », difficulté à son tour génératrice d’erreurs.

Demander à l’algorithme de prédire le risque d’indu revient donc à lui demander d’apprendre à identifier qui, parmi les allocataires, est tributaire des minima sociaux ou est victime de la conjugalisation²⁰Le fait d’avoir des aides qui dépendent de la situation maritale (en couple/célibataire). des aides sociales. Autrement dit, les responsables de la CAF savaient, dès le début du chantier d’automatisation du ciblage, quels seraient les « profils à risque » que l’algorithme allait identifier. 

Rien n’est donc plus faux que de déclarer, comme cette institution l’a fait en réponse aux critiques du Défenseur des Droits, que « les contrôles à réaliser » sont « sélectionnés par un algorithme neutre » qui n’obéit à « aucun présupposé »²¹La deuxième citation est extraite d’une intervention d’un ancien directeur de la CNAF devant la commission des affaires sociales du sénat en 2017 disponible ici.. Ou encore que « les contrôles […] issus du datamining […] ne laissent pas la place à l’arbitraire ». 

Discriminer pour rentabiliser

Pourquoi favoriser la détection d’erreurs plutôt que celle de la fraude ? Les erreurs étant plus nombreuses et plus faciles à détecter que des situations de fraudes, qui nécessitent l’établissement d’un caractère intentionnel, ceci permet de maximiser les montants récupérés auprès des allocataires et d’augmenter ainsi le « rendement » des contrôles. 

Pour citer une ancienne responsable du département de lutte contre la fraude de la CAF : « Nous CAF, très honnêtement, sur ces très grosses fraudes, nous ne pouvons pas être le chef de file parce que les enjeux nous dépassent, en quelque sorte ». Et de signaler un peu plus loin sa satisfaction à ce que dans la dernière « convention d’objectif et de gestion », contrat liant la CAF à l’État et définissant un certain nombre d’objectifs,²²Les COG sont des contrats entre l’état de les administrations sociales qui « formalisent, dans un document contractuel, les objectifs à atteindre et les moyens à mettre en œuvre pour moderniser et améliorer la performance du système de protection sociale ». Voir par exemple la COG 2018-2022 de la CNAF disponible ici. Pour un peu plus d’horreur, on peut aussi consulter les annexes techniques de ces conventions qui incluent pour la détermination du montant financier des agents de la CAF des objectifs de recouvrement des indus. L’annexe 2021 pour la branche famille est par exemple disponible ici. existe une « distinction entre le taux de recouvrement des indus fraude et des indus non- fraude […] parce que l’efficacité est quand même plus importante sur les indus non-fraudes qui, par définition, sont de moindre importance ».  

Cet algorithme n’est donc qu’un outil servant à augmenter la rentabilité des contrôles réalisés par la CAF afin d’alimenter une politique de communication où, à longueur de rapports d’activité et de communications publiques, le harcèlement des plus précaires devient une preuve de  « bonne gestion » de l’institution²³Comme ici où il est écrit « Pour 1€ engagé, le travail d’un contrôleur rapporte 8 fois plus« . Voir aussi ici ou là.. 

Déshumanisation et mise à nu numérique

Mais le numérique a aussi modifié en profondeur le contrôle lui-même, désormais tourné vers l’analyse des données personnelles des allocataires, dont le droit d’accès donné aux contrôleurs·ses est devenu tentaculaire. Accès aux comptes bancaires, données détenues par les fournisseurs d’énergie, les opérateurs de téléphone, les employeurs·ses, les commerçant·e·s et bien sûr les autres institutions (Pôle emploi, les impôts, les caisses nationales de la sécurité sociale…)²⁴Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.: le contrôle s’est transformé en une véritable mise à nu numérique.

Ces milliers de traces numériques sont mobilisées pour nourrir un contrôle où la charge de la preuve est inversée. Bien plus que l’entretien, les données personnelles constituent désormais la base du jugement des contrôleurs·ses. Comme le dit un contrôleur de la CAF : « Avant, l’entretien, c’était hyper important. […] Maintenant le contrôle des informations en amont de l’entretien prend beaucoup plus d’importance. »²⁵Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.. Ou encore, « un contrôleur quand il prépare son dossier, juste en allant voir les portails partenaires, avant de rencontrer l’allocataire, il a une très bonne idée de ce qu’il va pouvoir trouver ». 

Refuser de se soumettre à cette transparence est interdit sous peine de suspension des allocations. Le « droit au silence numérique » n’existe pas :  l’opposition à une transparence totale est assimilée à de l’obstruction. Et pour les plus réticent·es, la CAF se réserve le droit de demander ces informations directement auprès des tiers qui les détiennent. 

Le contrôle devient alors une séance d’humiliation où chacun.e doit accepter de justifier le moindre détail de sa vie, comme en témoigne cet allocataire : « L’entretien […] avec l’agent de la CAF a été une humiliation. Il avait sous les yeux mes comptes bancaires et épluchait chaque ligne. Avais-je vraiment besoin d’un abonnement Internet ? À quoi avais-je dépensé ces 20 euros tirés en liquide ? »²⁶Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici..

La note attribuée par l’algorithme agit tout particulièrement comme une preuve de culpabilité. Contrairement à ce que veut faire croire la CAF, qui rappelle à qui veut l’entendre que l’algorithme n’est qu’un « outil d’aide à la décision », un score de risque dégradé génère suspicion et sévérité lors des contrôles. C’est à l’allocataire qu’il appartient de répondre du jugement algorithmique. De prouver que l’algorithme a tort. Cette influence de la notation algorithmique sur les équipes de contrôle, fait reconnu et désigné sous le nom de « biais d’automatisation », est ici encore mieux expliquée par un contrôleur : « Compte-tenu du fait qu’on va contrôler une situation fortement scorée, certains me disaient que, bon voilà, y a une sorte de – même inconsciemment – non pas d’obligation de résultats mais de se dire : si je suis là, c’est qu’il y a quelque chose donc il faut que je trouve »²⁷Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.. 

Des conséquences humaines dramatiques

Ces pratiques sont d’autant plus révoltantes que les conséquences humaines peuvent être très lourdes. Détresse psychologique, perte de logements, dépressions²⁸Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici.: le contrôle laisse des traces non négligeables dans la vie de tous les contrôlé·e·s. Comme l’explique un directeur de l’action sociale²⁹Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé « expert de la lutte contre la fraude ». Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout. : « Il faut bien s’imaginer que l’indu c’est presque pire que le non recours ». Et d’ajouter : « Vous êtes dans un mécanisme de récupération d’indus et d’administrations qui peuvent décider aussi de vous couper l’ensemble de l’accès aux prestations sociales pendant une période de six mois. Vraiment, vous vous retrouvez dans une situation noire, c’est-à-dire que vous avez fait une erreur mais vous la payez extrêmement chèrement et c’est là que commence une situation de dégradation extrêmement forte qui est très difficile derrière à récupérer ». 

Les demandes de remboursement d’indus peuvent représenter une charge intenable pour les personnes en difficulté financière, en particulier lorsqu’elles sont dues à des erreurs ou des oublis qui couvrent une longue période. À ceci s’ajoute le fait que les trop-perçus peuvent être récupérés via des retenues sur l’ensemble des prestations sociales. 

Pire, les nombreux témoignages³⁰Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici.récoltés par le Défenseur des Droits et les collectifs Stop contrôle et Changer de Cap font état de nombreuses pratiques illégales de la part de la CAF (non respect du contradictoire, difficulté de recours, suspension abusive des aides, non fourniture du rapport d’enquete, non accès aux constats) et de re-qualifications abusives de situations d’erreurs involontaires en fraude. Ces qualifications abusives aboutissent alors au fichage des allocataires identifiés comme fraudeurs·ses³¹Voir la délibération de la CNIL datant du 13 janvier 2011 et disponible ici. Il n’est pas certain que ce fichier existe toujours., fichage renforçant à son tour leur stigmatisation lors de futures interactions avec la CAF et dont les conséquences peuvent s’étendre au-delà de cette institution si cette information est transférée à d’autres administrations.

Numérique, bureaucratie et contrôle social

Certes les technologies numériques ne sont pas la cause profonde des pratiques de la CAF. Versant « social » du contrôle numérique de l’espace public par l’institution policière que nous documentons dans notre campagne Technopolice, elles sont le reflet de politiques centrées autour de logiques de tri, de surveillance et d’administration généralisée de nos vies³²Pour poursuivre au sujet du rôle du numérique et du contrôle social qu’il engendre dans un contexte de gestion de masse des sociétés, voir notamment l’article de Felix Tréguer « Face à l’automatisation des bureaucraties d’État, l’accommodement ou le refus ? » disponible ici et le livre du groupe Marcuse « La liberté dans le Coma ».. 

La pratique du scoring que nous dénonçons à la CAF n’est d’ailleurs pas spécifique à cette institution. Pionnière, la CAF a été la première administration sociale à mettre en place un tel algorithme, elle est désormais devenue le « bon élève », pour reprendre les dires d’une députée LREM³³Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé ‘expert de la lutte contre la fraude’. Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout., dont doivent s’inspirer les autres administrations. Aujourd’hui ce sont ainsi Pôle emploi, l’assurance maladie, l’assurance vieillesse ou encore les impôts qui, sous l’impulsion de la Cour des comptes et de la Délégation nationale à la lutte contre la fraude³⁴Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné., travaillent à développer leurs propres algorithmes de notation.

À l’heure où, comme le dit Vincent Dubois³⁵Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250., notre système social tend vers toujours « moins de droits sociaux accordés inconditionnellement […] et davantage d’aides […] conditionnées aux situations individuelles », ce qui appelle « logiquement plus de contrôle », il apparaît légitime de questionner les grands projets d’automatisation d’aide sociale, tel que celui de la « solidarité à la source » proposé par le président de la République. Car cette automatisation ne peut se faire qu’au prix d’une scrutation toujours accrue de la population et nécessitera la mise en place d’infrastructures numériques qui, à leur tour, conféreront toujours plus de pouvoir à l’État et ses administrations.

Lutter

Face à ce constat, nous demandons que soit mis un terme à l’utilisation de l’algorithme de scoring par la CAF. La recherche d’indus, dont la très grande majorité sont de l’ordre de quelques centaines d’euros³⁶Voir le rapport de l’IGF sur les indus disponible ici., ne peut en aucun cas justifier de telles pratiques qui, par nature, ont pour effet de jeter des personnes précarisées dans des situations d’immense détresse.

À la remarque d’un directeur de la CAF avançant qu’il ne pouvait pas « répondre de manière précise quant aux biais » que pourraient contenir son algorithme — sous-entendant ainsi que l’algorithme pourrait être amélioré —, nous répondons que le problème n’est pas technique, mais politique³⁷Les « biais » des algorithmes sont souvent mis en avant comme étant un simple problème technique, comme dans le cas des algorithmes de reconnaissance faciale qui reconnaissent mieux les personnes blanches. Le problème de cette critique, bien réelle au demeurant, est qu’elle élude parfois l’aspect politique des algorithmes en ramenant la problématique à des considérations techniques qu’il serait possible de corriger un jour. Cet algorithme est intéressant de ce point de vue puisqu’il a été entraîné ‘dans les règles de l’art’, voir les références ci-dessus, à partir d’une base de données issue de contrôles aléatoires. Il n’y a donc pas à priori de biais d’échantillonage, comme dans le cas des algorithmes de reconnaissance faciale. Ceci étant dit, l’algorithme répète les biais humains liés au contrôles réalisés sur ces dossiers sélectionnés aléatoirement (sévérité avec les personnes aux minima sociaux, difficulté d’identifier les fraudes complexes…). Mais il reflète surtout, comme expliqué dans l’article, la complexité des règles d’accès aux prestations sociales ce qui est un sujet purement politique que l’algorithme ne fait que révéler.. Puisqu’il ne peut tout simplement pas exister sans induire des pratiques de contrôle discriminatoires, c’est l’algorithme de notation lui-même qui doit être abandonné.

Nous reviendrons bientôt sur les actions que nous souhaitons mener pour lutter, à notre niveau, contre ces politiques. D’ici là, nous continuerons à documenter l’usage des algorithmes de scoring dans l’ensemble des administrations françaises et invitons celles et ceux qui le souhaitent, et le peuvent, à s’organiser et se mobiliser localement, à l’image de la campagne Technopolice qu’anime La Quadrature. A Paris, vous pouvez nous retrouver et venir discuter de cette lutte dans le cadre des assemblées générales du collectif Stop Contrôles, dont nous relayons les communiqués via notre site internet.

Cette lutte ne peut que profiter des échanges avec celles et ceux qui, à la CAF ou ailleurs, ont des informations sur cet algorithme (le détail des critères utilisés, les dissensions internes qu’a pu provoquer sa mise en place…) et veulent nous aider à lutter contre de telles pratiques. Nous encourageons ces personnes à nous contacter à contact@laquadrature.net.Vous pouvez aussi déposer des documents de manière anonyme sur notre SecureDrop (voir notre page d’aide ici).

Pour finir, nous tenons à dénoncer la surveillance policière dont fait l’objet le collectif Stop Contrôles. Prise de contacts téléphoniques de la part des services de renseignement, allusions aux actions du collectif auprès de certains de ses membres dans le cadres d’autres actions militantes et sur-présence policière lors de simples opérations de tractage devant des agences de la CAF : autant de mesures policières visant à l’intimidation et à la répression d’un mouvement social à la fois légitime et nécessaire.

References[+]

References

↑1	Il est possible de contacter le collectif « Stop Contrôles » à l’adresse suivante: stop.controles@protonmail.com pour des récits ou des problématiques actuelles face au contrôles de la CAF ou de Pôle emploi, mais également pour trouver des manières collectives de s’y opposer.
↑2	Voir le rapport du Défenseur des Droits « Dématérialisation des services publics: 3 ans après », disponible ici et l’appel signé par 300 associations/collectifs sur les difficultés engendrées pour les publics en situation de précarité disponible ici.
↑3	Voir l’avis de la CNIL décrivant l’algorithme comme un « outil permettant de détecter dans les dossiers des allocataires les corrélations existantes entre les dossiers à risque (comportements types des fraudeurs)», disponible ici. Cet avis, positif, est par ailleurs vertigineusement vide de toute critiques portant tant sur le fond du projet et les risques de discrimination qu’il porte que sur le détournement des finalités des données des allocataires collectées initialement pour les besoins de l’état social. Il se borne globalement à recommander un chiffrement de la base de données.
↑4	Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.
↑5, ↑16	Pour des détails techniques sur l’algorithme et son entraînement voir l’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », écrit en 2013 et disponible ici. Il y explique notamment que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude.
↑6	Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés » p.258). Il est à noter que les contrôles sur place peuvent aussi provenir de signalements (police, pôle emploi, conseiller.ère.s…) ou de la définition de cibles-types définies soit localement soit nationalement(contrôles RSA, étudiants…). Ces deux catégories représentaient la plupart des raisons de déclenchement des contrôles avant le recours à l’algorithme.
↑7	La CAF entretient une forte opacité autour des critères régissant son fonctionnement. Elle refuse même de donner plus d’informations aux allocataires ayant fait l’objet d’un contrôle suite à une dégradation de leur score. ll n’existe pas de documents présentant l’ensemble des paramètres, et leur pondération, utilisés par l’algorithme dit de « régression logistique ». Les informations présentées ici sont issues des sources suivantes: l’avis de la CNIL portant sur l’algorithme; le livre de Vincent Dubois « Contrôler les assistés »; la Lettre n°23 de la Délégation Nationale à la lutte contre la fraude disponible ici (voir pages 9 à 12); le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. L’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », disponible ici détaille notamment la construction de l’algorithme.
↑8	Voir la note de l’Insee disponible ici.
↑9, ↑14, ↑34	Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné.
↑10, ↑11, ↑35	Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.
↑12, ↑24, ↑25, ↑27	Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.
↑13, ↑33	Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé ‘expert de la lutte contre la fraude’. Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout.
↑15	L’algorithme utilisé, une régression logistique, est un algorithme dit à apprentissage supervisé. A l’image des algorithmes d’analyses d’images, ces algorithmes ‘apprennent’ à détecter certaines choses à partir d’exemples annotés. Ainsi un algorithme de reconnaissance de chats sur des images est, pour le dire schématiquement, simplement entraîné via l’analyse de nombreuses photos annotées chat/pas chat. La tâche de l’algorithme, on parle de phase d’apprentissage, est alors de construire un modèle statistique permettant de reconnaître dans le futur des photos de chat, sans que nul n’ait besoin d’expliciter, à priori, les critères permettant de les identifier. Le recours à un tel algorithme pour la CAF offre donc l’avantage, purement rhétorique, que les critères de ciblage (situation professionnelle, familiale, financière…) semblent ne plus être choisis à priori par la CAF (Voir Vincent Dubois, « Contrôler les assistés » cité précedemment) mais le fruit d’une analyse statistique (corrélations entre ces variables et la probabilité qu’un dossier soit irrégulier).
↑17	Il semblerait qu’initialement l’algorithme ait été entraîné sur des dossiers de fraudes avérées, mais qu’il a été très vite décidé de l’utiliser pour détecter les indus au sens large (indépendamment de l’établissement d’un caractère frauduleux). Un ancien directeur du service « contrôle et lutte contre la fraude » déclarait ainsi en 2010: « Nous sommes en train de tester dans dix-sept organismes des modèles plus perfectionnés, mais fondés sur l’observation des indus et non sur celle des indus frauduleux. » devant la commission des affaires sociales de l’assemblée nationale (voir ici).
↑18	Une directrice du département Maitrise des Risques Lutte contre la Fraude déclarait ainsi dans le cadre d’une mission gouvernementale sur la fraude aux prestations sociales en 2019: « 80 % de nos indus sont liés à des erreurs sur les ressources et les situations professionnelles, majoritairement les ressources ».
↑19	Ces citations et appréciations sur la part des fraudes dans les indus sont extraits de trois articles écrits par un ancien directeur du service « contrôle et lutte contre la fraude » de la CNAF. Le premier « Du contrôle des pauvres à la maîtrise des risques » a été publié en 2006 et est disponible ici. Le second intitulé « Le contrôle de la fraude dans les CAF », publié en 2005, est disponible ici. Voir aussi un troisième article intitulé « Le paiement à bon droit des prestations sociales des CAF » publié en 2013 et disponible ici. On trouve des analyses similaires dans des articles publiés dès 1997 disponibles ici (1997) et là (2002).
↑20	Le fait d’avoir des aides qui dépendent de la situation maritale (en couple/célibataire).
↑21	La deuxième citation est extraite d’une intervention d’un ancien directeur de la CNAF devant la commission des affaires sociales du sénat en 2017 disponible ici.
↑22	Les COG sont des contrats entre l’état de les administrations sociales qui « formalisent, dans un document contractuel, les objectifs à atteindre et les moyens à mettre en œuvre pour moderniser et améliorer la performance du système de protection sociale ». Voir par exemple la COG 2018-2022 de la CNAF disponible ici. Pour un peu plus d’horreur, on peut aussi consulter les annexes techniques de ces conventions qui incluent pour la détermination du montant financier des agents de la CAF des objectifs de recouvrement des indus. L’annexe 2021 pour la branche famille est par exemple disponible ici.
↑23	Comme ici où il est écrit « Pour 1€ engagé, le travail d’un contrôleur rapporte 8 fois plus« . Voir aussi ici ou là.
↑26, ↑28, ↑30	Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici.
↑29	Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé « expert de la lutte contre la fraude ». Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout.
↑31	Voir la délibération de la CNIL datant du 13 janvier 2011 et disponible ici. Il n’est pas certain que ce fichier existe toujours.
↑32	Pour poursuivre au sujet du rôle du numérique et du contrôle social qu’il engendre dans un contexte de gestion de masse des sociétés, voir notamment l’article de Felix Tréguer « Face à l’automatisation des bureaucraties d’État, l’accommodement ou le refus ? » disponible ici et le livre du groupe Marcuse « La liberté dans le Coma ».
↑36	Voir le rapport de l’IGF sur les indus disponible ici.
↑37	Les « biais » des algorithmes sont souvent mis en avant comme étant un simple problème technique, comme dans le cas des algorithmes de reconnaissance faciale qui reconnaissent mieux les personnes blanches. Le problème de cette critique, bien réelle au demeurant, est qu’elle élude parfois l’aspect politique des algorithmes en ramenant la problématique à des considérations techniques qu’il serait possible de corriger un jour. Cet algorithme est intéressant de ce point de vue puisqu’il a été entraîné ‘dans les règles de l’art’, voir les références ci-dessus, à partir d’une base de données issue de contrôles aléatoires. Il n’y a donc pas à priori de biais d’échantillonage, comme dans le cas des algorithmes de reconnaissance faciale. Ceci étant dit, l’algorithme répète les biais humains liés au contrôles réalisés sur ces dossiers sélectionnés aléatoirement (sévérité avec les personnes aux minima sociaux, difficulté d’identifier les fraudes complexes…). Mais il reflète surtout, comme expliqué dans l’article, la complexité des règles d’accès aux prestations sociales ce qui est un sujet purement politique que l’algorithme ne fait que révéler.

]]> https://www.laquadrature.net/?p=18954http://isyteck.com/autoblog/quadrature/index.php5?20221011_161914_Face_a_la_justice__la_mairie_de_Marseille_defend_la_videosurveillance_algorithmiqueTue, 11 Oct 2022 14:19:14 +0000Alors que le changement de majorité à la mairie de Marseille nous avait un temps laissé croire à l’abandon des projets technopoliciers hérités de la mandature précédente, plus le temps passe et plus la douche est froide. Cette fois, le maire Benoît Payan (PS) et ses services ont décidé de défendre la légalité de l’expérimentation de vidéosurveillance automatisée (VSA), que nous avons attaquée en décembre 2020 devant le tribunal administratif de Marseille. Leurs arguments juridiques sont en plus complètement fallacieux, comme nous le démontrons dans notre mémoire en réplique.

Fin septembre, plus de 15 000 personnes rejoignaient notre plainte collective contre le ministère de l’Intérieur. Dans la plainte, nous dénoncions l’imbrication des différents dispositifs de surveillance mis en place ces dernières années, et notamment le recours croissant à l’intelligence artificielle pour détecter automatiquement des comportements dits « suspects » dans l’espace public urbain. Le dépôt de cette plainte collective devant la CNIL intervient alors que nous avons une autre procédure contentieuse en cours, devant le Tribunal administratif de Marseille.

Fin 2018, la précédente majorité municipale, représentée à l’époque par l’adjointe en charge de la sécurité, Caroline Pozmentier (toujours conseillère régionale en PACA sous l’étiquette « Renaissance ») signait avec la société SNEF un contrat pour installer un dispositif de « vidéoprotection intelligente » (comprendre : vidéosurveillance algorithmique). Parmi les fonctionnalités envisagées se trouvent la détection automatique de graffitis, de destruction de mobilier urbain, la possibilité de rechercher dans les archives de vidéosurveillance par filtre de photos ou de « description », la détection sonore de coups de feu ou d’explosions, la « reconstitution d’évènements » (comme le parcours d’un individu) ou la détection de « comportements anormaux » (bagarre, maraudage, agression).

Après un premier recours introduit en référé début 2020 (et rejeté pour des raisons de procédures), la mairie s’était dépêchée de lancer la rédaction d’une étude d’impact. Consultée, la CNIL avait demandé à la ville de revoir sa copie et, à notre connaissance, cette étude d’impact n’a jamais vu le jour. À ce stade, il nous semblait que l’abandon de ce projet illégal par la nouvelle majorité de gauche plurielle élue à l’été 2020 serait une simple formalité. Mais malgré nos demandes pressantes faites à Yannick Ohanessian, adjoint au maire en charge de la sécurité publique, la ville nous a fait languir. Il a donc fallu déposer un nouveau recours, en décembre 2020.

À ce moment-là, une source à la mairie avait prétendu dans une confidence à l’AFP que le projet était suspendu. Et pourtant, la ville de Marseille a fait le choix d’embaucher un cabinet d’avocats pour défendre la légalité de cette expérimentation devant le tribunal. Dans son mémoire en défense, l’avocat de la ville de Marseille répète ainsi que le déploiement de cette surveillance algorithmique serait suspendu, mais se contredit juste après en affirmant que l’expérimentation continuerait de suivre son cours malgré tout : l’IA tournerait sur « une cinquantaine de caméras fixes nouvellement installées sur le parc, dans le cadre d’une solution […] en test ». Le mémoire de la ville souligne que le flux vidéo dédié à la vidéosurveillance algorithmique est acheminé vers deux postes informatiques « installés dans un local dédié au sein du CSU [Centre de supervision urbain], et accessible uniquement par l’équipe projet », cette dernière étant semble-t-il chargée de recevoir les alertes produites par les algorithmes fournis par le prestataire de la SNEF.

En réponse aux arguments juridiques soulevés par la ville pour défendre ces technologies de surveillance – et pour démontrer une fois pour toute l’illégalité de ces technologies qui sont massivement déployées sur le territoire –, nous avons déposé cet été un mémoire en réplique.

Dans ce document, nous reprenons la position juridique que nous défendons depuis longtemps : ces technologies sont fondées sur des traitements de données biométriques interdits par le droit des données personnelles. En effet, les algorithmes utilisés analysent les caractéristiques physiques, physiologiques ou comportementales des personnes pour les isoler sur les flux d’images. À terme, ils permettront de suivre automatiquement le parcours de personnes suspectées dans la rue, en temps réel ou en faisant remonter toutes les séquences archivées où ces personnes sont reconnues par ces algorithmes. Tout aussi dangereux que la reconnaissance faciale, ces logiciels reposent sur l’analyse des corps et des attributs physiques pour repérer, catégoriser et rendre notre présence dans la ville visible aux yeux de la police.

Nous rappelons aussi une évidence, à savoir que ces technologies sont déployées en l’absence de tout cadre légal, ce qui en soi suffit largement à acter leur totale illégalité. C’est d’ailleurs ce que reconnaît la CNIL dans ses lignes directrices sur la « vidéosurveillance intelligente » – publiées en juillet dernier. Cette position de la CNIL reste scandaleuse, puisque plutôt que de condamner l’ensemble des collectivités déployant ces techniques illégales et de donner voie aux nombreuses demandes d’interdiction de ces technologies discriminatoires et déshumanisantes, l’autorité préfère accompagner leur légalisation et épouser les désirs de leurs constructeurs.

Espérons désormais que le tribunal administratif de Marseille tranchera rapidement ce contentieux, et que nous pourront collectivement faire valoir cette jurisprudence partout en France et au-delà. Et à la suite, tenir en échec toute tentative du gouvernement visant à légaliser ces technologies de surveillance massive, incompatibles avec des formes de vie démocratique.

]]> https://www.laquadrature.net/?p=18905http://isyteck.com/autoblog/quadrature/index.php5?20220926_114422_15_248_personnes_portent_plainte_contre_la_TechnopoliceMon, 26 Sep 2022 09:44:22 +0000La campagne Technopolice, lancée par La Quadrature du Net en septembre 2019 pour documenter la progression de la surveillance automatisée en France, a franchi un nouveau cap ce samedi 24 septembre : une plainte collective contre le ministre de l’Intérieur, portée par de 15 248 personnes, a été déposée auprès de la CNIL (Commission nationale de l’informatique et des libertés). Elle demande l’interdiction des caméras de surveillance, de la reconnaissance faciale et du fichage de masse de la population française. Pour lire les plaintes, c’est ici : fichier TAJ, ficher TES et vidéosurveillance.

Dans un contexte d’abandon des politiques publiques pour lutter contre les inégalités ou la pauvreté, les dispositifs sécuritaires et répressifs apparaissent de plus en plus comme la réponse unique et monotone donnée à toutes les questions sociales. La surveillance est sans doute la manière la plus paresseuse et la moins durable de construire une société. Il existe pourtant bel et bien une volonté systématique, de la part de l’État, d’encourager la surveillance généralisée, au moyen de subventions, de consignes données aux préfets et à la hiérarchie policière, et par l’instauration d’un climat politique constamment répressif. C’est donc en attaquant directement le ministre de l’intérieur que nous passons à l’offensive contre la technopolice, en demandant à la CNIL de mettre fin aux caméras innombrables, aux logiciels de vidéosurveillance automatisée, à la reconnaissance faciale et aux méga-fichiers de citoyens.

Les raisons de contester la légalité des dispositifs de surveillance ne manquent pas. Notre droit repose en particulier sur deux conditions fortes : une mesure de surveillance ou de répression n’est légitime en droit, ou légale, qu’à condition d’être absolument nécessaire (on ne peut pas faire autrement) et d’être proportionnée au délit ou au crime qu’elle entend circonvenir (on ne chasse pas une mouche avec un porte-avions). Formellement, nous avons divisé l’attaque en trois plaintes, contre trois systèmes de surveillance disproportionnés qui se complètent et s’alimentent pour maintenir un contrôle permanent de nos activités et déplacements :

• • En premier, le fichier TAJ (traitement des antécédents judiciaires) qui est illégal sur deux plans. Tout d’abord, ce fichier est disproportionné : il rassemble des informations sur toute personne concernée par une enquête (plaignants, témoins, suspects), soit aujourd’hui plus de 20 millions de fiches, mais, en pratique, tout tend à démontrer que ce fichier est alimenté et utilisé en dehors des cadres légaux et qu’énormément de données sont erronées ou conservées bien plus longtemps que la loi ne le prévoit. Ensuite, ce fichier est utilisé par la police et la gendarmerie pour faire de la reconnaissance faciale plusieurs milliers de fois par jour, en dehors de tout cadre légal. Aussi, l’intrusivité et les dangers de cette technologie sont bien plus manifestes avec la vidéosurveillance omniprésente qui multiplie les possibilités d’obtenir des images de nos visages.
    Lire la plainte contre le fichier TAJ
  • La deuxième plainte vise donc cette vidéosurveillance généralisée. Nous démontrons d’abord à la CNIL à quel point l’action de l’État est essentielle et omniprésente dans le déploiement sans limite des caméras dans les villes, et maintenant dans les villages. Qu’il s’agisse de politiques actives de subventions, d’incitation à intégrer des logiciels algorithmiques à ces caméras ou de l’intervention systématique des préfectures dans les actes d’autorisations de ces dispositifs, le ministre de l’Intérieur agit à tant d’étapes de ce phénomène qu’il doit être considéré, légalement, comme responsable. Et justement, les actes préfectoraux qui sont la base légale permettant l’installation de ces caméras ne disent jamais en quoi ces dernières seraient utiles aux finalités prévues par le code de la sécurité intérieure. La vidéosurveillance est alors illégale car disproportionnée et sans justification. Nous attaquons donc le ministre de l’Intérieur qui met en place toutes ces pratiques incitatives gouvernementales qui rendent possible cette disproportion.
    Lire la plainte contre la vidéosurveillance
  • Enfin, la dernière plainte vise le fichier TES (titres électroniques sécurisés). Ce fichier rassemble les photographies de l’ensemble des personnes ayant une carte d’identité ou un passeport, c’est-à-dire à peu près tout le monde, uniquement afin de faciliter le renouvellement et la vérification des titres d’identité. Critiqué depuis sa création en 2016 au regard des énormes dangers que fait peser l’existence même d’une base centralisée de données si sensibles, nous réitérons ces alertes de deux manières. Déjà, nous pointons l’absence de nécessité et de proportionnalité de ce fichier, d’autant que depuis l’année dernière il existe une autre manière, moins intrusive, de parvenir au même objectif de facilitation de la vérification des titres (en l’occurrence, l’accès à ces données peut désormais se faire de façon décentralisée en les mettant directement sur chaque support d’identité dans une puce). Ensuite, nous dénonçons les défaillances de l’État qui a délibérément maintenu ces choix techniques, en parfaite connaissance de l’ensemble des risques posés par cette architecture centralisée sur la possibilité de détourner et utiliser abusivement le fichier (encore plus maintenant avec le perfectionnement de la reconnaissance faciale). Légalement, le ministre de l’intérieur ne remplit pas les obligations de sécurité auquel il est tenu.
    Lire la plainte contre le fichier TES

Nous demandons ainsi que l’ensemble de ces agissements de la police soient contrôlés, qu’il y soit mis fin et que le ministre de l’intérieur soit sanctionné pour avoir incité et laissé faire ces pratiques illégales.

La CNIL doit maintenant prendre en compte la voix des milliers de personnes qui ont rejoint la plainte et montrent leur opposition ferme à cette dynamique de surveillance et au déploiement de ces technologies qui échappent le plus souvent à tout contrôle. À l’heure où un règlement sur l’intelligence artificielle est débattu au niveau européen, où les marchands de la vidéosurveillance algorithmique poussent à une légalisation de leurs outils et où les Jeux olympiques de 2024 sont annoncés comme le prétexte pour l’expérimentation d’une panoplie de technologies toujours plus intrusives sous couvert de contexte sécuritaire, il est urgent d’inverser le rapport de force. Grâce à vous et à l’engouement que cette action collective a suscité, l’offensive est lancée mais la bataille contre la Technopolice ne fait que commencer !

]]> https://www.laquadrature.net/2022/09/18/mediapart-fr-apres-15-ans-de-luttes-la-quadrature-du-net-raconte/http://isyteck.com/autoblog/quadrature/index.php5?20220918_195319__Mediapart.Fr__Apres_15_ans_de_luttes__La_Quadrature_du_Net_raconteSun, 18 Sep 2022 17:53:19 +0000Fondée en 2008 par des hacktivistes s’opposant à la loi Hadopi, La Quadrature du Net a depuis été de toutes les luttes concernant le numérique. À chaque projet de texte national ou européen touchant aux données personnelles, à la surveillance, au fichage ou à la censure, elle s’est mobilisée pour alerter les médias et l’opinion publique.

Alors qu’elle fête cette année son quinzième anniversaire, quatre de ses membres viennent de publier un livre, Internet et libertés, revenant sur l’histoire de l’association, ses premiers combats, ses victoires et ses désillusions.

Mediapart a rencontré deux de ses auteurs pour évoquer ces quinze ans de militantisme et son évolution face à un monde numérique totalement transformé. (…)

https://www.mediapart.fr/journal/france/150922/apres-15-ans-de-luttes-la…

]]> https://www.laquadrature.net/?p=18885http://isyteck.com/autoblog/quadrature/index.php5?20220916_100511_Guide_pour_lutter_contre_la_videosurveillanceFri, 16 Sep 2022 08:05:11 +0000Cet article a été publié précédemment sur notre blog Technopolice

Technopolice publie aujourd’hui son premier guide pour lutter contre la vidéosurveillance sur la voie publique. Celui-ci ne se veut en aucun cas exhaustif : il détaille les différentes actions possibles ou déjà employées par des collectifs ou des personnes seules pour lutter contre l’installation de caméras dans nos rues. Il a aussi vocation à être modifié et critiqué. Aidez-nous à l’améliorer en nous envoyant un mail à contact@technopolice.fr ou directement sur le forum Technopolice.

!Télécharger le guide!

Depuis le lancement de la campagne Technopolice, nous avons essayé avec les collectifs mobilisés de documenter, analyser, et quelquefois lutter, contre le déploiement toujours plus rapide, toujours plus mortifère, des nouveaux outils de surveillance. Drones, intelligence artificielle, micros, biométrie… Aidés par la passivité des institutions censées appliquer un droit pourtant protecteur (en premier lieu la CNIL), encouragés par le gouvernement (à travers notamment des financements fléchés), les acteurs de la sécurité nous imposent leur fantasme d’une modernité technologique ultra-sécuritaire et oppressive.

Or, une grande partie de ces technologies repose sur une architecture déjà bien établie et ancrée dans notre quotidien : la vidéosurveillance. Ce sont les caméras déjà posées depuis près de vingt ans dans nos rues, nos villes, nos forêts même, qui sont aujourd’hui utilisées pour y ajouter une couche d’« intelligence articielle » : repérer des « comportements suspects », détecter des sons « anormaux », suivre une foule, reconnaître un visage ou une silhouette, tout cela dépend des dizaines de milliers de caméras installées au fil des années par les industries sécuritaires et certaines collectivités. La vidéosurveillance, c’est un peu la première pierre de la Technopolice.

C’est aussi la première carte du château de cartes que représente l’ensemble de ce dispositif : enlever cette carte, c’est fragiliser, et peut-être même faire tomber tout le reste. C’est pour cette raison que nous rédigeons ce guide, parce que la lutte contre la vidéosurveillance est consubstantielle à la lutte contre la Technopolice.

C’est aussi parce que cette lutte, contrairement à ce que l’on pourrait penser, est toujours bien présente, qu’elle motive encore de nombreux collectifs ou personnes individuelles qui refusent toujours de voir la vidéosurveillance s’installer chez elles. Parce que la vidéosurveillance n’est donc pas acceptée et que sa présence n’est pas oubliée, qu’elle suscite toujours une résistance. C’est ce que nous voyons depuis le début et encore aujourd’hui dans le cadre de Technopolice : une grande partie des messages et échanges que nous avons pu avoir avec d’autres collectifs, que ce soit sur Internet ou lors de rencontres physiques, tournaient autour des modalités de lutte contre les caméras.

Ce guide reprend donc les méthodes utilisées par diverses personnes et collectifs : cartographie des caméras, demande de documentation, pétitions, tracts, contentieux juridiques, plaintes à la CNIL… Il n’y a aucune volonté d’exhaustivité, simplement de faire le point et de passer en revue des méthodes de lutte, surtout celles qui ont été efficaces. Pour que chacune et chacun puisse s’en servir et visibiliser, dénoncer ou empêcher l’installation des caméras.

Pour lire le guide c’est ici : Guide contre la vidéosurveillance (n’hésitez pas à l’imprimer ou le partager autour de vous).

N’hésitez pas à nous faire part de vos retours sur ce guide, de votre expérience sur le sujet ou à proposer d’autres stratégies de lutte contre la vidéosurveillance, soit sur contact@technopolice.fr, soit sur le forum Technopolice

Télécharger ici la version imprimable en livret

]]> https://www.laquadrature.net/?p=18870http://isyteck.com/autoblog/quadrature/index.php5?20220914_120347_J-10_avant_le_depot_de_la_plainte_collective_contre_la_Technopolice___Wed, 14 Sep 2022 10:03:47 +0000Depuis le mois de mai, La Quadrature du Net collecte des mandats en vue d’une plainte collective contre le Ministère de l’Intérieur. Cette plainte sera déposée devant la CNIL et attaquera les quatre piliers de la Technopolice : le fichage, les caméras de vidéosurveillance, la reconnaissance faciale et la vidéosurveillance algorithmique (VSA).
A ce jour, nous avons récolté plus de 12 780 mandats c’est-à-dire plus de douze mille personnes qui nous mandatent pour attaquer le ministère de l’Intérieur. Merci !
Nous déposerons la plainte devant la CNIL samedi 24 septembre à 21h30 à l’occasion du festival Technopolice à Marseille. Il reste 10 jours pour signer et faire tourner la plainte !

Pourquoi cette plainte ?

Alors que les offensives sécuritaires du gouvernement s’enchaînent, avec notamment le nouveau projet de loi du gouvernement pour l’orientation et la programmation du ministère de l’Intérieur (LOPMI) qui arrive bientôt à l’Assemblée, que les industriels de la technopolice mettent au point des technologies de surveillance et de répression toujours plus pernicieuses et que les Jeux Olympiques 2024 et la coupe du monde de rugby l’année prochaine présagent un déploiement sans précédents de policiers, gendarmes, forces de sécurité et de leurs outils numériques de surveillance, nous avons voulu montrer qu’il était temps de mettre un stop à cette entreprise sécuritaire nationale.

La plainte attaque quatre piliers de la répression et surveillance qui se renforcent les uns les autres. Le fichage, à travers les fichiers TAJ et TES qui constituent des bases de données d’une énorme partie de la population. La reconnaissance faciale, qui est utilisée depuis 10 ans par les forces de police. Les caméras de vidéosurveillance qui se déploient de manière exponentielle sur tout le territoire. Et enfin la vidéosurveillance algorithmique, qui tente de pallier l’inefficacité des caméras classiques en automatisant la détection d’infractions. Ces quatre piliers de la Technopolice entraînent une surveillance totale de l’espace public et une répression d’autant plus conséquente qu’elle dote la police d’encore plus de moyens pour réprimer la population.

Rappelons-le, tous ces outils technopoliciers ne participent pas à améliorer notre sécurité. Ils ne font qu’augmenter la surveillance et la répression sans nous octroyer plus de libertés dans nos rues, au contraire.

Faire entendre une voix collective contre la surveillance et la répression

La plainte a pour objectif de visibiliser les luttes contre la surveillance et la répression mais aussi de remettre au centre du débat les argumentaires politiques et scientifiques retraçant le déploiement de la Technopolice et expliquant les intérêts politiques et économiques qu’ils servent. Ce discours est quasiment inaudible au sein d’une scène politique où sécurité rime avec répression et technologie et où le passage à l’échelle technologique n’est pas questionné. Donc nous vous donnons rendez-vous samedi 24 septembre à Marseille pour le dépôt de la plainte. D’ici-là, n’hésitez pas à signer et partager la plainte ici : https://technopolice.fr/plainte/

]]> https://www.laquadrature.net/?p=18858http://isyteck.com/autoblog/quadrature/index.php5?20220912_164730_La_Quadrature____15_bougies_et_un_livre___Mon, 12 Sep 2022 14:47:30 +0000La Quadrature du Net a quinze ans. Quinze ans déjà !

Des dizaines d’actions, de plaidoiries, d’articles, d’événements publics et de campagnes médiatiques nourrissent les souvenirs et les discussions des fondateurs, bénévoles, membres et salariés depuis la création de l’association au printemps 2008. Cette histoire devait-elle rester dans la seule mémoire de celles et ceux qui l’ont connue ? Quatre membres de l’association ont tenté de la raconter : en trois parties, vingt-deux chapitres et deux cent soixante pages, ils retracent à leur manière ces quinze années de militantisme grave et joyeux.

Le livre Internet et libertés décrit comment une seule ambition, toujours tenue — « défendre les droits et les libertés fondamentales à l’ère du numérique » — a conduit les militants de La Quadrature à défendre le libre partage contre l’épouvantail du « piratage » (loi Hadopi, 2008) ou à mener une lutte juridique incessante contre les dispositifs de surveillance dans les rues (campagne Technopolice, 2020). À ferrailler en France et en Europe contre des lois sécuritaires poussées par des gouvernements toujours plus autoritaires (loi Renseignement en 2015, loi Surveillance en 2016). Ou encore à s’attaquer aux mastodontes planétaires que sont les GAFAM, jusqu’à obtenir des amendes record de plusieurs centaines de millions de dollars contre Google ou Amazon, pour exploitation illégale de nos données personnelles (campagne anti-GAFAM, 2018).

Comment « cinq gus dans un Garage » et des « exégètes amateurs » ont-ils pu mener tous ces combats, et en gagner un certain nombre par-dessus le marché ?

Pour traverser cette histoire apparemment décousue, le livre trace trois lignes, trois grandes séquences à la fois chronologiques et thématiques.

La période de « la défense d’Internet » (2008-2014), c’est l’époque de la lutte contre la loi Hadopi puis le combat victorieux, à l’échelle européenne, contre le traité transatlantique ACTA, qui voulait lui aussi punir les échanges non marchands. C’est la période heureuse de l’association : de jeunes gens enthousiastes, des geeks qui savent de quoi ils parlent, affrontent des États et des gouvernements qui ne comprennent rien au Web ni aux nouvelles technologies, alors que les jeunes militants mobilisent les masses grâce aux nouveaux réseaux.

Mais la période suivante (2014-2018), celle de « l’obsession antiterroriste », est nettement plus sombre : elle montre comment les gouvernements reprennent la main, pourchassent les lanceurs d’alerte et les héros du Web libre (Aaron Swartz, Julian Assange, Chelsea Manning, Edward Snowden, etc.), accumulent les lois répressives pour « civiliser Internet » et veulent soumettre l’ensemble de nos communications à des règles de surveillance et de censure, sous prétexte de lutter en ligne contre un terrorisme qui tue, de façon terriblement réelle, dans les rues des grandes capitales mondiales.

La troisième période, la plus récente (2018-2022), est celle que vous connaissez bien, puisque nous sommes encore dedans : les techniques numériques de surveillance se sont très largement étendues dans l’ensemble de la société, sous des formes parfois anodines et d’autres fois beaucoup plus inquiétantes, depuis le traçage publicitaire sur le Web jusqu’aux algorithmes administratifs qui sanctionnent arbitrairement les bénéficiaires des minima sociaux. Dans le même temps, le vieux fantasme dystopique de la vidéosurveillance permanente, si souvent dépeint dans les œuvres de science-fiction les plus pessimistes, est devenu une réalité quotidienne et tangible avec l’utilisation de drones et de logiciels d’analyse des flux vidéo en direct. Même l’épidémie mondiale de Covid-19, malgré sa gravité médicale et humaine, a été le prétexte complaisant pour mener des expériences sans précédent de surveillance numérique des personnes jusque dans leur intimité.

Voilà comment, sans jamais dévier de sa ligne de défense des droits, de la loi « Hadopi » à la loi « Sécurité globale », La Quadrature du Net a suivi de près tous les bouleversements et les drames de la société française durant ces quinze dernières années.

Cependant, Internet et Libertés n’est ni un livre d’histoire, ni un pamphlet, ni un manifeste.

Ce n’est pas un livre d’histoire : les quatre auteurs assument le côté partiel et partial de leurs témoignages. Ce livre n’est pas une histoire « officielle » de La Quadrature du Net, écrite et revendiquée par l’association. Mais il donne à lire « une histoire de La Quadrature du Net », vue par des personnes qui l’ont vécue de l’intérieur.

Ce n’est pas un pamphlet : le livre n’est pas une longue déploration des défauts du monde, qu’on pourrait corriger avec quelques « il faut » dans un futur nécessaire mais toujours reporté. C’est le récit le plus honnête possible de combats qui ont eu lieu, au nom d’idées qui éclairent le présent et peuvent guider l’action dans les années qui viennent.

Ce n’est pas un manifeste non plus : ce n’est pas un texte dans lequel l’association, en son nom propre, donnerait sa doctrine intégrale.

C’est un récit politique, une histoire commune qui ne cache pas les détours, les erreurs, les difficultés, qui montre comment les idées viennent et comment les luttes s’organisent au gré des envies, des rencontres, de l’imprévu et de la réflexion collective. C’est un livre qui raconte La Quadrature du Net. Et surtout, c’est une histoire qui n’est pas finie. À nous de l’écrire ensemble !

Le livre paraît aux éditions Vuibert ce mardi 13 septembre.

Il est dédié à Philippe Aigrain (1949-2021), ingénieur, écrivain, et membre fondateur de La Quadrature du Net.

Internet et Libertés – 15 ans de combat de la Quadrature du Net
par Mathieu Labonde, Lou Malhuret, Benoît Piédallu et Axel Simon, 268 pages, 19,90€.
https://www.vuibert.fr/ouvrage/9782311624915-internet-et-libertes

]]> https://www.laquadrature.net/?p=18832http://isyteck.com/autoblog/quadrature/index.php5?20220907_115249_Classer_pour_dominer____petite_histoire_critique_du_fichage_en_FranceWed, 07 Sep 2022 09:52:49 +0000La campagne d’action collective contre la Technopolice se termine dans quelques semaines. Notre plainte contre le Ministère de l’Intérieur (que vous pouvez encore rejoindre ici) vise notamment deux fichiers étatiques massifs : le fichier TAJ et le fichier TES. À travers eux, nous attaquons des outils omniprésents et structurants de la surveillance policière. Car ficher, c’est organiser le contrôle et la domination de l’État sur sa population. Comment expliquer que ces pratiques aient pu émerger, se maintenir et s’ancrer si profondément dans les rouages de l’administration française au point qu’elles échappent désormais à tout véritable contrôle ?
Si on peut évidemment trouver une multitudes d’explications, nous proposons de revenir ici, sans prétention d’exhaustivité, sur l’évolution à travers le temps du fichage en France.

La création d’un savoir d’État

La volonté de l’État français d’identifier formellement sa population débute au XVIIIe siècle. Le but d’origine était formellement de « lutter contre la criminalité, la mendicité ou l’errance » en imposant à certaines personnes de s’enregistrer et de détenir des « papiers » contenant leur nom patronymique¹Voir « L’extension des fichiers de sécurité publique » – Pierre Piazza, 2009. Très vite, cette pratique est surtout utilisée dans un cadre judiciaire afin d’identifier les personnes mises en causes qui donneraient de fausses identités, empêchant ainsi la justice de restituer leur parcours criminel. C’est donc la poursuite et la reconnaissance des récidivistes – justification que l’on retrouvera à de nombreuses reprises au cours de l’histoire – qui incite à perfectionner les pratiques d’identification et notamment donner naissance à la police scientifique²Pour plus de détails, lire l’introduction du chapitre « Autour de la photographie par la contrainte » issu du catalogue de l’exposition « Fichés – Photographie et identification 1850-1960 » aux Archives de France.

C’est motivé par cette obsession – juridique et scientifique – de la recherche de l’identité qu’Alphonse Bertillon, agent au service photographique de la préfecture de police de Paris, propose en 1883 une nouvelle technique d’identification : l’anthropométrie. Cette méthode vise à associer à l’identité civile une description d’attributs physiques et corporels spécifiques à une personne afin de la reconnaître. Sont ainsi détaillés méticuleusement dans le signalement le visage – front, profil, oreilles, nez, bouche, menton – les cicatrices, grains de beauté, tatouages ou encore la colorimétrie de l’iris. S’ajoutent quelques années plus tard les empreintes digitales, que la police voit comme une garantie plus « intangible » de l’identité. La photographie, alors en plein essor, est aussitôt utilisée pour faire évoluer ce système d’identification. L’apparition de la technique de l’instantané vers 1880, et la photographie en petit format, permettent ainsi d’alimenter les fiches avec portraits de face et de profil. Le bertillonnage évolue alors vers sa version la plus « sophistiquée », les policiers pouvant se reposer sur une vraie visualisation de la personne plutôt qu’une simple description³ Voir dans le même catalogue d’exposition, le chapitre « La photographie dans l’identité judiciaire. Alphonse Bertillon et le modèle de la préfecture de police » par Pierre Piazza et Ilsen About. Déjà, on observe que la moindre invention technique est aussitôt utilisée par la police pour augmenter ses pouvoirs de coercition et de contrôle, phénomène qui se prolonge encore aujourd’hui avec notamment la captation vidéo ou l’intelligence artificielle. Dans l’opinion publique, des inquiétudes émergent à la fois sur les abus de la police mais aussi, déjà, sur la potentielle application de ce système anthropométrique à l’ensemble de la population. Des dessins et caricatures dénoncent ainsi le fait que toute personne soit perçu en criminel potentiel.

Ce perfectionnement du dispositif d’identification marque le début d’une pratique qui va se renforcer au sein de l’État, et pour les seuls intérêts de l’État, au cours des décennies suivantes. Fondé initialement sur la recherche des criminels, le bertillonnage est surtout à l’origine de la rationalisation des pratiques policières. Cette technique fait ainsi apparaître de nouveaux instruments de classement, telle que la fameuse fiche au format et au contenu standardisé, pour remplacer les signalements qui reposaient uniquement sur la mémoire des agents de police. Cette nouvelle « mémoire d’État » repose sur une organisation précise, et qui fonctionne désormais selon un « système réticulaire », conférant à la police la capacité de dominer visuellement un « matériau humain ». Elle dispose désormais d’un pouvoir facilité d’accéder et croiser des informations, organisé en réseau à travers les régions, alimentant le fantasme qu’aucune information ne puisse lui échapper. Le bertillonnage marque aussi la première étape de la biométrie en France, le corps devenant le principal élément d’identification et de contrôle. En maîtrisant les corps, l’administration peut localiser, inventorier, classer les humains⁴ Denis Vincent,« Une histoire de l’identité. France, 1715-1815», Revue d’histoire moderne & contemporaine », page 229..

Si le bertillonnage a vu le jour à Paris, ces pratiques répressives se diffusent largement dans les administrations coloniales et préfigurent le fichage des juifs cinquante ans plus tard. Ainsi, dès la fin des années 1880, le fichage se perfectionne et s’institutionnalise au sein de l’Empire colonial français. Ce « laboratoire colonial français » dont parle bien Ilsen About dans ce texte permet de mettre en pratique et à grande échelle un processus d’identification administrative homogénéisé, qui rend possible la création de sujets inférieurs et de régimes juridiques distincts. Dépassant la seule recherche des criminels et délinquants, le fichage sera notamment appliquée pour la surveillance de catégories d’individus toujours plus vastes, considérés comme « subversifs », comme les anarchistes⁵Surveiller, sanctionner et prédire les risques : les secrets impénétrables du fichage policier, Virginie Gautron, 2019. . et jouera un rôle crucial dans le contrôle et la répression de certaines populations.

Les fichages étatiques répressifs du XXe siècle

Les « nomades », c’est à dire les personnes n’ayant pas de résidence fixe, ont été le premier groupe social à être ciblé par les nouvelles méthodes de fichage, l’administration voulant à tout prix contrôler qui rentre et sort de son territoire. Créé dès 1907 pour remplacer une liste de « bohémiens », le système mis en place consistait à doter une large catégorie de personnes itinérantes d’un « carnet anthropométrique »⁶L’ensemble de cette partie est tirée du chapitre « Le contrôle des « nomades » par Emmanuel Filhol, Marie-Christine Hubert, Adèle Sutre issu du catalogue d’exposition cité plus haut.. Afin de surveiller et contrôler les déplacements, cette feuille d’identité contenait signalement, profession et photographie. Chaque modification du carnet (par exemple pour la notification d’un trajet, d’un vaccin mais aussi d’une infraction) faisait l’objet d’une notice individuelle, qui, par la suite, sont copiées et centralisées au sein d’un fichier. Ces différentes contraintes ont notamment conduit certaines familles à décider d’abandonner le mode de vie nomade qui pouvait être le leur depuis des siècles.

La surveillance s’intensifia ensuite avec la création d’un registre de visas apposé à l’entrée de chaque commune, classé chronologiquement et alphabétiquement, puis par un régime d’interdiction de déplacement d’abord pour les étrangers puis vis-à-vis de l’ensemble des « nomades » durant la Seconde Guerre mondiale. Facilitée par leur identification préalable à travers les carnets et registres instaurés depuis plusieurs décennies, l’assignation à résidence des personnes « nomades» se met en place, et sera rapidement remplacée par un internement à partir de 1940. Libérées en 1946, elles resteront cependant soumises au carnet jusqu’à son abrogation en 1969⁷Le carnet est remplacé à ce moment là par le livret de circulation dont la suppression n’a été votée par l’Assemblée nationale qu’en 2015. Le déplacement des populations et la connaissance de qui entre et sort dans un territoire reste une des justifications majeures de l’État pour le fichage.

Durant la Seconde Guerre mondiale, le fichage a joué un rôle majeur et continu dans la persécution et le génocide de la population juive. Après la découverte du « fichier juif » par Serge Klarsfeld dans les années 1990, une commission nationale fut chargée d’enquêter sur les pratiques de la police française pendant la guerre. La lecture du rapport est édifiante : y est décrit le savoir faire rigoureux et zélé de la police française, à la fois en zone occupée et au sein du régime de Vichy, pour identifier et réprimer les personnes juives en France.

Déjà, chaque processus de fichage était précédé d’une phase d’identification, par recensement ou à travers la généralisation, à partir de 1940, de l’obligation de disposer d’une carte d’identité sur laquelle était apposée la mention « Juif » . Comme il est énoncé dans le rapport, «le binôme recensement-fichier a presque toujours servi à mieux identifier pour surveiller, contrôler, et au fil des mois, arrêter, interner, voire déporter»⁸ Voir page 61 du rapport.. C’est ainsi qu’en zone occupée, un recensement général a été entrepris dès l’automne 1940 afin de créer un fichier central couvrant Paris et les arrondissements de la Seine, sous la direction d’André Tulard, fonctionnaire de la préfecture de police passé par le service des étrangers et le bureau des passeports et des naturalisations. Un « dossier juif » était alors ouvert pour chaque famille et chaque personne célibataire, puis était ensuite classé méticuleusement selon quatre sous-fichiers : alphabétique (avec la lettre J sur le coin gauche) ; par nationalité (J sur le coin gauche, N sur le coin droite) ; par domicile (par rue et numéro) (J à gauche, D à droite) ; par profession (J à gauche, P à droite). La couleur des fiches permettait également de classer entre juifs français (fiche bleue) et étrangers ou apatrides (fiche orange et beige). La mise en œuvre du fichier « Tulard » impressionna à la fois les occupants allemands et les responsables de Vichy, ce qui poussa ces derniers à imposer aux préfets de la zone Sud un recensement de la population juive. Conçu sur un modèle similaire de couleurs et de catégories (français, étrangers, entreprises), le fichier de Vichy rassembla à la fin plus de 110 000 fiches.

Ces fichiers centraux étaient accompagnés d’une multitude de listes de personnes juives (par exemple, celles qui disposaient d’un appareil de télégraphie, étaient propriétaires d’une bicyclette ou avaient retiré l’étoile juive) tenues par l’administration pour contrôler le respect des lois restrictives et limiter les déplacements. Mais surtout, ils ont été un instrument direct des rafles et de la déportation à partir de 1942. S’il fallait un exemple, le sous-fichier des nationalités du fichier Tulard a permis de planifier les arrestations et internements pendant les rafles des juifs étrangers, les fiches étant extraites avant chaque action⁹Lors de la rafle du Vel’ d’Hiv, Tulard et les hommes de son service en sortirent 25 334 pour Paris intra-muros et 2 027 pour les communes de la proche banlieue, voir page 106 du rapport.. Si le processus de fichage a été multiple et varié au cours de la guerre, en aucun cas il n’a été ponctuel. Fruit du savoir-faire de l’administration française, le fichage était le vecteur d’une véritable politique de surveillance et de persécution des juifs, facilitant directement la déportation voulue par l’occupant allemand.

Dernier exemple de cette pratique d’État, le fichage de la population algérienne en France métropolitaine a démontré la multiplicité des manœuvres mises en place pour contrôler et surveiller des personnes à titre « préventif » en temps de conflit. Si aucun fichier central n’a vu le jour dans ce cas précis, ce n’est que faute de temps et de moyens, car plusieurs initiatives de l’administration et de la préfecture de police de Paris allèrent en ce sens. D’une part, la brigade des agressions et des violences, créée en 1953 sous le prétexte de la lutte contre la délinquance de rue, photographiait et identifiait les nord-africains interpellés à la suite de rafles, afin d’alimenter un fichier. Ensuite, pendant la guerre, une circulaire du 5 août 1957 organisait la création d’un fichier national des individus dangereux ou à surveiller résidant en métropole, appelé le « fichier Z ». Deux autres circulaires de 1957 et 1958 ont ensuite précisé les catégories d’individus à ficher, dont notamment les agents nationalistes que la police souhaitait éliminer, classés dans une sous-rubrique de ce fichier Z¹⁰Informations tirées du chapitre « Le fichage des émigrés d’Algérie (1925-1962) » par Emmanuel Blanchard dans le catalogue d’exposition précité..

D’autre part, l’État français procédait à l’identification généralisée des Français musulmans d’Algérie en métropole. Prenant le prétexte du risque de fraude, il imposait l’obligation de détenir une carte d’identité permettant en réalité de mettre en place un vaste fichier à partir de l’enregistrement des demandes de carte, renforçant la surveillance administrative. Plusieurs rafles ont également eu lieu entre 1958 et 1961 afin d’inciter les Algériens à s’adresser au Service d’assistance technique aux Français musulmans d’Algérie (SAT-FMA). Officiellement créé pour leur apporter une aide, ce service visait en réalité à alimenter le renseignement et créer des dossiers individuels. Jusqu’à 100 000 dossiers ont ainsi été créés en région parisienne et plusieurs projets de grands fichiers mécanographiques et d’enquêtes sociologiques étaient dans les cartons de ce service. Ce fichier francilien a notamment été utilisé jusqu’en juillet 1962, chaque fois qu’un Français musulman d’Algérie était appréhendé par un service de police afin de déterminer s’il avait commis des « actions anti-françaises ».¹¹Semblables et pourtant différents.. La citoyenneté paradoxale des « Français musulmans d’Algérie » en métropole, Alexis Spire, 2003

Ces trois exemples illustrent à quel point les pratiques de fichage ont été omniprésentes dans les processus de répression, mais également comment l’administration les développaient en toute opacité. L’apparition de l’informatique fait passer le fichage à des échelles encore plus préoccupante, précipitant un nécessaire débat public.

Fichage informatisé et échec de la critique politique

Dès les années 1960, l’informatique était perçue comme un instrument de modernisation du pays et l’institution policière a rapidement voulu adopter ces nouveaux outils. Permettant de rationaliser et mettre de l’ordre dans la multitude de fichiers éparpillés, l’informatisation augmentait aussi les capacités de traitement et permettait les croisements entre fichiers là ou la mécanographie ne permettait que de simples tris¹²« Vers une remise en cause de la légalité du FNAEG ? », Ousmane Guey et François Pellegrini . Dans cette dynamique est créée en 1966 une « direction des écoles et techniques » afin de mener les réflexions au sein de l’institution et assurer l’unité de la formation et l’homogénéité des méthodes et techniques de la police. Ces réflexions, associées aux capacités récentes de recouper de façon automatisée un grand nombre d’informations, ont alors nourri un nouveau projet : celui d’attribuer un identifiant unique à chaque personne dans le Système automatisé pour les fichiers administratifs et répertoires des individus (SAFARI)¹³« Le désordre assisté par ordinateur : l’informatisation des fichiers de police en France», Cahiers de la sécurité, Eric Heilmann, 2005 .

Révélé et dénoncé en 1974 par le journal Le Monde dans l’article intitulé « « Safari » ou la chasse aux Français », le projet suscita de fortes réactions. Pour l’auteur de l’article, Philippe Boucher, la base de données donnerait une « puissance sans égal » à celui qui la posséderait, mettant au cœur du débat la question de la détention et de la centralisation par l’État d’informations sur l’ensemble de sa population. Finalement abandonné face à la controverse, le projet SAFARI déboucha sur une commission d’enquête qui donna naissance à la Commission nationale de l’informatique et des libertés (CNIL) et à la loi Informatique et Libertés du 6 janvier 1978, socle de la protection des données personnelles encore en vigueur aujourd’hui. Au-delà de la création d’un encadrement juridique, cet épisode marque une amorce de politisation sur le sujet. Cette réflexion avait d’ailleurs débuté avant ce scandale, le directeur du « service des écoles et techniques » mentionné plus haut écrivait lui-même en 1969 :

« La mise en mémoire d’un certain nombre de données n’est-elle pas attentatoire à la liberté et même à la dignité de l’homme ? Ne présente t-elle pas des dangers si nous connaissons à nouveau comme naguère la férule d’un État totalitaire, le joug d’une police politique orientée non vers le maintien de l’ordre public, la prévention et la répression des crimes, mais vers l’asservissement des citoyens libres, privés par une minorité de leurs moyens d’expression ? Le problème vaut qu’on y réfléchisse longuement et profondément.¹⁴ Cité dans l’article d’Eric Heilmann

Il apparaît alors de plus en plus évident que si une administration peut disposer, organiser, classer des informations sur les personnes, cela n’est pas politiquement neutre. Elle retire de cette connaissance un pouvoir, une possibilité de contrôle qui doit nécessairement être limitée. Cette prise de conscience et la politisation collective des enjeux, assortie d’institutions et d’un encadrement juridique novateurs, auraient pu laisser penser que la problématique du fichage avait été cernée de manière suffisamment forte par la société pour être maîtrisée, afin d’empêcher les dérives. Malheureusement ce ne fut pas le cas, ces pratiques d’identification de surveillance étant probablement bien trop ancrées dans les rouages de l’institution policière.

Dès les années 1980, avec la généralisation des ordinateurs, la police commençait à collecter des informations de façon massive et désordonnée. Plutôt que de limiter ces pratiques, il fut au contraire décidé de rationaliser et d’organiser cette quantité de données au sein de fichiers centralisés pour en tirer une utilité. C’est dans ce contexte qu’est apparue l’idée du fichier STIC (Système de traitement des infractions constatées), visant à intégrer toutes les informations exploitées par les services de police dans une seule et même architecture, accessible à tous les échelons du territoire¹⁵« Défavorablement connus », Jean-Marc Manach, Pouvoirs, 2018. Finalement mis en œuvre et expérimenté dans les années 1990, le fichier STIC cristallisa de nombreuses tensions entre le Ministère de l’Intérieur et la CNIL qui durent négocier pendant plusieurs années afin d’en fixer le cadre légal. Si la CNIL a obtenu des garanties dans un accord à l’arrachée en 1998, cette victoire a paradoxalement signé la fin de son influence et de sa légitimité. En effet, dans les années qui suivirent, toutes les réserves qu’elles avait pu obtenir ont été ostensiblement bafouées. Mais surtout, cette longue bataille qui avait concrètement ralenti et empêché le développement du fichier souhaité par le Ministère poussa le gouvernement à supprimer par la suite le pouvoir d’autorisation attribué à la CNIL afin de ne plus être gêné dans ses projets. C’est pourquoi, en 2004, la modification de la Loi pour la confiance dans l’économie numérique (LCEN) acta la suppression du pouvoir de contrainte de la CNIL pour le transformer en simple avis consultatif. Cela signifie qu’elle ne dispose plus de l’autorité nécessaire pour empêcher ou limiter la création de fichiers de police par le gouvernement. Cette modification législative marque un tournant dans le droit des fichiers et des données personnelles ainsi que dans la pratique policière. Les garde-fous ayant sauté, l’espace politique pour parvenir à une surveillance massive se libère, les limites légales devenant purement cosmétiques.

Malgré l’encadrement légal, le fichage s’emballe

Aujourd’hui, la dérive du fichage est vertigineuse et plusieurs phénomènes peuvent en témoigner. Déjà, l’inflation ahurissante du nombre de fichiers : plus de 70 fichiers créés entre 2004 et 2018¹⁶Chiffre issu du rapport des députés Didier Paris et Pierre Morel-À-L’Huissier, à partir de l’annexe faisant état de 106 fichiers mis à disposition de la police. Ensuite la déconstruction progressive des principes protecteurs de la loi Informatique et Libertés, comme la proportionnalité et la nécessité, a vidé de toute effectivité les contre-pouvoirs censés limiter et encadrer les fichiers. Prenons quelques exemples symptomatiques de cette lente artificialisation du cadre protecteur des libertés.

La première illustration est une pratique législative devenue banale : un fichier est créé pour une finalité très restreinte, liée à des circonstances exceptionnelles, ce qui lui donne une apparence de proportionnalité en termes juridiques. Cependant, des réformes successives vont élargir son objet et son périmètre, transformant sa nature et son échelle La légalité originelle se retrouve alors obsolète et artificielle. L’exemple le plus significatif et affolant est celui du fichier national automatisé des empreintes génétiques (FNAEG). Créé en 1998, suite à l’affaire Guy Georges, ce fichier avait pour vocation d’identifier les personnes récidivistes des infractions sexuelles les plus graves à l’aide de leur ADN, ainsi que les personnes disparues et les corps non identifiés. Mais seulement trois années plus tard, en 2001, la loi pour la sécurité quotidienne élargit la collecte de l’ADN aux crimes graves aux personnes (crimes contre l’humanité, tortures, homicides volontaires,proxénétisme…)¹⁷voir Article 56 de la loi n°001-1062 du 15 novembre 2001 relative à la sécurité quotidienne . C’est ensuite la loi sur la sécurité intérieure de 2003 qui l’étend à de simples délits d’atteinte aux personne et aux biens (tels que les vols ou les tags)¹⁸ La loi n°2003-239 du 18 mars 2003 sur la sécurité intérieure (dite loi Sarkozy), dans son article 29, élargit l’usage du FNAEG à de simples délits (vol, tag, arrachage d’OGM, etc.) et permet aussi d’inclure des personnes simplement soupçonnées d’avoir commis des crimes contre l’humanité, violences volontaires, menaces d’atteintes aux personnes, trafic de stupéfiants, de traite des êtres humains, de proxénétisme, d’exploitation de la mendicité, d’atteintes aux intérêts fondamentaux de la nation, d’actes de terrorisme, de fausse monnaie, d’association de malfaiteurs, mais également de vols, d’extorsions, d’escroqueries, destructions, dégradations, détériorations ou menaces d’atteintes aux biens. et permet aussi d’inclure la collecte de l’ADN des personnes simplement soupçonnées d’avoir commis une de ces infractions. Alors qu’il était conçu pour des situations exceptionnelles, le FNAEG contenait en 2020 les données de 4 868 879 de personnes, soit plus de 7 % de la population française, et en 2015, 76 % de ces profils concernent des personnes non condamnées¹⁹« Vers une remise en cause de la légalité du FNAEG », Ousmane Guey et François Pellegrini, cité plus haut, page 10.. En prenant en compte la parentèle, c’est-à-dire les personnes partageant des éléments non codants d’ADN pouvant révéler des liens familiaux, ce chiffre peut être quintuplé. Conservé jusqu’à 40 ans pour les personnes condamnées, 25 ans pour les mis en causes, l’ADN peut également être partagé au niveau européen dans le cadre de la coopération permise par le Traité Prüm. Aujourd’hui l’ADN est relevé très fréquemment par la police sur toute personne en garde à vue et peut même l’être après condamnation, le refus de le donner pouvant être sanctionné par la loi.

Deuxième méthode pour étendre l’emprise d’un fichier : l’élargissement au cours du temps du nombre de personnes ayant accès au fichier ou de la nature des données collectées. Par exemple, trois fichiers de renseignement administratif (dont vous nous parlions ici) ont récemment été amendés pour que soient ajoutées aux éléments collectés les opinions politiques, l’état psychologique ou encore les informations postées sur les réseaux sociaux. Parallèlement, si les fichiers ne sont pas automatiquement croisés ou interconnectés, des interfaces ou logiciels permettent de favoriser leur lecture simultanée. L’information originellement collectée change nécessairement de nature quand elle peut être recoupée avec une autre recueillie dans un contexte totalement différent. Parmi ces outils, nous pouvons citer le système Accred (Automatisation de la consultation centralisée de renseignements et de données) qui permet la consultation automatique et simultanée de 11 fichiers dits « généraux »,²⁰Plus précisément les fichiers EASP, PASP, GIPASP, FPR, N-SIS II, le FSPRT, le fichier des véhicules volés ou signalés (FoVES), CRISTINA, GESTEREXT, SIREX et le fichier de la DGSE. dans le cadre d’enquêtes administratives (quand on postule à un emploi lié au secteur public) ou pour une demande d’un premier titre de séjour, un renouvellement de titre de séjour ou une demande de nationalité française.

Enfin, le troisième symptôme de cette dérive est la perte de pouvoir et d’influence de la CNIL, déjà évoquée plus haut. Alors qu’elle est tenue dans ses missions officielles de vérifier la « bonne » tenue des fichiers, elle s’est progressivement désinvestie de tout contrôle de leur usage a posteriori par la police. Pourtant, par le passé, la CNIL avait pu effectuer des contrôles généraux et demander l’effacement de presque 20 % des données du fichier STIC en 2007²¹« Défavorablement connus », Jean-Marc Manach, cité plus haut. ou, après avoir constaté les multiples erreurs et inexactitudes des fiches, à exiger une refonte des données avant sa fusion avec le JUDEX dans le TAJ en 2011. Mais aujourd’hui, la Commission a changé ses priorités et semble se consacrer principalement à l’accompagnement des entreprises et non plus au contrôle de l’administration étatique. Les seules vérifications de fichiers font suite à des demandes individuelles reposant sur le droit d’accès indirect des particuliers, soit quelques milliers de cas par an, sur plusieurs millions de fiches (ce que la CNIL commente sommairement dans ses rapports annuels²²Voir par exemple, p48 du rapport annuel 2021 de la CNIL, mai 2022).

Ainsi, en pratique, les contraintes censée empêcher le fichage massif et injustifié sont devenues dérisoires face à la masse d’informations collectées et exploitées au quotidien. À travers notre plainte collective, nous voulons pousser la CNIL à retourner à son rôle originel, à imposer les limites de la surveillance d’État et à s’ériger en véritable contre-pouvoir. Le fichier TAJ — qui contient 20 millions de fiches de personnes ayant eu un contact avec la police — est l’exemple même d’un fichier devenu tentaculaire et démesuré, tout agent de police et de gendarmerie pouvant potentiellement y avoir accès. Le fichier TES, quant à lui, est l’incarnation du rêve d’identification biométrique de Bertillon, puisqu’il contient la photographie de toute personne disposant d’un titre d’identité en France, soit la quasi-totalité de la population. Officiellement créé à des fins d’authentification et de lutte contre la fraude, son modèle centralisé et son échelle constituent à eux seuls des sources de risques²³L’Institut national de recherche en informatique et en automatique (Inria), avait publié une intéressante étude sur le fichier TES et les architectures alternatives qui auraient pu être choisies , ce qui a longtemps justifié qu’il ne soit pas mis en place (alors que sa création était souhaitée depuis des années, comme l’explique Jean-Marc Manach dans cet article). Par son existence même, ce fichier fait naître la possibilité qu’il soit utilisé comme base de données policière à des fins d’identification de la population et c’est pourquoi nous en demandons la suppression (plus d’informations sur ces deux fichiers sont développées sur le site de la plainte collective).

Le fichage, porte d’entrée vers la reconnaissance faciale généralisée

L’évolution du fichage en France conduit à un constat amer : la question de l’identification de la population par l’État a été consciencieusement dépolitisée, laissant toute liberté aux pouvoirs publics pour multiplier la collecte d’informations sur chacun d’entre nous, sous prétexte de prévenir tous les dangers possibles. Les limitations pensées dans les années 1970 sont aujourd’hui balayées. Aucune remise en question des moyens et finalités n’est effectuée et les rares fois où le fichage est questionné, il est systématiquement validé par le Conseil d’État qui ne voit jamais rien à redire.La seule réponse juridique aujourd’hui semble individuelle et consisterait à ce que chacun demande le retrait de son nom dans les fichiers d’État (pour cela, la caisse de solidarité de Lyon a fait un excellent travail de recensement des fichiers de police, vous pouvez lire ici leur brochure et utiliser leurs modèles de courrier afin de demander si vous êtes fichés !).

Avec l’apparition des techniques d’intelligence artificielle, et principalement la reconnaissance faciale, ce système de fichage généralisé fait apparaître de nouvelles menaces. Les deux obsessions qui ont motivé le développement du fichage tout au long du XXe siècle, à savoir la capacité d’identifier les personnes et de contrôler leurs déplacements, pourraient aujourd’hui être satisfaites avec le stade ultime de la biométrie : la reconnaissance faciale. En France, la police est autorisée depuis 10 ans à comparer quotidiennement les visages contenus dans la base de données du fichier TAJ à ceux captés par les flux de vidéosurveillance ou provenant de photos sur les réseaux sociaux. En parallèle, le système européen de contrôle d’entrée/sortie, dit EES, dont la création a été décidée en 2017 dans le cadre du projet « frontières intelligentes » (« smart borders ») et qui devrait être mis en œuvre d’ici la fin de l’année 2022, contient une base de données de visages des personnes arrivant de pays tiers. Il a pour but de de remplacer le cachet sur le passeport et rendre automatique le passage aux frontières via reconnaissance faciale²⁴Voir la description du projet sur le site de Thalès : « La biométrie au service des frontières intelligentes » . Toujours au niveau européen, les projets de réforme des base de données Eurodac (concernant les personnes exilées demandeuses d’asile et qui permet déjà aujourd’hui la comparaison des empreintes digitales) et Prüm II (qui prévoit l’interconnexion des fichiers de police des États membres) ont pour but d’inclure l’image faciale.

La généralisation de cette technologie ne pourrait avoir lieu sans la préexistence de mégafichiers et d’une culture de la collecte d’informations, qui sont désormais toutes deux bien établies. Le fichage généralisé est aujourd’hui la porte d’entrée vers la reconnaissance faciale et l’identification des masses par les États. Au-delà de la capacité de surveillance qu’il confère à la police par l’exploitation et la transmission d’informations, c’est la fin de l’anonymat dans l’espace public et le contrôle total des déplacements individuels qui seront permis par le fichage numérique.

Afin de mettre un coup d’arrêt à ce système de surveillance avant qu’il ne soit trop tard, rejoignez la plainte collective sur plainte.technopolice.fr

References[+]

References

↑1	Voir « L’extension des fichiers de sécurité publique » – Pierre Piazza, 2009
↑2	Pour plus de détails, lire l’introduction du chapitre « Autour de la photographie par la contrainte » issu du catalogue de l’exposition « Fichés – Photographie et identification 1850-1960 » aux Archives de France
↑3	Voir dans le même catalogue d’exposition, le chapitre « La photographie dans l’identité judiciaire. Alphonse Bertillon et le modèle de la préfecture de police » par Pierre Piazza et Ilsen About
↑4	Denis Vincent,« Une histoire de l’identité. France, 1715-1815», Revue d’histoire moderne & contemporaine », page 229.
↑5	Surveiller, sanctionner et prédire les risques : les secrets impénétrables du fichage policier, Virginie Gautron, 2019.
↑6	L’ensemble de cette partie est tirée du chapitre « Le contrôle des « nomades » par Emmanuel Filhol, Marie-Christine Hubert, Adèle Sutre issu du catalogue d’exposition cité plus haut.
↑7	Le carnet est remplacé à ce moment là par le livret de circulation dont la suppression n’a été votée par l’Assemblée nationale qu’en 2015
↑8	Voir page 61 du rapport.
↑9	Lors de la rafle du Vel’ d’Hiv, Tulard et les hommes de son service en sortirent 25 334 pour Paris intra-muros et 2 027 pour les communes de la proche banlieue, voir page 106 du rapport.
↑10	Informations tirées du chapitre « Le fichage des émigrés d’Algérie (1925-1962) » par Emmanuel Blanchard dans le catalogue d’exposition précité.
↑11	Semblables et pourtant différents.. La citoyenneté paradoxale des « Français musulmans d’Algérie » en métropole, Alexis Spire, 2003
↑12	« Vers une remise en cause de la légalité du FNAEG ? », Ousmane Guey et François Pellegrini
↑13	« Le désordre assisté par ordinateur : l’informatisation des fichiers de police en France», Cahiers de la sécurité, Eric Heilmann, 2005
↑14	Cité dans l’article d’Eric Heilmann
↑15	« Défavorablement connus », Jean-Marc Manach, Pouvoirs, 2018
↑16	Chiffre issu du rapport des députés Didier Paris et Pierre Morel-À-L’Huissier, à partir de l’annexe faisant état de 106 fichiers mis à disposition de la police
↑17	voir Article 56 de la loi n°001-1062 du 15 novembre 2001 relative à la sécurité quotidienne
↑18	La loi n°2003-239 du 18 mars 2003 sur la sécurité intérieure (dite loi Sarkozy), dans son article 29, élargit l’usage du FNAEG à de simples délits (vol, tag, arrachage d’OGM, etc.) et permet aussi d’inclure des personnes simplement soupçonnées d’avoir commis des crimes contre l’humanité, violences volontaires, menaces d’atteintes aux personnes, trafic de stupéfiants, de traite des êtres humains, de proxénétisme, d’exploitation de la mendicité, d’atteintes aux intérêts fondamentaux de la nation, d’actes de terrorisme, de fausse monnaie, d’association de malfaiteurs, mais également de vols, d’extorsions, d’escroqueries, destructions, dégradations, détériorations ou menaces d’atteintes aux biens.
↑19	« Vers une remise en cause de la légalité du FNAEG », Ousmane Guey et François Pellegrini, cité plus haut, page 10.
↑20	Plus précisément les fichiers EASP, PASP, GIPASP, FPR, N-SIS II, le FSPRT, le fichier des véhicules volés ou signalés (FoVES), CRISTINA, GESTEREXT, SIREX et le fichier de la DGSE.
↑21	« Défavorablement connus », Jean-Marc Manach, cité plus haut.
↑22	Voir par exemple, p48 du rapport annuel 2021 de la CNIL, mai 2022
↑23	L’Institut national de recherche en informatique et en automatique (Inria), avait publié une intéressante étude sur le fichier TES et les architectures alternatives qui auraient pu être choisies
↑24	Voir la description du projet sur le site de Thalès : « La biométrie au service des frontières intelligentes »

]]> https://www.laquadrature.net/?p=18819http://isyteck.com/autoblog/quadrature/index.php5?20220905_154414_Financement_regional_de_drones_policiers____l___Ile-de-France_dans_l___embarrasMon, 05 Sep 2022 13:44:14 +0000En début d’année, La Quadrature du Net s’associait aux élu·es de la région Île-de-France mobilisé·es contre le subventionnement illégal de drones municipaux par la région. Mise sous pression, la majorité régionale, embarrassée, commence à admettre l’illégalité de cette subvention, mais tente de gagner du temps.

Le 13 décembre dernier, le Conseil régional d’Île-de-France ouvrait les financements régionaux à l’équipement en drones des polices municipales. À la clé : 300 000 € à disposition des communes franciliennes qui voudraient équiper leurs polices municipales de drones de surveillance. Mais deux obstacles à cela : premièrement, une région n’est pas compétente pour subventionner l’équipement de police municipale car elle ne dispose d’aucun pouvoir en matière de sécurité ; deuxièmement, l’usage de drones par les forces de police municipale a été censuré par le Conseil Constitutionnel et la loi ne les autorise donc pas.

Si juridiquement cette subvention est entièrement illégale, la méthode politique pour la faire passer n’en est pas moins affolante, puisque la majorité régionale n’hésite pas à mentir, affirmant lors des débats sur le budget que de tels drones seraient légaux (alors qu’il n’en est rien, voir notre article).

Face à ce tour de force contraire aux libertés publiques et individuelles, La Quadrature du Net et le groupe de la Gauche Communiste, Écologiste et Citoyenne ont engagé une démarche commune et porté en début d’année un recours devant le tribunal administratif de Montreuil pour tenter de faire respecter l’État de droit.

La droite régionale divisée entre rétropédalage et maintien de ses mensonges

Plusieurs mois après la dénonciation de cette délibération illégale, l’exécutif régional se retrouve embarrassé. D’un côté, Frédéric Péchenard, le vice-président du Conseil régional chargé de la Sécurité et de l’Aide aux victimes, a admis publiquement en commission permanente que ces drones sont bien illégaux et que la région Île-de-France n’engagerait pas les fonds prévus. Mais, de l’autre côté, Vincent Jeanbrun, maire de L’Haÿ-les-Roses et président du groupe régional majoritaire, maintenait ses mensonges en soutenant que le droit actuel autoriserait l’usage de drones par des polices municipales. Peut-être a-t-il oublié l’interdiction, par deux fois, des drones par le Conseil d’État, bien que les élu·es communistes le lui rappellent systématiquement (voir ici et là)…

Quoiqu’il en soit, cette concession de l’exécutif de la région Île-de-France constitue bien une première victoire contre les projets sécuritaires de la droite régionale, très sensible aux lobbys de la Technopolice.

Nouvelle stratégie de la droite régionale : gagner du temps pour sauver son « bouclier de sécurité »

Derrière le financement des drones par la région Île-de-France se cache une autre bataille : celle du programme sécuritaire régional, le « bouclier de sécurité ». Depuis 2016 et l’arrivée de Mme Pécresse à la tête de la région, le Conseil régional finance massivement les équipements de polices municipales et autres programmes sécuritaires. Le financement des drones que nous avons attaqué n’est qu’un minuscule bout de cette technopolice francilienne : armes létales, vidéosurveillance dans les lycées ou encore centre de supervision XXL des caméras de vidéosurveillance.

Et ce recours dérange la région bien au-delà de la question des drones : nous avons mis en évidence l’incompétence d’une région pour financer des équipements de police municipale. Fin 2020, le tribunal administratif de Marseille avait déjà annulé une partie du budget de la région PACA en raison de cette incompétence. Le tribunal administratif de Montreuil pourrait faire de même et mettre fin au financement technopolicier régional, posant ainsi le principe, pour toutes les régions, qu’elles ne peuvent pas financer la Technopolice.

Le préfet de région ne s’était pas non plus trompé sur ce point : par un recours gracieux (c’est-à-dire adressé à la région et non à un tribunal) contre une autre partie de ce « bouclier de sécurité », il mettait en avant l’incompétence de la région pour financer l’équipement d’une police municipale (voir son recours gracieux).

À ce jour, la région n’a toujours pas défendu l’affaire des drones devant le tribunal administratif, c’est-à-dire qu’elle n’a pas répondu aux critiques que nous lui faisons, alors même qu’elle a déjà fait connaître sa position au préfet de région. Ainsi, la droite régionale gagne du temps, afin de retarder le moment où l’affaire sera jugée. Or, tant que l’incompétence de la région ne sera pas formellement affirmée par la justice, et bien que l’exécutif se soit engagé à ne pas utiliser les fonds alloués aux drones, l’ensemble du « bouclier de sécurité » restera en place.

Voilà le niveau de respect démocratique de la droite régionale : l’exécutif francilien sait que la région a prévu un financement de drones illégaux et l’admet, mais s’abstient de le dire au tribunal administratif pour retarder le moment où ce système sécuritaire devra être arrêté.

Ces dernières années, de plus en plus de pouvoirs sont offerts aux polices municipales, dans une logique toujours plus sécuritaire. Le « continuum de sécurité » théorisé par le ministère de l’Intérieur et dans lequel s’engouffre Mme Pécresse n’est qu’un appel du pied à la Technopolice, qui bénéficie alors de multiples financements. Ce recours contre les subventions de drones par la région Île-de-France aura permis de mettre en lumière des années d’illégalité de ces financements franciliens. Dans quelques semaines, La Quadrature lancera une nouvelle étape de lutte contre ces dérives sécuritaires en déposant, à l’occasion du festival Technopolice à Marseille qui se déroulera du 22 au 24 septembre prochains, une plainte collective contre la vidéosurveillance, le fichage et la reconnaissance faciale. Il est encore temps de signer la plainte et de participer à l’action collective !

]]> https://www.laquadrature.net/?p=18809http://isyteck.com/autoblog/quadrature/index.php5?20220823_161349_Festival_Technopolice_MarseilleTue, 23 Aug 2022 14:13:49 +0000Il y a trois ans, La Quadrature lançait l’initiative Technopolice avec le soutien d’une vingtaine d’associations. Cette initiative avait pour but de donner les outils aux habitantes et habitants des villes pour se saisir de la lutte contre la surveillance localement. Le premier groupe militant que nous avons vu naître est le collectif Technopolice Marseille, qui enchaîne conférences, expositions artistiques, cartographies de caméras et actions de rue contre les dispositifs de surveillance de la ville.
Aujourd’hui, à l’initiative du collectif Technopolice Marseille, nous sommes heureux de vous annoncer la première édition du Festival Technopolice.

Il se déroulera du 22 au 24 septembre à Marseille et consistera en des séances de projections de films sur la surveillance des villes et la lutte contre la Technopolice. Les séances seront suivies de discussions croisées avec des chercheureuses, des réalisateurices, les militants et militantes contre la Technopolice, notamment Technopolice Belgique, Technopolice Paris et la Share Foundation, association serbe, qui se bat contre la reconnaissance faciale dans les rues de Belgrade. Au cours du festival vous pourrez participer à une promenade cartographique pour apprendre à repérer les caméras et discuter avec d’autres militants.
Le 24 septembre à 21h30, nous déposerons ensemble la plainte collective contre la Technopolice lancée le 24 mai dernier. Pensez bien à rejoindre la plainte avant cette date !
Le dépôt de la plainte sera suivi d’un concert du groupe de musique marseillais Technopolice et son garage groovy aux accents surf.

Retrouvez le programme du festival sur technopolice.fr/festival

]]> https://www.laquadrature.net/?p=18799http://isyteck.com/autoblog/quadrature/index.php5?20220729_131135_Generalisation_de_la_censure_automatisee____le_Conseil_constitutionnel_est_saisiFri, 29 Jul 2022 11:11:35 +0000 L’Assemblée nationale a adopté définitivement la proposition de loi relative à la « diffusion de contenus à caractère terroriste en ligne », issue du règlement européen de censure terroriste que nous avons longuement combattu ces dernières années. En réaction, des député·es viennent de saisir le Conseil constitutionnel. Il s’agit de l’ultime recours pour empêcher l’application de ce dispositif déjà jugé attentatoire à la liberté d’expression et qui mettrait fin à l’internet décentralisé.

La dernière étape d’un long combat

Entre 2019 et 2021, aux cotés de nos allié·es européen·nes, nous avons mené campagne contre le règlement de « censure terroriste ». Poussé par l’Allemagne et la France, ce texte affichait l’objectif de la lutte contre le terrorisme pour imposer un régime de censure administrative à l’ensemble des acteurs du Web, y compris les petites infrastructures qui construisent l’internet décentralisé. Adopté rapidement, malgré l’opposition de nombreuses associations, le contenu du règlement doit aujourd’hui rentrer dans le droit national français.

Que prévoit exactement ce texte ? Il donne au pouvoir administratif, et donc à la police, la capacité d’ordonner à tout hébergeur de retirer en une heure un contenu qu’elle aura identifié comme à caractère « terroriste ». Ces demandes pourront concerner une multitude de services en ligne, qu’il s’agisse de plateformes, réseaux sociaux, hébergeurs de vidéos ou de blogs, peu importe leur taille dès lors qu’ils sont localisés dans l’Union européenne. Cette injonction sera directement transmise à ces fournisseurs de services, sans que l’intervention d’un juge ne confirme ou non le bien-fondé de la demande. Si des recours sont possibles, ils n’arrivent qu’a posteriori, une fois la censure demandée et exécutée. Et si un contenu n’est pas retiré, une sanction allant jusqu’à 250 000 € par contenu non-retiré, ou 4% du chiffre d’affaires mondial annuel en cas de récidive, pourra être prononcée en France.

En France, l’autorité en charge d’envoyer ces demandes sera l’OCLCTIC, autorité déjà autorisée à demander le blocage de site en 24h depuis 2014 pour apologie et provocation au terrorisme. De plus, les hébergeurs seront tenus, et pourront être forcés par l’ARCOM (nouvelle institution fusionnant le CSA et la HADOPI), de lutter contre la diffusion de ces contenus à caractère « terroriste » sous peine de sanction de 4% du chiffre d’affaire mondial annuel. L’ARCOM pourra notamment demander de mettre en place des « mesures techniques », et les plateformes pourront utiliser des filtres fondés sur l’intelligence artificielle capables de détecter de façon automatisée certaines images ou certains textes dès leur publication.

Un texte dangereux et liberticide

Nous avons dénoncé depuis longtemps les nombreux dangers que présente ce texte. Non seulement la censure n’est ni le procédé le plus utile ou efficace pour lutter contre le terrorisme, mais sa généralisation aura des dommages collatéraux considérables sur le fonctionnement actuel d’internet. Il est évident qu’imposer une obligation de retrait en une heure à des acteurs de petite taille, ayant peu moyens humains et techniques, est irréaliste. Afin d’échapper aux sanctions, ils n’auront pas d’autre choix que d’avoir recours aux outils de détection et de censure automatisée de contenus développés par les géants du web. Ce nouveau mécanisme aura ainsi pour effet de renforcer la place dominante des grandes plateformes qui sont les seules à pouvoir mettre en place ces mesures techniques aujourd’hui.

Aussi et surtout, l’automatisation et la rapidité exigée de la censure renforceront l’invisibilisation d’expressions politiques contestataires et radicales. En effet, la notion de terrorisme est si largement définie dans le règlement qu’elle pourra servir à justifier la censure de discours radicaux ou de toute expression favorable à des actions politiques offensives ou violentes – tels que le sabotage ou le blocage d’infrastructures. Des exemples concrets ont démontré ces dernières années les abus auxquels pouvait mener une interprétation large du « terrorisme » par la police française. Le régime existant de censure administrative en 24h a ainsi pu conduire à bloquer un site militant (décision annulée par la justice l’année d’après) ou à demander le retrait d’une caricature d’Emmanuel Macron sans que l’on ne sache sur quel fondement cette demande zélée avait été faite .

Plus récemment, différentes demandes du gouvernement de dissolution administrative d’association ont illustré l’instrumentalisation de la notion de terrorisme. Ainsi, en avril dernier, le Conseil d’État a annulé la dissolution de deux associations de soutien à la Palestine voulues par le ministère de l’Intérieur. Les juges ont estimé que la manifestation de soutien à une association palestinienne et à des personnes condamnées pour des faits de terrorisme ne constituait pas des « agissements en vue de provoquer des actes de terrorisme en France ou à l’étranger ».

De façon similaire, si le Conseil d’État a validé la dissolution du CCIF (notamment pour des contenus postés par des tiers sur leurs réseaux sociaux) il a retoqué le gouvernement sur l’invocation du terrorisme comme motif de dissolution. Pour les juges, les faits avancés (tels que liens « avec la mouvance islamiste radicale», la contestation d’une arrestation du président d’une association faisant l’objet d’une dissolution ou le maintien en ligne de commentaires antisémites ou haineux) ne pouvaient constituer des « agissements en vue de provoquer des actes de terrorisme  ». Cette jurisprudence est d’ailleurs citée dans le dernier rapport de la « personnalité qualifiée », c’est-à-dire l’autorité chargée d’évaluer la validité des demandes de retrait envoyées à l’OCLCTIC (d’abord rattachée à la CNIL et maintenant à l’ARCOM), signifiant que cette décision pourra servir de critères pour l’analyse des contenus qui lui sont transmis.

Ces exemples sont la preuve que l’administration, dès qu’on l’autorise à qualifier des actes de terrorisme, interprète cette notion de façon trop large et à des fins politiques. À chaque fois c’est l’intervention d’un juge qui permet de corriger ces abus. Pourquoi en serait-il autrement avec ce nouveau mécanisme de censure ?

Le pouvoir décisif du Conseil constitutionnel

Les dangers de ce nouveau régime sont grands et peuvent encore être contrés par le Conseil constitutionnel. Celui-ci n’a d’ailleurs qu’à s’appuyer sur sa propre jurisprudence pour censurer ce texte. En effet, en 2020, alors que le règlement européen de censure n’était pas encore définitivement adopté, le gouvernement français avait voulu forcer l’arrivée d’un compromis sur ce texte en anticipant son application. Il avait alors introduit au dernier moment dans la loi de lutte contre la « haine en ligne » (ou loi Avia) un régime identique de censure administrative en une heure. Mais ce tour de force s’est avéré être un pari perdu : le Conseil constitutionnel l’a jugé contraire à la liberté d’expression, sans ambiguïté.

Pour fonder sa décision, le Conseil estimait, d’une part, que la détermination du caractère illicite des contenus était soumise à la seule appréciation de l’administration. D’autre part, il constatait que si l’hébergeur voulait contester cette décision devant un tribunal, cela ne pouvait avoir d’effet « suspensif » puisqu’il est impossible qu’un juge se prononce en moins d’une heure. Il a ainsi estimé que le pouvoir de retrait et de blocage confié à l’autorité administrative portait une atteinte disproportionnée à la liberté d’expression et de communication.

Deux ans plus tard, des dispositions ayant les mêmes lacunes (qualification par une administration et absence d’intervention d’un juge avant le retrait) sont de retour devant le Conseil constitutionnel. Logiquement et afin d’être cohérent, il devrait appliquer le même raisonnement pour censurer ce dispositif. Mais, le Conseil constitutionnel refusant de contrôler, en principe, la conformité d’un texte européen à la Constitution, le risque ici est fort qu’il se défausse sur le fait que cette loi est directement issue d’un règlement européen et qu’il ne peut vérifier sa constitutionnalité. Néanmoins, il existe quelques exceptions de droit qui lui permettent de jouer pleinement son rôle : nous espérons donc que le Conseil constitutionnel aura le courage politique de mobiliser ces exceptions.

Le Conseil constitutionnel se doit d’examiner la constitutionnalité de la loi qui lui est soumise et juger, de façon identique à sa décision d’il y a deux ans, que le régime de censure administrative voté par le Parlement est inconstitutionnel. S’il s’y refuse, il acceptera que le gouvernement contourne la Constitution et se moque de l’État de droit.

]]> https://www.laquadrature.net/?p=18784http://isyteck.com/autoblog/quadrature/index.php5?20220705_080000_Ferons-nous_tomber_la_Hadopi_devant_le_juge_europeen___Tue, 05 Jul 2022 06:00:00 +0000La Quadrature du Net contre la Hadopi, une histoire qu’on pourrait croire vieille comme le monde… vieille comme La Quadrature en tout cas, puisque c’est dans la lutte contre la création de cette autorité administrative de protection des droits d’auteurs et droits voisins sur Internet qu’est née l’association. Autant dire que symboliquement, le dossier est fort pour nous ! Quinze ans plus tard, La Quadrature persiste dans son combat, avec ce matin une audience majeure devant la Cour de Justice de l’Union européenne (CJUE), dans le cadre d’un contentieux que nous avons débuté en 2019 contre la Hadopi avec FDN, FFDN et Franciliens.net. On vous résume ici l’affaire, et surtout ses derniers rebondissements, et un live-tweet de l’audience sera disponible.

Petit retour historique

28 octobre 2009 : la loi Hadopi 2 ( « relative à la protection pénale de la propriété littéraire et artistique sur Internet ») vient d’être promulguée. Elle fait suite à la loi « favorisant la diffusion et la protection de la création sur Internet », adoptée quelques mois plus tôt (dite loi Hadopi 1). Ensemble, ces deux lois créent la Hadopi (pour « Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ») et, avec elle, le système de la « riposte graduée ». Au 1^er janvier 2022, la Hadopi a fusionné avec le CSA : leur nom est devenu Arcom, mais le fond reste le même.

Avec ce système, l’objectif affiché par le gouvernement est d’« assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ». Pour nous, il s’agit surtout de mettre en place une surveillance massive d’Internet pour cibler les internautes partageant de la musique ou des films sans autorisation (si vous voulez un aperçu des débats, un historique du dossier et la liste des articles publiés par La Quadrature sur le sujet entre 2008 et 2012, on vous renvoie à cette archive).

La Hadopi, comment ça marche ?

Pour fonctionner, c’est-à-dire avertir puis éventuellement sanctionner les internautes qui partagent des œuvres sans autorisation, la Hadopi a besoin de :

• – l’accès à l’adresse IP des internautes qui partagent les œuvres, telle qu’identifiée par des entreprises privées assermentées par le ministère de la culture et mandatées par les ayants-droit des œuvres concernées ;
• – l’accès, à partir de cette adresse IP, aux données d’état civil des personnes ciblées (nom, prénoms, adresse postale, adresse email), obtenues auprès des fournisseurs d’accès Internet (FAI, qui ont selon la loi française obligation de conserver les données de connexion de leurs client-es pendant un an, et l’identité civile pendant toute la durée du contrat) ;
• – la possibilité de traiter toutes ces informations dans un fichier qui regroupe toutes les adresses IP accusées par les ayants-droit d’avoir partagé un fichier ainsi que l’identité civile de l’internaute derrière chaque adresse.

Sans tout ceci, aucun moyen pour l’autorité de remonter à l’identité de la personne ayant partagé une œuvre. Et donc aucun moyen de la contacter et de lui envoyer les emails d’avertissement.

Juridiquement, ce système se base sur différents textes :

• – un article du code de la propriété intellectuelle, qui autorise les agents de la Hadopi à accéder aux données d’état civil à partir de l’adresse IP d’un·e internaute, auprès de son FAI ;
• – un décret d’application de la loi Hadopi qui autorise la création du fichier relatif à la « riposte graduée ».

2019, La Quadrature contre-attaque

En 2019, La Quadrature repartait au front, aux côtés de la Fédération des fournisseurs d’accès Internet associatifs (FFDN), de French Data Network (FDN) et de Franciliens.net. Ensemble, nous avons déposé un recours devant le Conseil d’État pour demander l’abrogation d’un décret d’application de la Hadopi, celui qui autorise le traitement relatif à la riposte graduée. Ce fameux fichier, géré par la Hadopi elle-même, regroupe les informations obtenues auprès des ayants-droits (les adresses IP) et des FAI (l’identité civile). Notre avis était que si ce décret tombait, la Hadopi ne pourrait alors plus continuer sa répression, et la fameuse « riposte graduée » serait vidée de toute effectivité.

Nous appuyions notre recours sur le fait que la riposte graduée est doublement contraire au droit de l’Union européenne. D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par la Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave.

En outre, ce régime français d’accès aux données de connexion est rendu possible grâce à l’obligation de conservation généralisée des données de connexion qui a cours en France. Celui-ci impose aux FAI et aux hébergeurs de conserver pendant un an les données de connexion de l’ensemble de la population. C’est à partir de ces données, et notamment de l’adresse IP, que la Hadopi peut identifier les internautes « contrevenant·es ».

Or, ce régime de conservation généralisée des données de connexion est tout simplement contraire au droit de l’Union européenne. En effet, la Cour de justice de l’Union européenne a rendu en 2014, en 2016, en 2020 et en 2022 quatre arrêts qui s’opposent clairement à toute conservation généralisée et indifférenciée des données de connexion. En 2021, la CJUE a également rappelé que l’accès à ces données par les autorités ne peut se faire qu’à deux conditions cumulatives : s’il s’agit d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante (pour plus de détails, voici comment nous avions présenté l’affaire début 2020).

Histoire d’enfoncer le clou, nous avions aussi profité de ce recours pour poser une question prioritaire de constitutionnalité relative au régime légal d’accès aux données de connexion (adresse IP et identité civile) par la Hadopi. Le mécanisme de la question prioritaire de constitutionnalité (QPC) permet de demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci est cruciale pour la résolution d’un litige. Ici, le décret de la Hadopi qui crée le fichier servant à collecter des adresses IP et l’identité civile dépend de la légalité de la loi qui autorise une telle collecte. Le Conseil d’État a donc transmis notre QPC au Conseil constitutionnel début 2020.

2020, une censure partielle et boiteuse par le Conseil constitutionnel

En mai 2020, le Conseil constitutionnel rend sa décision suite à notre question prioritaire de constitutionnalité. Et le moins qu’on puisse dire c’est que cette décision est tordue. Accrochez-vous, ça n’est pas simple à comprendre au premier abord…

Au lieu de simplement déclarer notre fameux article de loi « conforme » ou « non conforme » à la Constitution, le Conseil constitutionnel a décidé de le réécrire. Cet article (que vous pouvez aller lire ici si le cœur vous en dit) autorisait en effet dans ses alinéas 3 et 4 la Hadopi à pouvoir accéder à « tous documents » nécessaires à sa mission répressive, avant de préciser dans le dernier alinéa que les agents de la Hadopi « peuvent, notamment, obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné [ciblé] ». Dans sa décision, le Conseil constitutionnel a réécrit cet article en censurant l’alinéa autorisant l’accès à « tous documents » ainsi que le terme « notamment ». À première vue, cela pourrait sembler plutôt cosmétique… mais cela revient en réalité à ne laisser à la Hadopi que l’accès aux données cités juste après le « notamment » censuré, c’est-à-dire l’identité, l’adresse postale, l’adresse mail et le numéro de téléphone de la personne concernée. Lors de la publication de cette décision le 20 mai 2020, nous avions d’abord cru à une victoire franche, avant de réaliser après quelques heures d’analyse et de débats que cette victoire n’était pas forcément immédiate. La décision restreignait certes la liste des données accessibles aux agents de la Hadopi mais elle ne se prononçait pas explicitement sur les conséquences de cette restriction quant à la possibilité ou non pour la Hadopi de continuer à fonctionner.

Petit couac pour la Hadopi : cette liste n’évoque pas l’adresse IP dans les données auxquelles l’autorité est autorisée à accéder. Est-ce à dire que l’accès par la Hadopi aux adresses IP des internautes « contrevenant·es » serait illégal, et que le décret qui permet d’enregistrer ces adresses IP ne reposerait plus sur rien suite à cette censure partielle du Conseil constitutionnel ? C’est ce que nous affirmons aujourd’hui devant les juridictions.

La Hadopi peut-elle encore faire son travail légalement ?

Suite à la décision du Conseil constitutionnel, notre interprétation est qu’en l’état la Hadopi ne peut plus faire légalement son travail, en accédant aux adresses IP alors même que la loi telle que censurée ne le permet plus. Mais ça n’est pas l’avis du gouvernement ni de la Hadopi qui persistent à affirmer que l’article censuré par le Conseil constitutionnel ne concernait pas la collecte par les agents assermentés (les ayants-droit) des adresses IP.

En tout cas, en mai 2021, le Conseil d’État a programmé l’audience de notre recours en catastrophe, ne nous prévenant qu’une semaine à l’avance. Nous avons alors produit, en urgence, un nouveau mémoire, basé sur deux points :

• – la Hadopi n’a selon nous plus de base légale pour traiter les adresses IP depuis la censure par la Conseil constitutionnel ;
• – de toute façon, l’accès aux adresse IP par la Hadopi est disproportionné puisqu’il ne s’agit jamais que de contraventions et non de criminalité grave (seul cas prévu par le droit européen pour accéder à ces données) et qu’il n’y a pas de contrôle indépendant préalable à cet accès ;

Après un premier report d’audience, le Conseil d’État a décidé de botter en touche et de transmettre à la Cour de justice de l’Union européenne une « question préjudicielle » (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation. Par cette démarche, le Conseil d’État demande en réalité à la CJUE d’assouplir sa jurisprudence concernant l’accès à l’identité civile. Cela nous rappelle un triste précédent : en 2018, le Conseil d’État avait également préféré, par une question préjudicielle, demander à la CJUE d’assouplir sa jurisprudence relative à la conservation des données de connexion plutôt que de déclarer le droit français contraire au droit de l’UE, et avait fini, lorsque celle-ci refusa de se plier aux souhaits sécuritaires français, par opter pour un Frexit sécuritaire plutôt que de respecter le droit de l’UE.

L’audience concernant cette question préjudicielle est prévue devant la CJUE aujourd’hui, mardi 5 juillet, et elle revêt pour nous différents enjeux.

D’abord, nous espérons que la CJUE réintégrera dans sa décision les enjeux de la conservation des données de connexion et de l’accès à l’adresse IP des internautes, que le Conseil d’État a mis de côté. Et pour cause : il n’a pas respecté la décision prise par la CJUE sur ce sujet en octobre 2020 ! Nous avons donc besoin que la CJUE profite de cette occasion pour rappeler au Conseil d’État que la conservation généralisée des données de connexion existante en France est contraire au droit de l’Union européenne, et que l’exception créée par la France pour contourner ce point n’a pas lieu d’être.

Nous espérons aussi que cette décision ne laissera pas la possibilité au Conseil d’État de créer une « exception Hadopi » en France. Nous craignons pourtant qu’il veuille contourner l’exigence selon laquelle un accès aux données de connexion (ici l’adresse IP et l’identité civile associée à une communication) n’est possible qu’aux fins de lutter contre la criminalité grave, de même que l’exigence d’un contrôle préalable indépendant à l’accès à ces données.

Si cette affaire a pris une ampleur assez surprenante (en 2019, nous n’imaginions pas forcément arriver devant la CJUE), elle nous offre une opportunité assez exceptionnelle de faire d’une pierre deux coups, et pas des moindres ! Priver notre adversaire originelle de son pouvoir de nuisance puis, en rebondissant vers nos luttes plus récentes, rétablir notre droit à l’anonymat sur l’ensemble du Web (pas uniquement contre la Hadopi mais aussi contre la police et les services de renseignement). Face à une opportunité aussi rare qu’étonnante, ne le cachons pas : l’enthousiasme est au rendez-vous.

]]> https://www.laquadrature.net/?p=18759http://isyteck.com/autoblog/quadrature/index.php5?20220613_173814_A_Putanges-le-lac_comme_ailleurs__la_videosurveillance_se_propageMon, 13 Jun 2022 15:38:14 +0000 Le 25 mai 2022, nos camarades du collectif Vivre Ensemble Putanges attaquaient l’installation de caméras de vidéosurveillance prévue pour la commune devant le Tribunal administratif de Caen. Cette mobilisation s’inscrit dans le contexte d’un déploiement irréfrénable des caméras de vidéosurveillance partout en France. Elles sont désormais aussi installées dans des villages. Comment déconstruire et lutter contre ce discours pro-caméras et technopolice dominant ?

Le cas de Putanges-le-lac : une mobilisation contre la vidéosurveillance en milieu rural

En 2022, les habitants et habitantes de cette commune de Normandie ont appris par la presse que la mairie désirait installer 21 caméras pour les quelques 2400 âmes. Le collectif Vivre Ensemble Putanges s’est monté pour alerter la population et lutter contre l’installation de ce système de vidéosurveillance, prévu ici pour surveiller le lac de la commune, les ordures et la conduite de mobylettes, le tout pour 200 000€. S’en est suivi le lancement d’une une pétition, des tractages sur les marchés, une tentative de dialogue avec la municipalité pour signifier l’opposition de nombre d’habitantes et habitants à ce projet et questionner l’utilité d’un tel dispositif, le tout sans grande réponse. Une des solutions trouvées pour tenter de ralentir le projet fut de lancer un recours devant le tribunal administratif de Caen en contestant l’autorisation préfectorale de ces caméras.

Le recours se base sur trois arguments : tout d’abord, la municipalité n’a pas prouvé l’utilité d’un tel déploiement. Ensuite, c’est un dispositif disproportionné en terme de nombre de caméras. Enfin, il existe un soupçon de conflit d’intérêt avec le dirigeant de l’entreprise ayant conseillée la commune pour son projet de vidéosurveillance, qui siège également à la commission saisie par la préfecture avant de valider l’installation de caméras.

Même si, selon le maire de la commune, Sébastien Leroux, « Il n’y a pas à avoir peur d’être surveillé » et malgré les tentatives de discussion du collectif et la mobilisation des putangeois et puteangoises, le projet continue.

Lire le communiqué de presse de Vivre Ensemble Putanges en date du 30 mai 2022

Le cas de Putanges-le-lac est hélas ordinaire : de plus en plus de petites et moyennes communes décident, pour diverses raisons – en cédant à la pression des assurances, des gendarmes ou de la préfecture, pour faire comme les autres, par facilité politique, pour faire plaisir à des entreprises locales, etc – de dépenser des sommes conséquentes pour installer des caméras de vidéosurveillance.

Comment a-t-on pu arriver en 2022 à cette expansion insensée des caméras de vidéosurveillance, et ce, jusqu’aux territoires les moins densément peuplés, pour lutter entre autres contre « le dépôt d’ordure sauvage » ? Comment expliquer qu’il existe, au bas mot, 1 million de caméras surveillant l’espace public si elles ne sont pas efficaces pour veiller à la sécurité des habitants et habitantes des villes et lutter contre ce qui est appelé « délinquance » ?

Retour historique du déploiement de la vidéosurveillance

Les caméras de vidéosurveillance dans l’espace public se sont déployées en France pour la première fois à Levallois Perret en 1991. C’est ensuite quelques années plus tard, au travers de la loi d’orientation et de programmation relative à la sécurité de janvier 1995 (dite « LOPSI »), qu’un premier cadre légal est venu les encadrer. Après un lent développement, c’est sous la présidence de Nicolas Sarkozy qu’un décret de 2007 en promeut l’utilisation et généralise leur installation un peu partout dans les métropoles et villes françaises, en en faisant « le choix prioritaire de la vidéosurveillance » ¹https://www.cairn.info/revue-deviance-et-societe-2016-1-page-25.htm. Depuis lors, les métropoles françaises sont suréquipées et dépensent sans compter pour de nouvelles caméras toujours plus performantes, un réseau toujours plus connecté via la fibre, et un centre de surveillance le plus à la pointe possible, sans compter tous les opérateurs vidéos qui observent les écrans 24h/24 à la recherche d’incivilités, de mouvement de foule ou de petit vols.

En 2011, c’est la promulgation de la loi « LOPPSI 2 qui marque une nouvelle étape – le texte remplace notamment le terme « vidéosurveillance » par le terme « vidéoprotection ». Dans son annexe, la loi entend tripler le nombre de caméras de vidéosurveillance de la voie publique. C’est un texte d’une grande ambition sécuritaire qui, en plus, autorise le blocage de sites web par le ministère de l’Intérieur, prévoie la fusion des fichiers de police et de gendarmerie (STIC et JUDEX) en un méga fichier (qui deviendra le TAJ), tout en appelant à « trouver les solutions innovantes dans des domaines tels que […] la vidéoprotection intelligente [ou] la reconnaissance faciale ». À ce moment, la Cour des comptes évalue à 10 000 le nombre de caméras de vidéosurveillance sur la voie publique.

La vidéosurveillance s’est d’abord développée dans les métropoles, parfois de manière extrêmement rapide, comme à Toulouse : en 2014, la ville comptait une vingtaine de caméras. Elle en compte aujourd’hui plus de 400. Cet accroissement soudain, sous la mandature de Jean-Luc Moudenc, est allé de pair avec une politique sécuritaire et répressive volontaire ²https://www.francebleu.fr/infos/societe/securite-mobilite-equipements-les-objectifs-de-jean-luc-moudenc-pour-mieux-vivre-a-toulouse-1631695380.

Tous les six ans, la Gazette des communes réalise un classement des cinquante villes les plus vidéosurveillées. En 2020, le nombre de caméras dans les communes les plus équipées avait plus que doublé par rapport à 2013. Aujourd’hui, il n’existe pas de chiffre officiel quand au nombre de caméras présentes dans l’espace public, qu’elles soient à l’initiative d’un acteur privé ou bien d’une collectivité. La dernière tentative de comptabilisation a été réalisée en 2012, soit il y a plus de 10 ans, par la CNIL, qui comptait 800 000 caméras présentes dans l’espace public en France ³https://www.lesinrocks.com/actu/les-cinq-chiffres-fous-de-la-videosurveillance-22359-21-06-2012/. Il reste difficile d’estimer leur nombre actuel, mais au vu de l’engouement manifesté par de nombreuses villes et de l’important lobbying des entreprises concernées, on imagine facilement que ce nombre a fortement augmenté. Comment expliquer cet engouement pour la vidéosurveillance ?



Des villes aux campagnes, une surveillance absurde

Aujourd’hui, les caméras sont un moyen d’action totalement accepté et considéré comme légitime dans les politiques publiques, peu importe l’échelle (des collectivités territoriales aux grandes politiques de subventions étatiques de la vidéosurveillance). Et si les questions écologiques, politiques et philosophiques sont totalement écartées du débat public dominant, l’efficacité réelle de la vidéosurveillance l’est aussi. Les rares études⁴ voir le rapport sur les polices municipales, octobre 2020 disponible sur https://www.ccomptes.fr/system/files/2020-11/20201020-rapport-polices-municipales_0.pdf ou encore celle de Guillaume Gormand commandée par le CREOGN https://www.aefinfo.fr/depeche/663759-pour-le-chercheur-guillaume-gormand-critiquer-la-videosurveillance-c-est-s-attaquer-a-une-religion qui analysent l’effet concret – et dérisoire – des caméras ne sont jamais mobilisées par les acteurs qui les mettent en place, tout comme les sommes faramineuses dépensées dans le tout sécuritaire sont passées sous silence.

« La littérature académique, en France et à l’international (Groombridge, 2008 ; Gill et al. 2005), a démontré que la vidéosurveillance n’a pas d’impact significatif sur la délinquance. Elle est plus souvent utilisée pour des raisons différentes que les motifs mis en avant lors de son installation. En effet, elle sert moins à lutter contre les vols et les cambriolages qu’à des fins de gestion urbaine et de vidéoverbalisation comme l’ont pointé notamment Elodie Lemaire ou Laurent Mucchielli. » ⁵ https://linc.cnil.fr/fr/comment-la-videosurveillance-se-developpe-t-elle-dans-les-villages

Pour expliquer ce hiatus, le laboratoire de recherche de la CNIL, le LINC, évoque la construction d’un système de production de croyance en l’efficacité de la vidéosurveillance. Cela signifie que c’est à travers la mobilisation et l’engouement de différents acteurs pour la vidéosurveillance que se construit cette croyance dans son efficacité et son utilité politique : préfets, gendarmes, élus, assurances, presse, entreprises… il existe une concordance de discours qui pointe la vidéosurveillance comme une solution toute trouvée.

Si tout ce monde partage les prétendus bienfaits de la vidéosurveillance, c’est aussi parce que ces acteurs y trouvent leur intérêt :

L’installation de caméras permet aux municipalités de facilement capitaliser sur ces dispositifs : la sécurité est une ressource rentable politiquement, tant comme facteur d’attractivité territoriale pour la commune que comme une mesure de court terme pouvant prétendre répondre à des problématiques sociales. En période d’élections locales notamment, la sécurité est un capital politiquement valorisable car c’est une mesure quantifiable, chiffrable et facilement mise en avant.

Du côté des entreprises de la sécurité, la vidéosurveillance représente un marché très lucratif, le secteur est en constante expansion (10% de croissance par an de prévus) : il représentait 45 milliards d’euros en 2020 et pourrait représenter jusqu’à 75 milliards d’ici 2025.

Et si aujourd’hui les grandes et moyennes villes continuent à s’équiper et à renouveler l’infrastructure de vidéosurveillance, désormais les nouveaux débouchés de ce marché des équipements sécuritaires se trouvent en zones rurales. À peu près n’importe quel fait divers peut servir à justifier l’installation de vidéosurveillance et à la mettre à l’agenda : un vol dans une boulangerie, des poubelles trop remplies, des petits délits routiers. Ici comme dans d’autres domaines, on assiste à une fuite en avant technologique, basée sur la croyance aveugle dans le progrès technique comme solution à tout. Aujourd’hui, cette fuite en avant franchit une nouvelle étape : celle de l’algorithmisation de la surveillance et de la sécurité.

Aujourd’hui en ville : l’automatisation de la sécurité urbaine numérique

Depuis le lancement de la campagne technopolice, nous avons constaté un peu partout en France la présence d’« expérimentations », pour tenter de rendre plus acceptable le déploiement de certaines technologies de surveillance et aussi pour légitimer leur opacité. Aujourd’hui, nous voyons le déploiement de la technopolice se répandre et s’imposer de plus en plus. Et la technopolice repose grandement sur cette infrastructure qu’est la vidéosurveillance.

Dorénavant, n’importe quel fait divers est instrumentalisé pour tenter de rendre acceptable l’idée que la Technopolice serait une solution à des problématiques humaines et sociales. Dernier exemple en date : pour masquer la désorganisation et les violences de la police aux abords du Stade de France dans l’actualité récente, la solution serait, d’après C. Estrosi, de généraliser la reconnaissance faciale à l’entrée des stades.

Cette volonté de généralisation de la technopolice, et notamment de la vidéosurveillance algorithmique, est présentée par ses promoteurs comme une nouvelle étape dans la surveillance. D’après eux, il y aurait trop de caméras pour qu’on soit à même de toutes les regarder. Il peut aussi y avoir des erreurs, des oublis, un manque de concentration de la part des opérateurs humains derrière les caméras. il faudrait maintenant passer au niveau supérieur : des algorithmes pour dire aux opérateurs vidéos quoi regarder et quoi voir sur ces caméras.

Ce discours sert plusieurs intérêts : tout d’abord, il justifie l’achat d’encore plus de caméras, pour mailler le territoire, et pousse à adjoindre une couche algorithmique pour tenter de rendre – enfin – efficaces tous ces objets technologiques qui seraient aujourd’hui inutiles car dénués d’intelligence artificielle. Cette rhétorique est également révélatrice de l’inutilité de cette politique pro-caméras en cours depuis plusieurs dizaines d’années. Et quel espoir laisse penser que les caméras algorithmiques seraient plus efficaces que les précédentes ? Si ce n’est, encore, une croyance aveugle en la technologie comme solution à tout ?
S’il y a vraiment trop de caméras pour qu’on puisse regarder tout ce qu’elles filment, et que sans cette couche d’algorithme elles sont en fait peu utiles, alors enlevons-les !

Peu importe que, politiquement, mettre des caméras soit significatif d’une infantilisation de la population, qu’elles ne fassent que donner plus de pouvoir à une police qui en possède déjà trop, qu’elles coûtent un pognon monstre, qu’elles ne servent à rien, qu’elles s’inscrivent et participent au désastre écologique notamment par les infrastructures qu’elles légitiment à construire… Tout est bon à prendre pour le néolibéralisme autoritaire qui voit dans le numérique et la dématérialisation une nouvelle étape du capitalisme.

Conclusion :

Ce qui se joue à Putanges, comme ailleurs, c’est l’introduction sur un territoire d’un outil technologique présenté comme une solution évidente parce qu’inscrit dans un système de croyances largement alimenté par les acteurs institutionnels et privés. Au-delà de la surveillance impliquée par les caméras, de l’infantilisation et de la délégation à des objets froids du vivre ensemble et de ce qui nous fait commun, c’est tout un système néolibéral et autoritaire que cet outil sert. Le passage à l’échelle technologique en cours tente de justifier l’existence même des caméras de vidéosurveillance, d’où l’importance de lutter et soutenir les collectifs qui combattent ce déploiement sur lequel repose une grande part de l’infrastructure de surveillance de la police : les caméras en elles-mêmes, notamment quand elles sont reliées aux fichiers et aux algorithmes.

Rejoignez la plainte contre le ministère de l’intérieur qui attaque le fichage, la vidéosurveillance, et les algorithmes de la police, dont fait partie la reconnaissance faciale, ici plainte.technopolice.fr

References[+]

References

↑1	https://www.cairn.info/revue-deviance-et-societe-2016-1-page-25.htm
↑2	https://www.francebleu.fr/infos/societe/securite-mobilite-equipements-les-objectifs-de-jean-luc-moudenc-pour-mieux-vivre-a-toulouse-1631695380
↑3	https://www.lesinrocks.com/actu/les-cinq-chiffres-fous-de-la-videosurveillance-22359-21-06-2012/
↑4	voir le rapport sur les polices municipales, octobre 2020 disponible sur https://www.ccomptes.fr/system/files/2020-11/20201020-rapport-polices-municipales_0.pdf ou encore celle de Guillaume Gormand commandée par le CREOGN https://www.aefinfo.fr/depeche/663759-pour-le-chercheur-guillaume-gormand-critiquer-la-videosurveillance-c-est-s-attaquer-a-une-religion
↑5	https://linc.cnil.fr/fr/comment-la-videosurveillance-se-developpe-t-elle-dans-les-villages

]]> https://www.laquadrature.net/?p=18733http://isyteck.com/autoblog/quadrature/index.php5?20220524_114521_Plainte_collective_contre_la_TechnopoliceTue, 24 May 2022 09:45:21 +0000Il y a 3 ans, La Quadrature du Net lançait l’initiative Technopolice pour recenser les nouvelles technologies policières installées dans nos villes. Aujourd’hui, la surveillance de nos rues est devenue totale, car ces technologies se renforcent les unes les autres : vidéosurveillance généralisée, fichage de masse, reconnaissance faciale et détection automatisée de comportements. Pour mettre un coup d’arrêt à cette surveillance totale, nous lançons une plainte collective contre le ministère de l’intérieur qui l’organise illégalement.

Rejoignez la plainte sur plainte.technopolice.fr. Vous y trouverez le détail de notre argumentaire et de la procédure.

En résumé, il s’agit d’une procédure similaire à celle que nous avions engagée il y a 4 ans devant la CNIL contre les GAFAM. Ces plaintes collectives avaient réuni 12 000 personnes et conduit à quelques belles victoires, telle que l’amende record de 746 millions d’euro contre Amazon (les autres plaintes sont encore en cours de traitement).

Aujourd’hui, nous attaquons l’État français pour demander l’arrêt de quatre dispositifs de surveillance :

• les caméras de surveillance installées depuis plus de 20 ans dans toutes les villes de France, qui n’ont cessé de démontrer leur inutilité (et donc leur illégalité) ;
• les logiciels qui s’ajoutent à ces caméras, dans le but de détecter des comportement « indésirables » (mendicité, maraude, regroupement, tag…) pour aseptiser nos villes et en exclure les personnes les plus vulnérables ou encore les activistes politiques ;
• les fichiers de police enregistrant nos visages, qu’il s’agisse du TAJ (« traitement des antécédents judiciaires »), qui contient 8 millions de photos de personnes connues de la police, ou du TES (« titres électroniques sécurisés »), qui contient la photo de toute personne demandant un passeport ou une carte d’identité ;
• l’utilisation de la reconnaissance faciale par la police (plus de 1 600 fois par jour en 2021) et par les services de renseignement, qui est en train d’abroger l’anonymat dans l’espace public.

Le but de notre action n’est pas uniquement juridique : il s’agit aussi d’imposer un rapport de force politique dans un contexte où ces technologies s’imposent dans l’opacité la plus totale. Unissons-nous massivement pour reprendre notre place dans le débat public et faire savoir que la Technopolice est illégale et doit le rester.

Rejoignez notre plainte collective sur plainte.technopolice.fr.

]]> https://www.laquadrature.net/?p=18717http://isyteck.com/autoblog/quadrature/index.php5?20220520_122346_Revision_du_reglement_eIDAS______la_securite_de_l___ecosysteme_web_en_dangerFri, 20 May 2022 10:23:46 +0000Une révision du règlement eIDAS, qui régule les procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE, est en ce moment étudiée par l’Union européenne. L’article 45 de la proposition concerne l’un des mécanismes clés de la sécurité web pour vérifier si un site sécurisé est celui qu’il prétend être. Chaque navigateur web possède une liste d’ « Autorités de certification racine » (appelées « Root Certificate Authorities » ou « Root CAs » en anglais) jugées dignes de confiance pour, dit simplement, valider les certificats TLS (pour « Transport Layer Security », certificats destinés à garantir la sécurité de la connexion Internet) utilisés par les sites. Chaque éditeur de navigateur web – tel que Mozilla, Google, Apple et Microsoft – dirige son propre programme d’audit indépendant pour valider ces Autorités de certification.
Problème : l’article 45.2 du règlement eIDAS révisé obligerait ces programmes à valider et intégrer automatiquement certaines Autorités de certification soutenues par les États membres de l’Union Européenne, qu’elles remplissent ou non les critères de sécurité exigés jusque-là par les navigateurs web. L’adoption de cette proposition créerait un dangereux précédent mondial : le risque, bien réel, est ni plus ni moins que de rendre possible l’abaissement du niveau de sécurité web pour les internautes.

Naviguer sur un site sécurisé sur Internet est rendu possible grâce à une série d’opérations de vérification et d’audits de sécurité. Ceci permet de s’assurer que le site est bien celui qu’il prétend être et que les informations qui transitent entre le navigateur et le site en question sont chiffrées de manière confidentielle.

Pour cela, le navigateur web vérifie deux choses :
1) que le certificat TLS d’authentification utilisé par le site sécurisé est valide et digne de confiance.
2) que l’Autorité de certification qui a validé et signé ce certificat est digne de confiance.

Si ces conditions ne sont pas réunies, le navigateur vous préviendra que le site est peut-être malveillant. Ce sont les fameux messages que vous avez sans doute déjà rencontrés : « Attention risque probable de sécurité » sur Firefox ou « Votre navigation n’est pas privée » sur Chrome.



Si une Autorité de certification rencontre des défaillances en termes de sécurité, il devient possible pour des acteurs malveillants d’émettre des faux certificats TLS, par exemple pour des sites très fréquentés comme www.google.com. Les attaquants peuvent ensuite consulter le trafic des internautes qui tapent leur requête sur le site malveillant qui se fait passer pour www.google.com. Ce type d’attaque a été conduit par le passé contre de multiples Autorités de certification en raison de failles de sécurité sur leurs systèmes (par exemple DigiNotar CA et Comodo CA en 2011).

Des acteurs étatiques malveillants qui veulent mener des opérations de surveillance de masse dans leur pays peuvent aussi créer et contrôler une Autorité de certification pour contourner les protocoles de sécurité sur Internet. Tous les certificats émis par l’Autorité de certification en question peuvent alors potentiellement être utilisés pour espionner les communications des internautes ciblés.

Pour limiter les risques pour leurs utilisateur·rice·s, les navigateurs web auditent et sélectionnent de manière indépendante les Autorités de certification qui sont jugées dignes de confiance. Les critères de validation sont consultables en ligne, tel le « Root Program » de Mozilla ou celui d’Apple.

En cas de problème de sécurité, les navigateurs peuvent décider de ne pas inclure ou de retirer une Autorité de certification de leurs listes. Par exemple, une Autorité de certification gérée par le gouvernement du Kazakhstan a été bloquée de concert par Google, Apple et Mozilla en 2019. Autre exemple en 2014, lorsque Google avait détecté des faux certificats pour des noms de domaines de Google émis par le centre national d’informatique du gouvernement indien suite à une faille de sécurité : ceux-ci étaient alors inclus dans le « Root Store » de Microsoft, qui a dû les révoquer.
Le processus d’évaluation pour révoquer ou rejeter une Autorité de certification est particulièrement transparent dans le cas des programmes publics à but non lucratif : Mozilla documente ainsi publiquement les audits et les problèmes rencontrés, comme dans le cas de la révocation en 2019 du CA français Certinomis.

Que propose la nouvelle révision du règlement eIDAS ?

La version initiale du règlement eIDAS a été adoptée en 2014 pour fournir « la base des procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE » (dossier de presse).
Concrètement, le règlement a pour ambition de réguler la manière dont les transactions électroniques s’effectuent au sein de l’Union Européenne, en établissant, pour citer l’ANSSI, un « socle commun pour les interactions sécurisées entre les citoyens, les entreprises et les autorités publiques ».

La section 8 du règlement est dédiée à l’ « Authentification de site internet ». L’article 45 présente les « Exigences applicables aux certificats qualifiés d’authentification de site internet » qui sont fixées à l’annexe IV. Ces certificats qualifiés (« Qualified Web Authentication Certificates », ou QWAC en anglais) sont délivrés par des prestataires de service de confiance (« Trust Service Providers » ou TSP) régis par le règlement eIDAS et qui sont des Autorités de certification soutenues par les gouvernements des États membres de l’Union Européenne.

L’article 45.2 de la proposition de révision pose que « Les certificats qualifiés d’authentification de site internet visés au paragraphe 1 sont reconnus par les navigateurs internet. À cette fin, les navigateurs garantissent que les données d’identité fournies au moyen de l’une des méthodes s’affichent de manière conviviale. À l’exception des entreprises considérées comme des micro et petites entreprises au sens de la recommandation 2003/361/CE de la Commission pendant leurs cinq premières années d’activité en tant que prestataires de services de navigation sur internet, les navigateurs acceptent les certificats qualifiés d’authentification de site internet visés au paragraphe 1 et garantissent l’interopérabilité avec ces derniers. »

Ceci implique que les navigateurs webs sont légalement tenus de reconnaître ces certificats qualifiés comme valides, et donc d’intégrer dans leur liste de confiance les prestataires de service de confiance régis par eIDAS.

Quelles sont les conséquences de cette révision pour les internautes ?

Malheureusement, ces certificats qualifiés d’authentification posent plusieurs problèmes de sécurité et d’interopérabilité dans leur modèle d’implémentation. Depuis leur introduction en 2014, ils n’ont donc pas été adoptés dans l’écosystème web. La Common CA Database, une initiative rassemblant plusieurs éditeurs de navigateurs web autour de la gestion des Autorités de certification et gérée par la fondation à but non-lucratif Mozilla, expose en détails les problèmes techniques rencontrés par les navigateurs avec les spécifications proposées pour les certificats qualifiés : notamment son absence de compatibilité avec le fonctionnement technique des navigateurs web et du déploiement de TLS sur les site, ainsi que ses manques en terme de respect de la vie privée des internautes.

Concrètement, l’article 45.2 reviendrait à obliger les navigateurs web à accepter des prestataires de service de confiance régis par eIDAS, même s’ils ne remplissent pas les critères de sécurité exigés habituellement par les navigateurs. Le risque que des certificats soient émis et utilisés à des fins malveillantes par des cybercriminels serait accru. C’est sur quoi alertent trente-cinq experts mondiaux en cybersécurité et en cryptographie dans une lettre ouverte adressée aux membres du Parlement Européen et publiée sur le site de l’organisation à but non lucratif Electronic Frontier Foundation en mars 2022.

Pire, si une Autorité de certification intégrée à la liste de confiance des navigateurs est vulnérable à des problèmes de sécurité, les navigateurs web ne seraient pas légalement en mesure de refuser ou de retirer l’Autorité de certification de leur liste de confiance pour protéger les internautes.

Par ailleurs, les connaissances techniques en sécurité peuvent vite évoluer : la découverte d’une nouvelle faille de sécurité peut requérir une réponse rapide de la part des éditeurs de navigateurs web afin de protéger les internautes, par exemple en retirant une Autorité de certification du « Root Store ». De plus, les règles de gestion des « Root Store » sont mises à jour régulièrement afin de suivre les évolutions technologiques et se protéger contre les tentatives des acteurs malveillants qui tentent de les contourner. Cette réactivité (quelques semaines) n’est malheureusement pas compatible avec les délais requis pour des changements législatifs (un an ou plus).

Enfin, si elle était adoptée, cette proposition de révision du règlement eIDAS créerait un précédent au niveau mondial. Les navigateurs web pourraient dès lors difficilement refuser ou retirer une Autorité de certification racine provenant d’un autre gouvernement qui ne respecterait pas les critères de sécurité requis. Des tentatives précédentes, au Kazakhstan comme mentionné précédemment ou en Iran comme l’explique l’ONG Article19, prouvent qu’il s’agit d’un danger bien réel. Autre exemple plus récent : suite au retrait de plusieurs Autorités de certification en Russie pour sanctionner la guerre qu’elle mène en Ukraine, le gouvernement russe a dû mettre en place une Autorité de certification de remplacement pour assurer le fonctionnement de plusieurs de ses sites web et a demandé aux internautes d’autoriser manuellement cette Autorité au sein de leur navigateur. Si cette opération peut être justifiée par un motif légitime et qu’il n’y pour l’instant aucune preuve qu’elle ait été rendue obligatoire et utilisée à des fins de surveillance, elle a aussi pour conséquence de rendre possible, justement, la surveillance de masse de la population russe comme le souligne l’Electronic Frontier Foundation.

Bien que cela ne soit clairement pas l’intention visée, la proposition du règlement eIDAS risque de normaliser des dispositifs jusque-là largement condamnés au sein de l’Union Européenne et hors de ses frontières.

Par ailleurs, ce n’est pas la première fois que l’Union Européenne cherche à intervenir directement sur les technologies et l’infrastructure d’Internet. Les controverses autour de la nouvelle directive Network and System of Information Security (NIS2), de la proposition d’établissement d’un DNS européen DNS4EU ou même du Digital Service Act témoignent de cette nouvelle volonté d’intervention directe de l’UE sur les technologies/l’infrastructure et de sa légitimation à travers des biais sécuritaires et économiques, mais qui peuvent aussi avoir des conséquences dommageables sur l’interopérabilité des systèmes et la sécurité des internautes.

Nous nous joignons donc à Mozilla et à l’Electronic Frontier Foundation pour alerter sur les dangers introduits par l’article 45.2 de la proposition de révision du règlement eIDAS.
Nous appelons en conséquence le gouvernement et les élus français à demander la modification ou le retrait de l’article 45.2 afin que les navigateurs web restent en mesure de protéger les internautes en appliquant des standards élevés en termes de sécurité et de transparence.

]]> https://www.laquadrature.net/?p=18671http://isyteck.com/autoblog/quadrature/index.php5?20220506_143239_Retablir_les_connexions_apres_une_coupure_d___InternetFri, 06 May 2022 12:32:39 +0000Comme nous l’avons expliqué dans notre premier article, Internet est une collection de connexions entre des ordinateurs. Alors, quand ces connexions cassent, la première chose évidente à faire est donc de réparer des câbles, d’en tirer de nouveaux ! Mais comment faire ?

Avant toute chose, il faut considérer quel est votre domaine d’intervention, et la raison de la coupure (pour ça on vous renvoie à notre article précédent). Si c’est une coupure logicielle, une censure, il est possible de la contourner en utilisant un VPN, ou de tenter une connexion via le logiciel Tor. Si vous savez faire, vous pouvez même mettre en place un serveur VPN.

Mais parfois ce sont les câbles qui sont endommagés, comme l’actualité récente nous le rappelle. Et, même si ces câbles sont toujours présents, il se peut que des militant·es ou des résistant·es aient décidé de s’attaquer à des infrastructures contrôlées par le gouvernement, auquel cas il ne faut pas forcément s’attendre à ce que la connexion soit rétablie rapidement.

Alors, en fonction de votre contexte, il faudra décider quelle serait la marche à suivre la plus utile : vous reconnecter à l’Internet mondial directement, ou plutôt créer un réseau de communication Internet local. Créer un réseau de communication local, sous le contrôle de votre communauté, peut être réalisé avant la coupure, pour l’anticiper, et il pourra être raccordé dans un second temps à l’Internet global, si vous vous trouvez dans un contexte ne le permettant pas dans l’immédiat.

Nous allons donc étudier comment nous ferions pour créer un réseau Internet local sous notre contrôle dans un premier temps. Puis nous verrons comment nous raccorder au reste de l’Internet. Au passage, nous verrons des solutions qui nous permettent de nous reconnecter à l’Internet global en urgence, sans avoir besoin de créer un nouveau réseau de toutes pièces.

Pour créer un réseau, le plus utile serait d’interconnecter votre quartier, votre village ou votre immeuble. Vu qu’il est rare d’avoir accès à de la fibre optique et que trouver une quantité de câbles suffisante sera compliqué dans l’urgence, il s’agit plutôt ici d’une tactique à moyen-long terme. Évidemment, faire des stocks au cas où n’est peut-être pas une mauvaise idée.

L’Internet n’étant qu’un assemblage de réseaux (Inter-Net), construire votre partie d’Internet n’est pas si difficile : vous en avez déjà un bout chez vous aujourd’hui. En cas de coupure, vous pouvez jeter un câble par la fenêtre, le brancher chez votre voisin·e, et vous voilà reparti·e.

Une solution possible serait d’aménager des points d’accès dans votre quartier, reliés entre eux par des câbles Ethernet, eux-mêmes reliés par des routeurs, le tout complété par des bornes Wi-Fi et des serveurs pour héberger des services de stockage et d’échange de données. Un bon exemple est la PirateBox, un système que n’importe quel ordinateur peut héberger et qui contient un forum, un tchat en temps réel et un service d’échange de fichiers.

C’est cette solution qui a été mise en place à Cuba, où l’Internet a été posé dans les villes par les habitant·es. Avec des switchs Ethernet, de vieux PCs et des câbles Ethernet courant d’une maison à une autre, les cubain·es ont installé ce qu’iels appelaient le Street-Net.

Et en Europe ?

L’AMAP des Internets

Pour des raisons de rentabilité et à cause de choix de politique industrielle, les quatre gros Fournisseurs d’Accès Internet français laissent de côté certaines personnes, notamment les personnes dont le droit au logement est bafoué. C’est là que les FAI associatifs jouent un rôle essentiel. Les FAI associatifs, en France comme ailleurs dans le monde, fonctionnent sans une logique de profit, mais en répondant aux besoins de leurs adhérent·es. Pour la petite histoire, le plus ancien fournisseur d’accès à Internet en France qui soit encore en activité aujourd’hui est un FAI associatif fondé en 1992 : il s’agit de French Data Network.

En Allemagne, ou en Catalogne, des réseaux similaires existent ; Guifi et Freifunk, qui permettent s’assurer une communication numérique sur des centaines de milliers de foyers même en cas de panne globale d’internet. Un article, écrit par un Jean-Noël Montagné sur son blog en dresse le portrait.

Nous avons rencontré Sacha, membre d’Aquilenet, un Fournisseur d’Accès Internet associatif bordelais. Aquilenet fait partie d’une fédération de FAI, dont FDN fait également partie, ce qui leur permet de partager une partie de leur infrastructure technique. Si un FAI a des soucis, la solidarité entre les membres de la fédération lui permettra de continuer à exister. C’est en contraste total avec la compétition entre FAI commerciaux. Les AMAP (Associations pour le Maintien d’une Agriculture Paysanne) fonctionnent également sur une principe de coopération entre fournisseurs et consommateurs, d’où ce rapprochement.

L’auto-organisation commune des FAI associatifs, des militant·es du logement et des personnes dont les droits au logement ne sont pas respectés, leur permet d’être en ligne malgré tout. Eux vivent au quotidien la coupure que nous redoutons tou·tes, voyons comment iels font face à cette situation.



Tu dis avoir installé l’Internet dans un squat, est-ce que tu pourrais nous dire pourquoi est-ce que des FAI classiques ne pouvaient pas le faire ?
Les FAI classiques peuvent le faire, mais leur procédure ne le permet pas, notamment sur les aspects bancaires. Quand tu es en squat, produire un RIB n’est pas forcément évident. D’autre part beaucoup de FAI imposent un engagement sur une durée assez longue pour qu’ils puissent amortir des frais de mise en service qui sont cachés. Et dans les raisons d’annulation de cet engagement prévues par les FAI il n’y a pas la case « mon squat s’est fait expulser »…

Comment avez-vous fait, techniquement ?
Comme notre FAI associatif fabrique des bouts d’Internet nous avons plusieurs solutions. On peut par exemple demander à des voisin·es s’iels veulent partager leur accès, tout en leur garantissant qu’iels ne prennent aucun risque : le squat passera par un VPN, ce ne sera jamais leur adresse IP qui sera vue. Avec cette technique, on a pu fournir de l’Internet avec un relais wifi directionnel et un « partageur » situé à quelques kilomètres… Pour un autre squat, c’est un particulier qui a payé la fibre pour un an : nous avons pris l’abonnement et fait la desserte locale avec un équipement à nous, pour utiliser une adresse IP de Aquilenet qui nous garantit d’être les premiers avertis en cas de recours judiciaire. Et nous en avons profité pour lancer des ateliers de formation numérique aux exilé·es.

Comment s’est faite l’installation, d’un point de vue organisationnel ?
Souvent nous avons des personnes des squats qui nous sollicitent. Cela nous fait un contact avec qui on peut avancer. Nous savons que le matériel que nous installons peut disparaître en cas d’expulsion, généralement nos contacts le mettent de côté au moment voulu. Sinon nous avons des bénévoles qui participent à la mise en œuvre technique, nous affichons en gros sur un des murs du squat le mot de passe du wifi et c’est tout, nous les laissons en avoir l’usage qu’iels souhaitent.

Est-ce qu’il y a eu des soucis que vous n’avez pas réussi à résoudre ?
Je cherche… mais je ne vois pas. Le plus dur dans le cas des partageurs c’est la peur, souvent liée à la méconnaissance. Mais s’iels sont prêts à écouter nos arguments, on arrive à trouver un terrain d’entente et cela tisse des liens entre squatteureuses et partageureuses. Enfin ce sur quoi on n’arrive pas à avancer, c’est que ces squats soient pérennisés, que l’on traite et accueille décemment des demandeureuses de logement. Nous nous rendons compte qu’après l’eau et l’électricité, Internet est important pour aider à s’organiser dans ces situations difficiles.

Penses-tu que, en dehors d’un squat, ce genre d’installation serait possible, et pourquoi ?
On le fait ailleurs, c’est notre activité de FAI associatif : on est une sorte d’AMAP de l’Internet. On fait de l’hébergement associatif, on a un centre d’hébergement où tu peux venir avec ton ordi et le laisser branché sur Internet, on fournit du VPN, de l’ADSL et maintenant la Fibre. Du coup on aide pas mal de petites structures autour du numérique.

Il est donc possible avec un peu de connaissances techniques, peu de moyens et surtout l’entraide en groupe, de monter une infrastructure Internet utile et fonctionnelle. Merci à Sacha d’avoir répondu à nos questions !

Internet, sans câbles et sans électricité

Vous remarquerez que se faire un petit net est donc possible. Mais évidemment, cela demande de l’électricité. Dans les cas où les catastrophes naturelles font tomber le réseau électrique, c’est intéressant de voir comment faire tourner le nouveau réseau sur des sources d’énergie résilientes. Quitte à reconstruire le réseau, autant lui donner une meilleure résilience…

C’est notamment ce sur quoi travaille Télécoms sans frontière, avec qui nous avons également discuté pour écrire cet article. Vous pouvez lire les articles qu’iels écrivent pour rendre compte de leurs missions et vous inspirer par exemple de leurs actions à Haïti, après un tremblement de terre.

Un moyen sur lequel nous pouvons compter dans certains cas, c’est les connexions par satellite. La connexion à Internet via satellite existe depuis longtemps, mais jusqu’à récemment les prix et les performances de ces systèmes les rendaient peu accessibles au grand public. Et bien que les nouveaux systèmes du style Starlink ne soient pas encore totalement au point, ça peut être une solution pour relier son réseau local au réseau mondial. Si vous avez une telle connexion, n’hésitez pas à la partager avec votre communauté.

À votre échelle, vous pouvez déjà construire vous-même une Piratebox solaire en suivant ce guide. Ou même faire un site web solaire, dans une démarche plus low-tech.

Les énergies renouvelables devraient nous assurer une alimentation résiliente pour nos ordinateurs. Mais pour ce qui est de l’interconnexion entre notre ordinateur et le reste de l’Internet, il reste le problème des câbles. Et le gros souci des câbles, eh bien ce sont les câbles eux-mêmes. Un câble, ça coûte cher, ça pèse son poids, c’est difficile à déplacer et à entretenir. La solution évidente à cela est de ne pas utiliser de câbles. Alors utilisons des ondes radio !

Les réseaux « mesh »

Quand le réseau câblé traditionnel fait faillite, des réseaux ad-hoc passant par ondes radio peuvent prendre le relais pour maintenir un minimum vital de communication. Ils peuvent également exister en parallèle. Les réseaux mesh, de l’anglais mesh – filet/maille -, sont, comme ces derniers, des réseaux tissés de nœuds, en proximité les uns des autres. Utiliser des réseaux radio est efficace, plus facile à déployer et plus difficile à démanteler. C’est sur cette technologie que se base un FAI associatif de New York, NYC Mesh.

Utiliser de la radio nous permet d’avoir une grande portée et donc de couvrir de larges zones sans avoir besoin de relier individuellement chaque personne voulant se connecter à un câble. Et la radio nous permet aussi de traverser des endroits qui seraient sinon difficilement franchissables par câble.

Quand on parle de radio, on peut utiliser autant de la FM traditionnelle, dite radio Très et Ultra Haute Fréquence, que de la Wi-Fi. Mais il existe aussi d’autres types d’ondes radio, comme le LoRaWAN, acronyme de long-range wide-area network (« réseau étendu à longue portée »). Et à plus petite portée le Bluetooth peut faire l’affaire. À chaque fois, c’est un compromis à trouver entre la portée et la quantité de données que l’on peut transmettre.

Un des avantage des réseaux mesh c’est qu’ils peuvent être déployés à petite échelle, avec peu de moyens ! Donc si vous vous retrouvez coupé·e d’Internet et qu’il n’existe pas de réseau sous le contrôle de votre communauté, vous pouvez utiliser votre smartphone pour en créer un rapidement.

Un exemple de communication basé sur un réseau mesh est l’application Firechat, qui a été utilisée à travers le monde, par exemple à Hong Kong en 2014. Mais le développeur n’avait pas prévu son application pour de tels cas d’usage, et après avoir averti ses utilisateurices que leur sécurité n’était pas garantie, l’application ne reçoit désormais plus de mises à jour.

Heureusement, entre-temps, la voie ouverte par Firechat a été suivie de façon plus sérieuse par le projet Briar. Disponible pour le moment sur Android et en bêta pour d’autres plateformes, Briar intègre plusieurs canaux de communications pour être « résilitant » face à la censure, aux coupures, mais aussi à la surveillance.

Selon ses créateurices ;

Briar est une application de messagerie créée pour les activistes, journalistes et toute personne désirant une manière de communiquer qui soit sécurisée, simple et robuste. A contrario des applications classiques, Briar n’a pas besoin de serveurs centralisés – les messages sont synchronisés directement en pair à pair. Si l’Internet est coupé, Briar se synchronise via Bluetooth, Wi-Fi, permettant à l’information de circuler en temps en crise. Si l’Internet est disponible, Briar peut se synchroniser via le réseau Tor, afin de protéger les utilisateurices et leurs relations de la surveillance.

Source



Briar intègre des blogs, des forums et de la messagerie instantanée, le tout dans une seule application.

Avec le LoRa, un service comme Meshtastic vous permet de créer des groupes de discussion, et d’avoir une très haute portée sans avoir besoin d’Internet, là où Briar nécessite une densité élevée d’utilisateurices pour bien fonctionner. L’idéal serait de combiner les deux.

Vous pourriez aussi simplement créer un réseau Wi-Fi ouvert, sans mot de passe, et rediriger toutes les connexions vers un site web, hébergé localement. Et ensuite relier cet ordinateur au reste du réseau via une connexion satellite.

Lors du Printemps Arabe, un réseau de hackeureuses nommé Télécomix s’est organisé en solidarité avec les révolutionnaires pour leur permettre de rester connectés à l’Internet, épisode raconté dans un article de Médiapart. Ils ont notamment utilisé des ponts radio.



C’est un peu l’esprit du Mycelium Mesh Project, projet d’anarchistes étatsuniens, qui visent à pouvoir déployer rapidement des nœuds de communication sur les zones d’insurrection populaire, grâce à des réseaux mesh.

L’Internet des services

Une fois que vous avez remis en route le réseau physique, il faut maintenant qu’il y ait des sites web et des services auxquels accéder. Une chance pour nous, c’est que beaucoup d’efforts ont été faits ces derniers temps pour rendre cela plus facile.

Sans attendre une coupure, pour peu que vous sachiez héberger des sites web, n’hésitez pas à faire des copies miroir de sites web que vous visitez souvent, ou que vous considérez d’importance. C’est un peu ce que fait https://web.archive.org, mais plus on a de copies, mieux on est protégé. On se souvient des milliers de miroirs de The Pirate Bay qui ont émergés spontanément lors des tentatives de censure, ce qui fait que le site est toujours en ligne aujourd’hui.

Si en temps normal, vous utilisez les services des GAFAMs, style Google Drive, sachez qu’il existe des alternatives comme Nextcloud. Quand on fait son propre Internet, on peut installer des service comme Nextcloud et donc avoir notre « Cloud » hébergé par nos soins, ou le confier à notre communauté. Si vous avez un vieux PC, vous pouvez installer Yunohost dessus et héberger votre site web, ainsi qu’une pléthore de services. Le Collectif des Hébergeurs Alternatifs Transparents Ouverts Neutres et Solidaires propose aussi des services en accès libre, pour vous aider à vous dé-Googliser.

Est-ce possible de construire un internet résilient ?

Oui ! Évidemment, si nous vous en parlons c’est parce que ça existe. Est-ce que c’est possible à grande échelle ? Tout dépend de nos besoins, de notre volonté. Mais quand c’est nécessaire, comme à Cuba, c’est possible, et ça se fait. Sachez qu’en France aussi, c’est déjà le cas dans certains endroits. Par exemple, le 19 novembre 2017, quelques bénévoles d’Illyse, un FAI associatif, se sont rendus du côté de Vaugneray pour apporter une connexion Internet en « zone blanche », grâce à un lien établi par des antennes Wi-Fi haute portée.

Maintenant, tout ceci est bien beau, mais ça demande des savoir-faire, ou d’être en contact avec des personnes sachant faire. Alors, ne faudrait-il pas aussi savoir comment faire sans ? Sans Internet ? Ou comment former des groupes pouvant s’organiser sans ? Ce sera le sujet du troisième article. Aidez-nous à l’écrire en nous rejoignant sur nos groupes de discussions.

]]> https://www.laquadrature.net/?p=18686http://isyteck.com/autoblog/quadrature/index.php5?20220503_130038_Le_Conseil_d___Etat_sauve_la_reconnaissance_faciale_du_fichier_TAJTue, 03 May 2022 11:00:38 +0000Le 26 avril 2022, le Conseil d’État a rejeté nos critiques contre l’utilisation massive de la reconnaissance faciale par la police dans le TAJ (« traitement des antécédents judiciaires »). Il s’agit d’une défaite cinglante, qui affirme encore davantage le Conseil d’État dans son rôle de défenseur de la surveillance de masse, sans plus aucune considération pour le respect des droits des personnes. Nous avons l’habitude de perdre et de ne pas nous résigner : trouvons dans cette défaite les futures pistes de notre lutte.

Surveillance massive et illégale

Il y a deux ans, nous attaquions le décret de 2012 qui avait créé le fichier TAJ en fusionnant le STIC, fichier de police, et le JUDEX, fichier de gendarmerie, relatifs aux enquêtes judiciaires et administratives. Il contient des informations à la fois sur les personnes mises en cause (peu importe qu’elles aient été condamnées ou non), sur les témoins et sur les victimes impliquées dans les enquêtes. Le TAJ est aujourd’hui tentaculaire : 19 millions de fiches sont présentes dans ce méga fichier (chiffres de 2018, dont on redoute qu’ils n’aient pu qu’augmenter depuis).

Surtout, et c’était l’objet de notre recours devant le Conseil d’État, le décret TAJ autorise les policiers à utiliser des logiciels de reconnaissance faciale pour consulter sa base de données. Les policiers peuvent automatiquement comparer une image captée par une caméra de surveillance, un téléphone ou sur Internet aux 8 millions de photographies présentes sur les fiches des personnes mises en cause (chiffres de 2018). Cette comparaison a lieu dans le cadre d’enquêtes comme de simples contrôles d’identité, comme l’expliquait le ministre de l’intérieur en 2021.

Introduit dans le droit en toute discrétion il y a près de 10 ans, à une époque où les outils de reconnaissance faciale n’étaient qu’en gestation, le recours à cette technologie est aujourd’hui généralisé. La police a utilisé le TAJ pour faire de la reconnaissance faciale 375 000 fois en 2019, soit plus de 1 000 traitements par jour partout en France (on en parlait notamment dans notre article récapitulatif sur l’état de la reconnaissance faciale en France, ici). En 2020, ce chiffre montait à 1200 interrogations quotidiennes du TAJ par reconnaissance faciale.

L’utilisation massive de cette technologie est pourtant interdite en application des règles du droit des données personnelles. Seules certaines situations exceptionnelles pourraient autoriser un tel traitement et, même dans ces situations exceptionnelles, la police ne pourrait y recourir qu’en cas de « nécessité absolue » – lorsqu’il n’existe absolument aucun autre moyen de poursuivre l’enquête. Nous avons expliqué au Conseil d’État qu’aucun de ces critères n’était jamais rempli en pratique. Rien ne permet de justifier des moyens aussi intrusifs et dangereux.

La fuite en avant du Conseil d’État

Et pourtant, le Conseil d’État a rejeté nos arguments. Il n’a pas nié les innombrables abus que nous lui pointions, mais nous a invité à les soumettre au cas par cas aux autorités (juges et CNIL) chargées d’en vérifier la légalité, plutôt qu’à lui. Comme si le Conseil d’État pouvait se contenter d’examiner la légalité du TAJ de façon abstraite sans se soucier de sa mise en œuvre pratique. Pourtant, justement, en pratique, le Conseil d’État sait très bien que les abus du TAJ sont si nombreux que la CNIL n’aura jamais les moyens de les détecter et de les stopper un à un. Il lui est matériellement impossible de contrôler a posteriori 1 000 opérations policières par jour. Présenter le contrôle de la CNIL et des juges comme une garantie suffisante pour pallier ces abus est une échappatoire malhonnête pour permettre le maintien de ces pratiques. C’est le propre de la surveillance de masse que d’échapper à tout encadrement crédible, et c’est cette évidence que le Conseil d’État a niée.

Si le Conseil d’État a refusé de prendre en compte dans sa décision les abus concrets du TAJ, il a quand même cherché à justifier la « nécessité absolue » de la reconnaissance faciale. Sa démonstration est si terrible que nous la restituons telle quelle : « eu égard au nombre de personnes mises en cause enregistrées dans [le TAJ], qui s’élève à plusieurs millions, il est matériellement impossible aux agents compétents de procéder manuellement à une telle comparaison » d’images, dont l’automatisation ne peut dès lors que « s’avérer absolument nécessaire à la recherche des auteurs d’infractions et à la prévention des atteintes à l’ordre public ». Autrement dit, le recours à des logiciels d’analyse d’images automatisée serait rendu nécessaire car le TAJ, abandonné à la police depuis 10 ans et sans aucun contrôle externe, est devenu si tentaculaire et absurde qu’il ne peut plus être exploité à son plein potentiel par des humains. Une surveillance de masse (le fichage généralisé) rend nécessaire une autre surveillance de masse (la reconnaissance faciale généralisée).

Un tel raisonnement circulaire permet au Conseil d’État de se détacher de toute considération quant au respect des libertés fondamentales. À aucun moment il ne saisit l’opportunité d’évaluer sérieusement la seule utilisation connue de la reconnaissance faciale en France, pourtant dénoncée depuis plusieurs années partout en Europe pour les graves dangers qu’elle fait peser sur nos libertés. Au contraire, il sort de son rôle pour n’analyser le fichier que du point de vue de sa potentielle utilité pour la police et ne pas corriger les dégâts causés depuis 10 ans. En abandonnant son rôle de gardien des libertés, le Conseil d’État valide et inscrit dans le marbre la croyance selon laquelle il faut toujours plus en connaître sur la population, considérée comme étant suspecte par défaut.

Prochaine étape de notre lutte

Ne nous décourageons pas et, pour préparer la suite de notre lutte, cherchons les leçons à tirer de cette défaite. Premièrement, il semble risqué d’attaquer la reconnaissance faciale en tant que principe théorique sans aussi s’attaquer à ses réalisations concrètes, à défaut de quoi nos adversaires risquent d’esquiver le débat tel que se l’est ici permis le Conseil d’État.

Deuxièmement, il semble risqué d’attaquer la reconnaissance faciale sans s’attaquer en même temps à l’ensemble du système dont elle fait partie et qui la justifie : le fichage généralisé, dont la démesure a servi de prétexte au Conseil d’État, et la vidéosurveillance qui inonde nos villes et dont la démesure, tout autant scandaleuse, sert aussi de prétexte au déploiement de logiciels de détection automatisée sur les caméras déjà installées (voir notre analyse politique de la VSA).

Notre offensive va donc se poursuivre, affinée et ajustée par ces deux leçons. Cette offensive est d’autant plus urgente que l’Union européenne est en passe d’adopter un règlement sur l’IA qui viendrait légitimer les technologies de surveillances biométriques aujourd’hui interdites par le RGPD (revoir notre analyse) et que la France, actuellement présidente du Conseil de l’UE, fait tout pour défendre son industrie et son idéologie technopolicières.

Nous fêterons bientôt les 4 ans de l’entrée en application du RGPD et des règles européennes de protection des données personnelles, le 25 mai. Si ces règles ont été presque inutiles pour nous protéger de la surveillance des GAFAM, elles ont entièrement failli à nous protéger de la surveillance d’État. Peut-être devrions profiter de cet anniversaire pour essayer de renverser la situation.

]]> https://www.laquadrature.net/?p=18591http://isyteck.com/autoblog/quadrature/index.php5?20220421_183101_Survivre_a_une_coupure_d___InternetThu, 21 Apr 2022 16:31:01 +0000Qu’est ce qu’une coupure d’Internet ?

Nous commençons aujourd’hui une nouvelle série d’articles qui explorent les perturbations du réseau Internet. Alors que l’Internet est de plus en plus régulé, il se retrouve aussi de plus en plus victime de coupures selon une étude de 2011. C’est une tendance qui s’accroît, selon un rapport très complet d’Access Now. Ces coupures peuvent avoir différentes raisons, allant d’une faille technique à une volonté délibérée de la part des États d’empêcher les habitant·es de communiquer, notamment lors de révoltes ou de périodes d’instabilité politique.

Bien que la légende veuille qu’il ait été conçu pour survivre à un hiver atomique dans son ensemble, localement, l’accès à Internet peut être coupé. Le réseau Internet étant construit autour d’un assemblage de réseaux autonomes mais inter-connectés, il se pourrait qu’une partie de ces sous-réseaux tombent, sans que les autres ne soient sévèrement impactés. L’information pourrait continuer à circuler dans le reste du réseau.

Parce qu’il est un outil souvent central dans la contestation d’un pouvoir illégitime, pour venir en aide aux victimes de catastrophes naturelles ou humaines, il est vital d’étudier comment faire pour maintenir les connexions et ainsi pouvoir disséminer des informations. Dans plus de 140 cas, comme nous l’apprend la page 6 du rapport de Access Now, les gouvernements ont justifié leurs coupures par “la Sécurité Nationale” ou le contrôle des “fausses informations”.

Il est souvent évident pour les observateurs qu’en réalité les autorités peuvent redouter la  contestation, et donc coupent l’accès à Internet pour limiter la capacité du peuple à s’organiser et à s’exprimer, que ce soit en ligne ou non. Les données révèlent que, quand les autorités parlent de “fausse information”, rumeurs ou discours de haine, ils sont en réalité contraints d’agir en réaction à des manifestations, des élections, des violences sociales ou des activités militantes, entre autres. En utilisant ces menaces comme excuse, il semble que les gouvernements utilisent les coupures comme moyen de contrôler le débat politique et le flux d’informations.

Access now, The #KEEPITON Report, 2018

Cela démontre sans équivoque l’importance d’un tel outil. Nous allons donc commencer par étudier (dans un premier article) quels sont les différents types de coupures. Puis, dans un second temps, nous verrons comment contourner les censures et rétablir les connexions. Enfin, quand rétablir une connexion n’est pas possible, ou pas souhaitable, nous verrons comment s’organiser sans internet, voire sans ordinateurs.

Qui coupe internet ?

Il faut savoir avant toutes choses qu’Internet à une existence physique, à travers différents types d’infrastructures.

Autant les câbles sont importants, autant il existe aussi les entrepôts de données, les opérateurs transnationaux, et des opérateurs locaux, qui ont tous un rôle à jouer. C’est à travers ce mille-feuilles d’acteurs que nos connexions se font, et plus l’opérateur va être en haut de la hiérarchie des interconnexions, plus il aura de pouvoir sur le réseau.

Parlons donc coupure. Une coupure, c’est une interruption dans votre connexion au réseau Internet. Cette interruption peut être totale – rien ne passe – ou bien partielle – vous arrivez à vous connecter à certaines parties, mais pas à d’autres. Ou bien la connexion est instable, et empêche une utilisation fluide. La réduction de la vitesse de connexion peut parfois produire des effets comparables à une coupure.

Il existe plusieurs moyens de couper la connexion à Internet. Mais en réalité, il n’existe pas une seule connexion, mais des interconnexions, et de nombreuses manières de les réaliser. Et les coupures sont tout aussi variées. Elles peuvent être longues, sur plusieurs mois, comme assez courtes. Elles peuvent avoir plus ou moins de régularité.

Étudions donc quelles pourraient être les causes de ces coupures.

Le climat

Internet, c’est avant tout une interconnexion entre des ordinateurs à l’échelle du monde. Ces interconnexions se font principalement par des câbles, et à travers d’autres ordinateurs, qui sont sensibles au climat. Un incendie peut par exemple sérieusement compromettre le réseau. La crise climatique en cours, qui provoque des inondations, des glissements de terrain, et autant de choses qui peuvent compromettre nos constructions, est une menace extrêmement importante. La Chine, pays où les paiements en ligne sont monnaie courante, a dû se confronter à cette situation lors d’inondations récentes.

Les animaux

Nos infrastructures ne sont pas sensibles qu’au climat, elles le sont aussi aux animaux avec qui nous partageons la terre et la mer. Ainsi, comme les rongeurs qui peuvent grignoter des câbles, les requins peuvent attaquer le réseau, comme ça a été le cas au large du Việt Nam.



“Principal Ocean Cables in 1917” by Eric Fischer is licensed with CC BY 2.0.

(Si vous voulez voir à quoi ressemble la pose des câbles sous-marins aujourd’hui, cette vidéo vous donne une idée.)

Les humains

Nous autres humains avons aussi une certaine capacité à couper le réseau, que ça soit volontairement, comme par exemple lors de vols de câble, mais aussi parfois sans le vouloir : une dame en Géorgie a ainsi coupé l’accès d’un pays entier en cherchant à recycler du métal dans le sol. Parfois, on ne sait même pas vraiment ce qui a causé une cassure…

Les industriels

Une mauvaise gestion des infrastructures peut amener à des coupures. On pourrait parler de la façon dont est géré le déploiement de la fibre, fruit d’une politique économique mortifère, mais French Data Network le fera mieux que nous. Même si le réseau est là, pas sûr qu’il soit utilisable, faute d’entretien, comme à Brooklyn, USA. On se retrouve alors avec des coupures, ou une absence de raccordement à des moments critiques. On peut vous le dire, ça nous est arrivé récemment au Garage. Quand nous avons emménagé dans nos nouveaux locaux (c’est toujours « le Garage » !), notre opérateur a pris plusieurs semaines à nous raccorder. Et une fois que c’était fait, on a subi plusieurs coupures dues à la sous-traitance : les techniciens d’autres opérateurs, trop peu payés pour faire bien leur travail, ont coupé nos fibres pour installer les leurs.

Les gouvernements

Les exemples récents de coupures par des gouvernements ne manquent malheureusement pas. Nous pourrions en faire la liste ici, mais laissons Wikipédia s’en charger. Quelques exemples tout de même : au Myanmar, en Égypte, en Inde, à Cuba, à Cuba encore, en Éthiopie, au Belarus… Il existe aussi un risque d’attaque par un gouvernement hostile, notamment comme les États-Unis en Syrie. Aidés, entre autres, par des entreprises françaises. Les États autour du globe s’équipent de moyens leur permettant de couper, filtrer et censurer Internet. N’oublions pas que le gouvernement français n’est pas un ami d’Internet, comme nous avons pu en prendre acte en 2011. L’usage des coupures de réseau pour faire face à la contestation n’est plus à craindre : il est là. De là à se dire que ces techniques pourraient se généraliser à travers le monde, il n’y a qu’un pas.

Le temps qui passe

Quand toute la bonne volonté de la terre et des humains n’y suffit pas, le temps se chargera de dégrader et de mettre à terre toutes les fibres et les tours téléphoniques. Si vous habitez dans une région du monde où l’investissement dans les réseaux des télécoms est marqué par des politiques racistes, ou une forte ségrégation sociale, le temps entre deux rénovations peut suffire à vous exclure du réseau. N’oublions pas que seulement la moitié de la population mondiale a accès à Internet, et que cela reste très cher dans un certain nombre de régions du monde.



“time” by Katerina Atha is licensed with CC BY-NC-ND 2.0.

Ce tour d’horizon nous permet de voir ce à quoi nous avons affaire. Réseau omniprésent et d’une importance critique, internet n’en n’est pas moins fragile et fluctuant.

Il convient que nous nous attardions un peu plus sur les capacités des institutions à couper internet. C’est sur elles que nous allons diriger notre action, vu la difficulté pour nous à prévenir les catastrophes venues d’ailleurs.

C’est principalement à elles que nous aurons à faire face, dans une forme capitalistique ou étatique, à moins que vous ne songiez sérieusement à vous lancer dans la chasse aux requins. (C’est une mauvaise idée.)

Quant au temps qui passe, ou au manque d’investissement dans les infrastructure, ces sujets ont déjà été traités par d’autres.



Quels genres de coupure?

Voyons techniquement comment s’y prendre pour interrompre certains flux internet.

Le filtrage sur le nom de domaine

En France, la censure de l’Internet est malheureusement monnaie courante. Depuis le début des années 2000, avec notamment les lois LOPPSI et HADOPI, que nous avons combattues, les fournisseurs d’accès à internet (FAI) se trouvent obligés de bloquer des sites, sur demande d’un juge ou de la police. Cette obligation a d’abord été justifiée par le blocage nécessaire des contenus pédopornographiques, et a été utilisée la première fois pour censurer des propos négationnistes, mais a aussi été utilisée pour supprimer des positions et groupes politiques. Son évolution dans le temps est bien documentée. Et dernièrement, la lutte reprend autour de l’accès au porno.

Déjà en 2008, nous avions publié une note sur le blocage des noms de domaine, via le protocole DNS.

Avec cette technique, ce n’est pas le contenu illégal qui est filtré, mais l’intégralité du domaine internet qui l’héberge. […] Les opérations nécessaires au blocage par DNS sont relativement simples, bien que la complexité et la maintenance engendrées, et donc le coût global, dépendent là aussi des configurations actuelles des opérateurs. L’efficacité de cette technique est très limitée. Il suffit d’une manipulation triviale sur l’ordinateur de l’utilisateur pour définitivement passer outre.

La Quadrature Du Net, 2008

En effet, il suffit d’utiliser un autre système de nom de domaine que celui fourni par défaut par votre FAI pour contourner la censure. La procédure est relativement simple, et expliquée dans un article de Numerama. Nous remercions la French Data Network, qui héberge des serveurs DNS accessibles à tous et sans censure ou filtrage.

Censure de services

Parfois, il ne s’agit pas juste de sites web qui sont bloqués, mais aussi de services, comme des applications de messagerie. Ça a été le cas en Russie, où un tribunal a demandé le blocage de Telegram. Vu la façon dont Telegram se connecte à ses serveurs (utilisation des serveurs de Google, et donc de leurs adresses IP), le blocage a eu des conséquences inattendues.

« Alors que le nombre total d’IP bloquées a été fluctuant (bien que majoritairement en hausse) depuis que la Russie a modifié son approche, nous observons quelque chose comme 16 millions d’adresses bloquées en ce moment. Les services concernés incluent Viber, Office 365, les éléments du PlayStation Network, et beaucoup plus. »

Source

En général, les services trouvent des moyens de contourner cette censure, par exemple en utilisant des IP partagées ou par utilisation de VPN notamment. Dans ce cas, la censure a eu pour effet de bloquer plein de services qui n’avaient rien à voir. Par ailleurs, le ban a été levé en 2020 visiblement parce que c’était un bel échec.

Ralentissement de la connexion

Imaginez que vous vous connectiez sur un réseau social pour prendre des nouvelles de la manifestation qui doit avoir lieu dans les prochaines heures. Mais la page semble prendre beaucoup de temps à charger, et quand la page s’affiche, certains éléments ont pris trop de temps à venir et leur chargement a été annulé. En voulant envoyer un message à vos ami·es, vous vous rendez compte que le message prend plus d’une heure à arriver ; difficile de se retrouver dans la foule dans ces conditions.

Ce genre de restrictions est beaucoup plus difficile à répertorier, car plus sournois. Il permet de restreindre l’accès sans toutefois le couper. Il se peut que ce ralentissement ne soit même pas reconnu comme intentionnel, notamment dans les endroits où le service Internet n’est pas très stable de base. Attention, tout ralentissement n’est pas dû à une censure ; on a un bel exemple avec les effets de bords de la panne de Facebook qui a engendré d’autres pannes chez les opérateurs téléphoniques.

Coupure du service 3G/4G

Pour beaucoup d’humains dans le monde, la connexion à Internet se fait d’abord par le service mobile, via des smartphones. Et il apparaît que c’est souvent ce moyen de connexion qui est ciblé, car il est principalement utilisé par les particuliers, alors que les entreprises et services d’État utilisent une connexion filaire. Le rapport d’Access Now cité en début d’article offre un panorama édifiant sur la question.

Censure de protocoles

Parfois, la surveillance et la censure vont de pair. Les protocoles que nous utilisons pour sécuriser notre connexion, comme HTTPS, permettent d’échapper à certaines formes de censure et de surveillance. Alors, il paraît logique de bloquer ces protocoles, comme c’est le cas en Chine, où le gouvernement utilise le Grand Firewall pour bloquer les versions les plus sécurisées de HTTPS. C’est un jeu du chat et de la souris, parce que des méthodes de contournement peuvent être mises en place. Cela dit, pour la majorité des gens, ces blocages peuvent être difficiles à contourner.

Le blocage des VPN est également possible, et courant.

BGP

BGP est le nom du protocole qui permet à Internet de fonctionner en tant que réseau de réseaux. Si l’on regarde une carte de l’Internet, comme celle-ci :



On peut voir les différentes couleurs, qui représentent différents réseaux. Entre ces réseaux, les connexions se font au moyen de BGP, qui est en quelque sorte la glue qui permet à l’Internet d’exister.

Hé bien, cette glue, elle peut être dissoute. Ça peut être suite à une erreur, comme au Pakistan où en 2008 un opérateur a annoncé à l’Internet tout entier que c’était chez lui qu’on pouvait accéder à Youtube le plus rapidement. Youtube a été inaccessible dans le monde entier pendant un petit moment à cause de ça. Mais parfois c’est très intentionnel, comme lors du début de l’insurrection en Syrie. Vous pouvez voir quand BGP subit des interruptions sur Twitter d’ailleurs. Récemment, Facebook a eu un souci similaire.

Des chercheurs ont par ailleurs expliqué qu’il serait possible de casser totalement et de façon grave l’Internet en exploitant des failles du protocole. Bien que compliqué à faire, ça n’en est pas moins possible. Si ça peut vous rassurer, il existe malgré tout des systèmes de surveillance et de contrôle pour éviter que le protocole ne soit abusé, ce qui rend ce genre d’attaques peu susceptibles d’aboutir.

Perquisition

Quand le blocage au niveau du réseau ne suffit pas, il reste encore l’option d’attaquer directement le serveur sur lequel est hébergé le site web. On pense aux attaques contre The Pirate Bay. C’est une  pratique qui est toujours en cours, bien que moins efficace que par le passé. Cette perte d’efficacité est notamment due aux architectures distribuées, type “cloud”, où les sites web sont répartis sur une multitude de serveurs à travers le monde. Au lieu d’être disponibles sur un seul serveur, ils vont profiter d’une redondance globale, permettant à leurs bases de données ou de ressources de ne pas être toutes au même endroit.

Maintenant qu’on voit un peu quelles sont les différentes menaces possibles, je vous invite à lire notre prochaine article, qui explorera comment contourner ces cassures, rétablir des liens, et prendre des nouvelles de la liberté à l’autre bout du fil.

Vous pouvez nous suivre en vous rendant sur la page Nous !

“network cables” by pascal.charest is licensed under CC BY-NC-ND 2.0

]]> https://www.laquadrature.net/?p=18558http://isyteck.com/autoblog/quadrature/index.php5?20220407_165158_En_quoi_la_videosurveillance_algorithmique_est-elle_illegale___Thu, 07 Apr 2022 14:51:58 +0000La vidéosurveillance algorithmique (VSA) s’installe dans nos villes, en toute opacité et surtout, en toute illégalité. Depuis plusieurs années, nous tentons de lutter contre ces dispositifs, notamment en les attaquant devant les tribunaux. Nous pensons que les règles en vigueur permettent de s’opposer au déploiement de ces technologies pour se protéger contre les atteintes aux libertés qu’elles entraînent. Pourtant, la Commission européenne pousse à l’adoption de nouvelles règles, en faveur des industriels, pour réguler les dispositifs « d’intelligence artificielle », comprenant entre autres la VSA. Dans son sillage, la CNIL plaide pour un nouvel encadrement spécifique. Dans notre réponse à sa consultation, nous avons expliqué pourquoi il ne faut en aucun cas abandonner les règles protectrices actuelles pour de nouvelles règles sectorielles. Voici un résumé de nos arguments (voir notre position complète ici).

Les données biométriques, cœur de la protection

Le droit des données personnelles prévoit une protection particulière pour les données qu’on appelle « sensibles » au vu des informations particulièrement intimes qu’elles révèlent (telles que les orientations politiques ou sexuelles). Parmi ces données sensibles, on trouve la catégorie des données dites « biométriques », qui sont « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique »¹Définitions prévues aux article 4§14 du RGPD et 3§13 de la Directive Police/Justice..

Cette définition peut être dissociée en trois éléments que l’on retrouve systématiquement lorsque l’on parle de VSA.

Tout d’abord, il faut que les données fassent l’objet d’un traitement technique spécifique.

Cela permet d’englober les systèmes de VSA puisqu’ils interviennent en addition du traitement général qui consiste à filmer l’espace public et poursuivent un objectif particulier (voir plus bas) . Aussi, le traitement technique est spécifique en ce qu’il consiste en la mise en oeuvre d’un algorithme ou programme informatique appliqué aux flux vidéos afin d’isoler, caractériser, segmenter ou encore rendre apparente une information relative à une personne physique filmée ou à extraire du flux vidéo, même a posteriori, des données concernant cette personne.

Ensuite, les données doivent se rapporter aux caractéristiques physiques, physiologiques ou comportementales d’une personne.
Toutes ces données sont bien celles que la VSA capte :

• les informations physiques ou physiologiques peuvent se rapporter au corps d’une personne filmée au sens large, tels que des visages, des silhouettes ou toute caractéristique isolée du corps, telle que la couleur des cheveux, la couleur de peau, la couleur des yeux, la forme du visage, la taille, le poids, l’âge ;
• les données comportementales visent toute information relative à l’action du corps dans l’environnement et l’espace. Pourront être qualifiés de biométriques un vêtement ou un accessoire porté par la personne à un instant T, un geste, une expression d’émotion, une direction de déplacement, une position dans l’espace et le temps (assis, debout, statique, allure de la marche…).

Enfin, le traitement doit avoir pour but l’identification unique de la personne. D’après le comité européen de la protection des données (CEPD, l’autorité qui regroupe les CNIL européennes), cette fonction ne se limite pas à révéler l’état civil de la personne mais à individualiser celle-ci au sein d’un environnement pour la reconnaître sur plusieurs images²Voir les lignes directrices sur les vidéos contenant des données personnelles 3/201, version 2.0, point 82 p. 19 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr.

Concernant la VSA, chaque système est programmé pour réunir des éléments spécifiques (silhouette, couleur des habits, position, direction, comportement) pour :

• reconnaître une personne sur plusieurs images ou plusieurs flux vidéos , soit dans le temps, soit dans l’espace, en lui attribuant une empreinte numérique qui permettra de caractériser ses attributs ou son comportement, et l’isoler sur les images. L’exemple le plus typique est le suivi d’une personne dans l’espace public filmé par plusieurs caméras ;
• effectuer une action ciblée sur la personne grâce aux informations sur les caractéristiques physiques ou comportementales obtenues par la VSA. Ces informations pourront être transmises à des agents sur le terrain, elles leur permettront de « reconnaître » de façon unique la personne et d’effectuer une action sur elle (« l’homme au chapeau bleu est dans la rue principale, contrôlez-le »).

Dans les deux cas, la personne est identifiée de façon unique par rapport à son environnement, un groupe de personnes ou une scène.

En conclusion, les fonctionnalités des systèmes de VSA portant sur des personnes impliqueront systématiquement un traitement de données biométriques.

La VSA est toujours disproportionnée

Une fois que l’on a démontré qu’il s’agissait d’un traitement de données biométriques, la protection plus forte accordée aux données sensibles peut s’appliquer. Grâce à ce cadre spécifique, les données sensibles ne peuvent être traitées qu’à condition de respecter une exigence de « nécessité absolue »³Voir article 10 de la Directive Police/Justice..

En pratique, cette exigence signifie que le traitement ne sera considéré comme licite que s’il n’existe aucun autre moyen moins attentatoire aux libertés qui permettrait d’atteindre l’objectif poursuivi. Cette exigence de nécessité absolue n’est pas une nouveauté juridique et a déjà permis de limiter ou interdire les technologies les plus intrusives.

Par exemple, lorsque la région PACA avait tenté de mettre en place une expérimentation de reconnaissance faciale à l’entrée de deux lycées, la CNIL avait jugé que la finalité de sécurisation et de fluidification des entrées au sein des lycées « peut incontestablement être raisonnablement atteinte par d’autres moyens », concluant que le dispositif était disproportionné.

De la même manière, dans un avertissement à la ville de Valenciennes révélé par Mediapart, la CNIL avait jugé que le dispositif de VSA mis en place par la ville était disproportionné, notamment car la nécessité n’avait pas été prouvée et l’absence d’alternative n’avait pas été documentée.

Le Conseil d’État avait fait le même raisonnement lorsque nous avions attaqué, aux cotés de la LDH, l’utilisation des drones par la police lors des manifestations. Pour les juges, le ministère n’apportait « pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones »⁴Conseil d’État, 446155, lecture du 22 décembre 2020, §11..

Enfin, ce mécanisme a aussi été efficacement mobilisé contre la vidéosurveillance dite « classique » – et non biométrique – dans la commune de Ploërmel, la ville ne justifiant, selon la Cour d’appel, d’aucune statistique ou de preuves de risques particuliers qui expliqueraient la nécessité de ce dispositif.

En l’occurrence, concernant la VSA policière, il y aura toujours d’autres moyens d’assurer la sécurité autrement que par une technologie automatisée surveillant le comportement des individus dans la rue. Nous en parlions notamment dans notre article expliquant les raisons politiques de s’opposer à la VSA, la sécurité des personnes ne peut être trouvée que dans l’action humaine et sociale, l’attention aux autres, le soin.

La mise en balance exigée par le contrôle de proportionnalité permet donc de limiter et d’exclure tout dispositif de VSA abusif puisque l’atteinte à la vie privée engendrée par le traitement de données biométriques ne pourra être que très rarement, voire jamais, évaluée comme strictement nécessaire pour atteindre l’objectif poursuivi. Ce critère de nécessité absolue est donc aujourd’hui un mécanisme juridique documenté et
efficace pour interdire l’utilisation abusive des technologies par la police dans l’espace public.

Ne pas changer de paradigme

À travers le projet de règlement sur l’intelligence artificielle ainsi que les velléités affichées des dirigeants de modifier le cadre actuel pour favoriser les intérêts industriels et économiques du secteur, c’est une destruction du socle protecteur de nos droits qui est menée.

Ces acteurs tentent de défendre une approche fondée non plus sur la nécessité comme décrite plus haut mais, désormais, sur les risques : le cadre juridique serait non pas unique comme c’est le cas actuellement mais différent en fonction des objectifs et finalités des technologies. Autrement dit, cela impliquerait d’autoriser plus ou moins largement l’usage de certaines technologies en fonction des risques effectifs qu’elles feraient peser sur les droits et libertés de la population.

Par exemple, dans son projet de règlement, la Commission propose une classification des utilisations de la reconnaissance faciale et de la VSA en fonction des circonstances de leur application (dans l’espace public, en temps réel, à des fins répressives…), peu importe qu’elles soient nécessaires ou non. C’est un renversement total de la façon dont nos droits et libertés sont protégées, comme nous l’expliquions il y a quelques mois. Ce serait aux personnes concernées de démontrer le dommage qui leur est causé et non plus aux pouvoirs publics mettant en œuvre ces technologies de démontrer systématiquement que l’usage n’est pas disproportionné. La charge de la preuve serait renversée, à la défaveur de nos libertés.

Or, il ne suffit pas qu’une technologie soit « peu risquée » pour que celle-ci devienne « nécessaire » ni même souhaitable. Surtout, ces acteurs tentent de justifier cette logique en avançant que des garanties permettraient de limiter ces risques. De tels mécanismes sont illusoires et ne pourraient jamais suffire à pallier un traitement non nécessaire.

Nous le voyons depuis plusieurs années, les garanties ne suffisent jamais à limiter des technologies la plupart du temps déjà déployées, parfois à grande échelle, alors mêmes qu’elles ne sont pas légales. Quand bien même elles seraient contestées, elles auront déjà produit leurs effets illicites et nocifs. Les analyses d’impact, les pouvoirs de contrôle de la CNIL, les soit-disant contre-pouvoirs locaux, les droits d’information du public, aucune de ces garanties n’empêche les autorités de violer la loi.

Si l’approche fondée sur les risques finissait par être adoptée, elle donnerait le signal attendu par l’ensemble des acteurs de la VSA pour déployer massivement et au pas de course l’ensemble de leurs systèmes. Demain comme aujourd’hui, seules les mesures d’interdiction, fondées notamment sur la nécessité, pourront nous protéger. C’est d’ailleurs l’avis de autorités européennes de protection des données (Comité européen pour la protection des données et Contrôleur européen pour la protection des données) sur le projet de règlement sur l’intelligence artificielle, qui appellent toutes deux à interdire complètement les technologies de VSA.

En conclusion, remplacer changer de paradigme en remplaçant l’approche actuelle fondée sur la nécessité par une approche nouvelle fondée sur les risques conduira à présenter comme potentiellement licites des traitements dont l’illégalité ne fait aujourd’hui aucun doute. Ce changement de contexte entraînerait le déploiement massif de systèmes de VSA illicites sans qu’aucune garantie ne puisse en limiter les effets nocifs pour la population. C’est pourquoi nous défendons le maintien du cadre juridique actuel, qui permet l’interdiction de ces pratiques et est à même de protéger la population contre les abus des autorités en matière de surveillance.

References[+]

References

↑1	Définitions prévues aux article 4§14 du RGPD et 3§13 de la Directive Police/Justice.
↑2	Voir les lignes directrices sur les vidéos contenant des données personnelles 3/201, version 2.0, point 82 p. 19 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr
↑3	Voir article 10 de la Directive Police/Justice.
↑4	Conseil d’État, 446155, lecture du 22 décembre 2020, §11.

]]> https://www.laquadrature.net/?p=18549http://isyteck.com/autoblog/quadrature/index.php5?20220406_142721_Controles_discriminatoires________Nous_demandons_le_demantelement_des_pratiques_illegales_des_CAF____Wed, 06 Apr 2022 12:27:21 +0000Nous republions ici une tribune initiée par le collectif Changer de Cap et que nous avons signée. Elle est parue le 5 avril dans Basta!. Nous appelons à signer et faire circuler l’appel correspondant.

Contrôles abusifs des allocataires, suspension des versements, harcèlement des plus précaires… La CAF oublie ses missions initiales de protection et de soutien pour devenir un outil de police numérique. Une tribune du collectif « Changer de cap ».

La numérisation à marche forcée des services publics contribue à faire des Caisses d’allocations familiales (CAF) un instrument de la mise en place d’une société de surveillance et de pénalisation des plus pauvres. Alors que la protection sociale est un droit universel depuis le Conseil national de la Résistance, les CAF développent une politique de plus en plus dure de contrôle des personnes en situation de précarité.

Tous fichés…

Plus de 1 000 données par personne sont collectées pour 13 millions de foyers¹Vincent Dubois, Contrôler les assistés, Raisons d’agir, 2020, p. 257., grâce à l’interconnexion de dizaines de fichiers administratifs (impôts, éducation, police, justice…) Les contrôleurs ont en outre le pouvoir de consulter nos comptes bancaires, nos factures de téléphone et d’énergie… Toutes ces données sont traitées à notre insu.

Chaque allocataire fait l’objet d’un profilage établi par un logiciel, mais selon des variables définies par des décisions humaines. Des algorithmes déterminent des « scores de risque » de fraude, qui débouchent sur un véritable harcèlement des personnes en difficulté. Sont qualifiés de « risque » les variations de revenus, les situations familiales atypiques, la naissance hors de France… Il en résulte un ciblage des contrôles sur les personnes précaires, handicapées ou vulnérables.
Plus de 32 millions de contrôles automatisés ont été réalisés par les CAF en 2020. Les témoignages collectés confirment la concentration de ces contrôles sur les femmes seules avec enfants, les chômeurs, des personnes handicapées, d’origine étrangère…

Des contrôles indignes et illégaux

Les méthodes de contrôle sont tout aussi inacceptables. La plupart de ces contrôles sont déclenchés automatiquement, sans en informer les allocataires et parfois sans notification, ce qui est contraire à la loi. Juridiquement la fraude doit être intentionnelle, mais ici les incompréhensions, les difficultés face au numérique, les erreurs, y compris celles des CAF, sont assimilées à de la fraude²Comme le soulignait le Défenseur des Droits dès 2017 : lutte contre la fraude aux prestations sociales : à quel prix pour les usagers ? Voir ici..
Les procès-verbaux sont remplacés au mieux par des notifications sommaires, qui ne précisent ni les modalités de calcul de l’indu, ni les délais de réponse, ni les voies de recours. Dans de nombreux cas, les allocations sont suspendues pendant toute la durée du contrôle, sans respect du reste à vivre légalement imposé à tous les créanciers. Les contrôleurs sont pourtant dotés de larges pouvoirs juridiques et d’investigation, mais le calcul de leur prime d’intéressement dépend du montant des indus frauduleux détectés.
Ces dérives sont amplifiées par la désorganisation des CAF, suite à la numérisation et aux réductions d’effectifs. Les allocataires connaissent de nombreux retards, des erreurs, des versements à tort, des absences de réponses, l’impossibilité de trouver un interlocuteur. On imagine le mal-être et la dégradation des conditions de travail des agents soucieux de défendre un service public humain.
Les conséquences de telles orientations sont dévastatrices sur le plan social. La Fondation Abbé Pierre montre comment des familles ont été expulsées suite à des recouvrements qui ne tenaient pas compte du reste à vivre³Fondation Abbé Pierre, 2020, Prestations sociales de la CAF et logement. Enquête sur les freins rencontrés 2020. Voir ici.. Rappelons que 10 millions de personnes vivent sous le seuil de pauvreté, que 12 % des Français souffrent de difficultés psychiques. L’action présente de la CAF y contribue, comme le montrent les témoignages recueillis.

Une police et une justice parallèles

Ainsi, à la faveur de la numérisation, une police et une justice numérique parallèles se mettent en place, insensibles à des situations humaines parfois dramatiques. Ces pratiques ne respectent pas les principes fondamentaux du droit, et sont entachées d’illégalité⁴Cabinet DBKM. Incompatibilité des mesures nationales de lutte contre la fraude aux prestations sociales avec le Pacte des droits civils et politiques. Rapport au comité des droits de l’homme des Nations unies. Voir ici.. Elles découlent de la convention d’objectifs et de gestion 2018-2022 de la CNAF qui assimile les CAF à des entreprises et considère les prestations sociales comme des coûts à réduire. Tout en pratiquant en permanence le double langage, le pouvoir politique considère toujours « qu’on met un pognon de dingue dans des minima sociaux »⁵Emmanuel Macron, 12 juin 2018 : « La politique sociale, regardez : on met un pognon de dingue dans des minima sociaux, les gens ils sont quand même pauvres. On n’en sort pas. Les gens qui naissent pauvres, ils restent pauvres. Ceux qui tombent pauvres, ils restent pauvres. On doit avoir un truc qui permette aux gens de s’en sortir ». Source..

Transparence, légalité, solidarité

On ne peut que s’inquiéter de l’intention de l’actuel président, s’il est réélu, de généraliser le versement automatique des aides sociales. S’il s’agit d’étendre ce type de pratiques, ce projet de maltraitance institutionnelle est inacceptable et monstrueux.
C’est pourquoi nous demandons le démantèlement des pratiques illégales qui se sont développées, l’instauration de sanctions contre ceux qui les ordonnent délibérément et un retour aux missions fondatrices de la Sécurité sociale et des services publics, dans une logique de confiance et de solidarité.
Toute la transparence doit être faite sur la récolte et le traitement des données personnelles des allocataires par la CAF, ainsi que sur le rôle des logiciels et des algorithmes dans la prise de décision.
Il est indispensable de remettre les humains au cœur du service public, tout particulièrement dans les CAF, et de faire du numérique un outil pour rendre effectif l’accès de chacun à ses droits sociaux, tout en respectant son intimité.

Vous pouvez vous joindre à cet appel. Voici le lien pour le signer.

Voir les témoignages et le dossier complet en cliquant ici.

Premiers signataires
Isabelle Maurer, Archipel des sans voix, allocataire multi-controlée
Farida Amrani, syndicaliste CGT
Hichem Atkouche, SUD Commerces et Services Ile de France
Geneviève Azam, économiste, essayiste
Miguel Benasayag, philosophe, collectif Malgré tout
La Quadrature du Net
Fathi Bouaroua, AprèsM, ex directeur régional de la fondation Abbé Pierre en PACA
Alima Boumediene-Thiéry, avocate porte parole de Femmes plurielles
Henri Braun, avocat au Barreau de Paris
Dominique Cabrera, réalisatrice
Alexis Corbière, député
Jean-Michel Delarbre, comité national LDH, co-fondateur RESF
Lætitia Dosch, comédienne
José Espinosa, gilet jaune
Txetx Etcheverry, mouvement Alda de défense des habitants des milieux et quartiers populaires au Pays basque
Jacques Gaillot, évêque de Partenia
Marie-Aleth Grard, présidente d’ATD Quart Monde France
Laurent Klajnbaum, vice-président de Changer de cap
François Koltès, auteur
Michèle Leflon, présidente de la Coordination Nationale des Comités de défense des hôpitaux et maternités de proximité
Pierre-Edouard Magnan, délégué Général Mouvement national Chômeurs et précaires (MNCP)
Boris Mellows, SUD Culture Solidaires
Didier Minot, président du Collectif Changer de cap
Francis Peduzzi, directeur de la scène nationale de Calais
Evelyne Perrin, Stop précarité, économiste
Alice Picard, porte parole d’Attac
Nicole Picquart, présidente du Comité national de liaison des régies de quartier
Serge Quadruppani, auteur, traducteur
René Seibel, responsable national AC !
Clément Terrasson, avocat
Roger Winterhalter, Maison de la citoyenneté mondiale
Voir la liste complète.

References[+]

References

↑1	Vincent Dubois, Contrôler les assistés, Raisons d’agir, 2020, p. 257.
↑2	Comme le soulignait le Défenseur des Droits dès 2017 : lutte contre la fraude aux prestations sociales : à quel prix pour les usagers ? Voir ici.
↑3	Fondation Abbé Pierre, 2020, Prestations sociales de la CAF et logement. Enquête sur les freins rencontrés 2020. Voir ici.
↑4	Cabinet DBKM. Incompatibilité des mesures nationales de lutte contre la fraude aux prestations sociales avec le Pacte des droits civils et politiques. Rapport au comité des droits de l’homme des Nations unies. Voir ici.
↑5	Emmanuel Macron, 12 juin 2018 : « La politique sociale, regardez : on met un pognon de dingue dans des minima sociaux, les gens ils sont quand même pauvres. On n’en sort pas. Les gens qui naissent pauvres, ils restent pauvres. Ceux qui tombent pauvres, ils restent pauvres. On doit avoir un truc qui permette aux gens de s’en sortir ». Source.

]]> https://www.laquadrature.net/?p=18542http://isyteck.com/autoblog/quadrature/index.php5?20220401_143821_Pourquoi_s___opposer_a_la_videosurveillance_algorithmique___Fri, 01 Apr 2022 12:38:21 +0000La vidéosurveillance algorithmique (VSA) s’installe en France avec l’aide de l’État, des collectivités territoriales et de la CNIL (relire notre article « Qu’est-ce-que la VSA ? »). L’opposition s’organise, que ce soit au niveau local autour de la campagne Technopolice ou par notre réponse à la consultation récemment organisée par la CNIL à ce sujet. Les raisons de rejeter la VSA sont variées (nous avons d’ailleurs recueilli vos motivations personnelles et avons transmis à la CNIL 175 de vos contributions). Pour l’heure, voici l’état actuel de nos motivations politiques contre la VSA.

Comme fil rouge à notre raisonnement, confrontons le discours de nos adversaires qui prétendent chercher le juste équilibre entre la « sécurité » que produirait la VSA et la mesure de « liberté » qu’il faudrait lui sacrifier. En notre sens, il s’agit d’un faux dilemme : la VSA va réduire à la fois nos libertés et notre sécurité. Elle réduira la sécurité d’une large partie de la population tout en échouant à repousser les dangers qu’elle prétend combattre.

Effets négatifs sur la sécurité

La VSA pose trois menaces pour la sécurité de la population : elle met en danger les populations qui sont déjà les plus vulnérables, elle favorise structurellement les comportements violents de la police contre la population, elle offre au pouvoir exécutif une puissance telle qu’aucun contre-pouvoir ne pourra en empêcher les abus.

Mise en danger des populations les plus vulnérables

Comme tout système de surveillance de l’espace public, la VSA surveillera en priorité les personnes qui passent le plus de temps en extérieur – les personnes qui, par manque de ressources, n’ont pas ou peu accès à des lieux privés pour sociabiliser ou pour vivre. De plus, la VSA détecte des comportements d’autant plus efficacement qu’elle a pu s’entraîner à partir d’une grande quantité de séquences d’images représentant une même action. Ainsi, les comportements les plus efficacement détectés seront ceux que l’on rencontre le plus souvent dans la rue et les transports – les comportements typiques des populations qui y passent le plus de temps, peu importe que ces activités soient licites ou illicites.

Ce sont précisément ces comportements que les fournisseurs de VSA mettent en avant¹Par exemple, la RATP a récemment expérimenté dans la salle d’échange du RER des Halles un système pour repérer les personnes statiques pendant plus de 300 secondes. : maraudage, mendicité, réunions statiques. C’est le mode de vie des populations précaires ou populaires qui sera visé en priorité, alors qu’il ne constitue quasiment jamais un délit ou un crime. La VSA jouera le rôle de contrôle au faciès automatisé basé sur des critères sociaux, permettant de multiplier les alarmes sonores ou les contrôles humains et d’exclure une partie de la population de l’espace public, détériorant encore davantage leur sécurité – qu’il s’agisse de dégrader²L’exclusion par la surveillance s’ajoute aux politiques d’urbanisme et d’aménagement urbain déjà déployées contre les populations précaires et populaires. leur cadre de vie ou de les éloigner de l’accès aux soins et aux autres services publics.
81455195
La focalisation de la VSA sur les populations les plus pauvres n’est pas le simple « effet de bord » d’une technologie immature qui aurait encore quelques « biais ». Au contraire, la VSA est précisément vendue comme permettant de lutter contre des comportements définis comme « anormaux » qui, bien qu’étant parfaitement communs et « normaux » pour une large partie de la population, permettent de dénigrer les populations qui adoptent ces comportements. Ainsi, la VSA est autant un outil d’exclusion sociale qu’un outil de propagande politique, dont l’effet sera d’installer le sentiment que certaines populations (choisies arbitrairement par les fournisseurs de VSA et leurs clients) ne sont pas « normales » et doivent être exclues de l’espace public.

Déshumanisation de la population

La VSA renforce la distance qui sépare la police de la population. Cette distance est d’abord physique : l’interaction passe par des écrans et ne se réalise que dans une seule direction. La distance est aussi intellectuelle : les agents n’ont plus à comprendre, à évaluer ou à anticiper l’action des autres humains quand une machine le fait à leur place³Gregoire Chamayou. « Théorie du drone », 2013. L’auteur revient notamment sur la perte d’empathie entraînée par la distance entre le pilote de drone et ses cibles.. Déresponsabilisée, déshumanisée, la police est réduite à un outil d’action mécanique sur les corps, détachée de l’empathie et de la considération sans lesquelles les violences policières ne peuvent qu’exploser. Cette même empathie sans laquelle encore davantage de personnes auraient perdu la vie face aux pires crimes commis par la police (tel que notamment documenté⁴En plus des divers initiatives individuelles de policiers pendant l’occupation, le cas de la rafle manquée de Nancy illustre comment l’empathie d’un groupe de policiers a sauvé des centaines de personnes. pour la période de collaboration nazie).

De façon plus diffuse, cette mise à distance technologique accompagne une politique générale d’austérité. La collectivité assèche ses dépenses d’accompagnement et d’aide aux individus pour ne plus financer que leur gestion disciplinaire. Dans un courrier à la CNIL, la région PACA défendait l’expérimentation de la reconnaissance faciale aux abords de deux lycées en affirmant que ce projet constituait « une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique ». Le personnel encadrant, soucieux et à l’écoute, est remplacé par des machines dont le seul rôle est d’ouvrir et de fermer des accès. Ou encore à Nîmes, où la métropole a ponctionné presque 10 millions d’euros sur le budget d’investissement « eau » pour les dépenser à la place dans l’achat d’un logiciel de Détection Automatique d’Anomalie en temps réel.

La vidéosurveillance algorithmique accentue la déshumanisation du contrôle social qui était déjà une critique faite à la vidéosurveillance dite classique. Cette course sans fin s’inscrit dans la fuite en avant technologique générale qui anime à la fois l’effondrement des services publics et le désastre écologique en cours.

C’est aussi la population qui est déshumanisée : elle est utilisée comme cobaye pour entraîner les algorithmes. Non content de voir les habitants des villes comme une masse de données à rentabiliser pour le compte d’entreprises de mort, les populations permettent malgré elles de rendre le logiciel plus performant et donc de l’exporter sur le marché international de la surveillance. Par exemple, la multinationale Idémia, affine ses dispositifs de reconnaissance faciale aux aéroports français avec les dispositifs PARAFE ou MONA pour ensuite vendre des équipements de reconnaissance faciale à la Chine et participer à la surveillance de masse et le génocide Ouïghour.

Effacement des limites contre les abus de la police

Aujourd’hui, le nombre limité d’agents de police contraint celle-ci à concentrer une large part de ses ressources sur ses missions les plus importantes et les plus légitimes (crimes, violences aux personnes). Elle ne dispose ainsi que d’un temps et de ressources limitées pour poursuivre des activités peu légitimes (contre les populations vulnérables, contre les manifestants) ou qui constituent des abus de son pouvoir (répression d’opposants politiques, persécution de minorités).

Demain, la VSA promet d’effacer cette limite matérielle en décuplant les capacités opérationnelles de la police pour poursuivre les missions de son choix, que ces missions soient peu légitimes ou qu’elles constituent des abus. Par exemple, s’il est aujourd’hui extrêmement coûteux de détecter en manifestation l’ensemble des pancartes critiquant le gouvernement, la VSA promet à terme de rendre la chose triviale (facilitant les interpellations sur place ou, couplée à la reconnaissance faciale, permettant de poursuivre en masse les opposants trop expressifs). De même, si le suivi visuel d’opposants politiques implique aujourd’hui des moyens humains si importants que ces opérations ne peuvent rester qu’exceptionnelles, la VSA rend la chose triviale en permettant de suivre, à coût quasi-nul, une personne sur l’ensemble des caméras d’une ou plusieurs villes.

Ce changement d’échelle transforme considérablement la manière dont les pouvoirs de police sont exercés. D’une action précise répondant à des « besoins » pouvant être débattus démocratiquement, nous assistons à l’apparition d’une police omnisciente disposant de la capacité de surveiller et d’agir sur l’ensemble de la population. Avec la VSA, les 250 000 policiers et gendarmes actuels verraient leur autorité atteindre celle qu’auraient eu des millions d’agents non-équipés de telles technologies. De quoi atteindre le ratio police/population typique des États policiers.

Cette multiplication considérable des capacités de la police ne sera nullement compensée par une multiplication équivalente des capacités de contrôle de ses contre-pouvoirs. Dès aujourd’hui, l’installation des équipements de VSA se fait à un rythme bien trop important pour que la CNIL ou que des associations comme la nôtre puissent en prendre connaissance à temps et avec suffisamment de détails. Demain, la situation sera encore plus dramatique concernant l’utilisation quotidienne de ces systèmes : aucune autorité, aucun juge, aucun parlement ne pourra vérifier que chacune des innombrables détections réalisées chaque jour ne contribue pas à un abus de pouvoir. Personne ne pourra vérifier que la VSA ne permet pas à la police de réduire illégalement les conditions de sécurité de larges parties de la population.

En plus des risques d’abus policiers, ce changement d’échelle dans la surveillance de l’espace public contribue à criminaliser un nombre croissant de comportements. Ainsi, par exemple, la plupart des logiciels de VSA cherchent à détecter des dépôts d’ordure sauvage, le non-port du masque, des personnes qui sont statiques dans l’espace public, sans que ces évolutions aient été actées démocratiquement, résultant principalement d’initiatives d’entreprises privées.

Absence d’effet positif sur la sécurité

Les dégradations dramatiques engendrées par la VSA ne sont compensées par aucun avantage en terme de sécurité. Il s’agit d’un outil inadapté pour lutter contre les violences sur les personnes, que ce soit de par son objet, l’espace public, ou de par son fonctionnement, l’automatisation.

Cette double inadaptation repose sur une vision faussée du concept de « sécurité » qui, dans le discours des promoteurs de la VSA, se limite à un pur argument marketing déconnecté de la façon dont la population pourrait concrètement protéger sa santé physique et mentale, ses conditions de vie, son logement et ses capacités d’épanouissement.

Inadéquation de l’objet surveillé

L’objet de la VSA est l’espace public. Pourtant, pour l’essentiel, ce n’est pas dans l’espace public que se réalisent les violences sur les personnes. Tandis que les agressions sexuelles se déroulent presque toujours dans un contexte privé (91% sont perpétrées par une personne connue de la victime), la grande majorité des homicides, en excluant les conflits entre criminels, interviennent eux aussi en dehors de la voie publique⁵Voir statistiques pour la région parisienne entre 2007 et 2013, graphique 25..

Cette inadéquation entre l’objet surveillé et la finalité poursuivie est au cœur des nombreuses évaluations qui, depuis une décennie, concluent unanimement à l’inefficacité de la vidéosurveillance classique (voir notamment le rapport de la Cour des compte, du LINC et d’autres chercheurs).

Ce décalage est accentué en matière de VSA qui, pour fonctionner, doit s’entraîner sur un grand nombre de séquences vidéos représentant les comportements à détecter. Or, les violences sur les personnes sont beaucoup moins nombreuses dans l’espace public que de simples actes de dégradations, de maraudage ou de mendicité. Dès lors, l’algorithme aura beaucoup moins d’occasions de s’entraîner à détecter des actes de violences sur les personnes et les détectera beaucoup moins efficacement que d’autres actes plus anecdotiques (dont la surveillance, comme vu précédemment, dégradera les conditions de sécurité des populations les plus vulnérables).

Inadéquation de la méthode

La prévention des violences sur les personnes repose sur un travail humain et social : accompagnements personnalisés, soins, enquêtes de terrain, analyses sociologiques, réduction des inégalités ou même simplement présence sur le terrain. Ce travail humain a un coût nécessairement conséquent et déjà largement sous-investi, particulièrement dans les zones du territoire ou la précarité est la plus élevée.

À l’inverse, la VSA, probablement moins chère à court terme, n’est capable que de détecter certaines infractions (et parmi les moins graves), sans être capable d’en traiter les causes plus profondes en amont. Une façon de donner l’illusion de traiter les symptômes, sans rien changer sur le long terme.

C’est sans doute là que se trouve l’un des rares avantages de la VSA : offrir aux élus en manque de projet politique enthousiasmant un discours qui fera illusion à court terme. Ce discours est d’autant plus séduisant pour les élus que l’industrie de la VSA a préparé depuis plusieurs années les bons éléments de langage et l’imaginaire suffisamment confus pour espérer tromper le public. Sont décrits comme « anormaux » des comportements parfaitement banals mais typiques des populations les moins riches. Est présenté comme « sécurité » un objectif qui a bien plus à voir avec la « propreté » de la ville et la « sécurité » des biens qu’avec celle des personnes. Est dite « augmentée » ou « intelligente » une surveillance policière qui, au contraire, sera « réduite » à de pures tâches mécaniques et défaite de toute l’empathie et de toute la considération qui font l’intelligence humaine.

En conclusion, à l’exact opposé de ce que prétendent ses promoteurs, la VSA est une grave menace pour notre sécurité. Elle nuira aux conditions de vie d’une large partie de la population, ouvrira des risques politiques sans précédent, et cela sans même réussir à nous protéger par ailleurs. En plus d’être une grave menace pour notre sécurité, la VSA balaiera du même geste notre liberté d’aller et de venir, de nous rassembler, d’exprimer nos opinions politiques ou d’avoir la vie privée de notre choix. Nous reviendrons en détails sur les atteintes aux libertés causées par la VSA dans un futur article juridique reprenant l’analyse développée dans notre réponse à la consultation de la CNIL.

References[+]

References

↑1	Par exemple, la RATP a récemment expérimenté dans la salle d’échange du RER des Halles un système pour repérer les personnes statiques pendant plus de 300 secondes.
↑2	L’exclusion par la surveillance s’ajoute aux politiques d’urbanisme et d’aménagement urbain déjà déployées contre les populations précaires et populaires.
↑3	Gregoire Chamayou. « Théorie du drone », 2013. L’auteur revient notamment sur la perte d’empathie entraînée par la distance entre le pilote de drone et ses cibles.
↑4	En plus des divers initiatives individuelles de policiers pendant l’occupation, le cas de la rafle manquée de Nancy illustre comment l’empathie d’un groupe de policiers a sauvé des centaines de personnes.
↑5	Voir statistiques pour la région parisienne entre 2007 et 2013, graphique 25.

]]> https://www.laquadrature.net/?p=18533http://isyteck.com/autoblog/quadrature/index.php5?20220325_155914_Pourquoi_s___opposer_a_la_creation_de_Mon_Espace_Sante___Fri, 25 Mar 2022 14:59:14 +0000Expérimenté depuis le mois d’août 2021 dans trois départements de Métropole, le service Mon Espace Santé (qui prend la suite du Dossier Médical Partagé) a été généralisé à l’ensemble de la population depuis février 2022. Plusieurs associations (comme XY media, Acceptess-T ou le collectif POS) ont très tôt alerté sur les dangers liés à ce nouvel outil. Nous avons passé en revue les fonctionnalités de Mon Espace Santé et force est de constater qu’elles présentent des insuffisances alarmantes en matière de respect du consentement et de gestion des données de santé. De par l’audience large à laquelle il s’adresse et de part la sensibilité des données qu’il manipule, un tel outil du service public se devrait pourtant d’être irréprochable en la matière. À défaut, nous ne pouvons que vous rediriger vers des guides vous permettant de vous opposer à ces traitements de données.

Que contient Mon Espace Santé ?

Pour commencer, faisons un petit tour plutôt descriptif de ce qui est annoncé en terme de fonctionnalités. Mon Espace Santé (aussi appelé Espace numérique de santé dans la loi et le décret qui le créent) se compose principalement de quatre éléments :

* Un Dossier Médical Partagé (DMP), ou espace de stockage et de partage d’informations médicales : il contient les traitements, les résultats d’examens, les antécédents médicaux, les compte-rendus d’hospitalisation, qui peuvent être partagés avec les professionnel·les de santé. Cet espace de stockage permet également de conserver des documents tels que la synthèse médicale produite par le ou la médecin généraliste, le carnet de vaccination ou l’historique des remboursements alimentés automatiquement par l’Assurance maladie (sources). Le Dossier Médical Partagé existait déjà depuis 2011 (sous le nom de Dossier Médical Personnel jusqu’en 2015) mais n’était ouvert que sur demande ; aujourd’hui, il est ouvert par défaut, en même temps que Mon Espace Santé, pour l’ensemble de la population.

Dans l’absolu, cet espace de partage des informations pourrait être une solution pour faciliter le droit d’accès à son dossier médical. Mais ceci impliquerait une mise en œuvre solide et de confiance qui n’est, à notre avis, pas atteinte avec Mon Espace Santé (voir plus bas la suite de notre analyse).

* Une messagerie sécurisée pour échanger avec des professionnel·les de santé. À la création de Mon Espace Santé, une adresse de messagerie MSSanté (Messagerie Sécurisée de Santé) est automatiquement attribuée à la personne usagère et rattachée à Mon Espace Santé. Cette adresse est constituée à partir du matricule INS de l’usagère et du nom de domaine de l’Opérateur de Mon Espace Santé (selon le Référentiel Socle MSSanté). Les messages échangés sont stockés pendant une durée de dix ans, sauf lorsqu’ils sont supprimés directement par l’utilisateur·ice. Ces adresses existaient déjà pour les professionnel·les de santé.

* Un agenda pour suivre ses rendez-vous médicaux et recevoir des rappels.

* Un catalogue de services numériques de santé : concrètement, la personne usagère pourra autoriser des applications tierces à accéder à son espace santé. Ces applications seront validées et autorisées par le Ministère de la santé. Développées par des acteurs publics et privés de la santé, elles incluront des éditeurs de logiciels et d’applications mobiles, des plateformes de télémédecine, des plateformes de prise de rendez-vous en ligne (qui s’intégreront probablement à l’agenda santé), des portails patients des établissements de santé (ETS) et portails de pré-admission, et même des fabricants d’objets connectés. Cette fonctionnalité nous inquiète particulièrement sur le plan de l’accès aux données personnelles, comme nous l’expliquons plus bas.

Enfin, pour accéder à ces différents services, outre un site web, une application mobile sera également disponible. Le développement technique est réalisé par les entreprises privées Atos, Octo, Accenture et Maincare. La société Worldline traite les données du Dossier Médical Partagé au travers de sa filiale Santeos. Les autres données (messagerie, agenda…) sont traitées par la société Atos.

Un recueil accessoire du consentement des personnes

À la création du compte

Pour chaque personne, la création de Mon Espace Santé se fait automatiquement selon un calendrier régionalisé prévu par l’État. Chaque personne est notifiée par courrier postal ou par courriel de la création prochaine de son espace. Elle dispose alors d’un délai de six semaines pour empêcher la création de l’espace en se connectant sur le site. L’espace est donc créé sans le recueil du consentement préalable et explicite de la personne usagère. L’opposition, elle, doit être explicite.

Dans les premières annonces d’ évaluation de la phase pilote, qui a eu lieu à partir d’octobre 2021 dans trois départements, la Sécurité sociale annonçait que « moins de 0.7% des usagers se sont opposés à [la] création [de leur espace santé]. » Mais plus loin on apprenait que seuls 4.8% des personnes ayant un espace santé l’avaient utilisé. Comment savoir donc si les presque 90% restants ont réellement souhaité en avoir un, ou même s’ils ont reçu le courrier ou mail prévenant de sa création (et des possibilités de s’y opposer) ?

Avant même de se poser la question de l’utilité ou non de Mon Espace Santé, on peut dire que les modalités de sa création sont loin d’être respectueuses des personnes auxquelles il est censé simplifier la vie. Passer outre le consentement des personnes au prétexte de « les aider » est la définition du paternalisme et, selon nous, s’oppose aux véritables pratiques de soin fondées sur l’écoute et la considération.

Certes, il est toujours possible de supprimer son compte. Mais, là encore, la personne usagère devra être attentive et suffisamment informée si elle souhaite demander la fermeture de son compte en cochant la bonne case (ses données seront supprimées 3 mois plus tard, à moins d’être supprimées individuellement au sein du profil médical, des mesures santé ou de la messagerie, auquel cas elles seront effacées immédiatement). Nous avons trop souvent dénoncé ce tour de passe-passe lorsqu’il était réalisé par les GAFAM : la possibilité théorique d’effacement ultérieur ne produit aucun effet significatif concret qui pourrait justifier l’absence de consentement préalable. Ce qui est inadmissible pour les GAFAM l’est encore davantage pour un service public traitant des données extrêmement sensibles soi-disant « pour notre bien ».

Dans le partage des données avec les professionnel·les de santé

Une fois créé, l’espace santé a pour but de partager les informations avec le personnel de santé : la personne usagère devra donc autoriser les soignant·es à accéder à tout ou partie de ses informations. Mais, là encore, le recueil du consentement est problématique, pour ne pas dire quasiment factice : une simple case à cocher par le ou la soignante servira de « preuve » que l’on a donné son accord pour qu’il ou elle y accède. Au niveau du service informatique, il n’y a donc aucune procédure pour vérifier qu’il s’agit bien de la personne patiente qui donne son accord, à qui, et quand.
On peut ainsi imaginer qu’une personne mal-intentionnée ait accès au service en tant que personnel soignant et consulte le dossier de n’importe quelle personne dans la base de données. Il lui suffirait de cocher cette case de manière arbitraire et d’accéder à des informations privées. Ce cas est certes déjà possible actuellement sans Mon Espace Santé, à partir des divers bases de données médicales existantes, mais de manière bien plus cloisonnée. Avec un système aussi centralisé que Mon Espace Santé, la possibilité que ce type de scénarios se produise est accrue. On peut aussi aisément imaginer que nombre de personnes soignantes vont considérer que le fait d’avoir pris rendez-vous équivaut à consentir à ce qu’ils ou elles accèdent au dossier du ou de la patient·e : le respect du consentement est encore malheureusement une question épineuse dans le milieu médical où les maltraitances médicales peuvent être nombreuses.

Enfin, une fois l’espace créé, seuls des « motifs légitimes » peuvent être invoqués pour refuser qu’un·e professionnel·le verse des documents en ligne. C’est ce qu’indique en l’article R. 1111-47 du code de la santé publique et rappelé dans la politique de protection des données personnelles : « Une fois votre profil Mon Espace Santé créé, vous ne pourrez pas, sauf à invoquer un motif légitime, refuser qu’un professionnel autorisé ou que les personnes exerçant sous sa responsabilité déposent dans votre dossier médical partagé les informations qui sont utiles à la prévention, la continuité et la coordination de vos soins (article R. 1111-47 du code de la santé publique) ».

Illustration : la configuration par défaut du compte à sa création

Nous avons passé en revue la configuration des paramètres à la création du compte « Mon Espace Santé », et déjà, nous pouvons noter quelques actions effectuées sans l’accord explicite de la personne usagère :

L’attestation de vaccination Covid-19 est automatiquement versée dans le dossier par l’Assurance maladie. Le document est visible par défaut à l’ensemble des professionnel·les de santé. Il est possible de le masquer, mais pas de le supprimer car il a été ajouté par un·e professionnel·le de santé. Il n’est pas possible de s’opposer au versement de ce document, alors que l’Assurance maladie n’a pas été techniquement autorisée à déposer des documents sur ce compte.

En ce qui concerne la configuration des accès aux professionnel·les en cas d’urgence, l’option est activée par défaut à la création du compte. Pour s’en rendre compte, la personne usagère doit se rendre dans la section « Confidentialité » des paramètres de configuration, puis « Accès en cas d’urgence ». Le personnel du SAMU ainsi que « tout autre professionnel de santé » sont autorisés par défaut à accéder aux documents et aux rubriques « Vaccinations », « Historique de soins », « Entourage et volontés » du profil médical. Mais quels contrôles techniques permettent de définir ce qui est une situation d’urgence et débloque l’accès des documents aux professionnel·les ? Et s’agit-il des professionnel·les qui ont d’ordinaire déjà accès à notre espace ? Les informations que nous avons pu recueillir ne nous permettent pas de répondre actuellement à cette question.

Un cloisonnement des informations insuffisant vis-à-vis du personnel soignant

Le décret s’appliquant à Mon Espace Santé prévoit une matrice d’accès différencié aux informations de la personne usagère selon le type d’activité du ou de la soignante. En pratique, le partage par défaut est très large : votre dentiste aura accès à vos résultats de prélèvements sanguins, votre kiné à votre historique de vaccination, votre sage-femme aux données de remboursement, et ainsi de suite.

Le ou la médecine traitante a, quant à elle, accès à l’ensemble des informations contenues dans l’espace santé de ses patient·es.
S’il est possible de bloquer l’accès à un·e professionnel·le de santé depuis les paramètres de l’espace, que se passe-t-il dans le cas où l’on souhaite changer de médecin·e traitant·e ? Ou que l’on souhaite choisir quelles informations partager ? En effet, certains parcours de santé nécessitent la consultation de divers spécialistes aux opinions divergentes pour obtenir un diagnostic. L’accès à certaines informations sur des opérations ne faisant pas consensus parmi le corps médical peut également générer des biais négatifs chez les professionnel·les de santé (par exemple, le recours à une IVG). Enfin, l’accès est partagé pour le service d’un hôpital : impossible dans de ce cas de savoir qui y a vraiment accès (prêt de carte d’accès au système informatique par exemple).

Cependant, il est important de noter que la personne usagère ou qu’un·e professionnel·le peuvent choisir de masquer un document pour le rendre inaccessible aux autres professionnel·les de santé, à l’exception du ou de la médecine traitante, de la personne ayant mise en ligne le document et du personnel intervenant en cas d’urgence. Si ce n’est pour ces larges exceptions, ceci représente un bon moyen de protéger la confidentialité des données au cas par cas. En revanche, il n’est pas possible de supprimer un document déjà versé par un·e professionnel·le de santé.

Il est possible pour les personnes de vérifier qui a eu accès à leurs données : des journaux d’activité enregistrent qui accède à quel document à une date et une heure donnée. La personne usagère peut recevoir des notifications chaque fois qu’un nouvel accès est détecté. Ces journaux permettent donc de détecter un potentiel mésusage de l’accès aux données. Cependant, cette fonctionnalité ne peut aider à protéger les accès qu’après coup : si on se rend compte qu’une personne soignante a eu accès à un document et que cela ne nous convient pas, on ne pourra que limiter ses accès futurs.

Le système de droit d’accès de Mon Espace Santé n’a pas été pensé pour permettre aux utilisateur·ices de gérer simplement et de manière éclairée l’accès à leurs données. On pourrait par exemple imaginer un système où par défaut seule la personne usagère et la liste de soignant·es qu’elle a désignées auraient accès aux documents la concernant, l’usagère pouvant ensuite choisir de démasquer certains documents à d’autres professionnel·les de santé (en bénéficiant par exemple de conseils de la part des soignant·es pour faire ce choix de manière éclairée). Dans ce cas, c’est la personne usagère qui aurait véritablement la main sur ses données, et non pas les professionnel·les de santé comme c’est le cas avec la conception actuelle de Mon Espace Santé.

Une mise en danger du secret médical pour certains ouvrants droits ?

Dans le cas des enfants et des adolescent·es, les ouvrants droits (c’est-à-dire les assuré·e·s) auront accès aux espace de santé des personnes qui leur sont rattachées. C’est-à-dire que, concrètement, toutes les informations de santé de leurs enfants et adolescent·es, ainsi que les rendez-vous et les courriels passant par la messagerie sécurisée leur seront accessibles.

En théorie, certaines infos peuvent ne pas être versées dans le dossier. Par exemple, dans le cas d’une IVG, le ou la soignant·e est en charge d’expliquer et de proposer à la personne mineure de ne pas ajouter les infos de l’IVG dans le dossier. La personne peut répondre qu’elle ne veut pas que ce soit versé. Aucune donnée de remboursement relatif à cet acte ne sera remontée. Cet exemple fait partie des motifs légitimes que peut invoquer une usagère pour refuser qu’un·e professionel·le verse un document sur l’espace santé.

Ceci implique que les soignant·es pensent à demander, et respectent, le souhait des personnes. Or, avec Mon Espace Santé, la quantité des données versées est multipliée et surtout normalisée : par fatigue ou par oubli à force de répétition, il est probable que le consentement pour verser une information dans Mon Espace Santé ne soit pas récolté à chaque fois. De plus, comme le recueil du consentement est oral et informel (il ne laisse donc aucune trace), la décision pourra difficilement être contestée.

Cet outil multiplie donc malheureusement les chances de mettre en danger le secret médical de ces personnes, et potentiellement la sécurité des personnes au sein de leur foyer ou de leur famille : que se passe-t-il si une enfant/ado ne souhaite pas parler d’un sujet (contraception, dépistage de MSTs, grossesse, avortement, transition) avec la personne à laquelle son compte est rattaché (que cela soit par pudeur ou par crainte de violences en représailles) ?

Le dossier Informatique et Libertés fourni par la Délégation du numérique en santé précise par ailleurs que l’opposition à la création du compte Mon Espace Santé appartient aux représentants légaux. Une personne mineure ne peut donc supprimer ou s’opposer à la création de son espace santé.
En revanche, lorsque la personne devient ayant droit autonome, les accès des représentants légaux sont clôturés par le service. La personne peut gérer son compte, le fermer ou le créer s’il n’existait pas avant si elle le souhaite. Notons qu’une personne peut demander, à partir de 16 ans, de devenir ayant droit autonome auprès de la CPAM de son domicile. On peut imaginer que le scénario de clôture des accès des anciens représentants légaux s’applique également dans ce cas.

Par ailleurs, la notion d’ayant droit existe toujours dans certains régimes tels que la Mutualité sociale agricole (MSA) ou le régime local d’Alsace-Moselle (personnes mariées, pacsées, concubines et enfants jusqu’à 24 ans sans activités). La documentation à laquelle nous avons eu accès ne permet pas de dire si les ouvrants droits auront accès aux espaces santé des ayants-droits majeurs. Nous attirons l’attention sur le fait que si tel était le cas, cela représenterait un danger pour les personnes qui vivent des violences ou des conflits dans leur vie familiale (personnes en instance de divorce par exemple).

Enfin, au delà des soignant·es et des utilisateur·ices, des personnes tierces peuvent avoir accès aux données de santé pour des fonctions de support. Les niveaux 2 et 3 de ce support pourront avoir accès aux données de santé. Ceci implique notamment des agent·es de la CPAM et le personnel de prestataires (Atos/Wordline) et de l’hébergement. L’accès aux informations doit en théorie recueillir le consentement de la personne usagère dans le cadre du support, mais là encore impossible d’assurer que ce consentement sera bien demandé et non forcé techniquement. Concrètement, des personnes qui ne sont pas professionnelles de santé peuvent accéder aux informations médicales personnelles des usagères. Mais cela est-il vraiment nécessaire pour une fonction support ? Ceci pose la question également de savoir si les documents sont stockées de manière chiffrée et lisibles uniquement par les personnes habilitées, ou pas. Difficile de répondre à cette question en l’état de nos connaissances.

Un futur écosystème d’applications aux nombreuses inconnues

La description du catalogue de services numériques de santé à venir implique la possibilité d’ajouter des applications d’entreprises privées au sein de l’espace santé. Ceci pose un grand nombre de questions concernant le partage des données d’activités et des contenus stockés dans l’espace santé. Pour l’instant, nous n’avons pas les réponses à ces questions, et nous soulignons notre inquiétude sur ce sujet : comment l’usagère pourra-t-elle déterminer à quelles données l’application accède, et si cela est légitime ? Pourra-t-on limiter les données auxquelles chaque application a accès (comme sur un smartphone) ? Lors des mises à jour des applications, les changements de permissions ou de fonctionnement seront-ils notifiés et comment ? Et enfin, quels usages de nos données feront les « startups » d’objets connectés et autres grandes entreprises et plateformes de prise de rendez-vous (monétisation, profilage) ? Au-delà de ces problèmes d’implémentation, il faut dénoncer la direction générale animée par cette évolution : le remplacement du soin par la technique industrielle.

Un futur accès plus difficile au service public de santé ?

Mon Espace Santé s’inscrit dans une tradition de numérisation et de centralisation en ligne des données : ceci fait du service une cible idéale pour les piratages de données. Le stockage est géré par une entreprise privée. Le code du service n’est ni public ni accessible, ce qui pose la question de la transparence pour un outil du service public.

Nous nous interrogeons, aujourd’hui comme dans un futur plus ou moins proche, sur l’accès à la santé des personnes ne pouvant ou ne voulant pas utiliser ce service de santé. Et si d’aventure nous nous retrouvions dans une situation où il nous est impossible d’avoir rendez-vous sans passer par cet espace ? Ou que nos remboursements sont rendus difficiles sans l’utilisation de cet espace ?

La fiabilité et la sécurité informatique de ce service doivent aussi être considérées : si la plateforme se retrouve la cible d’un défaut de fonctionnement ou d’un piratage, que deviennent alors nos données ? Souvenons-nous du piratage des services de l’AP-HP en 2021 dans le contexte du Covid-19, suite auquel la réponse apportée par les autorités de santé a été insuffisante, voire nulle. Plus récemment encore, les données d’au moins 510 000 personnes ont été volées à l’Assurance maladie via Amelipro. À vouloir faciliter l’accès à la santé en imposant un outil numérique, n’y a-t-il pas erreur sur la façon de procéder ? Autant de questions auxquelles cet outil numérique ne répond pas tout en persistant dans la même direction.

Conclusion

Mon Espace Santé est un service manipulant des données sensibles qui est déployé à l’ensemble de la population française. Or, sa conception et son déploiement ne sont clairement pas au niveau des services les plus respectueux en matière de protection de la vie privée.

Selon le Ségur du numérique en santé, son ambition est de « généraliser le partage fluide et sécurisé de données de santé entre professionnels et usagers pour mieux soigner et accompagner. »

Mais pour cela, les besoins en terme de consentement et de gestion des données des usagères devraient être au cœur d’une expérience utilisatrice respectueuse, fiable et réaliste, ce qui à notre sens n’est pas le cas avec Mon Espace Santé. Sans oublier que ce service s’inscrit dans un processus de numérisation des services publics qui, trop souvent, ne tient pas compte des difficultés d’accès et d’utilisation d’Internet par de nombreuses personnes.

Pour ces raisons, nous ne pouvons que remercier les nombreuses associations qui ont déjà alerté sur ce sujet et, comme elles, vous proposer des guides pour demander la suppression de votre espace santé.

]]> https://www.laquadrature.net/?p=18493http://isyteck.com/autoblog/quadrature/index.php5?20220323_140124_Qu___est-ce_que_la_videosurveillance_algorithmique___Wed, 23 Mar 2022 13:01:24 +0000La semaine dernière, La Quadrature du Net a transmis à la CNIL sa position relative à la vidéosurveillance dite « algorithmique », ainsi que plus de 170 contributions de personnes nous ayant mandatées dans le cadre d’une contre-consultation populaire. Nous allons revenir prochainement sur le détail des arguments qui conduisent, selon nous, à combattre toute légitimation de ces dispositifs. En attendant, il est essentiel de revenir sur ce que signifie ce terme et sur la nature exacte de ces technologies déployées depuis plusieurs années en France. Alors, de quoi parle t-on ?

Définitions

Selon la CNIL, la « vidéo augmentée désigne ici des dispositifs vidéo auxquels sont associés des traitements algorithmiques mis en œuvre par des logiciels, permettant une analyse automatique, en temps réel et en continu, des images captées par la caméra. »

Vidéosurveillance/Vidéoprotection « augmentée » ou « intelligente », comme l’écrivent les institutions et les industriels ou encore vidéosurveillance « algorithmique » ou « automatisée » (VSA) comme nous préférons la nommer. Tous ces termes recouvrent une même réalité aux contours plus ou moins flous et aux promesses plus ou moins concrétisées. Il s’agit de l’ajout d’une couche d’algorithme aux caméras de vidéosurveillance dites « classiques ». Et ce, dans le but de rendre automatique l’analyse des images captées par caméras, jusqu’à présent réalisée par des humains, des opérateurs vidéo au sein de centres de supervision urbains (CSU). Alors pourquoi ces différences de langage ?

Parce que les mots ont un poids fort, nous préférons « automatisation » – ce terme déconstruit la notion d’intelligence qu’apporterait soi-disant la technologie. L’automatisation n’est pas un procédé neutre et en dehors du monde social mais qui transporte¹Florent Castagnino, Rendre « intelligentes » les caméras : déplacement du travail des opérateurs de vidéosurveillance et redéfinition du soupçon, Sciences Po, 2019. avec lui les représentations et normes de celui-ci. Et « algorithmique » pour rendre visible l’ajout de ces logiciels fabriqués par des start-ups et multinationales dont on ne sait pas grand-chose.

Cette surcouche algorithmique vise à faire de l’analyse vidéo, que ce soit en temps réel ou après coup, et à repérer… ce que la police a envie de repérer. Cela va de la « détection de comportement suspect », au « maraudage » (le fait d’être statique dans l’espace public), en passant par le « dépassement d’une ligne », le suivi de personne, la détection d’objet abandonné, d’une bagarre, d’un vol, etc.

Le déploiement de la VSA dans les villes

Que ce soit à Toulouse en 2016 avec IBM (projet abandonné en 2019), à Nîmes depuis 2015 avec Briefcam, à Marseille dès 2018 avec la SNEF, à Paris avec la RATP qui autorise des entreprises à tester leurs algos sur les utilisateur·ices des métros, ou encore avec la municipalité de Suresnes qui met à disposition sa population en tant que cobaye pour la start-up parisienne XXII, la vidéosurveillance algorithmique se déploie un peu partout en France. S’il reste compliqué de quantifier le nombre de villes qui utilisent la VSA, en raison du manque criant de transparence de ces dernières, il est possible d’en repérer au moins une cinquantaine, le vrai nombre devant malheureusement dépasser la centaine, rien qu’en France.

Depuis plusieurs années, nous suivons ce déploiement, souvent très opaque (toutes les municipalités ne sont pas aussi loquaces que celle d’Estrosi). Alors que la VSA faisait l’objet jusqu’il y a peu de très nombreuses expérimentations sauvages, la CNIL a explicitement demandé en janvier 2022 aux industriels du secteur de lui faire des retours sur l’usage de ces technologies « afin d’accompagner leur déploiement », prenant clairement un parti : celui des industriels de la sécurité. La VSA semble en passe d’inonder le marché de la sécurité urbaine numérique.

Et ce marché de la VSA prend forme : si des acteurs comme IBM à Toulouse n’ont pas réussi à rendre efficace leur produit et semblent s’être retirés, l’entreprise israélienne Briefcam (entité du groupe Canon) prétend dominer le marché en France tandis que des villes signent des partenariats avec des start-up ou firmes françaises, soutenues par les décideurs politiques, afin de rendre les industries françaises concurrentielles sur le marché international de la sécurité urbaine numérique.

Les exemples de Briefcam et Two-I

Briefcam est une entreprise qui produit des logiciels de vidéosurveillance algorithmique très bien implantée en France, aux États-Unis et dans une quarantaine de pays. En 2020, déjà plus de 35 villes françaises utilisaient son logiciel, dont voici une démonstration assez révélatrice.

Dans cette vidéo, l’entreprise affirme être capable de condenser des heures de vidéos en quelques minutes, de pouvoir faire du suivi de personnes en fonction d’attributs (femme, homme, sac, chapeaux, couleurs d’habits…). On sait aussi que le logiciel de Briefcam est doté d’une option de reconnaissance faciale, que les élus à la sécurité sont très impatients d’enclencher.

Two-I de son côté est une start-up française, basée du côté de Metz. Ayant d’abord tenté de se faire une place dans la détection d’émotions (notamment l’expérimentation avortée à Nice de détection d’émotions dans les tramways), elle s’est finalement lancée dans la vidéosurveillance algorithmique et la conception de ce que les industriels appellent une « plateforme d’hypervision ». Ces plateformes mettent en carte et traduisent les nombreuses données collectées par les caméras et les algorithmes, dans le but « d’optimiser la gestion de la ville ». En somme, ces plateformes permettent de rendre utilisable la vidéosurveillance algorithmique, via une mise en carte des données et alertes captées par les caméras et algorithmes.


Hyperviseur de Two-I, voir la vidéo de présentation ici.

L’exemple des logiciels de Briefcam ou encore de Two-I (qui ne sont que deux exemples parmi une dizaine d’autres entreprises sécuritaires du même type) est révélateur de ce nouveau marché de la sécurité mais aussi d’un basculement dans le concept de sécurité. Dorénavant, ce sont des entreprises privées qui, concevant les algorithmes vendus aux collectivités territoriales, décident ce qu’il y a derrière une alerte pour « comportement anormal ou suspect ». À travers l’automatisation, les entreprises acquièrent un pouvoir de police et d’édiction des normes et des comportements dans l’espace public, s’inscrivant parfaitement dans l’expansion des politiques sécuritaires.

Les effets de la vidéosurveillance algorithmique

L’ajout d’algorithme à la vidéosurveillance « classique » n’est pas anodin. Cela témoigne d’un changement d’échelle dans la surveillance par les caméras qui, jusqu’à présent, comme le décrit Tanguy Le Goff²Tanguy Le Goff, « Dans les « coulisses » du métier d’opérateur de vidéosurveillance », Criminologie, vol. 46, n°2, 2013, p. 91-108., était un « travail de surveillance […] jugé ennuyeux et monotone » au sein duquel les opérateurs vidéo mettaient en place des stratégies pour réaliser ce travail de manière partielle.

L’automatisation de cette surveillance est censée décupler les yeux derrière l’écran des caméras. Et cela se traduit notamment par la criminalisation de comportements jusqu’alors anodins ou presque comme le dépôt d’ordures sauvage, le non port du masque ou encore les déjections canines. L’automatisation permet à la police d’étendre sa capacité d’action à de nouveaux champs sur lesquels elle a maintenant un pouvoir de répression. La police peut décupler sa capacité à normaliser l’espace public : si le maraudage, c’est-à-dire le fait de rester statique plus de 300 secondes, alerte les forces de l’ordre, on peut craindre pour les personnes qui ne peuvent pas voir la rue comme un « simple endroit de passage », car ils y vivent ou en font un repère social nécessaire. Nous reviendrons dans un prochain article sur le fait que les algorithmes sur les caméras augmentent la répression policière sur les populations déjà particulièrement ciblée par les forces de l’ordre.

Un autre aspect de la VSA est la tendance croissante à être mis en données. Au-delà de la surveillance de l’espace public et de la normalisation des comportements qu’accentue la VSA, c’est tout un marché économique de la data qui se frotte les mains. Le prétendu « encadrement » des dispositifs promis par la CNIL permettrait aux entreprises de la Technopolice d’utiliser les espaces publics et les personnes qui les traversent ou y vivent comme des « données sur pattes ». Et aux industries de la sécurité de se faire de l’argent sur nous, d’améliorer leurs algorithmes de répression et ensuite de les vendre sur le marché international. C’est ce que fait la multinationale française Idémia, qui affine ses dispositifs de reconnaissance faciale aux aéroports français avec les dispositifs PARAFE ou MONA pour ensuite vendre des équipements de reconnaissance faciale à la Chine et ainsi participer à la surveillance de masse et au génocide des Ouïghours, ou encore pour remporter les appels d’offres de l’Union Européenne en vue de réaliser de la biométrie aux frontières de l’UE.

De quoi la VSA est-elle le nom ?

Vidéosurveillance automatisée et Smart City nourrissent la même fiction : celle d’une ville dont les capteurs mettent en données, où les algorithmes trient et détectent et où une plateforme centrale permettrait à la police de gérer la ville à distance.

La vidéosurveillance algorithmique, c’est un marché de la sécurité qui tente de s’accroître en devenant « numérique » c’est-à-dire avec de l’IA et des algorithmes. Et comme le montre Myrtille Picaud³ Myrtille Picaud Peur sur la ville. La sécurité numérique pour l’espace urbain en France [Rapport de recherche] 01/2021, Chaire « Villes et numérique », École urbaine de Sciences Po, 2021., les industriels et décideurs politiques français font pression pour structurer une filière industrielle sécuritaire forte afin d’être concurrentielle sur le marché international, qui représente un marché économique énorme. Les grands événements sportifs comme les Jeux Olympiques de Paris en 2024 ou encore la coupe du monde de Rugby en 2023 représentent une aubaine pour accélérer le développement de technologies sécuritaires, offrir une vitrine aux industriels français et normaliser ces dispositifs.

Pour les industriels, la VSA représente la possibilité de justifier le déploiement de centaines de milliers de caméras en France. Déploiement largement décrié⁴Voir ces trois études : celle de Guillaume Gormand commandée par le CREOGN, l’étude sur la vidéosurveillance dans les villages, novembre 2021 et le rapport sur les polices municipales, d’octobre 2020. même par les institutions publiques, mais qui, par un tour de magie, prendrait tout son sens avec l’ajout d’algorithmes (argument absurde, nous y reviendrons dans un prochain article). La VSA permettrait d’utiliser les caméras à leur plein potentiel et même d’accélérer leur déploiement : il en faudra plus et il faudra aussi remplacer les anciennes qui ne seraient pas d’assez bonne qualité pour les algorithmes ; et surtout s’assurer de poursuivre l’installation démesurée de caméras qui continueront à rapporter beaucoup d’argent aux entreprises du secteur.

En plus de constituer une justification à la multiplication des caméras de vidéosurveillance, la VSA forme une ressource rentable⁵Laurent Mucchielli, Vous êtes filmés, Armand Colin, 2018, page 80. politiquement, expliquant l’engouement immodéré des élus locaux pour la vidéosurveillance. La VSA est une mesure de court terme que les élus locaux peuvent mobiliser pour montrer qu’ils agissent. La sécurité numérique constitue⁶Guillaume Faburel, Les métropoles barbares, Paris, Le passager clandestin, 2020 [2018], page 46. également une source d’attractivité et de distinction dans la concurrence territoriale, dans la recherche de capital symbolique pour attirer tourisme et classe créative.

La vidéosurveillance algorithmique, c’est un renouveau dans la croyance en la « prophétie technologique⁷Ibid. » intégrée dans la Smart City. Cette croyance permet de continuer à déployer des caméras et, surtout, de trouver toujours plus de débouchés économiques.

Pour conclure :

En somme, la vidéosurveillance algorithmique est une technologie en passe d’être largement déployée en France et qui l’est peut être déjà beaucoup plus que ce que nous pouvons en douter, qui sert à justifier l’existence de l’immense parc de vidéosurveillance français, en tentant de le rendre plus performant, via l’automatisation de la détection d’infractions. Cette technologie s’intègre dans la fiction plus large de la Smart City, qui base la gestion de la ville sur l’IA et représente un énorme marché économique. Ces technologies d’automatisation réduisent encore les espaces de liberté dans les rues et sur les places des villes, augmentant la répression sur les populations les plus visées déjà par la police. Nous reviendrons plus en détail sur ce pour quoi nous sommes contre cette technologie et comment il est possible de lutter contre son déploiement.

References[+]

References

↑1	Florent Castagnino, Rendre « intelligentes » les caméras : déplacement du travail des opérateurs de vidéosurveillance et redéfinition du soupçon, Sciences Po, 2019.
↑2	Tanguy Le Goff, « Dans les « coulisses » du métier d’opérateur de vidéosurveillance », Criminologie, vol. 46, n°2, 2013, p. 91-108.
↑3	Myrtille Picaud Peur sur la ville. La sécurité numérique pour l’espace urbain en France [Rapport de recherche] 01/2021, Chaire « Villes et numérique », École urbaine de Sciences Po, 2021.
↑4	Voir ces trois études : celle de Guillaume Gormand commandée par le CREOGN, l’étude sur la vidéosurveillance dans les villages, novembre 2021 et le rapport sur les polices municipales, d’octobre 2020.
↑5	Laurent Mucchielli, Vous êtes filmés, Armand Colin, 2018, page 80.
↑6	Guillaume Faburel, Les métropoles barbares, Paris, Le passager clandestin, 2020 [2018], page 46.
↑7	Ibid.

]]> https://www.laquadrature.net/?p=18451http://isyteck.com/autoblog/quadrature/index.php5?20220225_170644_Donnees_de_connexion____une_victoire_en_retardFri, 25 Feb 2022 16:06:44 +0000Dans sa décision de ce matin, le Conseil constitutionnel vient de censurer, comme Franciliens.net et La Quadrature le lui demandaient, une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion, c’est-à-dire la surveillance de masse des télécommunications. Cette censure est une bonne nouvelle, mais ne va pas, en pratique, mettre tout de suite fin à cette surveillance illégale.

Depuis sept ans, La Quadrature du Net et d’autres associations se battent contre cette surveillance des réseaux de télécommunications. Celle-ci permet aux services de police, de renseignement et à la Hadopi/Arcom d’accéder, pendant une année, à toutes les traces numériques que nous laissons en utilisant un téléphone ou un ordinateur. Pourtant, l’obligation imposée aux opérateurs et hébergeurs de conserver toutes ces données pour les besoins de la police était jugée illégale et disproportionnée depuis 2014 par la Cour de justice de l’Union européenne.

En sept ans de procédure, nous avons essuyé mépris et échec devant les juridictions françaises. Mépris de l’État de droit, d’abord, mis à mal par le gouvernement. Celui-ci ne veut pas respecter cette jurisprudence européenne confirmée par la victoire obtenue difficilement par La Quadrature, FDN, FFDN et igwan.net devant la Cour de Justice de l’Union européenne en 2020. En invoquant des inepties juridiques, la France demandait au Conseil d’État de ne pas appliquer une décision de justice qui, pourtant, s’impose sans discussion à elle.

Échec, ensuite, parce qu’en 2021, prétextant un état d’urgence permanent qui justifierait les pires mesures de surveillance, le Conseil d’État préféra finalement donner raison aux velléités sécuritaires du gouvernement.

Aujourd’hui, le Conseil constitutionnel vient toutefois de prendre un autre chemin. Il avait à se prononcer sur la question de la constitutionnalité d’une précédente version de la loi encadrant cette obligation de conservation généralisée et indifférenciée. En considérant que celle-ci est disproportionnée, le Conseil constitutionnel s’aligne donc avec la ligne jurisprudentielle européenne que nous défendons depuis le début de cette bataille. Après toute cette résistance de la part du gouvernement et du Conseil d’État, ce sursaut est une bonne nouvelle.

Cette censure arrive toute fois un peu tard. Déjà, le Conseil constitutionnel n’était saisi que de l’ancienne version de l’article L. 34-1 du code des postes et des communications électroniques. Celle-ci constituait la base juridique de l’affaire pénale à l’occasion de laquelle la question avait été posée. Mais, entre-temps, cet article a été réécrit à l’été 2021 par l’adoption de la loi renseignement. Si la conservation des données est toujours prévue par les nouvelles dispositions, la manière dont elle est encadrée est plus complexe et suit l’interprétation opportuniste du Conseil d’État. Nous ne pouvons donc pas affirmer que la décision d’aujourd’hui amène forcément à une inconstitutionnalité de la nouvelle version de cet article.

Ensuite, le Conseil constitutionnel a décidé de se limiter au champ pénal seulement, ce qui veut dire que ni la surveillance à des fins de lutte contre le piratage, ni celle à des fins de renseignement ne sont concernées par la décision d’aujourd’hui. Or, comme on le voit depuis 2015, et plus récemment avec la question du partage de renseignements, le Conseil constitutionnel n’a jamais voulu entraver le travail de ces services de renseignement, quitte à nier les droits fondamentaux.

Nous accueillons donc positivement la décision du Conseil constitutionnel qui permet de poser une nouvelle pierre à l’édifice de protection de la vie privée mais nous devons garder à l’esprit ses limites pratiques. L’effet et le coût politique sont à relativiser : il est facile pour le Conseil constitutionnel de censurer des dispositions qui ne sont plus en vigueur. De fait, cette victoire juridique arrive trop tard puisque les pratiques de surveillance ont été validées par les initiatives du Conseil d’État, du gouvernement et de sa majorité au Parlement. Nous allons suivre de près les suites qui pourraient être données à cette décision, ce travail n’étant possible que grâce à votre aide.

]]> https://www.laquadrature.net/?p=18438http://isyteck.com/autoblog/quadrature/index.php5?20220218_103238_IA_et_reforme_de_l___Etat____vers_des_bureaucraties_sans_humains___Fri, 18 Feb 2022 09:32:38 +0000Texte publié en novembre 2021 sur AOC media.
Depuis quelques années, à grand renfort d’un vocable issu du monde des « start-ups », on assiste à la consolidation d’un nouvel avatar de la réforme néo-libérale de l’État. À travers les concepts d’« État plateforme » ou de « start-up d’État »¹Voir par exemple : Algan, Yann et Cazenave, Thomas, 2016. L’Etat en mode start-up. Paris : Eyrolles. Bertholet, Clément et Létourneau, Laura, 2017. Ubérisons l’État ! Avant que d’autres ne s’en chargent. Malakoff : Armand Colin. Pezziardi, Pierre et Verdier, Henri, 2017. Des startups d’État à l’État plateforme. CreateSpace Independent Publishing Platform., les nouveaux réformateurs comptent sur les « corporate hackers » et l’innovation disruptive pour transformer de l’intérieur les bureaucraties publiques, laisser libre cours à la créativité, renouer avec la transparence, déployer des méthodes « agiles » et s’adapter à un environnement en perpétuelle transformation, le tout à moindre coût. L’« État digital » – concept vanté en juin 2017 par Emmanuel Macron lors d’une ode à la « startup nation » restée célèbre – est aussi et surtout un État en voie d’automatisation : pour accompagner l’horizon du non-remplacement de près de 50 000 fonctionnaires d’ici à 2022, le plan Action Publique 2022 lancé en octobre 2018 misait sur des « technologies telles que l’intelligence artificielle et les RPA (‘‘robotic process automation’’ »), et ce afin de « d’automatiser les tâches répétitives et à faible valeur ajoutée »²Action Publique 2022 : Notre stratégie pour la transformation de l’action publique. Octobre 2018. Paris: Gouvernement français..

Le contexte est en effet propice à l’automatisation de nombreuses fonctions administratives. Outre la conversion d’une partie des élites politiques et administratives au concept de « gouvernance par les données », l’offre technologique des prestataires privés s’est aussi structurée, grâce notamment au développement rapide des techniques dites d’« intelligence artificielle » (IA). Du côté des « administrés », ce projet rencontre une plus grande acculturation de la population française au numérique ³Près de 10 millions de résidents français ne bénéficient toutefois pas d’accès à Internet (soit parce qu’ils ne disposent pas d’abonnement, soit qu’il ne disposent pas d’équipements adéquats). Voir le baromètre du numérique réalisé par l’Arcep, juillet 2021, p. 308 : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-2021-infographie.pdf. Trois français sur dix s’estiment incompétent pour réaliser des démarches administratives en ligne. Charrel, Marie, et Zeliha Chaffin. 7 septembre 2021. « Illectronisme : les laissés-pour-compte du tout-numérique ». Le Monde. https://www.lemonde.fr/economie/article/2021/09/07/illectronisme-les-laisses-pour-compte-du-tout-numerique_6093657_3234.html. , avec un taux d’équipement important et de nombreux programmes pour la « former » aux outils numériques, que ce soit à l’initiative des pouvoirs publics ou d’entreprises comme Google (entreprise accueillie à bras ouverts par plusieurs villes françaises pour installer ses « ateliers numériques »).

Ces différents facteurs poussent à une multiplication des « assemblages algorithmiques » dans les administrations⁴Sur la notion d’« assemblage algorithmique », voir Ananny, Mike, et Kate Crawford. 2018. « Seeing without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability ». New Media & Society 20(3): 973‑89.. Que ce soit la dématérialisation de nombreuses démarches administratives, l’automatisation partielle de l’affectation post-Bac avec Parcoursup, l’automatisation de l’accompagnement des demandeurs d’emploi avec le projet « Mon Assistant Personnel » expérimenté par Pôle Emploi, l’automatisation de la lutte contre la fraude sociale par les caisses d’allocation familiale ou de la lutte contre la fraude sociale par le fisc, l’automatisation du contrôle d’identité via la reconnaissance faciale des bornes PARAFE installées dans plusieurs aéroports, ou encore l’automatisation des communications ou comportements suspects au sein des services de police ou de renseignement, nombre de pratiques administratives sont aujourd’hui de plus en plus articulées à des algorithmes semi-autonomes.

Face à ce processus, des craintes s’expriment dans certains segments de la société. Sont notamment évoqués les risques pour la vie privée, l’avènement d’une « société de contrôle » appuyée sur l’informatique, l’opacité des assemblages algorithmiques, les formes aggravées de déshumanisation induites par l’automatisation ou encore l’accentuation des inégalités structurelles. Au sein même des bureaucraties concernées par ces transformations, la peur du déclassement de l’humain par la machine, le surcroît de procédures, le risque de bugs techniques ou le phénomène rampant de privatisation suscitent également leur lot de résistances parmi les agents.
Dans le même temps, les avancées dans le domaine de l’IA ont conduit à la multiplication de travaux dédiés aux enjeux sociaux, éthiques et juridiques de ces technologies de plus en plus intégrées au fonctionnement des grandes organisations. L’objectif consiste à poser les règles minimales garantes de l’« acceptabilité sociale » de cette nouvelle étape du processus d’informatisation. Au travers d’un certain nombre de procédures, il s’agit par exemple de formaliser les choix éthiques réalisés dans le cadre du développement d’algorithmes, de garantir leur transparence, leur « explicabilité » ou leur « auditabilité », ou encore de réduire autant que faire se peut les risques pour les droits fondamentaux au travers d’approches dites de « privacy-by-design  » et autres « chartes éthiques ».

L’échec de l’approche procédurale

Ces réflexions ont conduit à la multiplication de rapports, de livres blancs ou de textes de soft-law émanant du secteur privé, d’organismes de protection des données comme la CNIL, d’institutions comme le Parlement européen mais aussi d’organisations internationales comme le Conseil de l’Europe ou le Conseil des droits de l’Homme des Nations Unies. Au niveau international, entre 2016 et 2019, plus de soixante-dix chartes éthiques dédiées à l’intelligence artificielle ont ainsi été publiées par divers organismes, adoptant souvent une approche probabiliste et quantifiable des risques associés à l’IA⁵Renn, Ortwin, Andreas Klinke, et Marjolein van Asselt. 2011. « Coping with Complexity, Uncertainty and Ambiguity in Risk Governance: A Synthesis ». AMBIO 40(2): 231‑46. Budish, Ryan. 2020. « AI & the European Commission’s Risky Business ». Berkman Klein Center for Internet and Society. https://medium.com/berkman-klein-center/ai-the-european-commissions-risky-business-a6b84f3acee0.. Du côté des administrations publiques, ces travaux ont parfois débouché sur des dispositions législatives ou réglementaires ad hoc, à l’image de l’évaluation de l’« incidence algorithmique » désormais imposée aux administrations fédérales canadiennes⁶Voir la présentation de l’« outil d’évaluation de l’incidence algorithmique » sur le site Web du gouvernement canadien, https://archive.md/wip/uJuZ7., mais aussi de la loi française qui, depuis 2016, garantit un principe de transparence des algorithmes publics servant à fonder des décisions administratives individuelles⁷Article 4 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique..

En dépit de l’impression qui domine généralement d’avoir à faire à des défis tout à fait inédits, il est frappant d’observer la similitude des controverses actuelles avec celles ayant marqué le premier cycle d’informatisation de la société, dans les années 1970. Or, qu’il s’agisse des premières lois sur la protection des données personnelles face au fichage informatique ou les progrès de la transparence administrative pour compenser le surcroît d’opacité induite par l’informatisation de l’État, ces aménagements procéduraux ont passablement échoué à atteindre les objectifs qu’on leur avait assignés.

Cet échec s’est produit dans un contexte politique et technologique plutôt favorable : une période où, en réponse aux contestations d’alors, les États adoptaient de grandes législations libérales censées étendre les droits et libertés, et où la mise sur le marché des micro-ordinateurs et l’avènement de réseaux télécoms décentralisés conduisaient de nombreux commentateurs à prédire une avancée historique dans le processus de démocratisation. Quarante ans plus tard, à l’heure où le Big Data ou l’intelligence artificielle s’accompagnent d’une recentralisation phénoménale des capacités de calcul, à l’heure où l’accumulation des crises et des législations d’exception conduit à l’hypertrophie du pouvoir exécutif et à la consolidation d’un contrôle policier de plus en plus polycentrique, un tel découplage entre pouvoir et informatique paraît moins probable que jamais.

Malgré ce contexte peu engageant, les controverses contemporaines continuent de miser sur les mêmes remèdes, faits de garde-fous pour les droits et libertés et d’obligations de transparence. Récemment, l’un des rapporteurs au Parlement de la proposition de loi dite « sécurité globale » résumait bien la situation en évoquant sa conviction qu’en dépit de leurs dangers, l’usage des drones de surveillance par la police pourrait être encadré par des garanties appropriées : « J’essaie de trouver », expliquait-il alors, « des accommodements raisonnables, c’est-à-dire ‘‘oui, mais’’ ». C’est ainsi qu’à chaque débat parlementaire sur l’informatisation bureaucratique, on choisit de « prendre le risque », en tentant d’y parer par l’éternel retour des « accommodements raisonnables ». À tel point qu’on aimerait opposer à la logique du « oui, mais » le vieux dicton latin : « Errare humanum est, perseverare diabolicum » (« l’erreur est humaine, persévérer [dans son erreur] est diabolique »).
L’histoire n’est pourtant pas la seule discipline riche d’enseignement quant à l’inadéquation de ces « accommodements » pour la défense des valeurs démocratiques. Certains travaux en sociologie des sciences et des techniques ont également montré la faible portée pratique de ces approches procédurales, les règles ainsi posées étant souvent inapplicables, contournées, ou privées de leurs effets. Sur le plan juridique enfin, l’expérience montre également que les « gardes-fou » adoptés par le législateur ou les juges s’avèrent très fragiles. Compte tenu des logiques bureaucratiques d’optimisation (fonctionnelle, budgétaire, etc.) des tâches administratives, l’innovation technologique (dans le contrôle d’identité, le placement des bacheliers, etc.) tend systématiquement à créer un besoin, lequel se traduit tôt ou tard par des réformes visant à légaliser des usages qui paraissaient auparavant inenvisageables techniquement ou inacceptables socialement.

Des fonctionnaires dispensables

En réduisant les enjeux à des questions de procédures – donc à des questions souvent techniques sur la manière dont réguler l’usage d’un dispositif – et en se focalisant sur les artefacts technologiques en négligeant leur environnement institutionnel, les controverses actuelles tendent également à éluder certains problèmes politiques soulevés par l’automatisation bureaucratique. Par exemple, il est une question fondamentale dont il est rarement débattu : quelle serait la signification politique d’une bureaucratie presque entièrement automatisée ? La critique des tendances anti-démocratiques du pouvoir bureaucratique a occupé une place importante dans la théorie politique depuis le XIXè siècle. Mais sans minimiser les formes de violences associées aux bureaucraties passées et présentes, il n’en demeure pas moins qu’en pratique, leur potentiel dystopique peut être en partie contenu par les femmes et les hommes en leur sein.

C’est ce que soulignent de nombreux travaux en sociologie politique. Pour Michael Mann par exemple, la critique de Max Weber à l’encontre des bureaucraties exagère l’ampleur du pouvoir qu’elles peuvent imprimer sur la société : selon lui, puisque l’État doit procéder au recrutement massif de fonctionnaires pour garnir les rangs de bureaucraties toujours plus tentaculaires, le « pouvoir infrastructurel » de l’État sur la « société civile » se développe au prix d’une pénétration de ses propres structures administratives par cette même société civile, qui aux travers de ces fonctionnaires toujours plus nombreux est en mesure d’influencer l’État⁸Mann, Michael. 2012. The Sources of Social Power: Volume 2, The Rise of Classes and Nation-States, 1760-1914. Cambridge University Press, p. 59.. Dans une approche qui a le mérite d’éviter une opposition trop binaire entre État et « société civile », Timothy Mitchell évoque lui aussi les formes de résistance internes nourries par des « sujets politiques […] formés au sein de la sphère organisationnelle dénommée État »⁹Mitchell, Timothy. 2018. « Les limites de l’État : Au-delà des approches étatistes et de leurs critiques ». In Etat et société politique : Approches sociologiques et philosophiques, éd. Bruno Karsenti et Dominique Linhardt. Paris: Editions de l’Ecole des Hautes Etudes en Sciences Sociales, p. 372.

De manière plus empirique, la sociologie de l’action publique a largement souligné le rôle joué par les « street-level bureaucrats » – c’est-à-dire les agents placés au contact direct des administrés – dans le travail d’interprétation et d’adaptation des règles aux réalités des publics et des terrains¹⁰Voir par exemple : Dubois, Vincent. 2013. « Le rôle des street-level bureaucrats dans la conduite de l’action publique en France ». In La France et ses administrations. Un état des savoirs, éd. Jean-Michel Eymeri–Douzans et Geert Bouckaert. Bruxelles: Bruylant, 169‑77. Au sein de la discipline, un débat a cours depuis une vingtaine d’années pour élucider les effets de l’introduction des technologies informatiques vis-à-vis de ce travail d’interprétation¹¹Snellen, Ignace. 2002. « Electronic Governance: Implications for Citizens, Politicians and Public Servants ». International Review of Administrative Sciences 68(2): 183‑98. Buffat, Aurélien. 2015. « Street-Level Bureaucracy and e-Government ». Public Management Review 17(1): 149‑61.. Si ces effets apparaissent ambivalents, il reste que, dans un certain nombre de contextes, la technologie rend d’ores et déjà quasiment impossible une telle herméneutique. Et quand bien même davantage d’études de terrain seraient nécessaires pour l’évaluer précisément, on peut s’attendre à ce que l’automatisation croissante de certaines tâches administratives en lien avec les dernières innovations technologiques rognent encore davantage sur les marges de manœuvre laissées aux « street-level bureaucrats ».

Ce pourrait d’ailleurs être là l’un des ressorts tacites du mouvement d’automatisation bureaucratique. Si, comme le suggère l’anthropologue David Graeber, la bureaucratie est « faite, d’abord et avant tout, d’agressions contre ceux qui persistent à défendre d’autres schémas ou des interprétations différentes » ¹²Graeber, David. 2015. Bureaucratie: L’utopie des règles. Les Liens qui libèrent, chapitre 2., il n’est guère surprenant qu’elle appréhende la subjectivité de ses agents comme un aléas dispensable, en abordant le fonctionnaire et ses dilemmes moraux comme un bug à corriger¹³On retrouve ce parti pris dans la doctrine juridique. Voir par exemple Michoud, Léon. 1914. « Étude sur le pouvoir discrétionnaire de l’administration », Rev. gén. adm., sept.-déc. 1914, p. 11 : « En théorie, il n’existe qu’une seule solution exacte ; toute autre repose sur une erreur d’appréciation. Il s’agit seulement de dégager la véritable règle de droit et de l’appliquer à un fait. La divergence possible des solutions a pour cause unique l’insuffisance, l’incertitude des jugements humains ».. Dans une bureaucratie automatisée, aucune désobéissance possible dans l’application de la règle inscrite dans le dispositif, plus aucun lanceur d’alerte dont la conscience pourra être à ce point heurtée par la violence bureaucratique qu’il ou elle se décidera à porter l’affaire à la connaissance du public. En évinçant l’élément humain dans l’application des règles rationnelles et impersonnelles, l’automatisation bureaucratique a le potentiel de faire advenir le gouvernement totalement déshumanisé que décrivait Hannah Arendt au tournant des années 1960 : « dans une bureaucratie pleinement développée, il ne reste plus personne avec qui l’on puisse discuter, à qui l’on puisse présenter des griefs (…) »¹⁴Arendt, Hannah. 2003. Du mensonge à la violence. Paris : Presses Pocket.

Cette analyse conduit à une autre interrogation : le fait d’accepter d’être administré par des machines ne conduit-il par à rompre avec l’horizon politique de l’humanisme, en acceptant de nous concevoir nous-mêmes – personnes administrées – comme des machines, c’est-à-dire comme les objets d’un gouvernement plutôt que des sujets politiques ? Dans un colloque récent auquel je participais et où certains s’inquiétaient de l’impossibilité d’accorder une responsabilité juridique à un dispositif autonome (par exemple une voiture « intelligente »), un directeur de recherche au CNRS, spécialiste de l’aide à la décision, estimait que de telles inquiétudes étaient infondées. Selon lui, on ne peut pas non plus – en tout cas pas toujours – expliquer les motivations, le raisonnement et les décisions d’un individu. Or, cela n’empêche pas, en l’état actuel du droit, de considérer ces mêmes individus comme des sujets de droit. De son point de vue, il n’y aurait donc pas de problème particulier à appréhender un ordinateur comme une personne juridiquement responsable.

Gouvernés comme des machines

Si innocent qu’il puisse paraître, ce genre d’assertion assume en réalité une rupture avec les principes humanistes au fondement du droit libéral¹⁵Delmas-Marty, Mireille. 2010. Libertés et sûretés dans un monde dangereux. Seuil, p. 84 et suivantes.. Ce dernier considère en effet que, même si les motivations et les état mentaux d’autrui ne peuvent pas toujours être sondés, ils sont en fait équivalents aux nôtres. Selon cette conception, autrui est réputé doué des mêmes facultés que nous, animé lui aussi par une volonté et des désirs. C’est ce qui fait de lui un pair devant jouir de droits et d’une dignité égale à la nôtre. Même si le fait d’être administré par des organisations bureaucratiques constitue bien une forme de dépossession et de violence, au moins est-elle en partie rendue plus tolérable (car plus « négociable ») par l’existence d’interlocuteurs humains (en espérant que ces personnes pourront user à bon escient d’une certaine marge d’interprétation).
Dès lors que cet « élément humain » disparaît, dès lors que ne subsiste plus que le fonctionnement froid et impénétrable d’un algorithme fondé sur des simplifications abstraites et une approche quantitative et probabiliste du réel (fut-il paramétré par un ingénieur), cette capacité à négocier avec un pair disparaît. Comme le notait Arendt, il devient dès lors impossible de faire valoir nos situations spécifiques, nos subjectivités et nos affects en comptant sur l’empathie d’autrui. En édifiant des bureaucraties toujours plus automatisées, nous risquons donc de solder cette « anthropologie humaniste » au fondement du droit libéral pour lui substituer une anthropologie guerrière et cybernétique au sein de laquelle, comme le souligne le philosophe des sciences Peter Galison, chacun est considéré comme une « boîte noire », avec « des entrées et des sorties et sans accès à la vie intérieure d’autrui¹⁶Galison, Peter. 1994. « The Ontology of the Enemy: Norbert Wiener and the Cybernetic Vision ». Critical Inquiry 21(1): 228‑66. Voir aussi : Bruno, Fernanda, Maurício Lissovsky, et Icaro Ferraz Vidal Junior. 2018. « Abstraction, expropriation, anticipation : Note généalogique sur les visions machiniques de la gestualité ». Reseaux n° 211(5): 105‑35. ». Ce qui revient, en fin de compte, à accepter de nous considérer les uns les autres comme des machines.

La focale procédurale et le primat donné aux dispositifs socio-techniques dans l’évaluation des « risques » écarte aussi d’autres enjeux soulevés par la logique d’optimisation bureaucratique. Par exemple, l’une des justifications les plus courantes à l’informatisation des administrations tient à des objectifs comptables et budgétaires : en réalisant un saut qualitatif dans l’automatisation, l’IA permettrait de faire « passer à l’échelle » tel ou tel process bureaucratique en réalisant des économies d’échelle. Ainsi, dans un courrier à la CNIL, la région PACA défendait récemment l’expérimentation de la reconnaissance faciale aux abords des lycées en affirmant que ce projet constituait « une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique »¹⁷Voir le courrier envoyé par la Région Sud à la CNIL. 7 mars 2018. https://data.technopolice.fr/fr/entity/hi661p1k6s9.. De même, les applications dite de « backtracking » popularisées lors de la pandémie de COVID-19 consistent à automatiser les stratégies de contact-tracing traditionnellement menées par des professionnels de santé ou des bénévoles afin d’identifier les chaînes de contamination – des approches qu’il est financièrement coûteux de massifier. Quant à la détection automatique de la fraude sociale et fiscale à partir de l’analyse des publications sur les réseaux sociaux actuellement expérimentées par le fisc français, elle intervient dans un contexte où plus du quart des quelques 12 000 postes dédiés au contrôle fiscal a été supprimé¹⁸Desbois, Dominique. 2019. « Drague fiscale sur les réseaux sociaux : de nouveaux algorithmes d’apprentissage pour traquer la fraude ». Terminal. Technologie de l’information, culture & société. https://hal.archives-ouvertes.fr/hal-02406386. Marzolf, Émile. 2021. « L’intelligence artificielle se fait lentement sa place dans la lutte contre la fraude fiscale ». Acteurs Publics. https://www.acteurspublics.fr/articles/lintelligence-artificielle-se-fait-lentement-sa-place-dans-la-lutte-conte-la-fraude-fiscale..

Ce ne sont pas là des cas isolés : Romain Boucher, un « data scientist » ayant pris part en tant que consultant à de nombreux projets de « transformation de l’action publique », résume son expérience en ces termes :
« Au bout d’un moment on se rend compte que les types de mission qui reviennent sont des missions de surveillance et de rationalisation d’effectifs (…) On nous demandait de réaliser de belles présentations pour montrer à la Transformation publique combien on économisait. La logique d’amélioration du service public n’existait plus »¹⁹Cité dans Delaunay, Matthieu. 4 mai 2021. Du « Consulting for good » aux potagers corses. Club de Mediapart. https://blogs.mediapart.fr/delaunay-matthieu/blog/050421/du-consulting-good-aux-potagers-corses..

Intimement liée aux politiques d’austérité, l’automatisation poursuit ainsi le mouvement néo-libéral de sape du service public mais aussi de précarisation et de déqualification d’une partie de la fonction publique, victime d’une atomisation croissante et du démantèlement de ses capacités d’action collective.
Parmi les autres enjeux fréquemment éludés par la focale procédurale, on pourrait encore évoquer le coût écologique engendré par le processus d’automatisation (l’un des arguments opposés par les abonnés Enedis à l’automatisation des relevés de leur consommation électrique via les compteurs connectés), la privatisation de l’expertise et l’affaiblissement des compétences des agents publics dès lors que les algorithmes sont le plus souvent conçus par des prestataires externes (ce dont ont pu se plaindre des syndicats policiers opposés à des partenariats avec des entreprises spécialisées dans des technologies de surveillance²⁰« Réaction du SDPM à l’interdiction par la CNIL de l’application Reporty à Nice ». Syndicat de Défense des Policiers Municipaux (mars 2018). http://www.sdpm.net/2018/03/reaction-du-sdpm-a-l-interdiction-par-la-cnil-de-l-application-reporty-a-nice.html.), l’incapacité fréquemment constatée des grands chantiers de dématérialisation et d’automatisation à atteindre l’objectif de « simplification » et leurs effets bien réels sur l’aggravation des ingéalités²¹Deville, Clara. 2018. « Les chemins du droit : Ethnographie des parcours d’accès au RSA en milieu rural ». Gouvernement et action publique, 7(3): 83‑112. Voir aussi : Vallipuram, Taoufik. 29 décembre 2019. « Non, il ne faut pas combattre la fracture numérique ». Libération. https://www.liberation.fr/debats/2019/12/29/non-il-ne-faut-pas-combattre-la-fracture-numerique_1771308/, Charrel, Marie et Chaffin, 2021. Art. cit. et Brygo, Julien. 2019. « Peut-on encore vivre sans Internet ? » Le Monde diplomatique. https://www.monde-diplomatique.fr/2019/08/BRYGO/60129., ou encore la légitimité des revendications de celles et ceux qui refusent de répondre aux multiples injonctions technologiques et souhaitent continuer à bénéficier des services publics au travers de guichets physiques, peuplés d’humains en chair et en os²²d’Allens, Gaspard, et Alain Pitton. 3 février 2020. « Des humains plutôt que des machines : usagers et cheminots contestent la numérisation des gares ». Reporterre, le quotidien de l’écologie. https://reporterre.net/Des-humains-plutot-que-des-machines-usagers-et-cheminots-contestent-la-numerisation-des..

Si l’automatisation bureaucratique aggrave les tendances totalitaires de la domination bureaucratique, et si la multiplication de procédures pour en contenir les effets délétères a fait la preuve de sa trop grande inefficacité, alors il est peut être temps d’en tirer les conséquences. Sans forcément renoncer à dépasser l’antagonisme entre bureaucratie et démocratie²³Pour des pistes de réflexion, voir par exemple : Bourgault, Sophie. 2017. « Prolegomena to a Caring Bureaucracy ». The European journal of women’s studies 24(3): 202‑17., il s’agirait alors de nous en tenir à un principe de précaution en joignant nos voix à celles et ceux qui, en différents endroits du monde social, disent haut et fort leur refus d’un « État digital » et du projet technocratique dont il procède.

References[+]

References

↑1	Voir par exemple : Algan, Yann et Cazenave, Thomas, 2016. L’Etat en mode start-up. Paris : Eyrolles. Bertholet, Clément et Létourneau, Laura, 2017. Ubérisons l’État ! Avant que d’autres ne s’en chargent. Malakoff : Armand Colin. Pezziardi, Pierre et Verdier, Henri, 2017. Des startups d’État à l’État plateforme. CreateSpace Independent Publishing Platform.
↑2	Action Publique 2022 : Notre stratégie pour la transformation de l’action publique. Octobre 2018. Paris: Gouvernement français.
↑3	Près de 10 millions de résidents français ne bénéficient toutefois pas d’accès à Internet (soit parce qu’ils ne disposent pas d’abonnement, soit qu’il ne disposent pas d’équipements adéquats). Voir le baromètre du numérique réalisé par l’Arcep, juillet 2021, p. 308 : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-2021-infographie.pdf. Trois français sur dix s’estiment incompétent pour réaliser des démarches administratives en ligne. Charrel, Marie, et Zeliha Chaffin. 7 septembre 2021. « Illectronisme : les laissés-pour-compte du tout-numérique ». Le Monde. https://www.lemonde.fr/economie/article/2021/09/07/illectronisme-les-laisses-pour-compte-du-tout-numerique_6093657_3234.html.
↑4	Sur la notion d’« assemblage algorithmique », voir Ananny, Mike, et Kate Crawford. 2018. « Seeing without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability ». New Media & Society 20(3): 973‑89.
↑5	Renn, Ortwin, Andreas Klinke, et Marjolein van Asselt. 2011. « Coping with Complexity, Uncertainty and Ambiguity in Risk Governance: A Synthesis ». AMBIO 40(2): 231‑46. Budish, Ryan. 2020. « AI & the European Commission’s Risky Business ». Berkman Klein Center for Internet and Society. https://medium.com/berkman-klein-center/ai-the-european-commissions-risky-business-a6b84f3acee0.
↑6	Voir la présentation de l’« outil d’évaluation de l’incidence algorithmique » sur le site Web du gouvernement canadien, https://archive.md/wip/uJuZ7.
↑7	Article 4 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
↑8	Mann, Michael. 2012. The Sources of Social Power: Volume 2, The Rise of Classes and Nation-States, 1760-1914. Cambridge University Press, p. 59.
↑9	Mitchell, Timothy. 2018. « Les limites de l’État : Au-delà des approches étatistes et de leurs critiques ». In Etat et société politique : Approches sociologiques et philosophiques, éd. Bruno Karsenti et Dominique Linhardt. Paris: Editions de l’Ecole des Hautes Etudes en Sciences Sociales, p. 372.
↑10	Voir par exemple : Dubois, Vincent. 2013. « Le rôle des street-level bureaucrats dans la conduite de l’action publique en France ». In La France et ses administrations. Un état des savoirs, éd. Jean-Michel Eymeri–Douzans et Geert Bouckaert. Bruxelles: Bruylant, 169‑77
↑11	Snellen, Ignace. 2002. « Electronic Governance: Implications for Citizens, Politicians and Public Servants ». International Review of Administrative Sciences 68(2): 183‑98. Buffat, Aurélien. 2015. « Street-Level Bureaucracy and e-Government ». Public Management Review 17(1): 149‑61.
↑12	Graeber, David. 2015. Bureaucratie: L’utopie des règles. Les Liens qui libèrent, chapitre 2.
↑13	On retrouve ce parti pris dans la doctrine juridique. Voir par exemple Michoud, Léon. 1914. « Étude sur le pouvoir discrétionnaire de l’administration », Rev. gén. adm., sept.-déc. 1914, p. 11 : « En théorie, il n’existe qu’une seule solution exacte ; toute autre repose sur une erreur d’appréciation. Il s’agit seulement de dégager la véritable règle de droit et de l’appliquer à un fait. La divergence possible des solutions a pour cause unique l’insuffisance, l’incertitude des jugements humains ».
↑14	Arendt, Hannah. 2003. Du mensonge à la violence. Paris : Presses Pocket
↑15	Delmas-Marty, Mireille. 2010. Libertés et sûretés dans un monde dangereux. Seuil, p. 84 et suivantes.
↑16	Galison, Peter. 1994. « The Ontology of the Enemy: Norbert Wiener and the Cybernetic Vision ». Critical Inquiry 21(1): 228‑66. Voir aussi : Bruno, Fernanda, Maurício Lissovsky, et Icaro Ferraz Vidal Junior. 2018. « Abstraction, expropriation, anticipation : Note généalogique sur les visions machiniques de la gestualité ». Reseaux n° 211(5): 105‑35.
↑17	Voir le courrier envoyé par la Région Sud à la CNIL. 7 mars 2018. https://data.technopolice.fr/fr/entity/hi661p1k6s9.
↑18	Desbois, Dominique. 2019. « Drague fiscale sur les réseaux sociaux : de nouveaux algorithmes d’apprentissage pour traquer la fraude ». Terminal. Technologie de l’information, culture & société. https://hal.archives-ouvertes.fr/hal-02406386. Marzolf, Émile. 2021. « L’intelligence artificielle se fait lentement sa place dans la lutte contre la fraude fiscale ». Acteurs Publics. https://www.acteurspublics.fr/articles/lintelligence-artificielle-se-fait-lentement-sa-place-dans-la-lutte-conte-la-fraude-fiscale.
↑19	Cité dans Delaunay, Matthieu. 4 mai 2021. Du « Consulting for good » aux potagers corses. Club de Mediapart. https://blogs.mediapart.fr/delaunay-matthieu/blog/050421/du-consulting-good-aux-potagers-corses.
↑20	« Réaction du SDPM à l’interdiction par la CNIL de l’application Reporty à Nice ». Syndicat de Défense des Policiers Municipaux (mars 2018). http://www.sdpm.net/2018/03/reaction-du-sdpm-a-l-interdiction-par-la-cnil-de-l-application-reporty-a-nice.html.
↑21	Deville, Clara. 2018. « Les chemins du droit : Ethnographie des parcours d’accès au RSA en milieu rural ». Gouvernement et action publique, 7(3): 83‑112. Voir aussi : Vallipuram, Taoufik. 29 décembre 2019. « Non, il ne faut pas combattre la fracture numérique ». Libération. https://www.liberation.fr/debats/2019/12/29/non-il-ne-faut-pas-combattre-la-fracture-numerique_1771308/, Charrel, Marie et Chaffin, 2021. Art. cit. et Brygo, Julien. 2019. « Peut-on encore vivre sans Internet ? » Le Monde diplomatique. https://www.monde-diplomatique.fr/2019/08/BRYGO/60129.
↑22	d’Allens, Gaspard, et Alain Pitton. 3 février 2020. « Des humains plutôt que des machines : usagers et cheminots contestent la numérisation des gares ». Reporterre, le quotidien de l’écologie. https://reporterre.net/Des-humains-plutot-que-des-machines-usagers-et-cheminots-contestent-la-numerisation-des.
↑23	Pour des pistes de réflexion, voir par exemple : Bourgault, Sophie. 2017. « Prolegomena to a Caring Bureaucracy ». The European journal of women’s studies 24(3): 202‑17.

]]> https://www.laquadrature.net/?p=18422http://isyteck.com/autoblog/quadrature/index.php5?20220216_162229_Pourquoi_il_faut_soutenir_Nantes_RevolteeWed, 16 Feb 2022 15:22:29 +0000Gérald Darmanin a annoncé il y a trois semaines sa volonté de dissoudre le collectif « Nantes Révoltée ». Selon lui, cette attaque serait justifiée par des appels, sur le site du collectif, à se rendre à une manifestation anti-autoritaire pendant laquelle deux vitrines de boutiques ont été dégradées. Nous apportons notre soutien à Nantes Révoltée et dénonçons la façon dont le mécanisme de dissolution d’association est détourné de sa fonction historique afin de faire disparaître du débat démocratique les oppositions de gauche considérées trop fortes, trop franches, trop radicales.

Des valeurs renversées

Le cadre juridique de la dissolution d’association a été posé en 1936 pour combattre les milices privées d’extrême-droite qui venaient d’échouer à renverser la IIIème République lors des émeutes du 6 février 1934. Telle qu’elle l’a toujours fait, la République française s’est donnée les moyens de vaincre ceux, monarchistes comme fascistes, qui militent explicitement pour sa disparition. Jusqu’à aujourd’hui, le gouvernement a continué de dissoudre divers groupes monarchistes et fascistes dont la violence défrayait la chronique.

Hélas, au fil des années, le gouvernement a dévoyé cette tradition pour dissoudre de plus en plus d’associations dont l’activité ne visait ni à rétablir la monarchie ni à glorifier des dictatures fascistes. La dissolution d’association s’est de plus en plus tournée contre des groupes qui ne cherchaient pas à détruire les aspects démocratiques de la République, mais qui se contentaient de rejeter des valeurs morales (religieuses, sexuelles, économiques, familiales) imposées par la classe politique dominante.

Si les groupes d’extrême-droite font toujours l’objet de dissolutions fréquentes, la lumière est volontairement mise depuis une dizaine d’années sur les associations liées à la religion musulmane comme le Collectif contre l’islamophobie en France (CCCIF, auquel nous apportions notre soutien l’année dernière) ou la Coordination contre le Racisme et l’Islamophobie, au soutien d’une politique anti-musulmans de moins en moins cachée.

Dans ces deux derniers cas, les décrets de dissolutions parlent d’eux-même : il n’est pas reproché aux deux associations de fomenter un coup d’État ni même d’organiser l’indépendance d’un territoire sécessionniste. Il leur est simplement reproché de « dénoncer la partialité des forces de l’ordre, de la municipalité et des magistrats présentés comme islamophobe » ou de diffuser « un message incitant à percevoir les institutions françaises comme islamophobes ». Même les personnes qui refusent de considérer que l’État français poursuit des politiques islamophobes doivent bien admettre une chose : lutter contre le racisme d’État n’implique pas de détruire la République.

Une responsabilité indirecte

Un autre dévoiement pris pour dissoudre ces organisations vise à imputer des faits de personnes tierces pour présumer d’une action répréhensible de l’association et la rendre responsable. Par exemple, l’absence de « condamnation ni de modération ou de suppression » de commentaires Facebook sous des publications, de la part des responsables de l’association, « doivent ainsi être regardés comme les cautionnant ». Les décisions du Conseil d’État n’ont pas remis en question une telle approche, celui-ci ayant validé comme motif de dissolution du CCIF l’absence de modération des réactions sur leurs réseaux sociaux.

Pour mesurer l’absurdité d’une telle approche, il suffit d’imaginer l’appliquer à d’autres institutions. Le ministre de l’Intérieur compte-t-il dissoudre la police et l’ armée lorsqu’elles refusent de se désolidariser des si nombreux commentaires racistes et antirépublicains qui accompagnent son action, parfois en son propre sein ?

Probablement pas. D’ailleurs, cette présence au sein de ces institutions montre que les conséquences soit-disant positives qu’auraient les dissolutions de groupe d’extrême droite sont largement illusoires, tant le contexte politique leur est favorable. Pour dissoudre des associations, le droit prévoit des motifs suffisamment larges pour laisser une marge d’appréciation presque totale à l’administration pour choisir ses adversaires, tel que le fait d’avoir pour but d’« attenter par la force à la forme républicaine du Gouvernement ».

Ces objectifs peuvent ainsi facilement s’insérer dans un phénomène plus large, poussé par Emmanuel Macron et son gouvernement, consistant à envisager la participation à la société de manière nécessairement clivée : soit on « adhère » aux valeurs morales de la classe dirigeante, soit tout mouvement de lutte, de contestation ou de révolte contre le modèle imposé par ces valeurs sera considéré comme une violence qui nécessite d’être écartée ou supprimée. Les « valeurs de la République » sont devenues les valeurs morales de la classe qui dirige la République.

Cette définition de la « République », pourtant synonyme de démocratie et d’égalité dans la tradition politique française, est ainsi de plus en plus détournée par les gouvernements successifs pour délégitimer les contre-discours populaires, véhéments ou radicaux, qui cherchent pourtant souvent à promouvoir ces valeurs de démocratie et d’égalité.

Le « contrat d’engagement républicain » mis en place en début d’année en application de la loi dite « Séparatisme » symbolise le parachèvement de cette logique. Désormais, toute association recevant des subventions publiques doit formellement s’engager à « respecter les principes de liberté, d’égalité, de fraternité et de dignité de la personne humaine, ainsi que les symboles de la République » ou encore à « s’abstenir de toute action portant atteinte à l’ordre public. » Cette fois-ci, l’« adhésion » est donc très concrète : il s’agit d’un contrat que l’on signe ou non. Parmi les engagements énoncés, on trouve ainsi celui du « respect des lois de la République », les associations ne devant « ni entreprendre ni inciter à aucune action manifestement contraire à la loi, violente ou susceptible d’entraîner des troubles graves à l’ordre public ». Au nom de la « fraternité et du civisme », les associations doivent également, dans leur fonctionnement interne comme dans leurs rapports avec les tiers, « ne pas provoquer à la haine ou à la violence envers quiconque et à ne pas cautionner de tels agissements. ». Une association pourra perdre ses financements pour des faits commis par des personnes de plus en plus nombreuses, indirectes et lointaines du cœur de son activité : « ses dirigeants, ses salariés, ses membres ou ses bénévoles ».

Des effets anti-démocratiques

Dans un contresens historique total, on peut redouter que, au nom de la défense de la République, une association serait sanctionnée du seul fait qu’une personne dans son entourage ait exprimé un mépris trop important contre des militants monarchistes ou fascistes dont l’ambition assumée est pourtant de détruire la République. Dans le même ordre d’idée, lors de la manifestation couverte par Nantes Révoltée, dégrader une vitre pour dénoncer la participation de Zara au crime contre l’humanité perpétré contre les Ouïghours a semblé constituer un acte d’une violence inadmissible en démocratie qui justifierait de dissoudre le média libre. Les « valeurs de la République » sont-elles si dévoyées qu’elles protègent désormais les esclavagistes ?

On se retrouve face à une inversion totale des intérêts et personne à défendre et on perçoit la même logique que dans les mécanismes de dissolution : utiliser un lien indirect interprété de manière partiale pour délégitimer une source de critiques trop radicale et la transformer en « ennemi de la République ».

Ce n’est pas la première fois que l’État franchit la frontière faisant passer la liberté d’expression et d’information en un délit de radicalité quand il s’agit de mouvements de gauche. En 2017, utilisant le système de censure administrative des sites faisant l’apologie du terrorisme, le site internet collaboratif Indymedia s’était vu enjoindre , sous peine de blocage, de retirer un texte revendiquant l’incendie d’un commissariat. Finalement annulé par la justice un an et demi plus tard, cet exemple de censure est une démonstration limpide des abus que permet l’attribution toujours plus importante d’un pouvoir d’appréciation et de contrôle trop large à l’administration, classiquement dévolu à un juge.

Cette dynamique ne cesse de s’aggraver. Aujourd’hui, ce sont les outils judiciaires de la lutte antiterroriste et les procédures pénales qui sont utilisés abusivement dans un but de répression et d’intimidation. Qu’il s’agisse de l’incrimination d’« association de malfaiteurs » vis-à-vis de militants engagés au Rojava ou d’autres suspectés de dégradation d’infrastructure de télécommunication, ou bien les plaintes et perquisitions visant les médias relayant des soutiens à ce type d’action, l’arsenal répressif laissé à la police permet de poursuivre de façon arbitraire et brutale tout type de contestation trop radicale.

Nous avons toujours contesté les pouvoirs de censure confiés à la police et à l’administration et condamnons aujourd’hui fermement le dangereux mouvement d’intimidation du monde associatif auquel nous assistons. Cet élargissement incontrôlé des pratiques de dissolution s’est tant banalisé que le fait que le ministre de l’Intérieur souhaite ouvertement faire taire des discours de gauche radicale ne suscite que peu d’émotions. C’est pourquoi nous apportons un soutien plein et entier à Nantes Révoltée et vous invitons à signer la pétition s’opposant à leur disparition.

]]> https://www.laquadrature.net/?p=18412http://isyteck.com/autoblog/quadrature/index.php5?20220215_164805_Donnees_de_connexion____recours_devant_le_Conseil_constitutionnelTue, 15 Feb 2022 15:48:05 +0000Ce matin, La Quadrature du Net était, aux côtés de Franciliens.net devant le Conseil constitutionnel au soutien (voir nos premières puis secondes observations) d’une question prioritaire de constitutionnalité (QPC) contre l’obligation faite aux opérateurs de télécommunication de conserver pendant un an les données de connexion (ce qui entoure une communication). Cette obligation généralisée et indifférenciée est la pierre angulaire de la surveillance policière numérique, de même que le socle de la « riposte graduée » de l’Arcom (anciennement Hadopi). La Cour de justice de l’Union européenne (CJUE) avait estimé en 2020 que ce régime de surveillance est contraire aux droits fondamentaux : nous avons donc appelé aujourd’hui le Conseil constitutionnel à censurer ces dispositions législatives.

Sept ans après le premier recours de La Quadrature, French Data Network, FFDN et igwan.net, cette histoire commence à dater… En France, les opérateurs de communication (dont les fournisseurs d’accès à Internet) doivent, en application de l’article L. 34-1 du code des postes et des communications électroniques (CPCE), conserver de façon généralisée et indifférenciée les données de connexion de leurs utilisateur·rices pendant un an. Il s’agit tout simplement de la suppression de l’anonymat sur Internet et dans la rue : pendant un an après une communication, la police ou une autorité administrative (comme l’Arcom) peuvent savoir qui a écrit un message, ou bien géolocaliser rétrospectivement votre téléphone. Les abus de ces pouvoirs sont régulièrement documentés : dernièrement, la presse nous apprenait que la traque des acheteur·euses (et non des vendeur·euses) de faux passes sanitaires passait notamment par une analyse de la géolocalisation téléphonique des personnes, c’est-à-dire grâce à cette obligation de conservation des données de connexion.

En octobre 2020, la CJUE disait stop à cette surveillance de masse : elle estimait que le droit français contrevenait au droit à la vie privée, au droit à la protection des données personnelles et au droit à la liberté d’expression en prévoyant une surveillance aussi large. Cela n’a pas empêcher au Conseil d’État de valider le système français de surveillance en avril dernier, réinterprétant de la manière qui l’arrangeait l’arrêt de la CJUE et exposant la France à une condamnation par l’UE en raison de ce Frexit sécuritaire.

Aujourd’hui, c’est au tour du Conseil constitutionnel de devoir se prononcer sur ce régime de surveillance. Il a entre ses mains le devenir de la France dans l’UE : quelle crédibilité accorder à une France qui reproche à la Pologne ou la Hongrie de s’asseoir sur le droit européen mais qui elle-même n’hésite pas à contourner le juge de l’UE lorsque cela l’arrange ? Alors que la Belgique a, elle, appliqué la décision de la CJUE et censuré son régime de surveillance, que l’Allemagne a annoncé l’abandon de son régime de conservation des données de connexion, la France persiste dans sa position sécuritaire au détriment de l’État de droit. Le Conseil constitutionnel ne doit pas se défiler et a la responsabilité de mettre le holà à la dérive française. La décision sera rendue le 25 février prochain.

La France s’entête à vouloir donner à sa police tous les moyens pour user et abuser de surveillance des télécommunications. Pendant ce temps, l’État de droit accuse le coup : rien ne semble vouloir arrêter ce gouvernement qui, en cinq ans, n’a fait qu’accentuer la surveillance, sur Internet et au-delà. Alors pour nous permettre malgré tout de continuer cette lutte, nous avons toujours autant besoin de votre aide.

]]> https://www.laquadrature.net/?p=18396http://isyteck.com/autoblog/quadrature/index.php5?20220208_151426_Les_deputes_doivent_refuser_la_censure_sans_juge_en_une_heureTue, 08 Feb 2022 14:14:26 +0000Demain, mercredi 9 février, la commission des lois de l’Assemblée nationale discutera de la proposition de loi concernant la « diffusion de contenus à caractère terroriste en ligne », introduisant en droit français le règlement européen de censure terroriste. La Quadrature du Net a envoyé aux membres de cette commission la lettre reproduite ci-dessous pour appeler au rejet de ce texte.

Lettre aux députés : Rejetez la loi censure antiterroriste

Mesdames, Messieurs les député·es,

Membres de la commission constitutionnelle, de la législation et de l’administration générale de la République,

Vous examinerez mercredi prochain la proposition de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne.

Ce texte vise à introduire dans le droit français les dispositions du règlement 2021/784 de censure antiterroriste. Ce règlement, très débattu et contesté au niveau européen, crée de graves dangers pour la liberté d’expression et d’information en ligne. Surtout, les mesures qu’il introduit s’opposent frontalement à la décision du Conseil constitutionnel du 18 juin 2020 ayant largement censuré la loi visant à lutter contre les contenus haineux sur Internet telle que proposée par la députée Laetitia Avia.

La Quadrature du Net vous appelle donc à rejeter ce texte.

Un texte contraire à la décision du 18 juin 2020 du Conseil constitutionnel

En effet, dans sa décision du 18 juin 2020, le juge constitutionnel a expressément censuré une disposition identique à celle constituant le cœur de la proposition de loi dont vous allez débattre : le pouvoir confié à l’autorité administrative d’ordonner à toute plateforme en ligne le retrait ou le blocage en une heure d’un contenu que cette autorité aurait qualifié de terroriste, sans le contrôle préalable d’un juge.

Pour le Conseil constitutionnel, cette obligation de retrait portait une atteinte disproportionnée à la liberté d’expression et de communication, pour deux raisons : la détermination du caractère illicite des contenus était soumise à la seule appréciation de l’administration et la contestation de cette décision devant un tribunal n’avait pas d’effet suspensif, alors même qu’aucun tribunal ne saurait se prononcer en moins d’une heure. Aucune garantie n’empêchait qu’une décision illégale de l’administration n’entraîne la censure de propos légitimes, en totale violation des principes les plus élémentaires de séparation des pouvoirs.

Or, la proposition de loi qui fera l’objet de la discussion en commission reprend exactement le même mécanisme puisqu’elle permet à l’autorité administrative d’émettre des injonctions de retrait de contenus en une heure à destination de « fournisseurs de contenus et hébergement » sous peine d’être sanctionné d’une amende et sans recours suspensif.

Voté en l’état, le texte serait donc clairement contraire à la Constitution. Une telle analyse est d’ailleurs partagée dans son rapport d’activité 2020 par la personnalité qualifiée de la CNIL, c’est à dire l’autorité actuellement chargée de contrôler la censure administrative des sites internet et dont le pouvoir serait désormais confié à l’ARCOM.

Une disposition régulièrement dénoncée par organisations et institutions

Les dangers du règlement ont été régulièrement dénoncés par de nombreuses organisations et institutions. 61 organisations européennes et 11 organisations françaises avaient d’ailleurs demandé son rejet au regard des risques qu’il posait.

D’une part, l’obligation de retrait aura pour effet de motiver les acteurs du Web à censurer en amont tout contenu potentiellement illicite, et ce en adoptant une définition la plus large possible du terrorisme pour ne pas recevoir des ordres de retraits impossibles à satisfaire en pratique. Cette proposition de loi donne d’ailleurs à l’ARCOM la possibilité d’imposer à ces fournisseurs des « mesures techniques » pouvant correspondre à des filtres automatisés, pour respecter cette obligation de retrait en une heure. En pratique, un tel délai et de tels filtres automatisées ne pourront être gérés que par des acteurs géants comme Facebook, Google et Amazon, auxquels le reste du Web deviendra encore plus dépendant

D’autre part, le texte renforce la censure administrative confiée à la police, en l’occurrence l’OCLCTIC, alors que toute demande de retrait d’un contenu ne devrait être émise que par un juge, seul garant de la liberté d’expression. Des exemples concrets ont démontré ces dernières années les abus auxquels pouvaient aboutir cette censure illégale et non contrôlée, comme par exemple la censure d’un site militant sous couvert d’une interprétation abusive de la notion de terrorisme, finalement annulée par un juge administratif un an et demi après les faits.

En conclusion, l’adoption telle quelle de la proposition de loi aurait non seulement de graves conséquence pour la liberté d’expression en ligne, mais aussi pour la confiance dans les institutions. Voter ce texte signifierait expressément que le Parlement refuse le rôle du Conseil constitutionnel et viole en connaissance de cause les garde-fous qu’il érige pour la protection de nos droits et libertés.

Nous vous invitons à ne pas céder à cette négation de l’État de droit et à rejeter ce texte en votant contre l’article unique de cette proposition de loi.

]]> https://www.laquadrature.net/?p=18369http://isyteck.com/autoblog/quadrature/index.php5?20220203_154514_Emmanuel_Macron__cinq_annees_de_surveillance_et_de_censureThu, 03 Feb 2022 14:45:14 +0000A l’approche de l’élection présidentielle, nous revenons sur le bilan en matière de surveillance et de censure d’Emmanuel Macron, de son gouvernement et de sa majorité à l’Assemblée nationale.

Détailler le nombre impressionnant de textes législatifs ou réglementaires qui leurs sont dus et qui ont accentué la censure et la surveillance est un exercice sinistre. Il est néanmoins révélateur du monde fantasmé par les personnes au pouvoir et dans lequel elles veulent nous précipiter : un État et une police tout-puissants, ivres du pouvoir que leur promettent les nouvelles technologies, se plaçant au-dessus de la justice et de la contestation populaire et travaillant main dans la main avec une poignée d’entreprises sécuritaires pour surveiller et censurer tout et tout le temps.

En cinq ans, Emmanuel Macron, aussi bien par sa propre action que par celle de son gouvernement, ou par la domination qu’il aura exercée sur une majorité parlementaire entièrement dévouée, aura directement contribué au basculement, toujours plus rapide, toujours plus profond, vers une société sécuritaire reposant sur la surveillance et la censure, qu’elle soit d’origine étatique ou privée, les deux étant ici souvent mêlées.

S’il leur reste encore quelques mois pour empirer une situation déjà bien inquiétante, il est possible de dresser dès maintenant un bilan de ses actions. Celui-ci est évidemment loin d’être exhaustif. Premièrement, car il se limite aux sujets sur lesquels La Quadrature du Net a pu travailler ces cinq dernières années et qui sont liés à son objet social : la défense des libertés dans l’environnement numérique. Deuxièmement, car, même limité au front numérique, l’extension de ce sujet dans chaque recoin de nos vies rend la veille difficile.

Le bilan d’Emmanuel Macron est néanmoins particulièrement lourd : extension des pouvoirs des services de renseignement, nouveaux fichiers de police et bases de données massives, accélération du pouvoir de censure de l’administration, partenariats multiples avec des entreprises sécuritaires pour démultiplier la surveillance sur Internet ou dans nos rues, utilisation massive de la reconnaissance faciale policière…

Précisions que si cet effondrement démocratique est le fait du gouvernement actuel, il ne doit pas en porter seul la responsabilité : cette orientation a été initiée par Nicolas Sarkozy dans les années 2000 avant d’être déployée à grande échelle par François Hollande. Toutes ces dérives n’auraient pas pu se déchaîner aussi facilement si l’extrême-droite n’avait pas imposé ses obsessions d’exclusion et de violence dans le débat public et si tant d’élu·es de gauche n’avaient pas échoué à défendre un contre-modèle à la Technopolice dans leur ville et leur région.

2017

• 14 mai 2017 : Emmanuel Macron commence son mandat de président de la République française ;
• 22 septembre 2017 : invoquant une provocation au terrorisme, le ministère de l’Intérieur ordonne directement aux sites Indymedia Nantes et Grenoble le retrait d’un communiqué anti-autoritaire publié sur leur site sous peine de blocage par les fournisseurs d’accès à Internet (notre article ici). Le tribunal administratif de Cergy-Pontoise donnera finalement raison aux deux sites en janvier 2019 ;
• 30 octobre 2017 : promulgation de la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme ». Le texte intègre dans le droit commun plusieurs mesures de l’état d’urgence décidé depuis 2015 tout en prolongeant la durée de vie des « boîtes noires » de surveillance des télécommunications, ces sondes algorithmiques créées en 2015 pour surveiller automatiquement l’ensemble d’un réseau de télécommunications ;
• 14 novembre 2017 : le gouvernement annonce avoir déployé une première « boîte noire » permettant la surveillance de masse des télécommunications (voir notre réaction).

2018

• 9 mars 2018 : promulgation de la loi relative à l’orientation et à la réussite des étudiants (ORE), qui instaure une sélection de fait à l’entrée des études supérieures, et autorise les établissements supérieurs à recourir à des algorithmes pour trier les candidatures. Suite à une QPC de l’UNEF a laquelle La Quadrature s’est jointe, le Conseil constitutionnel a réinterprété en 2020 la loi pour mettre partiellement fin à l’opacité de ces algorithmes de tri (lire notre réaction) ;
• 13 juillet 2018 : promulgation de la loi sur la « programmation militaire » (voir notre réaction ici). L’agence de cybersécurité du gouvernement (l’ANSSI) gagne de nouveaux pouvoirs de surveillance en pouvant ordonner à un hébergeur ou un fournisseur d’accès à Internet de poser sur le réseau des sondes lui permettant d’analyser tout le trafic pour détecter des attaques informatiques – la suite directe des boîtes noires instituées par la loi Renseignement de 2015. En février 2019, nous attaquons le décret d’application de cette loi devant le Conseil d’État (recours rejeté fin 2021) ;
• 5 septembre 2018 : promulgation de la loi « pour la liberté de choisir son avenir professionnel ». Son article 58 permet une expérimentation obligeant toute personne en recherche d’emploi à déclarer en ligne à Pôle Emploi «l’état d’avancement de leur recherche d’emploi» (sous peine de perdre le bénéfice de ses allocations). On analyse ici les risques de contrôle social qui résultent d’une telle expérimentation ;
• 11 septembre 2018 : promulgation de la « loi Collomb » relative à l’immigration, qui instaure un fichage forcé des empreintes digitales et des photos des migrant·es mineur·es non-accompagné·es. Suite à une QPC d’associations d’aide aux personnes migrantes, à laquelle La Quadrature s’est jointe, le Conseil constitutionnel a validé ce fichage massif en 2019 ;
• 22 novembre 2018 : création du « Comité Stratégique de Filière Industries de sécurité » qui réunit, sous la présidence de Marc Darmon, vice-président de Thalès et en coopération avec l’État, l’ensemble des sociétés sécuritaires françaises ;
• 22 décembre 2018 : promulgation de la loi « fake news » (ou « relative à la manipulation de l’information »). En plus d’obligations générales de transparence pour certaines grandes plateformes, la loi crée une procédure d’urgence pour faire cesser une « fausse information » dans les trois mois précédant un scrutin national.

2019

• 14 janvier 2019 : le ministère de l’intérieur, via l’office central de la lutte contre la criminalité informatique, exerce une censure et demande le retrait sur Internet d’une image caricaturant Emmanuel Macron en général Pinochet ;
• 21 janvier 2019 : le jour même où la CNIL sanctionne Google à hauteur de 50 millions d’euros à la suite d’une plainte collective portée par LQDN, le gouvernement fait la promotion de l’entreprise sur les réseaux sociaux ;
• 26 mars 2019 : adoption au Parlement européen de la directive Copyright (voir notre réaction ici). Emmanuel Macron se félicite sur Twitter de l’adoption de ce texte qui légitime les outils de filtrage et de censure automatisés mise en place par les grandes plateformes Internet pour « protéger » le droit d’auteur ;
• 31 mars 2019 : Emmanuel Macron nomme Cédric O comme secrétaire d’État au numérique, ancien salarié de Safran, entreprise française d’armement, ayant notamment été la maison-mère d’Idemia, entreprise spécialisée dans la reconnaissance faciale ;
• 13 mai 2019 : publication du décret « Alicem » qui autorise un dispositif d’identité numérique conditionnée à une reconnaissance faciale obligatoire, malgré l’avis négatif de la Cnil (notre article ici). Nous attaquons ce décret devant le Conseil d’État mais perdons le contentieux un an plus tard ;
• 24 juillet 2019 : promulgation de la loi sur la « transformation du système de santé » qui autorise le lancement du « Health Data Hub ». Il s’agit d’une plateforme visant à centraliser l’ensemble des données de santé de la population française pour faciliter leur utilisation à des fins de recherche, via l’utilisation massive d’algorithmes (voir notre article d’analyse) ;
• 24 octobre 2019 : Emmanuel Macron nomme Thierry Breton pour devenir commissaire à la Commission européenne Ancien PDG de la société Atos (société qui a une grande expérience dans la surveillance biométrique aux frontières, ancienne maison mère d’Amesys), il sera en charge de pousser notamment en Europe la vision française de l’intelligence artificielle à travers plusieurs textes, notamment le règlement sur l’intelligence artificielle et le « Digital Services Act » ;
• 28 décembre 2019 : publication de la loi de finances 2020 (voir notre article ici). Cette loi, validée par le Conseil constitutionnel, autorise l’administration fiscale et les douanes à surveiller les réseaux sociaux pour y collecter les informations et ensuite les faire analyser par leurs algorithmes.

2020

• 30 janvier 2020 : signature d’un partenariat entre l’État et les principales entreprises sécuritaires françaises pour notamment financer la surveillance des prochains Jeux Olympiques de Paris en 2024 ;
• 20 février 2020 : publication du décret « Gendnotes » (notre article ici). Ce décret autorise la police à utiliser une application mobile facilitant la collecte de photos et d’informations sensibles et leurs transferts vers des fichiers extérieurs (comme le TAJ, qui permet la reconnaissance faciale). Avec d’autres associations, nous attaquons ce texte et gagnons partiellement devant le Conseil d’État qui interdit le transfert des informations vers d’autres fichiers (notre réaction ici) ;
• 29 mars 2020 : publication du décret DataJust, qui autorise le ministère de la justice à collecter les données personnelles issues de décisions de justice, pour développer un obscur algorithme de justice prédictive. Nous avons attaqué le décret mais le Conseil d’État a rejeté notre recours fin 2021. Début 2022, le ministère annonçait toutefois l’abandon du projet ;
• 1er avril 2020 : déjà utilisés sur plusieurs manifestations, la police nationale déploie en toute illégalité des drones sur tout le territoire pour surveiller le respect du confinement. Nous réussissons à faire condamner la préfecture de Paris deux fois par le Conseil d’État, avant que la CNIL puis le Conseil Constitutionnel viennent interdire leur utilisation au gouvernement. Les drones reviendront néanmoins dans un nouveau texte en 2022 (voir notre article sur le sujet) ;
• 9 avril 2020 : le ministère de l’Intérieur décide l’extension du décret de « système de contrôle automatisé » (ou ADOC pour « accès au dossier des contraventions). Permettant à l’origine la conservation des informations relatives aux délits routiers, le ministère de l’intérieur vient légaliser a posteriori l’extension de ce fichier à toutes les infractions réprimées par une amende forfaitaire avec une conservation étendue entre 5 et 10 ans. Nous avons attaqué cette extension devant le Conseil d’État (qui nous a rejeté fin 2021) ;
• 11 mai 2020 : promulgation de la loi « prorogeant l’état d’urgence sanitaire et complétant ses dispositions ». Ce texte accentue la surveillance sanitaire et permet au gouvernement de mettre en place un système de recensement et de traçage des personnes contaminées, à travers deux fichiers, le fichier SIDEP et le fichier Contact Covid ;
• 29 mai 2020 : le gouvernement autorise par décret le lancement de l’application StopCovid visant à pister, grâce au Bluetooth des téléphones des personnes l’ayant installée, les personnes ayant été infectées par le Covid ou susceptibles de l’être. Nous envoyons aux parlementaires nos arguments pour rejeter ce projet dystopique (voir notre article) ;
• 24 juin 2020 : promulgation de la loi sur les contenus haineux sur Internet (dite « loi Avia »). Alors qu’au départ, la proposition de loi (fortement soutenue par le gouvernement) voulait notamment imposer la censure en 24 heures pour les contenus « haineux » et en une heure pour les contenus « terroristes » ainsi que déléguer de grands pouvoirs de régulation au CSA (voir notre résumé ici), le Conseil constitutionnel censure une très grande partie du texte pour n’en laisser que quelques dispositions mineures. Plusieurs dispositions se retrouveront néanmoins dans d’autres textes, le règlement européen de censure terroriste et la loi dite « Séparatisme » (voir ci-dessous) ;
• 6 juillet 2020 : nomination de Gérald Darmanin comme ministre de l’intérieur. Après avoir accentué la surveillance par l’administration fiscale lorsqu’il était ministre de l’action et des comptes publics, son arrivée à Beauvau marque un serrage de vis sécuritaire supplémentaire ;
• 30 juillet 2020 : promulgation de la loi « visant à protéger les victimes de violences conjugales » (voir notre article ici). Son article 22 (anciennement article 11) impose aux sites qui hébergent des contenus pornographiques de recourir à des dispositifs de vérification d’âge (et donc d’identification forcée) pour empêcher que les mineur·es y aient accès ;
• 13 octobre 2020 : un rapport du Sénat révèle qu’en 2019, la police a utilisé plus de 375 000 fois à des fins de reconnaissance faciale le fichier du « Traitement des antécédents à des fins judiciaires ». Nous attaquons ce fichier en août 2020 ;
• 16 novembre 2020 : le ministère de l’Intérieur publie le livre blanc de la sécurité intérieure. Ce document dévoile les velléités sécuritaires pour les prochaines années pour faire passer la surveillance et le contrôle de la population par la police à une nouvelle ère technologique (on en parle ici) ;
• 2 décembre 2020 : publication de 3 décrets qui étendent et aggravent les fichiers PASP, GIPASP et EASP (notre article ici). Ces fichiers facilitent le fichage massif des militantes et militants politiques et de leur entourage, en étendant cette surveillance aux réseaux sociaux, aux manifestations, et aux « opinions » politiques (non plus les seules « activités » politiques). Nous attaquons avec d’autres associations les textes en urgence devant le Conseil d’État et perdons une première bataille en janvier 2021. En décembre 2021, le Conseil d’État annule une partie de ces fichiers relative notamment aux opinions politiques ;
• 24 décembre 2020 : promulgation de la loi dite « petite loi Renseignement » (notre article ici). Le gouvernement fait passer en urgence une loi pour prolonger les expérimentations de plusieurs mesures sécuritaires adoptées en 2017 (mesures renforçant la sécurité intérieure et la lutte contre le terrorisme – fermetures des lieux de culte, perquisitions administratives…) et la prolongation de la surveillance des réseaux par algorithmes votées en 2015 (ou boîtes noires) ;
• 29 décembre 2020 : promulgation de la loi de finances pour l’année 2021. Au détour d’un amendement n’ayant fait l’objet d’aucun débat, il est donné aux agents chargés de la fraude à Pôle Emploi la possibilité d’obtenir près des banques, fournisseurs d’énergie, opérateurs de téléphonie toute information nécessaire pour détecter des « situations frauduleuses ». On parle ici de cette surveillance sociale ici.

2021

• 10 mars 2021 : publication du décret « Datakalab » qui autorise l’entreprise de surveillance Datakalab à déployer dans les transports en commun son logiciel de détection du port du masque. Un an auparavant, la Cnil avait pourtant critiqué le dispositif. Nous soulignons dans un article l’illégalité de ce texte que le ministre des transports a offert à la start-up (voir aussi l’article d’analyse co- écrit par un de nos membres) ;
• mars-avril 2021 : dans le cadre de notre contentieux contre la surveillance de masse mise en place par les services de renseignement français, le gouvernement, mis au pied du mur par la Cour de l’Union européenne, demande au Conseil d’État de déroger au droit de l’Union européenne pour violer nos libertés fondamentales (on en parle ici) ;
• 29 avril 2021 : adoption au Parlement européen du règlement de censure antiterroriste (voir notre réaction ici). Avec ce texte, dont l’adoption a été précipitée par l’action du gouvernement français, l’ensemble des acteurs de l’Internet devront maintenant censurer en une heure un contenu qu’une autorité administrative (et non un juge) aura qualifié de « terroriste » sous peine de lourdes sanctions. Le Conseil constitutionnel avait pourtant censuré la même disposition dans sa décision sur la loi Avia un an auparavant ;
• 25 mai 2021 : promulgation de la loi « Sécurité globale ». Comme pour la loi Avia, le Conseil constitutionnel est venu censurer, à la suite d’un engagement et de la pression des militantes et militants, de nombreuses dispositions initialement prévues dans la proposition/projet de loi du gouvernement (voir notre article). Pas de drones ou d’hélicoptères de surveillance donc, mais une extension des pouvoirs de vidéosurveillance de la police, de la RATP/SNCF et la transmission en temps-réel des images des caméras-piétons de la police à un centre de commandement avec leur possible utilisation par des gardes-champêtres. Comme pour la loi Avia, plusieurs de ces dispositions reviendront rapidement dans d’autres textes ;
• 31 mai 2021 : promulgation de la loi « relative à la gestion de la sortie de crise sanitaire ». Ce texte, incarnant l’orientation autoritaire de la gestion de crise et le rejet de toute tentative de dialogue et de respect envers les personnes non-vaccinées met en place le passe sanitaire, qui sera officiellement lancé en juin 2021, puis étendu à de plus en plus de domaines par diverses réformes postérieures ;
• 30 juillet 2021 : promulgation de la loi relative à la prévention d’actes de terrorisme et au renseignement. En plus de pérenniser et d’étendre les dispositifs de « boîtes noires » de surveillance des télécommunications, le texte confirme, malgré un arrêt contradictoire de la Cour de Justice de l’Union européenne, l’obligation de conservation généralisée des données de connexion. Il autorise par ailleurs la surveillance des communications satellitaires, facilite les échanges entre services de renseignement entre eux et avec d’autres services de l’État et intensifie les obligations de coopération avec les opérateurs et fournisseurs de communications électroniques (voir un des nos articles ici) ;
• 5 août 2021 : promulgation de la loi étendant le passe sanitaire à de nombreuses activités quotidiennes ;
• 24 août 2021 : promulgation de la loi « séparatismes » (renommée loi « confortant le respect des principes de la République »). Parmi d’autres dispositions liberticides (notamment une version remaniée de l’article 24 de la loi « Sécurité Globale »), le texte donne de nouveaux pouvoirs à l’administration pour réguler les grandes plateformes et lutter contre les contenus dits « haineux » (voir notre article ici) ;
• 26 octobre 2021 : promulgation de la loi de lutte contre le piratage audiovisuel. Elle renforce les pouvoirs de l’administration (en fusionnant le CSA et la HADOPI dans une nouvelle autorité administrative dénommée « ARCOM ») contre le libre partage des œuvres audiovisuelles en lui donnant différents pouvoirs pour bloquer encore plus rapidement qu’avant un site internet qui lui paraît illégal (on en parlait ici).

2022

• 24 janvier 2022 : promulgation de la loi « responsabilité pénale et sécurité intérieure » qui, malgré les multiples censures du Conseil d’État, de la CNIL et du Conseil constitutionnel, autorise notamment la police nationale à déployer sur le territoire des drones de surveillance. La loi vient également valider la vidéosurveillance en cellule de garde-à-vue et les caméras embarquées sur les véhicules de police. Nous réagissons ici à cette nouvelle étape de surveillance de masse.

Ce travail pendant cinq ans ne fut pas simple, et le contexte politique ne présage rien de meilleur pour l’avenir. Pour nous aider à continuer, si vous le pouvez, vous pouvez nous aider en effectuant un don ici.

]]> https://www.laquadrature.net/?p=18330http://isyteck.com/autoblog/quadrature/index.php5?20220127_140347_Pistage_dans_le_cyberespaceThu, 27 Jan 2022 13:03:47 +0000Nous republions un article rédigé et paru par technopolice.be et initialement publié dans le numéro 53 du journal Culture & Démocratie.

La généralisation de l’usage de la téléphonie mobile, du bornage par les antennes wi-fi et de la pratique de stockage dit « cloud » a fait émerger de nouvelles manières d’appréhender les déplacements dans l’espace public. De plus en plus répandues dans le contexte de la pandémie et d’une volonté affirmée de « gérer les foules », ces technologies participent aussi d’une surveillance généralisée des individus, souvent à des fins marchandes. En collectant massivement nos données privées dans certains espaces publics, ces dispositifs de surveillance − cartographiés par le collectif Technopolice − mettent à mal la protection de celles-ci. En outre, ils surdéterminent nos comportements, car si le pistage numérique aide à prédire les déplacements des foules, il permet aussi de les diriger sans qu’elles en aient conscience. En modifiant ainsi nos manières d’appréhender et d’habiter collectivement l’espace public, ces dispositifs ne présentent-ils pas un risque pour une approche véritablement émancipatrice de celui-ci ? Et si oui, comment en sortir ?

Instauration du passeport sanitaire, violation du secret médical par la transmission automatique d’informations personnelles concernant tests, quarantaines ou autres doses de vaccination, drones survolant les parcs pour inciter les gens à respecter la distanciation sociale, les pousser à rester chez eux voire évaluer le nombre de convives au réveillon de Noël : on peut dire que les technologies numériques ont apporté leur contribution à l’atmosphère détestable de flicage qui s’est installée dans le sillage de la pandémie de coronavirus. Néanmoins, il est une technologie de surveillance dont on a très peu entendu parler, à savoir le Wi-Fi.

« Comment ça le Wi-Fi ? pourriez-vous demander. Google ? Facebook ? Les géants du Net ?
– Oui certainement, vous répondrais-je. Mais le problème ne réside pas uniquement dans notre activité sur Internet. Il réside aussi dans les signaux que les smartphones envoient pour se connecter.
– Ah, vous voulez parler de l’application Coronalert, pour prévenir les « cas contacts » ? Mais n’utilise-t-elle pas plutôt le Bluetooth ?
– Si, en effet. Je l’ai oubliée dans mon introduction, peut-être parce que n’ayant pas rempli les promesses annoncées, les autorités l’ont discrètement enterrée… Mais non, je parle bien de la surveillance par Wi-Fi.
– Alors je ne vois pas de quoi vous voulez parler !
– C’est bien le problème ! Voyons ça… »

Il était une fois le smartphone. Couteau suisse numérique du XXIe siècle, ses atouts sont sa fabuleuse puissance de calcul, la formidable ergonomie de son écran tactile mais surtout la lucarne que celui-ci ouvre sur le monde. Pour que cette dernière fonction soit pleinement remplie, la connexion est de mise. Pas d’appel, de messagerie, de météo ou de likes et encore moins de challenge TikTok tant qu’il n’y a pas de signal.

Tout téléphone portable envoie donc régulièrement un signal pour se faire connaître de l’antenne télécom la plus proche[1]. S’il s’agit d’un smartphone dont la fonction Wi-Fi est activée, il va de surcroît envoyer des requêtes pour tenter de repérer le boîtier internet de votre maison, de votre lieu de travail ou de quelque lieu où vous vous seriez déjà connecté⋅e. Capter ces signaux est un jeu d’enfant. Pas besoin de matériel lourd réservé uniquement aux services de renseignement. Non, quelques lignes de code suffisent à convertir le premier ordinateur portable venu en mouchard. Les informations ainsi recueillies sont plus ou moins riches en fonction de l’appareil utilisé. Les téléphones récents disposent de systèmes d’anonymisation automatique pour limiter la fuite de données personnelles. Mais les téléphones vieux de quelques années peuvent diffuser allègrement leur identifiant unique (adresse MAC), et les noms des derniers réseaux auxquels ils se sont connectés.

À un niveau plus expérimental, une technique alternative consiste à placer de nombreux capteurs dans une pièce où sont diffusées des ondes Wi-Fi. La présence et le déplacement de corps humains viennent perturber la répartition de ces ondes dans l’espace. Les variations d’intensité des signaux peuvent réciproquement être interprétées pour déterminer le nombre et l’emplacement des personnes présentes.

Mais qui utilise les ondes pour nous tracer et dans quel but ?

La première fois que j’ai entendu parler de cette technologie, c’était il y a quelques années, lors d’un déménagement. Le conducteur de la camionnette contribuait autant à meubler mon salon que la conversation. Il me confia avoir passé sa journée de la veille à travailler (au noir) à dissimuler des capteurs dans les plafonds des magasins du centre commercial City2. Les mouchards devaient mesurer les flux de passant⋅es et ainsi permettre au gestionnaire du centre d’adapter les loyers des différentes cellules commerciales.

Dans le secteur de la vente, c’est ce qu’on appelle la footfall analytics ou l’analyse de fréquentation. Elle est généralement basée sur l’analyse des ondes, mais elle peut aussi reposer sur celle d’images caméra ou sur une combinaison de ces deux méthodes. L’objectif déclaré est de mieux comprendre les habitudes des client⋅es en vue de faire grimper le chiffre d’affaires. En plaçant plusieurs capteurs Wi-Fi ou caméras, on peut facilement observer si un⋅e client⋅e passe plus de temps au rayon légumes ou au rayon biscuits, ou encore repérer un comportement jugé suspect, peut-être celui d’un⋅e voleur⋅se.

Si en prime on arrive à faire installer aux client⋅es quelque application mobile, il devient possible de prolonger la surveillance en dehors du magasin, d’alimenter les fameux clouds en une kyrielle de données, mais surtout de proposer de la publicité ciblée qui pourra s’adapter continuellement aux comportements observés. C’est bien ce qui s’est passé dans les centres commerciaux bruxellois gérés par AG Real Estate, où la gestion des données Wi-Fi était confiée à la société Fidzup, qui traitait celles-ci sans consentement préalable. Mise en demeure par la CNIL pour cette pratique contrevenant au Règlement général sur la protection des données (RGPD) [2], la société Fidzup a été contrainte de se mettre en règle mais a fini par devoir mettre la clé sous la porte.

Un représentant d’une société qui place ce type de dispositifs dans des chaines de magasins me racontait avoir été une fois froidement accueilli par les employé⋅es du magasin où il venait l’installer : ces dernier⋅es avaient bien compris que l’analyse ne s’appliquait pas qu’aux client⋅es mais aussi aux vendeur⋅ses. Un mauvais « taux de conversion » − soit un ratio trop faible entre le décompte de client⋅es entré⋅es dans le magasin et le nombre de tickets imprimés pendant vos heures de travail − et hop ! voilà que le système pouvait enregistrer une nouvelle sortie du magasin, définitive celle-ci. Ou comment se faire virer par une box Wi-Fi…

Si en prime on arrive à faire installer aux client⋅es quelque application mobile, il devient possible de prolonger la surveillance en dehors du magasin, d’alimenter les fameux clouds en une kyrielle de données, mais surtout de proposer de la publicité ciblée qui pourra s’adapter continuellement aux comportements observés.

Nouvelle confrontation avec l’exploitation des ondes Wi-Fi en 2019, lorsque l’asbl Constant a organisé une balade dans le Marché de Noël de Bruxelles pour attirer l’attention sur l’utilisation de cette technologie dans l’espace public[3]. On y apprenait que c’était une expérience menée en partenariat par un laboratoire de polytechnique de l’ULB (OPERA-WGC) et Brussels Major Events (BME), une asbl satellite de la Ville de Bruxelles, qui prend en charge l’organisation des grands évènements de la capitale, tels que le Nouvel An ou Bruxelles-les-Bains. Lors de ces évènements, l’intérêt n’est assurément plus de fixer les loyers, mais de « gérer la foule ». S’il y a un incident qui hante les nuits des organisateur⋅ices d’évènements à Bruxelles, c’est bien « le drame du Heysel » de 1985, lors duquel un mouvement de foule avait provoqué la mort de dizaines de personnes et en avait blessé plusieurs centaines. L’idée est donc d’évaluer le nombre de personnes présentes à un évènement de masse, de manière à mieux canaliser la foule voire fermer les accès en cas de dépassement du seuil choisi.

Comme tout le monde n’a pas forcément sur soi un smartphone dont le Wi-Fi est allumé, un facteur multiplicatif est appliqué sur base de tests effectués en croisant différentes techniques de comptage. À en croire les ingénieur⋅es en charge du projet, il n’y a néanmoins pas le moindre souci à se faire du côté de la vie privée, car les données sont directement anonymisées, au point qu’un bureau d’avocat⋅es ayant examiné leur procédure a certifié sa conformité avec le RGPD. Dans la mesure où tous les expert⋅es en matière de données relatives à la vie privée insistent sur le fait que l’anonymisation est un leurre et qu’il est préférable de parler de « pseudonymisation » en gardant en tête qu’il est généralement possible de réidentifier les données, le scepticisme est de mise face aux déclarations des ingénieur⋅es. Mais il est vrai que la technique mobilisée ici, composée d’opérations successives de hachage et de chiffrement, et ce directement au niveau de la capture de l’information, avant même son envoi vers les serveurs de conservation des données, semble effectivement assez sérieuse. Et en l’absence d’autres données personnelles associées à l’identifiant anonymisé, il n’y a effectivement pas de possibilité de réidentification.

La prudence reste de mise, comme l’illustre la société d’analyse vidéo ACIC : elle propose une formule « Privacy » qui floute les visages des personnes sur les images de vidéosurveillance. Mais la fonction peut être désactivée par qui dispose des droits d’administration, de manière à pouvoir fournir des images « désanonymisées » à la police en cas de besoin. Dans la mesure où l’expérience menée à l’ULB s’avère porter ses fruits, elle pourrait faire l’objet d’une commercialisation dans les prochaines années : que répondront les ingénieur⋅es quand la police conditionnera l’achat de leur système à la possibilité de se réserver un accès privilégié aux données brutes ?

L’expérience menée à l’ULB s’avère porter ses fruits, elle pourrait faire l’objet d’une commercialisation dans les prochaines années : que répondront les ingénieur⋅es quand la police conditionnera l’achat de leur système à la possibilité de se réserver un accès privilégié aux données brutes ?

Déconfinement de la surveillance

Lorsque la pandémie de coronavirus s’est atténuée et que les magasins ont pu rouvrir, la ville de Bruxelles a contacté BME pour réfléchir à la meilleure manière de gérer la foule dans le centre-ville. BME, à son tour, s’est reportée sur l’équipe de chercheur⋅ses d’OPERA-WGC et très vite, la décision a été prise d’installer des capteurs Wi-Fi le long de la rue Neuve de manière à limiter l’affluence et à faire respecter les distances préconisées pour enrayer la propagation du virus. Lors du déconfinement, un dispositif de barrières, bandes de circulation piétonne et feux de signalisation aux entrées de la rue matérialisaient le dispositif. Aujourd’hui, la régulation se fait plutôt sous la forme de recommandation : les chalands peuvent consulter le site rueneuvebruxelles.be pour s’informer sur les moments plus calmes de la journée durant lesquels il serait préférable de faire son shopping. Mais les capteurs sont toujours présents.

L’épidémie a favorisé ouvertement le déploiement de techniques de footfall analytics dans l’espace public, mais la tendance, pourtant bien réelle, est moins visible dans les espaces privés. En effet, bien que ces techniques soient méconnues du grand public, elles sont déjà fort répandues dans les commerces. Le site carto.technopolice.be recense différentes technologies de surveillance et de contrôle présentes dans l’espace public. Y sont principalement répertoriées les caméras de surveillance classiques, « intelligentes » ou à reconnaissance de plaque d’immatriculation, mais aussi les antennes télécom et les dispositifs de footfall analytics. On retrouve donc la rue Neuve sur la carte, ainsi que les principaux centres commerciaux. Si l’on sait que les pictogrammes devant indiquer la présence de caméras de vidéosurveillance sont rarement dûment installés, au moins les caméras sont-elles visibles… tandis que les dispositifs de comptage peuvent être relativement discrets. Lors de la balade de l’association Constant au Marché de Noël, bien que connaissant leur présence, nous n’avons pas été en mesure de les repérer physiquement. Il est donc possible que la carte de Technopolice sous-estime grandement l’ampleur du phénomène. Et de fait, la société Amoobi – spin-off du laboratoire de l’ULB susmentionné – indique par exemple sur son site compter parmi ses client⋅es rien de moins que IKEA, MediaMarkt, Brico, Carrefour, Delhaize, Aldi, et j’en passe [4]. La question n’est donc pas tant de savoir si les espaces urbains échappent à ce type de surveillance mais plutôt lesquels y échappent.

Au rayon futurologie

Les ingénieur⋅es d’OPERA-WGC ne se contentent pas de décrire ce qui est mais ambitionnent aussi de prédire ce qui sera. Les données collectées sont analysées au cours de la journée de manière à dégager des modèles, ce qui a permis de développer des algorithmes de prédiction d’affluence. Ainsi, s’il est 9 h du matin à l’heure d’écrire ces lignes, le site rueneuvebruxelles.be prévoit des pics de fréquentation entre 13 et 17 h. Sans l’appui de tels algorithmes, nous allons nous aussi nous risquer à esquisser la direction que pourraient prendre les ondes Wi-Fi à l’avenir…

Avec une infrastructure réseau tentaculaire, un registre clientèle permettant de relier facilement les identifiants des appareils à des individus en chair et en os, un chiffre d’affaires autorisant de somptuaires dépenses en recherche et développement, la société est bien positionnée pour déployer une surveillance massive sur le territoire belge.

À la STIB par exemple, un système compte déjà le nombre de franchissements de portiques dans les stations et des recommandations sont ainsi formulées sur les lignes et les heures à préférer. Mais ce n’est qu’un début. La société réfléchit depuis longtemps à des méthodes plus fines pour analyser la fréquentation de ses services et stations. Aucune solution existante sur le marché n’a encore satisfait ses dirigeant⋅es. Elle a donc récemment annoncé le lancement d’un gigantesque chantier nommé « muntsroom », en partenariat avec Agoria, le lobby des industriels des nouvelles technologies, et à grand renfort de fonds régionaux et européens. Le projet a pour objectif de développer « une solution permettant de visualiser les flux de personnes 24 heures sur 24 et 7 jours sur 7 (comptage, direction, vitesse), de faciliter l’analyse partagée des données et de mettre les données sur les flux de personnes à la disposition d’un large éventail d’utilisateurs » [5]. Le marché sera attribué en décembre 2021.

Par ailleurs, OPERA-WGC et Brussels Major Events ont aussi collaboré sur un projet de recherche avec la société Proximus. En tant qu’opérateur télécom, Proximus quadrille le territoire d’antennes GSM. Comme on l’a vu, ces antennes permettent de localiser les téléphones. Avec la succession des générations de téléphonie, les puissances d’émission augmentent, ce qui nécessite d’ajouter toujours plus d’antennes, réduisant d’autant la taille des cellules. Le déploiement de la 5G à haute fréquence n’annonce donc rien de bon de ce côté-là. De plus, les opérateurs téléphoniques sont généralement aussi des fournisseurs d’accès à internet (FAI). Tel saint Pierre aux portes du Paradis, ce sont eux qui ouvrent la voie vers le cloud. C’est le cas de Proximus, qui propose aussi un bien mal-nommé « public wi-fi » pour permettre à ses client⋅es de se connecter d’à peu près n’importe où. Ce service exploite en fait les boîtiers internet des particulier⋅es qui diffusent un signal accessible à tou⋅tes les abonné⋅es Proximus en plus du Wi-Fi local. Avec une infrastructure réseau tentaculaire, un registre clientèle permettant de relier facilement les identifiants des appareils à des individus en chair et en os, un chiffre d’affaires autorisant de somptuaires dépenses en recherche et développement, la société est bien positionnée pour déployer une surveillance massive sur le territoire belge.

J’ai pointé les enjeux de vie privée liés aux données personnelles, mais ces technologies nous en apprennent aussi sur l’évolution des modes de gouvernement. Elles favorisent l’avancée vers un monde où il n’y a plus ni droit, ni obligation, ni interdiction générale de faire ceci ou cela − de circuler rue Neuve ou de se rendre à un concert, de se faire tester ou vacciner. Non, dorénavant, la situation sera analysée en temps réel et l’autorisation pourra être accordée ou refusée au cas par cas, en fonction de l’impact attendu de toute action sur la courbe de croissance, de santé ou de quoi que ce soit qu’il s’agira d’optimiser selon l’agenda du moment. Si nous ne regretterons pas la rigidité procédurale qui pouvait caractériser jusqu’ici l’action étatique, il n’est pas certain que l’instabilité permanente dans laquelle nous plongeons soit beaucoup plus respirable.

Comment souhaitons-nous nous organiser et communiquer ensemble ? Avec quelles conséquences pour nos vies quotidiennes ? Nos socialités ? Notre environnement ? Dans quelle mesure tel choix nous rend plus libres ou plus dépendant⋅es ? Il est alors possible de toucher au caractère politique de ces questions.

Peut-on échapper à la surveillance ?

Individuellement, il est bien sûr possible de laisser son téléphone à la maison ou de désactiver le Wi-Fi et le Bluetooth de notre smartphone avant de sortir de chez nous, de manière à disparaître des radars. À l’inverse, certain⋅es hacker⋅euses proposent plutôt d’inonder les systèmes de surveillance de toutes sortes d’informations plus ou moins farfelues pour que les vraies données se retrouvent noyées dans le « bruit » [6]. Il existe aussi des systèmes d’exploitation sous licence libre, qui s’attachent à améliorer la sécurité informatique des appareils et à limiter les possibilités de surveillance. Des « ateliers d’autodéfense numérique » sont régulièrement organisés pour partager les savoirs et les pratiques sur le sujet [7]. Ces moments permettent surtout ne pas rester seul·e face aux difficultés qu’on rencontre immanquablement dès qu’on s’écarte des solutions toutes faites. Ces ateliers peuvent aussi s’organiser au sein de collectifs, d’associations ou autres, de manière à poser collectivement la question : comment souhaitons-nous nous organiser et communiquer ensemble ? Avec quelles conséquences pour nos vies quotidiennes ? Nos socialités ? Notre environnement ? Dans quelle mesure tel choix nous rend plus libres ou plus dépendant⋅es ? Il est alors possible de toucher au caractère politique de ces questions et de réaliser qu’elles méritent d’être posées à toutes les échelles. Cependant, tant que les entreprises et les gouvernements courront après les données pour mieux nous profiler et nous gérer, il nous faudra tenir le rythme. Mais sans disposer des mêmes moyens, pourrons-nous tenir la distance ? Il apparaît par exemple que des modes de surveillance basés sur la détection des odeurs corporelles sont actuellement à l’étude, témoignant une fois encore de l’absence de limite à ce qui peut faire l’objet d’une mesure et d’une analyse. Allons-nous enfiler des combinaisons d’astronaute pour nous protéger de tout type d’intrusion ?
Ou bien ne vaut-il pas mieux mettre un terme à la société de surveillance ?

Merci aux responsables de ACIC et OPERA-WGC qui ont bien voulu répondre à mes questions.

[1] À noter que les opérateurs télécom ont longtemps été légalement contraints de conserver ces données durant un an. Merci à celles et ceux qui ont lutté pour qu’un jugement européen fasse casser cette loi. Cependant, la France a déjà annoncé qu’elle contournerait cette décision, à voir donc comment la Belgique réagira… Affaire à suivre !

[2] Lire le Footfall Almanac, p. 42 et le rapport de la CNIL, p.71

[3] Cette balade concluait l’exploration menée par Kurt Tichy et Alex Zakkas, dont on peut retrouver le travail à l’adresse du lien ICI.

[4] En raison de difficultés d’exploitation des données issues des ondes (réflexion, réfraction…), la société Amoobi se concentre aujourd’hui sur l’analyse d’images issues de caméras.

[5] Voir le rapport sur le site de la STIB.

[6] À ce sujet, lire le travail de Helen Nissenbaum & Finn Brunton, Obfuscation, C&F, 2019.

[7] Ces ateliers sont généralement répertoriés sur des sites comme hackeragenda.be ou agendadulibre.org

]]> https://www.laquadrature.net/?p=18348http://isyteck.com/autoblog/quadrature/index.php5?20220125_150921_N___en_deplaise_a_la_Technopolice__les_drones_de_la_police_municipale_sont_toujours_illegauxTue, 25 Jan 2022 14:09:21 +0000La semaine dernière, nous constations amèrement l’échec de la lutte nationale contre les drones de surveillance de la police nationale et de la gendarmerie et nous appelions à la nécessité d’actions locales pour les combattre. Seule victoire, les drones de la police municipale échappent à cette large banalisation sécuritaire et demeurent interdits. Alors que la majorité de droite de la région Île-de-France s’était empressée de voter des subventions pour le déploiement de drones à destination des mairies, cette censure du Conseil constitutionnel confirme l’illégalité de la décision de la région. C’est pourquoi nous intervenons aujourd’hui au soutien d’élu·es d’Île-de-France contre le financement illégal de drones de polices municipales. L’heure est aux actions locales.

En décembre 2021, au moment de voter son budget, la région Île-de-France, dont sa présidente Valérie Pécresse est désormais candidate à l’élection présidentielle, a décidé de subventionner les drones des polices municipales. La méthode interpelle : par un amendement de dernière minute, la droite francilienne a proposé de financer les communes qui souhaiteraient équiper leurs polices de drones de surveillance. Pourtant, à cette date, aucun drone policier n’était légalisé et, au contraire, ces dispositifs demeuraient expressément interdits.

Pire ! Alors que les élu·es d’opposition alertaient de cette dérive et de l’illégalité flagrante de tels drones, le maire de l’Haÿ-les-Roses et président du groupe LR à la région, Vincent Jeanbrun, n’hésitait pas à se draper dans un tissu de mensonges pour défendre les drones : « Bien évidemment nous proposons un amendement […] qui se fonde sur le cadre de la loi. Je suis moi-même maire, la police municipale de ma commune a un drone qu’elle utilise dans le respect strict de la loi. […] Sur autorisation préfectorale, les polices municipales ont évidemment totalement le droit d’utiliser ces drones pour mieux protéger les populations. » (à partir de 7″21)

Ces affirmations péremptoires étaient non seulement fausses à ce moment-là, mais ont de plus été désavouées par la décisions du Conseil constitutionnel de la semaine dernière.

Aujourd’hui, nous sommes donc devant le tribunal administratif de Montreuil au soutien de la requête des élu·es du groupe Gauche Communiste, Écologiste et Citoyenne. Nous avons rappelé au tribunal administratif que non seulement les drones de polices municipales ne sont pas autorisés en France, mais que leur utilisation est inconcevable car radicalement disproportionnée et attentatoire aux libertés.

Mais ce coup de force sécuritaire de la majorité régionale cache également mal un projet sécuritaire qu’il est indispensable de combattre dès maintenant. La région Île-de-France n’est pas la première à financer les projets de la Technopolice en toute illégalité. Le très droitier maire de Nice, Christian Estrosi, affichait par exemple fièrement l’achat par sa ville de drones, tandis que le président de la région Auvergne-Rhône-Alpes, Laurent Wauquiez voulait autoriser la reconnaissance faciale dans les gares et les trains.

Surtout, la présidente de la région Île-de-France, Valérie Pécresse, fait, depuis plusieurs années, de la région son laboratoire expérimental (et illégal). Pendant les élections régionales de 2021, elle s’engouffrait dans une fuite en avant sécuritaire en souhaitant par exemple la légalisation de la vidéosurveillance automatisée, pourtant déjà expérimentée dans les transports. Autre obsession de la candidate : la vidéosurveillance des lycées où sont déjà déployées des centaines de caméras et pour laquelle elle souhaite centraliser les images dans un centre de supervision XXL au siège de la région, le tout sans concertation avec les lycéen·nes, leurs parents ou leurs professeur·es.

La région n’est pas compétente en matière de sécurité mais cela n’empêche pas Valérie Pécresse et toute la majorité derrière elle de faire de l’Île-de-France un laboratoire sécuritaire. Nous voilà prévenu·es : la droite régionale ne s’arrête pas à une quelconque illégalité pour faire avancer ses projets de surveillance de masse et ira vers toujours plus de déshumanisation, de solutionnisme technologique, et de contrôle social par la police. Il est temps de mettre le holà, en commençant par ses drones.

]]> https://www.laquadrature.net/?p=18335http://isyteck.com/autoblog/quadrature/index.php5?20220121_132221_Les_drones_policiers_autorises_par_le_Conseil_constitutionnelFri, 21 Jan 2022 12:22:21 +0000Le Conseil constitutionnel vient de rendre sa décision sur la loi « responsabilité pénale et sécurité intérieure ». Ce texte, adopté le 18 novembre 2021 par le Parlement, prévoyait notamment de ré-autoriser les drones policiers. Si les drones avaient été interdits à quatre reprises depuis 2020 (deux fois par le Conseil d’État, une fois par la CNIL et une fois par le Conseil constitutionnel), l’entêtement du gouvernement a porté ses fruits. Après deux années d’illégalité, les drones vont ré-occuper le ciel et restaurer la surveillance de masse.

Cette mauvaise nouvelle ne vient pas seule : le Conseil constitutionnel valide aussi les caméras embarquées sur les véhicules de police (hélicoptères, voitures…) ainsi que la vidéosurveillance des cellules de garde-à-vue. À côté, le Conseil ne prend même pas la peine d’examiner les nombreuses autres dispositions de cette loi qui s’en prennent à d’autres libertés fondamentales (amendes forfaitaires, prise d’empreintes forcée, répression des mineurs isolés, modification du régime d’irresponsabilité pénale – voir notre analyse commune avec le SAF, le SM et la LDH).

Autorisation des drones

Le Conseil constitutionnel autorise la police et la gendarmerie nationale à utiliser les drones tant pour des fins administratives que pour les enquêtes judiciaires. Par exemple, les caméras sur drones pourront être déployées au cours de manifestations et rassemblements jugés comme « susceptibles d’entraîner des troubles graves à l’ordre public », aux abords de lieux ou bâtiments « particulièrement exposés à des risques de commission de certaines infractions » ou encore dans les transports ou aux frontières.

Le Conseil constitutionnel ne trouve rien à redire sur la disproportion et l’imprécision de ces larges finalités. De même, il valide le fait que ces nouvelles mesures soient simplement autorisées par un préfet (et non un juge) qui estimera seul si ces technologies de surveillance sont nécessaires et proportionnées. En somme, la police autorisera la police à utiliser des drones selon sa propre appréciation de la nécessité de surveiller…

Tout au plus, le Conseil constitutionnel apporte quelques réserves sur la possibilité pour la police d’utiliser ces nouvelles caméras à des fins de reconnaissance faciale, mais ces limites paraissent bien dérisoires par rapport à l’utilisation déjà massivement illégale que la police en fait aujourd’hui.

Seule l’expérimentation de drones par la police municipale est censurée, freinant les fantasmes sécuritaires des maires, sans pour autant qu’une interdiction de principe ne soit clairement formulée. Le Conseil constitutionnel offre au gouvernement la possibilité de revenir avec un nouveau texte corrigeant le tir, comme il l’a fait avec cette nouvelle loi, huit mois après la censure de la loi sécurité globale.

Contrôle a posteriori

Comme on l’a vu, pour la police nationale et la gendarmerie, le Conseil constitutionnel permet aux préfets d’autoriser les drones de surveillance mais, pour la suite, le Conseil se défausse en renvoyant aux juridictions administratives le soin de contrôler au cas par cas et après coup la légalité de ces autorisations. Lorsqu’il sera saisi d’une telle affaire, le juge devra notamment vérifier si les drones étaient bien nécessaires à l’objectif poursuivi (par exemple, ne pouvait-on pas assurer autrement la sécurité d’une manifestation ?) et si le public en a été correctement informé.

Les limites de ce garde-fou sont évidentes : il faudra saisir le tribunal administratif d’un recours, et le juge saisi ne pourra évaluer l’utilisation des dispositifs de surveillance qu’a posteriori, c’est-à-dire une fois que les utilisations abusives et non nécessaires auront été autorisées par le préfet et que les atteintes à la vie privée auront été commises.

À l’inverse, nous demandions au Conseil de réaliser ce contrôle en amont et une fois pour toute : reconnaître que, de façon systématique, la nécessité des drones n’est pas démontrée et que le gouvernement ne peut qu’échouer à informer le public de leur présence. Nos demandes ont été rejetées. En renvoyant au juge le contrôle de la légalité de ces dispositifs de surveillance, le Conseil constitutionnel se défausse de son rôle de gardien des libertés et refuse de confronter les dangers propres à ces technologies, qui auraient dû le conduire à les interdire durablement.

La suite de la lutte

Depuis 2020, nous avons tenté de faire interdire les drones de façon générale : ils posent des problèmes de principe impossibles à corriger au cas par cas. Après quatre tentatives, cette stratégie avait fonctionné et les drones avaient été interdits partout en France (nous récapitulions ici les étapes de cette lutte).

Aujourd’hui, c’est cette lutte nationale qui a été perdue. Il faudra donc revenir au niveau local pour documenter et contester devant les tribunaux la nécessité et l’information de chaque drone. Inutile de se le cacher, cette lutte demandera une énergie considérable et une attention constante. La seule action de La Quadrature ne sera clairement pas suffisante. La multiplication d’initiatives locales apparaît indispensable. Nous y prendrons part à vos côtés, en organisant des espaces de coopération où échanger nos informations, nos argumentaires et nos stratégies. Plus que jamais, contre les drones policiers et leur monde, rejoignez la lutte contre la Technopolice.

]]> https://www.laquadrature.net/?p=18274http://isyteck.com/autoblog/quadrature/index.php5?20220114_151957_Ni_subventions__ni_deductibilite_fiscale__La_Quadrature_ne_tient__presque__que_par_vos_donsFri, 14 Jan 2022 14:19:57 +0000Comme pour de nombreuses autres associations, le présent quinquennat est bien chargé pour La Quadrature du Net, et les dossiers chauds ne manquent pas. Heureusement l’énergie collective et surtout les soutiens sont là ! Malgré le contexte qui dégrade certainement les moyens financiers de pas mal de personnes, nombreuses sont celles qui continuent à nous soutenir financièrement, ou qui commencent à le faire. Notre campagne de dons lancée en novembre nous a permis pour l’instant de récolter 39% de notre budget pour l’année 2022 : c’est à la fois beaucoup, et nous remercions toutes les personnes qui nous ont fait un don, mais c’est encore insuffisant pour nous assurer une année sereine, financer nos actions et payer nos salariées. Ce sont essentiellement ces dons individuels qui nous permettent de poursuivre nos actions. Petit tour d’horizon de nos financements et des choix dont ils témoignent.

Les financements de La Quadrature

Nous avons la chance de recevoir le soutien de nombreuses personnes, que ce soit par des dons financiers ou par une implication bénévole, souvent importante. Le budget de La Quadrature du Net est financé à 78% par des dons individuels, d’associations ou plus rarement de petites entreprises du numérique, le reste provenant essentiellement de soutiens de fondations.

Les dons qui nous sont fait sont souvent des petites sommes (mais comme on dit « les petits ruisseaux font les grandes rivières ») mais pas que, et nous bénéficions du soutien régulier de nombreuses donatrices et donateurs, qui nous font des dons mensuels. C’est à la fois encourageant et rassurant  Nous lançons chaque fin d’année une campagne de dons, à travers laquelle nous tentons de faire le bilan de nos actions. Petite parenthèse historique : ces dons individuels ont pris une place toujours plus importante dans les finances de La Quadrature, passant de 62% du budget en 2014 à 78% aujourd’hui. En parallèle, le soutien d’organismes privés (fondations) est lui passé de 35% en 2014 à environ 18% aujourd’hui.

A coté de cet important soutien de la communauté, nous avons donc le soutien de quelques fondations. Depuis les débuts de La Quadrature, nous avions un financement de l’Open Society Foundations, soutien que nous avons souhaité faire décroître progressivement, et qui a pris fin en septembre 2021. Depuis quatre ans, nous avons aussi un financement de la Fondation pour le Progrès de l’Homme ainsi qu’un soutien plus ponctuel du Digital Freedom Fund. Pour les deux ans à venir, nous aurons aussi le soutien de la Fondation Un Monde Par Tous. Dans tous les cas, ces organisations nous financent structurellement et suivent nos activités sans jamais se mêler de nos stratégies et de nos choix, et c’est cette liberté d’action qui pour nous permet des relations saines et fructueuses avec nos financeurs.

Nous avons par contre toujours refusé d’envisager des subventions publiques. Au vu de nos actions, et du peu de marges de manœuvre que laissent ces subventions qui ne se font plus que sur appels à projets, nous estimons en effet que cela serait trop risqué pour notre liberté d’action. Que faire par exemple si nous découvrions qu’une collectivité qui nous soutient s’équipe de drones de surveillance, au mépris de la loi ? Nous pourrions lui rendre son argent et l’attaquer, mais il nous parait plus simple de ne pas prendre ce genre de risques. Notre liberté d’action et de ton reste primordiale, y compris dans la recherche de nos financements.

C’est d’autant plus vrai maintenant que le gouvernement a fait adopter une loi « confortant le respect des principes de la République », qui vient notamment s’en prendre directement aux associations et à leurs modes de financement. Cette loi prévoit en effet que toute association qui souhaite bénéficier d’une subvention publique (qu’il s’agisse d’une aide financière ou d’une aide en nature – comme par exemple le prêt d’une salle -) devra signer un « contrat d’engagement républicain ». Ce texte prévoit un certain nombre d’obligations pour les associations, telle celle de s’abstenir de toute action portant atteinte à l’ordre public, sous peine de devoir rembourser la subvention ou de se voir refuser un agrément nécessaire à leur action. Or de nombreuses formulations de ce texte sont très générales voire floues, ce qui, comme le soulignait le Haut conseil à la vie associative dans son avis du 3 décembre dernier, « tend à confier à l’administration un pouvoir d’interprétation et de sanction très large » sur les actions des associations et des fondations. L’adoption de cette loi s’inscrit dans un contexte de pressions sur la société civile au sens large, phénomène sur lequel la Coalition Libertés associatives (dont nous sommes membres) tente d’agir.

Au final donc, ce sont bien surtout les dons individuels qui nous permettent de faire vivre l’association et de développer nos actions.

Le rescrit fiscal, par deux fois refusé à La Quadrature

Vous n’êtes certainement pas sans savoir que de manière générale les dons faits à la plupart des associations dites « d’intérêt général » sont déductibles des impôts, à hauteur de 66% du don dans la plupart des cas. C’est pourquoi certaines personnes qui nous font des dons nous demandent un reçu fiscal. Or, comme nous le précisons dans notre FAQ, les services fiscaux nous ont par deux fois refusé cette possibilité. Explications, et petit détour « juridico-fiscal » :

En théorie, toute association d’intérêt général pourrait produire des reçus fiscaux pour ses donatrices et donateurs. Mais les choses ne sont pas si simples en fait. Le code général des impôts (articles 200 et 238bis) prévoit en effet que la déductibilité fiscale ne concerne que les associations d’intérêt général exerçant des activités philanthropiques, éducatives, scientifiques, sociales, humanitaires, sportives, familiales, culturelles ou mettant en valeur le patrimoine artistique, et que les associations ayant d’autres activités ne sont pas concernées. En 2013, nous avions fait une demande pour vérifier notre statut fiscal, et la réponse des services fiscaux fut la suivante, aussi bien lors de la première demande que lors de notre demande de réexamen en 2014 : « En l’état, La Quadrature du Net peut donc être considérée comme un organisme d’intérêt général » mais « au regard de la nature de l’activité exercée, il n’apparaît pas que celle-ci présente l’un des caractères prévus par le législateur aux articles 200 et 238bis du C.G.I ». En gros, La Quadrature du Net est bien d’intérêt général mais ça ne suffit pas pour que nous puissions délivrer des reçus fiscaux.

Bon, comme vous êtes quand même nombreuses et nombreux à nous soutenir, on se dit que vous ne le faites pas pour déduire ça des impôts, mais il y a certainement des personnes que cela étonne ou dissuade. Et on en est désolées. Dans un monde idéal, nous pourrions travailler sans devoir compter pour cela sur les efforts que vous pourrez bien faire. Mais dans la situation dans laquelle nous sommes en pratique, nous sommes obligées de vous demander de contribuer sans pouvoir vous offrir cette contrepartie fiscale. Alors nous adressons un immense merci à toutes les personnes qui veulent, et peuvent, nous permettre de continuer à faire bouger les choses. Et si vous voulez nous soutenir, c’est par ici.

]]> https://www.laquadrature.net/?p=18168http://isyteck.com/autoblog/quadrature/index.php5?20211223_151836_DataJust____violer_la_loi_sous_couvert_d___experimentationThu, 23 Dec 2021 14:18:36 +0000Fin mars 2020, en plein confinement, le ministère de la justice s’autorisait à traiter massivement les données personnelles présentes dans les décisions de justice avec le fichier DataJust. L’objectif affiché : développer un obscur algorithme d’aide à la décision en matière d’indemnisation de préjudices corporels. Ici, le fantasme de la justice prédictive s’accompagne d’une dangereuse méthode : sous couvert d’expérimentation, l’État s’affranchit des lois qui protègent les données personnelles et la vie privée. Nous avions déposé un recours l’an dernier contre ce fichier. L’audience publique devant le Conseil d’État s’est tenue vendredi dernier et le rapporteur public a conclu à la validation de ce fichier.

Créé par décret le 29 mars 2020, le fichier DataJust autorise le ministère de la justice à traiter les données personnelles des justiciables contenues dans les décisions de justice en matière de dédommagement. Concrètement, les décisions non-anonymisées sont transférées des bases de données gérées par la Cour de cassation et le Conseil d’État, pour leurs besoins internes, vers un méga-fichier du ministère de la justice.

Les données personnelles traitées sont très larges : noms et prénoms des personnes mentionnées (sauf les parties), dates de naissance, genres, liens de parenté avec les victimes, lieux de résidence, informations relatives aux préjudices subis, données socio-professionnelles (situation financière, profession, statut…), données relatives à des infractions et condamnations pénales, ou encore données relatives à des fautes civiles. Mais surtout, le numéro des affaires sera également conservé, rendant toute tentative d’anonymisation des décisions impossible (il suffit de rechercher le numéro de la décision pour récupérer la version complète). Ce sont donc des données particulièrement nombreuses, et parfois sensibles, qui sont traitées par DataJust.

Mais cela n’empêche pas le ministère de la justice de s’autoriser à traiter tout cela pour des finalités bien vagues. Ainsi, le décret précise que la finalité du traitement DataJust est la mise au point d’un algorithme qui permettra de guider les magistrats et les politiques publiques. La CNIL s’inquiétait déjà de cette formulation vague. Nous avons donc contesté la validité du décret DataJust avec un premier mémoire l’année dernière et un mémoire en réplique en début de semaine dernière.

Au cours du déroulé de l’affaire, le Conseil d’État s’est bien douté que les données collectées par DataJust pourraient ne pas être nécessaires. Dans une série de questions adressées au gouvernement, il lui demandait ainsi de se justifier concernant la pertinence de traiter des données telles que les noms des personnes ou le numéro des affaires. La réponse du ministère de la justice souligne la fébrilité du gouvernement : en substance, le gouvernement répond au Conseil d’État qu’il faut traiter beaucoup de données afin de savoir lesquelles seront par la suite pertinentes…

Un précédent inquiétant par la CNIL elle-même

En résumé, le ministère de la justice explique sans honte qu’il ne sait pas à quoi l’algorithme sur lequel il est en train de travailler servira, ni sur quelles données il portera, mais s’octroie tout de même le droit de fouiller largement dans l’intimité des gens. Cela peut surprendre, mais ce n’est pas la première fois que l’on peut observer cette manière de faire.

Au début de l’année, nous dénoncions le même discours, cette fois-ci par la CNIL elle-même à propos des drones de la PPL Sécurité globale. Dans son audition devant le Sénat, la présidente de l’autorité censée protéger le droit à la vie privée donnait un mode d’emploi – illégal – pour ne pas appliquer les règles qui s’imposent au législateur en matière de respect du droit à la protection des données personnelles. Elle proposait ainsi que le Sénat pose l’étiquette de l’« expérimentation » afin de s’affranchir des règles qui exigent que tout traitement de données poursuive des finalités précisément délimitées.

On pourra citer un autre exemple de surveillance « expérimentale », celle des réseaux sociaux introduite dans la loi de finances pour 2020. Depuis que le décret d’application de cette loi est sorti en février 2021, le fisc est autorisé à surveiller les réseaux sociaux pour voir s’il n’y aurait pas quelques éléments à extirper au milieu de l’océan de données personnelles ainsi collecté. Mais soyez rassuré·e : cette surveillance n’est qu’expérimentale, le temps de savoir si l’État veut vraiment surveiller encore plus sa population…

Ce genre d’exemples pourrait malheureusement se multiplier. Rien qu’en début de semaine dernière nous annoncions un recours contre l’expérimentation de la surveillance sonore à Orléans, alors que même la CNIL (pour une fois) avait déjà conclu en 2019 que ce genre de dispositif est illégal.

Le Conseil d’État une fois encore défaillant

Le rapporteur public du Conseil d’État a toutefois conclu la semaine dernière au rejet de notre recours, validant ainsi la largesse avec laquelle le ministère de la justice s’est autorisé à analyser la vie intime des personnes (la matière très particulière des décisions de justice concernées – la responsabilité civile ou administrative – traite de moments parfois douloureux pour les victimes, notamment lorsque des dommages corporels sévères se sont produits).

Une nouvelle fois, le Conseil d’État sert l’État, jusque dans ses pulsions les plus folles. Le message envoyé au gouvernement est explicite : l’État peut jouer à l’apprenti sorcier avec la vie privée des gens, le Conseil d’État ne sera pas un obstacle.

Il ne faut toutefois pas s’arrêter à ce constat désabusé. Les institutions françaises – du législateur aux juges, en passant par les autorités administratives indépendantes comme la CNIL – sont certes souvent défaillantes, mais il reste une lutte à réinventer, d’autres juridictions – notamment européennes – à aller chercher. Pour continuer cette lutte, nous avons d’autant plus besoin de vous.

]]> https://www.laquadrature.net/?p=18090http://isyteck.com/autoblog/quadrature/index.php5?20211222_172244_Pole_Emploi____dematerialisation_et_controle_social_a_marche_forceeWed, 22 Dec 2021 16:22:44 +0000Alors qu’Emmanuel Macron veut « accélérer » la radiation des demandeurs d’emploi, Pôle emploi vient de franchir un cap dans la marche forcée vers la dématérialisation et le contrôle numérique des personnes privées d’emploi. Un travailleur sans emploi s’est vu récemment notifier sa radiation¹Les courriers échangés entre Pôle emploi et ce travailleur nous ont été communiqués à titre confidentiel. au motif que l’envoi de ses candidatures par courrier recommandé, plutôt que par internet, ne permettait pas de constater le « caractère sérieux des démarches […] entreprises pour retrouver un emploi ».

Cette situation matérialise la volonté de Pôle emploi de forcer, quoi qu’il en coûte, les personnes sans emploi à l’utilisation d’outils numériques. Une radiation ayant pour effet la suspension du versement des allocations chômage, il s’agit ici d’un véritable chantage à la survie dans lequel Pôle emploi s’est lancé dans le seul but d’accélérer la dématérialisation de ses services. Ce faisant, Pôle emploi ignore volontairement les études et rapports²Voir notamment le rapport du Défenseur des droits « Dématérialisation et inégalité d’accès aux services publics ». 2019. Disponible ici. montrant que les politiques de dématérialisation représentent un obstacle à l’accès au service public pour les personnes les plus précaires et participent ainsi à leur marginalisation.

A l’heure où les administrations françaises sont fortement encouragées³Voir par exemple les recommandations du rapport « Lutter contre les fraudes aux prestations sociales un levier de justice sociale pour une juste prestation », remis au premier ministre en 2019, disponible ici. à mettre en place des algorithmes assignant à chacun-e un « score de risque », tel que celui utilisé aujourd’hui par les CAF pour sélectionner les personnes à contrôler, les politiques de dématérialisation s’accompagnent d’un risque de renforcement de contrôle social via la collecte toujours plus fine de données personnelles.

Chantage à la dématérialisation

La lecture des courriers échangés entre ce travailleur privé d’emploi et Pôle Emploi est édifiante. Après avoir reçu un courrier d’« avertissement avant sanction pour insuffisance d’actions en vue de retrouver un emploi », le travailleur transmet à Pôle emploi les justificatifs de ses 29 candidatures envoyées par courrier recommandé.

À la réception de ces documents, le directeur de l’agence maintient sa décision de radiation et la justifie en des termes kafkaïens. Selon lui, « la fourniture de très nombreuses candidatures adressées en recommandé par voie postale » ne démontre pas une véritable recherche d’emploi dès lors que l’utilisation de courriers recommandés ne correspond plus aux « standards adoptés par les entreprises depuis de nombreuses années »⁴Ce point est d’autant plus édifiant que le travailleur en question avait déjà été contrôlé en 2017 et qu’à cette date le fait qu’il candidate par courrier était accepté par Pôle Emploi..

Au recours opposé, le directeur persiste quant à « l’absence de caractère sérieux des démarches […] entreprises », au motif que le travailleur « ne permet pas de justifier de l’impossibilité d’utiliser les modes de communication dématérialisés (téléphone portable, e-mail, ordinateur) » recommandés par l’institution afin « d’optimiser les chances de recrutement » et confirme la suspension des allocations pour une période d’un mois.

Dématérialisation et inégalités

Le chantage aux allocations mis en place par Pôle emploi pour accélérer le processus de dématérialisation est d’autant plus violent que ses dirigeant·es ne peuvent ignorer les inégalités de maîtrise et d’accès aux outils numériques. Personnes précaires, âgées, handicapées, étrangères, détenues, vivant en zone blanche : autant de publics pour lesquels la numérisation augmente les difficultés d’accès au service public.

Pour ces publics, la généralisation de la dématérialisation se traduit par une charge administrative supplémentaire accentuant leur exclusion sociale. Témoins de ces difficultés, les réclamations liées à la dématérialisation constituent un des premiers motifs de saisine du Défenseur des droits. Dans un rapport publié en 2019, ce dernier interpelle vivement les politiques sur les risques associés à une dématérialisation forcée et rappelle que « si une seule personne devait être privée de ses droits du fait de la dématérialisation d’un service public, ce serait un échec pour notre démocratie et l’état de droit ».

Il semblerait qu’à Pôle emploi ce document n’ait pas été lu, malgré les déclarations de bonne foi de son directeur général, Jean Bassère, selon lequel Pôle emploi doit « tirer parti des avancées technologiques, en veillant à ne laisser personne au bord de la route ».

Vers une dématérialisation généralisée ?

La situation décrite plus haut laisse pourtant présager de nombreux cas similaires à l’heure où Pôle emploi expérimente un « Journal de la recherche d’emploi » en Bourgogne-Franche-Comté et Centre-Val-de-Loire. Ce programme, créé en 2018 par la loi « pour la liberté de choisir son avenir professionnel », oblige tout·e demandeur·se d’emploi à déclarer en ligne ses « démarches de recherche d’emploi », et ce, une fois par mois.

Cette expérimentation vise à évaluer la possibilité de généraliser à l’ensemble du territoire l’obligation de déclaration numérique pour les chômeurs et chômeuses. Étant donné les injonctions à la rationalisation financière et la priorité politique donnée à la transformation numérique dans le plan « Action Publique 2022 » d’Emmanuel Macron, le risque est grand que Pôle emploi accepte les conséquences sociales nocives d’un tel changement et force à la dématérialisation d’un nombre croissant de ses activités d’ici quelques années.

Dématérialisation et contrôle social

Les politiques de dématérialisation comportent un risque important de renforcement du contrôle social, tout particulièrement des publics les plus précaires⁵Voir par exemple l’article d’Olivier Tesquet « Comment l’intelligence artificielle cible les plus précaires », disponible ici ou encore les travaux de Lucie Inland., via une collecte toujours plus importante de données sur les usagers·ères du service public et le recours grandissant à l’intelligence artificielle.

À une question posée par une sénatrice sur les risques d’utilisation du « Journal de la recherche d’emploi » à des fins de contrôle, notre ancienne ministre du travail a indiqué que les données collectées par cet outil généreront des « alertes » qui seront « adressées aux conseillers » de manière à « analyser les situations de décrochage ». Elle ajoute que les conseillers pourront alors « initier une demande de contrôle auprès des conseillers dédiés en charge du contrôle ». Si elle assure qu’aucun contrôle ne sera déclenché de manière entièrement automatisé, il n’en reste pas moins que ces politiques conduisent à une utilisation accrue d’outils numériques pour détecter les « mauvais-e-s » chômeurs-ses.

Le projet de loi précise que ce journal a pour objectif de « repérer les demandeurs d’emploi qui seraient en difficulté dans leur recherche d’emploi ou ne feraient pas de démarches suffisamment actives de recherche d’emploi ». Il est ailleurs fait part d’un algorithme de machine learning utilisant les donnes collectées via le journal afin de mieux « détecter l’évolution de la situation » des travailleurs sans emploi⁶On sait également que Pôle Emploi avance vers l’automatisation de l’accompagnement des demandeurs d’emploi avec le projet « Mon Assistant Personnel », un outil fondé sur des techniques d’intelligence artificielle et qui, selon des témoignages que nous avons pu recueillir, aurait octroyé à des utilisateurs·ices un score d’employabilité de zéro..

Les politiques de dématérialisation peuvent aussi servir à obstruer volontairement l’accès aux services de l’État, comme en témoigne le Défenseur des droits⁷Voir les travaux de la Cimade « Dématérialisation des demandes de titre de séjour » disponible ici et ceux du Gisti ici. lorsqu’il décrit comment certaines préfectures poussent les étrangers·ères vers l’illégalité en bloquant volontairement les demandes de prise de rendez-vous en ligne pour la demande ou le renouvellement de titres de séjours, qui constitue pourtant la seule procédure autorisée dans 30 préfectures en 2019.

Contrôle social et accès aux données personnelles

Un outil tel que le « Journal de la recherche d’emploi » est finalement à apprécier dans un contexte de développement sans précédent des politiques numériques de contrôle social depuis les années 2010. Porté par un discours néolibéral mortifère de « lutte contre l’assistanat », en vogue en cette période électorale, le renforcement institutionnel des politiques de contrôle s’est accompagné d’un accroissement du volume de données collectées sur les allocataires de prestations sociales. Ceci a été accompli via l’interconnexion de fichiers administratifs ainsi que via l’extension du droit de communication pour les agent-e-s en charge du contrôle. C’est en 2013 qu’ont été créés les premiers postes d’agent-e-s dédiés spécifiquement au contrôle à Pôle emploi..

Pôle emploi peut ainsi consulter différents fichiers détenus par des organismes sociaux incluant le fichier des prestations sociales (RNCPS), le fichier national des comptes bancaires (FICOBA) ou encore le fichier des résident-e-s étrangers-ères en France (AGDREF)⁸Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales », 2020, pp. 53-57, disponible ici..

Depuis décembre 2020, les agent-e-s de contrôle de Pôle emploi disposent par ailleurs d’un droit de communication les habilitant à obtenir des informations auprès de tiers. A ce titre, ielles peuvent accéder aux relevés bancaires, demander des informations personnelles aux employeurs-ses ou aux fournisseurs-ses de gaz et d’électricité.

Cette évolution concerne l’ensemble des organismes sociaux, et en particulier les CAF dont les droits d’accès sont encore plus étendus tant au niveau des fichiers consultables que du droit de communication⁹Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales » cité ci-dessus, pp. 53-57..

Scoring et surveillance algorithmique

En parallèle de l’extension du droit d’accès aux données personnelles, s’est développée l’utilisation par les organismes sociaux d’algorithmes de “scoring” à des fins de contrôle dont les effets (déshumanisation, harcèlement, difficultés de recours et renforcement des discriminations) sont régulièrement dénoncés¹⁰Voir les rapports du Défenseur des Droits ici et ici. Voir aussi les travaux de Lucie Inland.. Ces algorithmes assignent à chaque allocataire un “score de risque”, c’est à dire une probabilité d’être “fraudeur-se”, servant par la suite à sélectionner qui doit être contrôlé-e.

L’utilisation à grande échelle des techniques de scoring a été initiée par les CAF en 2011 et serait actuellement en développement à Pôle emploi¹¹ Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales.» Cité ci-dessus, pp. 50. Par ailleurs, si nous ne connaissons pas aujourd’hui de manière précise la façon dont les données collectées par le « journal de la recherche d’emploi » seront utilisées, la convention tripartite Etat-Unédic-Pôle emploi 2019-2022 évoque leur utilisation dans le cadre de solutions d’intelligence artificielle « d’accompagnement ».. Dans un livre passionnant intitulé « Contrôler les assistés », Vincent Dubois étudie l’impact de ces techniques sur la pratique du contrôle par les CAF¹²Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ».. Il montre, chiffres à l’appui, que l’introduction du score de risque s’est accompagnée d’un sur-contrôle des populations les plus précaires, en particulier des familles monoparentales (femmes isolées principalement), des personnes à faibles revenus, au chômage ou allocataires de minima sociaux.

S’il n’est pas possible aujourd’hui de donner une liste exhaustive des variables utilisées pour le calcul du score de risque, Vincent Dubois cite: le montant des revenus, la situation professionnelle personnelle et celle de son ou sa conjoint-e, la situation familiale (en couple, seul-e, nombre d’enfants, âge des enfants), le mode de versement des prestations sociales (virement bancaire ou non) ou encore le mode de contact avec les CAF (le fait d’appeler ou de se rendre sur place)¹³Voir Vincent Dubois, Morgane Paris et Pierre-Edouard Weil. 2018. « Des chiffres et des droits ». Disponible ici. . La Cour des comptes ajoute que sont prises en compte les variables suivantes: la nationalité de l’allocataire regroupé en trois catégories (france, UE et hors UE), le code postal ainsi que les caractéristiques socio-économiques de la commune de résidence (part des actifs-ves occupé-e-s, part d’allocataires à bas revenus…)¹⁴Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales ». Cité ci-dessus, pp. 49..

En plus des populations évoquées ci-avant, le simple fait que de telles variables aient été retenues laisse imaginer que le score de risque est plus élevé, et ainsi la probabilité d’être contrôlée, pour une personne étrangère ou pour les habitant-e-s des quartiers que pour le reste de la population.

Vincent Dubois montre finalement que dans leur très grande majorité, les sanctions prises dans le cadre d’un contrôle sont dûes à de simples erreurs de déclarations, erreurs elles-mêmes favorisées par la complexité des règles de calcul des minima sociaux… C’est dans ce cadre qu’il apparaît légitime de parler de véritables politiques numériques de harcèlement social, d’autant plus insupportables que les personnes les plus riches font l’objet d’un traitement bien plus favorables de la part des autorités. Rappelons notamment que l’État français a, sur la même période, favorisé le règlement « à l’amiable » des contentieux fiscaux¹⁵Sur ce sujet, voir Alexis Spire, « Faibles et puissants face à l’impôt », 2012.. Et ce, alors que les estimations disponibles montrent que la fraude aux prestations sociales, estimée aux alentours de 2 milliards d’euros, est marginale, en comparaison des 80 à 100 milliards d’euros de pertes dues à la fraude fiscale.

Une question européenne (et des victoires)

Ces questions se posent aussi à l’échelle européenne, à l’heure où le règlement IA est en cours de discussion. Outre les aspects sécuritaires, que nous discutions ici et ici, ce règlement ouvre aussi la porte au développement généralisé de tels systèmes¹⁶Voir le rapport d’Human Rights Watch « QA: how the EU’s flawed artifical intelligence regulation endangers the social safety net » disponible ici..

Mais l’expérience européenne offre aussi des perspectives. Aux Pays-Bas, un système de lutte contre la fraude sociale a été déclaré illégal en 2020, après avoir été attaqué par un groupe d’associations. En Pologne, c’est un algorithme utilisé sur les personnes sans-emploi qui a été déclaré inconstitutionnel en 2019. À chaque fois, les risques de discriminations, les difficultés de recours ou l’atteinte disproportionnée à la vie privée ont été dénoncées et reconnues.

Appel à témoignages

C’est dans ce cadre qu’un appel à témoignages est lancé en partenariat avec plusieurs organisations auprès de celles et ceux ayant fait l’objet d’un contrôle Pôle Emploi ou CAF ou auprès des agent·es du service public qui en ont été témoins. Nous espérons que vos témoignages nous aideront à mieux comprendre les politiques de contrôle et les algorithmes utilisés, et à documenter les pratiques abusives et discriminatoires. Sur ces sujets, la mobilisation n’en est qu’à ses débuts, et nous comptons nous y associer!

References[+]

References

↑1	Les courriers échangés entre Pôle emploi et ce travailleur nous ont été communiqués à titre confidentiel.
↑2	Voir notamment le rapport du Défenseur des droits « Dématérialisation et inégalité d’accès aux services publics ». 2019. Disponible ici.
↑3	Voir par exemple les recommandations du rapport « Lutter contre les fraudes aux prestations sociales un levier de justice sociale pour une juste prestation », remis au premier ministre en 2019, disponible ici.
↑4	Ce point est d’autant plus édifiant que le travailleur en question avait déjà été contrôlé en 2017 et qu’à cette date le fait qu’il candidate par courrier était accepté par Pôle Emploi.
↑5	Voir par exemple l’article d’Olivier Tesquet « Comment l’intelligence artificielle cible les plus précaires », disponible ici ou encore les travaux de Lucie Inland.
↑6	On sait également que Pôle Emploi avance vers l’automatisation de l’accompagnement des demandeurs d’emploi avec le projet « Mon Assistant Personnel », un outil fondé sur des techniques d’intelligence artificielle et qui, selon des témoignages que nous avons pu recueillir, aurait octroyé à des utilisateurs·ices un score d’employabilité de zéro.
↑7	Voir les travaux de la Cimade « Dématérialisation des demandes de titre de séjour » disponible ici et ceux du Gisti ici.
↑8	Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales », 2020, pp. 53-57, disponible ici.
↑9	Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales » cité ci-dessus, pp. 53-57.
↑10	Voir les rapports du Défenseur des Droits ici et ici. Voir aussi les travaux de Lucie Inland.
↑11	Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales.» Cité ci-dessus, pp. 50. Par ailleurs, si nous ne connaissons pas aujourd’hui de manière précise la façon dont les données collectées par le « journal de la recherche d’emploi » seront utilisées, la convention tripartite Etat-Unédic-Pôle emploi 2019-2022 évoque leur utilisation dans le cadre de solutions d’intelligence artificielle « d’accompagnement ».
↑12	Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ».
↑13	Voir Vincent Dubois, Morgane Paris et Pierre-Edouard Weil. 2018. « Des chiffres et des droits ». Disponible ici.
↑14	Voir le rapport de la cour des comptes « La lutte contre les fraudes aux prestations sociales ». Cité ci-dessus, pp. 49.
↑15	Sur ce sujet, voir Alexis Spire, « Faibles et puissants face à l’impôt », 2012.
↑16	Voir le rapport d’Human Rights Watch « QA: how the EU’s flawed artifical intelligence regulation endangers the social safety net » disponible ici.

]]> https://www.laquadrature.net/?p=18029http://isyteck.com/autoblog/quadrature/index.php5?20211214_124303_Surveillance_sonore____LQDN_attaque_l___experimentation_d___OrleansTue, 14 Dec 2021 11:43:03 +0000Nous venons de déposer un recours contre l’expérimentation de surveillance sonore d’Orléans.

Comme nous le décrivions la semaine dernière, la ville d’Orléans va équiper plusieurs de ses caméras de mouchards, c’est-à-dire de micros, pour détecter des sons « anormaux », ce qui avait pourtant déjà été déclaré illégal par la CNIL à Saint-Étienne il y a deux ans. Nous envoyons donc à la CNIL une copie de ce recours. Elle ne peut désormais plus rester les bras croisés face à ce nouveau genre de surveillance illégale.

Nous l’avions dénoncé la semaine dernière, à côté du déploiement de la vidéosurveillance automatisée de l’espace public se développe un autre type de surveillance algorithmique : la surveillance sonore.

Comme pour la vidéosurveillance, il s’agit de déployer des capteurs pour détecter des évènements dits « anormaux » (cris, détonations, hausse du ton de la voix…) et pouvoir orienter la police si besoin. Le plus souvent, ces capteurs sont directement liés aux caméras pour faciliter le travail des agents présents dans le centre de surveillance : les capteurs sonores les aident à diriger les caméras vers le bon endroit pour identifier la source du bruit.

Bref, une Technopolice qui ne se contente plus seulement d’épier mais qui veut désormais écouter, et réduire au silence.

Le maire d’Orléans met sa population sous écoute

La convention, signée entre Orléans et Sensivic le 12 octobre 2021, a pour objet d’autoriser l’entreprise à déployer et tester ses dispositifs de « détection de sons, en particulier la détection automatisée de bruits anormaux ». Ces derniers « demandent à être couplés à un système de sécurité, et plus particulièrement ceux s’appuyant sur un système de vidéoprotection ».

Il y est même précisé que ces dispositifs permettent « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies ». Impossible de savoir exactement ce que recouvre cette notion d’anomalies, la convention n’en donne que quelques exemples ponctués de « … » : « cris, hurlements… », ou « percussions, détonations… ». Comme tout dispositif de Technopolice, l’anormalité n’est donc jamais précisément définie et laissée à la libre interprétation de la police ou de l’entreprise privée – au dépend de la population et de l’État de droit.

Le tout est « gracieusement offert » par l’entreprise à la ville, exactement comme pour les portiques de reconnaissance faciale dans les lycées de Nice et Marseille, ou la surveillance automatisée à Valenciennes. La ville prête sa population en tant que cobaye forcée à une entreprise de surveillance pour qu’elle puisse développer ses produits et en faire la promotion.

La CNIL reste sourde

Nous l’avions aussi rappelé : la CNIL a clairement déclaré illégale une expérimentation semblable ayant lieu à Saint-Étienne (nous avions eu communication du courrier, publié ici), c’est-à-dire une expérimentation en ville de capteurs sonores de « bruits anormaux » liés à des caméras de vidéosurveillance. L’autorité avait notamment considéré qu’il n’existait aucun texte permettant le déploiement de tels dispositifs de surveillance sonore et en avait conclu à leur illégalité.

Pourtant, depuis que le projet a officiellement et fièrement été annoncé par la mairie dans la presse il y a plus de deux mois, aucune communication de la CNIL n’est sortie pour dénoncer l’illégalité du projet.

Encore plus inquiétant : le site de Sensivic revendique des expérimentations dans plusieurs villes de France, sans que ne soit à un moment précisé quel dispositif est installé et où : Menton, Rognac, Valbonne…

Le silence de la CNIL, comme de toute autorité de contrôle, nous oblige à intervenir, aussi bien devant le tribunal administratif pour faire annuler cette convention d’expérimentation que devant la CNIL directement pour la forcer à appliquer de nouveau sa décision. Alors que la CNIL aurait pu se saisir elle-même de ces affaires et mener des contrôles, nous sommes aujourd’hui contraint·es de devoir la saisir formellement d’une plainte afin de ne plus lui laisser la possibilité de se défiler.

Opacité du déploiement et du contrôle

De nouveau, l’opacité du déploiement de ces dispositif est plus qu’alarmante : où en est-on de l’installation de ces dispositifs ? L’expérimentation a-t-elle commencé ? Impossible de le savoir.

Même problématique du côté de la CNIL : la ville d’Orléans a-t-elle communiqué avec la CNIL ? L’autorité a-t-elle commencé un contrôle, y a-t-il eu un avertissement de sa part ou même des inquiétudes sur l’installation des capteurs sonores ? La CNIL n’a pas communiqué dessus. Nous lui avons adressé une demande CADA qui est pour l’instant restée sans réponse.

Les insuffisances de la CNIL en matière de surveillance de l’espace public sont criantes : pendant plusieurs années, la police aura ainsi pu utiliser illégalement des drones sans que la CNIL ne s’en émeuve le moins du monde (elle se réveillera seulement après deux décisions du Conseil d’État suite à nos actions devant les tribunaux). Rien non plus sur Veesion, cette entreprise qui surveille le comportement des personnes dans les supermarchés. La liste est longue.

Et même quand elle agit, son action n’apparaît malheureusement pas suffisante pour restreindre le déploiement de cette Technopolice. Son avis sur l’expérimentation de Saint-Étienne, bien que médiatisé, n’a aucunement empêché Sensivic de déployer ses outils en France (ou Marseille d’équiper son métro de micros).

C’est pourquoi nous déposons un recours non seulement devant la CNIL pour la forcer à faire respecter sa propre décision, mais également devant le tribunal administratif. La procédure devant le tribunal administratif nous permet d’être partie au contentieux, c’est-à-dire d’avoir accès aux pièces et de pouvoir répondre aux arguments d’Orléans et de l’entreprise – ce qu’une procédure devant la CNIL ne permet malheureusement pas.

Voilà le cœur de la Technopolice : des villes qui prêtent leur population à des entreprises pour que celles-ci perfectionnent les dispositifs de surveillance qu’elles commercialisent et des autorités de contrôle qui restent silencieuses.

Comme nous combattons la vidéosurveillance automatisée ou la reconnaissance faciale, nous attaquons les mouchards qui ne sont qu’une énième facette de la surveillance algorithmique de nos espaces de vie. Nous refusons ces machines qui veulent espionner, écouter, identifier, pour mieux faire taire et réprimer. Ne laissons aucune place à la Technopolice.

]]> https://www.laquadrature.net/?p=17995http://isyteck.com/autoblog/quadrature/index.php5?20211207_155732_Orleans____le_retour_des_mouchardsTue, 07 Dec 2021 14:57:32 +0000À Orléans, la municipalité a annoncé en octobre 2021 débuter une expérimentation consistant à équiper quatre caméras de vidéosurveillance de micros détecteurs de sons « anormaux », en partenariat avec l’entreprise Sensivic. Ces mouchards avaient pourtant été déclarés illégaux par la CNIL lorsque la ville de Saint-Étienne avait tenté d’en installer il y a deux ans.

De l’écoute urbaine couplée aux caméras

Le projet de la Mairie d’Orléans est d’installer des micros couplés aux caméras de vidéosurveillance pour que, dès qu’ils détectent un bruit « anormal », une alerte remonte au Centre de supervision urbain, c’est-à-dire dans la salle de commandement de la police où sont aussi acheminés les flux de vidéosurveillance. L’objectif de ce partenariat consiste à perfectionner ces dispositifs de détection sonore. L’argument principal de la municipalité pour ce dispositif est de dire que celui-ci respecte la vie privée, car le détecteur n’enregistrerait pas les sons mais un simple « paysage sonore ».

A la municipalité, c’est Florent Montillot (UDI), premier adjoint au maire à la sécurité qui porte ce projet. Il indique (à 3h01) que l’expérimentation est entièrement prise en charge par Sensivic, l’entreprise chargée d’installer et de gérer ces mouchards. Celle-ci cherche à améliorer et entraîner ses algorithmes afin, par exemple, de pouvoir différencier des cris de joie de ceux d’épouvante, ou d’identifier des bris de glace si une vitrine est cassée.
A noter que l’expérimentation n’a pas de durée déterminée, afin, selon Montillot, de permettre à Sensivic de faire toutes les recherches nécessaires.

La ville d’Orléans installe en effet ses détecteurs de sons anormaux pour permettre à une entreprise orléanaise de tester ses dispositifs sur ses habitant.es, l’ensemble du système étant « gracieusement » financé par ladite entreprise. Ce n’est pas sans rappeler ce qu’il se passe à Suresnes, où Two-I exerce ses algorithmes sur la population (lire notre article).

Sensivic en partenariat avec l’armée

Sensivic a été créé en 2015, à Sophia Antipolis, la technopole spécialisée en IA, et s’est depuis
installée à Orléans, au sein de Lab’O, un accélérateur de start-up numériques. Ses fondateurs, Pascale et Jean Demartini, travaillent sur leur produit principal Soundscanner depuis 2015 (voir sa fiche technique ici)



Le produit phare de l’entreprise, Soundscanner, boîtier à fixer sous les caméras.

Sensivic a aussi rejoint le projet LORIAS, un laboratoire d’innovation pour l’armée de l’air : « Le projet consiste à développer des solutions pour améliorer la collecte, la gestion et la transmission de données sensibles diffusées par des objets de « troisième dimension » (drones, capteurs, objets connectés…) » comme l’indique le journal local. Ainsi, des start-up orléanaises, dont Sensivic, travaillent pour l’armée de l’air aux côtés des champions nationaux que sont Thalès, Engie, Atos et Orange.

Pour résumer, la municipalité encourage une entreprise à tester et mettre aux points ses produits sur la population orléanaise pour le compte de l’armée française, de Thalès et d’autres.

La composition du projet LORIAS.

Tout comme à Saint-Étienne, le dispositif est illégal

Déjà en 2019, la métropole stéphanoise avait tenté de déployer un dispositif similaire, appelé cyniquement SOFT, pour Système d’Observation des Fréquences du Territoires, par l’entreprise Serenicity, une filiale de Verney-Carron, fabriquant de LBD et ami du maire de Saint-Étienne, Gaël Perdriau (voir notre article).

À l’époque, le collectif « Halte au contrôle numérique » s’était mobilisé à Saint-Étienne pour lutter contre ce projet de micros « intelligents » et qui devaient être reliés à une nuée de drones envoyés sur les lieux en cas de bruits suspects. Ils ont organisé des conférences, ateliers et déambulations sonores pour lutter contre l’écoute urbaine.

La CNIL s’est ensuite intéressée au sujet et a averti Saint-Étienne de l’illégalité de ce dispositif, considérant qu’il s’agissait d’un « traitement illicite de données à caractère personnel ». Le projet a depuis été mis aux cartons et lorsque nous avons croisé Serenicity à Milipol au mois d’octobre, celle-ci affirmait avoir complètement changé de braquet pour se spécialiser dans la cybersécurité des PME.

La nouvelle surveillance déployée à Orléans ne corrige pas les illégalités de la surveillance envisagée à Saint-Étienne, ce type de surveillance automatisée de données biométriques étant intrinsèquement contraire à la loi.

Conclusion

Des mouchards de Saint-Étienne à Orléans, le marché de la technopolice n’est jamais à court de nouveautés. Ce secteur juteux est en recherche de débouchés. Maintenant que la vidéosurveillance est largement déployée, certains aimeraient faire pulluler de nouveaux types de capteurs — ici, des micros.

Nous refusons que nos villes soient le terrain d’expérimentations d’entreprises pour améliorer leurs gadgets sécuritaires. Nous refusons d’être des cobayes pour que des start-up puissent revendre leurs technologies, sur le marché français ou pour l’armée. Nous refusons ces technologies, qui risquent ensuite d’être utilisées dans les banlieues, lors des manifestations, ou encore pour surveiller des frontières mortelles.

Rendez-vous au Labomédia à Orléans le vendredi 3 décembre à 18h30, et sur le forum Technopolice pour organiser notre refus !

]]> https://www.laquadrature.net/?p=17980http://isyteck.com/autoblog/quadrature/index.php5?20211206_152240_Retour_des_drones_policiers_____le_Parlement_doit_saisir_le_Conseil_constitutionnelMon, 06 Dec 2021 14:22:40 +0000La loi « responsabilité pénale et sécurité intérieure » a fini d’être examinée par le Parlement le 18 novembre dernier. Elle sera définitivement adoptée le 16 décembre. Elle prévoit notamment de ré-autoriser les drones policiers qui, l’an dernier, avaient été interdits par le Conseil constitutionnel lors de la censure de la loi sécurité globale.

Non seulement la nouvelle loi ne corrige aucun des graves manquements qui avaient justifié la censure de la loi sécurité globale mais, plus grave, elle en ajoute de nouveaux. Notamment, elle autorise les images captées par drones à être analysées par reconnaissance faciale, ce que la loi sécurité globale avait explicitement interdit.

En théorie, tout devrait conduire à une nouvelle censure des drones dans cette nouvelle loi. Pourtant, le Conseil constitutionnel n’a toujours pas été saisi par les parlementaires. Depuis trois semaines, nous attendons que les différents groupes de gauche réunissent les 60 député·es ou 60 sénateur·ices nécessaires pour saisir le Conseil, ce qu’ils avaient réussi à faire sans soucis contre la loi sécurité globale.

Pour une raison incompréhensible, surtout en période électorale où on attendrait de l’opposition qu’elle joue toutes ses cartes, il semble que le Parti Socialiste hésite encore à attaquer cette nouvelle loi, dont la contrariété à la Constitution est pourtant plus importante que la précédente loi qu’il n’avait pas hésité à attaquer.

Au sein de l’Observatoire des Libertés et du Numérique¹Les membres de l’OLN s’étant joints à cette analyse sont La Quadrature du Net, la Ligue des Droits de l’Homme, le Syndicat de la Magistrature et le CECIL., nous publions ci-dessous (ou en PDF) l’analyse juridique transmises aux députés et sénateurs de gauche le 16 novembre afin de les convaincre de saisir le Conseil constitutionnel (à noter qu’il s’agit d’une simple analyse juridique qui ne couvre pas l’ensemble de nos arguments politiques contre les drones policiers).

Analyse de constitutionnalité des articles 7 à 9 de la loi responsabilité pénale et sécurité intérieure

Articles 8 et 8 bis – Drones

Tout comme l’article 47 de la loi sécurité globale, les articles 8 et 8 bis autorisent la police administrative et la police judiciaire à déployer des drones de surveillance. Ces articles doivent être censurés par le Conseil constitutionnel pour deux raisons : ils échouent à présenter les garanties qui faisaient déjà défaut à l’article 47 et qui en avaient justifié la censure par le Conseil constitutionnel (I) ; ils présentent encore moins de garanties que cet article 47 (II).

I – Des garanties toujours absentes

La grande majorité des garanties qui faisaient défaut à la loi sécurité globale et qui en avait justifié la censure font aussi défaut à la nouvelle loi.

Finalités

Le Conseil constitutionnel a justifié la censure de la loi sécurité globale en rappelant la longue liste des finalités permettant la surveillance par drones (voir point 137 de sa décision).

En matière de police judiciaire et de police municipale, il faut reconnaître que le législateur a apporté quelques précisions utiles par rapport à la loi sécurité globale (par exemple, en matière municipale, la très large finalité consistant à « assurer l’exécution des arrêtés de police du maire » a été remplacée par une liste de finalités plus explicites : sécurité des événements public, régulations des transports, assistance aux personnes…).

En revanche, en matière de police administrative, la liste des finalités reste inchangée et toujours aussi excessive que le Conseil constitutionnel ne l’avait constaté pour la loi sécurité globale.

De plus, la nouvelle loi ajoute pour la police judiciaire une nouvelle finalité particulièrement large : la « recherche d’une personne en fuite ». La logique même de la fuite, couplée à la très grande mobilité des drones, est susceptible d’entraîner la surveillance de zones géographiques aussi larges qu’impossibles à anticiper.

Durée

Le Conseil a censuré de la loi sécurité globale au motif que « le législateur n’a lui-même fixé aucune limite maximale à la durée » des autorisations de déploiement des drones (point 138).

La nouvelle loi prévoit que l’autorisation rendue par le préfet en matière de police administrative ou de police municipale peut être renouvelée par le préfet tous les trois mois de façon illimitée. De même, elle prévoit que l’autorisation rendue par le procureur en matière de lutte contre les infractions ou de poursuite des personnes en fuite peut être renouvelée indéfiniment tous les mois.

Il n’y a que pour les recherches des causes de la mort ou des causes de la disparition que l’autorisation, renouvelable tous les quatre mois, est limitée par le législateur à une durée maximale de deux ans. Ce contraste souligne clairement que, en dehors de ce cas limité, les autorisations peuvent être renouvelles pour une durée à laquelle le législateur n’a fixé aucune limite maximale, contrairement aux exigences constitutionnelles.

Périmètre

De même, le Conseil a censuré la loi sécurité globale au motif que « le législateur n’a lui-même fixé […] aucune limite au périmètre dans lequel la surveillance peut être mise en œuvre » (point 138). Aujourd’hui, le législateur n’a toujours pas tenté de corriger ce manquement. La nouvelle loi continue de laisser la délimitation du périmètre surveillé à la discrétion du préfet ou du procureur sans que ce choix ne soit d’aucune façon circonscrit par la loi.

En pratique, cette absence de limitation empêchera toute autorité indépendante d’examiner au préalable la nécessité et la proportionnalité de la mesure de surveillance, contrairement à ce qu’exige le Conseil constitutionnel dans sa jurisprudence (voir décision 94-352 DC, 18 janvier 1995, §§ 6 et 12).

Par exemple, si le préfet de police autorise la surveillance par drones de l’ensemble de la région parisienne au cours des jeux olympiques de 2024, aucune autorité indépendante ne pourra examiner au préalable la nécessité de surveiller les lieux que la police choisira effectivement de surveiller. Cela permettrait par exemple aux agents de police, de leur seule décision et sans aucun contrôle extérieur préalable possible, de surveiller n’importe quelle manifestation ou local associatif situés dans la région parisienne grâce à cette autorisation. Ce n’est qu’a posteriori, une fois que l’atteinte aux libertés de la population aura été consommée et dans le cas hypothétique où elle en serait saisie, qu’une autorité extérieure pourra éventuellement examiner la mesure et demander à ce qu’elle prenne fin.

Subsidiarité

Le Conseil a censuré la loi sécurité globale au motif que le déploiement de drones ne présentait « pas un caractère subsidiaire » – autrement dit, que les drones pouvaient être déployés en l’absence de « circonstances liées aux lieux de l’opération [qui] rendent particulièrement difficile le recours à d’autres outils de captation d’image » (point 139). Cette garantie de subsidiarité fait toujours défaut dans la nouvelle loi : le préfet et le procureur ne sont toujours pas tenus de vérifier si d’autres outils moins intrusifs permettraient d’atteindre le même objectif avant d’autoriser le déploiement de drones.

Ce principe de subsidiarité est d’autant plus indispensable que l’article 10 de la directive européenne 2016/680 (dite « police-justice ») exige lui aussi que les données biométriques (telles que les images du visage) ou sensibles (tel que le fait de participer à une manifestation politique) ne puissent être traitées qu’en cas de « nécessité absolue » – autrement dit, si aucune autre mesure ne permet d’atteindre l’objectif poursuivi.

Or, dans sa décision du 22 décembre 2020 (décision n° 446155) qui a interdit les drones policiers à Paris, le Conseil d’État a lui-même souligné que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement dans les circonstances actuelles, en l’absence de recours à des drones ». Le gouvernement n’a jamais pris la peine de chercher de telles preuves : il refuse de démontrer en quoi les drones seraient « nécessaires » à l’action quotidienne de la police – et échoue d’autant plus à en démontrer la « nécessité absolue ». Tant que le gouvernement refusera d’ouvrir un tel débat, le principe de subsidiarité exigé par le Conseil constitutionnel est incompatible avec le principe même de drones de surveillance.

Information

Le Conseil constitutionnel a censuré la loi sécurité globale au motif que l’information du public concernant les caméras mouvantes « n’est pas donnée lorsque « les circonstances l’interdisent » ou lorsqu’elle « entrerait en contradiction avec les objectifs poursuivis ». De telles exceptions permettent de déroger largement à cette obligation d’informer » (point 144).

Le caractère trop large de cette dérogation a justifié de censurer les dispositions qui en bénéficiaient, notamment l’article 48 autorisant les caméras embarquées, mais la disposition qui organisait cette information a elle-même survécu pour être codifiée à l’article L242-3 du code de la sécurité intérieure. La nouvelle loi ne modifie en rien cet article L242-3 mais prévoit d’y rattacher la nouvelle disposition autorisant les drones policiers. Cette nouvelle disposition devra être censurée de la même façon que le Conseil a censuré les dispositions de la loi sécurité globale bénéficiant des mêmes dérogations.

II – Des garanties en moins

La nouvelle loi devra aussi être censurée en ce qu’elle a retiré certaines des garanties prévues par la loi sécurité globale.

Reconnaissance faciale

La nouvelle loi propose de supprimer le second alinéa de l’article L242-1 du code de la sécurité intérieure qui, créé par la loi sécurité globale au sujet des drones, interdit « l’analyse des images issues de leurs caméras au moyen de dispositifs automatisés de reconnaissance faciale ».

La nouvelle loi remplace cette ancienne interdiction générale par une disposition bien plus limitée, introduite à l’article L242-4 de ce même code : l’interdiction d’installer des logiciels de reconnaissance faciale sur les drones eux-mêmes.

En comparaison avec le droit actuel, désormais, plus rien n’empêchera les images captées par drones d’être analysées par des logiciels de reconnaissance faciale installées sur d’autres dispositifs que les drones eux-mêmes. Or, la loi prévoit déjà que les images seront transmises en temps réel aux ordinateurs du poste de commandement et, en pratique, ce sera sur ces ordinateurs que les images seront le plus facilement et le plus efficacement analysées. Cette analyse pourra notamment être un rapprochement par reconnaissance faciale avec l’une des 9 millions de photographies contenues dans le fichier de traitement des antécédents judiciaires (TAJ), tel que prévu par le décret du 4 mai 2012 – ce que la loi sécurité globale avait jusqu’alors interdit explicitement.

Intérieur des domiciles

La loi sécurité globale exigeait que les captations d’image par drones soient « réalisées de telle sorte qu’elles ne visualisent pas les images de l’intérieur des domiciles ». La nouvelle loi prévoit désormais que les drones pourront capter de telles images si cette captation est réalisée par inadvertance – si les drones « ne visent pas à recueillir les images de l’intérieur des domiciles », mais les recueillent malgré tout. La loi prévoit désormais que les images ainsi captées seront conservées 48 heures afin d’être transmises au procureur si elles révèlent une infraction.

Une telle situation n’était pas permise par la loi sécurité globale qui s’opposait tout simplement à l’existence de telles images, tel qu’exigé par le Conseil constitutionnel dans sa jurisprudence (voir par exemple sa décision 94-352 DC, point 5) ainsi que dans sa décision contre la loi sécurité globale (point 144).

Autorisation facultative

La nouvelle loi reprend la procédure d’autorisation préalable du préfet prévue par la loi sécurité globale en matière de police administrative, mais lui ajoute une nouvelle exception. Désormais, lorsque les agents de terrain considéreront que « l’urgence résultant d’une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens le requiert », ils pourront se passer de l’autorisation du préfet et faire décoller des drones de leur propre chef pour une durée de 4 heures.

Cette absence d’autorisation préalable est en totale contradiction avec les exigences dégagées par le Conseil constitutionnel en matière de surveillance vidéo : le législateur « ne peut subordonner à la diligence de l’autorité administrative l’autorisation d’installer de tels systèmes sans priver alors de garanties légales les principes constitutionnels » protégeant la liberté d’aller et venir, la vie privée et l’inviolabilité du domicile (Conseil constit., 94-352 DC, 18 janvier 1995, point 12).

C’est notamment pour cette raison que le Conseil constitutionnel a censuré les dispositions relatives aux caméras embarquées dans la loi sécurité globale : « la décision de recourir à des caméras embarquées relève des seuls agents des forces de sécurité intérieure et des services de secours » (décision 2021-817 DC, §147). Désormais, cette critique devra être étendue aux dispositions de surveillance par drones qui devront être censurées pour les mêmes raisons.

Information

Comme vu plus avant, la loi sécurité globale a ajouté un article L242-3 au code de la sécurité intérieure pour organiser la façon dont le public aurait du être informé du déploiement de drones par la police administrative, municipale ou judiciaire. Cette information prévoyait des dérogations jugées trop larges par le Conseil constitutionnel. Toutefois, aussi imparfaite était-elle, cette information avait au moins le mérite de constituer une potentielle base de travail à améliorer.

Non seulement la nouvelle loi ne corrige pas cette information (tel qu’exposé plus avant) mais, plus grave, elle en exclut désormais les drones déployés par la police judiciaire, qui ont été déplacés du code de la sécurité intérieure vers le code de procédure pénale qui ne prévoit plus la moindre information du public, ce qui était pourtant une garantie essentielle exigée par le Conseil dans sa décision contre la loi sécurité globale (point 144).

Article 9 – Caméras embarquées

L’article 9 de la nouvelle loi autorise la captation d’images à partir de caméras embarquées sur les navires, camions et voitures des autorités publiques. Pour ce faire, cet article 9 reprend presque à l’identique, en l’aggravant, l’article 48 de la loi sécurité globale que le Conseil constitutionnel avait entièrement censuré.

Absence d’autorisation

La principale raison pour laquelle le Conseil constitutionnel avait censuré l’article 48 est que, contrairement à ce que prétendait faire l’article 47 pour les drones, la loi sécurité globale ne prévoyait aucune forme d’autorisation extérieure s’agissant des caméras embarquées : «  la décision de recourir à des caméras embarquées relève des seuls agents des forces de sécurité intérieure et des services de secours. Elle n’est soumise à aucune autorisation, ni même à l’information d’une autre autorité » (point 147).

La nouvelle loi ne prétend même pas répondre à ce problème. De même que pour la loi sécurité globale, ce sont les agents qui, seuls, décideront comment et quand surveiller la population. L’article 9 de la nouvelle loi doit être censuré pour ce seul motif.

Finalités

L’article 48 de la loi sécurité globale dressait une liste explicite et exhaustive des finalités qui auraient permis de capter, de transmettre et d’exploiter les enregistrements réalisés à partir de caméras embarquées. Le Conseil constitutionnel rappelait la longue liste de ces finalités pour justifier la censure de la loi : « prévenir les incidents au cours des interventions, faciliter le constat des infractions et la poursuite de leurs auteurs par la collecte de preuves, assurer la sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public, faciliter la surveillance des littoraux, des eaux intérieures et des zones frontalières ainsi que le secours aux personnes et la lutte contre l’incendie, et réguler les flux de transport » (point 145).

Plutôt que de réduire ou de préciser cette liste, l’article 9 de la nouvelle loi change entièrement de logique : il ne prévoit plus aucune finalité, mais se contente de prévoir que les caméras embarquées pourront être activées « lorsque se produit ou est susceptible de se produire un incident ». Avec cette nouvelle logique, la loi ne décrit plus ni la nature des « incidents » justifiant la surveillance (il pourrait à la fois s’agir d’infractions, de troubles à l’ordre public, d’altercations ou de simples désaccords avec les personnes contrôlées) ni l’objectif même de cette surveillance (il pourrait à la fois s’agir de collecter des preuves pour une future enquête judiciaire, de constituer des éléments pédagogiques, de contrôler la déontologie des agents ou de participer au travail des services de renseignement, notamment en manifestation).

Seules les étapes ultérieures de transfert et d’exploitation des enregistrements sont encore limitées à certaines finalités, par ailleurs excessivement larges et vagues : assurer la « sécurité des agents » et « faciliter l’établissement fidèle des faits ». Mais l’étape initiale de captation des images, elle, échappe entièrement à la logique des finalités. Cette logique est pourtant au cœur du droit des données personnelles, qu’on retrouve tant à l’article 4 de la loi informatique et liberté (les données doivent être « collectées pour des finalités déterminées, explicites »), qu’à l’article 5 du RGPD ou à l’article 4 de la directive police-justice. Tout traitement doit décrire clairement sa finalité, à défaut de quoi il est impossible d’en évaluer la proportionnalité ou de limiter au strict minimum les données traitées. Au contraire, en pratique, l’absence de finalité explicite incite le responsable de traitement à collecter un maximum de données dans la perspective qu’elles puissent servir à une finalité qui n’a pas encore été identifiée.

L’article 9 de la nouvelle loi doit être censuré pour ce seul manquement à l’essence du droit des données personnelles – manquement dont ne souffrait pas l’article 48 de la loi sécurité globale que le Conseil constitutionnel a pourtant censuré.

Durée et périmètre

De même qu’exposé ci-avant pour les drones, le Conseil constitutionnel a censuré l’article 48 car, « si ces mêmes dispositions n’autorisent la mise en œuvre de ces caméras embarquées que pour la durée strictement nécessaire à la réalisation de l’intervention, le législateur n’a lui-même fixé aucune limite maximale à cette durée, ni aucune borne au périmètre dans lequel cette surveillance peut avoir lieu » (point 146).

Le législateur n’a pas pris la peine d’essayer de corriger ces deux manquements dans la nouvelle loi.

Intérieur des immeubles

Le Conseil constitutionnel a censuré l’article 48 au motif que les caméras embarquées pouvaient capter des images « y compris, le cas échéant, de l’intérieur des immeubles » (point 144).

De même qu’exposé ci-avant pour les drones, plutôt que de corriger ce problème, l’article 9 de la nouvelle loi prévoit désormais que, lorsque les caméras embarquées captent de telles images par inadvertance, elles sont conservées pendant 48 heures afin de pouvoir être transmise au procureur si elles révèlent une infraction.

Information

Tel qu’exposé ci-avant, le Conseil constitutionnel a censuré la loi sécurité globale au motif que l’information des personnes concernées quant aux mesures de surveillance « n’est pas donnée lorsque « les circonstances l’interdisent » ou lorsqu’elle « entrerait en contradiction avec les objectifs poursuivis ». De telles exceptions permettent de déroger largement à cette obligation d’informer.

L’article 9 de la nouvelle loi reproduit exactement ce même manquement puisqu’il prévoit de déroger à l’information du public « si les circonstances de l’intervention l’interdisent » ou s’agissant de « missions impliquant l’absence d’identification du service concerné ».

Article 7 – Caméras en cellule

L’article 7 de la nouvelle loi reprend l’article 41 de la loi sécurité globale que le Conseil constitutionnel avait entièrement censuré. Il autorise la vidéosurveillance des cellules de garde à vue et des cellules de retenue douanière – alors que l’article 41 concernait les gardes à vue et les centres de rétention administrative.

Les deux lois partagent les trois mêmes finalités : prévenir les risques d’évasion, prévenir les menaces sur la personne ou sur autrui, conserver des preuves dans le cadre de procédures judiciaires ou administratives. Les deux lois partagent aussi les mêmes modalités : enregistrement en continu, visionnage en temps réel, pare-vue supposé garantir « l’intimité de la personne tout en permettant la restitution d’images opacifiées », absence de dispositif biométrique ou de captation de son.

Le Conseil constitutionnel avait censuré l’article 41 de la loi sécurité globale pour trois manquements dont deux sont partagés avec ce nouvel article 7.

Premièrement, les dispositions de la loi sécurité globale ont été censurées car elles « permettent au chef du service responsable de la sécurité des lieux de décider du placement sous vidéosurveillance », et ce sans avoir à obtenir l’autorisation de l’autorité judiciaire (point 86). L’article 7 de la nouvelle loi offre exactement les mêmes pouvoirs au chef de la sécurité qui décidera seul du placement sous vidéosurveillance.

Deuxièmement, la loi sécurité globale a été censurée car « le traitement des images ainsi recueillies peut avoir pour finalité la collecte de preuves » (point 86). L’article 7 de la nouvelle loi prévoit que les enregistrements peuvent être « utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire » et bénéficient dans ce cadre d’une dérogation à la durée de conservation initiale de sept jours pour être conservés aussi longtemps que la procédure le requiert. Cette finalité s’inscrit exactement dans l’interdiction formulée par le Conseil constitutionnel, ce qui nécessite que la disposition soit à nouveau censurée.

Troisièmement, la loi sécurité globale a été censurée car la mise sous surveillance de 48 heures « peut être renouvelée sur la seule décision du chef de service responsable de la sécurité des lieux, et sous l’unique condition d’en informer le procureur de la République » (point 87). L’article 7 semble avoir corrigé ce manquement : la mise sous surveillance décidée par le chef de la sécurité ne dure plus que 24 heures et ne peut être renouvelée qu’avec l’autorisation du procureur.

Si cette évolution répond à l’une des trois critiques formulées par le Conseil constitutionnel, ses effets seront limités en pratique et ne suffiront pas à combler les deux autres manquement : en 2019, sur le 417 000 mesures de garde à vue recensées, 298 000 ont duré moins de 24 heures (rapport d’activité 2020 de la Contrôleure générale des lieux de privation de liberté). Ainsi, les deux manquements que la nouvelle loi n’a pas corrigés (décision arbitraire du chef de la sécurité et possibilité de collecter des preuves) continueront de concerner 71% des mesures de gardes à vue et justifient à eux seuls de censurer l’article 7 de la nouvelle loi.

References[+]

References

↑1	Les membres de l’OLN s’étant joints à cette analyse sont La Quadrature du Net, la Ligue des Droits de l’Homme, le Syndicat de la Magistrature et le CECIL.

]]> https://www.laquadrature.net/?p=17892http://isyteck.com/autoblog/quadrature/index.php5?20211118_201216_Rallumez_les_ombres__faites_un_don_a_la_Quadrature_du_NetThu, 18 Nov 2021 19:12:16 +0000Plus aucun espace de nos vies n’échappe à la surveillance.

Nos ordinateurs connectés sont truffés de pisteurs publicitaires, nos téléphones sont des mouchards de poche, les caméras dans les rues commencent à observer nos démarches et analyser nos visages.

Les lumières n’ont aujourd’hui plus aucun rapport avec la recherche de la vérité ou de la liberté : elles sont accaparées par les néons publicitaires et les projecteurs policiers. Consommer et contrôler, voilà notre vie dans la lumière crue, sous des « lumières » si puissantes qu’elles ont changé la couleur du ciel. Les organisateurs du désastre voudraient même transformer le ciel en mirador, avec leurs drones téléguidés.

Qu’est devenue l’obscurité refuge ? Où est passée la nuit apaisante ? Qui se souvient de la pénombre ? Où sont ces espaces non surveillés où nous pouvons encore parler, créer, tester, contester, être non conformes, minoritaires, libres, et tout simplement vivre ? Ils sont trop rares, trop dispersés, trop isolés, comme des poches de résistance, comme les derniers îlots d’un archipel que l’eau finira bientôt par engloutir.

La technoville automatise la police et le déni de justice, elle déshumanise les rapports sociaux et systématise la traque des ombres clandestines : caméra sur la silhouette qui peint une fresque sur un mur, projecteur sur la silhouette qui distribue du réconfort et des vivres aux âmes dont la rue est le dernier refuge.

L’assaut sécuritaire sur nos espaces communs transforme les villes, non pas en espaces publics, mais en espaces impersonnels. L’ordre imposé renforce les discriminations, muselle les mouvements sociaux, dépolitise nos rues. Ou plutôt, impose à tout propos la sécurisation policière comme politique unique.

De plus en plus de villes, de rues, de places du pays sont surveillées par les mêmes logiciels, vendus par les mêmes sociétés cyniques. Partout nos villes sont remodelées par la même logique de contrôle, de méfiance, et d’enfermement.

Nous ne pouvons pas éternellement nous cacher derrière des capuches et des messages chiffrés. Le moment est venu de reconquérir la rue, de libérer les réseaux, d’affirmer que la surveillance est caduque.

La Quadrature travaille depuis plus de dix ans pour empêcher qu’Internet ne devienne une galerie marchande surveillée par une censure arbitraire. Par l’initiative Technopolice, lancée il y a deux ans, elle tente aussi de documenter et de faire reculer la mise sous surveillance des villes et des espaces publics.

Face à la dystopie qui est notre présent, nous essayons de retisser des fragments de nuit, de recréer des espaces sans surveillance.

Aidez-nous à rallumer la nuit, faites un don à La Quadrature

COMBIEN AVEZ-VOUS DONNÉ ?

1%



Cette année nous avons besoin de rassembler 270 000 € pour que notre budget 2022 soit à l’équilibre.
Grâce à nos donatrices et à nos donateurs régulier·es, nous recevons environ 10 000 € chaque mois (120 000 € par an).
Il faut donc réunir au moins 150 000 € supplémentaires pour passer l’année 2022.
Aidez-nous !

PARLEZ DE LA CAMPAGNE AUTOUR DE VOUS











POURQUOI DONNER À LA QUADRATURE ?

Pour faire le travail qui est le sien, l’association a une fantastique équipe de membres bénévoles, mais elle a besoin d’une équipe salariée. Elle se finance grâce à vos dons.
L’association ne touche aucun argent public, mais elle reçoit des subventions, à hauteur de 18 % de son budget, de la part de plusieurs fondations philanthropiques : la FPH, DFF et, jusqu’à fin 2021, l’OSF.
Tout le reste provient de la générosité des personnes qui estiment que nos droits et nos libertés doivent être défendues sans relâche.

COMMENT DONNER ?

Vous pouvez faire un don par CB sur notre site, par chèque, ou encore par virement bancaire.
Et si vous pouvez faire un don mensuel — même un tout petit ! — n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, les dons mensuels nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
En plus, le cumul de vos dons vous donne droit à des contreparties (sac, t-shirt, sweat, etc.)

DE NOUVEAUX PALIERS POUR LES CONTREPARTIES

Notre système de contreparties fonctionne par paliers. Il faut cumuler 64 € pour un tote-bag aux couleurs de La Quadrature, 128 € pour un t-shirt et un sac, et 314 € pour un sweat, un tee-shirt et un sac.
Attention, l’envoi n’est pas automatique, il faut vous connecter et faire la demande sur votre page personnelle de donateur/donatrice.
Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et aussi parce qu’on fait tout ça nous-mêmes avec nos petites mains. Mais elles finissent toujours par arriver !

Merci encore pour votre générosité, et merci beaucoup pour votre patience <3

À QUOI SERVENT VOS DONS ?

Tout simplement à faire exister l’association.
La Quadrature du Net emploie actuellement une équipe de 7 salarié·es à plein temps. C’est encore trop peu, pour tout le travail à abattre. Quand on en parle avec nos collègues à l’étranger, l’étonnement est toujours le même : « Vous êtes aussi peu nombreux pour faire tout ça ? ».
En 2021, vos dons nous ont permis de récolter 285 000 €, soit 79 % de nos recettes. Nos dépenses pour l’année se montent à 295 000 €. Pour l’année qui vient, nous nous fixons un objectif de 270 000 € de dons.

Les dons recueillis servent principalement à payer les salaires des permanentes de l’association (85 % des dépenses). Viennent ensuite le loyer et l’entretien du local, les déplacements en France et à l’étranger (en train uniquement) et les divers frais matériels propres à toute activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).

Quand on ventile toutes les dépenses (salaires inclus) sur nos campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :



Dons de matériel

La Quadrature du Net a aussi des besoins en matériel ! Que ce soit pour des actions que nous menons, pour nous permettre de fonctionner correctement en interne, ou pour nous faciliter la vie ! Si vous avez, parmi la liste ci-dessous, du matériel que vous souhaitez nous faire parvenir, écrivez-nous sur notre adresse de contact en précisant bien :

• Quel matériel vous souhaitez donner.
• L’état du matériel (seconde main, achat neuf, fabrication artisanale, etc.).
• La quantité.
• Le mode de livraison (envoi postal, dépôt au locaux, etc.).
• Des photos quand c’est possible.

Pour des raisons d’hygiène, nous ne pouvons pas accepter des dons de nourriture, matériaux périssables, ou dangereux.

Voici la liste des besoins actuels, mise à jour le 18 novembre 2021 :

• Une imprimante A3 laser, N&B + Couleur, compatible Linux.
• Webcam HD, compatible Linux.
• Machine à café en grain (oui, bon, ça c’est en plus, mais le Garage est consommateur de café :D)
]]> https://www.laquadrature.net/?p=17733http://isyteck.com/autoblog/quadrature/index.php5?20211019_133837_69_organisations_contre_la_loi_____Drone_2____Tue, 19 Oct 2021 11:38:37 +0000Avec 69 organisations, nous publions cette lettre ouverte contre la loi « drone 2 », actuellement débattue par les sénateurs (relire notre analyse). Nous invitons vos organisations à signer notre lettre en nous écrivant à contact@laquadrature.net (objet: « signature lettre ouverte drone 2 ») et en diffusant cette lettre sur vos sites et réseaux. Merci beaucoup !

Lettre ouverte contre la loi « Drone 2 »

Le gouvernement est de retour pour autoriser les systèmes de surveillance qui, d’abord prévus dans la loi Sécurité globale, avaient été censurés par le Conseil constitutionnel en mai 2021. Cette nouvelle loi « relative à la responsabilité pénale et à la sécurité intérieure », a déjà été adoptée par l’Assemblée nationale le 23 septembre dernier. Le Sénat l’examinera le 18 octobre. Il doit la rejeter : contrairement à ce que prétend le gouvernement, ces systèmes de surveillance nuiront tant à notre liberté qu’à notre sécurité, dès lors qu’ils organisent l’escalade technologique des violences policières.

Les articles 8 et 9 autoriseront la surveillance par drone, hélicoptère et voiture. Depuis plus d’un an, la police déploie illégalement des drones pour nous surveiller, malgré deux interdictions du Conseil d’État, une sanction de la CNIL et une censure du Conseil constitutionnel. Les drones sont inutiles aux actions de médiation, d’apaisement et de dialogue avec la population. Ce sont des outils démultipliant les capacités de surveillance et de contrôle, qui facilitent avant tout les interventions violentes de la police, notamment en manifestation afin de dissuader les militant·es d’exercer leurs libertés de réunion et d’expression politique.

L’article 7 autorisera la vidéosurveillance des cellules de garde-à-vue. Le gouvernement prétend agir pour « diminuer les risques de suicide, d’automutilation, d’agression », comme s’il se souciait soudainement du bien-être des personnes qu’il réprime. Plutôt que de protéger les personnes arrêtées, il s’agira de renforcer les pressions et violences psychologiques causées contre elles par l’enfermement et une surveillance de chaque instant sans aucune garantie ni limitation sérieuse.

L’article 16 autorisera la police à recourir à la violence physique pour obtenir les empreintes digitales et la photographie des personnes suspectées d’avoir commis une infraction punissable d’au moins trois ans de prison. Cette violence pourra s’exercer contre des enfants de 13 ans, pour peu que la police les suspecte d’avoir commis une infraction punissable de cinq ans de prison. Les empreintes et photos ainsi obtenues pourront être recoupées avec les fichiers de police existants, notamment par reconnaissance faciale.

Cette loi organise un monde où les développements technologiques renforcent et justifient les violences que la police peut exercer contre la population. Cette escalade de la violence ne repose sur aucun besoin objectif qui serait soutenu par des études ou des chiffres concrets. Elle ne semble viser qu’au développement d’un État policier qui, une fois en place, ne s’encombrera pas des limites que le droit aurait tenté de lui poser (les quatre interdictions rendue l’an dernier n’ont pas empêché la police de déployer des drones, encore aujourd’hui¹Le Canard Enchaîné, 11 août 2021, Le préfet de police viole l’espace aérien, Didier Hassoux. : Capture).

Pour ces raisons, l’ensemble de ces mesures doivent être rejetées.

Ces dispositifs de surveillance ne sont pas les seuls dans cette loi susceptible de poser bien d’autres problèmes, pour aller plus loin :

• analyse de l’ensemble de la loi par le Syndicat de la Magistrature
• analyse de différents dispositifs de la loi par le Syndicat des Avocats de France
• tract et affiche proposées par La Quadrature du Net

Liste des signataires

• A.A.V.E.C.
  Association d’Acteurs Valorisant les Engagements Citoyens
• ACCAD
• L’ACCU 71
• Action Citoyenne Environnemental (ACE Hendaye)
• Altairis
• Les Amis de la Terre France
• Antanak
• Anv-Cop 21 Montpellier
• Aquilenet
• Association Résistance 5G Nantes
• Assodev-Marsnet
• ATTAC
• Cercle nantais pour une social-écologie critique
• Cliss XXI — Citoyenne et Libre Informatique Sociale et Solidaire
• Le Club de la presse Occitanie
• CNPSE
• CNT 09
• CNT Jura
• CNT-ESS34
• COAGUL
• COLL•E•C – Collectif d’Échanges Citoyens du Pays d’Aix
• Collectif 44 Nantes contre Linky
• Collectif anti-caméra de Foix
• CAN84 (Collectif Antinucléaire de Vaucluse)
• Collectif Arrêt du nucléaire
• Collectif Attention
• Collectif contre les abus policiers Bordeaux CLAP33
• Collectif Jaunes Etc 33
• Collectif de réflexion citoyenne sur les caméras de Marcillac
• Collectif Nous Personne
• Collectif Nantes1 anti-Linky5G
• Collectif Saône-Beaujolais Stop Linky-5G
• Collectif Stoplinky des Olonnes
• Collectif Stop Linky et 5G du Pays de Condé
• Collectif stop linky datagaz et 5 G de Bordeaux métropole
• Collectif Vallon d’information sur les objets connectés
• DAL- Droit au Logement
• Faucheurs volontaires d’OGM, Bretagne
• Les Faucheurs Volontaires d’OGM
• FDN
• Fédération nationale de la Libre Pensée
• Franciliens.net
• Hadoly
• Halte au contrôle numérique
• Hoga
• Illyse
• IndieHosters
• La Quadrature du Net
• Le BIB Hackerspace
• Alsace Réseau Neutre
• MCCA (Mouvement Contre le Crime Atomique)
• Orchestre Poétique d’avant-guerre – O.P.A.
• Peps pour une écologie populaire et sociale
• PRIMCODE – Sarl Marseille
• Radio Cause Commune (Paris 93.1 FM)
• RevLibre
• Saccage 2024
• Syndicat National des Journalistes
• SNJ-CGT
• Solidaires Informatique
• Stop Linky 5G Loire
• STOP LINKY COMTAT VENTOUX
• StopLinky66
• Syndicat de la Magistrature
• Technopolice
• Toile Libre
• Touraine Data Network
• L’Union communiste libertaire
• Union syndicale Solidaires

References[+]

References

↑1	Le Canard Enchaîné, 11 août 2021, Le préfet de police viole l’espace aérien, Didier Hassoux. : Capture

]]> https://www.laquadrature.net/?p=17742http://isyteck.com/autoblog/quadrature/index.php5?20211015_154035_JO_2024____la_frenesie_securitaireFri, 15 Oct 2021 13:40:35 +0000En 2024, Paris organisera les Jeux Olympiques d’été, l’occasion pour le gouvernement français et les industriels de s’allier pour tester, déployer et normaliser leur arsenal de nouveaux dispositifs de surveillance : drones, reconnaissance faciale, analyses de comportements… On revient ici sur ce que l’on sait aujourd’hui de ce projet dystopique, sur ce qui a déjà été testé et sur la résistance qui s’organise.

Les Jeux Olympiques, accélérateurs de surveillance

Les Jeux Olympiques sont depuis longtemps l’occasion d’une intensification des outils de surveillance de la population. Cela avait été le cas pour Pékin en 2008, avec un déploiement massif de caméras dans les rues et dans les transports en commun. Mais aussi à Rio de Janeiro où dès 2010, en préparation des JO de 2016, l’entreprise IBM profitait de cette occasion pour développer son Integrated Operation Centre, « Centre de commande et de coordination ». Ce centre de commande visait à agglomérer les données de la municipalité, des collectivités, des transports publics, de la météo, etc., dans le but d’obtenir de l’information en temps réel et de construire des modèles prédictifs de gestion de la ville. C’est le début du fantasme du pilotage à distance de la ville.

Enfin, les JO de Tokyo 2020 —qui ont finalement eu lieu à l’été 2021 — se positionnent comme les Jeux Olympiques ayant employé le plus de gadgets technologiques (voitures autonomes, robots, etc.) et les premières utilisations de la reconnaissance faciale. Cette dernière était prévue pour filtrer l’accès à certains lieux (en scannant les visages des athlètes, des journalistes, etc.) à l’aide d’un système fourni par l’entreprise japonaise NEC et la française Atos (également présente aux JO 2024). Plusieurs associations avaient ainsi dénoncé, en juillet 2021, le danger de la surveillance biométrique déployée à Tokyo. Si à Tokyo la reconnaissance faciale a été mise en place sur un public fortement limité par la crise sanitaire, les JO de Paris 2024 seraient le premier grand événement à déployer ce type de dispositif sur des millions de visiteurs et visiteuses.

Voici que les grands évènements deviennent des accélérateurs et transformateurs de la sécurité. Ils permettent de faire entrer dans le droit commun certaines technologies et pratiques jusqu’alors illégales, faisant ainsi sauter le verrou qui en bloquait la massification. En plein vote, la loi Drone 2 est à replacer dans le contexte des futurs Jeux Olympiques : le ministère de l’Intérieur a déjà acheté 600 drones et il voudrait pouvoir les utiliser pour les Jeux Olympiques.

Industriels et gouvernement main dans la main

Le gouvernement français ne compte pas non plus rater son rendez-vous de 2024. Michel Cadot, le délégué interministériel aux Jeux, considère ainsi que « la question de la sécurité est prioritaire » quand, de son côté, le préfet Pierre Leutaud souligne que « les innovations technologiques seront un atout majeur ». En septembre dernier, Jean-Michel Mis, député de la majorité, a rendu au Premier ministre un rapport tout entier destiné à la légalisation de ces nouveaux dispositifs de surveillance poussant à l’adoption d’une loi facilitant la surveillance biométrique pour les Jeux.

C’est encore plus franc du côté des industriels de la sécurité, qui se sont regroupés dans un comité intitulé « GICAT » — « Groupement des industries françaises de défense et de sécurité terrestre et aéroterrestre » —, un lobby de pression sur les pouvoirs publics visant à faciliter le déploiement de leurs dispositifs de surveillance. Son délégué, Gérard Lacroix, n’a aucun problème à souligner que les JO seront un enjeu essentiel pour les entreprises françaises et qu’il compte bien faire comprendre aux parlementaires la nécessité de « faire évoluer certains textes » trop restrictifs. Comprendre : les textes qui protègent les libertés.

Autres lobbies, ceux du « Comité Filière Industrielle de sécurité » pour « COFIS » (sorte de lien institutionnel entre les principales industries sécuritaires et le gouvernement) et du « Safe Cluster » (un « pôle de compétitivité des filières sécurité et sûreté »), tous deux directement à l’origine d’un site de lobby « J’innove pour les JO ».

Signalons enfin que l’État a déjà commencé à soutenir financièrement ces projets. Comme nous l’écrivions ici, l’Agence Nationale de la Recherche (ANR) a déjà financé à hauteur de plusieurs millions d’euros des expérimentations de vidéosurveillance automatisée (surveillance des réseaux sociaux, mouvements suspects, reconnaissance faciale), alors même que la plupart de ces projets sont purement illégaux.

Les préparations en amont : expérimentations en folie

Les JO se préparent de longue date et la coupe du monde de Rugby en 2023 semble se profiler pour être une sorte de répétition générale sécuritaire. Mais avant cela, il faut mettre au point les technologies, former les agent·es qui les utiliseront et anticiper les réactions du public. Il s’agit d’abord de financer, d’expérimenter en grandeur nature des technologies illégales. Alors que le cadre législatif n’autorise en aucun cas – pour l’instant – ce type de traitement des données biométriques, les industriels et les pouvoirs publics passent par le procédé très commode des « expérimentations ». Celles-ci, de par leur cadrage temporel et spatial, rendraient la surveillance (et la violation de la loi) plus « acceptable » – c’est d’ailleurs tout l’angle pris par Jean-Michel Mis dans son rapport technopolicier.

Ainsi, dès 2020, des expérimentations étaient prévues et confirmées en France, notamment pour essayer des dispositifs de reconnaissance faciale. À Metz, en 2020, un dispositif de reconnaissance faciale a ainsi été testé à l’entrée du stade, s’attirant les critiques de la CNIL (pour l’illégalité du projet) et des supporters.

Ce fut aussi le cas lors du tournoi Roland Garros, à l’automne 2020, où la Fédération Française de Tennis (FFT), en partenariat avec le Comité Stratégique de Filière « Industries de Sécurité » et l’équipe de marque des JOP 2024, a accueilli plusieurs expérimentations, comme annoncé au Sénat.

Les municipalités en profitent pour s’inscrire dans l’agenda sécuritaire

Au-delà de ces expérimentations, plusieurs collectivités s’organisent pour transformer en profondeur leur arsenal sécuritaire. C’est le cas d’Élancourt qui accueillera certaines compétitions des JO et qui a signé en 2019 un contrat avec l’entreprise GENETEC pour expérimenter de nouveaux types de vidéosurveillance. L’objectif de la ville est même de devenir une « vitrine » pour l’entreprise, avec un nouveau commissariat pour 2024.

C’est également le cas de Saint-Denis, où un centre de supervision urbain (CSU) flambant neuf a vu le jour en 2021. Le parc technique, aujourd’hui doté de 93 caméras, va être élargi pour atteindre les 400 caméras d’ici 2024 en vue des Jeux Olympiques. Et les élus planifient déjà de doter la vidéosurveillance d’intelligence artificielle pour automatiser la constatation des infractions.

Ainsi, les élu·es en profitent pour renouveler leurs dispositifs de surveillance et accélérer l’installation de technologies, surfant sur la vague sécuritaire.

Lutter contre les Jeux Olympiques et le monde qu’ils incarnent

Depuis longtemps, les Jeux Olympiques soulèvent réticences et contestations de la part des habitant·es des villes accueillant les épreuves, fissurant l’image parfaitement polie produite par le CIO et les métropoles. Au fil des années, les luttes contre les Jeux Olympiques et le monde qu’ils représentent se multiplient et se coordonnent à travers le monde.

En France, les collectifs NON aux JO 2024 et Saccage 2024 mettent l’accent sur le pillage social, écologique et sécuritaire que sont les JO 2024. La lutte s’était cristallisée autour des Jardins ouvriers d’Aubervilliers et du plan prévoyant leur remplacement par un solarium attachée à une piscine d’entraînement. Une occupation des terres avait même été lancée. Jusqu’à l’expulsion des militant·es et de la destruction de ces jardins, quelques jours avant qu’une partie du projet ne soit déclarée illégale par la justice. Des événements s’organisent, comme ici, à Aubervilliers, le 16 octobre, pour faire face à l’agression olympique qu’il s’agisse du cas d’Aubervilliers, d’autres villes ou plus généralement des questions de surveillance (lire la tribune « Non au Big Brother Olympique »).

Conclusion

La semaine prochaine s’ouvrira à Paris le salon Milipol, un des plus gros salons internationaux de sécurité intérieure. Un rendez-vous international de la répression. La crème de la technologie française s’exposera : Thalès, Evitech, Two I, Atos ou encore Idémia. Au programme notamment, un retour sur le G7 de Biarritz, considéré comme un modèle à suivre en termes de gestion de grands événements. Des inspirations pour les JO 2024 ?

]]> https://www.laquadrature.net/?p=17712http://isyteck.com/autoblog/quadrature/index.php5?20211007_143730_Carte_d___identite_biometrique____sa_genese_macronienneThu, 07 Oct 2021 12:37:30 +0000En pleine mobilisation contre le passe sanitaire, la nouvelle est passée relativement inaperçue. Elle n’est pourtant pas sans lien : depuis le mois d’août 2021, les cartes d’identité délivrées embarquent dorénavant un code en deux dimensions contenant les données d’état civil, l’adresse du domicile, les informations sur la CNIe (numéro, date de délivrance, date de fin de validité), lisible par n’importe qui, et une puce biométrique lisible pour les usages « régaliens »..

Quelques jours plus tard, la multinationale française de l’identité IDEMIA a été retenue par l’Agence nationale des titres sécurisés (ANTS) dans le cadre du programme interministériel France Identité Numérique (le but de ce marché public est de permettre de contrôler l’identité d’une personne à l’aide d’un smartphone et de la nouvelle carte d’identité électronique).

C’est dans ce contexte que nous publions un extrait d’un texte de Félix Tréguer qui revient sur un moment important dans la genèse de ces dispositifs. Il a été publié dans un ouvrage collectif paru récemment aux Éditions Amsterdam et intitulé Le Nouveau Monde ? : Tableau de la France néolibérale (éds. Popelard, A., Burlaud, A., & Rzepski, G.).

En ce mois de décembre 2016, les arguments fusent au sein du groupe de travail « Défense et sécurité » constitué autour d’Emmanuel Macron, candidat déclaré à la présidence de la République. Depuis quelques semaines, par messages interposés ¹La retranscription de ces échanges est réalisée à partir des courriers électroniques de la campagne Macron divulgués sur la plateforme WikiLeaks : https://wikileaks.org//macron-emails/emailid/55445 ;
https://wikileaks.org//macron-emails/emailid/51838 ;
https://wikileaks.org/macron-emails/emailid/54133.
Merci à la personne, qui se reconnaîtra, ayant attiré notre attention sur ce matériau., la petite équipe réfléchit à la réponse qu’il convient d’opposer au programme « sécurité » de François Fillon. Le concurrent de droite a émis le vœu d’imposer une carte d’identité biométrique aux Français ? Qu’à cela ne tienne ! Les conseillers du candidat Macron envisagent de reprendre la proposition, à l’image de François Heisbourg, expert en géopolitique et jadis directeur de Thomson CSF (devenu le géant de la défense Thales), ou encore de la commissaire Marianne Tarpin, hiérarque de la Direction générale de la sécurité intérieure (DGSI). Dans les échanges, les protagonistes insistent sur la nécessité de lutter contre la fraude à l’identité, en évoquant notamment les terroristes venus de Syrie ayant librement pu circuler à travers l’Europe à l’aide de faux-papiers, et on convient de creuser la question.

Anne Bouverot, alors présidente-directrice générale de Morpho (depuis devenu Idemia), leader français de l’identité biométrique, a récemment été cooptée par le petit groupe de conseillers. Dans une note qu’elle soumet à la réflexion collective, elle commence par souligner le coût de la carte d’identité biométrique – 2 euros l’unité, soit 140 millions d’euros environ pour l’ensemble de la population française – et invite à la faire directement payer par les citoyens. Le déploiement de cette carte permettra selon elle « une baisse de la fraude et des coûts associés », « une plus grande sécurité et [une] meilleure lutte contre le terrorisme ». Mais ce n’est pas tout : grâce à la reconnaissance faciale et aux données biométriques stockées sur la puce électronique de ce nouveau titre d’identité, une myriade d’autres usages sont également possibles, notamment pour le secteur privé. Bouverot évoque ainsi la possibilité « de valider l’identité d’une personne au moment d’une transaction numérique sécurisée : signature d’un contrat, achat d’un billet d’avion, transfert d’argent entre pays différents, etc. »

Dès le lendemain, le 12 décembre, Didier Casas, haut fonctionnaire et à l’époque directeur général adjoint de Bouygues Télécom, adresse un message à Alexis Kohler, le conseiller d’Emmanuel Macron qui deviendra secrétaire général de l’Élysée, et à Ismaël Emelien, en charge de la communication et des affaires stratégiques au sein de la campagne : l’identité biométrique, « vous achetez ou pas, franchement ? » « Honnêtement, bof », tranche Emelien quelques heures plus tard. La proposition ne figurera donc pas au programme du candidat Macron. L’identité biométrique – instaurée en France en 2009, sous la pression des États-Unis, avec la création du passeport biométrique – réalisera pourtant une percée décisive sous son mandat, que ce soit au travers de l’application pour smartphone ALICEM, expérimentée depuis juin 2019, ou de cette fameuse « carte nationale d’identité électronique » (CNIe), finalement lancée à l’été 2021.

Ces échanges, à la fois banals et remarquables, offrent un bon aperçu des processus qui président à la fuite en avant de la surveillance numérique : les intérêts à court terme des élites politiques, administratives et économiques s’entrecroisent, voire s’alignent au gré de leurs allers et retours entre public et privé, tandis que les désordres du monde et la surenchère politicienne nourrissent une escalade sécuritaire qui alimente à son tour l’industrie de la surveillance en lui assurant des débouchés. À la croisée des velléités de contrôle social, du soutien aux fleurons industriels, des tentatives de rationalisation bureaucratique et d’une propension toujours plus grande au « solutionnisme technologique », la surveillance se déploie et entretient la flambée du libéralisme autoritaire.

La suite à lire dans Le Nouveau Monde? : Tableau de la France néolibérale (éds. Popelard, A., Burlaud, A., & Rzepski, G.), paru aux Éditions Amsterdam.

References[+]

References

↑1	La retranscription de ces échanges est réalisée à partir des courriers électroniques de la campagne Macron divulgués sur la plateforme WikiLeaks : https://wikileaks.org//macron-emails/emailid/55445 ; https://wikileaks.org//macron-emails/emailid/51838 ; https://wikileaks.org/macron-emails/emailid/54133. Merci à la personne, qui se reconnaîtra, ayant attiré notre attention sur ce matériau.

]]> https://www.laquadrature.net/?p=17707http://isyteck.com/autoblog/quadrature/index.php5?20211005_115438_Reglement_IA____l___Union_europeenne_ne_doit_pas_ceder_aux_lobbys_securitairesTue, 05 Oct 2021 09:54:38 +0000Alors qu’il se prétend protecteur de nos libertés, le projet de texte sur l’intelligence artificielle de l’Union européenne, présenté par Margrethe Vestager, veut en réalité favoriser le développement tous azimuts de l’IA, notamment sécuritaire.

Grevé d’exceptions, reposant sur une approche éculée de la gestion des risques et reprenant le discours du gouvernement français sur la nécessité de multiplier les expérimentations, ce texte doit être modifié en profondeur. Dans son état actuel, il risque de mettre en danger les maigres protections légales qu’offre le droit européen face au déploiement massif de techniques de surveillance dans l’espace public.

Le 21 avril 2021, la Commission européenne a publié une proposition de règlement pour une « approche européenne » autour de l’intelligence artificielle (IA), accompagnée d’un nouveau plan de coordination devant guider l’action des États membres pour les années à venir.

Au-delà de ces effets d’annonce de l’exécutif européen, la proposition de règlement est largement insuffisante au regard des menaces que représentent les systèmes d’IA pour les libertés fondamentales. Derrière le récit héroïque que propose la Commission européenne, se dissimule une attaque sournoise contre le droit européen à la protection des données personnelles, à travers une remise en question des principes acquis du RGPD et de la directive police-justice.

Accélérer le déploiement de l’IA sécuritaire

Loin de suspendre l’ensemble des systèmes d’IA violant manifestement le droit européen (comme les systèmes de reconnaissance faciale – nous en parlions ici) cette proposition se limite dans un premier temps (article 5) à interdire quatre « usages » spécifiques, tout en offrant de larges exemptions aux autorités nationales.

Sont visées par cette fausse interdiction, en très résumé, des IA de techniques « subliminales » ou exploitant la vulnérabilité des personnes pour « altérer substantiellement leur comportement », des IA de crédit social et des IA d’identification biométrique. En réalité, ces interdictions sont si limitées [pourquoi seulement ces quatre techniques, et pas plus ?] et si mal définies qu’on aurait presque l’impression que le but de la Commission européenne est d’autoriser le maximum de dispositifs plutôt que de véritablement en interdire certains (voir notamment à ce sujet l’analyse complète d’EDRi sur le texte).

L’exemple de l’identification biométrique est particulièrement parlant (le Considérant 23 du texte nous apprend que cette partie est d’ailleurs « lex specialis », c’est-à-dire qu’elle vient remplacer le droit existant sur la question des données biométriques). Est ainsi interdite l’utilisation d’un système d’identification biométrique « en temps réel » à des fins répressives sauf s’il est utilisé pour, notamment, rechercher des « victimes potentielles spécifiques de la criminalité » ou la « prévention d’une menace spécifique, substantielle et imminente pour la vie (…) des personnes physiques » ou la « prévention d’une attaque terroriste »… On le comprend, avec des exceptions aussi larges, cette interdiction est en réalité une autorisation, et en rien une interdiction, de la reconnaissance faciale.

Reprise du discours de l’industrie sécuritaire

Cette partie vient par ailleurs inscrire dans les textes une distinction voulue par les lobbys de l’industrie sécuritaire depuis longtemps, la distinction entre une surveillance biométrique en « temps réel » et une autre « a posteriori », la seconde étant censée être moins grave que la première. Cette distinction n’a pourtant aucun fondement : quelle différence entre une reconnaissance faciale de masse pratiquée dans l’instant ou quelques heures plus tard ?

Qu’importe, pour les rédacteur·ices du texte, la surveillance « en temps réel » est présentée comme étant interdite et celle « a posteriori » autorisée par principe (article 6). Une telle distinction est surtout une belle manière de rassurer certaines polices européennes (la France en tête) qui pratiquent déjà massivement la reconnaissance faciale.

La réutilisation de l’argumentaire porté par l’industrie sécuritaire ne s’arrête d’ailleurs pas là et s’illustre également à travers les exceptions admises pour cette surveillance biométrique en temps réel. L’utilisation de la reconnaissance faciale pour retrouver des « victimes potentielles spécifiques de la criminalité » comme des « enfants disparus » ou pour prévenir une attaque terroriste était ainsi exactement ce que demandaient les politiques et l’industrie pro-sécuritaire depuis plusieurs années.

Autorisations par principe

Alors que les précédentes versions du projet de règlement visaient à proscrire les systèmes d’IA permettant une surveillance généralisée des individus (on parlait en 2020 de « moratoire »), le texte finalement avalisé par le collège des commissaires élude largement la question de la surveillance indiscriminée, suggérant que l’exécutif européen a une nouvelle fois plié face à l’agenda sécuritaire des gouvernements européens.

Cet aveu d’échec se manifeste également à travers le choix fait par la Commission européenne dans les technologies qu’elle considère ne pas mériter une interdiction mais comme étant simplement à « haut risque ». Il s’agit par exemple des technologies de détection de mensonge, d’analyse d’émotions, de police prédictive, de surveillance des frontières… La liste de ces technologies à haut risque, ainsi qu’une partie des obligations auxquelles elles devraient se conformer, ne sont d’ailleurs pas détaillées dans le corps du texte mais dans des annexes que la Commission européenne se donne le droit de modifier unilatéralement.

Ces technologies ne sont donc pas interdites mais bien autorisées par principe, et simplement sujettes à des obligations supplémentaires (articles 6 et suivants¹Voir notamment l’article 8 : « Les systèmes d’IA à haut risque respectent les exigences établies dans le présent chapitre. »).

Des analyses d’impact plutôt que des interdictions

Les garde-fous proposés pour réguler ces technologies sont largement insuffisants pour garantir un contrôle efficace de leurs usages, simplement pour la bonne raison que la plupart de ces systèmes ne font l’objet que d’un système d’auto-certification. Si cette approche, fondée sur l’analyse des risques, est destinée à rassurer le secteur privé, elle ne permet aucunement de garantir que les fournisseurs de systèmes d’IA respectent et protègent les droits humains des individus (voir à ce titre l’analyse de l’association Access Now).

La Commission européenne veut ici construire un droit de l’analyse d’impact : chaque dispositif pourra être déployé si la personne responsable a réalisé elle-même une « évaluation ex ante » de la conformité de son dispositif au droit européen. Mais les analyses d’impact ne limiteront pas le déploiement de la Technopolice. Les industriel·les et les collectivités ont l’habitude d’en faire et cela leur convient très bien. C’était le cas pour la reconnaissance faciale à Nice où la mairie avait transmis son analyse à la CNIL quelques jours avant son déploiement.

La Commission a ainsi fait un nouveau saut qualitatif dans ses efforts pour une « meilleure réglementation » en anticipant et satisfaisant, avant même le début des négociations, les campagnes de lobbying des géants du numérique au cours des années à venir.

Moins de recours pour les citoyen·nes, plus de déshumanisation

Il est également troublant d’observer qu’aucune disposition du texte n’offre de recours aux citoyen·nes vis-à-vis du déploiement de ces systèmes, la proposition se focalisant principalement sur la relation entre les entreprises fournissant ces systèmes et leurs client·es. Les quelques obligations de transparence ne visent d’ailleurs jamais la société civile mais des « autorités nationales » qu’il reste encore à désigner. Encore une fois, c’est presque déjà ce qu’il se passe en France : une grande partie des expérimentations mentionnées dans Technopolice (voir la carte) ont fait l’objet d’une communication avec la CNIL. Néanmoins, celle-ci ne rendant aucune de ces informations publiques, c’est à la société civile qu’il revient de demander la publication de ces échanges en vue de dénoncer ces dispositifs. Aucun changement n’est donc à espérer de ce côté.

La prise en compte de la société civile devrait pourtant être au cœur de l’approche européenne autour de l’intelligence artificielle, comme le rappelaient récemment des dizaines d’organisations de défense des droits humains.

Expérimenter pour normaliser

Autre preuve qu’il ne s’agit pas ici d’interdire mais, bien au contraire, de faciliter le développement de l’IA pour les grands industries, l’article 53 du règlement veut forcer les gouvernements à développer des « bacs à sable réglementaires de l’IA ». L’idée derrière : créer un environnement « qui facilite le développement, la mise à l’essai et la validation des systèmes d’IA », ou autrement dit, alléger l’industrie, notamment dans le secteur de la sécurité, des lourdes contraintes dues à la protection de nos droits et libertés pour leur permettre d’expérimenter plus facilement.

Il suffit de lire la réaction plus qu’enthousiaste d’un ancien de Thalès et d’Atos, Jean-Baptiste Siproudhis, à cette proposition, pour se douter que quelque chose ne va pas. À le voir parler des entreprises qui « deviendront demain une source principale d’inspiration directe des nouvelles normes » pour faire du règlement « une boucle du progrès », on ne peut que s’inquiéter de cette soumission du législateur aux désirs des industries.

Surtout que la situation peut encore se dégrader : plusieurs États membres veulent maintenant un texte séparé pour l’IA policière avec, on s’en doute, des interdictions encore plus floues et des exceptions encore plus larges.

Loin d’ouvrir « la voie à une technologie éthique dans le monde entier » selon les mots de la vice-présidente de la Commission Margrethe Vestager, ce plan consolide donc un agenda politique dicté par l’industrie sécuritaire où l’introduction de l’IA est nécessaire et inéluctable pour des pans entiers de la société, et repose sur une vision fantasmée et naïve de ces technologies et des entreprises qui les fournissent.

References[+]

References

↑1	Voir notamment l’article 8 : « Les systèmes d’IA à haut risque respectent les exigences établies dans le présent chapitre. »

]]> https://www.laquadrature.net/?p=17652http://isyteck.com/autoblog/quadrature/index.php5?20210927_174500_Pour_la_liberte_de_choisir_sa_connexion_a_InternetMon, 27 Sep 2021 15:45:00 +0000En Europe, nous avons récemment confirmé le droit pour toutes et tous de choisir librement la manière dont on souhaite se connecter au réseau Internet à travers  la liberté de choisir son routeur. 


Le routeur, c’est ce qu’on appelle communément une box, comme celles que proposent les fournisseurs d’accès internet, comme les Livebox ou autres Freebox. Cette box, ou routeur, est avant tout un ordinateur : c’est  elle qui va se charger d’établir un lien entre notre logement et le reste du réseau de l’opérateur, et donc Internet. D’ailleurs, que ce soit pour de la fibre, de l’ADSL ou la 4G, nous avons dans tous les cas besoin de ce routeur, qui est parfois intégré à des smartphones et ordinateurs. 


Historiquement, nous avons milité pour la neutralité du net. Un peu comme on peut envoyer une lettre, et quel que soit son contenu, elle sera livrée sans discrimination. Sur Internet, il s’agit donc de pouvoir transmettre et accéder à n’importe quelle information de la même façon. C’est l’inverse des abonnements qui incluent par exemple un accès illimité à des plateformes de vidéo, tout en limitant l’accès au reste d’Internet. Donc c’est ne pas : (1) bloquer, (2) ralentir ou (3) faire payer de manière différenciée l’accès aux contenus.


Or le routeur est un élément essentiel de cette liberté. D’une part parce que ses performances peuvent grandement impacter notre liberté de connexion ; d’autre part parce que qui contrôle cette boîte, contrôle ce qui peut passer dedans – et surtout, peut voir ce qui passe dedans, avec toutefois des limites. Utiliser HTTPS et/ou un VPN permet de limiter cette surveillance. On peut aussi mentionner l’obsolescence programmée, ou encore, le fait de nous pousser à devoir payer des fonctionnalités qui ne sont pas forcément dans notre intérêt, comme un système multimédia, ou domotique. 

Nous devons donc, comme en ce qui concerne nos ordinateurs et smartphones, pouvoir choisir nos routeurs,  et pouvoir décider des logiciels et fonctionnalités de nos routeurs. La loi Européenne le permet : c’est à présent à l’Autorité de Régulation des Communications Électroniques et des Postes (ARCEP) de faire respecter cette loi, aux opérateurs de nous laisser la liberté de choisir, et à nous de faire usage de cette liberté. On pense aussi à l’usage de logiciels libres pour cela. Au final, choisir son routeur, ou tout autre matériel informatique, ainsi que choisir un logiciel libre qui tourne dessus sont deux faces d’un même combat pour la liberté informatique.


En solidarité avec le combat de la Free Software Foundation Europe (FSFE), nous relayons donc aujourd’hui sa campagne visant à faire connaître cette possibilité de liberté. Apprenez-en plus sur leurs positions  et comment défendre cette liberté (en anglais).

« The Internet » by Martin Deutsch is licensed under CC BY-NC-ND 2.0 

]]> https://www.laquadrature.net/?p=17630http://isyteck.com/autoblog/quadrature/index.php5?20210924_143849_En_toutes_choses__il_faut_de_la_mesure____de_l___usage_de_la_telemetrieFri, 24 Sep 2021 12:38:49 +0000Dans un récent épisode du feuilleton « l’application TousAntiCovid, le pistage et nous », trois informaticiens ont publié le 19 août 2021 une analyse de risque du système de collecte de statistiques de l’application TousAntiCovid. Ils y rapportent que l’application ne remplit pas ses promesses en termes d’anonymat et de protection de la vie privée des utilisateur·ice·s : trop de statistiques d’utilisation sont collectées et envoyées au serveur.

Ces statistiques doivent permettre, comme l’annonçait le décret n° 2021-157 du 12 février 2021 décrivant les finalités de l’application TousAntiCovid, d’« adapter les mesures de gestion nécessaires pour faire face à l’épidémie et d’améliorer les performances de l’application ». Or ces données rendent aussi possibles l’identification des utilisateur·ice·s et la déduction des informations de santé les concernant.

Nous parlons régulièrement de l’usage de nos données personnelles par les entreprises à des fins commerciales ou politiques, par exemple pour sélectionner la publicité et les informations que nous recevons. Mais dans de nombreux cas, la collecte de données des utilisateur·ice·s est destinée, parfois exclusivement, à la conception et au développement des services eux-mêmes. Le recours à ce système de statistiques d’utilisation, appelé communément télémétrie, est devenue la norme dans l’industrie.

Comment et pourquoi mesure-t-on ainsi en permanence les comportements et les réactions des utilisateur·ice·s ? L’objet de cette réflexion n’est pas de déterminer si et comment la collecte d’informations peut être faite de manière à respecter rigoureusement la vie privée ou le consentement des personnes, mais bien d’interroger cette logique-même de collecter des données, en grande quantité et en permanence, à partir du cas du développement de produits dans l’industrie informatique.

Qu’est-ce que la télémétrie ?

La télémétrie est un système au sein d’un logiciel qui permet de mesurer des données relatives à son utilisation et à ses performances. Ces mesures sont ensuite transmises à distance à un service en charge de les collecter. Dans les logiciels informatiques, ces données sont utilisées afin d’informer sur le bon fonctionnement du logiciel, de manière ponctuelle ou continue (crashes de l’application, temps de démarrage, affichage de certaines pages, utilisation de certaines fonctions, etc.). La télémétrie peut aussi renseigner sur les usages des utilisateur·ice·s (quelles fonctionnalités sont utilisées ou pas, quels sont les temps d’utilisation) pour orienter les concepteur·ice·s à faire des choix d’évolution dans le logiciel.

Contrairement aux pratiques plus traditionnelles de recherche marketing et expérience utilisateur·ice telles que les entretiens en personne ou la tenue de journaux d’utilisation par écrit, cette collecte d’information à distance permet d’analyser rapidement les tendances d’utilisation, et ceci à grande échelle. Elle s’inscrit donc parfaitement dans un cycle de développement de produit court et itératif, quasiment en temps réel, qui permet de proposer des évolutions fréquentes du logiciel. Ces dernières années, cette pratique s’est imposée dans l’industrie logicielle.

Cas d’utilisation de la télémétrie

Concrètement, on retrouve de la télémétrie à peu près partout : systèmes d’exploitation, applications, logiciels tiers, qu’ils soient propriétaires ou libres. La télémétrie permet à un éditeur de logiciel de savoir comment son logiciel se comporte une fois installé et pris en main par ses utilisateur·ice·s — et vice-versa : il peut observer comment ses utilisateur·ice·s se comportent avec le logiciel. Dans le meilleur des cas, la télémétrie est soumise au consentement de ses utilisateur·ice·s et ne stocke pas de données personnelles sensibles permettant de les identifier.

Historiquement, la télémétrie a été développée en ingénierie pour mesurer le fonctionnement des machines à distance. Grâce à des capteurs électriques, on devient capable de mesurer des grandeurs physiques telles que la pression, la température ou la résistance électrique et de les transmettre. En météorologie, la radiosonde s’embarque ainsi sur des ballons et transfère des mesures de l’atmosphère. En aérospatiale, la télémétrie permet de surveiller le fonctionnement des satellites depuis la Terre. Dans le secteur de l’automobile, elle est utilisée de longue date pour optimiser les performances des voitures de course et s’invite désormais sur les modèles grand public pour recueillir des informations sur la conduite (comme le système R.S Monitor de chez Renault). Le monde médical et les recherches en sciences du vivant développent elles aussi leurs outils de biotélémétrie (par exemple pour surveiller le rythme cardiaque de patient·es).

Le développement de l’informatique, des logiciels embarqués et des objets connectés (Internet des objets, capteurs connectés) facilite l’extension de la télémétrie à de nombreux usages. Ainsi, la télémétrie d’une application sur un smartphone peut avoir accès aux données d’utilisation de l’application logicielle, mais aussi des mouvements du téléphone (accéléromètre, localisation GPS) et de l’environnement (captation sonore et vidéo).

Le monde enchanté du « data-driven »

La télémétrie s’inscrit dans un contexte où une approche dite « data-driven », ou orientation par les données, perfuse actuellement les pratiques de conception et de développement de produit et de management  : on parle ainsi de « data-driven design », « data-driven marketing », « data-driven management », « data-driven security » et ainsi de suite.

L’approche data-driven consiste à utiliser des données collectées pour prendre des décisions. À grand renfort de journaux (« logs »), d’indicateurs, d’« analytics », de statistiques d’utilisation et de tableaux de bord, l’approche data-driven a pour ambition de faciliter les prises de décision en les basant sur des données qui auraient valeur de preuves. Elle promet une méthode plus rigoureuse et plus scientifique, basée sur des faits observables plutôt que des intuitions et des opinions, afin d’éviter les conséquences dommageables des biais que les personnes en charge de prendre les décisions pourraient transmettre.

Les indicateurs (« metrics » en anglais) sont des données mesurées et mises en contexte : le nombre de visites d’un site web au mois de mars est une mesure de données, l’évolution du nombre de visites d’un mois sur l’autre est un indicateur.

Les « analytics » (littéralement « analyse de données » en anglais), quant à elles, servent à répondre à une question spécifique, ayant souvent trait au futur ( « comment obtenir plus de visites par mois ? ») à partir de l’analyse des données qui sont à disposition.

Des chiffres qui portent bonheur

Cette approche « data-driven » se superpose souvent à une démarche dite « user-centric » ou « customer-centric » qui consiste à placer l’utilisateur·ice au centre de toutes les attentions.
L’objectif est de réussir à « voir le monde à travers les yeux de ses client-e-s » comme le proclame la publicité de la solution Customer 360 de Salesforce, une entreprise proposant des logiciels de gestion de la relation client (GRC) — ou « Customer Relationship Management » (CRM) en anglais. Elle vante ainsi le fait qu’une entreprise ayant recours à de tels outils serait capable de mieux répondre aux besoins de ses client·e·s grâce à une connaissance optimisée de leurs comportements, de leurs aspirations et de leurs frustrations. Cette grande quantité d’informations détenues sur sa clientèle garantirait à l’entreprise de meilleurs résultats et de plus grands profits : « The more you know, the better you grow. » ( « >i>Plus de connaissances, c’est plus de croissance »).

La « data-driven empathy » ou « empathie des données » permettrait même, selon les promesses marketing, de « donner vie » aux données collectées afin d’anticiper les besoins et de s’adresser aux utilisateur·ice·s de manière plus « pertinente, personnelle, utile, et même enchanteuse ».
L’entreprise qui a recours à ces méthodes deviendrait ainsi capable de prédire les attentes et les comportements de chaque personne afin d’adapter automatiquement ses services de manière personnalisée : il s’agit là par excellence de la logique du capitalisme de surveillance et de la personnalisation de masse.

Comprendre ainsi comment les êtres humains se comportent, quels sont leurs objectifs et leurs aspirations, participerait in fine à l’amélioration de la vie de millions de personnes. Le data-driven serait donc, rien de moins, source de progrès et de bien-être pour l’humanité tout entière.

Le Quantified Self : une représentation de soi par les chiffres.

À une échelle plus individuelle, cette pratique de mesure et de mise en nombre du monde entre en résonance avec le mouvement du «Quantified Self  » (« mesure de soi ») et du « Self Tracking » (« auto-pistage »). Il s’agit de mesurer ses propres activités physiques, biologiques, émotionnelles et sociales pour ensuite les analyser.

La philosophie dominante du Quantified Self consiste à améliorer sa connaissance de soi par les chiffres et à s’aider à prendre des décisions pour être plus heureux·se. Ceci recouvre des pratiques diverses, par exemple le recours à des objets connectés pour mesurer et contrôler son corps et son activité  : une balance pour consulter son poids, une montre pour mesurer son activité physique quotidienne, un réveil pour surveiller la qualité de son sommeil.

Il peut également s’agir d’une forme d’empowerment et d’auto-aide pour s’appréhender soi, son corps, ses émotions, une maladie chronique, de manière indépendante ou complémentaire d’une institution médicale. La pratique du Quantified Self peut être une sorte de journal intime dont le contenu serait une succession de mesures simples plutôt que des descriptions d’expériences et d’états d’âme.

Reste un point commun entre toutes ces pratiques : le recours systématique à la mesure et à la représentation de soi par des chiffres.

Des limites méthodologiques à la collecte et au traitement des données

Quantifier le monde : une objectivité illusoire

L’approche data-driven promet une plus grande fiabilité et une meilleure efficacité des décisions, allant jusqu’à arguer d’un caractère parfaitement objectif. Les données collectées rendraient compte de « faits » équivalents à des preuves scientifiques. Pourtant, baser ses décisions sur ces données n’est pas forcément gage de cette objectivité tant recherchée.

Il faut d’abord décider quoi mesurer et comment. Or, tout ce qui est mesurable n’est pas forcément utile ou pertinent, et la décision de mesurer tel ou tel aspect de l’usage du produit influence la compréhension que l’on en a. Si l’ambition est de décrire le monde avec des chiffres, cette mise en nombre en affecte aussi la représentation et la compréhension. Le sociologue Alain Desrosières rappelle comment ce processus de mise en nombre — cette « quantification » — comprend non seulement les opérations de mesure à proprement parler, mais aussi un ensemble de conventions qui sont nécessaires pour traduire de manière numérique quelque chose qui était auparavant exprimé par des mots ¹
[Note 1]  : Alain Desrosières, Pour une sociologie historique de la quantification, Chapitre 1.
https://books.openedition.org/pressesmines/901
(consulté le 03/09/2021)
« L’idée de mesure, inspirée des sciences de la nature, suppose implicitement que quelque chose de bien réel, déjà existant, analogue à la hauteur du Mont Blanc, peut être « mesuré », selon une métrologie réaliste. En revanche, le verbe quantifier implique une traduction, c’est-à-dire une action de transformation, résultant d’une série d’inscriptions, de codages et de calculs, et conduisant à une mise en nombre. Celle-ci contribue à exprimer et faire exister sous une forme numérique, par mise en œuvre de procédures conventionnelles, quelque chose qui était auparavant exprimé seulement par des mots et non par des nombres. Pour refléter cette distinction entre la chose et son expression numérique, on parle souvent d’indicateur, par exemple pour l’inflation, le chômage, la pauvreté, les violences faites aux femmes, ou le développement humain des pays de l’ONU. »
.

Prenons un exemple : comment quantifier le bonheur ? Imaginons que l’on effectue un sondage où l’on demande aux personnes de noter à combien elles évaluent leur état de bonheur actuel sur une échelle de 0 à 10 (le sondage est ici volontairement simpliste). On leur demanderait de traduire en un seul chiffre quelque chose de complexe : s’agit-il du sentiment de bonheur global sur un an, ou sur l’heure qui vient de se passer ? Comment leur état actuel influence-t-il la perception de leur bonheur ? Est-ce que l’on parle de bonheur dans le domaine professionnel, amoureux, familial, amical, artistique ? Pour choisir un chiffre sur l’échelle de 0 à 10, chaque personne va donner consciemment et inconsciemment un poids différent à tous ces aspects : les résultats seront difficilement comparables étant donné que chaque personne va interpréter différement la question.

Or, quantifier, pour reprendre l’expression de Desrosières, c’est « convenir et mesurer » afin de pouvoir ensuite distinguer, comparer, classer des éléments entre eux. On peut donc vouloir adopter une approche basée sur des mesures plus « objectives » plutôt que l’auto-évaluation des personnes. C’est ainsi que certains tentent de calculer une sorte de « Bonheur national brut » en considérant des indicateurs comme le taux de chômage et le revenu mensuel moyen, le nombre de personnes diagnostiquées de telle ou telle maladie, le taux de personnes propriétaires de leur logement, etc. On part alors du postulat que ces éléments sont pertinents pour rendre compte de ce qui fait le bonheur des gens. Or, le choix de ces indicateurs, la manière de les calculer et de les intégrer pour constituer le score final sont autant d’éléments qui influencent quelle représentation finale du bonheur de la population on obtient.

Desrosières souligne que ces conventions de traduction, qui ont un effet sur le sens qui peut être donné à ce que l’on mesure, s’effacent ensuite bien souvent derrière les résultats obtenus et partagés : « Une fois les procédures de quantification codifiées et routinisées, leurs produits sont réifiés. Ils tendent à devenir « la réalité », par un effet de cliquet irréversible. Les conventions initiales sont oubliées, l’objet quantifié est comme naturalisé […]».
La parfaite objectivité dans le rendu du réel qui serait inhérente aux approches data-driven est donc illusoire.

Comment interpréter les données ?

Qui plus est, on risque de perdre au passage ce qui n’est « pas quantifiable ». Si on demande aux personnes du sondage sur le bonheur de répondre verbalement, il y a des chances qu’elles répondent par plusieurs phrases d’explication, accompagnées de gestes, d’expressions du visage, d’un ton de voix qui permettraient de percevoir et de mieux comprendre comment ces personnes se sentent. Bref, autant d’informations difficilement, voire pas du tout, quantifiables.
Enfin, réduire une discussion sur le bonheur à un simple score entre 0 et 10 limite fortement l’intérêt de l’échange : en effet, pourquoi cherche-t-on à mesurer le bonheur en premier lieu ? Est-ce que pour le simple plaisir d’en faire l’évaluation d’une année sur l’autre, ou pour comprendre comment vivre de manière plus agréable individuellement et collectivement ? Et dans ce cas, comment en rendre compte par des chiffres ?

Le terrain de collecte des données n’est également pas neutre. Lorsque Salesforce vend la perspective de « voir le monde à travers les yeux de ses client·e·s », ce qu’il vend vraiment est la capacité de mesurer ce que les client·e·s effectuent dans l’espace qui leur est imposé par le logiciel ou le service utilisé : or, tel service programmé par un tiers a des conséquences sur nos comportements par la manière dont ses fonctionnalités sont conçues, par le temps de réponse de l’application, par ses limitations et les bugs face auxquels nous nous adaptons. Si la télémétrie peut donner l’impression d’être à l’écoute des personnes concernées en étant au plus près d’elles, et même de leur permettre de s’exprimer comme l’avance Microsoft), celles-ci n’interviennent jamais réellement dans le processus de prise de décision vis-à-vis du produit qu’elles utilisent. Autrement dit, mesurer nos réactions dans un espace contraint ne permet pas de révéler nos aspirations sincères.

Les données doivent ensuite être interprétées correctement et être mises en contexte pour leur donner du sens. Face à la grande quantité de données rendues disponibles et collectées, ces analyses sont désormais de plus en plus automatisées (notamment par des algorithmes d’intelligence artificielle). Or leurs biais sont désormais nombreux à être documentés, notamment ceux résultant de discriminations systémiques.

De la maximisation de la productivité au contrôle sécuritaire

Construire la meilleure équipe qui soit

En entreprise, le « data-driven management  » s’appuie sur la mesure du travail et des interactions des travailleur·euse·s pour améliorer la performance des équipes. Ceci inclut les méthodes de gestion de performance tels que les « Key Performance Indicators  » (KPI) qui permettent de définir et de mesurer le succès d’une entreprise dans la poursuite de ses objectifs, ou encore les questionnaires d’enquêtes pour mesurer le degré de satisfaction des employé·e·s. L’enjeu crucial pour les entreprises est de créer des « super équipes » créatives, performantes et impliquées.

Plusieurs chercheur·euse·s au Human Dynamics Laboratory du MIT ont travaillé sur ces questions dans les années 2010. Pour eux, les caractéristiques d’un groupe performant sont quantifiables. Ils développent un badge électronique dont ils équipent les travailleur·euse·s et qui collecte des données sur leurs comportements lorsqu’ils et elles communiquent : ton de la voix, langage corporel, qui parle à qui, combien de temps, etc. Ils dissèquent chaque comportement pour mesurer ce qui constitue, par exemple, une séance de brainstorming productive.

Le développement récent de nouvelles technologies leur permet de repousser la frontière de ce qui est selon eux quantifiable dans la vie humaine. Grâce à des capteurs sans fil portables, plus sensibles, plus petits et capables de collecter un nombre grandissant de données, ils observent et mesurent chaque interaction. Les badges « génèrent plus de cent captures de données par minute et fonctionnent de manière suffisamment discrète pour que nous soyons confiants sur le fait que nous mesurons des comportements naturels. (Nous avons documenté une période d’ajustement aux badges : au début, les personnes semblent être conscientes qu’elles le portent et agissent de façon peu naturelle, mais l’effet se dissipe généralement dans l’heure qui suit.) ». ²
[Note 2] : Alex « Sandy » Pentland, The New Science of Building Great Teams, Apr 2012
https://hbr.org/2012/04/the-new-science-of-building-great-teams
(consulté le 03/09/2021)
« […] generate more than 100 data points a minute and work unobtrusively enough that we’re confident we’re capturing natural behavior. (We’ve documented a period of adjustment to the badges: Early on, people appear to be aware of them and act unnaturally, but the effect dissipates, usually within an hour.) »

Ces mesures leur permettent ensuite d’anticiper, par exemple, les performances d’une équipe. Il s’agit ainsi de développer le pouvoir de connaissance et de prédiction à l’échelle de l’entreprise toute entière.

Mesuré·e, quantifié·e — c’est-à-dire réduit·e à des chiffres et des indicateurs —, l’employé·e data-driven n’a pour seule fonction que de maximiser ses performances et la plus-value qu’il ou elle produit pour le bénéfice d’une entreprise qui aspire à une omniscience quasi-divine. Et s’il faut pour cela mesurer également le bien-être émotionnel de ses employé·e·s, afin d’optimiser leur bonheur pour qu’ils et elles soient plus productives, ainsi soit-il.

Surveiller au travail, et au-delà

Cette logique de contrôle qui se pare des voiles d’une productivité joyeuse et épanouissante peut également servir à une surveillance répressive des salarié·e·s. Amazon se distingue régulièrement en la matière, par exemple avec la surveillance des conducteur·ice·s de camions de livraisons par un logiciel d’intelligence artificielle aux États-Unis, l’usage d’un logiciel qui suit automatiquement l’activité de chaque personne en mesurant le nombre de colis scannés et qui peut décider de licencier automatiquement les moins productives ou encore, en 2018, le dépôt de deux brevets pour un bracelet permettant de surveiller les mouvements des mains des employé·e·s dans les entrepôts.

Plus récemment, l’entreprise états-unienne Teleperformance, dans le contexte du travail à distance imposé par les mesures contre la pandémie de covid-19, a fait pression sur les personnes qu’elle emploie afin qu’elles acceptent d’être surveillées chez elles. Apple, quant à elle, d’après une fuite interne datant de juin 2021, équiperait certaines de ses équipes de caméras corporelles semblables aux modèles utilisés par la police dans le but de les empêcher de divulguer des informations confidentielles.

La logique de la surveillance à des fins sécuritaires encourage le déploiement d’outils visant à mesurer les personnes et les comportements dans l’espace public aussi bien que privé. C’est le mythe de la « Smart City » décortiqué récemment dans l’un de nos articles ou encore les expérimentations de la vidéosurveillance biométrique dans les supermarchés pour détecter les vols.

Mesurer les comportements des utilisateur·ice·s d’un logiciel pour améliorer le produit et maximiser les profits de l’entreprise ; mesurer les comportements des travailleur·se·s pour contrôler leur productivité, quitte à s’inviter dans la sphère privée lorsque le travail se fait depuis chez soi ; mesurer les comportements jugés illégaux ou anormaux dans l’espace public afin d’assurer l’ordre public. Que cela soit à des fins de profits ou à des fins sécuritaires, il s’agit à chaque fois de la même logique : collecter des données, beaucoup de données ; en automatiser l’analyse, au moyen notamment de logiciels d’intelligence artificielle ; les utiliser comme outil de contrôle et de prédiction des comportements humains, selon des critères décidés par les personnes qui détiennent le pouvoir et qui n’hésitent pas à citer en modèle le regard omniscient de Dieu sur l’univers :

« Nous commençons à créer ce que j’appelle la « vision de Dieu » d’une organisation. Bien qu’elle puisse sembler d’ordre spirituel, cette vision s’appuie sur des preuves et des données. C’est une vision magnifique et elle va changer la manière dont les organisations fonctionnent.  » ³[Note 3] Alex « Sandy » Pentland, The New Science of Building Great Teams, Apr 2012 https://hbr.org/2012/04/the-new-science-of-building-great-teams (consulté le 03/09/2021) « We are beginning to create what I call the “God’s-eye view” of the organization. But spiritual as that may sound, this view is rooted in evidence and data. It is an amazing view, and it will change how organizations work. »

« Il y a chez LEIBNIZ cette hypothèse que « Dieu calcule pour nous le meilleur monde possible » et il y a donc quelque chose d’une option presque prométhéenne qui nous permet de revisiter la conception du monde de LEIBNIZ à travers l’intelligence artificielle qui nous donnerait la capacité de réaliser nous-mêmes ce calculet à travers en effet des machines apprenantes de pouvoir parcourir beaucoup plus rapidement les chemins du malheur pour choisir le bon chemin beaucoup plus tôt et beaucoup plus rapidement. C’est prométhéen dans ce que cela comporte d’ambivalence, c’est une chance inouïe d’accélérer le calcul réservé à Dieu chez LEIBNIZ, c’est une responsabilité énorme d’avoir dans notre main cette possibilité de le faire. »

Emmanuel Macron, Discours du Président de la République sur l’intelligence artificielle, 29 mars 2018

Un monde sans mesure ?

Pourquoi donc ne voudrions-nous pas de ce monde quantifié, mesuré « objectivement » qui nous livrerait avec un haut degré de certitude et de précision une représentation de notre réalité, comment nous nous comporterions, comment nous ressentirions et quelles seraient les prochaines actions ou comportements que nous devrions adopter pour faire progresser le bonheur et le bien-être de l’humanité ?

Si d’aventure nous résistons aux méthodes data-driven, alors c’est que nous serions dans le déni et que nous préférerions les bonnes histoires aux faits vérifiables et bien tangibles. Bref, que nous serions réfractaires aux lumières rationnelles que les données nous apportent.

Il ne s’agit pas pour autant de dénier à ces méthodes certains de leurs intérêts. À une collecte effrénée de plus en plus de données, peut être opposée une pratique de collecte minimaliste, réduite au strict nécessaire, limitée dans le temps et soumise systématiquement au consentement des utilisateur·ice·s au cas par cas. On peut également penser à la collecte de données à des fins d’intérêt partagé — comme la protection de la vie privée ou de l’intégrité des personnes — avec la question de la gestion responsable et collective de ces données. Enfin certain·e·s mettent en œuvre une approche critique d’analyse des données et parlent de décisions data-informed plutôt que data-driven. Il s’agit tout compte fait d’appliquer les principes de la démarche scientifique : formuler des hypothèses basées sur l’intuition, l’expérience ou une observation et chercher à les vérifier en testant. L’analyse manuelle ou automatisée de données est l’un des moyens possibles pour vérifier ces idées.

Refuser le meilleur des mondes

Il s’agit donc, certes, de poser la question de la finalité de la collecte des données, mais également celle du modèle politique de la société que la télémétrie effrénée participe à façonner : un environnement rassurant, sécurisé, bien calibré, où tout serait anticipable et anticipé. C’est-à-dire un monde qui contraindrait des caractéristiques profondément humaines et volatiles : la spontanéité, l’imprédictibilité des émotions, l’imagination et l’expérimentation.

Pour lutter contre, encourageons-nous à faire des expériences inattendues, justement. Pourquoi pas en (ré)-introduisant du hasard et de l’imprédictibilité dans nos comportements, par exemple sur le modèle des personnages « fous » qui jettent leurs dés chaque fois qu’ils doivent prendre une décision sur le plateau-monde de jeux d’échecs imaginé par les bédéistes Ulysse et Gaspar Gry. À l’instar de la méthode de test « monkey testing », qui consiste à utiliser un logiciel de manière aléatoire pour en éprouver les réactions, certaines attaques en sécurité informatique pourraient, assez ironiquement, nous servir d’inspiration pour déjouer les prédictions des systèmes automatisés : car « modifier légèrement les données de manière malveillante détériore considérablement la capacité prédictive du modèle ».

Comment créer autrement des outils et des technologies véritablement à notre service ? Une donnée est une information que quelque chose est arrivé, un fait. La connaissance, elle, désigne la conscience et la compréhension que l’on peut avoir de quelque chose ou de quelqu’un. Il s’agirait alors de nous détourner de ces « données » unitaires et parcellaires pour favoriser la compréhension par la communication directe et l’écoute de ce que les gens ont à partager. Citons ainsi pour finir les mots de Josh Andrus, designer UX :

«  Pour résoudre un problème pour n’importe quel groupe d’êtres humains, nous devons nous familiariser avec leur environnement, comprendre la manière dont ils et elles voient le monde. L’art de ré-équilibrer les positions de pouvoir dans n’importe quelle relation est la clé pour créer une expérience sûre, libre, inclusive, équilibrée dans laquelle toutes les personnes participent pleinement. […] Si nous pouvons nous concentrer à faire en sorte que les gens se sentent entendus, compris, et à créer un lien émotionnel durable, nos objectifs globaux d’obtenir les informations les plus sincères et les plus exactes possibles à propos des comportements et des attitudes de l’utilisateur·rice viendront de manière authentique et naturelle. » ⁴
[Note 4] :
Josh Andrus, Making a Real Connection to Users, Nov 17, 2020
https://uxdesign.cc/making-a-real-connection-to-users-75fd64053dea
(consulté le 03/09/2021)
« To solve a problem for any group of people, we need to make ourselves familiar with their environnement and understand the way they see the world. The art of balancing power in any relationship is key to creating a safe free, inclusive, balanced journey in which all members fully participate.
[…] If we can focus on making people feel heard, understood, and create a lasting emotional connection, our overarching goals to get the most honest and accurate information about the user’s behaviors and attitudes will come a genuine and natural place. »

References[+]

References

↑1	[Note 1]  : Alain Desrosières, Pour une sociologie historique de la quantification, Chapitre 1. https://books.openedition.org/pressesmines/901 (consulté le 03/09/2021) « L’idée de mesure, inspirée des sciences de la nature, suppose implicitement que quelque chose de bien réel, déjà existant, analogue à la hauteur du Mont Blanc, peut être « mesuré », selon une métrologie réaliste. En revanche, le verbe quantifier implique une traduction, c’est-à-dire une action de transformation, résultant d’une série d’inscriptions, de codages et de calculs, et conduisant à une mise en nombre. Celle-ci contribue à exprimer et faire exister sous une forme numérique, par mise en œuvre de procédures conventionnelles, quelque chose qui était auparavant exprimé seulement par des mots et non par des nombres. Pour refléter cette distinction entre la chose et son expression numérique, on parle souvent d’indicateur, par exemple pour l’inflation, le chômage, la pauvreté, les violences faites aux femmes, ou le développement humain des pays de l’ONU. »
↑2	[Note 2] : Alex « Sandy » Pentland, The New Science of Building Great Teams, Apr 2012 https://hbr.org/2012/04/the-new-science-of-building-great-teams (consulté le 03/09/2021) « […] generate more than 100 data points a minute and work unobtrusively enough that we’re confident we’re capturing natural behavior. (We’ve documented a period of adjustment to the badges: Early on, people appear to be aware of them and act unnaturally, but the effect dissipates, usually within an hour.) »
↑3	[Note 3] Alex « Sandy » Pentland, The New Science of Building Great Teams, Apr 2012 https://hbr.org/2012/04/the-new-science-of-building-great-teams (consulté le 03/09/2021) « We are beginning to create what I call the “God’s-eye view” of the organization. But spiritual as that may sound, this view is rooted in evidence and data. It is an amazing view, and it will change how organizations work. »
↑4	[Note 4] : Josh Andrus, Making a Real Connection to Users, Nov 17, 2020 https://uxdesign.cc/making-a-real-connection-to-users-75fd64053dea (consulté le 03/09/2021) « To solve a problem for any group of people, we need to make ourselves familiar with their environnement and understand the way they see the world. The art of balancing power in any relationship is key to creating a safe free, inclusive, balanced journey in which all members fully participate. […] If we can focus on making people feel heard, understood, and create a lasting emotional connection, our overarching goals to get the most honest and accurate information about the user’s behaviors and attitudes will come a genuine and natural place. »

]]> https://www.laquadrature.net/?p=17632http://isyteck.com/autoblog/quadrature/index.php5?20210923_164222_La_loi_Drones_2_est_docilement_adoptee_par_l___AssembleeThu, 23 Sep 2021 14:42:22 +0000L’Assemblée nationale vient d’adopter une nouvelle loi pour légaliser l’usage de drones de surveillance par la police. Alors que le texte est quasiment identique à celui censuré par le Conseil constitutionnel en début d’année, les parlementaires n’ont pas hésité à le voter une nouvelle fois. C’est une énième preuve qu’il n’y a rien à attendre du Parlement pour nous protéger des dérives sécuritaires du gouvernement. La lutte contre la Technopolice ne se fera pas sur les bancs de l’Assemblée.

Nous en parlions ici : après s’être vu à quatre reprises refuser le droit de surveiller la population avec des drones, le gouvernement est revenu une cinquième fois à l’attaque. Deux arrêts du Conseil d’État, une décision de la CNIL et une décision du Conseil constitutionnel n’auront pas suffi : le gouvernement est prêt à tout pour déployer des drones avec caméra dans l’espace public. Les caméras fixes, les caméras « nomades », les caméras-piétons, tout cela ne lui suffit pas : il faut surveiller, toujours plus, et retransmettre les flux en temps réel à des centres de supervision – et derrière analyser et disséquer les images, transformer nos rues et nos déambulations en données exploitables par la police.

Copier-coller

Notons tout de suite que le texte ne parle plus seulement des drones mais de tout « aéronef » utilisé par la police (alinéa 2 de l’article 8) : c’est-à-dire qu’il légalise non seulement la surveillance par drones, mais aussi celle faite par hélicoptère ou par avion, une surveillance réalisée depuis longtemps par la police en toute illégalité – sans qu’aucune institution (en particulier pas la CNIL) ne soit venue la gêner (voir notre article d’analyse ici), et sans qu’aucun responsable ne soit condamné.

Le gouvernement (ou le rapporteur du texte, on ne sait plus très bien faire la différence) veut faire croire qu’il répond aux critiques du Conseil constitutionnel. Il reprend donc le même texte que l’année précédente et fait quelques modifications à la marge, des modifications trompeuses qui, comme on va le voir, n’enlèvent en rien le caractère profondément liberticide du texte.

Les finalités autorisées pour déployer un drone restent toujours aussi larges, même si le gouvernement tâche de faire en sorte que cette fois, le Conseil constitutionnel se montre plus accommodant : la police peut tout faire rentrer dans la notion de « prévention des atteintes à la sécurité des personnes et des biens dans les lieux particulièrement exposés », ou dans celle de « sécurité des rassemblements de personnes sur la voie publique » ou dans la « prévention d’actes de terrorisme ».

Quand bien même ces finalités seraient limitées, qui les contrôle en pratique, et qui autorise les drones ? Le représentant de l’État et, à Paris, le préfet de police. La police demande donc autorisation à la police pour utiliser des drones. Il est vrai qu’on est jamais mieux servi que par soi-même. Rappelons à ce sujet que nos deux contentieux de 2020 au sujet des drones étaient… contre le préfet de police. Et que c’est lui qui se gargarisait devant l’AFP de sa nouvelle arme technopolicière.

Autre fausse limitation : l’autorisation délivrée par le représentant de l’État prévoit un nombre maximal d’aéronefs, un périmètre géographique et une durée limitée. D’abord, le texte ajoute aussitôt une exception en cas d’urgence pour faire sauter cette limitation¹« Par dérogation à cette procédure d’autorisation, lorsque l’urgence résultant d’une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens le requiert, les traitements mentionnés au présent article peuvent être mis en œuvre de manière immédiate, après information préalable, du représentant de l’État dans le département ou, à Paris, du préfet de police, qui peut y mettre fin à tout moment. Au‑delà d’une durée de quatre heures, la poursuite de la mise en œuvre du traitement est subordonnée à son autorisation expresse et ne peut excéder une durée de vingt‑quatre heures » . Ensuite, hors cas d’urgence, cette limitation ne restreindra pas ce que souhaite faire la police en pratique. Si la police souhaite 200 drones pour surveiller toutes les manifestations d’une ville durant toute l’année, rien n’empêchera le préfet de l’y autoriser (si l’autorisation est en théorie limitée à 3 mois par la loi, ce délai est indéfiniment renouvelable). Et quand bien même le préfet voudrait se montrer exemplaire en n’autorisant que trois drones, limités à une zone où a lieu un rassemblement à Paris pour la durée de la manifestation, la police pourra capter un nombre extrêmement important d’informations. Et c’est encore plus vrai pour les hélicoptères ou les avions, au vu de leur puissance de captation (on en parlait aussi ici).

Ce sont donc des fausses limites, un faux encadrement. Jean-Michel Mis (LREM) (voir notre portrait) a remplacé ses collègues Fauvergue et Thourot sur ce sujet mais c’est la même entité désincarnée qui tient la plume, chaque membre de la majorité étant interchangeable avec l’autre. Les critiques formulées contre la loi « Sécurité Globale » tiennent donc toujours, elles sont accessibles ici.

Garde à vue et véhicules de police

Comme on l’a dit, le texte ne couvre pas que les caméras volantes mais évoque aussi de nombreux autre sujets (sur l’ensemble du texte, voir l’analyse du Syndicat de la magistrature).

Sur le sujet de la captation vidéo, le texte légalise de nouveau la vidéosurveillance en garde à vue. Toujours sans aucune gêne, les rapporteurs avouent que cette vidéosurveillance est pratiquée depuis longtemps mais sans cadre légal (comprendre donc que c’est totalement illégal, mais là encore, les responsables bénéficient d’une impunité systémique). Prétextant la protection de la personne placée en garde à vue, le texte veut en réalité permettre qu’une caméra soit placée en cellule pour la filmer en permanence (pour 24h avec renouvellement possible). Puisqu’on vous dit que c’est pour votre bien ?

Autre légalisation, les caméras embarquées sur les véhicules de la police et de la gendarmerie. C’est à peu près le même cadre que pour les caméras-piétons : autoriser la captation vidéo « lorsque se produit ou est susceptible de se produire un incident », c’est-à-dire que la police ou la gendarmerie pourra décider de filmer qui elle veut et quand elle veut, avec possibilité de transmission du flux vidéo en temps réel à un poste d’observation.

Autre changement majeur dans la législation, l’article 16 qui élargit les possibilités de prise de photos et d’empreintes d’une personne (notamment les mineur·es) sous contrainte. Aujourd’hui la police doit, dans la grande majorité des cas obtenir le consentement des personnes pour récolter leur signalétique (empreinte, ADN, et photographie) bien que le refus de s’y soumettre soit pénalement sanctionné.

Le texte prévoit que celle-ci puisse donc relever sous contrainte les empreintes palmaires et digitales des personnes ainsi que la prise d’une photographie, on imagine par la force (voir pour plus d’informations, le volet 2, page 17 des observations du syndicat de la magistrature).

Impossible de voir une quelconque amélioration entre le texte censuré par le Conseil constitutionnel et le texte adopté : comme pour les drones, c’est le même texte, avec quelques fausses rustines.

Faux débat parlementaire

Le texte a-t-il changé entre sa présentation par le gouvernement en juillet dernier et son adoption par l’Assemblée nationale aujourd’hui ? À peine, en tous cas sur les sujets de captation vidéo. Notons simplement que leur utilisation, ainsi que celles des caméras en garde-à-vue, a été étendue par les députés à la police douanière.

De même que la loi sécurité globale avait démontré la soumissions institutionnelle du Parlement à la police (voir notre analyse), aucun espoir d’amélioration n’était à attendre des députés aujourd’hui. Dans l’ancienne loi sécurité globale, le seul effort consenti par le Parlement avait été d’interdire que les images captées par drones ne soient soumises à un traitement de reconnaissance faciale ²Sont prohibés […] l’analyse des
images issues de leurs caméras au moyen de dispositifs automatisés de reconnaissance faciale. Cette limitation est reprise mais largement réduite : « Les dispositifs aéroportés ne peuvent […] comporter de traitements automatisés de reconnaissance faciale ». Or, s’il faut redouter une forme de reconnaissance faciale, ce n’est pas celle réalisée par le drone lui-même mais celle réalisée par les policiers depuis le poste de contrôle, sur leurs propres ordinateurs, à partir du fichier de traitement des antécédents judiciaires qui leur permet depuis 2012 de réaliser de tels traitements (voir notre analyse sur le fichier TAJ). La seule amélioration apportée par l’Assemblée nationale l’an dernier aura bien vite été supprimée aujourd’hui.

References[+]

References

↑1

« Par dérogation à cette procédure d’autorisation, lorsque l’urgence résultant d’une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens le requiert, les traitements mentionnés au présent article peuvent être mis en œuvre de manière immédiate, après information préalable, du représentant de l’État dans le département ou, à Paris, du préfet de police, qui peut y mettre fin à tout moment. Au‑delà d’une durée de quatre heures, la poursuite de la mise en œuvre du traitement est subordonnée à son autorisation expresse et ne peut excéder une durée de vingt‑quatre heures »

↑2

Sont prohibés […] l’analyse des images issues de leurs caméras au moyen de dispositifs automatisés de reconnaissance faciale

]]> https://www.laquadrature.net/?p=17622http://isyteck.com/autoblog/quadrature/index.php5?20210922_153147_Reglement_IA____la_Commission_europeenne_tend_le_piege_de_la_reconnaissance_facialeWed, 22 Sep 2021 13:31:47 +0000Le 21 avril 2021, la Commission européenne a déposé un projet de règlement sur l’intelligence artificielle. S’il prétend proposer « un cadre juridique pour une IA digne de confiance », ce règlement conduira en vérité à abaisser le niveau de protection actuellement assuré par le droit européen. Son principal risque sera d’autoriser certaines pratiques jusqu’alors interdites – au premier rang desquelles la reconnaissance faciale policière de masse.

Pour rappel, depuis 2016, l’article 10 de la directive 2016/680 interdit aux États membres de l’UE d’analyser des données biométriques à des fins policières, sauf « en cas de nécessité absolue ». Autrement dit, la reconnaissance faciale n’est possible que dans les cas exceptionnels où elle est « indispensable » – où la police ne disposerait plus d’aucun autre moyen pour lutter contre une infraction. Or, la police a systématiquement échoué à démontrer que ce cas théorique pouvait se matérialiser en pratique : si elle peut parfois être « utile », la reconnaissance faciale n’est jamais « indispensable » au travail de la police.

C’est pourquoi nous avons demandé en 2020 au Conseil d’État de supprimer la disposition du décret TAJ qui, depuis 2012, autorise la police française à recourir librement à la reconnaissance faciale (lire notre article). Notre affaire contre le décret TAJ est encore en cours et, pour l’instant, le droit européen en vigueur depuis 2016 devrait nous donner raison. Hélas, cela pourrait changer prochainement.

La Commission européenne a déposé un nouveau projet de règlement sur l’IA dont l’article 5 entend poser de nouveaux cadres juridiques spécifiques pour certains usages de l’intelligence artificielle, notamment les « systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives ». Si, de prime abord, le règlement semble interdire de tels dispositifs, il s’agit d’un simple tour de passe-passe : non seulement, comme expliqué ci-avant, cette interdiction découlait déjà de la directive de 2016 mais, surtout, si le règlement fait mine de rappeler cette interdiction, c’est uniquement pour lui ajouter une nouvelle et très large exception. L’ancienne condition de « nécessité absolue » est remplacée par une mise en balance entre, d’un côté, les intérêts de la police et, de l’autre, les dommages que cette surveillance pourrait concrètement causer aux populations surveilléesArticle 5, paragraphe 2 : « L’utilisation de systèmes d’identification biométriques à distance en «temps réel» dans des espaces accessibles au public à des fins répressives […] tient compte des éléments suivants : (a) la nature de la situation donnant lieu à un éventuel recours au système, en particulier la gravité, la probabilité et l’ampleur du préjudice causé en l’absence d’utilisation du système ; (b) les conséquences de l’utilisation du système sur les droits et libertés de toutes les personnes concernées, notamment la gravité, la probabilité et l’ampleur de ces conséquences. ».

Il faut bien mesurer l’importance de ce changement de paradigme. Jusqu’alors, avec la notion de « nécessité absolue », la charge de la preuve reposait entièrement sur la police. Elle devait démontrer au cas par cas l’impossibilité matérielle qu’elle avait de travailler sans reconnaissance faciale. En face, les populations surveillées bénéficiaient d’une présomption juridique très forte. Ces populations n’avaient pas à démontrer que cette surveillance leur causait un dommage concret, car cette surveillance était considérée comme contraire par essence aux valeurs défendues par des sociétés démocratiques. C’est ce que rappelle l’ensemble des CNIL européennes réunies, dans un avis d’une rare franchise contre le nouveau projet de règlement sur l’IA : « l’identification biométrique à distance réalisée dans le contexte de manifestations politiques est susceptible d’avoir un effet dissuasif significatif sur l’exercice des droits et libertés fondamentales, telles que les libertés de réunion et d’association et, plus généralement, le principe fondateur de démocratie […] ses graves et irréversibles effets sur les attentes (raisonnables) de la population à être anonyme dans l’espace public porteraient directement atteinte à l’exercice de la liberté d’expression, de réunion, d’association et de circulation »Notre traduction de : « Article 5(1)(d) of the Proposal provides an extensive list of exceptional cases in which ‘real-time’ remote biometric identification in publicly accessible spaces is permitted for the purpose of law enforcement. The EDPB and the EDPS consider this approach flawed on several aspects: […] Post remote biometric identification in the context of a political protest is likely to have a significant chilling effect on the exercise of the fundamental rights and freedoms, such as freedom of assembly and association and more in general the founding principles of democracy. […] its irreversible, severe effect on the populations’ (reasonable) expectation of being anonymous in public spaces, resulting in a direct negative effect on the exercise of freedom of expression, of assembly, of association as well as freedom of movement. […]The reasoning behind the Proposal seems to omit that when monitoring open areas, the obligations under EU data protection law need to be met for not just suspects, but for all those that in practice are monitored. […] the criteria referred to under Article 5 to “qualify” the AI systems as prohibited limit the scope of the prohibition to such an extent that it could turn out to be meaningless in practice […] For all these reasons, the EDPB and the EDPS call for a general ban on any use of AI for an automated recognition of human features in publicly accessible spaces ».

Demain, avec le futur règlement IA, cette présomption disparaîtrait, cédant le pas à un équilibre à chercher au cas par cas entre police et population. Nous redoutons que cet équilibre, n’étant plus réajusté par l’ancienne présomption, finira toujours en défaveur de la population. En effet, il est extrêmement difficile de démontrer concrètement les dégâts systémiques causés par la surveillance de masse – c’est bien pour combler cette difficulté que le droit avait posé une présomption en faveur de la population. Au contraire, la police n’aura aucun mal à monter en épingle le moindre fait divers pour affirmer que telle ou telle technique de reconnaissance faciale serait à tout prix indispensable.

En pratique, à l’avenir, quand nous voudrons contester un système policier de reconnaissance faciale, il nous faudra probablement démontrer que ce système cause des dommages concrets à la population et que ces dommages sont plus importants que l’intérêt pour la police de recourir à ces outils. Cette démonstration particulièrement ardue sur le plan juridique, et qui pourrait suffire à nous faire perdre, ne nous est aujourd’hui nullement demandée dans notre affaire contre le TAJ – il nous suffit de pointer le fait que la police échoue à démontrer que la reconnaissance faciale est « absolument nécessaire » à son travail. À l’inverse, si le futur règlement proposé par la Commission européenne était déjà en vigueur aujourd’hui, il est bien possible que notre attaque contre le TAJ aurait déjà échoué.

Nous n’avons pas encore eu le temps d’appliquer la directive de 2016 contre la reconnaissance faciale permise dans le TAJ depuis 2012 que, déjà, nos arguments juridiques sont sur le point d’être effacés des textes de loi. Une fois que le futur règlement IA aura largement autorisé la reconnaissance faciale « en temps réel » grâce à ce terrible piège de la « balance des intérêts entre police et population », il faut redouter que ce nouveau paradigme juridique contamine l’ensemble des traitements de données biométriques, y compris ceux que le règlement IA ne vise pas encore explicitement (reconnaissance « en temps différé », détection de comportement, identification vocale, etc.).

Ce règlement IA pose d’autres problèmes que nous discuterons très prochainement. Mais, d’ores et déjà, ce terrible risque de généralisation de la reconnaissance faciale policière de masse justifie à lui seul d’exiger le retrait de cette disposition et l’application immédiate du droit existant.

]]> https://www.laquadrature.net/?p=17602http://isyteck.com/autoblog/quadrature/index.php5?20210914_145219_Les_drones_reviennent__nous_aussiTue, 14 Sep 2021 12:52:19 +0000Le 20 juillet 2021, le gouvernement a déposé une nouvelle loi sécuritaire qui, entre autres choses, autorisera les drones policiers. Ces mêmes drones qui, par la force de nos efforts collectifs, avaient été rejetés à quatre reprises l’an dernier. Le gouvernement s’empresse de saper nos si précieuses victoires obtenues contre sa surveillance policière.

Première victoire, mai 2020

En juillet 2019, la police nationale comptait 30 drones et 23 pilotes. Un an plus tard, ces chiffres ont été multipliés par 7 : 235 drones et 146 pilotes. En avril 2020, un appel d’offre prévoyait l’acquisition de 650 drones de plus.

Au même moment, nous publiions un tour d’horizon des drones déployés en France par la police au prétexte de la crise sanitaire. En mai 2020, nous attaquions ces usages puis obtenions une première victoire décisive devant le Conseil d’État, la plus haute juridiction administrative française : à défaut de texte spécifique pour les autoriser, ces usages sont illégaux.

Deuxième victoire, décembre 2020

Hélas, la police a laissé traîner les choses en continuant d’utiliser illégalement ses drones. Elle a attendu deux mois pour commencer à réfléchir à une manière de contourner l’interdiction posée par le Conseil d’État, prétendant développer un soi-disant système de floutage des images captées. En octobre 2020, nous attaquions de nouveau la police en visant la surveillance des manifestations parisiennes par drones, telle que nous l’avions finement documentée avec votre aide.

En décembre 2020, le Conseil d’État confirmait notre seconde victoire décisive : injonction était faite à la police parisienne d’immobiliser ses machines au sol. Au-delà du rappel qu’aucun texte n’autorisait l’usage de drone, le Conseil d’État pointait un problème juridique encore plus fondamental de cette affaire : « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones ».

Troisième victoire, janvier 2021

En janvier 2021, évènement aussi rare que bienvenu, la CNIL venait en renfort pour offrir une troisième victoire contre les drones : elle sanctionnait le ministère de l’intérieur et l’obligeait à cesser tout vol de drone sur l’ensemble du territoire. Ce faisant, la CNIL confirmait aussi l’extension de nos précédentes victoires contre la police parisienne à l’ensemble du territoire français.

Ces trois premiers succès sont intervenus face à un gouvernement bien peu préparé à nos initiatives. Mais à partir d’octobre 2020, il a ouvert une stratégie bien mieux organisée et mûrie et ouvert le véritable débat avec la loi sécurité globale.

Quatrième victoire, mai 2021

Heureusement, grâce à la mobilisation impressionnante et continue d’une large partie de la population contre la loi sécurité globale, des mois durant, le discours du gouvernement sur les drones a pu être méthodiquement déconstruit. En mai 2021, actant la défaite idéologique du gouvernement, le Conseil constitutionnel a censuré les dispositions qui allaient autoriser les drones policiers. C’est la quatrième et plus importante victoire.

La plus importante car elle est idéologique. Elle s’est principalement jouée dans la rue et dans le débat public, plutôt que devant les tribunaux. Elle a permis de s’attaquer au cœur du modèle de société proposé par le gouvernement, de construire un discours populaire contre l’État policier et son monde de distanciation, où la population serait régulée de loin, comme des objets, par des caméras et des robots militarisés, sans contact ni échange humain possible (voir notre manifeste initial dénonçant une loi de surveillance de masse déshumanisée).

Cinquième bataille, maintenant

En juillet 2021, le gouvernement a lancé sa cinquième bataille en déposant un projet de loi fourre-tout qui acte notamment le retour des drones pour la police. Refusant toute remise en question, le gouvernement s’obstine à imposer son monde par la force. Il ne cherche même plus à ouvrir un débat public ni à gagner l’opinion – on le comprend, il a déjà perdu ce débat plusieurs fois. À la place, il a réintroduit ses drones au milieu d’une nouvelle loi sécuritaire, la quatrième de l’année de 2021 (après la loi sécurité globale, la loi séparatisme et la loi renseignement).

Le député rapporteur de la loi sur la partie surveillance est Jean-Michel Mis, qui a prouvé être l’un des plus fiers et fidèles défenseurs de la surveillance de masse (voir notre portait). La loi est en lecture accélérée alors qu’elle contient une large série de dispositions qui n’ont rien à voir les unes avec les autres – une sorte de loi voiture balai sécuritaire pour finir le mandat Macron – bien que particulièrement complexes (amendes forfaitaires pour vol à l’étalage, fichage des mineurs étrangers, caméras en garde à vue, évolution de la CNIL) ou polémiques (en lien avec l’affaire Halimi).

Nous retrouvons le même contexte qui avait empêché le Parlement de débattre des drones dans la loi sécurité globale : une disposition noyée au cœur d’un texte fourre-tout, une procédure accélérée, un débordement législatif sécuritaire, un rapporteur aux ordres de la Technopolice…

Comment s’organiser ?

L’an dernier, l’article 24 de la loi sécurité globale (concernant la diffusion d’images de policiers) avait mis le feu aux poudres et permis d’ouvrir en dehors du Parlement un débat qui y était impossible. Pouvons-nous répéter cet exploit dans un contexte radicalement différent ?

Comme nous avons essayé de le démontrer cet été, le passe sanitaire et les drones sont les outils du même projet technopolicier. L’opposition massive au passe sanitaire pourrait-elle, à son tour, attiser l’opposition aux drones ? Et pour quels objectifs ? En cas de mobilisation populaire massive, doit-on espérer que le Conseil constitutionnel censure une nouvelle fois cette tentative d’autorisation des drones ?

L’hypothèse n’est pas absurde tant le gouvernement échoue à corriger dans son nouveau projet de loi les failles juridiques considérables de sa précédente loi (nécessité des drones non-démontrée au cas par cas, public non-informé, surveillance des lieux privés…). Toutefois, même si le Conseil constitutionnel pourrait une fois de plus se dresser en rempart de circonstance contre les drones, il nous semble imprudent de ne pas aller chercher des protections plus certaines et pérennes ailleurs.

On l’a vu, nos victoires sont encore plus puissantes quand elles se réalisent à la fois devant les tribunaux et dans la rue. Sur le long terme, pour remporter au-delà de quelques batailles, il nous faudra encore multiplier nos voies d’actions – ne pas nous arrêter aux stratégies juridiques, mais gagner aussi le monde des idées et de l’imaginaire. D’abord, il nous faudra regarder comme formant un tout nos diverses luttes contre la dystopie technologique annoncée par nos gouvernants : reconnaissance faciale, drones, passe sanitaire, safe city, analyse comportementale, automatisation et déshumanisation des rapports sociaux…

Une fois bien cerné, nous pourrons prendre ce cauchemar à deux mains, puis le jeter loin de nous, loin de nos esprits qu’il a déjà tant pollués. C’est ainsi libérées que nous pourrons renouveler notre imaginaire collectif pour y fonder un futur enviable, enfin. Un futur qui nous donnera la force de multiplier les façons de nous penser et d’agir. Il y a tant de choses à défaire, puis tant d’autres à construire, saisissons l’opportunité de cette cinquième lutte contre les drones pour bâtir bien au-delà du débat stérile imposé par nos adversaires.

]]> https://www.laquadrature.net/?p=17539http://isyteck.com/autoblog/quadrature/index.php5?20210819_132920_Passe_sanitaire____quelle_surveillance_redouter___Thu, 19 Aug 2021 11:29:20 +0000Les critiques du passe sanitaire dénoncent unanimement un « danger autoritaire ». Assez justement, la CNIL elle-même présente ce danger comme « le risque d’accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée et de glissement, à l’avenir, et potentiellement pour d’autres considérations, vers une société où de tels contrôles deviendraient la norme et non l’exception ». Prenons un instant pour détailler ce danger et répondre à la question : de quel type de surveillance le passe sanitaire est-il l’expression ?

Il existe déjà de nombreux « dispositifs attentatoires à la vie privée » contre la généralisation desquels nous luttons depuis des années : écoutes téléphoniques, fichage, caméras, drones, géolocalisation, logiciels espions… Pour comprendre et prévenir les dangers posés par le passe sanitaire, il faut le situer précisément au sein de cet écosystème. Certains outils de surveillance sont plus ou moins faciles à déployer, à plus ou moins grande échelle, de façon plus ou moins visible et avec des conséquences très variables. En comprenant dans quel mouvement technologique et à partir de quels outils pré-existants le passe sanitaire s’est construit, nous espérons lutter plus efficacement contre la banalisation du type de surveillance qu’il permet.

Contrôler pour exclure

Pour prendre du recul, décrivons de façon générale l’action que permet de réaliser le passe sanitaire : exclure de certains emplois, transports et lieux des personnes dont la situation diffère de certains critères fixés par l’État.

Formulé ainsi, ce mode de régulation n’a rien de nouveau. C’est notamment de cette façon que l’État français traite les personnes étrangères : l’accès aux transports vers le territoire national, puis l’accès au séjour et à l’emploi sur le-dit territoire n’est permis que si la situation des personnes étrangères est conforme à des critères fixés par l’État (situation personnelle familiale et économique, pays d’origine, âge…). Le respect des critères est vérifié une première fois en amont puis se traduit par la délivrance d’un titre : visa, cartes de séjour, etc. Ensuite, la police n’a plus qu’à contrôler la possession de ces titres pour contrôler la situation des personnes, puis leur ouvrir ou leur fermer les accès correspondants. En menaçant d’exclure du territoire ou de l’emploi les personnes ne disposant pas du bon titre, l’État déploie une lourde répression – les conséquences pour les personnes exclues sont particulièrement dissuasives.

Toutefois, jusqu’à peu, ce type de répression avait d’importantes limitations pratiques : les titres ne pouvaient être délivrés qu’avec un certain délai et à un certain coût, de nombreux policiers devaient être déployés pour les vérifier et certains policiers devaient même être spécifiquement formés pour en vérifier l’authenticité. Ces limitations expliquent sans doute en partie pourquoi ce type de répression s’est jusqu’ici centré sur des cas précis (tel que le contrôle des personnes étrangères) sans être systématiquement déployé pour gérer n’importe quelle situation que l’État souhaiterait réguler.

Le passe sanitaire est la traduction d’évolutions techniques qui pourraient supprimer ces anciennes limites et permettre à cette forme de répression de s’appliquer à l’ensemble de la population, pour une très large diversité de lieux et d’activités.

Passage à l’échelle technologique

Au cours de la dernière décennie, la majorité de la population française (84% en 2020) s’est équipée en smartphone muni d’un appareil photo et capable de lire des code-barres en 2D, tels que des codes QR. En parallèle, l’administration s’est largement appropriée les outils que sont le code-barre en 2D et la cryptographie afin de sécuriser les documents qu’elle délivre : avis d’imposition, carte d’identité électronique… Le code en 2D rend quasi-nul le coût et la vitesse d’écriture et de lecture d’informations sur un support papier ou numérique, et la cryptographie permet d’assurer l’intégrité et l’authenticité de ces informations (garantir qu’elles n’ont pas été modifiées et qu’elles ont été produites par l’autorité habilitée).

Si ces évolutions ne sont pas particulièrement impressionnantes en elles-même, leur concomitance rend aujourd’hui possible des choses impensables il y a encore quelques années. Elle permet notamment de confier à des dizaines de milliers de personnes non-formées et non-payées par l’État (mais simplement munies d’un smartphone) la mission de contrôler l’ensemble de la population à l’entrée d’innombrables lieux publics, et ce, à un coût extrêmement faible pour l’État puisque l’essentiel de l’infrastructure (les téléphones) a déjà été financée de manière privée par les personnes chargées du contrôle.

Désormais, et soudainement, l’État a les moyens matériels pour réguler l’espace public dans des proportions presque totales.

Une brique de plus à la Technopolice

La crise sanitaire a très certainement facilité ces évolutions, mais son rôle ne doit pas être exagéré. Cet emballement dramatique des pouvoirs de l´État s’inscrit dans un mouvement d’ensemble déjà à l’œuvre depuis plusieurs années, qui n’a pas attendu le coronavirus, et contre lequel nous luttons sous le nom de « Technopolice ». Il s’agit du déploiement de nouvelles technologies visant à transformer les villes en « safe cities » capables de réguler l’ensemble de l’espace public.

La Technopolice est l’expression d’évolutions technologiques qui, comme on l’a vu avec le cas du passe sanitaire, ont permis de rendre totales des formes de régulations qui, jusqu’alors, étaient plus ou moins ciblées. Prenons le cas emblématique des caméras : jusqu’à peu, la police était matériellement limitée à une politique de vidéosurveillance ciblée. Elle ne pouvait exploiter les enregistrements vidéo que pour analyser quelques situations ciblées, à défaut de pouvoir mettre un agent derrière chaque caméra 24 heures sur 24. De même, l’identification d’une personne filmée demandait des efforts importants.

Ces limitations ont depuis volé en éclat. La reconnaissance faciale rend presque triviale l’identification des personnes filmées (voir notre exposé). L’analyse automatisée d’images permet de détecter en continu tous les événements définis comme « anormaux » : faire la manche, être trop statique, courir, former un grand groupe de personnes, dessiner sur un mur… (voir par exemple les projets imaginés à Marseille ou à Valenciennes). Plus besoin de placer un agent derrière chaque caméra pour avoir une vision totale. Qu’il s’agisse du passe sanitaire ou de l’analyse d’image automatisée, dans les deux cas, la technologie a permis à des techniques ciblées de se transformer en outils de contrôle de masse de l’espace public.

Contrôle permanent des corps

Ce parallèle nous permet d’apporter une précision importante : qu’il s’agisse du passe sanitaire ou de la détection automatique des comportements « anormaux », ces systèmes ne nécessitent pas forcément un contrôle d’identité. Le logiciel d’imagerie qui signale votre comportement « anormal » se moque bien de connaître votre nom. De même, en théorie, le passe sanitaire aussi pourrait fonctionner sans contenir votre nom – c’est d’ailleurs ce que prévoyait la loi initiale sur la sortie de crise ou, plus inquiétant, ce que proposent désormais certaines entreprises en se fondant non plus sur le nom mais le visage. Dans ces situations, tout ce qui compte pour l’État est de diriger nos corps dans l’espace afin de renvoyer aux marges celles et ceux qui – peu importe leurs noms – ne se conforment pas à ses exigences.

Ce contrôle des corps se fait en continu et à tous les niveaux. D’abord pour détecter les corps jugés « anormaux », que ce soit par leur comportement, leur apparence, leur visage, leur statut vaccinal, leur âge… Ensuite pour contraindre les corps et les exclure de la société, que ce soit par la force armée de la police ou par des interdictions d’entrée. Enfin pour habiter les corps et les esprits en nous faisant intérioriser les règles dictées par l’État et en poussant à l’auto-exclusion les personnes qui ne s’y soumettent pas. Tout cela à l’échelle de l’ensemble de la population.

Une accoutumance injustifiée

L’adoption massive du passe sanitaire aurait pour effet d’habituer la population à se soumettre à ce contrôle de masse, ce qui s’inscrit dans la bataille culturelle plus large déjà initiée par le gouvernement, notamment autours des caméras. Cette accoutumance permettrait à l’État de poursuivre plus facilement sa conquête totale de l’espace public telle qu’il l’a déjà entamée avec la Technopolice.

Pourtant, paradoxalement, dans son format actuel, le passe sanitaire n’apparaît pas comme étant lui-même un outil de régulation très efficace. Il semble difficile d’empêcher les médecins qui le souhaitent de fournir des passes à des personnes qui ne devraient pas en recevoir. Et, quand bien même les passes seraient attribués aux « bonnes personnes », en l’état celles-ci peuvent facilement les partager avec les « mauvaises personnes ». Certes, la police entend réaliser des contrôles d’identité pour lutter contre ces échanges mais, si l’efficacité du système repose au final sur des contrôles de police aléatoires, il n’était pas nécessaire de déployer des mécanismes de surveillance de masse pour aller au-delà ce qui se fait déjà en la matière, par exemple avec les ordonnances manuscrites délivrées par les médecins que la police peut vérifier en cas de soupçons. Cela permettrait au moins de diminuer les risques d’accoutumance à un nouveau système de contrôle de masse.

Hélas, il semble plus sérieux d’envisager le scénario inverse : l’inefficacité du passe sanitaire pourrait servir de prétexte pour le perfectionner, notamment en permettant aux contrôleurs non-policiers de détecter les échanges de passe. Comme vu plus haut, certains proposent déjà un nouveau système affichant le visage des personnes contrôlées. Une telle évolution nous livrerait la version pleinement aboutie et efficace du système de contrôle de masse rêvé par la Technopolice – et la police n’aurait presque plus à travailler pour contrôler les passes.

Obligation de prouver la nécessité

Même dans son format le plus sophistiqué, l’efficacité du passe sur le plan sanitaire resterait toujours à démontrer – il demeure de nombreuses incertitudes, que ce soit sur la valeur des tests au bout de 72 heures, sur le taux de transmission même une fois vacciné, sur le cas des nouveaux variants, sur l’efficacité de la contrainte pour inciter la population à se faire vacciner, ou sur la durée de validité à retenir pour les tests de dépistage.

Au plan juridique et politique, et tel que nous l’avions rappelé pour StopCovid, l’État est soumis à une règle simple mais fondamentale : il a l’obligation de prouver qu’une mesure causant des risques pour les libertés fondamentales est absolument nécessaire avant de la déployer. Dans notre cas, non seulement le gouvernement n’a pas encore démontré l’efficacité du passe sanitaire mais, plus grave, il a refusé de déployer ou de tester l’efficacité de mesures alternatives qui ne causeraient aucun risque pour les libertés (telles que des campagnes de communication bienveillantes, transparentes et non-paternalistes pour inviter à se faire vacciner), ou des mesures complémentaires ambitieuses (tel que le déblocage de financements pour permettre le dédoublement des salles de classe et leur aération, ce que le gouvernement à tout bonnement écarté).

Conclusion

Résumons : le passe sanitaire illustre des évolutions technologiques qui permettent à un mode de répression ancien (la répression par l’exclusion, illustrée notamment par le contrôle des personnes étrangères) de passer d’une échelle relativement restreinte à une échelle presque totale, concernant l’ensemble de la population et de l’espace public, afin de renvoyer à ses marges les personnes qui ne se soumettent pas aux injonctions de l’État.

Si, aujourd’hui, ces injonctions ne sont que d’ordre sanitaire, il faut encore une fois redouter que ce genre d’outil, une fois banalisé, soit mis au service d’injonctions dépassant largement ce cadre. Cette crainte est d’autant plus pesante que ce processus a déjà commencé au sein de la Technopolice, qui esquisse d’ores et déjà un mode de régulation social fondé sur la détection et l’exclusion de toute personne considérée comme déviante ou comme ayant un comportement « anormal » aux yeux de l’État et des entreprises de sécurité qui définissent ensemble et de manière opaque les nouvelles normes de comportement en société.

Dernier rappel stratégique : si le gouvernement français se permet d’imposer de tels outils de détection et d’exclusion des personnes qu’il juge indésirables, c’est notamment car il peut reprendre à son compte, et redynamiser à son tour, les obsessions que l’extrême droite est parvenue à banaliser dans le débat public ces dernières années afin de traquer, de contrôler et d’exclure une certaine partie de la population. La lutte contre les risques autoritaires du passe sanitaire serait vaine si elle ne s’accompagnait pas d’une lutte contre les idées d’extrême droite qui en ont été les prémices. La lutte contre le passe sanitaire ne doit pas se faire avec, mais contre l’extrême droite et ses obsessions, qu’elles soient dans la rue ou au gouvernement.

]]> https://www.laquadrature.net/?p=17508http://isyteck.com/autoblog/quadrature/index.php5?20210730_145719_Amende_de_746_millions_d___euros_contre_Amazon_suite_a_nos_plaintes_collectivesFri, 30 Jul 2021 12:57:19 +0000Mise à jour du 4 août 2021 : nous venons de recevoir ce courrier de la CNIL nous donnant plus de précision sur la décision rendue au Luxembourg. En résumé :
• l’autorité du Luxembourg a bien reconnu, comme nous le lui demandions, que Amazon nous ciblait à des fins publicitaires sans base légale et violait donc le RGPD (Amazon prétendait, à tort, que le contrat que nous passions avec lui pour utiliser ses services pouvait nous forcer à accepter ce ciblage) ;
• Amazon a 6 mois pour corriger ce défaut de base légale (c’est à dire, mettre fin au ciblage publicitaire ou obtenir notre consentement libre pour ce faire) ;
• au delà de ce délai, Amazon devra payer une astreinte de 746 000 € par jour de retard (c’est exactement la mesure que nous demandions) ;
• les autorités de protection des données des autres États européens avaient donné leur accord à la décision rendue par l’autorité du Luxembourg (cela renforce d’autant plus la pression mise sur l’autorité Irlandaise pour nos quatre autres plaintes).


Le 16 juillet 2021, l’autorité luxembourgeoise de protection des données personnelles s’est enfin prononcée sur notre plainte collective déposée par 10 000 personnes contre Amazon en mai 2018. Cette décision intervient après trois années de silence qui nous avaient fait craindre le pire (relire nos craintes qui, s’agissant du cas d’Amazon, sont donc aujourd’hui caduques).

La décision, révélée par Bloomberg (mais qui ne nous avait pas encore été transmise), semble sans ambiguïté : le système de ciblage publicitaire imposé par Amazon est réalisé sans notre consentement libre, en violation du RGPD. L’entreprise est condamnée à une amende de 746 millions d’euros. Il s’agit du nouveau record européen en matière d’amendes prononcées contre une violation du RGPD (le record précédent était l’amende de 50 millions rendue contre Google par la CNIL, toujours dans le cadre de nos plaintes collectives – relire notre réaction).

En réaction à cette sanction historique, Amazon se plaint auprès de Bloomberg, faisant mine de ne pas comprendre ce qui est visé : « il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers ». Et pour cause : c’est le système-même de la publicité ciblée que nos plaintes comptent balayer dans son ensemble, et non pas quelques failles de sécurité occasionnelles. Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle.

En contraste, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google (relire nos critiques qui, sur ces cas, sont plus que jamais d’actualité).

La posture exemplaire de l’autorité luxembourgeoise est aussi une douche froide pour la CNIL en France qui, pendant longtemps, faisait figure en Europe de tête de file pour la protection des données. Aujourd’hui, la CNIL n’est plus que l’ombre d’elle même, alors que nos plaintes collectives, initialement introduites devant elle, lui offraient l’occasion idéale d’être le fer de lance du RGPD contre les violations systémiques des données personnelles au cœur du modèle économique des GAFAM.

Alors que l’enthousiasme de 2018 commençait à nous quitter et que nous craignions que la lutte juridique contre les GAFAM soit devenue impossible, c’est du Luxembourg (qui l’eut cru !) que nous revient notre espoir initial. Le modèle de domination économique fondée sur l’exploitation de notre vie privée et de notre libre arbitre est profondément illégitime et contraire à toutes les valeurs que nos sociétés démocratiques prétendent défendre. Nous continuerons donc à lutter contre cette domination, avec votre aide !

]]> https://www.laquadrature.net/?p=17499http://isyteck.com/autoblog/quadrature/index.php5?20210728_124941_Loi_Renseignement_2____nos_arguments_au_Conseil_constitutionnelWed, 28 Jul 2021 10:49:41 +0000Vendredi, le Conseil constitutionnel rendra sa décision sur la loi terrorisme et renseignement. Nous lui avons envoyé hier nos arguments.

Le mois dernier, nous avons dénoncé l’extrême rapidité de l’examen par le Parlement de la loi terrorisme et renseignement, et cela malgré le bouleversement dramatique du rapport de force entre le gouvernement et la population qu’elle pourrait représenter (vous pouvez retrouver ici notre analyse des dangers de cette loi).

Déposée le 28 avril 2021, la loi a été débattue en quelques jours à l’Assemblée nationale et au Sénat, souvent la nuit et dans des hémicycles quasi-vides, le tout dans un inquiétant silence médiatique et politique. Elle a été définitivement adoptée par l’Assemblée nationale ce jeudi 22 juillet (voir le texte final).

C’est donc encore au Conseil constitutionnel (institution composée de neuf membres désigné·es et non élu·es) qu’il revient de jouer le rôle de véritable contre-pouvoir et de compenser la démission généralisée du Parlement de ses missions démocratiques. Autre signe de la prédominance du tout-sécuritaire : alors que le Conseil constitutionnel a normalement un mois pour se prononcer sur un texte, le gouvernement a utilisé la procédure d’urgence et a demandé à ce qu’il se prononce en seulement 8 jours.

Cette urgence forcée devant le Conseil constitutionnel empêchant tout véritable débat de fond, nous lui avons adressé hier une contribution extérieure se limitant aux dispositions nous paraissant les plus graves. Le texte de cette contribution est disponible ici – nous recopions ci-dessous nos arguments.

Le Syndicat des Avocats de France (SAF) et le Syndicat de la Magistrature (SM) ont également adressé au Conseil constitutionnel leurs arguments, que vous pouvez retrouver ici.

PARTIE 1. Sur la pérennisation et l’extension du recours aux algorithmes de surveillance ainsi que sur l’extension de la possibilité de recueil en temps réel de certaines données (Articles 14, 15 et 16)

Les articles 14 et 15 du projet de loi organisent la pérennisation et l’extension des dispositions prévues à l’article L. 851-3 du code de la sécurité intérieure encadrant le recours aux algorithmes de surveillance. L’article 16 organise l’extension de la possibilité de recueil en temps réel des données de connexion.

Ces articles constituent une atteinte disproportionnée au droit à la vie privée (a) et au secret des correspondances (b) ainsi qu’à l’article 34 de la Constitution (c).

a) Atteinte disproportionnée au droit à la vie privée

En droit :

Au titre notamment du droit au respect de la vie privée protégé par l’article 2 de la Déclaration de 1789, le Conseil constitutionnel a considéré que la « collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Cons. constit., n°2012-652 DC, 22 mars 2012).

Ce droit au respect de la vie privée est également inscrit aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, que le Conseil constitutionnel se doit de respecter au titre de l’article 88-1 de la Constitution. De manière générale, si le Conseil constitutionnel n’est pas tenu d’appliquer la jurisprudence de la Cour de Justice de l’Union européenne, il peut cependant utilement s’en inspirer afin de garantir un niveau de protection adapté aux droits et libertés constitutionnellement protégés.

Il est vrai que dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a considéré que le recours aux algorithmes ne constituait pas une atteinte disproportionnée au droit au respect de la vie privée (Cons. constit., n° n°2015-713 DC, § 60).

Néanmoins, depuis cette décision, la Cour de Justice de l’Union européenne a rendu une décision concernant notamment la compatibilité entre le droit de l’Union européenne et un dispositif de traitement automatisé des données relatives au trafic et des données de localisation (CJUE, C-511/18 et s., 6 octobre 2020). Elle y souligne notamment que le recours à l’analyse automatisée doit être limité « à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif (…) » (CJUE, précité, § 192).

En l’espèce :

En premier lieu, alors que la loi de 2015 « relative au renseignement » ne permettait l’utilisation des algorithmes de surveillance qu’à titre expérimental, la loi examinée par le Conseil constitutionnel prévoit aujourd’hui la pérennisation de ce dispositif. La CNIL rappelle ainsi dans son avis sur le texte que « l’utilisation d’une telle technique porte une atteinte particulièrement forte à la vie privée des individus et au droit à la protection des données à caractère personnel » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 24). Elle a souligné ne pas avoir pu analyser la proportionnalité de l’atteinte à la vie privée constituée par cette pérennisation (CNIL, idem, § 31).

En second lieu, aucune disposition ne vient répondre aux exigences de la Cour de Justice de l’Union européenne sur les limitations à apporter à l’utilisation des algorithmes de surveillance. Ainsi, l’article 14 ne mentionne aucune limitation du dispositif à l’existence d’une « menace grave pour la sécurité nationale » qui serait « actuelle ou prévisible ». Il ne prévoit encore moins aucun « contrôle effectif » d’une telle analyse. Le législateur n’a donc tiré aucune conséquence des récents arrêts de la Cour de Justice sur la question du recours aux algorithmes.

Il est particulièrement significatif que la loi déférée prévoit un régime spécifique pour la conservation des données de connexion, avec décision du Premier ministre relative à l’existence de « motifs tenant à la sauvegarde de la sécurité nationale », mais qu’aucun régime parallèle ne soit prévu pour le recours aux algorithmes.

Il en résulte que la pérennisation et l’extension du recours aux algorithmes prévues aux articles 14 et 15 de la loi déférée sont contraires à l’article 2 de la Déclaration de 1789 et à l’article 88-1 de la Constitution.

b) Atteinte disproportionnée au secret des correspondances

En droit :

Le Conseil constitutionnel a admis la valeur constitutionnelle du droit au secret des correspondances, rattaché aux articles 2 et 4 de la Déclaration de 1789 (Cons. constit., n°2004-492 DC, 2 mars 2004).

Dans sa décision de 2015 concernant la loi « relative au renseignement », il a conditionné la constitutionnalité des dispositions relatives au recours à l’algorithme au fait que, notamment, ces traitements ne pouvaient porter que sur des informations ou documents mentionnés à l’article L. 851-1 du CSI, c’est-à-dire des données dites de « connexion » ou « métadonnées » (Cons. constit., n°2015-713 DC, § 60). Dans cette même décision, le Conseil constitutionnel précise que les données faisant l’objet du traitement « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit » (Cons. constit., n°2015-713 DC, § 55).

À ce titre, si le Conseil constitutionnel a admis dans sa décision de 2015 certaines techniques de renseignement portant atteinte au secret du contenu des correspondances, il ne l’a fait qu’en raison de leur caractère ciblé, différent d’une surveillance généralisée (voir notamment Cons. constit., n°2015-713 DC, § 25).

En l’espèce :

Les articles 15 et 16 étendent le recours aux algorithmes et la possibilité de recueil en temps réel des données de connexion aux « adresses complètes de ressources utilisées sur internet ».

Comme le rappelle la CNIL dans son avis sur le texte, ce type de données « sont susceptibles de faire apparaître des informations relatives au contenu des éléments consultés ou aux correspondances échangées » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 35). Les « adresses complètes de ressources utilisées sur internet » peuvent, en effet, être extrêmement parlantes sur le contenu consulté par l’utilisateur, et indiquer par exemple le titre d’un article complet.

Dans son rapport sur le projet de loi, la commission des lois du Sénat rappelle ainsi qu’aussi bien la CNIL que la Commission nationale de contrôle des techniques de renseignement (CNCTR) ont, dans leur avis sur le projet de décret relatif aux techniques de renseignement « exclu la possibilité que la technique de l’algorithme puisse permettre un accès complet aux URL » du fait que les URL « constituent des données mixtes, comprenant à la fois des données de connexion, c’est-à-dire des éléments relatifs à l’acheminement de la communication internet, et des données de communication, c’est-à-dire des éléments fournissant des précisions sur l’objet ou le contenu du site internet consulté » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021).

La commission des lois du Sénat y ajoute que, selon la Délégation Parlementaire au Renseignement (ci-après « DPR ») « l’élargissement de la technique de l’algorithme souhaité par les services à l’analyse de la totalité des informations contenues dans les URL reviendrait, de fait, à autoriser un traitement automatisé de données révélant, pour partie, le contenu de communications ». En effet, elle précise que si le Conseil constitutionnel n’interdit pas par principe que des services du renseignement accèdent au contenu des communications, cela n’a été autorisé pour l’instant que pour une collecte individualisée et non pour « un traitement en masse des données de communication » (Commission des lois du Sénat, Rapport sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement n° 694, 16 juin 2021).

Il en résulte que les articles 15 et 16 autorisent la surveillance en masse de données portant sur le contenu des correspondances, en contradiction avec le secret des correspondances protégées par la Constitution.

c) Incompétence négative du législateur

En droit :

Il ressort de l’article 34 de la Constitution que la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a ainsi considéré qu’il y avait eu violation de l’article 34 du fait de l’absence de définition dans la loi des « conditions d’exploitation, de conservation et de destruction des renseignements collectés en application de l’article L. 854-1 » en matière de surveillance internationale. Le législateur n’avait ainsi pas déterminé « les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » (Cons. constit., n°2015-713 DC, § 78).

En l’espèce :

L’article 15 la loi déférée modifie l’article L851-3 du CSI. Désormais, cet article ne prévoit plus que « peut être imposé aux opérateurs […] la mise en œuvre sur leurs réseaux » du dispositif de détection automatisée, mais que ce dispositif sera désormais directement mis en œuvre par les services de renseignement « sur les données transitant par les réseaux des opérateurs ». Cette modification implique une architecture radicalement différente que la loi échoue entièrement à décrire et à encadrer.

En effet, dans son avis sur le texte, la CNIL précise que « le ministère a retenu une architecture selon laquelle les flux de données ne sont pas analysés au moyen d’algorithmes installés sur les réseaux des opérateurs mais dupliqués puis acheminés au sein d’une infrastructure dépendant de l’État pour être soumis à des dispositifs de détection centralisés ». Elle considère ainsi que cela implique de « dupliquer, au bénéfice d’un service administratif du Premier ministre, l’ensemble de ces données, qui concernent tous les appels téléphoniques et accès internet réalisés sur le territoire français, constitue une évolution particulièrement significative » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 16 et s.).

À ce titre, la CNIL considère donc « indispensable que le texte soit précisé » sur ce sujet et que le principe de cette architecture « devrait (…) figurer dans la loi » (idem).

Cette architecture facilite en effet grandement la surveillance réalisée par les services de renseignement et est susceptible d’être dévoyée à d’autres fins que celles définies par le texte, et ce d’autant plus que les dispositifs de l’article 10 de cette même loi permettent de facto de conserver les données analysées par l’algorithme pour la recherche et développement pendant 5 ans. Cela pourrait potentiellement être l’intégralité du trafic internet qui pourrait donc se retrouver dupliqué et mis de côté par les services de renseignement.

La loi déférée n’apporte aucune précision sur les modalités de mise en œuvre de la technique de recours aux algorithmes ni sur l’architecture précise du traitement automatisé. Le législateur n’a donc pas précisé les conditions réelles de collecte, d’exploitation et de conservation des renseignements lié à la particularité de la duplication et de la centralisation des données de connexion concernant potentiellement l’ensemble des personnes vivant en France.

Il en résulte que l’article 15 est en contradiction avec l’article 34 de la Constitution.

PARTIE 2. Sur l’organisation de la conservation des données de connexion par les opérateurs (Article 17)

L’article 17 refond le cadre de conservation généralisée des données de connexion par les opérateurs en réaction à la décision de la Cour de Justice de l’Union européenne du 6 octobre 2020.

Il constitue une atteinte disproportionnée aussi bien au droit à la vie privée protégé par l’article 2 de la Déclaration de 1789 qu’à l’article 88-1 de la Constitution en ce qu’il représente une violation directe du droit de l’Union européenne tel qu’interprété par la Cour de Justice de l’Union européenne.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

La Cour de justice de l’Union européenne rappelle de façon constante que [les données de connexion] « sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées (…). [qui] peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées (…). En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » (Digital Rights, 8 avril 2014, C‑293/12 et C‑594/12, § 27;Tele2, 21 décembre 2016, C‑203/15 et C‑698/15, § 99 ; La Quadrature du Net, 6 octobre 2020, C-511/18 et s., § 117).

Dans sa décision du 6 octobre 2020 « La Quadrature du Net », la Cour de Justice de l’Union européenne définit les limitations et garanties permettant aux régimes de conservation généralisée des données de connexion de se conformer aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et à l’article 15 paragraphe 1 de la directive 2002/58 (CJUE, C-511/18 et s., 6 octobre 2020). Il convient à ce titre de rappeler que l’article 88-1 de la Constitution impose au législateur de respecter le droit de l’Union européenne.

Dans cette décision, la Cour de Justice de l’Union européenne a réaffirmé sa jurisprudence selon laquelle le droit de l’Union européenne s’opposait « à des mesures législatives prévoyant (…) à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».

À titre exceptionnel, et étant mis de côté les cas particuliers des données relatives à l’état civil et des adresses IP, la Cour de Justice a considéré que seul était permis « le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », précision étant faite que cette décision doit pouvoir faire l’objet d’un contrôle effectif : « soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant (…) » (CJUE, La Quadrature du Net, 6 octobre 2020, § 168). La Cour insiste bien sur le fait que « cette conservation ne saurait présenter un caractère systématique » (même arrêt, § 138).

Il en résulte qu’une conservation généralisée des données de connexion n’est possible qu’à travers une injonction spécifique limitée dans le temps adressée à des opérateurs dans le cas d’une menace grave pour la sécurité nationale d’un État et soumise au contrôle effectif d’une autorité dont la décision est dotée d’un effet contraignant.

En l’espèce :

Il est précisé au 3° du I de l’article 17 que le Premier ministre peut enjoindre « pour des motifs tenant à la sauvegarde de la sécurité nationale », quand il a constaté « une menace grave, actuelle ou prévisible », « par décret aux opérateurs (…) de conserver pendant une durée d’un an » certaines données de connexion.

Ce régime d’organisation de conservation des données de connexion ne respecte aucune des garanties imposées par la Cour de Justice de l’Union européenne, aussi bien sur la nature de l’injonction (1), sur les motifs tenant à la sauvegarde de la sécurité nationale (2) que sur l’absence de contrôle effectif (3).

1. Sur la nature de l’injonction

Le fait que le Premier ministre puisse enjoindre cette conservation des données par un décret ne remplit pas les conditions exigées par la Cour de Justice de l’Union européenne. En effet, un acte administratif réglementaire ne saurait constituer une injonction : cette dernière doit nécessairement être spécifique et ne peut prendre la forme que d’un acte individuel. De plus, la durée d’un an prévue pour l’application du décret est excessive au regard de la nécessité de circonscrire cette collecte au strict nécessaire, d’autant qu’aucune limite du nombre de reconduction n’est prévue dans la loi, permettant alors un caractère systématique de la collecte des données de connexion.

2. Sur les motifs tenant à la sauvegarde de la sécurité nationale

La notion de sécurité nationale telle qu’interprétée par le Conseil d’État et à laquelle renvoie la loi déférée ne correspond en aucun cas à celle, restreinte et devant répondre à un critère d’exception, retenue par la Cour de Justice de l’Union européenne comme pouvant seule légitimer la conservation généralisée et indifférenciée des données de connexion.

En effet, la notion de sécurité nationale telle qu’entendue en droit français doit aujourd’hui, selon le Conseil d’État « être appréciée au regard de l’ensemble des intérêts fondamentaux de la Nation listés à l’article L. 811-3 du code de la sécurité intérieure », notion extrêmement large concernant notamment « les intérêts majeurs de la politique étrangère », les « intérêts économiques, industriels et scientifiques majeurs de la France » ou les risques tenant aux « violences collectives » que le Conseil constitutionnel a notamment rattaché, dans sa décision sur la loi renseignement de 2015, à l’organisation de manifestation non déclarées. Ainsi, dans sa récente décision, le Conseil d’État souligne ainsi que la menace pour la sécurité nationale n’est pas seulement liée au risque terroriste mais aussi au « risque d’espionnage et d’ingérence étrangère », à « l’activité de groupes radicaux » (Conseil d’État, 21 avril 2021, n° 393099 et s., § 44).

Une telle notion est donc très éloignée de la notion de menace grave pour la sécurité nationale telle qu’entendue par la Cour de Justice de l’Union européenne, qui ciblait spécifiquement « des activités de terrorisme », et ce dans les seuls cas où ces activités représenteraient une menace réelle et immédiate. Il revenait donc au législateur de limiter la conservation généralisée des données de connexion à des situations beaucoup plus restreintes, exceptionnelles et proportionnées que celles dégagées par le Conseil d’État autour de son interprétation dévoyée de la notion de sécurité nationale.

3. Sur l’absence de contrôle effectif

Le dispositif tel que prévu par le législateur ne prévoit pas de contrôle effectif répondant aux exigences de la Cour de Justice de l’Union européenne.

Aucun contrôle de la CNCTR n’est prévu sur l’injonction du Premier ministre, alors que cette institution est un des maillons essentiel de la chaîne opérationnelle encadrant le recueil des renseignements. C’est d’ailleurs un des regrets exprimé par la CNIL dans son avis sur le projet de loi qui considère que l’injonction du Premier ministre « devrait être soumis pour avis à la CNCTR » (CNIL, Délibération n° 2021-053, § 16).

Le seul contrôle possible de la conservation généralisée des données de connexion n’est finalement pas dans la loi, mais est dévolu à la potentialité du recours à un juge. Comme le rappelle la commission des lois du Sénat, ce contrôle correspondrait en réalité à la possibilité que le Conseil d’État soit « éventuellement saisi en référé du décret du Premier ministre » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi du « relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021). Il ne s’agit en aucun cas d’un contrôle effectif tel que demandé par la Cour de Justice de l’Union européenne mais d’un contrôle dépendant de la volonté de possible requérants qui ne pourrait être réalisé qu’a posteriori, soit une fois que la mesure portant atteinte à la vie privée ait été réalisée.

Il en résulte que l’article 17 de la loi déférée ne respecte pas les articles 2 de la Déclaration de 1789 et 88-1 de la Constitution.

PARTIE 3. Sur l’extension des obligations de coopération des opérateurs de communications électroniques et des fournisseurs de services (Article 12)

L’article 12 prévoit la coopération forcée des opérateurs et fournisseurs de communications électroniques avec les services de renseignement afin de mettre en œuvre des techniques d’intrusion informatique directement sur des terminaux.

En droit :

Le Conseil constitutionnel censure depuis longtemps l’incompétence négative du législateur (cf. Cons. constit., 26 janv. 1967, Loi organique modifiant l’ordonnance du 22 décembre 1958, 67-31 DC), même d’office lorsque les auteurs de la saisine ne l’ont pas invoqué (cf. Cons. constit., 20 janv. 1984, Loi relative à l’enseignement supérieur, 83-165 DC). Le Conseil constitutionnel analyse ainsi régulièrement la méconnaissance, par le législateur, de l’étendue de sa propre compétence en lien avec le principe de clarté de la loi, d’une part, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, d’autre part (voir notamment Conseil constit., 12 août 2004, Loi relative aux libertés et responsabilités locales, 2004-503 DC, cons. 29).

Précisément, le commentaire autorisé du Conseil constitutionnel sous la décision 2004-503DC, explique que : «le principe de clarté, qui résulte de l’article 34 de la Constitution, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, qui découle des articles4,5,6 et 16 de la Déclaration de 1789 (…), imposent au législateur d’adopter des dispositions suffisamment précises et des formules non équivoques. A défaut, il renverrait à d’autres (administrations, juridictions) des choix que la Constitution lui a confiés en propre ».

De plus, le Conseil constitutionnel a pu censurer des dispositions au regard de leur complexité excessive, qui se traduisait notamment par censurer une disposition sur le fondement du « caractère imbriqué, incompréhensible pour le contribuable, et parfois ambigu pour le professionnel, de ses dispositions, ainsi que par les très nombreux renvois qu’il comporte à d’autres dispositions elles-mêmes imbriquées ; […] les incertitudes qui en résulteraient seraient source d’insécurité juridique, notamment de malentendus, de réclamations et de contentieux » (Décision n° 2005-530 DC du 29 décembre 2005, cons. 84)

Enfin, le Conseil constitutionnel a déjà jugé que ne sont pas conformes à la Constitution en ce qu’elles portent une atteinte manifestement disproportionnée au droit au respect de la vie privée des dispositions prévoyant des mesures de surveillance et de contrôle qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre » des exigences constitutionnelles et qui ne « définissent pas la nature des mesures de surveillance et de contrôle que les pouvoirs publics sont autorisés à prendre » (cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

En l’espèce :

Par le jeu de multiples renvois, l’article 12 étend le champ d’application des articles L.871-3 et L.871-6 du Code de sécurité intérieure qui permettent de contraindre les opérateurs et les fournisseurs d’accès à collaborer à la mise en œuvre des mesures de renseignement directement sur les réseaux et terminaux. L’article 12 aboutit ainsi in fine à permettre aux services de renseignement de solliciter ces acteurs pour la mise en œuvre de nouvelles mesures extrêmement intrusives, qui étaient circonscrites auparavant aux seuls acteurs du renseignement.

En premier lieu, le législateur n’a pas pris le soin de viser explicitement le contenu des mesures de surveillance et de contrôle visées par cette extension et s’est contenté de viser, par renvoi, plusieurs articles du code de sécurité intérieure et même des sections entières du code de procédure pénale. En élargissant de façon substantielle le nombre des situations pour lesquelles les services de renseignement peuvent requérir la contribution des fournisseurs et opérateurs et en ne listant pas précisément dans quelle mesures et sous quelles conditions cette contrainte pourrait être justifiée, le législateur a empêché les destinataires et personnes concernées par ces dispositions de comprendre et appréhender les situations concrètes prévues par ces dispositions.

L’analyse réelle de ces dispositions étaient par ailleurs totalement absente de l’exposé des motifs et de l’étude d’impact du Gouvernement ainsi que de l’avis du Conseil d’État et des rapports des différentes commissions.

Par cette absence de précision et par la complexité excessive de la rédaction de cet article, le législateur a incontestablement créé une situation d’insécurité juridique et méconnu l’étendue de sa compétence en manquant à remplir l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi.

En second lieu, l’élargissement des techniques de renseignement pour lesquelles les opérateurs et fournisseurs peuvent être contraints de collaborer crée une atteinte manifestement disproportionnée au droit au respect de la vie privée.

À titre d’exemple, l’article L.853-2 du code de sécurité intérieure permettrait de contraindre des opérateurs de messagerie ou de téléphonie chiffrée à déployer des failles de sécurité sur des terminaux préalablement identifiés. Will Cathcart, dirigeant de la société Whatsapp, exprimait ces inquiétudes dans le journal Le Monde : « Ce serait une bonne chose que les implications de cet article soient clarifiées. », le journaliste indiquant que « la formulation actuelle évoque la mise en place de mesures de contournement du chiffrement de bout en bout » (Le Monde, « Vie privée, sécurité, e-commerce… Le patron de WhatsApp s’explique », 28 juin 2021).

De la même manière, les opérateurs pourraient être contraint de collaborer aux interceptions de données de connexions et interceptions de correspondances par « IMSI-catching » prévues par les article L. 852-1 et L. 851-6 du code de sécurité intérieure ainsi que par l’article 706-95-20 du code de procédure pénale. Pour rappel, l’IMSI-catcher est un outil permettant de capter toutes les données de communication dans un rayon donné.

De manière pratique, cela peut correspondre aussi à, par exemple, contraindre un opérateur de téléphonie ou d’Internet d’envoyer un SMS contenant un lien vérolé en son nom ou de le contraindre à déployer une mise à jour frauduleuse du code d’une box Internet pour en donner le contrôle aux services de renseignement, ou même encore de profiter de l’action d’un technicien pour conduire une attaque contre un périphérique informatique d’un abonné.

De même, le ministre de l’intérieur expliquait ainsi sur France Inter, avant le dépôt de la loi déféré, que « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive » (France Inter, 28 avril 2021, L’invité de 8h20). Cherchant à détailler ce point, le ministre a expliqué en hémicycle lors de l’examen de la loi à l’Assemblée nationale le 17 mai 2021 : « Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. […] le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »

Si les précédentes possibilités de requérir l’aide de ces acteurs se limitaient à donner accès aux données et contenus déjà produits dans l’utilisation de leurs services et auxquels ils pouvaient accéder, il s’agirait ici de les rendre directement acteurs de la compromissions des outils des utilisateurs de leurs services les mettant en position de conduire ou de participer à une intrusion informatique sur demande des services sans pouvoir s’y opposer.

La modification des dispositions du code de sécurité intérieure change considérablement la nature, l’échelle et les circonstances permettant l’utilisation des techniques visées par l’article 12. Pourtant, le législateur n’a prévu aucune garantie ou limitation supplémentaires spécifiques aux nouvelles situations créées par cette disposition propres à empêcher l’atteinte manifestement disproportionnée au droit à la vie privée générée par cette extension.

Il en résulte que l’article 12 de la loi déférée est contraire aux articles 2 et 34 de la Constitution.

PARTIE 4. Sur la conservation à des fins de recherche – (Article 10)

L’article 10 allonge la durée de conservation des renseignements à des fins de recherche et de développement.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

Par ailleurs, l’article 34 de la Constitution oblige le législateur à fixer les règles concernant les garanties fondamentales accordées au citoyen et, notamment à ce titre, de définir en cas d’atteinte à ces libertés, les conditions d’exploitation, de conservation et de destruction des données collectées. Le Conseil constitutionnel a ainsi considéré que ne sont pas conformes à la Constitution des dispositions prévoyant des mesures de surveillance qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre [des exigences de sauvegarde des intérêts fondamentaux de la Nation] » (Cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

Enfin, si le Conseil constitutionnel a admis, notamment dans sa décision de 2015, la légalité de certaines techniques de renseignement conduisant au recueil et à la collecte de certaines données à caractère personnel, il ne l’a admis que pour des finalités précisément détaillées et liées notamment à la sécurité nationale, la prévention du terrorisme ou les intérêts majeurs de la politique étrangère (voir Décision n° 2015-713 du 23 juillet 2015). De la même manière, comme rappelé précédemment, la Cour de Justice a limité la possibilité d’une conservation des données de connexion à l’existence de considérations liées à des menaces graves pouvant porter atteinte à la sécurité nationale d’un État membre (voir CJUE, La Quadrature du Net, 6 octobre 2020, tel que cité précédemment).

En l’espèce :

L’atteinte à la vie privée constituée par ce dispositif est particulièrement grave et disproportionnée.

En premier lieu, l’article 10 concerne l’intégralité des renseignements qui sont obtenus dans le cadre des activités de renseignement (factures téléphoniques détaillées, écoutes téléphoniques, surveillance et analyse du réseau de télécommunication…). Cela pourrait donc être potentiellement la totalité du trafic téléphonique et Internet français (et a minima de très nombreuses données de personnes qui n’ont pas été directement la cible d’une technique de renseignement) qui pourraient être récupérées, par les services dédiés de recherche et développement, et conservées pour une très longue durée. Une fois stockées au prétexte de la recherche et développement, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…).

À ce titre, la conservation de l’ensemble de ces données n’est justifiée que par un objectif de « recherche et de développement en matière de capacités techniques de recueil et d’exploitation des renseignement ». C’est une finalité particulièrement large et libre d’interprétation qui ne correspond en aucun cas aux exigences du Conseil constitutionnel ou à celles édictées par la Cour de Justice de l’Union européenne.

En second lieu, la Défenseure des droits a considéré que la loi manquait de précision sur les conditions exactes de traitement et d’anonymisation des données et que, au minimum, un décret était nécessaire pour préciser l’anonymisation de ces données et les modalités d’élaboration des algorithmes utilisés (Avis du défenseur des droits n° 21-07 du 18 mai 2021, p. 16). C’est également l’avis de la CNIL qui estime que « le régime de réutilisation des données (…) devrait être encadré par un décret d’application et que des garanties complémentaires soient prévues dans l’hypothèse où ce traitement serait mis en œuvre au moyen d’un traitement algorithmique » (CNIL, Délibération n° 2021-040, § 43).

Aucune précision n’a pourtant été apportée sur ces différents points par le législateur qui n’a prévu aucun report à un décret permettant au minimum de préciser ces différents points. Le seul encadrement réside en amont dans l’autorisation préalable du Premier ministre et l’existence d’avis non contraignants rendus par la CNCTR, ce qui est largement insuffisant au vu des dangers de cette disposition et ne répond pas aux critères d’exigence d’un contrôle effectif.

Il en résulte que l’article 10 est contraire aux articles 2 de la Déclaration de 1789 ainsi qu’aux articles 24 et 88-1 de la Constitution.

]]> https://www.laquadrature.net/?p=17495http://isyteck.com/autoblog/quadrature/index.php5?20210727_100000__Bastamag__Nouvelle_loi_renseignement____le_gouvernement_place_la_population_sous_surveillance_algorithmiqueTue, 27 Jul 2021 08:00:00 +0000Conservation généralisée des données de connexion, surveillance de masse… Adopté par les députés, avant le Sénat fin juin, le projet de loi renseignement passe en procédure accélérée. Mais son contenu inquiétant mériterait un débat public d’ampleur. […]

« Un monstre qui grandit dans l’ombre » : voilà ce que constitue, pour Arthur Messaud, cette nouveauté. « Un État qui conserve pendant cinq ans les données captées de la population… Il y a deux ans, ça aurait fait la Une de la presse pendant des semaines » se désespère le juriste. Pour lui, il s’agit d’un copié-collé du modèle de recherche exploratoire de la NSA, révélé par Edward Snowden […].

https://www.bastamag.net/anti-terrorisme-loi-renseignement-surveillance-…

]]> https://www.laquadrature.net/?p=17496http://isyteck.com/autoblog/quadrature/index.php5?20210726_190000__Reporterre__Le_passe_sanitaire__un_pas_de_plus_dans_____l___autoritarisme_____et_la_____societe_du_controle____Mon, 26 Jul 2021 17:00:00 +0000« Overdose d’autoritarisme », « adoption hâtive de lois », « politique absurde »… Penseurs telle Barbara Stiegler, associatifs, défenseurs des libertés, syndicats, politiques s’inquiètent des mesures liberticides de l’exécutif. Car avec le passe sanitaire, un cran de plus a été atteint dans le contrôle des corps et des esprits. […]

Bastien Le Querrec, membre de la Quadrature du net, regrette que « la fin justifie désormais les moyens. Les effets de bord en matière de liberté ne sont pas pris en considération, dit-il à Reporterre. On habitue la population à ce genre de contrôle, on lui refuse l’anonymat. Il y a une continuité entre cet outil et les autres dispositifs de surveillance qui se sont développés avec la crise sanitaire : la vidéosurveillance automatisée, la reconnaissance faciale, etc. ». […]

https://reporterre.net/Le-passe-sanitaire-un-pas-de-plus-dans-l-autorita…

]]> https://www.laquadrature.net/?p=17479http://isyteck.com/autoblog/quadrature/index.php5?20210716_192556_Lundi_prochain__Laurent_Wauquiez_veut_autoriser_la_reconnaissance_faciale_dans_les_trains_et_les_garesFri, 16 Jul 2021 17:25:56 +0000Cet article a été publié à l’origine sur notre blog Technopolice

Lundi 19 juillet prochain, Laurent Wauquiez présentera à l’assemblée de la région Auvergne-Rhône-Alpes un projet de délibération pour lui permettre de déployer la reconnaissance faciale dans les gares, de financer l’achat de logiciel d’analyses comportementales et de multiplier les caméras de vidéosurveillance. C’est un pur projet de Technopolice, dangereux et illégal, que l’assemblée plénière du conseil régional se doit de rejeter.

Après les mensonges et les fantasmes sécuritaires de Valérie Pécresse en Île-de-France, Laurent Wauquiez veut lui aussi faire la promotion de la Technopolice dans la région Auvergne-Rhône-Alpes.

Lundi 19 juillet prochain, jour de l’assemblée générale du conseil régional, il présentera un projet qu’il entend bien faire voter (le projet, qui nous été transmis par le groupe « Les Écologistes » de la région est disponible ici). Au programme, notamment :

– « accompagner, [dans les trains régionaux et les gares] à titre expérimental, un premier dispositif de reconnaissance faciale, uniquement accessible aux autorités compétentes » ;

– « déployer la vidéoprotection à l’intérieur des cars scolaires et interurbains » ;

– « poursuivre l’équipement en caméras de vidéoprotection en temps réel des trains régionaux » ;

– « renforcer le bouclier “vidéoprotection” avec 10 000 caméras supplémentaires et en l’étendant à la vidéoprotection intelligente ainsi qu’à l’expérimentation de systèmes innovants (exemple : la technologie biométrique…) ».

Logique sécuritaire sans fin

Dans le document, Laurent Wauquiez revient ainsi sur sa politique de sécurité des dernières années : déploiement massif de caméras dans les gares, les trains et les lycées, financement de la vidéosurveillance en temps réel… Selon lui, cela ne suffit toujours pas : il faut surveiller encore plus et « intégrer de nouveaux espaces », comme les « stationnements des vélos, certains ascenseurs, passages souterrains, passerelles », sans oublier « l’ensemble des transports scolaires ». Filmer tout, tout le temps, en temps réel, ne plus laisser un seul espace de libre à l’anonymat. Peut-être rejoindra-t-il Christian Estrosi qui veut maintenant mettre des projecteurs de lumière ultra-puissants dans la ville qui se déclencheraient en cas d’attroupements : comme si l’ombre était liée à la criminalité.

On imagine tristement leur ville rêvée : partout de la lumière et des caméras, la ville transformée en un grande un espace où des robots dissèquent et analysent nos moindres gestes.

Reconnaissance faciale et analyse comportementale

Car évidemment, le projet de Laurent Wauquiez rejoint un son de cloches que l’on entend de plus en plus du côté des promoteurs de la Technopolice : toutes ces caméras ne serviraient selon eux à rien si des logiciels d’ « intelligence artificielle » ne venaient pas aider à alerter sur les comportements préalablement établis comme « suspects ». C’est une inversion de logique : alors que la vidéosurveillance est toujours contestée, et puisque son efficacité est régulièrement remise en question (la Cour des comptes en parlait encore en 2020), ses promoteurs affirment qu’il faut donc aller encore plus loin.

Dans la même lignée, Laurent Wauquiez veut expérimenter la reconnaissance faciale et financer l’équipement des communes en logiciels de vidéosurveillance automatisée (la délibération telle que présentée est d’ailleurs étonnamment floue : « reconstituer rapidement a posteriori le parcours de délinquants ou criminels dans les trains régionaux »).

Alors même que de tels dispositifs seraient illégaux car ils ne remplissent en aucun cas les critères posés par la loi française ou le droit européen (voir notamment la directive Police-Justice) : ils n’obéissent nullement à une « nécessité absolue », ne présentent pas les « garanties appropriées » et ne sont encadrés par aucun texte spécifique (comme l’exige pourtant l’article 10 de la directive Police-Justice).

C’est pour cela que nous avons gagné contre le projet de portiques de reconnaissance faciale à Nice et Marseille (voir notre article ici), que nous avons attaqué le projet de surveillance de Marseille (voir notre article ici) et que nous sommes en ce moment devant le Conseil d’État contre la reconnaissance faciale via le fichier des traitements des antécédents judiciaire (voir notre article).

Surenchère sécuritaire et élection présidentielle

Il est probable que Laurent Wauquiez et son équipe soient parfaitement conscients de l’illégalité de leur projet. On imagine que, comme Valérie Pécresse ou Christian Estrosi, la véracité de leur propos ou la légalité de leurs actions ne les intéressent que peu. Ils veulent avant tout mettre en avant une idéologie sécuritaire, qu’ils imaginent flatter une certaine catégorie d’électeurs en vue des échéances électorales à venir. A chaque échéance, ils iront donc un peu plus loin dans leurs propositions.

Il faut que cessent ces projets mis en place illégalement par la classe politique, comme l’usage de drones par la police l’année dernière et tous ces projets technopoliciers que nous avons pu participer à faire échouer. Il faut leur opposer, aujourd’hui et demain, notre refus de la surveillance biométrique et du tout-sécuritaire. Il nous faut dénoncer leurs fantasmes totalitaires. Nous appelons le conseil régional à s’opposer lundi prochain à ce projet de délibération.

]]> https://www.laquadrature.net/?p=17446http://isyteck.com/autoblog/quadrature/index.php5?20210715_124046_In_memoriam_Philippe_Aigrain__1949-2021_Thu, 15 Jul 2021 10:40:46 +0000C’est avec une immense tristesse que nous avons appris lundi le décès de Philippe Aigrain en montagne, près de sa maison dans les Pyrénées.



Photo : Jérémie Zimmermann

Informaticien et grand humaniste, militant infatigable, chercheur et intellectuel qui aidait à y voir clair dans ces temps troublés, Philippe a fait partie en 2008 des cofondateurs historiques de La Quadrature du Net. Il fut président de l’association de 2013 à 2017. Tout jeune, il avait été actif lors du soulèvement de mai 1968. Il fut ensuite un compagnon de route des radios libres dans les années 1970, avant d’explorer les potentialités démocratiques d’Internet et de devenir un ardent défenseur des logiciels libres et des biens communs. Ces dernières années, il travaillait à l’accueil solidaire des exilés et dirigeait la maison d’édition publienet, tout en faisant paraître ses poèmes et, plus récemment, son premier roman, intitulé Sœur(s).

Philippe était de ces personnes qui forcent d’emblée le respect et l’admiration par ses qualités humaines exceptionnelles, son immense gentillesse et sa grande sensibilité, mais aussi par la profondeur de sa réflexion, sa curiosité, sa générosité, sa capacité à conjuguer les savoirs à travers une pensée proprement interdisciplinaire. Tout cela lui permettait non seulement de naviguer entre des communautés militantes, intellectuelles et artistiques de par le monde, mais aussi d’y apporter des contributions précieuses et de tisser des ponts entre tous ces gens.

À La Quadrature, il a été un modèle pour nombre d’entre nous, un mentor et un ami qui se montrait toujours curieux, ouvert, mais aussi très encourageant avec les personnes fraîchement arrivées au sein du collectif. Il était l’un des piliers qui nous permettait de tenir et de traverser les moments difficiles. Nous admirions sa capacité d’indignation, la rigueur et la richesse de ses analyses, la manière dont il savait mettre à distance certains réflexes militants pour appréhender une situation dans toute sa complexité. Lors qu’on risquait de se perdre dans les détails d’un dossier, il savait aussi nous inviter à prendre de la hauteur et à revenir aux questions politiques fondamentales. Par exemple, lors d’un débat interne fin 2016, nous discutions de notre position sur la création du fichier biométrique TES, que le gouvernement présentait alors comme une manière de lutter contre la fraude à l’identité… on fourbissait des arguments un peu trop techniques et juridiques à son goût, et il avait mis tout le monde d’accord en évoquant la Résistance et en rappelant que des documents d’identité infalsifiables étaient tout simplement contraires aux formes de vie démocratiques.

Philippe avait également insisté dès le début pour que La Quadrature soit force de propositions positives. Il avait ainsi envisagé un système complet pour permettre au public et aux créateurs et créatrices de se rencontrer autour de leurs œuvres en permettant le partage libre de celles-ci, tout en soutenant et encourageant financièrement la création. Il fut à l’origine de la Contribution Créative, une idée avant-gardiste permettant autant l’accès généralisé à la culture que le soutien matériel à la création. En lien avec Lionel Maurel, il compila ces pistes de réforme dans les propositions positives de réforme du droit d’auteur, publiées par La Quadrature suite au rejet de l’accord commercial anti-contrefaçon ACTA, à l’été 2012.

Durant toutes ces années, Philippe nous a surtout appris par l’exemple qu’on peut conjuguer un regard lucide sur le monde et une grande exigence dans l’engagement politique, sans pour autant se départir ni du soin de soi et des autres, ni de la joie et de la poésie.

Nous allons prendre le temps d’honorer sa mémoire. Nous ferons vivre son héritage en continuant nos combats, que ce soit pour les droits humains dans l’environnement numérique, pour le partage des savoirs ou tout simplement pour plus de beauté et d’humanité dans ce monde.

Pour l’heure, nos pensées endeuillées vont à sa femme Mireille, à ses filles et à ses petits-enfants.

• Sœur(s), un roman abordant les enjeux liés à la surveillance, et publié en septembre 2020 aux éditions Publienet.
• Sharing, Culture and the Economy in the Internet Age, un plaidoyer en faveur du droit au partage non-marchand des oeuvres culturelles, publié en 2011 aux presses de l’université d’Amsterdam.
• Cause commune, un essai en faveur des biens communs informationnels et contre la propriété intellectuelle, publié en 2005 aux éditions Fayard.
• Quelques Poèmes de Philippe à retrouver ici  
]]> https://www.laquadrature.net/?p=17436http://isyteck.com/autoblog/quadrature/index.php5?20210708_182133_Dysfonctionnements_systemiques_des_autorites_de_protection_des_donnees____le_cas_belgeThu, 08 Jul 2021 16:21:33 +0000Nous dénonçons depuis un bon moment le fonctionnement de la CNIL française et son manque de volonté politique de protéger nos libertés. Depuis 2018 et le dépôt de nos plaintes collectives contre les GAFAM nous avons aussi pu constater l’incurie des autorités irlandaise et luxembourgeoise : cela fait 3 ans que nous avons déposé avec plusieurs milliers de personnes des plaintes, sans aucune nouvelle depuis. Mais ce ne sont pas les seules en Europe à connaître des dysfonctionnements. Petite analyse des soucis que rencontre l’Autorité de protection des données (APD) en Belgique.

En mai 2016 était voté le RGPD, règlement européen visant à protéger les données personnelles contre leur utilisation abusive, tant par les entreprises privées que par les États. Applicable depuis mai 2018, ce texte ordonne par son article 51 la mise en place d’« autorités nationales indépendantes […] chargées de surveiller l’application du présent règlement ». Il est prévu qu’elles coopèrent entre elles, sous une forme de fédération. L’article 52 exige l’indépendance de ces autorités.

Nous avons régulièrement critiqué le fonctionnement de la CNIL en France, tout comme l’autorité irlandaise ou luxembourgeoise, pour la faible qualité de la prise en charge des plaintes et les retards pris dans le traitement de ces dernières.

La commission LIBE¹LIBE est la commission libertés civiles, de la justice et des affaires intérieuresdu parlement européen elle-même confirmait en février notre analyse (voir ici, § « Exécution »), préoccupée par l’insuffisante mise en œuvre du RGPD, la trop longue durée des instructions, et les déclarations par les autorités elles-même sur les manque de moyens, humains et financiers, pour mener à bien leur mission.

Nous avions un a-priori plutôt positif sur l’autorité belge, l’APD (Autorité de protection des données). Dirigée par 5 co-directeurs et co-directrices, avec une présidence tournante de 3 ans, très proche du public (l’APD a par exemple organisé un vrai-faux concours pour accéder à un concert pour sensibiliser les jeunes à la protection de leurs données personnelles), critiquant ouvertement l’action des autorités publiques – en particulier pendant la crise sanitaire –, l’APD semblait bénéficier d’une santé politique inégalée.



Malheureusement, les dysfonctionnements dépassaient en réalité ce que nous imaginions. Sa mise en place courant 2019, soit avec un an de retard par rapport à l’entrée en application du RGPD et trois ans après le vote du texte, était un premier signal. L’APD est composée, entre autres organes, d’un Centre de Connaissances qui émet des avis sur des avant-projets de lois, de décrets ou d’arrêtés du gouvernement belge. Cette mission implique naturellement qu’il soit hautement protégé de toute influence de l’État et que ses membres ne soient pas en situation de conflit d’intérêts.

Las : le Centre de Connaissances a vu la nomination d’ « experts » ayant un ou plusieurs mandats publics, mais aussi l’ingérence du président de l’APD dans son travail. On peut citer notamment l’arrivée au sein du Centre de Franck Robben, grand ami du gouvernement et homme multi-casquettes des données personnelles en Belgique : il est entre autres directeur du Comité de Sécurité de l’Information (CSI), organisme qui décide du partage des données personnelles par les administrations belges, et gère aussi une entreprise qui fournit les outils informatiques de gestion des données personnelles, notamment dans le cadre de la crise du covid-19. L’outil de contrôle des lois a bien du mal à remplir sa mission de manière indépendante.

Cette situation a été maintes fois dénoncée, en particulier par deux co-directrices de l’APD, Alexandra Jaspar et Charlotte Dereppe. Que ce soit auprès de la Chambre des représentants (chambre basse du parlement fédéral belge) ou directement auprès des député·es, plusieurs courriers officiels ont régulièrement dénoncé les agissements de certains membres au sein de l’autorité et la mise en péril de son indépendance. Pour un résultat, ne nous le cachons pas, proche du néant. La racine du problème viendrait-elle en ce que l’ADP est la continuation de l’autorité historique, la CPVP, à l’époque si complaisante avec le pouvoir politique ?

La Ligue des Droits Humains s’en était aussi émue en juin 2020 dans un courrier à la Chambre des représentants, pointant nommément les violations flagrantes de la loi belge et du RGPD par le président de l’autorité, mais aussi par la présence d’experts en situation de conflit d’intérêts.

Suite à ces diverses alertes, l’ensemble de l’équipe de co-direction de l’APD avait été auditionnée le 21 octobre 2020 par la commission Justice de la Chambre des représentants. La conséquence ? L’envoi d’un courrier aux co-directrices demandant à ce que les « conflits interpersonnels ne produisent pas d’effets négatifs sur le fonctionnement et le rayonnement de l’APD » : pas de vagues, pas de problèmes.

Il aura fallu que soit saisie la Commission européenne en février 2021, puis que cette dernière finisse par lancer en juin 2021 une procédure d’infraction à l’encontre de la Belgique pour son non-respect du RGPD. L’affaire n’est donc pas terminée, et le fait que la Commission soit obligée d’agir contre un État membre comme la Belgique pour obtenir qu’une autorité indépendante le soit réellement n’est pas pour nous rassurer sur la bonne santé des institutions européennes.

De nouveau, l’équipe de co-direction sera auditionnée ce vendredi par la Chambre des représentants. Cette fois, l’objectif semble être la levée des mandats de certains directeurs, y compris les lanceuses d’alerte. Une tactique de la terre brûlée plutôt qu’une remise en question.

Les autorités de contrôle dans l’Union européenne n’appliquent pas le droit tel qu’elles le devraient. Parce qu’elles n’en ont pas les moyens techniques, financiers ou politiques. Elles ont – de même que les États qui se complaisent de cette situation – une responsabilité forte dans la situation dans laquelle nous nous trouvons aujourd’hui, avec des entreprises et des États toujours plus équipé·es en outils de surveillance et d’analyse de nos données personnelles, au mépris flagrant des différents textes juridiques pourtant protecteurs sur le papier.

La situation au sein de l’APD belge s’ajoute aux précédents dysfonctionnements que nous avions relevé. Une remise à plat générale du fonctionnement des APD européennes nous semble essentielle pour que le droit soit enfin appliqué et que le RGPD joue pleinement son rôle de protecteur des données personnelles de la population.

References[+]

References

↑1	LIBE est la commission libertés civiles, de la justice et des affaires intérieures

]]> https://www.laquadrature.net/?p=17424http://isyteck.com/autoblog/quadrature/index.php5?20210706_130536_Passe_sanitaire____le_Conseil_d___Etat_valide_la_violation_de_la_loiTue, 06 Jul 2021 11:05:36 +0000Par une ordonnance rendue aujourd’hui, le Conseil d’État a rejeté le référé liberté que nous avions déposé en juin. Dans une décision déplorable qui traduit une absence de compréhension des faits et qui revient sur des éléments que nous ne contestions pas, le Conseil d’État, après avoir laissé la situation pourrir pendant trois semaines (alors que les textes prescrivent un délai de 48 heures) refuse de voir une illégalité manifeste dans le passe sanitaire.

En juin, quelques jours après la mise en œuvre de l’obligation de présenter un passe sanitaire, nous attaquions le dispositif utilisé en raison des nombreuses données personnelles présentes. Nous estimions ainsi que le code en deux dimensions présent sur les passes et qui est scanné à l’entrée de divers lieux banalise un contrôle d’identité permanent et inutile. Nous attaquions également le fait que le passe sanitaire – que ce soit le format français utilisé avant le 25 juin ou le format européen utilisé depuis – permet à n’importe quelle personne scannant les codes en deux dimensions de consulter les données de santé (en plus du nom, prénoms, date de naissance) des personnes détentrices des documents : date, lieu et type de test RT-PCR, résultat du dépistage ; nom et fabricant du vaccin, nombre de doses reçues et nombres de doses nécessaires, date de la dernière injection. Comme l’a relevé un groupe de chercheur·euses, dont NextINpact résumait l’analyse, ces données sont particulièrement bavardes, et permettent par exemple de déterminer si une personne est immunodéprimée.

Dans son ordonnance, le Conseil d’État se pose comme tutelle du gouvernement. Le ministère des solidarités et de la santé n’a absolument pas défendu le dossier, produisant d’abord quatre pages creuses de défense, enchaînant ensuite les contres-vérités techniques à l’audience et assumant avoir fait le choix de mettre en danger les données personnelles des personnes. Malgré tout, le juge des référés estime que ce passe n’est pas manifestement illégal (une condition de recevabilité du référé liberté ; autrement dit, le doute profite à l’administration).

La plus haute juridiction administrative enchaîne également les erreurs pour sauver le passe. Le Conseil d’État dénature ainsi notre requête en affirmant que nous estimions que « [les] données ne sont pas lisibles par les personnes habilitées à contrôler le passe sanitaire ». Au contraire, nous affirmions – preuves techniques à l’appui – que les données du passe sanitaire peuvent être détournées par n’importe quelle personne scannant un passe sanitaire (dont, bien évidemment, les personnes chargées de vérifier ces passes à l’entrée d’un festival ou d’un concert).

L’analyse d’impact produite par le gouvernement estimait pourtant elle-même que ce risque de fausse application de lecture permettant de détourner les données était d’une gravité et d’une vraisemblance importante. Cela n’empêche pas le Conseil d’État de juger que ce risque « semble peu élevé. ».

Par ailleurs, alors que nous ne contestions pas devant le Conseil d’État l’application officielle de vérification des passes sanitaires (nous précisions en outre dans notre requête que cette question était sans conséquence sur l’issue du litige), ni la fonction « Carnet » de TousAntiCovid qui permet de sauvegarder sur son téléphone un passe sanitaire, la décision d’aujourd’hui revient sur ces deux éléments. Le Conseil d’État précise que la version numérique est facultative, alors même que la version papier des passes sanitaires met en danger de la même manière les données personnelles contenues dans le code en deux dimensions…

Résumons cette triste décision : la CNIL, tout en admettant que le détournement des données est possible, se fait depuis le début la porte-parole du gouvernement ; le Conseil d’État laisse pourrir la situation avant de sauver in extremis le gouvernement ; le Parlement a quant à lui été ignoré. Naturellement, le gouvernement prépare donc déjà l’extension du passe sanitaire. Nous avons donc particulièrement besoin de votre soutien pour continuer ces luttes.

• Requête de référé liberté
• Mémoire complémentaire
• Première note en délibéré
• Deuxième note en délibéré
• Troisième note en délibéré
• Analyse d’impact sur la protection des données produite par le gouvernement
]]> https://www.laquadrature.net/?p=17409http://isyteck.com/autoblog/quadrature/index.php5?20210705_120000__blast-info.fr__Le_pass_sanitaire_attaque_devant_le_conseil_d___EtatMon, 05 Jul 2021 10:00:00 +0000La crise sanitaire a conduit le gouvernement à mettre en place de nombreux dispositifs exceptionnels. Parmi eux le pass sanitaire censé attester de l’état de vaccination d’une personne. Mais pour Bastien Le Querrec de la Quadrature du net, ce pass et en particulier son QR code comportent de nombreux risques pour la protection de nos données personnelles.

https://www.blast-info.fr/articles/2021/le-pass-sanitaire-attaque-devant…

]]> https://www.laquadrature.net/2021/07/04/marianne-net-securite%e2%80%89-faut-il-adopter-la-reconnaissance-faciale-systematique-dans-les-transports%e2%80%89/http://isyteck.com/autoblog/quadrature/index.php5?20210704_223706__Marianne.Net__Securite_____faut-il_adopter_la_reconnaissance_faciale_systematique_dans_les_transports____Sun, 04 Jul 2021 20:37:06 +0000Dans son programme pour les régionales 2021, Valérie Pécresse prône la mise en place de la reconnaissance faciale dans les transports d’Île de France pour identifier des personnes recherchées par la police, ou bien des comportements suspects. Un gain pour notre sécurité ou la voie express vers la surveillance généralisée ? La parole à Arthur Messaud (La Quadrature du Net) et Frédéric Péchenard, chargé des questions de sécurité au conseil régional d’Île-de-France.

(…) Arthur Messaud : L’idée ne vient pas de Valérie Pécresse, mais d’entreprises comme Thales et Safran qui développent ces technologies et le discours qui va avec. Elles remettent parfois des brochures avec tous les éléments de langage à avancer. À défaut d’avoir construit un discours politique concret, certains vont l’ajouter dans leur programme électoral. Pour les industriels, il n’est pas question de restreindre ces technologies aux transports en commun. Les JO 2024 vont d’ailleurs constituer un moment clé à cet égard. Ce sera l’occasion d’une démonstration de la technicité de la France pour vendre ces matériels. (…)

https://www.marianne.net/societe/big-brother/securite-faut-il-adopter-la…

]]> https://www.laquadrature.net/?p=17403http://isyteck.com/autoblog/quadrature/index.php5?20210701_133007_Projet_de_loi_Renseignement____perennisation_de_la_surveillance_de_masseThu, 01 Jul 2021 11:30:07 +0000Nous republions sur notre site la tribune d’Arthur Messaud et de Martin Drago, juristes à La Quadrature du Net, sur la loi Renseignement, publiée à l’origine par Le Monde le 29 juin – le texte a finalement été adopté dans la nuit du 29 au 30 juin

À partir du 29 juin, les sénateurs examineront en hémicycle le nouveau projet de loi en matière d’antiterrorisme et de renseignement. Nous les appelons à rejeter entièrement ce texte.

Parmi les nombreuses dispositions de ce texte attentatoire à nos libertés [1], l’une des plus graves concerne la surveillance de masse des communications par algorithmes, appelés aussi « boîtes noires ». Ces logiciels analysent l’ensemble des métadonnées (numéros de téléphone appelés, dates et durées des appels, etc.) transitant sur les réseaux afin de détecter des comportements qui, d’après les services de renseignement, pourraient révéler des activités terroristes. Voté comme une mesure expérimentale en 2015, le nouveau projet de loi veut pérenniser ce dispositif et lui permettre d’analyser désormais aussi les adresses des sites Web consultés.

L’analyse des communications est automatique, réalisée par des machines et non des humains. C’est tout le problème : alors que la surveillance « humaine » ne permettait que des analyses « ciblées », l’automatisation rend possible de surveiller l’ensemble du réseau — toute la population. C’est la logique de la surveillance de masse, du « tous suspects », qui est pérennisée en même temps que cette mesure.

État d’urgence perpétuel

Le fait que le dispositif soit limité à la prévention du terrorisme ne doit en aucun cas nous rassurer : ce critère a déjà été dévoyé pour surveiller des opposants politiques, que ce soit dans l’affaire de Tarnac [affaire politico-judiciaire qui a abouti, en avril 2018, à la relaxe quasi générale de huit militants anticapitalistes] ou dans les diverses mesures de censure contre le réseau Indymedia en 2017[une plate-forme de médias alternatifs]. Les services de renseignement n’étant limités par aucun contre-pouvoir indépendant, nous ne pouvons que redouter une pérennisation de ces dévoiements. Dans sa « Stratégie générale du renseignement » publiée en 2019, l’Élysée considère par exemple que « l’anticipation, l’analyse et le suivi des mouvements sociaux et crises de société par les services de Renseignement constituent une priorité » et que « anticiper les dérives violentes s’applique également […] aux affirmations de vie en société qui peuvent exacerber les tensions au sein du corps social ».

C’est notamment en raison de ces risques pour les libertés que la Cour de justice de l’Union européenne a, dans une décision du 6 octobre 2020, demandé à la France de restreindre l’utilisation de ces algorithmes à une période exceptionnelle de menace grave et imminente pour la sécurité nationale — ce qui, en droit français, renvoie aux périodes d’état d’urgence. Cette limitation n’apparaît nulle part dans le projet de loi du gouvernement, qui choisit donc de placer la France en manquement par rapport au droit européen. Il institue ainsi un état d’urgence perpétuel qui permet de suspendre le droit au secret des correspondances de l’ensemble de la population.

Ce n’est malheureusement pas la seule violation du droit européen qui sera entérinée par ce texte. En plus de permettre leur analyse par algorithme, le droit français exigeait que les métadonnées de l’ensemble de la population soient conservées pendant un an par les opérateurs Internet et de téléphonie. C’est ce qui permet à la police et aux renseignements de géolocaliser facilement des téléphones pour savoir, par exemple, qu’un militant a participé à telle ou telle manifestation. Ici encore, la Cour de justice a décidé en octobre 2020 que cette surveillance de masse n’était possible qu’en période d’état d’urgence. Pour contourner cette exigence, le gouvernement organise dans le nouveau projet de loi un état d’urgence systématique, pour que les métadonnées de l’ensemble de la population restent continuellement à disposition de la police et de l’administration, en violation du droit européen.

Acharnement sécuritaire

Comme si ce mépris flagrant de l’État de droit ne suffisait pas, le projet de loi aggrave la situation. Prétextant simplifier et sécuriser l’analyse algorithmique des métadonnées, l’article 13 du projet de loi propose de dupliquer et d’acheminer l’ensemble des données transitant sur les réseaux vers des locaux relevant du Premier ministre, où elles seront analysées en vue de détecter des communications suspectes. Une fois n’est pas coutume, même la CNIL s’inquiète dans son avis sur le texte que l’ensemble des données relatives aux appels téléphoniques et à l’accès Internet de la population soit ainsi centralisé par un service de l’État.

Tout aussi alarmant, l’article 10 prévoit que les opérateurs de réseaux et de messageries seront désormais contraints de coopérer avec les renseignements pour déployer des logiciels espions sur les appareils ciblés par le gouvernement. Même si nous ne voyons pas encore exactement comment les services pourraient s’y prendre techniquement, le ministère de l’Intérieur annonce trouver dans cette mesure de piratages massifs l’espoir, via la coopération des plus grands acteurs du Web, de contourner à grande échelle le chiffrement des communications.

Ces deux dernières mesures (coopération d’acteurs privés et copie de l’ensemble du trafic) étaient au cœur du scandale mondial provoqué en 2013 par les révélations d’Edward Snowden sur les pratiques des services de renseignement anglo-saxons. Huit ans plus tard, il semble que l’effondrement des libertés publiques soit devenu monnaie courante et n’intéresse plus grand monde, que ce soit au Parlement ou même dans la presse. L’acharnement sécuritaire du gouvernement au cours des dernières années et notamment des derniers mois (loi Sécurité globale, loi Séparatisme, loi Avia, crise sanitaire…) semble avoir largement entamé notre capacité collective à nous mobiliser contre des politiques qui, il y a peu, aurait pourtant été dénoncées comme totalement inacceptables.

[1] Voir notamment le communiqué de l’Observatoire des libertés et du numérique et de Wikimédia France du 15 juin 2021 : « Loi Renseignement 2, refuser l’emballement sécuritaire »

]]> https://www.laquadrature.net/?p=17398http://isyteck.com/autoblog/quadrature/index.php5?20210701_125129_En_France__des_services_de_renseignement_sans_vrais_contre-pouvoirsThu, 01 Jul 2021 10:51:29 +0000Nous republions sur notre site la tribune de Félix Tréguer, membre de La Quadrature du Net, publiée à l’origine sur le site The Conversation le 27 juin – avant donc l’adoption du projet de loi par le Sénat dans la nuit du 29 au 30 juin

Huit ans après les révélations du lanceur d’alerte Edward Snowden, l’Assemblée nationale vient d’adopter, dans une certaine indifférence, le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement. Le texte est désormais en cours d’examen au Sénat [il a finalement été adopté dans la nuit du 29 au 30 juin].

Il s’agit de la première révision d’ampleur de la loi renseignement adoptée en 2015. À l’époque, le gouvernement de Manuel Valls avait défendu ce texte en expliquant que la France était « l’une des dernières démocraties occidentales à ne pas disposer d’un cadre légal, cohérent et complet pour les activités de renseignement ».

Le rapporteur de la loi à l’Assemblée nationale, Jean-Jacques Urvoas, soulignait à l’envie combien elle constituait « un progrès de l’État de droit ». L’affaire était entendue : les services secrets voyaient leurs missions et leurs méthodes consacrées dans la loi ; le renseignement sortait autant que possible de l’exceptionnalité qui le caractérisait pour rentrer dans le rang des politiques publiques normales.

Cette manière de présenter les choses avait le mérite de reconnaître les lacunes historiques de la France en matière de contrôle des services de renseignement. Elle tendait cependant à faire oublier un important corollaire : le fait que la loi votée légalisait a posteriori des mesures de surveillance employées depuis des années en toute illégalité, ce qui aurait dû valoir aux responsables politiques et administratifs ayant autorisé ces programmes des poursuites pénales.

Le projet de loi débattu en ce moment même au Sénat est certes bien moins ambitieux que son prédécesseur de 2015. Il relève cependant d’une même logique, bien analysée par les sociologues Laurent Bonelli, Hervé Rayner et Bernard Voutat, laquelle consiste à recourir au droit pour légitimer l’action des services et préserver leurs marges de manœuvre.

Cette nouvelle loi cherche en effet à sécuriser sur le plan juridique des capacités de surveillance toujours plus étendues – telles les « boîtes noires » scannant le trafic Internet pour détecter des URL « suspectes » (article 13), le partage de données entre services français (article 7), ou l’obligation pour les opérateurs et gestionnaires de serveurs de collaborer avec les autorités pour « pirater » les messageries chiffrées (article 10), etc. –, tout en abritant les services de renseignement de tout réel contre-pouvoir.

Renforcer le contrôle du renseignement devrait pourtant constituer une priorité compte tenu de sa place croissante au sein de l’État. Depuis 2015, les services de renseignement ont vu leurs effectifs augmenter de 30 %, notamment pour développer leurs capacités technologiques. Dans ce contexte, le recours aux différentes techniques de surveillance connaît lui aussi une forte croissance et porte sur des domaines toujours plus sensibles pour les libertés publiques. Ainsi, l’activité consacrée à la surveillance des mouvements sociaux – érigée en priorité depuis 2019 à la suite du mouvement des Gilets Jaunes – a plus que doublée en trois ans, passant de 6 % du total des mesures de surveillance en 2017 à plus de 14 % en 2020.

En dépit de cette montée en puissance, la quasi-totalité des propositions visant à renforcer les dispositifs de contrôle sont restées lettres mortes, qu’elles émanent de la Délégation parlementaire au renseignement (la DPR, composée de députés et de sénateurs), de la Commission nationale de l’informatique et des libertés (CNIL, censée contrôler les fichiers dits « régaliens »), ou encore de la Commission nationale de contrôle des techniques de renseignement (la CNCTR, qui rend des avis sur les mesures de surveillance sollicitées par les services).

Des échanges de données hors de tout contrôle

Depuis plusieurs années, la CNCTR demande par exemple de pouvoir contrôler le partage de données entre services de renseignement français et services étrangers. En France, la question est d’autant plus pressante que les flux de données échangés entre la Direction générale de la sécurité extérieure (DGSE) et la National Security Agency (NSA) ont connu une augmentation rapide suite à la conclusion des accords SPINS, signés fin 2015 entre la France et les États-Unis pour renforcer la coopération des deux pays en matière de renseignement.

Or, la loi de 2015 proposée par le gouvernement Valls excluait explicitement tout contrôle de la CNCTR sur ces collaborations internationales, nourries par des réseaux de professionnels du renseignement jouissant d’une forte autonomie, et que le chercheur Didier Bigo a proposé d’appréhender à travers la notion de « guilde transnationale ».

Dans son rapport annuel publié en 2019, la CNCTR admettait que ce véritable trou noir dans le contrôle du renseignement présentait un risque majeur, puisqu’il pourrait permettre aux services français de recevoir de leurs homologues des données qu’ils n’auraient pas pu se procurer légalement au travers des procédures définies dans la loi française. Dans le langage feutré qui la caractérise, la commission estimait qu’« une réflexion devait être menée sur l’encadrement légal des échanges de données entre les services de renseignement français et leurs partenaires étrangers ».

Pour appuyer sa demande, la CNCTR évoquait la jurisprudence de la Cour européenne des droits de l’Homme (CEDH). Celle-ci a encore rappelé dans [son arrêt Big Brother Watch c. Royaume-Uni du 25 mai 2021 que ces échanges devaient être encadrés par le droit national et soumis au contrôle d’une autorité indépendante (§ 362). Or, à ce jour, la France est le dernier État membre de l’Union européenne à ne disposer d’aucun cadre juridique pour encadrer ces échanges internationaux. Ni le gouvernement ni les députés n’ont apparemment trouvé opportun d’y remédier.

La jurisprudence ignorée

Un autre principe essentiel dégagé par la jurisprudence européenne est le droit à l’information des personnes ayant fait l’objet d’une mesure de surveillance, dès lors qu’une telle information n’est plus susceptible d’entraver l’enquête menée à leur encontre par les services.

Dans un rapport publié en janvier 2018, la CNCTR passait en revue la jurisprudence afférente et mentionnait plusieurs exemples de législations étrangères – la loi allemande notamment – garantissant une procédure de notification des personnes surveillées et prévoyant un certain nombre d’exceptions étroitement limitées. Elle était forcée de constater que, en l’état du droit français, « les personnes surveillées ne peuvent être informées des techniques de renseignement mises en œuvre à leur encontre ». Le projet de loi élude complètement cet enjeu.

Le gouvernement a également choisi d’ignorer une autre exigence, encore rappelée par le Conseil d’État dans son arrêt du 21 avril 2021 relatif à la conservation généralisée des données de connexion. Dans cette décision qui donnait largement gain de cause au gouvernement, le Conseil d’État se fondait sur un arrêt de la Cour de justice de l’Union européenne du 6 octobre 2020 pour exiger que les avis rendus par la CNCTR sur les mesures de surveillance soient « conformes » (c’est-à-dire impératifs pour le gouvernement) et non plus simplement consultatifs. La CNIL l’a à son tour rappelé début mai dans son avis rendu sur le projet de loi. Nouvelle fin de non-recevoir du gouvernement.

Quant à la volonté conjointe de la DPR et de la CNCTR de garantir à cette dernière un droit de regard sur les fichiers du renseignement, elle se heurte à l’opposition farouche des services. Comme l’ont souligné les parlementaires de la DPR, il s’agit pourtant d’une étape cruciale du contrôle, seule capable de permettre à la CNCTR de « s’assurer qu’aucune donnée n’a été recueillie, transcrite ou extraite en méconnaissance du cadre légal, voire en l’absence d’une autorisation accordée par le Premier ministre ».

On sera par ailleurs bien en peine de trouver, dans le cadre juridique français, des dispositions encadrant d’autres activités typiques du renseignement et extrêmement sensibles du point de vue des libertés publiques. C’est le cas de la surveillance des lettres et des colis postaux, ou encore de l’infiltration de certains groupes par des agents du renseignement. Au Royaume-Uni, l’Investigatory Powers Act de 2016 couvre pourtant ces deux domaines.

Le loi française ne fait également aucune mention de la surveillance dite « en source ouverte », notamment sur les réseaux sociaux comme Facebook ou Twitter – une activité sur laquelle peu de choses ont fuité dans la presse mais dont on sait qu’elle a pris une importance croissante ces dix dernières années.

L’impossible transparence ?

Enfin, le texte aujourd’hui débattu au Parlement ne s’accompagne d’aucun progrès en matière de transparence des activités de renseignement. Pourtant, l’étendue du secret obère gravement la capacité des journalistes, des ONG, des chercheurs mais aussi d’autres acteurs institutionnels, comme les juges, à jouer leur rôle de contre-pouvoirs.

En dehors des quelques informations ayant filtré grâce au petit cercle de journalistes spécialisés disposant d’un accès à des sources au sein des services, et outre les rares allusions faites par les responsables du renseignement lors d’auditions parlementaires ou par la CNCTR, aucune information officielle n’est fournie sur la nature exacte des technologies utilisées par les services. Leur imbrication dans les processus de production du renseignement, la nature des marchés publics et l’identité des sous-traitants privés, et même les interprétations juridiques ayant cours au sein des services, restent également marqués par une grande opacité.

Là encore, la comparaison avec les principales puissances européennes du renseignement révèle en miroir le retard français. Il suffit pour s’en convaincre de consulter le rapport publié en août 2016 par David Anderson en marge du débat parlementaire sur l’Investigatory Powers Act en Grande Bretagne. Ce juriste en charge du contrôle indépendant des législations antiterroristes y faisait état des capacités technologiques en matière de collecte et d’exploitation « massive » de données («_ bulk powers_ »). Il donnait aussi plusieurs exemples de cas dans lesquels ces technologies étaient employées et évaluait leur intérêt opérationnel à partir de documents internes et d’entretiens avec certains hauts responsables.

En France, un tel degré de transparence semble pour l’heure inimaginable. Même si la CNCTR a fait quelques progrès dans la précision des informations fournies dans ses rapports, elle se contente pour l’essentiel de décrire l’état du droit et son évolution, ou de diffuser des statistiques générales sur les types de mesures autorisées et leurs finalités. On est encore loin du niveau de détail venant nourrir le débat public et alimenter les travaux des parlementaires, des journalistes ou des ONG dans des pays comme le Royaume-Uni ou l’Allemagne.

Faute pour le Sénat d’amender le projet de loi sur ces différents points, cette réforme constituera une nouvelle occasion manquée dans la tentative de réconcilier le renseignement français avec les normes internationales et les bonnes pratiques observées à l’étranger.

]]> https://www.laquadrature.net/?p=17394http://isyteck.com/autoblog/quadrature/index.php5?20210630_155737_Point_d___etape_des_lois_renseignement__separatisme_et_anti-piratageWed, 30 Jun 2021 13:57:37 +0000Ce mois de juin, le Parlement français aura discuté de trois textes différents qui portent tous en partie sur Internet. Chacun a pour effet, notamment, d’augmenter le pouvoir de censure et de surveillance de l’État sur les réseaux.

Difficile de ne pas angoisser quand on essaie de suivre (et surtout de lutter contre) les multiples projets de lois du gouvernement touchant au numérique en France.

Après une année 2020 particulièrement éprouvante (crise sanitaire, loi sécurité globale, loi Avia…), l’année 2021 ne baisse pas en intensité, au contraire. C’est ainsi que trois textes ont été en débat ce mois-ci devant le Parlement sur nos sujets : une nouvelle loi concernant (entre autres) les services de renseignement, une nouvelle loi concernant le « piratage » et la loi dite « Séparatisme » qui prévoit notamment un régime important de « régulation » des plateformes. Même si chacune de ces lois aura un effet significatif sur nos libertés, l’anéantissement du débat parlementaire, le mépris du débat public et l’épuisement des associations rendent le combat particulièrement difficile.

Si chacun de ces textes mériterait une analyse approfondie, nous vous proposons ici une revue rapide de leur contenu qui permet toutefois d’alerter sur leurs dangers et les dispositions à surveiller.

Notons que tous ces textes sont passés en « procédure accélérée », c’est-à-dire qu’il n’y a, sauf surprise, qu’une lecture par chambre, et donc réduction d’autant du débat parlementaire. Ce régime d’exception est devenu la normalité depuis le début du quinquennat – sans que personne ne s’en émeuve plus vraiment.

Loi sur la prévention d’actes de terrorisme et renseignement

Déposée le 28 avril 2021, débattue dans la foulée à l’Assemblée en seulement deux jours, et adoptée hier par le Sénat, la nouvelle loi anti-terrorisme et renseignement continue son avancée aussi rapide que discrète : vous en trouverez une analyse complète ici (et une tribune signée avec d’autres associations ici).

En résumé : pour la partie « renseignement », la loi n’est pas une simple mise à jour. Elle pérennise les « boîtes noires » (en étendant leur capacité de surveillance aux URL) et réaffirme – en le modifiant à la marge – le régime français de conservation des données de connexion. Le tout en pleine opposition avec l’arrêt de la Cour de Justice de l’Union européenne (et dont on parlait ici).

Dans le même temps, elle donne de nouveaux pouvoirs aux services : facilitation des échanges d’informations entre la DGSI et la DGSE mais aussi avec des services publics comme la CAF ou Pôle Emploi, possibilité de conserver des données à des fins de recherche pour 5 ans, surveillance des communications satellitaires, possibilité de dupliquer l’ensemble du trafic vers les locaux du gouvernement et enfin possibilité de forcer les opérateurs à coopérer sur des techniques d’intrusion informatique.

Le projet a donc été adopté hier par le Sénat, en pleine nuit, dans un hémicycle quasi-vide. En tout : un peu plus de deux mois laissés au Parlement pour voter ces mesures profondément liberticides.

Loi anti-piratage

Formellement, cette loi est relative à « la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique ». Elle a été déposée au Sénat le 8 avril 2021, votée le 20 mai, transmise ensuite à l’Assemblée nationale qui l’a votée le 23 juin. Le texte est aujourd’hui en commission mixte paritaire, pour que les deux chambres s’entendent sur leurs versions. Deux mois et demi donc pour voter la loi.

Cette loi est en réalité la reprise partielle d’une ancienne loi sur l’audiovisuel abandonnée du fait de la crise sanitaire (que nous avions déjà commencé à analyser ici). Même si on pourra se réjouir du symbole que représente de la disparition de feu l’HADOPI (fusionnée avec le CSA pour créer l’ARCOM), la loi cherche en fait à accentuer la lutte contre le piratage. Le texte veut notamment permettre à la nouvelle ARCOM d’éditer des « listes noires » des « pires » sites de piratage (et de les rendre publiques – en espérant assécher ainsi le financement par la publicité de ces sites) et de demander à un opérateur (et à un juge si besoin) le blocage d’un site qui reprendrait totalement ou partiellement un site déjà jugé illégal (ce qu’on appelle les sites miroirs). Il crée aussi un dispositif spécifique pour le piratage des retransmissions sportives : la possibilité de saisir un juge et d’obtenir de lui une ordonnance dite « dynamique », c’est-à-dire une décision de justice pouvant être utilisée contre des sites qui n’ont pas encore été individuellement désignés mais qui pourront cependant faire l’objet d’un blocage (car retransmettant la même compétition que celle visée dans la décision de justice).

Bref, au lieu de supprimer HADOPI (on en parlait ici), ce projet la transforme en lui donnant un nouveau nom et de nouveaux pouvoirs. La seule réponse qu’a su donner le gouvernement aux changements apportés par Internet (et ses possibilités de partage non-marchand) a toujours été la même : non pas, par exemple, une réflexion sur le financement de la culture (on en parlait ici il y a déjà longtemps), mais toujours plus de surveillance, toujours plus de pouvoir à l’administration – multipliant les cas de censure sans juge.

Seul motif de soulagement : la « transaction pénale » voulue par le Sénat (qui revient à donner à l’ARCOM un pouvoir de sanction financière) a été supprimée par l’Assemblée nationale.

Loi Séparatisme

Dernière loi : celle sur le « séparatisme », devenue depuis loi sur « le respect des principes de la République ». Outre ses dispositions gravement liberticides hors Internet (voir par exemple les tribunes ici, ici ou encore ici), le projet contient tout un volet concernant les réseaux sociaux, notamment :

• un article 18 déjà, qui interdit la diffusion d’informations privées si cela est fait dans l’intention de porter atteinte à une personne ou à ses biens. Avec une formulation aussi large et aussi confuse, le risque est évident de voir le gouvernement ou la police tenter de l’utiliser pour réprimer tout et n’importe quoi ;
• un article 19 pour lutter contre les sites miroirs : de la même manière que pour la lutte anti-piratage, l’ARCOM pourra, à la suite d’une décision de justice ordonnant le blocage d’un site ayant hébergé des contenus « haineux », aller demander aux personnes compétentes (les fournisseurs d’accès à Internet notamment) de bloquer un site reprenant un contenu équivalent (aussi imprécis que ce terme puisse l’être) ;
• un article 19 bis qui prévoit un bon nombre d’obligations pour certaines grandes plateformes (transparence, coopération avec les autorités, modération…), avec fortes sanctions de l’ARCOM à la clé.

Sur cet article 19 bis, il est la transposition « en avance » d’un texte européen en construction, la directive « Digital Services Act ». Oui, le gouvernement a choisi de faire adopter en France un texte européen qui vient juste d’être proposé par la Commission européenne et qui doit encore faire l’objet de plusieurs mois (si ce n’est années) de discussions, et donc de modifications. Qu’importe, comme le dit Sacha Houlié (député LaREM), « si pour une fois nous pouvons prendre un peu d’avance, ça ne sera pas du luxe ».

Ce choix interviendra néanmoins au détriment de l’exercice des libertés sur le Net : le texte ne remet pas une seule fois en cause le modèle toxique des plateformes (et leurs modes de financement par la publicité ciblée) et préfère appliquer une succession d’obligations de transparence que Facebook et consorts appliquent sans doute déjà en partie (et en y soumettant Wikipédia, à l’encontre de toute compréhension de leur modèle – voir leur note de blog ici). Nous reviendrons sur l’ensemble de ces nouvelles obligations dans un autre article dédié ultérieurement.

Le texte a déjà fait un tour complet devant l’Assemblée et le Sénat, mais les parlementaires n’ont pas réussi à s’entendre et doivent maintenant repasser dessus au moins une fois. Il doit être débattu cette semaine à l’Assemblée avant de retourner de nouveau devant le Sénat.

Trois textes donc, tous traités en vitesse accélérée et qui risquent de transformer toujours plus Internet en un outil de surveillance de masse, géré par une autorité administrative toute-puissante, l’ARCOM. La stratégie d’épuisement du gouvernement marche à plein régime. Après la loi Avia et la loi Sécurité Globale en 2020, le gouvernement cherche à épuiser les oppositions en multipliant les fronts. Il révèle par la même occasion son mépris du débat public et parlementaire, à laquelle sa majorité dévouée lui permet d’échapper.

]]> https://www.laquadrature.net/?p=17379http://isyteck.com/autoblog/quadrature/index.php5?20210615_145945_Loi_Renseignement_2____refuser_l___emballement_securitaireTue, 15 Jun 2021 12:59:45 +0000Lettre commune de l’Observatoire des libertés et du numérique (OLN) et de Wikimedia France, Paris, le 15 juin 2021

Après son adoption le 2 juin dernier par l’Assemblée nationale, le Sénat doit maintenant se prononcer sur le projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement ». Au regard des graves dangers que porte ce texte, les organisations membres de l’Observatoire des Libertés et du Numérique (OLN) et Wikimedia France [1] appellent à refuser l’emballement sécuritaire imposé par le gouvernement et à rejeter ce projet de loi.

Tel qu’adopté par l’Assemblée nationale, le projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement » vise à pérenniser plusieurs des mesures d’urgence décidées dans la loi du 24 juillet 2015 ainsi qu’à donner aux services de renseignement de nouveaux pouvoirs profondément attentatoires à nos libertés.

Inscrit en urgence dans le calendrier parlementaire à la suite d’autres lois liberticides, comme la loi « Sécurité Globale » ou la loi dite « séparatisme », ce texte est une nouvelle étape dans l’emballement sécuritaire qu’impose le gouvernement depuis plusieurs mois.

Concernant les dispositions « renforçant la prévention d’actes de terrorisme », les organisations membres de l’OLN rejoignent les critiques émises par la note d’analyse des membres du réseau « anti-terrorisme, droits et libertés » [2].

Concernant les dispositions « relatives au renseignement », plusieurs d’entre elles sont nouvelles et viennent considérablement renforcer les pouvoirs de surveillance des services de renseignement, parmi lesquelles : la facilitation des échanges d’informations entre les services de renseignements entre eux et avec d’autres services de l’État (article 7), la conservation pendant 5 ans, à des fins de recherche et développement, des informations obtenues dans le cadre d’opérations de renseignement (article 8), la possibilité de forcer les opérateurs et fournisseurs de communications électroniques à coopérer avec les services de renseignement sur des techniques d’intrusion informatique (article 10), la surveillance des communications satellitaires (article 11).

Concernant les algorithmes de surveillance dits « boîtes noires » (articles 12 à 14), le texte veut pérenniser et étendre ces dispositifs de surveillance de masse, pourtant votés de manière expérimentales en 2015 et dont il n’existe à ce jour aucun rapport public explicitant l’intérêt ou l’efficacité réelle pour les services de renseignement.

Concernant la conservation des données de connexion (article 15), le projet de loi vient modifier à la marge le système existant qui oblige les opérateurs à conserver pendant un an l’ensemble des données de connexions de la population. Ce système a pourtant été jugé en grande partie inconventionnel par la Cour de Justice de l’Union européenne en octobre dernier.

L’ensemble des dispositions de ce projet de loi n’a donné lieu qu’à un débat public limité et à une relativement faible attention des acteurs médiatiques, bien loin des craintes énoncées lors de la loi de 2015 et qui concernait pourtant plusieurs dispositifs similaires. Il représente pourtant une nouvelle étape dangereuse dans les atteintes régulières et toujours plus importantes portées par ce gouvernement à nos libertés.

C’est une nouvelle mise en œuvre de ce terrible « effet-cliquet » sécuritaire : il n’y a jamais de retour en arrière sur les expérimentations et mesures liberticides mises en place, aucun retour plus favorable aux libertés, et ce quand bien même des demandes légitimes et mesurées seraient avancées (augmentation des pouvoirs de la CNCTR, contrôle des échanges avec des services étrangers, réels pouvoirs de contrôle parlementaire, réelle possibilité de contestation individuelle…).

Malgré la complexité du sujet, le Sénat est appelé à se prononcer en moins d’un mois sur ce texte. Les organisations membres de l’OLN ainsi que Wikimedia France appellent les sénatrices et sénateurs à refuser cette urgence et à rejeter ce texte.

—
[1] Signataires :

Organisations signataires membres de l’OLN (Le CECIL, Creis-Terminal, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)) et Wikimedia France

[2] Un courrier pour demander aux parlementaires de ne pas adopter la loi « anti-terrorisme et renseignement », associations, avocat·es, syndicats et universitaires, 9 juin 2021, https://www.voxpublic.org/Un-courrier-pour-demander-aux-parlementaires-de-ne-pas-adopter-la-loi-anti.html

]]> https://www.laquadrature.net/?p=17364http://isyteck.com/autoblog/quadrature/index.php5?20210611_145705_Le_mythe_participatif_de_la_Smart_city_et_de_sa_surveillanceFri, 11 Jun 2021 12:57:05 +0000La smart city en fait rêver certains. Les ingénieurs qui la convoitent parlent dorénavant d’une « citoyenneté augmentée ». Ce nouveau concept de la ville connectée et sûre aspire à ce que « les civic tech transforment le consommateur capté en citoyen capteur ». Cette citoyenneté augmentée permettrait une plus grande démocratie et ce, grâce aux nouvelles technologies et à leur injection dans l’aménagement urbain.

A travers cette obsession des industriels et des collectivités territoriales, c’est l’informatisation de la ville tout entière qui est brandie – sa connectivité, la multiplication des capteurs, l’analyse massive des données – et qui permettrait une émancipation de la population. En réalité, il n’en est rien : les technologies sont imposées à la population et celle-ci ne peut s’y opposer qu’à la marge.

L’un des arguments avancés pour justifier le déploiement de smart cities est l’opportunité d’une plus grande implication des citoyens et citoyennes, par le biais de ces nouvelles technologies. Ce serait notamment à travers les smartphones et autres capteurs que les habitants et habitantes auraient la possibilité de dialoguer numériquement avec la municipalité. C’est un des objectifs affichés de la métropole dijonnaise, qui permettrait : « une généralisation du processus de démocratie participative pour mieux impliquer les habitants dans la vie de la métropole ». Par exemple, à travers une application qui autoriserait les habitantes à être « actrices » de la ville en géolocalisant un dépôt d’ordures sauvage. Ces éléments de langage font partie de l’impératif délibératif, c’est-à-dire la tendance observée dans les pratiques politiques de prise de décision qui consiste à ancrer sa légitimité dans la délibération et dans la référence à une réflexion commune. Or, cette tendance à justifier la pertinence d’un projet politique à travers la « participation de la population » vise à légitimer ces projets sans jamais poser la question de leur pertinence.

La population, exclue du processus de décision

De fait, on ne demande pas l’avis des populations pour imposer ce genre de gadget technologique, de même qu’on impose l’informatisation des villes. Cette mise en numérique des villes se caractérise par une multiplication des capteurs – caméras de vidéosurveillance, indicateurs de la pollution de l’air, capteurs sur les poubelles, smartphones, lampadaires connectés etc -, par une collecte massive des données et par une automatisation de leur traitement. Pourtant il s’agit d’un choix politique, or les habitants et habitantes des villes n’ont pas leur mot à dire sur le déploiement de ce nouveau visage de l’ethos néolibéral.

Une participation contrainte

Si la population n’est pas conviée au processus de décision sur le principe d’un déploiement de dispositifs de surveillance en amont, elle est sommée de participer à l’élaboration et la mise au point de ces dispositifs. Elle est également attendue de manière active dans la production de la sécurité urbaine numérique.

L’expérimentation : la population comme laboratoire

Lors de la mise en place de dispositifs de surveillance, la population est régulièrement envisagée comme une matière première, afin de tester les technologies et les nouveaux algorithmes. Et cela pour deux raisons apparentes :

• Premièrement, c’est une ressource gratuite pour entraîner les algorithmes et pouvoir ensuite généraliser la commercialisation dudit dispositif en France ou à l’étranger. Ainsi, par exemple, la population de la ville de Suresnes s’est transformée en cobaye au profit de l’entreprise XXII, comme nous le montrons ici.
• Deuxièmement, l’expérimentation permet d’habituer une population à un dispositif ; cela permet d’en faciliter « l’acceptation » c’est-à-dire d’en faciliter la réception sociale.

Ces deux aspects de l’expérimentation peuvent parfois se recouper ou bien former deux tendances distinctes avec des caractéristiques propres. Un des usages possibles permis par l’expérimentation est de tester l’acceptabilité d’une technologie tout en en faisant la promotion et de profiter des retombées qu’elle peut conférer. Par exemple, à Nice, l’expérimentation de février 2019 consistait, durant les trois jours du carnaval de la ville, à utiliser la reconnaissance faciale pour identifier des personnes dans la foule. L’expérimentation avait été jugée conforme par la CNIL car le groupe de personnes sur lequel s’effectuait le traitement biométrique avait donné un consentement considéré comme « libre » et « éclairé ». Il s’agissait de faire la démonstration du fonctionnement de la reconnaissance faciale et de son utilisation en milieu urbain. Ici, en plus de l’effet de communication apporté par cette expérimentation, elle permet d’établir un précédent : la reconnaissance faciale a été utilisée, a produit des données et n’a pas été massivement rejetée par la population.

À l’inverse, d’autres expérimentations visent à améliorer des algorithmes et dispositifs sécuritaires et ne cherchent pas à être connues. C’est le cas du Lab’IA créé à la station de métro Châtelet – Les Halles à Paris par la RATP, un laboratoire d’intelligence artificielle où sont testées de nombreuses technologies dans la station de métro la plus fréquentée de France avec 750 000 visiteurs par jour. Le rapport de l’Institut Paris Région nous apprend que depuis 2017, la régie des transports a conclu des partenariats avec plusieurs entreprises (dont Thalès, Axone System et plus récemment, la société Datakalab sur la détection de port de masque) pour tester des algorithmes de maraudage, de détection de comportements suspects, d’abandon de colis. Mais du fait de l’ancienneté du parc de vidéosurveillance de la RATP (qui n’est pas doté de caméras HD), les algorithmes donnaient trop de faux-positifs. Par exemple, en attendant leur train, les voyageurs créaient de trop nombreuses alertes, car ils étaient détectés par l’algorithme de « maraudage », qui s’enclenche au bout de 300 secondes d’immobilité. Ce Lab’IA de la RATP à Châtelet est un bon exemple d’expérimentation où la population est vue comme un laboratoire pour tenter de « valoriser » son réseau de caméras et permettre à des entreprises d’améliorer leurs algorithmes sur des voyageurs. Ce type d’expérimentation ne gagne pas forcément à être publicisé.

Ainsi les expérimentations peuvent avoir plusieurs usages, que ce soit pour tenter de créer l’acceptabilité de ces dispositifs, pour améliorer les technologies ou encore parer à leur illégalité. Lorsque la population participe, c’est la plupart du temps malgré elle. Mais dans certain cas, sa participation est attendue :

La population, une coproductrice attendue de la surveillance urbaine numérique

Dans certains cas particuliers, la participation de la population est attendue et même souhaitée par les acteurs développant les smart cities. Ainsi à Nice, au début de l’année 2018, la municipalité voulait mettre en place une application dite citoyenne « Reporty » qui permettait de faire des appels vidéos avec la police tout en se géolocalisant et se filmant en temps réel pour dénoncer des « incivilités ». Une camionnette qui décharge de l’électroménager sur la voie publique, un maraudeur qui lorgne sur une voiture ou encore un cycliste renversé furent cités comme exemples par le maire de Nice, Christian Estrosi lors de la mise en place expérimentale de cette application (auprès de 2000 utilisateurs). Il affirme également : « Chacun d’entre nous doit devenir un citoyen engagé acteur de sa propre sécurité, et donc de la sécurité collective ». Finalement, Reporty fut épinglée par la CNIL, le dispositif étant disproportionné entre l’atteinte à la vie privée (collecte et enregistrement immédiat de données biométriques (voix, visage) et l’objectif escompté.
C’est ce que Vannessa Codaccioni nomme « société de vigilance » pour parler de la tendance à l’autosurveillance et à la délation qui s’institutionnalise.

Ainsi, les autorités s’attendent à ce que la population participe et contribue activement à la construction de la sécurité urbaine numérique. Guillaume Faburel : la population entière peut être envisagée comme capteurs, grâce aux technologies embarquées (smartphone). La population peut être actrice de sa propre surveillance « Depuis son smartphone, le citoyen pourra, dans un second temps, signaler un problème sur la voie publique (éclairage en panne, mur tagué, sac poubelle sur le trottoir,…), gérer ses demandes administratives ou encore optimiser ses déplacements dans la métropole. » toujours selon la métropole dijonnaise.

Ici la population d’une ville est l’objet des mesures de surveillance urbaine et en même temps considérée comme coproductrice de cette sécurité : le citoyen est envisagé comme partenaire et acteur de cette surveillance.

Conclusion

La smart city et l’informatisation qu’elle amène cache son déploiement dans nos vies et villes à travers le mythe de la participation. Or, comme on l’a vu, celle-ci est circonscrite : les habitant·es ne peuvent participer au gouvernement de la ville qu’en faisant office de nouveaux capteurs d’information. En ce sens, la ville connectée et intelligente n’apporte pas l’idéal démocratique tant promis par les autorités. Les dispositifs technologiques déployés renforcent la surveillance de l’espace public car ils sont porteurs de normes et de la vision du monde de leur promoteurs.

]]> https://www.laquadrature.net/?p=17348http://isyteck.com/autoblog/quadrature/index.php5?20210609_143750_Passe_sanitaire____attaquons_l___obligation_d___identificationWed, 09 Jun 2021 12:37:50 +0000Le gouvernement vient de lancer son système de passe sanitaire. Nous allons déposer un référé (recours d’urgence) contre ce passe sanitaire devant le Conseil d’État car il divulgue de façon injustifiée des données sur l’état civil et des données de santé.

Mise à jour 11 juin : nous avons envoyé dans la nuit de jeudi à vendredi notre recours au Conseil d’État. Vous pouvez le consulter ici.

L’accès aux grands événements sera limité aux personnes présentant certaines garanties contre la pandémie, telles que le fait d’être vaccinées, d’avoir réalisé un test PCR ou de s’être récemment rétablies de la maladie. Ce n’est pas cette limitation que nous avons choisi d’attaquer. Le problème principal que nous attaquons est que, pour apporter la preuve d’une telle garantie, chaque personne devra fournir un passe sanitaire comportant son nom afin, comme l’a expliqué Cédric O, de prouver qu’elle en est bien la titulaire par la production d’une carte d’identité ou d’un passeport. Ainsi, l’accès aux grands événements sera en pratique limité aux personnes disposant d’une carte d’identité ou d’un passeport. C’est cette conséquence du passe sanitaire que nous sommes sur le point d’attaquer devant le Conseil d’État.

Si, en pratique, la possession d’une carte d’identité semble être une obligation pour beaucoup de personnes, elle ne l’est pas en droit : notre identité se prouve par tout moyen (pendant des siècles, par exemple, elle se prouvait simplement par témoignage oral, ce que l’administration admet d’ailleurs comme étant toujours valable). La possession d’une carte d’identité ne doit pas s’imposer davantage qu’elle ne l’est aujourd’hui, car ce type de fichage généralisé risque d’avoir de terrible conséquences avec le développement des nouvelles technologies et la légalisation de la surveillance de masse.

Reconnaissance faciale

Dès aujourd’hui, nombre d’entre nous refusons de renouveler notre carte d’identité depuis qu’un décret de 2015 prévoit que la photo de notre visage doit obligatoirement être numérisée et centralisée dans le méga-fichier TES en cas de renouvellement de papiers d’identité. Ce méga-fichier, que nous avons attaqué sans succès devant le Conseil d’État, sera la base idéale du système de reconnaissance faciale généralisée dont rêvent les différents partis de droite dure qui se partagent actuellement le pouvoir.

Traçage automatisé

De plus, la crise sanitaire ne doit pas être un prétexte pour rétablir l’obligation généralisée de détenir une carte d’identité, telle que l’avait imposée le gouvernement de Vichy afin de traquer et de tuer les séparatistes juifs et résistants.

Cette crainte est d’autant plus grave que le système de code en deux dimensions (parfois appelé « cachet électronique visible » ou « 2D-Doc ») intégré au passe sanitaire est celui destiné à intégrer les futures cartes d’identité biométriques. Ce système simple et pratique de code en 2D facilitera le traçage constant et à grande échelle de toute personne présentant sa carte d’identité. Si, à l’heure actuelle, le passe sanitaire permet déjà et très facilement la constitution de fichiers illicites de données personnelles, la situation pourrait très vite s’aggraver s’agissant des futures cartes d’identité. En facilitant le contrôle d’identité (il suffit de scanner un code 2D, n’importe qui peut le faire avec un smartphone) on peut s’attendre à des contrôles d’identité de plus en plus numérisés et nombreux, de la part de la police (en entrée de manifestation ou en cités) comme des services de sécurité privée (discothèques, festivals, transports, hôtels…).

Tel que cela a été le cas pour les téléphones (voir notre dossier), il faut redouter que la loi impose rapidement à ces systèmes de contrôle d’identité de conserver durablement les informations automatiquement collectées sur les cartes d’identité, afin de les mettre à disposition de la police et des services de renseignement pour leur permettre de suivre à la trace nombres de nos activités.

En résulte un triptyque idéal du traçage constant, automatisé et centralisé de l’ensemble de la population : géolocalisation du téléphone, reconnaissance faciale et contrôle d’identité automatisé.

Données de santé

Comme si ce futur n’était déjà pas assez insupportable, le passe sanitaire pose dès aujourd’hui un autre problème aussi absurde qu’injustifiable : la lecture du code en 2D permet à n’importe qui, toujours aussi facilement, d’accéder à des données de santé très sensibles mais parfaitement inutiles au fonctionnement du passe : date de prise du vaccin, nom du vaccin, contraction passée de la maladie… Difficile de comprendre pourquoi le gouvernement a permis un tel système, parfaitement contraire tant au décret qu’à la loi encadrant le passe sanitaire. C’est un autre argument que nous déploierons devant le Conseil d’État contre ce système.

Refuser la surveillance de masse

Nous devons repousser toute tentative de rendre obligatoires les cartes d’identité et de généraliser la reconnaissance faciale (qui sera une conséquence probable de l’obligation d’avoir une carte d’identité). Le passe sanitaire, dans son format actuel, renforce ces deux risques mortels pour nos libertés.

À la place de ce passe sanitaire, nous appelons à la seule alternative capable de repousser l’enfer sécuritaire souhaité par l’extrême droite : faisons-nous confiance les un·es les autres pour ne pas mettre en danger notre entourage, demandons-nous de ne pas aller en festival ou en concert sans vaccin ou test PCR à jour, et arrêtons de nous considérer comme des irresponsables. Depuis plus d’un an, aucun laboratoire ne demande une pièce d’identité pour réaliser un test PCR ; il est absurde d’en demander une aujourd’hui pour le passe sanitaire. La crise sanitaire ne pourra être traversée sans confiance réciproque, et la confiance ne saurait jamais naître de la contrainte.

]]> https://www.laquadrature.net/?p=17343http://isyteck.com/autoblog/quadrature/index.php5?20210608_160734_Lettre_ouverte_appelant_a_l___interdiction_mondiale_du_recours_a_la_reconnaissance_faciale_et_biometrique_permettant_une_surveillance_de_masse_et_une_surveillance_ciblee_discriminatoireTue, 08 Jun 2021 14:07:34 +0000La Quadrature du Net est signataire d’une lettre ouverte internationale, signée par plus de 170 associations dans le monde entier et rédigée par EDRi, Access Now, Amnesty International, Human Right Watch, Internet Freedom Foundation (IFF), et l’Instituto Brasileiro de Defesa do Consumidor (IDEC).

Nous, les soussigné·e·s, demandons l’interdiction totale du recours aux technologies de reconnaissance faciale et de reconnaissance biométrique à distance qui permettent une surveillance de masse et une surveillance ciblée discriminatoire. Ces outils ont la capacité d’identifier, de suivre, de distinguer et de repérer des personnes où qu’elles aillent, compromettant ainsi nos droits fondamentaux et nos libertés civiles – notamment les droits à la vie privée et à la protection des données, le droit à la liberté d’expression, le droit à la libre association (ce qui mène à la criminalisation des actions de protestation et a un effet dissuasif), et les droits à l’égalité et à la non-discrimination.

Ces technologies menacent délibérément les droits des citoyen·ne·s et ont déjà causé de graves préjudices. Aucune mesure de protection technique ou juridique ne pourrait totalement éradiquer le risque qu’elles représentent, et nous pensons donc qu’elles ne doivent jamais être utilisées en public ni dans des espaces accessibles au public, que ce soit par des gouvernements ou par le secteur privé.

Lire la lettre entière ici

Plus d’informations

]]> https://www.laquadrature.net/?p=17333http://isyteck.com/autoblog/quadrature/index.php5?20210608_103141_Le_Printemps_Marseillais_dans_la_Technopolice____Au_fond_a_droiteTue, 08 Jun 2021 08:31:41 +0000À Marseille, la nouvelle majorité municipale s’était engagée durant la campagne 2020 à mettre un coup d’arrêt aux projets technopoliciers de l’ancien maire Jean-Claude Gaudin. Hélas, un an plus tard, l’ensemble de ces engagements ont été trahis. La gauche au pouvoir serait-elle condamnée à reproduire les vieux réflexes sécuritaires qui, depuis quarante ans, gangrènent le débat public ?

La participation des représentants de la plupart des partis de gauche à la scandaleuse manifestation policière devant l’Assemblée nationale, le 19 mai dernier, est loin d’être un fait isolé ou une erreur de parcours. Bien au contraire, elle constitue la dernière illustration en date d’une stratégie quasi-constante depuis quarante ans, qui voit ces partis de gauche se livrer à une surenchère sécuritaire dans le but de séduire les électeurs des partis plus à droite. Or, ce faisant, ces partis entretiennent non seulement leurs propres défaites électorales, aggravant la désaffection des électeurs, mais ils actent aussi une véritable démission idéologique, puisqu’ils renoncent de ce fait à réfléchir à d’autres réponses que la répression et le musellement des libertés pour assurer la « paix sociale ». La droite et ses obsessions autoritaires gagnent ainsi par forfait.

Depuis le lancement de la campagne Technopolice en septembre 2019, et à notre modeste mesure, l’un de nos objectifs consiste à battre en brèche ces tendances délétères en contribuant à politiser les enjeux liés à la surveillance numérique dans nos villes. C’est dans cette optique que, lors des élections municipales de l’an dernier, nous avions cherché à interpeller les équipes en lice autour des projets de vidéosurveillance automatisée ou de police prédictive.

À Marseille par exemple, en lien avec d’autres associations et collectifs locaux, nous avons rédigé une lettre ouverte à l’adresse des candidats, et publiée le 5 mars 2020 dans le journal La Marseillaise. Cette lettre ouverte faisait quatre demandes :

• l’annulation du projet d’expérimentation de la vidéosurveillance intelligente, fournie par la société SNEF,
• l’annulation du projet d’Observatoire Big Data de la Tranquillité Publique, un prototype de police prédictive mis au point par l’entreprise Engie Ineo,
• la réduction drastique du nombre de caméras de vidéosurveillance (qui tourne aujourd’hui autour de 1600, faisant de Marseille l’une des villes les plus vidéo-surveillées de France),
• un comité citoyen organisé en fédération et doté de pouvoirs d’audit et de supervision sur les technologies de surveillance et autres activités policières.

Parmi les principaux partis en lice, le Printemps Marseillais fut le seul à nous contacter suite à cette lettre ouverte.

Des promesses électorales…

En campagne pour les élections municipales, cette liste de « gauche plurielle » incorporant des profils issus de la « société civile » nous disait être en accord avec ces demandes. Compte tenu de l’illégalité de l’expérimentation de la vidéosurveillance automatisée (voir notre recours déposé devant le Tribunal administratif de Marseille en octobre dernier) et des nombreux problèmes soulevés par l’Observatoire Big Data de la Tranquillité Publique, l’abandon de ces projets par la nouvelle majorité municipale nous semblait constituer une simple formalité.

Quant au moratoire sur l’installation de nouvelles caméras de surveillance, l’idée était explicitement reprise dans le programme du Printemps Marseillais. En page 15, celui-ci rappelait « que quatre études nationales successives [avaient] démontré leur inefficacité » et que ces équipements étaient « très coûteux (installation, fonctionnement, personnel mobilisé) ». S’il n’était plus question d’un audit citoyen permanent sur les politiques de sécurité et l’achat de technologies de surveillance, le programme évoquait néanmoins la mise en place d’« Assises annuelles des Sécurités pour Marseille » afin de « co-construire, suivre et évaluer la stratégie et les politiques publiques municipales de la sécurité, de la tranquillité publique et du vivre ensemble » (p. 14).

De manière plus générale, l’arrivée de nouvelles équipes municipales issues de la « gauche plurielle » à l’issue des élections municipales 2020 nous semblait de bon augure : face aux projets techno-sécuritaires le plus souvent portés par des élus locaux classés à droite, elle laissait espérer un changement de politique. Notre espoir était qu’à Marseille et ailleurs, ces nouvelles majorités puissent non seulement porter un coup d’arrêt à ces projets, mais aussi batailler dans le débat public pour battre en brèche les discours sécuritaires qui saturent le débat public et font aujourd’hui le lit de l’autoritarisme. Les manifestations du mois de juin 2020 contre le racisme policier, ou les mobilisations historiques contre la loi « sécurité globale » aux mois de novembre et décembre 2020, auraient pu aider à convaincre les politiciens et politiciennes les moins téméraires qu’il y avait là un espace politique à occuper et à faire vivre.

C’est en substance le discours que nous avons tenu à Yannick Ohanessian, le nouvel adjoint en charge de la sécurité à la mairie de Marseille, lors d’une rencontre organisée en octobre dernier. L’échange avec ce proche du nouveau maire PS de la ville, Benoît Payan, fut cordial. Mais alors que le rendez-vous était programmé depuis plus de deux mois, et que nous avions bien indiqué qu’il s’agissait pour nous de savoir ce que le Printemps Marseillais, désormais « aux manettes », comptait faire pour tenir ses promesses de campagne, l’élu était apparu bien peu au fait des dossiers. À la suite de cet échange, nous lui avions envoyé un certain nombre de documents et d’analyses pour lui permettre de s’informer davantage, et nous avions alors convenu de nous reparler début 2021.

Huit mois plus tard : plus de son, plus d’images. Pas même de réponses à nos multiples demandes de rendez-vous, malgré des relances multiples. Au lieu de cela, ces dernières semaines ont de nouveau illustré ce fait : une fois au pouvoir, les partis de gauche ont une fâcheuse tendance à s’asseoir sur leurs promesses anti-sécuritaires pour reprendre les politiques promues par leurs concurrents de droite. Jugez plutôt : un an à peine après l’arrivée au pouvoir du Printemps Marseillais à la mairie, l’ensemble des engagements de campagne liés à la Technopolice ont été rompus.

… honteusement trahies un an plus tard

S’agissant des caméras de vidéosurveillance, la nouvelle mairie continue à procéder à l’installation de nouvelles caméras de surveillance dont elle dénonçait pourtant le coût. En décembre dernier, la majorité municipale faisait voter un marché estimé entre 12 et 44 millions d’euros pour assurer la maintenance du parc existant de caméras de surveillance, mais aussi son « amélioration » et « l’installation ponctuelle et/ou temporaire de nouveaux points de captation avec ses capteurs vidéos ou spécifiques ». Le budget 2021 de la ville indique également, page 278, que plus de 3 millions d’euros de recettes ont été encaissées par la ville pour procéder à l’« extension de la vidéo-protection », grâce à des fonds transférés par le département des Bouches-du-Rhône et l’État. Quant au budget municipal, il versera au pot commun de la vidéosurveillance 800 000 euros en 2021, et alors que le maire Benoît Payan ne cesse d’insister sur l’état calamiteux des finances publiques de la ville.



Au lieu des « Assises annuelles des Sécurités pour Marseille » censées inclure les citoyens et citoyennes marseillaises, le Printemps Marseillais s’en tient à un audit de sécurité qui sera conduit par une entreprise privée de manière totalement opaque. Nous avons envoyé une demande d’accès aux documents administratifs pour en savoir plus sur ce marché, mais la mairie n’a même pas daigné nous répondre. Cela nous a conduit à saisir la CADA, la commission d’accès aux documents administratifs.

Sur la vidéosurveillance automatisée, les nouvelles ne sont pas non plus encourageantes. Après le dépôt de notre recours contre ce projet illégal en décembre dernier, l’équipe municipale avait annoncé à l’AFP la « suspension » du projet. Mais six mois plus tard, aucune nouvelle de cette suspension (nos demandes CADA sur ce point sont restées lettre morte). Pire, nous apprenions en février dernier que la ville avait passé un contrat avec un cabinet d’avocats parisien pour défendre la licéité de ce projet, prenant le risque d’obtenir une jurisprudence qui pourrait faire tâche d’huile et encourager le couplage de l’« intelligence artificielle » et des caméras de vidéosurveillance à travers l’ensemble du pays.

Enfin, s’agissant de l’Observatoire Big Data de la Tranquillité Publique, dont l’expérimentation était censée s’achever fin 2020 et dont la direction des affaires juridiques de la ville prétend aujourd’hui qu’il a été suspendu, c’est encore plus affligeant : alors qu’on lui faisait remarquer la subsistance de lignes budgétaires consacrées à ce prototype de police prédictive dans le budget 2021 (975 000 euros abondés par le département et l’Union européenne), le représentant du Parti Pirate au sein de la mairie de Marseille, Christophe Huguon, conseiller municipal à la transparence et à l’open data, se fendait d’une réaction sur Twitter :

« Nous avons pu, avec @yann_ohanessian, voir et tester le logiciel. Il ne s’agit absolument pas d’un outil de contrôle d’état policier fantasmé par l’ancienne majorité. Mais un outil de gestion (cartographique) de l’espace public (événements sportifs, culturels, marchés etc.). Cela dit une réflexion a déjà commencé pour avoir une vision et une utilisation plutôt orienté intérêt public que juste gestion d’espace public (un indice, il y a un peu d’open data dedans) » ».

Après avoir minimisé la dangerosité de cet outil — pourtant évidente à la lecture des documents associés au marché public –, il tentait de se dédouaner en précisant qu’il était « financé essentiellement par le département et l’Europe ». Comme si cela justifiait de dilapider l’argent public pour financer ce type d’outils. Quant à la référence à l’open data, Christophe Huguon semble y voir une monnaie d’échange : certes, semble-t-il vouloir nous dire tout en entretenant le suspense, « la mairie investit dans la police prédictive, mais nous publierons l’emplacement des caméras de surveillance en open data ». Maigre lot de consolation pour les collectifs locaux qui, ces derniers mois, ont passé de longues journées à cartographier eux-même l’emplacement de centaines de caméras sur le territoire marseillais, faute de transparence en la matière.

Mais le plus effarant, c’est sans doute de voir un élu du Parti Pirate délégué à la transparence administrative de sa ville tenter de « rassurer » la population en se félicitant d’avoir « vu et testé » ce logiciel propriétaire avec l’adjoint en charge de la sécurité dans le bureau de ce dernier. Il faudrait donc le croire sur parole ? Un peu d’open data ne suffira pas à remédier à l’opacité structurelle qui entoure les technologies de surveillance. Et nous ne pouvons que rappeler monsieur le conseiller municipal aux engagements du parti Pirate qu’il représente, lequel proclame non seulement que « l’accès à l’information, à l’éducation et au savoir doit être illimité », mais aussi que « nous, Pirates, soutenons la culture libre et le logiciel libre » tout en combattant « l’obsession croissante de surveillance car elle empêche le libre développement de l’individu ». Comme le dit le Parti pirate, « une société libre et démocratique est impossible sans un espace de liberté hors-surveillance » ; une telle société n’est évidemment pas soluble dans la police prédictive.

Mais ce n’est pas tout : outre les projets évoqués ici, le Printemps Marseillais encourage aussi la Technopolice sous couvert de « Smart City » : un « Smart Port » qui renforcera la surveillance aux abord du port autonome de Fos-Marseille et placera ses travailleurs et travailleuses sous la vigilance constante des machines ; une « Smart Métropole », avec des « Smart Réverbères » et la mesure « intelligente » du niveau de pollution atmosphérique, du niveau sonore, mais aussi des flux de piétons et de cyclistes… La surveillance constante des espaces publics urbains semblent avoir de beaux jours devant elle dans la cité phocéenne.

La stratégie perdante des partis de gauche

Nous ne sommes pas les seuls à nous heurter à l’incurie de la nouvelle majorité : le Collectif des écoles de Marseille, les associations d’aide aux migrants, des tiers-lieux culturels et bien d’autres encore trouvent également portes quasi-closes, ou bien se heurtent à une lenteur administrative effarante. Même les demandes CADA envoyées à la mairie sont aujourd’hui traitées dans des délais bien plus longs que sous l’ancienne majorité. Ce manque de considération pour les collectifs citoyens est d’autant moins excusable que l’équipe en lice s’était justement faite élire sur la promesse de refonder la démocratie à partir des dynamiques militantes locales. Là encore, difficile de ne pas y voir une forme d’instrumentalisation politicienne des mouvements sociaux.

Désormais au pouvoir, tout se passe en fait comme si le Printemps Marseillais se laissait sciemment prendre au piège tendu par ses opposants de la droite locale. Depuis plusieurs mois, Martine Vassal, présidente LR de la métropole Aix-Marseille et du département des Bouches-du-Rhône, successeure désignée de Jean-Claude Gaudin, attaque en effet la majorité municipale en dénonçant sa supposée insouciance en matière de sécurité. Début mars, le département lançait une grande campagne de communication — avec les élections régionales et départementales en ligne de mire — où il vantait son action en matière de sécurité, mettant notamment en exergue l’installation des caméras de vidéosurveillance.



Un mois plus tôt, en février, c’est Gérald Darmanin lui-même qui dénonçait le supposé moratoire de la ville de Marseille. Le ministre de l’Intérieur prétendait que « la mairie de Marseille refuse l’installation de caméras de vidéoprotection », s’empressant d’ajouter une de ces petites phrases toutes faites dont les politiciens ont le secret : « il faut arrêter d’être pyromane et pompier ».

Or, plutôt que de résister à ces attaques — en rappelant par exemple que la vidéosurveillance est une politique publique qui se chiffre en milliards d’euros, sur laquelle les citoyens et citoyennes n’ont jamais leur mot à dire, et dont l’efficacité n’a jamais été démontrée, ou qu’il serait urgent d’envisager des réponses aux problèmes d’insécurité qui ne soit pas fondées sur la répression policière ou la fuite en avant techno-sécuritaire –, la plupart des partis de gauche s’entêtent à reproduire la même stratégie perdante depuis plus de quarante ans, à savoir : s’enfoncer dans un « consensus sécuritaire » où la peur et le contrôle social tiennent lieu de politique. De ce point de vue, les élus et responsables politiques « de gauche » qui concourent à ces stratégies ont une immense responsabilité dans la fascisation croissante du climat politique français.

]]> https://www.laquadrature.net/?p=17315http://isyteck.com/autoblog/quadrature/index.php5?20210602_150039_Partage_de_donnees____les_services_de_renseignement_violent_la_ConstitutionWed, 02 Jun 2021 13:00:39 +0000La Quadrature du Net vient de demander au Conseil d’État de saisir le Conseil constitutionnel d’une Question prioritaire de constitutionnalité (QPC) contre une disposition de la loi renseignement, l’article L. 863-2 du code de la sécurité intérieure. Comme le révélait le journal Le Monde il y a près de deux ans, un data-center attenant au siège de la DGSE permet aux services de renseignement d’échanger des données collectées dans le cadre de leurs activités de surveillance, et ce en contournant certaines des garanties inscrites dans la loi renseignement, déjà bien maigres. Ces activités illégales posent de nouveau la question de l’impunité des responsables du renseignement français, et des autorités de contrôle qui les couvrent.

MAJ du 2 juin 2021 : par une décision du 19 mai 2021, le Conseil d’Etat a accepté de transmettre au Conseil constitutionnel notre question prioritaire de constitutionnalité. Nous venons d’adresser au Conseil Constitutionnel notre mémoire sur ce sujet, demandant la censure de l’article L. 863-2 du code de la sécurité intérieure. Ce même article est également en débat devant l’Assemblée nationale dans le cadre de la réforme de la loi Renseignement

En juin 2019, La Quadrature déposait un recours au Conseil d’État contre « l’entrepôt », dont l’existence venait d’être révélée dans la presse. Comme nous l’expliquions alors, « les activités de surveillance relèvent de régimes plus ou moins permissifs », avec des garanties plus ou moins importantes accordées aux droits fondamentaux selon les régimes.

Autant de garanties écartées d’un revers de main dès lors que les données sont versées dans ce pot commun dans lequel peuvent potentiellement venir piocher des dizaines de milliers d’agents, relevant de services aux compétences et aux missions très diverses (TRACFIN, douanes, direction du renseignement de la préfecture de police de Paris, bureau central du renseignement pénitentiaire, ANSSI, service central du renseignement territorial, etc.). En pratique, l’entrepôt permet à un service donné d’accéder à des données qu’il n’aurait légalement pas le droit de collecter et d’exploiter dans le cadre des procédures prévues par la loi.

Ces échanges de données se fondent sur une disposition inscrite en 2015 dans la loi renseignement : l’article L. 863-2 de code de la sécurité intérieure. Or, celui-ci ne fournit aucun encadrement spécifique : le législateur s’était alors défaussé en renvoyant à un décret d’application, mais celui-ci n’est jamais paru. Une source du Monde évoquait pour s’en expliquer un « défaut de base constitutionnelle ». Or, c’est bien à la loi d’encadrer ces pratiques, raison pour laquelle l’article L. 863-2 est tout simplement inconstitutionnel.

Depuis l’introduction de notre recours devant le Conseil d’État, des rapports parlementaires sont venus corroborer les révélation du Monde. Dans le rapport d’activité 2019 publié l’été dernier, la Délégation parlementaire au renseignement note ainsi :

(…) il ressort des travaux conduits par la délégation que l’absence de cadre réglementaire n’a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c’est-à-dire d’extractions et de transcriptions, mais également de renseignements collectés, c’est-à-dire de données brutes recueillies dans le cadre d’une technique de renseignement.

La délégation a ainsi été informée de l’existence d’une procédure dite d’extension, qui permet la communication de transcriptions effectuées au sein du GIC [le Groupement interministériel de contrôle] à un service autre que celui qui a fait la demande initiale de technique de renseignement (…). La délégation regrette de n’avoir pu obtenir, en revanche, d’informations plus précises sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de données brutes.

Dans ce rapport, la Délégation parlementaire au renseignement estimait également « urgent qu’un encadrement précis de ces échanges soit réalisé », notant à juste titre que « le renvoi simple à un décret pourrait se révéler insuffisant et placer le législateur en situation d’incompétence négative ».

Nous espérons que le Conseil d’État acceptera de transmettre notre QPC au Conseil constitutionnel afin de que celui-ci mette fin à cette violation manifeste de la Constitution, malheureusement caractéristique du renseignement français. Un autre exemple flagrant d’illégalité est le partage de données entre les services français et leurs homologues étrangers, qui porte sur des volumes colossaux et n’est nullement encadré par la loi. Pire, celle-ci interdit explicitement à la CNCTR, la commission de contrôle des activités de surveillance des services, de contrôler ces activités.

L’illégalité persistante du renseignement français et l’impunité dont bénéficient ses responsables sont d’autant plus problématiques que l’espionnage politique constitue désormais une priorité assumée des services de renseignement la surveillance des groupes militants ayant vu sa part plus que doubler entre 2017 et 2019 (passant de 6 à 14% du total des mesures de surveillance autorisées).

Téléchargez notre mémoire QPC

]]> https://www.laquadrature.net/?p=17302http://isyteck.com/autoblog/quadrature/index.php5?20210531_171922_Videosurveillance_biometrique_dans_nos_supermarchesMon, 31 May 2021 15:19:22 +0000Pendant que le combat continue pour faire interdire la surveillance dans nos rues, le secteur privé déploie discrètement ses dispositifs jusque dans les supermarchés. Afin de détecter de vols, Carrefour, Monoprix, Super U ou encore Franprix expérimentent des logiciels d’analyse biométrique pour surveiller nos moindres gestes dans leurs surfaces.

La crise sanitaire avait déjà libéré les velléités de surveillance biométrique des entreprises privées : caméras thermiques à l’entrée des entreprises, détection de distances physiques dans les bureaux, suivi de mouvement des yeux pour les examens d’université à distance…

Plusieurs entreprises françaises proposent maintenant de détecter automatiquement les vols en magasin « en temps-réel » grâce à des logiciels d’analyse biométrique directement branchés sur les caméras déjà présentes dans les magasins.

Les start-up françaises rêvent de surveillance généralisée

Si l’idée de détecter automatiquement les vols dans les magasins a déjà été testée au Japon, plusieurs entreprises françaises n’ont pas hésité à développer leur propre logiciel :

• « Anaveo », une entreprise de 320 personnes avec un chiffre d’affaires de 70 millions d’euros travaille dans la vidéosurveillance pour la grande distribution. Son logiciel « SuspectTracker » promet de capter les flux d’images issus des caméras pour analyser les « comportements suspects », par exemple les « gestes vers poussette, sac à dos, poche de pantalon ou de veste ». Leurs vidéos de présentation mentionnent en passant que la détection de vols vient alimenter une base de données permettant de continuer à améliorer l’algorithme.



• « Oxania », une start-up fondée en 2019, a produit un logiciel « Retail Solutions » qui serait capable de « reconnaître les gestes associés au vol en temps réel, détecter les comportements, les situations dangereuses, le parcours client et bien plus encore ». La vidéo de présentation assume calmement faire une analyse biométrique des comportements des personnes présentes dans le magasin (chaleur corporelle, gestes, corps…).
• et surtout « Veesion », start-up parisienne qui vend un produit de « reconnaissance des gestes » avec « une brique qui repère l’humain, une autre qui localise les membres sur ce corps humain, une autre qui repère les objets d’intérêt […] » pour ensuite envoyer une alerte sur le téléphone des équipes. En bonus, Veesion se
  propose d’analyser « vos historiques de vol et [fournir] des recommandations personnalisées ».

En bref : un ensemble de dispositifs de surveillance et de suivi biométrique déployés en toute liberté et sans aucune information des personnes la subissant.

La grande distribution s’engouffre dans la surveillance biométrique

Le plus impressionnant est peut-être d’examiner la liste des clients des entreprises précitées et de se rendre compte que leur déploiement est déjà bien avancé.

L’entreprise Veesion annonce équiper plus de 120 magasins en France et la carte affichée sur en laisse deviner bien plus. Dans l’onglet « Success Stories » de leur site, on trouve quelques exemples mis en avant, parmi un ensemble bien plus vaste que l’on peine encore à mesurer : Monoprix (produit installé en juillet 2019 dans un magasin de Paris sur 22 caméras), Franprix (3 magasins à Paris sur 48 caméras en 2019), Super U Express (1 magasin à Paris avec 13 caméras en 2019), Bio c’ Bon (4 sites à Paris).



L’entreprise Anaveo n’est pas en reste même s’il est difficile de deviner le nombre exact de leurs clients. Nous savons au moins que son déploiement a déjà commencé, tel qu’en atteste les témoignages d’un Carrefour Market à Bourges qui annonce avoir acheté 11 licences du logiciel pour ses 32 caméras et celui d’un Intermarché à Artenay.

Protéger la rentabilité de la grande distribution avec la Technopolice

Aucune gêne ni chez les concepteurs des logiciels ni dans la grande distribution. Au contraire, comme le dit clairement la société Anaveo, l’objectif du déploiement de cette surveillance biométrique est de lutter contre la « démarque invisible » (comprendre, le vol à l’étalage), c’est d’« aider le secteur de la distribution à protéger son chiffre d’affaires »

Pire, pour le créateur de Veesion, la détresse sociale créée par la récente pandémie va provoquer des troubles sociaux, forçant les commerces « à investir davantage dans les solutions leur permettant de s’en prémunir ». Son entreprise devra alors être, selon lui, « à la hauteur des nouvelles exigences du retail physique », c’est-à-dire, à bien le suivre, développer les outils de la Technopolice pour protéger la grande distribution des populations pauvres poussées au vol par la crise sociale. Autant d’énergie et de ressources qui auraient pu venir en aide aux pauvres mais qui seront retournées contre eux.

Cette Technopolice privée ne se contente pas de reprendre les outils des États policiers – elle en adopte aussi l’idéologie et le vocabulaire. Dans sa communication commerciale, Veesion met en scène une crainte sinistre : « on peut pas se fier aux clients, même fidèles ». C’est exactement sur cette idée du « tous suspects » que la surveillance de masse policière se fonde.



De nouveau, l’action de la CNIL ne semble pas nous protéger de ces attaques. En juin 2020, l’autorité avait bien alerté qu’une grande partie des dispositifs de vidéosurveillance automatisée ne respectaient pas le cadre légal. Ce communiqué ne semble pourtant pas avoir mis fin aux dérives de l’industrie sécuritaire ou à la grande distribution, au contraire. Malgré la gravité de leurs dispositifs (détection et suivi biométrique), ces entreprises se vantent encore de leurs systèmes de surveillance sans qu’aucune sanction publique ne soit venue les arrêter (nous venons d’adresser à la CNIL, en même temps que cet article, une demande CADA sur ce sujet précis pour savoir si une enquête, ou équivalent, était en cours).

Notre combat contre la surveillance biométrique ne doit évidemment pas se limiter aux autorités publiques. Comme la surveillance sur Internet, c’est une progression qui se fait à deux têtes, les entreprises privées main dans la main avec les responsables publics, déployant ensemble et en parallèle un contrôle social toujours plus poussé : les rues, les bureaux, les supermarchés — pour ne plus nous laisser aucun espace d’anonymat.

Si vous avez des informations sur ces dispositifs, vous pouvez utiliser notre plateforme dédiée pour nous envoyer des documents.

]]> https://www.laquadrature.net/?p=17267http://isyteck.com/autoblog/quadrature/index.php5?20210528_132017_Les_Cookies__qui_sont-ils____Que_veulent-ils___Fri, 28 May 2021 11:20:17 +0000Un cookie, son histoire.

Lorsque vous vous baladez dans les sentiers fleuris du Web, vous utilisez un navigateur web. C’est ce logiciel qui permet d’afficher une page web. Par exemple, Firefox est un navigateur. Google Chrome est un navigateur. Ces logiciels vont communiquer avec un site web, en principe celui que vous êtes en train de visiter, pour recevoir et envoyer des instructions, comme « comment afficher une page », « quelle requête faire ensuite », etc… Parmi les requêtes que peut faire un site web, il pourra demander à votre navigateur de stocker de l’information dans un fichier, pour pouvoir y accéder dans le futur, lors de vos prochaines visites. Ce fichier, on appelle ça un cookie.

Résumons ; un cookie, c’est un fichier dans lequel votre navigateur va mettre des informations, sur demande des sites web que vous visitez. Nous devons le nom de cookie à Lou Montulli.

Comment un cookie surveille.

À partir de là, il faut bien se demander de quelle manière on aboutit à un système de surveillance globale.

Un cookie n’est pas mauvais en soit, et il est d’ailleurs nécessaire dans plein de cas. On l’utilise par exemple pour conserver des informations de connexion, ou un panier lors d’un achat sur le web. Ce qui importe donc, c’est ce qu’on met dans le cookie, et surtout qui demande à déposer le cookie.

Lorsque vous visitez un site web, ce dernier peut demander à mettre des cookies sur votre ordinateur pour plusieurs raisons, de fonctionnement notamment, mais ceux qui nous intéressent ici, ce sont les cookies de mesure d’audience et de publicité. Ils sont souvent créés par du code venant de régies publicitaires, des groupements de publicitaires et de médias, comme Google Adsens ou New Relic, pour ne citer que les plus connus, mais il en existe des centaines et des centaines d’autres. Ce code est le plus souvent chargé quand vous visitez la page, sans que vous n’en soyez averti.



Ces régies vont déposer des cookies contenant le plus souvent un identifiant unique. Et comme ces régies sont présentes sur de multiples sites web , elles vont pouvoir vous suivre de site en site, grâce à cet identifiant. Cela leur donne accès à une partie de votre historique de navigation, mais aussi à tout un tas d’informations privées : combien de temps vous restez sur une page, sur quels liens vous cliquez… Imaginez un tas de publicitaires regardant par dessus votre épaule en prenant des notes quand vous naviguez.

Leurs notes vont être sauvegardées, et leur consolidation va aboutir à la création d’une fiche sur vous. Fiche qui sera utilisée pour vous influencer, par exemple à travers la publicité ciblée, mais aussi pour vous surveiller. Ces informations peuvent être revendues à des personnes tierces dont les intentions ne sont pas forcément connues. Au fur et à mesure, il devient possible de vous identifier personnellement, et donc d’influencer vos choix, de façon subtile et quasi indétectable. Par exemple, en fonction de vos opinions politiques, vous n’aurez pas les mêmes résultats dans vos recherches que vos amis, pour la même requête..

Ces données peuvent aussi être utilisées dans le cadre d’une surveillance policière, ou un procès. Cela peut vous amener à vous censurer par vous-mêmes : éviter de faire des recherches par peur que cela se retourne contre nous. Et oui, tout le monde à quelque chose à cacher, même vous : jenairienacacher.fr .

Et surtout, cela conduit à une société panoptique, ou société-prison, dont les conséquences sont désastreuses. Sous l’effet d’une surveillance constante, on se retrouve à ne plus pouvoir s’exprimer librement, notamment à cause de la disparition de l’anonymat et de la vie privée. En somme, ce qui permet à une démocratie saine d’exister.

Légalement, c’est quoi la recette ?

Quelle est la légalité de ce système de surveillance ? La loi dit, à travers la CNIL et le RGPD, dont vous avez peut-être entendu parler, que vous pouvez consentir à être sous surveillance, mais aussi que vous avez le droit de la refuser. Il faut, pour que puissiez faire votre choix, qu’il soit ;

• libre : avoir réellement le choix, sans que ce choix ne soit contraint ou influencé ;
• éclairé : savoir à quoi on consent ;
• univoque : que vous consentiez explicitement. En cliquant sur « Accepter » par exemple. Continuer la navigation sans répondre, ça n’est pas un consentement univoque par exemple.
• spécifique : une finalité à la fois. L’analyse ok, la vente ok, mais pas en même temps.

Face aux cookies, que faire ?

Vu que les cookies sont gérés par votre navigateur, c’est avant tout là que la bataille a lieu. Au final, refuser des cookies sur un site web, même s’il existe une protection légale, rien ne garantit qu’elle sera vraiment respectée. Évidemment, vous devriez refuser les cookies. Mais c’est souvent rendu le plus compliqué possible : des centaines d’options à cocher, attendre que nos options soient prises en compte, naviguer entre plusieurs pages…

Et dernièrement, certains sites web vont jusqu’à vous refuser l’accès si vous n’acceptez pas leurs cookies, en vous donnant la possibilité de payer pour échapper à la surveillance. Le Conseil d’État dit que la légalité de cette pratique est à voir au cas par cas, autant dire que ça ne risque pas de s’en aller du jour au lendemain. Dans ce cas, la solution est donc de configurer votre navigateur, au moyen d’extensions, pour pouvoir accepter les cookies et donc accéder au site, sans que vous ne soyez pisté, dans les faits.

Tout d’abord, n’utilisez pas Google Chrome. Vu que l’intérêt de Google en matière de surveillance est directement opposé au vôtre, son navigateur est construit pour rendre la protection de la vie privée difficile. Nous recommandons donc des extensions pour Firefox, dont le code source est libre. Les voici donc ;

• UBlock Origin, un bloqueur général de contenu, y compris les pubs, et les scripts tiers, qui pourraient mettre des cookies. À ne pas confondre avec UBlock, version frelatée de la même extension.
• Privacy Badger, réalisé par nos camarades de l’EFF (Electronic Frontier Foundation), qui va mettre en place plusieurs mesures comme le blocage de cookies tiers, le nettoyage des URLs pour en enlever les traceurs. L’idée est de vous protéger sans avoir besoin de configurer quoique ce soit.

En dépit de tout ceci, pour être vraiment sûr de ce qu’il y a sur votre ordinateur, vous pouvez aller voir par vous-mêmes dans votre profil Firefox..

En allant un peu plus loin, on peut se poser la question de comment résoudre le problème à la base. Installer des extensions, ça nous protège nous, mais quid de nos proches ? L’utilisation des cookies n’étant un problème que dans le contexte du capitalisme de surveillance, c’est donc à lui qu’il faut s’attaquer directement.



En somme, trouver un autre moyen pour le web et l’internet d’exister, sans avoir besoin de connaître les goûts et opinions de tout le monde. Nous avons déjà écris à ce sujet ici et là.

Le cookie, un outil parmi d’autres pour la surveillance.

Malgré le blocage des cookies, le problème de la surveillance sur internet n’est que partiellement résolu. Il existe d’autres moyens, à d’autres niveaux, pour enregistrer ce que vous lisez. Notamment, le blocage des cookies lui-même rencontre des limites, comme nous en avions parlé dans cet article sur le déguisement des trackers pour échapper au blocage.

On pense aussi à l’utilisation de l’empreinte numérique unique de votre navigateur, que vous pouvez découvrir ici avec l’outil de l’EFF. Les fournisseurs d’accès à Internet peuvent aussi surveiller ce que vous consultez, et ils ont d’ailleurs l’obligation de le faire selon le droit français, qui est là en totale contradiction avec le droit européen.

Heureusement, d’autres avant nous ont développé des outils et des ressources autour de l’autodéfense numérique, avec lesquelles se former et se renseigner, dont voici un extrait ci dessous ;

• https://ssd.eff.org/fr – Autodéfense contre la surveillance
• https://guide.boum.org/ – Le Guide de l’autodéfense numérique
• https://zadducarnet.org/index.php/2021/01/10/guide-de-survie/ – Guide de survie en protection numérique à l’usage des militant·es

Nous espérons que cet article vous aura appris quelque chose, et que le soucis des cookies vous paraît plus clair. Si vous souhaitez nous aider à lutter pour un internet libre et sans surveillance, n’hésitez pas à venir nous parler, et à partager cet article autour de vous 

---

Illustration « 210202 » par Sayama via http://openprocessing.org/sketch/1085727

License Creative Commons Attribution ShareAlike https://creativecommons.org/licenses/by-sa/3.0

]]> https://www.laquadrature.net/?p=17265http://isyteck.com/autoblog/quadrature/index.php5?20210527_165321_Loi_renseignement____le_retour_en_pireThu, 27 May 2021 14:53:21 +0000Le 28 avril 2021, le gouvernement a proposé un nouveau projet de loi renseignement, complété le 12 mai par de nouveaux articles tirant les conséquences de notre défaite devant le Conseil d’État (relire notre réaction).

L’objectif premier du texte sera de faire définitivement entrer dans le droit commun les mesures de l’état d’urgence débuté en 2015 (assignation à résidence, perquisitions administratives…) ainsi que les mesures expérimentales de la loi renseignement de 2015 (surveillance automatisée du réseau par des « algorithmes »). L’objectif secondaire sera d’inscrire dans la loi française les violations du droit européen actées par le Conseil d’État le mois dernier afin de défendre à tout prix la surveillance de masse française. Toutefois, la menace la plus grave pourrait se situer entre les lignes : une multitude d’ajustements d’apparence sommaire qui semblent cacher un bouleversement dramatique du rapport de force entre le gouvernement et la population.

Dans cette première analyse, nous prenons le temps d’examiner l’ensemble des modifications apportées par ce projet de loi en matière de renseignement. Le texte qui vient d’être validé par la commission des lois de l’Assemblée nationale sera étudié en hémicycle à partir du 1er juin prochain.

Perquisitions administratives de matériel informatique (article 4)

Les perquisitions administratives appelées « visites domiciliaires » en novlangue sécuritaire, se voient dotées d’une nouvelle possibilité. Toujours sans contrôle d’un juge, l’article 4 offre à la police la possibilité d’exiger l’accès sur place à du matériel informatique. Si la personne perquisitionnée refuse, son matériel pourra être saisi et analysé par un laboratoire de la police.

Services sociaux comme auxiliaires de renseignement (article 7)

Aujourd’hui, les services de renseignement peuvent exiger des services sociaux (comme la CAF) la transmission de données confidentielles, mais ces derniers peuvent y opposer le secret professionnel. Tout cela disparaît dans la réforme en cours de discussion. Le secret professionnel ne pourra plus être invoqué. Les services sociaux devront, de leur propre initiative ou sur requête, transmettre aux services de renseignement toute information qui pourrait permettre l’accomplissement d’une mission de renseignement. Les finalités sont larges, puisqu’elles concernent n’importe quelle finalité de renseignement (dont l’espionnage économique ou la surveillance des mouvements sociaux).

Cela continue donc de renforcer le rôle des services sociaux en tant qu’auxiliaire de contrôle et de surveillance de la population. Cette modification continuerait de rendre légitime une réelle défiance à leur égard alors qu’ils sont censés concourir au service (du) public.

Larges partages de renseignements entre services (article 7)

Depuis 2015, les services de renseignement peuvent échanger entre eux les renseignements obtenus. Cet échange, prévu par l’article L863-2 du code de la sécurité intérieure, échoue à prévoir le moindre cadre procédural sérieux pour éviter un total dévoiement du dispositif. La Quadrature du Net avait donc attaqué ce dispositif devant le Conseil d’État, qui vient tout juste de saisir le Conseil Constitutionnel – et celui-ci ne devrait pas trop hésiter à censurer l’article.

La réforme du renseignement tente de contrer cette probable future censure constitutionnelle en posant des gardes-fous de pacotille à ce système absurde. Le partage de renseignements reste ainsi ouvert à tous les services de renseignement de premier comme du second cercle. Un service pourra obtenir de la part de ses partenaires des informations obtenues grâce à des techniques qui lui sont interdites, ou pour des finalités différentes de celles qui avaient motivé l’autorisation de la mesure de surveillance (l’avis de la CNCTR sera dans ces deux cas demandé). Le texte ne prévoit aucune limite dans le nombre de partages et n’impose pas non plus que certains agents seulement puissent accéder aux informations partagées. Le partage de renseignement vers ou depuis des services de renseignement étrangers est, quant à lui, totalement passé sous silence par la loi alors que différentes voix (telles que celle de la CNCTR et celle de la CEDH) questionnent depuis des années cette absence totale de contrôle.

Conservation portée à 5 ans pour la R&D (article 8)

Prenant l’exemple de la NSA et des sociétés privées comme Palantir, l’article 8 autorise la conservation jusqu’à 5 ans de toutes les informations obtenues dans le cadre d’opération de renseignement. En théorie, les informations ainsi conservées ne pourront plus être exploitées que pour faire de la recherche et du développement d’outils de renseignement divers (notamment les algorithmes d’analyses en masse des données collectées). Mais cette évolution permettra surtout de faire sauter toutes les limitations de durée pour des dizaines de milliers de fadettes (factures téléphoniques détaillées), d’écoutes téléphoniques, d’images de surveillance, d’analyses réseau, etc. Une fois stockées au prétexte de la R&D, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent bientôt être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…). Les lois sécuritaires reposent presque systématiquement sur ces tours de passe-passe à deux étapes.

Et même sans loi explicite, le détournent illégal des données recueillies, par des pratiques que le gouvernement ne se gênerait pas de qualifier de « alégales », ne seraient en rien une nouveauté (qu’il s’agisse par exemple du partage de données entre services, décrit plus haut, ou des nombreuses pratiques illégales antérieures à 2015 que le gouvernement avait rétrospectivement assumées en 2015).

Conservation doublée pour le piratage (article 9)

Une des techniques les plus invasives autorisées par la loi renseignement de 2015 a sans doute été le piratage informatique, tel que permis par l’article L. 853-2 du code de la sécurité intérieure. Les attaques informatiques déployées par les services de renseignement donnent potentiellement accès à l’intégralité des éléments de la vie d’une personne, largement au-delà des informations concernées par l’autorisation initiale. Les données visées sont si nombreuses et totales que la durée de leur conservation avait été limitée à un mois en 2015. Le projet de loi de 2021 propose de doubler cette durée, sans prendre la peine de donner la moindre justification opérationnelle, si ce n’est celle d’aligner cette durée sur d’autres pratiques proches dont la conservation avait été fixée à deux mois en 2015. Le gouvernement ne prend pas la peine d’expliquer pourquoi le nivellement de nos libertés se fait par le bas plutôt que par le haut…

Surveillance des communications satellitaires (article 11)

Pour le gouvernement, le champ d’action des services de renseignement doit être total : rien ni personne ne doit échapper à leur contrôle. Si Elon Musk et Starlink envisagent de multiplier les communications par satellites, l’article 11 du présent projet de loi ouvre déjà les vannes à leur surveillance. Cette surveillance sera tout aussi illicite et illégitime que celle déjà réalisée sur les réseaux câblés et hertziens.

On peut également se questionner sur le spectre des interceptions si elles sont réalisées du côté des téléports ou peuvent transiter de très nombreuses communications qui ne seraient pas spécifiquement visées, mais néanmoins accessibles en interception satellitaire. Selon les techniques envisageables, on peut redouter des conséquences similaires à celles des IMSI catcher où, afin d’écouter une seule personne, on se met en situation de pouvoir écouter toutes les personnes alentours.

Des drones contre la population (article 18)

L’article 18 donne à la police le pouvoir de brouiller les drones non-policiers, tout en renforçant l’interdiction imposée à la population de se défendre elle-même contre les drones policiers (qui ont toujours été illégaux) ou non-policiers (ce qui rend la population entièrement dépendante de la police pour protéger sa liberté). La position du gouvernement est claire : il souhaite violer la loi pour nous surveiller puis punir celles et ceux qui tenteraient d’échapper à cette surveillance illégale.

Conservation généralisée des données de connexion (article 15)

L’article 15 du projet de loi reprend docilement le schéma proposé par le Conseil d’État dans sa récente décision sur le renseignement. Comme nous le dénoncions amèrement, ce schéma repose sur l’idée que la notion de « sécurité nationale » doit être comprise le plus largement possible, tel que recouvrant par exemple les objectifs de surveillance économiques ou la lutte contre les manifestations non-déclarées. Cette notion est si large qu’elle permet de considérer que la sécurité nationale est exposée à une menace grave et constante depuis 2015 (et sûrement pour toujours).

Ce constat permet d’écarter les garanties qui devraient habituellement protéger les libertés fondamentales. Ainsi, la surveillance de masse est-elle autorisée à titre « exceptionnel » mais systématique : l’ensemble des opérateurs Internet et téléphoniques ont l’obligation de conserver pendant un an les données de connexion de toute la population.

Ce schéma est une violation frontale du droit européen. Un des buts de ce projet de loi est de rendre le Parlement français complice de la violation commise par le gouvernement et le Conseil d’État, afin de la verrouiller durablement et d’acter encore plus officiellement la fin de l’État de droit européen en France.

Toujours aucun contre-pouvoir (article 16)

Une autre exigence du droit de l’Union était que la CNCTR, l’autorité qui contrôle de façon indépendante les services de renseignement, soit dotée de pouvoirs contraignants. Ici encore, le Conseil d’État avait refusé cette logique et le projet de loi adopte sa position. Les décisions de la CNCTR n’ont toujours aucun effet contraignant : le gouvernement est libre de ne pas les respecter. Le seul pouvoir de la CNCTR est de demander au Conseil d´État de vérifier qu’une mesure de surveillance n’est pas illicite. L’unique nouveauté concédée par le projet de loi est que, dans ce cas, le Conseil d’État doit se prononcer en 24 heures durant lesquelles la mesure contestée ne pourra pas être déployée – sauf urgence justifiée.

Cet ajustement ne change presque rien à l’équilibre général des pouvoirs : le Conseil d’État, si proche du gouvernement, reste seul à décider qui le gouvernement peut surveiller et comment. La CNCTR, seule instance officielle osant encore vaguement contester l’orientation des renseignements, reste considérée avec défiance et maintenue loin du pouvoir.

Si la CNCTR considère une demande comme problématique et qu’elle conteste son usage, le Conseil d’État – s’il est saisi – pourra la sauver, mais toutes les techniques jugées positivement par la CNCTR ne pourront de fait être questionnées – le Conseil d’état ne peut qu’être moins disant.

Surveillance algorithmique de masse (articles 12 et 13)

La mesure phare mise en avant par Gérald Darmanin est l’autorisation définitive de la surveillance algorithmique permise à titre expérimental en 2015. Ici encore, ce changement acte la violation du droit de l’Union européenne souhaitée par le Conseil d’État. Alors que la Cour de justice de l’Union européenne avait exigé en 2020 que ces algorithmes ne puissent être déployés qu’en période exceptionnelle de menace grave et imminente pour la sécurité nationale, le Conseil d’État considère, comme dit plus haut, que cet état d’exception est constant : le déploiement des algorithmes est donc permis de façon constante.

Le projet de loi ne se limite pas à acter cette violation : il propose aussi de l’étendre. Alors que les deux ou trois algorithmes déployés depuis 2017 auraient, d’après la CNIL, été restreints à l’analyse du réseau téléphonique, il s’agira pour l’avenir d’analyser aussi le réseau Internet, notamment en observant désormais les URL (les noms des pages Web consultées par potentiellement l’ensemble de la population).

En vérité, ce changement de paradigme était déjà envisagé dès 2015 et il ne doit pas en cacher un autre, bien plus dramatique. Jusqu’à présent, les algorithmes ne pouvaient être déployés que sur l’infrastructure propre des opérateurs de communications : concrètement, on imagine que la DGSI avait installé des serveurs dans une armoire fournie par Orange à côtés de câbles exploités par l’opérateur, analysant plus ou moins à la volée les informations qui y étaient acheminées.

Le projet de loi permet désormais aux services de renseignement de détourner l’ensemble du trafic vers sa propre infrastructure, dans ses propres locaux, afin de l’analyser tranquillement dans son coin. Concrètement, on peut imaginer que Orange copiera l’ensemble des données échangées sur tout ou partie de son réseau pour les envoyer via une canal dédié vers des locaux de la DGSI (voir l’inquiétude d’une rare vigueur de la CNIL à ce sujet, à partir du point 14 de son premier avis). En théorie, en fonction de ses moyens techniques, il peut être envisagé que la DGSI conserve en mémoire dans ses propres locaux l’ensemble du trafic d’une ville ou du pays sur plusieurs jours (pour l’instant, le gouvernement a expliqué à la CNIL se contenter d’un délai de 24h, mais cette limite n’est même pas dans le texte de la loi).

Une fois stockées et bien organisées entre ses mains, nous ne pouvons que redouter ce que la DGSI fera de ces informations. Nos craintes sont d’autant plus fortes que le projet de loi organise déjà, dans son article 7, une logique de partage de données de plus en plus structurante et généralisée.

Coopération des opérateurs pour pirater (article 10)

Le changement le plus grave est sans doute le plus discret. Ni l’exposé des motifs et l’étude d’impact réalisées par le gouvernement, ni l’avis du Conseil d’État ou de la CNIL n’en parle. Étrangement, seul Gérald Darmanin a pris la peine de l’évoquer, rapidement. Il expliquait ainsi le 28 avril 2021 sur France Inter que, pour contourner le chiffrement des communications, « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive ».

C’est au sein du II de l’article 10 du projet de loi que nous pensons avoir trouvé une traduction de cette affirmation grandiloquente. Cet article semble permettre aux services de renseignement de contraindre les opérateurs et fournisseurs de communications électroniques (tel que Orange, SFR, mais aussi Whatsapp ou Signal au sens du droit de l’UE) de collaborer avec eux afin de déployer des failles de sécurité sur le terminal des personnes ciblées. C’est du moins l’interprétation que nous a confirmée M. Kervrain, co-rapporteur sur ce projet de loi, qui nous a auditionné le 17 mai dernier.

Un peu plus tard dans la journée, le député Ugo Bernalicis (La France Insoumise) a bien voulu demander au ministre de l’intérieur de confirmer ce point à son tour. Ce dernier s’est montré encore plus précis :
« Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. Que les choses soient claires : il ne s’agit pas d’écouter les conversations téléphoniques qui se font sur ces applications mais de profiter du fait qu’elles passent par des connexions internet. Pour les cibles les plus dangereuses, et sous le contrôle de la CNCTR, le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »

Pour étayer sa réponse, le ministre a explicitement visé l’opération conduite l’an dernier contre le système de communication chiffrée Encrochat et qui avait conduit la gendarmerie à déployer une attaque informatique particulièrement complexe lui offrant l’accès au terminal de milliers de téléphones en même temps.

Nous pensons ainsi que l’objet de l’article 10 de ce projet de loi est de légaliser et généraliser des opérations similaires à celles conduite contre Encrochat en les élargissant de plus à la surveillance administrative, pour les sécuriser juridiquement afin de les reproduire de plus en plus régulièrement pour contourner massivement les mesures de chiffrement.

Les implications de cette nouvelle menace sont aussi complexes que graves (la protection offerte par les messageries chiffrées telles que Signal est largement remise en cause) et méritent une analyse ultérieure plus poussée. Nous y reviendrons en détail prochainement.

]]> https://www.laquadrature.net/?p=17249http://isyteck.com/autoblog/quadrature/index.php5?20210525_145314_Les_GAFAM_echappent_au_RGPD__la_CNIL_compliceTue, 25 May 2021 12:53:14 +0000Le 25 mai 2018, le RGPD entrait en application. Nous célébrions l’espoir qu’il renverse le modèle économique des GAFAM, qui font de nos données personnelles une vulgaire monnaie d’échange. Porté·es par notre enthousiasme, nous déposions immédiatement avec 12 000 personnes cinq plaintes devant la CNIL, une contre chacun des GAFAM. Trois ans plus tard, aucune de ces plaintes n’a donné le moindre résultat. Ce total échec résulte d’une multitude d’irrégularités qui, toutes ou presque, révèlent le rôle coupable de la CNIL pour protéger les GAFAM contre le droit.

Pour saisir la gravité de ce bilan, nous reviendrons en détail sur chacune des cinq plaintes. Mais faisons d’abord une remarque de stratégie générale. Dès le début de notre action, nous nous attendions à rencontrer des résistances, notamment sous la forme de stratégies dilatoires à base d’expertises, de contre-expertises ou de débats infinis sur l’interprétation de chaque alinéa du RGPD. Pour contrer ces stratégies dilatoires, nous avions fait un double choix stratégique :

• concentrer nos plaintes sur un argument juridique unique, commun aux cinq plaintes et déjà bien cerné en droit (l’argument est le défaut de validité du consentement que les GAFAM nous arrachent par la ruse ou la contrainte) ;
• limiter notre argumentation à des éléments publiés par nos adversaires (dans leurs CGU, typiquement) en évitant d’invoquer le moindre fait qui nécessiterait une enquête matérielle.

Aucune de nos plaintes ne nécessite plus de quelques jours pour être traitées par deux ou trois juristes spécialisés : elles se contentent de faire des liens logiques simples entre des choses déjà admises. Comme on le verra, nos plaintes ont été réparties dans plusieurs pays, ce qui justifiait probablement d’allonger ce délai de quelques semaines. Matériellement, rien ne justifiait que ce délai s’étale sur plus de six mois. Si aucune plainte n’a abouti après trois années, c’est au prix de manipulations que la CNIL a sciemment laissé se dérouler.

Pour masquer sa démission sur les sujets les plus graves, la CNIL en est réduite à mettre en avant aujourd’hui son début d’action contre les cookies – alors que cette action aurait dû commencer dès 2018 mais que la CNIL avait offert sans justification trois années de répit aux sites web violant la loi. Si les cookies, avec leur bandeau d’information, sont la face la plus visible du traçage publicitaire, s’en prendre prioritairement à eux serait une tentative stérile de contourner le cœur du modèle économique illégal des GAFAM.

Apple joue la montre

Le 18 mai 2018, nous déposons devant la CNIL notre plainte collective contre Apple. Le 28 juin 2018, la CNIL traduit puis envoie notre plainte à son homologue irlandais, la « DPC » (Data Protection Commission). Puisque Apple a un siège social européen en Irlande, c’est à la DPC de coordonner le traitement de notre plainte. Le 20 août 2018, la DPC se décide enfin à ouvrir une enquête.

Le 9 mai 2019, soit 9 mois plus tard, la CNIL nous écrit : « l’autorité irlandaise nous a précisé avoir besoin d’obtenir la preuve qu’au moins une personne physique vous ayant donné mandat est bien une personne « concernée » par les traitements mis en œuvre par [Apple]. En conséquence, nous vous remercions de nous communiquer le nom, le prénom, l’adresse électronique ou tout identifiant de l’un de vos mandants, afin d’attester que cette personne dispose effectivement d’un compte utilisateur ». Même si cette exigence est absente du RGPD, nous jouons le jeu pour ne pas perdre du temps : une plaignante accepte de partager ses informations personnelles avec l’autorité irlandaise.

Le 14 septembre 2020, après 1 an et 4 mois de silence, la CNIL nous envoie la traduction de ce courrier laconique de la DPC. « Veuillez noter que l’enquête de la DPC à cet égard est toujours en cours et que nous continuons à nous impliquer auprès d’Apple à cet égard. La DPC vous fera parvenir une nouvelle mise à jour en temps utile ».

Le 14 avril 2021, soit 7 mois plus tard, la CNIL nous envoie un courrier nous indiquant que la plaignante que nous avions déclarée 2 années plus tôt n’aurait plus de compte sur les services d’Apple, ce qui empêcherait la DPC de poursuivre son enquête. Pour reprendre l’enquête, nous sommes invités à déclarer un nouveau plaignant. Nous répondons immédiatement pour dénoncer la manœuvre dilatoire flagrante qui consiste à « exiger l’identifiant d’une plaignante, attendre plusieurs années sans rien faire, le temps que le compte soit supprimé ou modifié, puis exiger un nouvel identifiant. Il est inadmissible que la DPC ait permis à Apple de prendre 2 ans pour vérifier un simple identifiant. Si nous lui donnions un nouvel identifiant, nous n’avons aucune raison de penser que celui-ci ne sera pas vérifié dans 2 ans, lui aussi. La CNIL cautionne-t-elle cette façon de faire de la part de la DPC et d’Apple ? Ou a-t-elle entamé des démarches pour contraindre la DPC à faire cesser ces manœuvres dilatoires ? ».

La CNIL refuse d’agir

La CNIL a le pouvoir et le devoir d’empêcher ces stratégies dilatoires. C’est à elle qu’il revient en dernier ressort de défendre les libertés fondamentales des 12 000 personnes qui se sont placées sous sa protection. Dans notre réponse contre Apple, nous avons invité la CNIL à nous rencontrer pour chercher rapidement une issue à ces trois années de blocage, lui pointant deux voies distinctes qu’elle peut emprunter pour y parvenir.

En premier lieu, le paragraphe 4 de l’article 60 du RGPD permet à la CNIL de contester les décisions de la DPC devant le comité européen à la protection des données (CEPD, l’institution qui réunit la CNIL et l’ensemble de ses homologues européens). Cette procédure est décrite au point a), paragraphe 1, de l’article 65 du RGPD. Dans ce cas, le CEPD est tenu de trancher l’affaire dans un délai d’un mois. Nous considérons que le silence gardé pendant 2 ans par la DPC, et plus encore son apparent refus de poursuivre l’enquête sans un nouvel identifiant Apple, est une décision que la CNIL aurait pu et dû contester devant le CEPD.

En deuxième lieu, le paragraphe 1 de l’article 66 du RGPD prévoit que, lorsque la CNIL estime qu’il est « urgent d’intervenir pour protéger les droits et libertés des personnes concernées », elle peut court-circuiter la DPC pour « adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois » (l’autorité de Hambourg a par exemple déjà déployé cette stratégie contre Google en août 2019). La CNIL aurait ensuite pu rendre ces effets définitifs en saisissant le CEPD. Nous considérons que les manœuvres dilatoires d’Apple et/ou de la DPC, par leur caractère grave et manifeste, assimilent la situation à un déni de justice et caractérisent à elles seules l’urgence d’agir, permettant à la CNIL de prendre elle-même une décision. De plus, le paragraphe 3 du même article 66 prévoit que, sans prendre elle-même de décision, la CNIL peut directement saisir le CEPD pour lui demander de reprendre l’affaire en main dès lors que la DPC « n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir ».

En dépit de ces deux stratégies que nous lui avons suggérées, et de l’aide que nous lui avons proposée pour en trouver d’autres si nécessaire, la CNIL n’a simplement jamais répondu à notre message. À défaut de la moindre explication, de la moindre réaction face à notre dénonciation du comportement d’Apple et de la DPC et aux solutions que nous proposions, il nous est difficile d’interpréter le silence de la CNIL autrement que comme un refus de mettre fin à ces stratégies dilatoires.

Facebook et Linkedin

Le début des plaintes contre Facebook et contre Linkedin est identique au cas d’Apple : la CNIL traduit et transmet nos plaintes à la DPC, qui commence l’enquête fin août 2018. Le 9 mai 2019, comme pour Apple, la DPC demande les informations de deux personnes qui ont signé les plaintes et qui peuvent prouver utiliser Linkedin et Facebook : deux de nos salarié·es se portent volontaires.

Le 13 février 2020, 10 mois plus tard, la CNIL écrit à un de nos salarié·es volontaires : « la DPC est intervenue auprès de Facebook, en lui demandant notamment d’illustrer ses explications quant à ses pratiques à l’aide des données concernant l’utilisateur concerné, en l’occurrence vous-même. La DPC nous demande maintenant votre accord formel pour que Facebook lui transmette les données vous concernant, que ce réseau social détient et traite dans le cadre de son traitement d’analyse comportementale ».

Encore une fois, cette demande ne repose sur aucune base légale et n’a aucun rapport avec notre plainte initiale qui, il faut le rappeler, ne visait que les CGU de Facebook et ne nécessitait donc aucune sorte d’illustration concrète. Pire, au-delà de la simple manœuvre dilatoire, cette demande peut être assimilée à une forme de pression sur nous, les personnes à l’origine de la plainte : par définition, les défenseur·es de la vie privée supportent assez mal l’idée que leur intimité soit auscultée par Facebook puis détaillée dans le rapport d’autorités publiques. Tant pis pour notre propre vie privée, l’espoir d’une résolution rapide nous fait céder aux demandes de la DPC.

Le 14 septembre 2020, nous recevons un courrier traduit par la CNIL : « La DPC adressera notamment bientôt à LinkedIn un certain nombre de demandes d’information complémentaires. Nous vous ferons parvenir une copie de ces questions dès qu’elles auront été émises. ». Impossible de comprendre quelles « informations complémentaires » sont encore nécessaires après deux ans de procédure. Nous n’en saurons jamais rien car, contrairement à ce qu’elle avait annoncé, la DPC ne nous en fera jamais parvenir la copie. Son dernier courrier, du 6 janvier 2021, se contente de rappeler génériquement la procédure sans évoquer le fond du dossier ni donner la moindre date concrète.

Le 25 mars 2021, la DPC nous dit être en train de rédiger un « compte rendu d’enquête » sur Facebook et s’engage à nous le transmettre plus tard. Le 23 avril 2021, par l’intermédiaire de la CNIL, la DPC nous demande si notre salarié ausculté par Facebook consent à ce que La Quadrature du Net ait accès aux données personnelles qui seront présentes dans le compte rendu d’enquête… Difficile de croire en la sincérité de ces démarches interminables tant elles sont ubuesques et parfaitement étrangères aux besoins de l’enquête. En tout cas, si notre salarié a bien donné son consentement, nous n’avons toujours pas vu de compte rendu.

Depuis trois ans, les réseaux sociaux Facebook et Linkedin continuent de violer le RGPD : le fichage publicitaire qu’ils réalisent repose sur un consentement obtenu de façon illégale – sous la contrainte de ne plus pouvoir accéder à leur service. La CNIL n’a aucun souci à reconnaître que cette marchandisation de nos libertés est illégale quand elle est le fait d’acteurs français. S’agissant des GAFAM, la CNIL s’interdit toute intervention, alors même que les articles 60, 65 et 66 du RGPD lui en donnent les pouvoirs.

Google perdu au rebond

Notre plainte contre Google est la seule qui pouvait être traitée directement par la CNIL, en France : contrairement aux autres GAFAM, Google n’avait pas de siège social en Europe et pouvait donc être sanctionné depuis n’importe quel pays. Pour mettre fin à cette situation inconfortable, Google a rapidement annoncé que, à compter du 22 janvier 2019, il installerait un siège social en Irlande. La veille de cette date butoir, dans la précipitation, la CNIL a rendu une décision contre Google, sanctionnant le caractère non-explicite du consentement obtenu sur Android.

Étrangement, dans sa décision, la CNIL présente la sanction comme une réponse directe à notre plainte, ce qui est faux : notre plainte ne visait pas Android mais uniquement Youtube, Gmail et Google Search, qui présentaient des problèmes différents. Ainsi, la CNIL ne répond même pas à nos demandes concrètes : elle se contente de prononcer une sanction de 50 millions d’euros que Google a pu payer sans difficulté (son chiffre d’affaire est de l’ordre de 20 millions d’euros par heure) afin de continuer à violer la loi. Dans notre plainte, en plus d’une amende de 4 milliards d’euros, nous demandions surtout que Google soit interdit d’exploiter nos données personnelles tant qu’il continuera d’obtenir notre consentement de façon forcée. En se contentant de sanctionner le passé sans chercher à protéger notre avenir, la décision de la CNIL n’aura finalement produit aucun effet notable – si ce n’est de nous faire perdre du temps. Et la date de « l’emménagement » de Google en Irlande est maintenant passée.

Dans un courrier du 27 novembre 2019, la CNIL nous informe du « transfert de votre réclamation contre Google à l’autorité irlandaise afin que celle-ci prenne en charge l’instruction des points restants de votre réclamation » – comme vu plus haut, ces « points restants » sont en vérité l’ensemble de notre plainte. Le CNIL précise qu’elle « continuera de suivre étroitement ce dossier des investigations menées par son homologue jusqu’à la décision […], en apportant son analyse dans le cadre des mécanismes de coopération ». Pourtant, dans les années qui suivront, la CNIL ne prendra aucune initiative.

Sa seule action se résumera à traduire et à nous transmettre le 10 juin 2020 l’unique courrier de la DPC à propos de Google : « l’affaire est actuellement en cours d’examen afin de déterminer la procédure réglementaire appropriée pour traiter au mieux les questions soulevées dans votre plainte ». Encore un détour qui ne fait aucun sens : la « procédure appropriée » est exactement la même que pour Apple, Facebook et Linkedin (toutes nos plaintes découlent de la même procédure initiale et reposent sur la même démonstration juridique).

À ce jour, après trois années, aucune autorité, en France comme en Irlande, ne semble avoir entamé la moindre enquête pour traiter la plainte signée par 10 000 personnes contre Google. Comme pour les autres plaintes, la CNIL aurait pu utiliser ses pouvoirs pour nous défendre mais n’a rien fait.

Amazon ou l’échec définitif du RGPD

Notre plainte contre Amazon avait été transmise en 2018 à l’homologue de la CNIL au Luxembourg, où l’entreprise a son siège européen. Nous n’avons jamais reçu d’accusé de réception du transfert de cette plainte, nous n’avons jamais eu signe de vie de l’autorité luxembourgeoise et notre plainte n’a vraisemblablement jamais été examinée par personne. À notre connaissance, la CNIL n’a rien fait pour corriger cette totale défaillance alors que, dans ce cas plus encore que dans tous les autres, les pouvoirs conférés par le RGPD lui permettent de reprendre la main sur le dossier.

S’il est confirmé que la CNIL n’a effectivement rien fait pour corriger cette situation, qu’elle a abandonné à leur sort 10 065 personnes qui lui avaient demandé protection, sa déchéance serait entière et durable.

Conclusion

Sur nos cinq plaintes, deux n’ont jamais été examinées (Google, Amazon), deux autres semblent faire l’objet de manœuvres dilatoires absurdes (Apple, Facebook) et la cinquième n’a pas davantage abouti sur quoi que ce soit de tangible en trois années (Linkedin).

On l’a souligné plusieurs fois : si les GAFAM échappent aussi facilement au RGPD, ce n’est pas en raison de la complexité de nos affaires ou d’un manque de moyens matériels. Le budget annuel de la CNIL est de 18 millions d’euros et elle emploie 215 personnes. Au fil des ans et sur d’autres sujets, nous avons souvent échangé avec les personnes employées par la CNIL : leur maîtrise du droit des données personnelles est sincère. Elles partagent certainement nos frustrations dans une bonne mesure et n’auraient aucune difficulté à redresser la situation si on le leur demandait. Le RGPD leur donne toutes les cartes et, s’il en était besoin, nous leur avons explicitement pointé quelles cartes jouer.

Si les causes de cet échec ne sont pas matérielles, elles ne peuvent être que politiques. La défaillance du RGPD vis à vis des GAFAM est si totale et flagrante qu’il est difficile d’imaginer qu’elle ne soit pas volontaire ou, tout le moins, sciemment permise. Les motivations d’une telle complicité sont hélas déjà bien identifiées : les GAFAM sont les fidèles partenaires des états pour maintenir l’ordre sur Internet. Plus que jamais, l’État français, dans sa dérive autoritaire, a tout intérêt à les maintenir au-dessus des lois pour leur laisser gérer la censure et la surveillance de masse.

À leur échelle, en permettant aux GAFAM d’échapper au droit qui devait protéger nos libertés fondamentales, les 18 membres du collège de la CNIL participent de l’effondrement démocratique en cours. À notre sujet, voici la conclusion : nous avons fait tout ce qui était dans nos capacités pour que le RGPD nous protège collectivement contre les GAFAM, nous avons pleinement joué le jeu du droit et nous avons échoué. N’attendons plus un improbable sursaut démocratique de la CNIL : il faudra nous protéger sans elle.

]]> https://www.laquadrature.net/?p=17234http://isyteck.com/autoblog/quadrature/index.php5?20210524_125915_La_Quadrature_devient_membre_d___EDRiMon, 24 May 2021 10:59:15 +0000Après plusieurs années de participation au réseau d’EDRi en tant qu’observateur, à travailler en collaboration avec les organisations membres européennes et l’équipe d’EDRi à Bruxelles pour protéger les droits et libertés dans l’espace numérique et au-delà, la Quadrature rejoint maintenant EDRi en tant que membre à part entière.

La Quadrature a longtemps été observatrice à EDRi : cela remonte au début de la dernière décennie et presque aux débuts de notre organisation. Nous l’avions initialement rejoint sous le statut d’observateur à cause de notre statut légal de l’époque (un collectif de facto plutôt qu’une association déclarée en droit français, comme c’est le cas actuellement). Au fil du temps, ce statut est resté mais est devenu de plus en plus une anomalie historique.

Aujourd’hui, la Quadrature rejoint EDRi comme membre à part entière. Ce changement de statut permettra une collaboration plus facile et étroite avec nos partenaires européens et nous donnera en même temps une voix plus officielle au sein du réseau EDRi. En pratique, ce changement de statut est dans la continuité d’années de travail collectif et officialise notre partenariat de longue date.

Merci à tous les membres d’EDRi qui ont approuvé notre demande d’adhésion ainsi qu’à l’équipe d’EDRi.

]]> https://www.laquadrature.net/?p=17227http://isyteck.com/autoblog/quadrature/index.php5?20210520_180748_Censure_partielle_de_la_loi_securite_globaleThu, 20 May 2021 16:07:48 +0000Le Conseil constitutionnel vient de rendre sa décision sur la loi sécurité globale. Tout en épargnant de larges pans de la loi (voir notre résumé de la loi), il censure certaines des dispositions les plus symboliques du texte : le fameux article 24 (devenu 52) sur la diffusion des images de la police, la surveillance par drones et hélicoptères et la vidéosurveillance constante des personnes placées en garde à vue ou en centre de rétention administrative. La défait symbolique est extrêmement lourde pour la police et le gouvernement mais le Conseil constitutionnel leur laisse de larges marges d’action pour réintroduire ces mesures dans une future loi.

Ce futur texte pourrait malheureusement tomber à point nommé pour la stratégie gouvernementale de séduction de l’extrême droite. Néanmoins, dans l’attente et pour contrer cette même dérive autoritaire, nous pourrons continuer de manifester sans drone ni hélicoptère pour nous surveiller (ou du moins, si la police en déploie, elle le fera illégalement et nous aurons la légitimité démocratique de la faire cesser). En effet, le Conseil constitutionnel considère que les finalités policières pour lesquelles les drones et les hélicoptères pouvaient être déployés étaient trop larges. De même, il a déploré que l’utilisation de drones n’était pas limitée par un contingentement et par un contrôle de « subsidiarité » limitant leur usage aux seuls cas où ils seraient indispensables.

De nombreuses dispositions très problématiques demeurent néanmoins : l’extension à la police municipale de pouvoirs de vidéosurveillance (et à la SNCF et RATP), la surveillance des halls d’immeubles, la transmission en temps-réel des images des caméras-piétons ou leur usage pour les gardes-champêtres.

La victoire symbolique n’en reste pas moins aussi inespérée que bienvenue. Il faut féliciter l’engagement exemplaire d’une large part de militantes et des militants qui, en France, ne sont pas encore résignées fasse à la répression et aux menaces de l’État policier qui se construit sous nos yeux.

Nous aurons besoin de courage pour les mois à venir : accueillons l’enthousiasme que nous offre la belle victoire symbolique d’aujourd’hui.

]]> https://www.laquadrature.net/?p=17218http://isyteck.com/autoblog/quadrature/index.php5?20210507_153007_Reglement_de_censure_terroriste_adopte____resumonsFri, 07 May 2021 13:30:07 +0000La semaine dernière, le Parlement européen a adopté, sans le voter, le règlement de censure terroriste. C’est le triste aboutissement de plus de deux ans de combats et une nouvelle défaite qui vient s’ajouter à celles subies ces derniers mois.

Comme nous l’avons fait pour la loi Sécurité globale, nous revenons ici sur les changements apportés par ce texte ainsi que sur la procédure qui a abouti à son adoption.

Commençons par rappeler qu’il s’agit ici d’un règlement européen (et non d’une directive), c’est-à-dire d’un texte d’application directe qui n’a normalement pas besoin d’un texte national pour s’appliquer. Plusieurs points restent cependant à préciser pour son application au niveau des États membres, ce qui nécessitera peut-être un véhicule législatif.

Les principales dispositions du texte

La disposition au cœur du texte est à son article 3 : toute autorité, administrative ou judiciaire (et qu’il reviendra aux États membres de désigner), pourra désormais forcer un fournisseur de service en ligne à retirer en seulement 1 heure un contenu qu’elle aura qualifié de terroriste :

• Le retrait peut donc être ordonné par une administration, sans contrôle d’un juge. En France, ce pouvoir sera sûrement donné à l’OCLCTIC (qui peut déjà ordonner un retrait en 24 heures).
• L’ordre de retrait peut venir de l’autorité de n’importe quel État membre de l’Union européenne vers tout fournisseur de service présent dans l’Union européenne.
• Le texte ne définit pas lui-même ce qu’est un contenu terroriste, mais fait référence à une directive de 2017 et à son article 3 : la liste est très large et va jusqu’à concerner les incitations à « provoquer une perturbation grave » d’un système informatique ou de « causer des destructions massives […] à un lieu public ou une propriété privée », le tout en en vue de « gravement déstabiliser » la structure politique ou économique d’un pays — d’où le risque de censure politique que nous dénoncions dès 2018 ici.
• Les services en ligne concernés sont tout fournisseur de service d’hébergement qui propose un service dans l’Union européenne en diffusant des informations au public (réseau social, plateforme vidéo, blog…), peu importe sa taille ou son importance .

Les exceptions prévues à cette obligation existent, mais restent très limitées, au vu notamment du délai de 1 heure et des fortes sanctions possibles :

• Ne devrait normalement pas être concerné tout ce qui est diffusé au public à des fins éducatives, journalistiques ou de recherche (article 1 (3)), sans qu’on sache comment cette exception sera garantie en pratique (il faudra probablement faire confiance à la police pour faire d’elle-même la part des choses).
• Si c’est la première fois que le service en ligne est contacté par une autorité (et s’il ne s’agit pas d’un cas d’urgence, dont l’appréciation est laissée à l’administration), l’autorité doit contacter le site 12 heures avant de demander formellement le retrait (art. 3 (2)).
• Le fournisseur de service en ligne peut ne pas se conformer à l’ordre de retrait s’il existe une « force majeure », une impossibilité de fait qui ne lui est pas imputable, ou s’il n’a pas les informations nécessaires (art. 3 (7)).

De la même manière, des recours existent, mais ne sont possibles qu’a posteriori :

• Tout service qui a reçu un ordre de retrait ou toute personne qui a vu son contenu retiré peut contester ce retrait, a posteriori, devant une juridiction — dans le cas où le litige s’étalerait sur plusieurs mois ou années, il semble bien que l’information censurée ne puisse pas être rétablie avant la fin du procès.
• Dans le cas d’un ordre de retrait venant d’une autorité d’un État membre vers un service en ligne d’un autre État membre, l’autorité de ce dernier État peut décider, dans les 72 heures, que l’ordre de retrait n’est pas fondé et qu’il faut rétablir le contenu en ligne (art. 4).

Le texte contient d’autres obligations :

• Tous les sites « exposés » à des contenus de type « terroriste » (c’est-à-dire désignés comme tels par une autorité) doivent lutter contre la diffusion de ces contenus, notamment via des « mesures techniques ». S’ils ne le font pas, une autorité administrative, tel le CSA, peut les y forcer.
• Ces « mesures techniques » peuvent correspondre à des filtres automatisés, même si le règlement prévoit qu’il doit toujours y avoir une vérification humaine et qu’aucune autorité ne peut forcer les plateformes à mettre en place un filtre automatisé. Hélas, dans bien des cas, c’est le délai d’1 heure qui forcera en pratique les plateformes à reposer massivement sur des systèmes automatisés de modération en amont.
• Les services exposés doivent prendre diverses mesures de transparence sur leurs actions de lutte contre la diffusion de contenus terroristes.

Enfin, il revient aux États membres de définir les sanctions en cas de non-respect des obligations, mais, en cas de « non-respect systématique » des ordres de retrait, la sanction pourra aller jusqu’à 4 % du chiffre d’affaires du service.

Comment en est-on arrivé là ?

Le texte a été présenté par la Commission européenne en septembre 2018.

En avril 2019, après que le Conseil de l’Union européenne puis le Parlement l’ont adopté en première lecture, nous étions déjà longuement revenu·es sur les premières étapes de nos combats (et ceux des autres) contre le texte. Nous y avions rappelé le rôle joué par les GAFAM dans l’élaboration du projet et souligné, à de nombreuses reprises, les risques de surveillance et de censure, notamment politique, d’un tel règlement.

Au cours de l’année 2020, chaque institution européenne ayant adopté une version différente, le texte a été discuté en « trilogue », c’est-à-dire entre des représentant·es des trois institutions, hors de tout débat public. C’est le texte qui en est sorti qui a été adopté la semaine dernière.

Ce texte n’a que peu de différences avec celui proposé par la Commission. Comme nous le répétons depuis le début, il facilitera la censure politique des mouvements d’opposition, aggravera l’utilisation de filtres automatisés en ligne et risquera ainsi de renforcer la centralisation d’Internet dans les mains des grandes plateformes :

Trois constats amers

Premier constat : nos deux ans d’efforts pour lutter contre ce texte, ainsi que ceux d’autres associations (EDRi, Wikimedia, Access Now…), n’auront eu aucun effet significatif en faveur de nos libertés. Deux années de suivi parlementaire, d’analyses juridiques et politiques, de campagnes d’appels aux parlementaires, de lettres ouvertes, françaises et internationales… Pour à la fin ne gagner que sur quelques exceptions à la marge (et détaillées plus haut), sans jamais rien changer au cœur du texte : la censure en 1 heure sans juge.

Deuxième constat : le fait que le Conseil constitutionnel français ait censuré, en juin 2020, une disposition très similaire dans la loi Avia n’a nullement empêché son adoption au niveau européen. Malgré nos appels réguliers pour souligner cette contradiction, la procédure a continué en toute tranquillité, dans un silence médiatique difficile à accepter, et avec le soutien des parlementaires français macronistes qui n’ont aucune gêne à instrumentaliser les institutions européennes afin de contourner la Constitution française.

Troisième constat : le texte a été définitivement adopté sans vote en plénière. S’agissant d’un vote en deuxième lecture, il était en effet nécessaire qu’un groupe parlementaire demande spécifiquement un vote, ce que personne n’a fait, pas même les groupes dits d’opposition.

Un des textes les plus graves jamais adoptés par l’Union européenne en matière de liberté d’expression l’a été dans une passivité générale, tant des médias que des élu·es, de gauche comme de droite. En dépit de cette indifférence décourageante, nous attendons de pied ferme que ce texte soit appliqué en France pour chercher des façons de le contrer, ou de le contourner, au niveau national.

]]> https://www.laquadrature.net/?p=17209http://isyteck.com/autoblog/quadrature/index.php5?20210429_172700_Loi_securite_globale____nos_arguments_au_Conseil_constitutionnelThu, 29 Apr 2021 15:27:00 +0000Le Conseil constitutionnel ayant été saisi pour examiner la loi sécurité globale (voir notre résumé de la loi adoptée le 15 avril), nous venons de lui envoyer les arguments que nous avons développés avec le Syndicat des Avocats de France (SAF), le Syndicat de la magistrature (SM), Droit Au Logement (DAL), le Conseil National des Barreaux (CNB), la Ligue des Droits de l’Homme (LDH), la CGT et Solidaires.

Le Conseil constitutionnel semble être le dernier contre-pouvoir en mesure de s’opposer aux pouvoirs injustifiables exigés par la police et servilement offerts par le Parlement. En parallèle et dès la manifestation du 1er mai, il faudra aussi aller sur le terrain pour documenter et contester les nombreuses irrégularités qui accompagneront inévitablement le déploiement des drones et des caméra-piétons. En effet, comme vous le lirez dans nos arguments envoyés aujourd’hui, ces techniques sont par nature incompatibles avec les garanties exigées tant par la loi que par la Constitution, notamment en matière d’information du public ou de contrôle préalable.

Téléchargez le document que nous venons de déposer avec les autres associations : contribution extérieure déposée devant le Conseil constitutionnel (PDF, 74 pages).

Nous recopions ci-dessous les arguments déployés spécifiquement en matière de vidéosurveillance.

III – SUR LA VIDÉOPROTECTION ET CAPTATION D’IMAGES

L’essentiel des dispositions du titre III de la loi sont contraires à la Constitution, soit qu’elles visent à intensifier la vidéosurveillance fixe (partie IV.1 concernant les articles 40 à 44) soit qu’elles visent à autoriser la vidéosurveillance mouvante (partie IV.2 concernant les articles 45 à 49). De plus, l’ensemble de ces dispositions intensifie la reconnaissance faciale au-delà de ce que la Constitution permet (partie IV.3).

1- Vidéosurveillance fixe

Le Conseil constitutionnel juge que les systèmes de vidéosurveillance affectent la liberté d’aller et venir, le droit à la vie privée ainsi que l’inviolabilité du domicile, protégés par les articles 2 et 4 de la Déclaration des droits de l’Homme et du citoyen de 1789, et ne peuvent être conformes à la Constitution qu’en respectant de strictes garanties (Cons. constit., 94-352 DC, 18 janvier 1995, §§ 3 et 4). Il souligne que des mesures de surveillance généralisée sont susceptibles de porter atteinte à la liberté d’expression et de manifestation (Cons. const., 27 décembre 2019, 2019-796 DC, § 83).

La Cour de justice de l’Union européenne juge que « l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel » (CJUE, C-212/13, 11 décembre 2014, §22) dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (la Charte) et qui, à ce titre aussi, ne peut être traitée que dans de strictes limites, notamment définies par la directive 2016/680 (dite « police-justice »).

En l’espèce, les articles 40 à 44 intensifieront la vidéosurveillance bien au-delà des limites définies par la Constitution, sur quatre points : le défaut de nécessité (a), le défaut de protection des lieux privés (b), le champ excessif des personnes accédant aux images (c) et la délégation à des personnes privées de missions de surveillance (d).

a) Défaut de nécessité

En droit :

La loi ne peut porter atteinte aux libertés fondamentales que si cette atteinte est nécessaire à l’objectif qu’elle prétend poursuivre, et ce notamment en matière de vidéosurveillance (Cons. constit., 94-352 DC précité). Cette exigence est reprise à l’article 4 de la directive police-justice qui exige que tout traitement de surveillance policière « soit nécessaire et proportionné » à la lutte contre les infractions et les atteintes à la sécurité publique.

En fait :

Il faut souligner que, depuis son autorisation en 1995, la nécessité et l’efficacité de la vidéosurveillance contre les infractions et les atteintes à la sécurité publique n’ont jamais été démontrées. Bien au contraire, les seules études concrètes déplorent qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de délinquance commis sur la voie publique » (Cour des comptes, Les polices municipales, octobre 2020).

Pourtant, les articles 40 à 45 de la loi visent à étendre les conditions d’installation et d’exploitation des systèmes de vidéosurveillance.

En conclusion, ayant systématiquement échoué à démontrer la nécessité des systèmes de vidéosurveillance déployés depuis 1995, les articles 40 à 45 ne peuvent étendre ces systèmes sans violer la Constitution, et notamment les articles 2 et 4 de la Déclaration des droits de l’homme de 1789 en ce qu’ils garantissent la liberté d’aller et venir, le droit à la vie privée, l’inviolabilité du domicile et la liberté d’expression et de manifestation.

b) Défaut de protection des lieux privés

En droit :

Une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5). Ainsi, en 2010, le Conseil constitutionnel n’a pas hésité à censurer une disposition qui autorisait la police à accéder aux images de caméras de halls d’immeubles sous la simple condition que surviennent « des événements ou des situations susceptibles de nécessiter l’intervention des services de police ou de la gendarmerie » (Décision 2010-604 du 25 février 2010). En outre, le Conseil avait considéré que la disposition litigieuse ne prévoyait pas les garanties nécessaires à la protection de la vie privée, alors même que ladite disposition prévoyait expressément que « la transmission de ces images relève de la seule initiative des propriétaires ou exploitants d’immeubles collectifs d’habitation ».

Une loi de 2011 a réintroduit la disposition censurée en 2010 en tentant de la corriger par une condition un peu plus stricte que celle censurée par le Conseil constitutionnel en 2010 : la transmission d’image n’est plus permise qu’en présence « de circonstances faisant redouter la commission imminente d’une atteinte grave aux biens ou aux personnes ». Le Conseil constitutionnel n’a jamais eu l’occasion de trancher si cette modification a suffit à rendre le dispositif conforme à la Constitution.

En fait :

L’article 43 de la présente loi supprime la limitation ajoutée en 2011 pour revenir à une situation quasi-identique à celle censurée en 2010. Les images pourraient être transmises en cas de simple « occupation par des personnes qui entravent l’accès et la libre circulation des habitants ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ». Cette condition est aussi large, et même davantage, que celle de « situations susceptibles de nécessiter l’intervention de la police ».

De la même manière, la possibilité, au dernier alinéa, pour la police nationale, la gendarmerie ou la police municipale de décider unilatéralement de cette transmission « en cas d’urgence » et après alerte du gestionnaire de l’immeuble ne remplit aucune des conditions posées par le Conseil constitutionnel. En effet, le Conseil ayant considéré comme insuffisante la garantie que cette transmission ne s’effectue qu’à la seule initiative des propriétaires ou exploitants de l’immeuble, il ne saurait en être autrement pour une transmission qui serait décidée à la seule initiative des forces de l’ordre : une telle possibilité d’accéder en temps réel aux images de lieux d’habitation privés sur décision unilatérale de la police méconnaitrait gravement le droit à la vie privée des personnes qui résident ou se rendent dans ces immeubles.

En conséquence, l’article 43 autorise dans des conditions disproportionnées la vidéosurveillance par la police des lieux de vie, en contradiction avec la Constitution telle qu’interprétée par le Conseil constitutionnel.

c) Le champ excessif des personnes accédant aux images

En droit :

La Cour de justice de l’Union européenne juge contraire à la Charte une mesure de surveillance qui « ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données » (CJUE, grande chambre, 8 avril 2014, Digital Rights Ireland et autres, C-293/12, C-594/12, § 62). Cette limitation est indispensable dans la mesure où les risques de dérives et d’abus des mesures de surveillance ainsi que la difficulté du contrôle que peut en faire une autorité indépendante sont proportionnels au nombre de personnes pouvant les mettre en œuvre. Dans son avis du 21 décembre 2020, la Défenseure des droits insiste sur le fait que cette limitation est une garantie centrale pour le respect de la vie privée.

L’article L. 252-3 du code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale.

En fait :

La présente loi étend cet accès aux agents :

• de la police municipale et de la ville de Paris (article 40) ;
• des communes, des communautés de communes et des groupements similaires (article 42) ;
• des services de sécurité de la SNCF et de la RATP (article 44).

Aucun élément matériel ni aucune étude concrète n’a été produite pour démontrer la nécessité d’une extension si importante des personnes accédant aux images de vidéosurveillance pour lutter contre les infractions.

En conclusion, les articles 40, 42 et 44 multiplient hors de toute proportion justifiée les risques de détournement et d’abus des mesures de surveillance, tout en diminuant les capacités de contrôle des autorités indépendantes.

d) Délégation à des personnes privées

En droit :

Il convient de rappeler que le Conseil constitutionnel juge que la nécessité d’une force publique, inscrite à l’article 12 de la Déclaration des droits de l’homme de 1789, interdit de déléguer à des personnes privées des compétences de police administrative générale et de surveillance générale de la voie publique, une telle délégation de compétences étant caractérisée lorsque lesdites personnes se voient confier la tâche de visionner les images pour le compte de personnes publiques (Conseil constit., décision 2011-625 DC du 10 mars 2011, précitée).

En fait :

L’article 44 permet aux agents des services internes de la SNCF et de la RATP d’avoir accès aux images de vidéosurveillance de la voie publique. Il s’agit de salariés de droit privé auxquels serait délégué un pouvoir de surveillance de la voie publique. Les encadrements prévus par la loi, comme le contrôle d’un agent de police ou le nombre limité de finalités, n’altèrent en rien la qualification de délégation à une personne privée d’une mission de surveillance.

Aussi, la délégation que prévoit l’article 44 est contraire à la Constitution.

e) Dignité et respect de la vie privée des personnes privées de liberté

En droit :

Le Conseil constitutionnel juge qu’il appartient aux autorités judiciaires ainsi qu’aux autorités administratives de veiller à ce que la privation de liberté des personnes condamnées ou placées en détention provisoires soit, en toutes circonstances, mise en oeuvre dans le respect de la dignité de la personne (Conseil constit., décisions 2021-898 QPC du 16 avril 2021 et 2020-858/859 QPC du 2 octobre 2020).

Par ailleurs, la Cour européenne des droits de l’Homme juge que non seulement une personne détenue ne perd pas les droits conférés par la Convention, mais également que le fait de placer une personne sous vidéosurveillance permanente pendant sa détention est une ingérence grave dans le droit au respect de sa vie privée et que toute disposition légale l’autorisant doit donc protéger l’individu de tout risque d’y être soumis de manière arbitraire (CEDH, Vasilica Mocanu c. Roumanie, n° 43545/13, § 36 ; Gorlov et autres c. Russie, n° 27057/06, § 82, 97 ; Izmestyev c. Russie, n° 74141/10, § 121, 128). C’est notamment à ce titre que le Conseil d’Etat a considéré que la mise en place des systèmes de vidéosurveillance continue devait être strictement réservé aux situations qui l’exigent, et qu’il a autorisé la surveillance par vidéo permanente d’un individu détenu en raison seulement du caractère exceptionnel des faits pour lesquels il était poursuivi (Conseil d’Etat, 28 juillet 2016, n° 401800, § 12).

Enfin, par deux décisions du 21 mars 2019, le Conseil constitutionnel a explicitement consacré la protection de l’intérêt supérieur de l’enfant en la rattachant aux dixième et onzième alinéas du Préambule de la Constitution de 1946 (cf.Cons. const., 21 mars 2019, M. Adama Soumaoro [Examens radiologiques osseux aux fins de détermination de l’âge], no 2018-768 QPC, pt. 6 ; Cons. const. 21 mars 2019, Loi de programmation 2018-2022 et de réforme pour la justice, no2019-778 DC, pt. 60).

En matière de surveillance policière, ce principe est notamment traduit au considérant 50 de la directive 2016/680 (dite « police-justice »), qui précise que « les mesures prises par le responsable du traitement devraient comprendre l’établissement et la mise en œuvre de garanties spécifiques destinées au traitement de données à caractère personnel relatives aux personnes physiques vulnérables telles que les enfants ».

En fait :

L’article 41 de la loi permet au ministère de l’intérieur de mettre sous surveillance vidéo une personne détenue dans un centre de rétention administrative et une cellule de garde à vue. Les finalités prévues sont larges et extrêmement permissives, allant de simples « motifs raisonnables de penser » qu’un individu pourrait représenter une menace pour lui-même ou les autres, à la « collecte de preuve dans le cadre de procédures judiciaires ou administratives ».

De telles conditions à la mise sous vidéosurveillance continue apparaissent bien peu exceptionnelles, au point qu’il en devient même difficile d’imaginer des situations de détention dans lesquelles elles ne seraient point remplies.

Au surplus, l’article 41 ne prévoit aucune garantie spécifique visant à protéger l’intérêt supérieur des enfants qui pourront être soumis à cette surveillance constante, notamment lors de leur enfermement avec leur famille en centre de rétention administrative.

En conclusion, l’article 41 prévoit un dispositif de surveillance qui constitue une atteinte manifestement disproportionnée aux droits et libertés garanties par la Constitution.

2 – Vidéosurveillance mouvante

Les articles 45 à 49 concernent le déploiement et l’intensification de la vidéosurveillance mouvante : transmission en temps réel et systématisation des images captées par les caméras-piétons, légalisation des caméras aéroportées et des caméras embarquées. Ces trois types de vidéosurveillance seront examinés ensembles, car elles partagent toutes le fait d’être mobiles : cette seule caractéristique suffit à les rendre irréconciliables avec quatre garanties fondamentales exigées par la Constitution et le droit européen.

a) Défaut de nécessité

En droit :

Tel qu’exposé précédemment, une atteinte à la vie privée ou à la protection des données personnelles n’est conforme à la Constitution et au droit européen que si elle est strictement nécessaire à la finalité qu’elle poursuit. Plus spécifiquement, l’article 4 de la directive police-justice exige que le traitement de données personnelles réalisé pour lutter contre les infractions et les atteintes à la sécurité publique « soit nécessaire et proportionné » à cette finalité et que les données soient « adéquates, pertinentes et non excessives » au regard de cette finalité.

Plus grave, si les images captées sont des données « sensibles », telles que des données biométriques ou des données pouvant révéler les opinions politiques ou religieuses des personnes filmées, l’article 10 de la directive police-justice, transposé à l’article 88 de la loi informatique et libertés, exige que les autorités démontrent la « nécessité absolue » d’une telle surveillance – autrement dit, la police doit démontrer être dans l’impossibilité matérielle de lutter contre les infractions si elle ne peut pas utiliser ces caméras.

En fait :

Les articles 45, 46 et 49 généralisent la captation, voire la transmission d’images par caméras-piéton. Les articles 47, 48 et 49 autorisent les caméras aéroportées (drones) et embarquées (hélicoptères, voitures). Aucune démonstration n’a été réalisée, ni même tentée, quant à la nécessité de déployer de telles caméras pour poursuivre l’une des très nombreuses et larges finalités qu’elles pourraient poursuivre : sécurité des rassemblements de personnes sur la voie publique, constat des infractions, protection des bâtiments…

C’est même le contraire qui commence à apparaître dans la jurisprudence. Dans sa décision du 22 décembre 2020 (décision n° 446155) qui a interdit les drones policiers à Paris, le Conseil d’État a dénoncé que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement dans les circonstances actuelles, en l’absence de recours à des drones » – c’est-à-dire grâce au 35 000 caméras fixes surveillant déjà l’espace public. Pour cette finalité, et pour tant d’autres similaires, la démonstration de la nécessité de recourir aux drones fait systématiquement défaut. Le cas des drones est à cet égard identique à celui des caméras embarquées, notamment sur des hélicoptères, désormais autorisées par les article 48 et 49.

De même, si l’objectif antérieur des caméras-piétons était de « prévenir les incidents susceptibles de survenir au cours des interventions [et de] déterminer les circonstances de tels incidents, en permettant l’utilisation des enregistrements à des fins probatoires » (comme l’expliquait la CNIL dans son rapport de 2015), le gouvernement n’a jamais pris la peine d’évaluer si cet objectif avait été atteint.

Pourtant, sans attendre une telle évaluation, l’article 45 étend désormais considérablement le rôle de ce dispositif en autorisant la transmission des images au centre de commandement, en direct et à la libre initiative de la police et de la gendarmerie, dès lors que celles-ci considèrent que « la sécurité des agents […] ou la sécurité des biens et des personnes est menacée ». La nécessité d’une extension si importante est encore moins démontrée que celle du dispositif initial, qui fait pourtant défaut. Ce même article 45 prétend en outre supprimer du dispositif initial la garantie selon laquelle « les personnels auxquels les caméras individuelles sont fournies ne peuvent avoir accès directement aux enregistrements auxquels ils procèdent », et prévoie que cet accès direct sera désormais permis lorsqu’il sera « nécessaire pour faciliter » le travail des agents – une formulation qui tient de l’oxymore juridique, puisque ne saurait être « facilité » que ce qu’il est déjà possible d’accomplir par d’autres moyens. Les articles 46 et 49, qui visent quant à eux à permettre aux gardes champêtres et gendarmes d’exploiter de tels caméras, souffre de la même absence de démonstration quant à leur nécessité.

Si la simple « nécessité » des drones est absente, tout autant que celle des caméras par hélicoptère et des caméras-piétons, leur « nécessité absolue » fait entièrement défaut. Pourtant, ces caméras captent régulièrement des données sensibles, ne serait-ce qu’en manifestation où elles ont largement été déployées et où, par définition, toute image captée est susceptible de révéler des opinions politiques.

Pour toute tentative de justification, la police semble mettre en avant certains faits divers où un drone, ou une caméra piéton, aurait éventuellement facilité son travail. Le critère de « nécessité » ou de « nécessité absolue » exige bien davantage qu’un simple gain de temps ou une économie de moyens : il faut démontrer que la police ne pourrait pas réaliser son travail sans cet outil. Le gouvernement a toujours refusé d’entreprendre une démonstration concrète et systémique sur les besoins de la police à cet égard. Ce ne sont pourtant pas les occasions qui ont manqué : ces caméras mouvantes ont été déployées pendant des années, de façon illégale, mais suffisamment large pour en évaluer les effets.

En conséquence, à défaut d’être nécessaires à la poursuite des finalités qui leur sont associées, et alors qu’ils causent de graves atteintes aux libertés fondamentales tel que démontré ci-après, les dispositifs de caméra mouvante autorisés par les articles 45 à 49 ne sauraient l’être sans violer la Constitution et le droit européen.

b) Défaut de contrôle préalable

En droit :

Le Conseil constitutionnel juge, en matière de vidéosurveillance, que le législateur « ne peut subordonner à la diligence de l’autorité administrative l’autorisation d’installer de tels systèmes sans priver alors de garanties légales les principes constitutionnels » protégeant la liberté d’aller et venir, la vie privée et l’inviolabilité du domicile. Le Conseil exige que le législateur prévoie un contrôle préalable extérieur, tel que l’avis préalable d’une commission indépendante ayant pu en examiner la nécessité et la proportionnalité du dispositif (Conseil constit., 94-352 DC, 18 janvier 1995, §§ 6 et 12).

De la même manière, la CJUE exige qu’une mesure de surveillance ne puisse être déployée qu’en faisant l’objet « d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (CJUE, C-511/18, La Quadrature du Net, 6 octobre 2020, §§ 139, 168, 179, 189 et 192).

Ainsi, en l’état actuel du droit, avant d’installer chaque caméra, une autorité indépendante doit pouvoir examiner si le lieu filmé est surveillé pour des justifications suffisantes propres à ce lieu – telles que la fréquence des infractions qui y surviennent, leur nature, leur gravité et les difficultés particulières que la police y rencontre. C’est ainsi que l’article L. 252-1 du code de la sécurité intérieure prévoit qu’un dispositif de vidéosurveillance ne peut être autorisé qu’après l’avis d’une commission départementale de vidéoprotection, présidée par un magistrat.

En fait :

Il est impossible de connaître à l’avance les lieux filmés par une caméra-piéton, aéroportée ou embarquée. La police et la gendarmerie décident seules et sur le vif des lieux à surveiller, en réaction à des situations imprévisibles par nature.

Ainsi, c’est en vain que l’article 47 prévoit que la captation d’image par drone est autorisée « par le procureur de la République ou le juge d’instruction […] qui s’assure du respect des dispositions du présent chapitre ». Les dispositions dudit chapitre exigent que la captation « ne [puisse] donner lieu à la collecte et au traitement que des seules données à caractère personnel strictement nécessaires ».

Or, cette proportionnalité est matériellement impossible à évaluer par le procureur ou le juge au moment de donner leur autorisation, avant le décollage du drone. L’autorisation se cantonnera au mieux à délimiter une large zone, tel que « le parcours d’une manifestation et ses alentours » ou « la gare est ses alentours », laissant ensuite les agents décider seuls et de façon improvisée des lieux concrètement surveillés et des images captées.

Cette absence de contrôle préalable effectif a des conséquences particulièrement graves : si, au détours d’une manifestation ou d’une zone surveillée, la police souhaite abuser de ses pouvoirs afin, par exemple, d’envoyer un drone filmer les locaux d’une association, d’un journal ou d’un avocat, ou encore la résidence d’un parlementaire, elle pourrait le faire en toute discrétion et en toute autonomie, sans qu’aucune autorité indépendante n’en soit informée. À l’inverse, l’installation de caméra fixe est signalée et examinée par une autorité indépendante à même de dénoncer de telles dérives.

S’agissant des caméras mouvantes, ce défaut de contrôle préalable de proportionnalité n’est pas un manque du législateur : il est inhérent au principe même de vidéo-surveillance mouvante. De sorte, les articles 45, 46, 48 et 49, lorsqu’ils autorisent les captations d’image par caméras-piéton ou caméras embarquées, ne prennent même pas la peine de prévoir une procédure d’autorisation similaire à celle prévue par l’article 47 pour les drones. Cette différence révèle combien cette procédure d’autorisation est vaine – si elle était à même d’apporter la moindre protection pour les libertés fondamentales, il n’y avait aucune raison pour que le législateur n’ait pas soumis les drones et les hélicoptères à la même procédure.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant pas être effectivement examinées au préalable par une autorité indépendante, les articles 45 à 49 qui autorisent leur déploiement violent la Constitution.

c) Défaut d’information

En droit :

Pour être conforme à la Constitution, une disposition qui autorise un dispositif de vidéosurveillance doit s’assurer « que le public soit informé de manière claire et permanente de l’existence du système de vidéosurveillance ou de l’autorité et de la personne responsable » (Cons. constit., décision 94-352 DC, 18 janvier 1995, § 5).

De même, l’article 13 de la directive police-justice exige que le responsable d’une mesure de surveillance fournisse aux personnes concernées plusieurs informations, telles que l’identité du responsable, les finalités du traitement et le droit d’accéder aux données.

S’agissant des caméras fixes, l’article R. 252-3 du code de la sécurité intérieure prévoit que chaque dispositif de vidéosurveillance soit accompagné d’une affiche indiquant « le nom ou la qualité et le numéro de téléphone du responsable auprès duquel toute personne intéressée peut s’adresser pour faire valoir le droit d’accès prévu à l’article L. 253-5 ». Seule une information aussi précise et complète permet d’assurer le respect des garanties exigées par le Conseil constitutionnel et le droit de l’Union.

En fait :

L’article 47 exige que le public soit informé de la surveillance par drones « par tout moyen approprié ». L’article 48 exige que le public soit informé de la surveillance par caméra embarquée « par une signalétique spécifique de l’équipement du moyen de transport par une caméra ». L’article 49 prévoit une information « par tout moyen approprié ». Les articles 45 et 46 exigent que les caméras-piétons sont « portées de façon apparente » et que « un signal visuel spécifique indique si la caméra enregistre ».

En pratique, tel qu’il a été facile de constater ces dernières années, ces différentes mesures d’information seront systématiquement défaillantes : un écriteau « vous êtes filmé » accroché à un hélicoptère volant à plus de 100 mètres n’aura aucun effet ; pire, un drone vole trop haut pour transmettre la moindre information visuelle ou sonore, et sa taille est si petite qu’il échappe souvent entièrement à l’attention des personnes surveillées. De même, les caméras-piétons se fondent parfaitement dans l’équipement des agents qui, eux-mêmes, se fondent facilement dans les foules surveillées, qu’ils n’ont aucun moyen visuel ou sonore d’informer de façon réaliste.

Partant, les mesures de vidéosurveillance mouvante ne pouvant jamais être portées à la connaissance du public de façon suffisamment efficace, les articles 45 à 49 qui autorisent leur déploiement violent la Constitution.

d) Surveillance des lieux privés

En droit :

Tel que rappelé ci-dessus, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5).

Ainsi, les caméras fixes sont orientées de façon à éviter de filmer les immeubles et, quand elles ne le peuvent pas, un système d’obstruction matérielle ou logicielle basique permet de ne pas capter l’image des immeubles (un rectangle noir, typiquement).

En fait :

La vidéosurveillance mouvante filme des lieux qui changent constamment et qui ne peuvent être connus à l’avance. Or, il est techniquement irréaliste d’obstruer en temps réel l’image d’immeubles présents sur des lieux inconnus à l’avance et en mouvement constant – contrairement aux lieux statiques filmés par les caméras fixes. Le caractère mouvant de cette vidéosurveillance est mécaniquement incompatible avec une interdiction de filmer l’intérieur des immeubles.

Dès lors, les articles 45 et 46 sur les caméras-piétons et l’article 48 sur les caméras embarquées ne prévoient aucune interdiction de filmer l’intérieur des immeubles – ce qui, en effet, serait irréaliste. Pourtant, ces caméras sont presque toujours en situation de filmer l’intérieur d’immeubles et de lieux privés, ne serait-ce qu’au travers des fenêtres.

L’article 47 sur les drones prévoit une interdiction de filmer l’intérieur des « domiciles » ou de leurs entrées et non, comme l’exige le Conseil constitutionnel, l’intérieur de tous les « immeubles » en général. La police et la gendarmerie seraient seules à décider quels immeubles sont ou non des domiciles. Cette appréciation se ferait à la volée et en cours d’opération, ce qui semble parfaitement irréaliste – même via des outils d’analyse automatisée, qui ne seraient d’aucune aide s’agissant d’une appréciation aussi sociale et humaine de ce qu’est ou non un « domicile ». Mais ce problème est finalement sans importance dans la mesure où, de toute façon, aucun dispositif technique n’est capable d’obstruer en temps réels l’image mouvante d’immeubles, domiciles ou non.

Au cours des débats à l’Assemblée nationale, la rapporteure Alice Thourot a reconnu sans ambiguïté, s’agissant des drones, qu’il « n’est matériellement pas possible d’interdire de visualiser les espaces privés » (voir les débats publics de la troisième séance du vendredi 20 novembre 2020 relatifs à l’amendement n° 1164).

En conséquence, les dispositifs de vidéosurveillance mouvante ne pouvant jamais éviter de filmer l’intérieur des immeubles, les articles 45, 46, 47 et 48, qui intensifient et autorisent leur déploiement, violent la Constitution.

3- Reconnaissance faciale

Le titre III de la loi vise à intensifier la vidéosurveillance fixe et généraliser la vidéosurveillance par drones, caméras embarquées (dont par hélicoptères) et caméras-piétons. Toutes les nouvelles images captées par ces dispositifs, fixes comme mouvants, seront transmises en temps réel à un poste de commandement.

Une telle transmission en direct donne aux forces de police et de gendarmerie la capacité technique d’analyser les images transmises de façon automatisée, notamment en recourant au dispositif de reconnaissance faciale autorisé par le décret du 4 mai 2012 relatif au traitement d’antécédents judiciaires (TAJ).

Cette technique, qui n’a jamais été autorisée par le législateur, est l’exemple typique de traitements de données biométriques qui, au titre de l’article 10 de la directive police-justice et de l’article 88 de la loi informatique et libertés, devraient démonter leur « nécessité absolue » dans la lutte contre les infractions et les menaces pour la sécurité publique. Pourtant, cette nécessité n’a jamais été démontrée et le droit français ne prévoit aucune garantie pour les limiter à ce qui serait absolument nécessaire.

Au contraire, le recours à ces techniques semble être devenu systématique et ne reposer sur aucun contrôle de proportionnalité : en 2019, les autorités ont réalisé plus de 375 000 opérations de reconnaissance faciale, soit plus de 1 000 par jour (voir l’avis rendu le 13 octobre 2020 par le député Mazars au nom de la commission des lois de l’Assemblée nationale).

Il ne fait pourtant aucun doute que l’analyse automatisée d’images de vidéosurveillance est aujourd’hui contraire au droit français et européen, qu’il s’agisse d’ailleurs de reconnaissance faciale comme de tout autre type d’analyse automatisée permettant l’identification et le suivi d’une personne, tel que la CNIL l’a encore dénoncé face au déferlement de caméras dites « intelligentes » au cours de la crise du Covid-19 (Cnil, « Caméras dites « intelligentes » et caméras thermiques », 17 juin 2020).

Prenant acte de l’illicéité d’une telle analyse automatisée, le législateur a pris soin de préciser à l’article 47 de la présente loi que les images captées par drones ne peuvent pas être analysées « au moyen de dispositifs automatisés de reconnaissance faciale » ni être soumis à des interconnexion avec d’autres fichiers (notamment avec des fichiers tel le TAJ qui, une fois nourris, peuvent conduire à une reconnaissance faciale). Hélas, le législateur semble avoir omis d’apporter cette précision s’agissant des autres traitements qu’il autorise (caméras embarquées) ou dont il étend l’exploitation (caméras-piéton, caméras fixe) dans la présente loi.

Dans l’hypothèse où le Conseil constitutionnel ne reconnaîtrait par les articles 40 à 49 comme contraires à la Constitution, il devrait à tout le moins combler l’omission du législateur en décidant que les articles 40, 41, 42, 43, 44, 45, 46, 48 et 49 ne sont conformes à la Constitution qu’à la condition d’être interprétés comme soumis à la même interdiction prévue à l’article 47 concernant les analyses automatisées et les interconnexions avec d’autres fichiers.

]]> https://www.laquadrature.net/?p=17195http://isyteck.com/autoblog/quadrature/index.php5?20210427_180522_Les_cookies_de_Google_sont_toxiques__le_FLoC_aussi.Tue, 27 Apr 2021 16:05:22 +0000Mis au pied du mur à cause de la révolte mondiale contre la surveillance à base de cookies, Google expérimente depuis peu une nouvelle manière de nous pister, appelée FLOC. Cette fois-ci, c’est depuis son navigateur directement, à savoir Google Chrome. L’EFF a conçu un site web pour vérifier si vous êtes concerné-es et expliquer la technologie : https://amifloced.org/ . Google détruit l’imaginaire du cookie, pourtant une douceur bienvenue aujourd’hui. 


Une particularité de cette nouvelle technologie, c’est qu’elle traque l’utilisateurice directement depuis son navigateur, au lieu que ce soit le site web qui le fasse. Un conseil immédiat donc : supprimez Google Chrome et Chromium de votre téléphone et ordinateur, et alertez vos ami-es. (Ré-) Essayez Firefox !


Par ailleurs, les sites web peuvent demander à Chrome de ne pas traquer les utilisateurices quand ils sont visités, au moyen d’une instructions envoyé par le serveur, un header, nommé `Permissions-Policy`. Nous refusons depuis longtemps de pister les personnes visitant les sites de La Quadrature, et n’avons pas déployé de mesure d’audience, pistage ou cookie. 


Aujourd’hui, nous allons plus loin, et mettons en place sur nos serveurs les recommandations de l’EFF pour vous éviter d’être pistés en visitant les sites de La Quadrature. Vous pouvez faire de même. Notre action aura un effet limité, mais nous vous invitons à écrire à Google, et aux élu·es pour leur demander de prendre leurs responsabilités, ainsi que de relayer cette action autour de vous. Nous insistons aussi sur l’importance de ne pas utiliser des navigateurs qui nous pistent, que ça soit Brave avec ses cryptomonnaies, ou Chrome avec son FLOC.


À cette occasion, nous vous ré-invitons à partager notre site web de campagne : https://bloquelapub.net et à passer le bloqueur à vos voisins. 


Cette nouvelle attaque de Google contre l’anonymat et nos vies privées, sorte de rogne d’un système pris dans ses contradictions et mis face aux conséquences de ses décisions, n’est pas une bonne nouvelle. Elle n’est possible que grâce à son quasi monopole sur les navigateurs, que nous nous devons de combattre. C’est aussi une manière pour Google d’asseoir son autre monopole sur la publicité en ligne. En effet, peu d’entreprises ont la possibilité d’implémenter un tel système de traçage, car n’ayant pas de contrôle à la fois sur le navigateur et la régie publicitaire, laissant donc à Google un énorme pouvoir pour orienter et décider du futur de la publicité en ligne. Ce pouvoir est trop important et il n’y a aucune garantie que le blocage du FLoC soit respecté. Serait-ce un fiasco similaire au « Do Not Track » ?  


Une manière pour nous de lutter collectivement contre ce monopole, sans être obligés de compter sur des pouvoirs étatiques, c’est de promouvoir la diversité. Une diversité des navigateurs, des logiciels, et lui permettre d’exister en développant du code qui soit un commun pour l’humanité, aussi appelé logiciel libre. À cette fin, nous vous appelons à soutenir avec nous  les associations, développeureuses et contributeurices qui se battent pour les logiciels libres.


Pour aller plus loin  :       

https://wicg.github.io/floc 

https://cleanuptheweb.org/

https://plausible.io/blog/google-floc

https://lord.re/fast-posts/58-non-je-ne-bloquerai-pas-floc-sur-mon-blog/

https://github.com/google/ads-privacy/blob/master/proposals/FLoC/FLOC-Whitepaper-Google.pdf

Correction : Nous n’avions pas mentionné que cette expérimentation de Google, qui ne s’applique pour le moment qu’a une partie des navigateurs Chrome, ne sera à priori pas déployé en Europe, dû au RGPD. Toutefois, la protection s’applique à toutes les personnes nous lisant dans le reste du monde, y compris les États-Unis.

]]> https://www.laquadrature.net/?p=17162http://isyteck.com/autoblog/quadrature/index.php5?20210422_110853_Lettre_commune_d___organisations_fran__aises_contre_le_reglement_de_censure_terroristeThu, 22 Apr 2021 09:08:53 +0000Après la lettre commune européenne, nous signons, avec 11 associations et organisations françaises, une lettre adressée aux parlementaires français de l’Union européenne pour leur demander de rejeter le règlement de censure terroriste sur lequel ils sont appelés à voter le 28 avril prochain.

Nous y soulignons non seulement les dangers de ce texte pour nos libertés mais surtout la contradiction directe entre la proposition de règlement européen et la décision du Conseil constitutionnel qui a censuré en 2020 une disposition semblable au sein de la loi sur la haine en ligne.

La lettre en PDF, recopiée ci-dessous avec la liste des signataires

Mesdames les députées, Messieurs les députés,

Le 28 avril prochain, le Parlement européen est appelé à voter en deuxième lecture sur la proposition du règlement de prévention de la diffusion de contenus à caractère terroriste en ligne.

Ce texte, tel qu’il est rédigé aujourd’hui, permettrait aux autorités de n’importe quel État membre de l’Union européenne de demander à toute plateforme en ligne le retrait en une heure d’un contenu que cette autorité aurait considéré comme relevant d’un caractère terroriste.

Nous, organisations, syndicats et associations de défense des libertés, vous demandons de voter contre cette proposition.

En l’état, ce texte risque d’affaiblir nos droits et libertés fondamentales :

1. En donnant la possibilité à une autorité d’imposer aux services en ligne, sous la menace d’importantes sanctions, le retrait d’un contenu en seulement une heure, cette proposition risque de renforcer le développement d’outils de filtrage automatisé et de nuire ainsi gravement à la liberté d’expression en ligne ;

2. L’absence de tout contrôle judiciaire indépendant et le caractère possiblement transfrontalier des demandes de retrait pourraient mener à la censure d’opposants politiques et de mouvements sociaux.

Les dangers de ce texte ont été régulièrement dénoncés par de nombreuses organisations et institutions depuis sa présentation [1]. Récemment encore, 61 organisations européennes ont rappelé le risque qu’il posait et vous ont demandé, en tant que parlementaires, de le rejeter [2].

Nous rejoignons leur appel et attirons tout particulièrement votre attention sur les contradictions de ce texte avec la décision du Conseil constitutionnel français du 18 juin 2020 sur la loi visant à lutter contre les contenus haineux sur Internet telle que proposée par la députée Laetitia Avia [3]. Le juge constitutionnel y a notamment censuré une disposition semblable à celle prévue dans la proposition de règlement permettant à l’autorité administrative de demander à toute plateforme en ligne le retrait en une heure d’un contenu que cette autorité aurait qualifié de terroriste, sans le contrôle préalable d’un juge.

Le Conseil constitutionnel a notamment justifié sa censure du fait que l’appréciation du caractère illicite du contenu était soumise à la seule appréciation de l’administration, que le recours contre la demande de retrait n’était pas suspensif et que le délai d’une heure ne permettait pas d’obtenir une décision d’un juge avant le retrait du contenu. Il en a déduit que cette disposition constituait une atteinte à la liberté d’expression et de communication qui n’était pas adaptée, proportionnée ou nécessaire.

Aucune des dispositions prévues aujourd’hui dans la proposition de règlement européen ne vient rectifier la contradiction flagrante entre les exigences constitutionnelles françaises et l’obligation de censure en une heure au cœur du texte sur lequel vous êtes appelé(e)s à voter.

Nous vous demandons donc de respecter la décision du Conseil constitutionnel du 18 juin 2020 et de rejeter ce texte contraire à nos droits et libertés fondamentales.

Organisations signataires de la lettre commune :

CREIS-Terminal
CECIL
Globenet
Internet Sans Frontières
Internet Society France
La Quadrature du Net
Ligue des droits de l’Homme
Observatoire des Libertés et du Numérique
Renaissance Numérique
Syndicat de la Magistrature
Syndicat des Avocats de France
Wikimedia France

–

[1] En décembre 2018, plus de 60 organisations demandaient déjà le retrait de texte :

https://www.laquadrature.net/2018/12/03/44-organisations-demandent-a-macron-de-renoncer-a-son-
projet-de-censure-anti-terroriste/

Plus récemment, le 3 novembre 2020, les rapporteurs spéciaux des Nations Unies ont ainsi alerté
des dangers de ce texte pour les libertés fondamentales :
https://spcommreports.ohchr.org/TMResultsBase/DownLoadPublicCommunicationFile?gId=25661

[2] Le 27 mars 2021, une coalition de 61 organisations européennes a demandé aux parlementaires
européens de rejeter ce texte : https://edri.org/our-work/coalition-humn-rights-media-organisations-
express-gave-concerns-free-speech/

[3] Conseil constitutionnel, Décision n° 2020-801 DC du 18 juin 2020

]]> https://www.laquadrature.net/?p=17154http://isyteck.com/autoblog/quadrature/index.php5?20210421_143925_Le_Conseil_d___Etat_valide_durablement_la_surveillance_de_masseWed, 21 Apr 2021 12:39:25 +0000Le Conseil d’État vient de rendre une décision qui restera une tache indélébile sur la plus haute juridiction administrative et sur la France. Au mépris le plus total du droit européen, il a refusé d’appliquer l’arrêt de la Cour de justice de l’UE (CJUE) qui, en octobre 2020, estimait que tant le droit français du renseignement que l’obligation de conservation généralisée et indifférenciée de l’ensemble des données de connexion (IP, localisation, etc.) étaient contraires aux droits fondamentaux. Ce faisant, le Conseil d’État isole la France dans son Frexit sécuritaire et libère les renseignements français des principes de l’État de droit.

En apparence, la décision d’aujourd’hui conduit à l’annulation ou à l’abrogation de certains des décrets attaqués par La Quadrature du Net, FDN, la FFDN et Igwan.net, qui organisent une obligation de conserver de manière généralisée et indifférenciée les données de connexion (ce qui entoure une communication, comme la liste des numéros de téléphone appelés, les adresses IP, la géolocalisation, etc.). Mais cette illusion est aussitôt dissipée par le Conseil d’État qui prescrit lui-même les correctifs superficiels qui permettront au gouvernement de maintenir sa surveillance de masse. À côté de cette fausse concession, il rejette purement et simplement le reste de nos arguments contre les services de renseignement.

Le Conseil d’État autorise la conservation généralisée des données de connexion en dehors des situations exceptionnelles d’état d’urgence sécuritaire, contrairement à ce qu’exigeait la Cour de justice de l’UE dans sa décision du 6 octobre 2020 contre la France. Pour arriver à une conclusion aussi brutale, le Conseil d’État a réinterprété la notion de « sécurité nationale » pour l’étendre très largement au-delà de la lutte contre le terrorisme et y inclure par exemple l’espionnage économique, le trafic de stupéfiant ou l’organisation de manifestations non-déclarées. Ainsi, il peut conclure que la sécurité nationale est systématiquement menacée, justifiant le contournement permanent des garanties protégeant les libertés fondamentales et ce même en dehors des périodes officielles d’état d’urgence, soumises à un contrôle démocratique (aussi théorique soit-il).

De même, le Conseil d’État permet la communication des données de connexion à la police pour n’importe laquelle des finalités comprises dans cette notion délirante de « sécurité nationale », alors que la CJUE exige que cette mesure de surveillance soit limitée à la seule lutte contre la criminalité grave.

Cette décision traduit le blanc-seing donné par le Conseil d’État au gouvernement et aux services de renseignement. Reléguant le droit à la vie privée, à la sûreté ou à la liberté d’expression à une pure déclaration de principe dénuée d’effectivité, le Conseil d’État confère à la sacro-sainte sécurité nationale une définition si monstrueuse qu’elle lui permet d’annihiler le reste des droits fondamentaux. Aujourd’hui, il a durablement inscrit dans le droit français le renversement de principe en matière de surveillance : tout le monde est suspect, de tout.

La position du Conseil d’État interroge : quelle légitimité a dorénavant la France pour parler au nom d’une Union européenne dont elle foule aux pieds les principes et les juridictions ? Quel avenir pour le respect de l’État de droit quand le juge français s’oppose aussi frontalement à une décision de justice ? La France n’est plus audible, elle ne doit pas l’être. Dans une Union européenne menacée par des poussées autoritaires et nationalistes, la France vient de créer un sinistre précédent dans la négation des droits fondamentaux promus en Europe depuis la fin de la dernière guerre mondiale. Désormais, chaque État membre — et au-delà — pourra aisément suivre l’exemple français et s’abriter derrière n’importe quelle « sécurité nationale » pour se délier de ses obligations internationales et de l’État de droit.

Six ans de procédure pour voir le Conseil d’État piétiner sans gêne ni hésitation l’ensemble des arguments juridiques qui auraient dû s’imposer à lui. Ne le cachons pas : la défaite est si amère que nous peinons à comprendre comment poursuivre cette lutte sur le plan juridictionnel. Devons-nous encore opposer à l’État un droit dont il ne cherche même plus à tirer sa légitimité ? Peu importe la forme que prendra notre lutte à l’avenir, elle nous apparaît aujourd’hui plus difficile et douloureuse qu’elle ne l’était hier. Plus que jamais, nous aurons besoin de votre aide pour continuer.

]]> https://www.laquadrature.net/?p=17141http://isyteck.com/autoblog/quadrature/index.php5?20210416_152903_Loi_securite_globale_adoptee____resumonsFri, 16 Apr 2021 13:29:03 +0000La loi sécurité globale a été définitivement adoptée hier par l’Assemblée nationale, à 75 voix contre 33, au terme d’un débat soumis aux exigences de la police et dont nous n’attendions plus grand chose (lire notamment notre analyse de l’examen en commission à l’Assemblée ou au Sénat).

La prochaine étape sera l’examen de la loi par le Conseil constitutionnel. Nous lui enverrons bientôt nos observations. Avant cela, prenons un instant pour résumer les changements juridiques qui, sauf censure de la part du Conseil, résulteront de cette loi.

A. Surveillance

Tel qu’annoncé dans son récent livre blanc, l’objectif du ministère de l’intérieur est de faire entrer la police dans une nouvelle ère technologique pour les JO 2024, où la France pourra exposer son armement de pointe aux clients venus du monde entier – qu’il s’agisse d’armement jusqu’alors interdit (caméras par drones et hélicoptères) ou pré-existant mais que la loi sécurité globale va généraliser (caméras piétons et fixes).

1. Drones

• le préfet pourra autoriser la police et l’armée à capter des images par drone pour une période et un périmètre qu’il fixera ; l’autorisation pourra être justifiée par l’une des finalités listées par l’article 47 :
• « appui des personnels au sol en vue de maintenir ou rétablir l’ordre public » en cas de troubles graves ou difficultés d’intervention en manifestation ;
• « protection des bâtiments et installations publics […] particulièrement exposés à des risques d’intrusion ou de dégradation » ;
• « régulation des flux de transport » ; 
• « surveillance des frontières » ; 
• lutte contre le terrorisme et les infractions graves ou se produisant dans des lieux dangereux ou difficile d’accès.
• pour une période « expérimentale » de cinq ans, le préfet pourra autoriser la police municipale à capter des images par drones afin « d’assurer l’exécution des arrêtés de police du maire et de constater les contraventions à ces arrêtés » (article 47) – ces arrêtés pouvant par exemple concerner la taille des terrasses ou la fermeture d’un lieu ouvert au public ;
• les pompiers ainsi que les militaires et associations agréées de sécurité civile pourront aussi capter des images par drones afin de secourir les personnes et prévenir les risques (article 47) ;
• pour ces trois cas de captation d’images par drone, sont interdits la captation du son, l’analyse des images par reconnaissance faciale ainsi que les interconnexions automatisés avec des fichiers (article 47) ;
• les prises de vues doivent être « réalisées de telle sorte qu’elles ne visualisent pas les images de l’intérieur des domiciles ni, de façon spécifique, celles de leurs entrées » (article 47) – mais nous ne comprenons pas comment cette exigence pourra être satisfaite en pratique ;
• le public doit être informé « par tout moyen approprié » de la captation d’image par drone et de l’autorité responsable, « sauf lorsque les circonstances l’interdisent » (article 47) – ici encore, en pratique, nous ne comprenons pas comment l’information pourra être donnée ;
• en marge de ces règles, l’État pourra déployer des drones pour surveiller les établissements, installations et ouvrages d’importance vitale ainsi que les installations militaires (article 47) ;
• de même, les commandants de navire et d’avion de l’État pourront déployer des drones aériens, marins ou sous-marins dans le but d’assurer « le respect des dispositions qui s’appliquent en mer » en vertu du droit international et national. Le public doit en principe être informé de la surveillance, et cette surveillance doit éviter les locaux affectés à un usage privé ou d’habitation (article 49).

2. Véhicules

• la police nationale, la police municipale, l’armée et les pompiers pourront équiper leurs véhicules, tels que des hélicoptères, de caméras pour capter des images (article 48) – ce qui était jusqu’alors interdit, bien que largement pratiqué ;
• les finalités justifiant cette captation sont encore plus générales que celles prévues pour les drones :
• assurer la sécurité des rassemblements de personnes sur la voie publique ; 
• réguler les flux de transport ; 
• faciliter la surveillance des zones frontalières ; 
• prévenir les incidents au cours des interventions ; 
• faciliter le constat des infractions et la poursuite de leurs auteurs ; 
• secours aux personnes et lutte contre l’incendie.
• comme pour les drones, le public doit être en principe informé (article 48) ; toutefois, et contrairement aux drones, il n’y a ici aucune restriction concernant la reconnaissance faciale, l’interconnexion ou la surveillance de l’intérieur ou de l’entrée de domiciles ;
• comme pour les drones, les commandants de navire et d’avion de l’État pourront équiper leur véhicule de caméra dans le but d’assurer « le respect des dispositions qui s’appliquent en mer » en vertu du droit international et national (article 49).

3. Caméras piétons

• les agents de la police nationale, de la police municipale et de la gendarmerie pourront désormais accéder eux-même aux images captées par les caméras piétons qu’ils portent (article 45) – alors que cet accès leur était jusqu’alors strictement interdit ;
• les images captées pourront désormais être transmises en temps réel au poste de commandement dès lors que « la sécurité des biens et des personnes » ou « la sécurité des agents » sera considérée comme étant menacée (article 45) – alors que ces images étaient jusqu’alors conservées de côté pour n’être exploitées qu’en cas d’enquête ;
• si la loi ne décrit pas en elle-même un dispositif de reconnaissance faciale, l’article R. 40-26 du code de procédure pénal permet déjà à la police de réaliser de telles opérations à partir d’images obtenues par tout moyen ; les caméras piétons, portées à hauteur de visage, sont les candidates idéales pour permettre à la police de généraliser les opérations de reconnaissance faciale (en 2019, on en décomptait déjà 375 000) ;
• au cours d’une période « expérimentale » de 3 ans, les gardes champêtres seront autorisés à porter des caméras individuelles dans leur version « classique » – sans consultation de l’agent lui-même ni retransmission en directe (article 46) ;
• les commandants des navires de l’État pourront équiper leurs équipes d’abordage de caméras individuelles (article 49).

4. Vidéosurveillance

• le gouvernement pourra autoriser l’installation de caméras dans les cellules de garde à vue ainsi que dans les chambres des centres de rétention administrative (où des milliers de personnes exilées, dont des milliers d’enfants, sont enfermées chaque années) ; pour toute intimité, la loi prévoit « un pare‑vue fixé dans la chambre […] permettant la restitution d’images opacifiées » (article 41) ;
• les caméras de vidéosurveillance déjà autorisées par le code de la sécurité intérieures seront désormais exploitables par la police municipale et non plus seulement par la police nationale et la gendarmerie (article 40) ;
• ces caméras pourront aussi être exploitables par les agents des communes et des structures intercommunales – ces structures ayant aussi gagné le pouvoir de demander elles-même l’installation de caméras de vidéosurveillance (article 42) ;
• les caméras installées dans les espaces et véhicules de la SNCF et de la RATP ne seront plus seulement exploitables par les agents de la police nationale ou de la gendarmerie mais désormais, aussi, sous l’autorité de ces agents, par ceux de la SNCF et de la RATP (article 44) ;
• les caméras installées dans les hall d’immeubles seront exploitables en temps réel par la police non plus seulement en cas d’atteinte grave et imminente aux biens et personnes mais désormais, aussi, sur simple « occupation » empêchant la « libre circulation » ou le « bon fonctionnement » des dispositifs de sécurité (article 43).

B. « Continuum de la sécurité »

Le concept de « continuum de la sécurité », a été imaginé par Alice Thouvot et Jean-Michel Fauvergue, les auteurs de la PPL sécurité globale lors d’un rapport parlementaire de 2018. C’est l’idée d’articuler « au mieux » toutes les forces de police pour obtenir une force sécuritaire plus efficace, tout en renforçant leurs prérogatives. Par « polices », il est entendu police nationale et gendarmerie, police municipale et agents de sécurité privée.

1. La sécurité privée : la nouvelle force de police

La loi sécurité globale prévoit de renforcer considérablement les pouvoirs et le rôle de la sécurité privée, pour en faire de véritables auxiliaires de police. Désormais, les agents de sécurité privée peuvent :

• Dresser des procès-verbaux et relever l’identité et l’adresse d’une personne dans le cadre de ces procès-verbaux, à travers l’article 20. Si cette personne ne peut justifier de son identité, l’agent peut la retenir jusqu’à intervention de la police. En cas de non-respect de cet ordre, la punition prévue est de 2 mois d’emprisonnement et 7500€ d’amende.
• Les agents de sécurité privée pourront procéder à des palpations de sécurité dans le cadre de certaines manifestations, notamment sportives et culturelles. 
• Le préfet peut demander à des agents de sécurité privée d’effectuer des missions de surveillance des personnes contre des actes de terrorisme. Notamment pour les JO 2024 et coupe du monde de Rugby.
• Un agent de la police nationale peut cumuler retraite avec un poste de sécurité privée (article 31)

2. L’extension des pouvoirs de la police municipale

• L’article 1 prévoit d’élargir les compétences de la police municipale, à travers une expérimentation sur cinq ans, à laquelle sont éligibles les communes ou communautés de communes équipées de plus de 15 agents (ou gardes champêtres). Les policiers municipaux voient leur prérogatives élargies et peuvent dresser des procès-verbaux, c’est-à-dire constater des délits (ivresse sur la voie publique, tags, occupation de halls d’immeubles et squat d’un terrain lorsqu’il appartient à une personne publique… pour une liste plus complète voir ici). Avec possibilité de réaliser des contrôles d’identités pour ces contraventions.
• L’article 6 prévoit la création d’une police municipale pour la ville de Paris d’ici 2026. Depuis 1800, la force de police de Paris avait été confiée au préfet de police et donc à l’État, par méfiance vis-à-vis de la ville. Désormais, Anne Hidalgo souhaite créer une force haute de 5000 agents, non armés (pour l’instant), afin notamment que la police nationale puisse se concentrer sur ses autres missions (comme le maintien de l’ordre, la lutte antiterroriste…)
• L’article 12 autorise la création de brigades cynophiles (des chiens) pour la police municipale sur décision du maire.

3. La protection renforcée des polices

• L’article 24 (devenu article 52), quand à lui, est resté dans un flou bien étudié. Dorénavant, il punit la « provocation à l’identification », dans le but manifeste de porter atteinte à l’intégrité physique ou psychologique d’un agent de police. Il n’est plus fait directement mention de la diffusion d’image mais les dispositions concernant la diffusion de vidéo ont été transférées dans l’article 18 de loi séparatisme.
• Ce même article punit également le fait de traiter des données concernant un fonctionnaire ou une personne chargée d’une mission de service public sans y être autorisé par le RGPD ou la loi informatique et libertés. Cette interdiction est parfaitement redondante avec le droit existant, et semble viser à rassurer encore davantage la police contre des initiatives comme le « cop-watching ».
• L’article 70 autorise le fichage (enregistrement de la transaction et identité de l’acquéreur) d’articles « pyrotechniques destinés au divertissement » : « Toute tentative de transaction suspecte fait l’objet d’un signalement auprès d’un service désigné par décision du ministre de l’intérieur. »

Nous le répétons depuis des mois : cette loi est destinée à protéger la police contre la population, à satisfaire les velléités belliqueuses de certains syndicats de police et de sécurité privée, et n’améliorera en rien la sécurité de la population. Il est fondamental, pour les droits et la démocratie, que le Conseil constitutionnel, seul véritable contre-pouvoir institutionnel dans cette procédure, soit saisi et censure ce dernier affront sécuritaire.

]]> https://www.laquadrature.net/?p=17130http://isyteck.com/autoblog/quadrature/index.php5?20210414_163401_Jugement_contre_le_renseignement____indices_d___une_demi-victoire___Wed, 14 Apr 2021 14:34:01 +0000Deux jours avant l’audience du 16 avril au Conseil d’État, le rapporteur public vient de nous informer du sens des conclusions qu’il soutiendra dans notre grande affaire contre la surveillance de masse des télécommunications.

Si le Conseil d’État ne sera pas obligé de suivre les conclusions du rapporteur public, elles offrent de premiers indices sur ce que nous pouvons espérer gagner et perdre au terme de ces 6 ans de procédure.

Demi-victoire

Du côté de la victoire, le rapporteur public s’oppose au souhait du gouvernement de placer la France en dehors du champ d’application du droit de l’Union européenne. Ainsi, pour l’essentiel, le rapporteur public demande à ce que soient abrogés les décrets qui imposent aux opérateurs de télécommunications de conserver pendant un an les données de connexion de l’ensemble de la population (liste des correspondants téléphoniques, des antennes relais croisées, etc.). Telle qu’exigée par la Cour de justice de l’Union européenne, cette conservation généralisée doit être limitée aux seules périodes d’état d’urgence sécuritaire — ce qui n’est pas le cas en France.

Autre bonne nouvelle : le rapporteur public exige que les services de renseignement ne puissent plus exploiter nos données de connexion ou de localisation qu’en situation d’urgence sécuritaire et après s’être soumis au contrôle d’une autorité indépendante disposant de pouvoirs de contrainte. Actuellement, c’est la CNCTR (commission nationale de contrôle des techniques de renseignement) qui est chargée de surveiller les services de renseignement, mais son rôle se limite à donner des avis dépourvus de tout effet contraignant. Ici encore, la Cour de justice de l’UE a demandé à la France de corriger ce manquement, le rapporteur public demande au Conseil d’État de s’exécuter.

Demi-défaite

Hélas, à côté de ces deux espoirs importants, les conclusions du rapporteur public sont négatives sur trois points.

Premièrement, et contrairement à ce que demande la Cour de justice de l’UE, le rapporteur public n’appelle pas à la suppression des décrets qui obligent aux hébergeurs Internet de conserver pendant un an l’adresse IP de l’ensemble des personnes qui publient des informations sur leur service. Si le Conseil d’État suivait cette position, il placerait la France en manquement vis-à-vis des exigences européennes en matière de protection de l’anonymat sur Internet.

Deuxièmement, le rapporteur public ne demande pas à ce que les services de renseignement mettent fin aux algorithmes qu’ils déploient sur les réseaux de télécommunications afin de détecter automatiquement de nouvelles cibles. Pourtant, ici encore, la Cour de justice a exigé que cette technique de surveillance de masse soit limitée aux périodes d’état d’urgence sécuritaire — limite que la loi française refuse de prévoir.

Troisièmement, le rapporteur public suggère de laisser au gouvernement un délai de six mois afin de mettre le droit français en conformité avec le droit de l’UE. Pourtant, la Cour de justice de l’UE s’était expressément opposée à l’hypothèse d’un tel délai : le gouvernement français sait depuis plusieurs années que la France viole le droit européen et il n’y a donc aucune raison pragmatique de retarder le respect de nos libertés fondamentales.

Futur incertain

Si les conclusions du rapporteur public semblent dessiner une demi-victoire (rappelant pour beaucoup la défaite victorieuse que nous avions obtenue devant la Cour de justice de l’UE en octobre 2020), le futur reste en vérité largement incertain. Notre affaire est d’un poids politique rare, qu’il s’agisse de l’avenir des services de renseignement ou du sort de la France au sein de l’Union européenne. Ce poids est tel que le Conseil d’État a choisi de rendre sa décision dans sa formation exceptionnelle la plus solennelle, l’Assemblée du contentieux.

Ainsi, nous restons préparées à n’importe quel coup de théâtre et, notamment, à celui que le respect de nos libertés fondamentales impose : que le Conseil d’État ne s’arrête pas au demi-compromis proposé par le rapporteur public mais applique entièrement la décision de la Cour de justice en garantissant l’anonymat sur Internet et en s’opposant sans délai à toute mesure de surveillance de masse.

]]> https://www.laquadrature.net/?p=17115http://isyteck.com/autoblog/quadrature/index.php5?20210414_095750_GendNotes____victoire_temporaire_contre_l___interconnexion_des_fichiersWed, 14 Apr 2021 07:57:50 +0000Dans une décision rendue hier, le Conseil d’État s’oppose à l’alimentation sauvage des fichiers de police. Il a ainsi accueilli partiellement les griefs que nous soulevions contre l’application de prises de notes de la gendarmerie nationale, GendNotes, qui prévoyait des possibilités illimités d’interconnexions avec d’autres fichiers. La plus haute juridiction administrative a donc fait de GendNotes un gadget sécuritaire, maintenant que l’application est dépouillée des possibilités de reconnaissance faciale.

Comme nous l’expliquions l’année dernière, l’application de prises de notes de la gendarmerie nationale était un cheval de Troie de la reconnaissance faciale. En autorisant, comme cela était possible avant la décision d’hier du Conseil d’État, le transfert des notes des gendarmes (dont les photos) vers un nombre illimité de fichiers de police, il était donc possible d’alimenter le fichier des Traitements des antécédents judiciaires (TAJ) puis de faire de la reconnaissance faciale depuis ce fichier (voir notre recours contre le TAJ).

Le Conseil d’État y a mis fin. Alors que le ministère de l’intérieur affirmait depuis le début de cette affaire que le TAJ n’était pas directement concerné par cette interconnexion, le Conseil d’État lui a sèchement rappelé le droit : le décret était mal rédigé, trop permissif et permettait bien d’alimenter n’importe quel autre fichier de police. Le couperet est tombé : GendNotes ne peut désormais plus alimenter un quelconque autre fichier.

Même si nous développions dans notre recours d’autres griefs que le Conseil d’État n’a pas retenus, nous nous réjouissons de cette victoire. Cette décision rappelle que la police et le ministère de l’intérieur ne peuvent pas faire tout et n’importe quoi avec les données personnelles.

Cette victoire n’est, toutefois, que temporaire. Le gouvernement pourra revenir, comme il l’a déjà annoncé à l’occasion de cette affaire, avec une réforme des fichiers, pour encadrer cette interconnexion. Il devra, en revanche, minutieusement encadrer ce transfert de données et explicitement préciser les fichiers vers lesquels un tel transfert est possible.

Cette affaire a en revanche mis en lumière les pratiques douteuses de la gendarmerie nationale. En effet, dès 2017, on pouvait retrouver des traces de l’utilisation de GendNotes en dehors de tout cadre légal ou réglementaire. Ce n’est qu’en 2020 que cette application a — mal — été encadrée.

Surtout, nous avons découvert à l’occasion de ce recours l’existence d’une myriade d’applications mobiles pour les gendarmes, alors que rien ne les autorise. En juillet dernier, un rapport sénatorial nous apprenait que GendNotes n’est que la partie émergée de l’iceberg et que l’écosystème d’applications mobiles « Neogend » s’étend au-delà de la seule prise de notes. Il existe ainsi, également, une application dénommée « Messagerie tactique » destinée à interroger des fichiers de police. Mais aussi une application dédiée à l’interrogation du TAJ et, potentiellement, à la généralisation et à la facilitation de l’accès aux possibilités de reconnaissance faciale par les gendarmes. Cette première victoire contre GendNotes ne peut que nous pousser à aller en chercher d’autres contre cet ensemble de dispositifs et d’interconnexions illicites.

]]> https://www.laquadrature.net/?p=17103http://isyteck.com/autoblog/quadrature/index.php5?20210407_144444_Jugement_imminent_contre_la_surveillance_de_masseWed, 07 Apr 2021 12:44:44 +0000D’ici deux ou trois semaines, le Conseil d’État rendra sa décision finale dans l’affaire la plus importante que La Quadrature ait jamais porté en justice : celle contre les services de renseignement français. Ce sera le terme de six années de procédure, de dizaines de mémoires et d’innombrables rebondissements qui auront contribué à faire de notre association une grande partie de ce qu’elle est aujourd’hui.

Cette aventure se clôt dans un fracas prodigieux. Coincé au pied du mur, le gouvernement français joue ses dernières cartes dans une stratégie aussi désespérée que destructrice : nier la légitimité des institutions européennes et, ainsi, placer la France dans une quasi-indépendance de fait vis-à-vis de l’Union européenne. 

Peu importe le droit, tout doit être sacrifié pour sauver la surveillance de masse.

Les juges contre la surveillance

L’aventure commence il y a sept ans. Le 8 avril 2014, nous nous réjouissions d’une « décision historique » : « la Cour de Justice de l’Union européenne (CJUE) venait de s’opposer au fichage systématique de nos communications en ligne ». De façon inédite, la Cour estime que le droit européen interdit qu’un État puisse obliger les opérateurs de télécommunications à conserver des données de connexion sur toute la population : liste des appels et messages émis et reçus par chaque personne, listes des antennes téléphoniques croisées par tous les téléphones portables, adresses IP permettant de lever l’anonymat sur Internet, etc. C’est notamment ce qu’impose la France, où chaque personne est considérée par l’administration comme un potentiel suspect à surveiller.

Alors que le gouvernement français aurait du abroger ce régime, un an après la décision de la Cour de justice, il n’en avait toujours rien fait : le 27 avril 2015, nous nous associons à FFDN et FDN pour lui demander officiellement d’abroger les décrets organisant la conservation généralisée des données de connexion. Par son silence, le gouvernement a refusé notre demande. Le 1er septembre 2015, nous avons saisi le Conseil d’État pour contester ce refus et, ainsi, faire tomber le système français de conservation généralisée des données (nous avons développé nos arguments pendant un an encore dans diverses écritures ici, ici, là ou encore là).

Le 21 décembre 2016, tandis que notre affaire avançait doucement, intervenait ailleurs une deuxième décision historique de la Cour de justice : dans son célèbre arrêt Tele2, elle dénonçait la conservation généralisée des données de connexion imposée par les droits suédois et anglais. Il ne restait plus au Conseil d’État qu’à appliquer directement cette décision dans notre affaire française pour nous donner victoire. Mais la procédure n’allait pas suivre un déroulement classique.

Dialogue des juges

Par une décision du 26 juillet 2018, plutôt que de se soumettre directement à la Cour de justice de l’UE, dont l’autorité lui est supérieure, le Conseil d’État a préféré lui demander de confirmer une troisième fois sa position. Même si ce nouvel échange allongeait notre procédure de plusieurs années (trois ans, au final), nous l’appelions aussi de nos vœux : si la Cour européenne condamnait spécifiquement le droit français (de même qu’elle avait déjà condamné le droit suédois et anglais dans Tele2), nous espérions que le gouvernement n’aurait absolument plus aucune excuse pour ne pas renoncer à son système illicite de surveillance.

Les 9 et 10 septembre 2019, nous plaidions devant la Cour européenne contre la moitié des gouvernements européens venus en soutien de la France, de la Belgique et du Royaume-Uni, qui mettaient en œuvre le même régime illicite de conservation de données et se voyaient ainsi visés par des requêtes semblables à la nôtre (lire le texte de notre plaidoirie).

Fin d’une trilogie

Le 6 octobre 2020, la Cour de justice de l’UE rendait sa décision La Quadrature du Net, dernier chapitre de cette trilogie européenne. Hélas, comme l’espéraient le Conseil d’État et le gouvernement, la Cour est largement revenue sur son intransigeance des premiers épisodes et cherche désormais un « juste milieu » entre protection des libertés et surveillance de masse (juste milieu amer dans lequel nous avions vu une « défaite victorieuse »).

Si la Cour continue d’interdire par principe la conservation généralisée, elle ajoute une nouvelle exception en période d’état d’urgence sécuritaire, où cette surveillance de masse redevient licite. De plus, elle autorise aussi, même hors état d’urgence, que les fournisseurs d’accès à Internet soient contraints de conserver les adresses IP de l’ensemble de la population (mais uniquement des IP et non d’autres types de données). 

Concrètement, cela signifie que la police pourra demander à votre fournisseur d’accès à Internet quelle adresse IP vous était attribuée, par exemple, le 25 octobre 2020.

Si cette possibilité est un frein important à notre espoir de rétablir un équilibre plus favorable au droit à l’anonymat sur Internet, ce frein est en revanche compensé par une nouvelle protection posée par la Cour de justice : l’État ne peut pas imposer aux hébergeurs (forum, réseaux sociaux, plateforme de vidéo) de conserver l’adresse IP des personnes qui y publient des informations. Dans notre exemple, cela signifie que, même si la police connaît votre adresse IP, elle ne pourra pas savoir si c’est à partir de cette adresse que @jeancastou a publié telle caricature de Macron ou tel appel à l’insurrection le 25 octobre sur un service d’hébergement qui ne sera pas tenu de conserver les informations relatives aux contenus publiés. Par exemple, sur le service Mamot.fr que nous hébergeons, nous ne conservons ces données que 14 jours, et ce pour des raisons purement techniques.

On imagine donc que la levée de l’anonymat ne concernera principalement que des événements déterminés, « en cours », et sur des personnes précises. En effet, les enquêtes rétrospectives pouvant porter sur l’ensemble des activités en ligne de la population ont été rendues plus difficiles par les interdictions posées par la Cour de justice de l’UE.

Ce « juste milieu » est loin de nous protéger de la surveillance de masse tant le gouvernement sait déjà abuser des exceptions en matière d’état d’urgence. Et pourtant, même si les exigences posées par la Cour on été revues à la baisse, le droit français est encore très loin de les respecter : actuellement, en France, la conservation généralisée des données de connexion n’est limitée ni aux périodes d’état d’urgence ni aux seules adresses IP (pour rappel, sont aussi conservées en permanence et pendant un an les listes d’appels, messages et positions des antennes téléphoniques rencontrées par toute la population). La Cour de justice a été explicite dans sa décision : le droit français viole les libertés fondamentales protégées par le droit de l’Union.

Affront désespéré

Cette situation ressemble à celle à laquelle nous espérions parvenir en 2018 : le gouvernement français est au pied du mur, sans aucune porte pour se dérober. La Cour de justice de l’UE a été claire : il doit réformer le droit en profondeur afin de limiter la conservation généralisée aux périodes d’état d’urgence et aux adresses IP. 

Et pourtant, le gouvernement tente encore de fuir par un affront désespéré : dans son récent mémoire en défense, il prétend que la Cour de justice aurait usurpé ses pouvoirs car, contrairement à ce qu’elle prétend, les traités européens lui interdiraient de limiter les capacités des États membres en matière de lutte contre le terrorisme et de surveillance sécuritaire.

Si cet affront est désespéré, c’est d’abord car il est absurde en droit : l’article 19 du Traité sur l’UE (TUE) prévoit bien que c’est à la Cour de justice que revient « l’interprétation et l’application des traités », et l’article 344 du Traité sur le fonctionnement de l’UE (TFUE) souligne que ces questions ne peuvent être tranchées autrement. Dans sa jurisprudence bien établie, le Conseil d’État admet d’ailleurs déjà clairement qu’il doit se soumettre aux interprétations que la Cour de justice donne des traités.

Le gouvernement ne donne au Conseil d’État aucun argument juridique pour justifier qu’il renonce à une jurisprudence aussi fondamentale. En vérité, le gouvernement ne se donne même pas la peine d’aller sur le terrain juridique afin de débattre de la légalité d’un tel régime de conservation. Il se contente d’utiliser de mauvais arguments de philosophie politique, tout en mobilisant quelques jugements isolés rendus dans d’autres pays et qui n’ont pas vraiment de lien avec notre affaire (lire notre mémoire pour le détail de notre réponse).

Frexit sécuritaire

Au delà de la discussion juridique, le plus surprenant dans la position du gouvernement est qu’elle contredit la posture européenne de LREM.

En souhaitant retirer à la Cour de justice sa légitimité pour interpréter les traités européens en dernier ressort, le gouvernement français remet en cause l’existence même d’un ordre juridique européen : si chaque État pouvait décider seul du sens des traités européens, l’Union européenne ne serait plus qu’une juxtaposition d’ordres nationaux indépendants les uns des autres, libérés de toute institution capable de les soumettre à un ensemble commun de normes. Ainsi, afin de maintenir son système de surveillance de masse contraire aux droits humains, la France souhaite devenir indépendante de l’Union européenne sans avoir à la quitter formellement.

Plus étrange encore : la stratégie anti-européenne du gouvernement conduit à saper sa position en matière de lutte anti-terroriste. À suivre sa nouvelle position, le règlement de censure anti-terroriste, initialement demandé par la France et bientôt adopté par le Parlement européen, pourrait ne pas être applicable en France puisque l’Union européenne ne serait pas compétente en matière de lutte contre le terrorisme… 

Cette contradiction invraisemblable montre que la défense du gouvernement tient davantage à un sursaut désespéré que d’une stratégie d’ensemble bien mûrie. Mais cette contradiction nous montre autre chose : la lutte anti-terroriste n’est pas sa véritable préoccupation dans notre affaire.

Surveillance politique

Le 22 mars 2021, nous participions à une séance orale d’instruction devant le Conseil d’État. Le directeur général de la sécurité intérieur (DGSI) expliquait alors que la décision de la Cour de justice ne remettait pas vraiment en cause l’efficacité de la lutte contre le terrorisme. En effet, cette lutte pourra continuer à être mise en œuvre puisqu’elle est directement concernée par les nouvelles exceptions prévues par la Cour de justice et bénéficie déjà aujourd’hui d’un arsenal législatif très large (beaucoup trop large). La principale crainte de la DGSI était ailleurs : que les services de renseignement ne puissent plus efficacement surveiller les personnes susceptibles de participer à des « groupements violents », mentionnant explicitement le cas des gilets jaunes, ou les personnes représentant un danger pour les « intérêts économiques et industriels majeurs de la France ».

Si la franchise est surprenante, elle recentre le débat : la lutte contre le terrorisme n’est pas vraiment la raison qui pousse le gouvernement à vouloir s’affranchir de la protection des libertés ; l’enjeu est le maintien de la répression politique, dans le contexte actuel où la moindre manifestation est considérée comme un groupement potentiellement violent et où les militants soucieux de justice sociale et écologique sont considérés comme nuisant à la sécurité et aux intérêts des grandes industries du pays.

C’est ce qu’annonçait déjà l’Élysée en 2019, dans sa feuille de route à cinq ans sur le renseignement : « l’analyse et le suivi des mouvements sociaux et crises de société par les services de Renseignement constituent une priorité ». L’Élysée dénonce notamment des « affirmations de vie en société qui peuvent exacerber les tensions au sein du corps social », telles que des « revendications d’ordre […] éthique ».

À la suite de la DGSI, divers procureurs et hauts gradés de la police ont tenté de corriger cette position embarrassante par une posture sécuritaire beaucoup plus convenue. Sans preuve ni chiffre, ces hommes ont juré que la police ne pourrait plus jamais travailler sans pouvoir consulter la liste complète des antennes téléphoniques croisées par chaque personne depuis un an. Nous n’avons pas manqué de rappeler que la police s’en était très bien passée au cours des siècles précédents et que, même aujourd’hui, elle ne manque pas d’outils nouveaux, nombreux et perfectionnés pour mener à bien ses enquêtes (lire notre dernier mémoire à ce sujet).

Bref, pas grand chose n’a pu effacer cette impression amère : le gouvernement est prêt à payer le prix fort (remettre en cause la construction européenne) pour continuer à nous surveiller massivement pour des finalités politiques et de contrôle social.

Finalités illicites

C’est à ce sujet qu’intervient le second apport majeur de la trilogie européenne contre la surveillance de masse : la Cour de justice interdit aux États membres d’exploiter des données de connexion pour des finalités politiques. Elle n’autorise que la lutte contre la « criminalité grave » ou pour défendre la sécurité nationale. 

Comme on l’a vu, la France souhaite aller et va déjà bien au-delà. La loi française prévoit un très large éventail de finalités qui vont de la lutte contre les manifestations illicites à la défense des traités européens, en passant par la lutte contre le petit trafic de drogue ou la défense des « intérêts économiques, industriels et scientifiques majeurs de la France ».

Cette longue liste vient de la loi de renseignement de 2015. Ici aussi, nous avons saisi le Conseil d’État pour demander l’annulation des cinq décrets d’application de cette loi. Ici aussi, ces cinq affaires ont conduit le Conseil d’État à interroger la Cour de justice, qui nous a largement donné raison en rappelant sans nuance que la surveillance doit se limiter à la lutte contre la criminalité grave et à la protection de la sécurité nationale.

Au passage, la Cour a rappelé que, contrairement à ce que prévoit la loi renseignement en France, les mesures de surveillance doivent être soumises au contrôle préalable d’une autorité indépendante disposant d’un véritable pouvoir de contrainte. Elle a aussi souligné que les « boites noires », ces algorithmes supposés détecter automatiquement des comportements suspects en analysant l’ensemble du réseau, relevaient de la surveillance de masse illicite.

Comme pour le reste, nous vous invitons à lire notre récent mémoire pour le détail de notre argumentation. 

Cette question de « finalités politiques » des mesures de surveillance a été la toute première affaire que La Quadrature a porté devant des juges en 2015, juste avant d’attaquer les décrets instaurant la conservation généralisée des données de connexion puis de s’en prendre à la loi renseignement. C’est par cette lutte initiale que nous avons appris à agir en justice. Cette lutte est à la fois la plus ancienne et probablement la plus importante que nous avons portée en justice. Les effets de la future décision du Conseil d’État risque d’être considérables : si nous nous gagnons, ce sera la fin de la conservation généralisée des données de connexion, la limitation des finalités, l’apparition d’un contrôle indépendant effectif. Si nous perdons, la France se placera en indépendance de fait vis à vis de l’Union européenne afin de poursuivre sa surveillance de masse.

]]> https://www.laquadrature.net/?p=17077http://isyteck.com/autoblog/quadrature/index.php5?20210326_155635_GendNotes____entre_flicage_inavoue_et_mauvaise_foiFri, 26 Mar 2021 14:56:35 +0000Il y a plus d’un an, le gouvernement autorisait par décret la gendarmerie à utiliser une application de prise de notes sur téléphone mobile intitulée GendNotes. Nous avions déposé un recours contre ce décret devant le Conseil d’État l’année dernière et venons tout juste de recevoir la défense du ministère de l’intérieur. Mais, alors que celle-ci aurait mérité plus de temps pour y répondre, la plus haute juridiction administrative accélère le pas et a d’ores et déjà prévu une audience lundi prochain, 29 mars, lors de laquelle le rapporteur public conclura au rejet partiel de notre recours.

Comme nous le dénoncions au moment de la publication du décret, l’application GendNotes fait l’impasse sur les garanties les plus élémentaires (lire notre premier mémoire). Alors que la CNIL pointait du doigt le fait que la rédaction du décret permet un transfert des données de GendNotes vers un nombre illimité d’autres fichiers de police, elle fut parfaitement ignorée. Nous alertions alors contre le fait que GendNotes est un cheval de Troie de la reconnaissance faciale puisqu’il permet une alimentation du fichier TAJ, lequel autorise de tels dispositifs de reconnaissance faciale.

La stratégie de défense du gouvernement consiste à affirmer que l’application GendNotes ne permettrait pas d’alimenter le TAJ. Le rapporteur public semble vouloir donner tort au gouvernement sur ce point puisqu’il prononcera lundi des conclusions qui vont dans le sens d’une annulation partielle du décret, précisément sur la question du transfert de données vers d’autres fichiers (dont le TAJ) ultérieurement à leur collecte dans GendNotesEnviron deux jours ouvrés avant l’audience, le sens des conclusions du rapporteur public est communiqué aux parties. Sans connaître le raisonnement tenu, nous connaissons déjà le résultat. Il faut cependant garder en tête que les conclusions du rapporteur public ne lient pas la formation de jugement et que le Conseil d’État, dans son arrêt final, peut très bien contredire les conclusions de son rapporteur public..

En revanche, le rapporteur public semble faire l’impasse sur la proportionnalité de ce traitement de données et les garanties apportées. Alors que GendNotes vise aussi à collecter des données sensibles (même si celles-ci ne peuvent être transférées dans d’autres fichiers de police) dans le seul objectif de faciliter la vie des gendarmes, nous dénoncions un gadget aux graves conséquences sur les droits et libertés. Le rapporteur public semble sur le point de valider un système dans lequel la police décide seule des informations collectées, sans que ne soit prévu un quelconque contrôle sur la pertinence des données ainsi collectées. Il semble également vouloir faire fi du principe de « nécessité absolue » pourtant requis par le droit et, nous le pensons, totalement absent dans ce dispositif gadget de prises de notes.

Dès 2017, un rapport de l’Assemblée nationale indiquait déjà l’existence et l’utilisation de l’application GendNotes. Celle-ci n’est toutefois qu’un élément parmi d’autres d’une désormais très longue liste de dispositifs de police utilisés en toute illégalité puis autorisés a posteriori. On pourrait citer le cas de la loi renseignement de 2015 qui légalisait les pratiques préexistantes des services de renseignement. On pourrait aussi citer l’exemple des drones, utilisés depuis de nombreuses années pour surveiller les manifestations avant que nous les fassions interdire par le Conseil d’État, et que la proposition de loi Sécurité Globale veut maintenant légaliser. Et que dire de la reconnaissance faciale du TAJ qui existait des années avant la création formelle du fichier de police et que la loi Sécurité Globale vise à étendre ?

Nous avons malgré tout, dans l’urgence, répondu au gouvernement. La décision finale qui suivra l’audience de lundi devrait arriver dans les prochaines semaines. Pour continuer ce combat sur des fronts de plus en plus nombreux, nous avons, plus que jamais, besoin de votre aide grace à vos dons.

]]> https://www.laquadrature.net/?p=17073http://isyteck.com/autoblog/quadrature/index.php5?20210325_111723_Lettre_commune_de_61_organisations_europeennes_pour_demander_le_rejet_du_reglement_de_censure_antiterroristeThu, 25 Mar 2021 10:17:23 +0000Avec 60 organisations européennes, nous demandons aux parlementaires européens de rejeter le projet de règlement de censure antiterroriste sur lequel ils sont appelés à voter le 28 avril prochain.

Ce texte sécuritaire obligera l’ensemble des acteurs de l’Internet à censurer en une heure n’importe quel contenu signalé comme terroriste par la police, et ce sans intervention préalable d’un juge. Cette obligation de retrait en une heure est exactement celle qui, au sein de la loi Avia, a été censurée par le Conseil constitutionnel en juin 2020. Plusieurs parlementaires français continuent pourtant à défendre ce projet.

La lettre en PDF (et en anglais), recopié ci-dessous avec la liste des signataires :

Chers membres du Parlement européen,

Nous vous écrivons pour vous faire part de nos préoccupations concernant la proposition de règlement de l’Union européenne relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne. Nous invitons les membres du Parlement européen à voter contre l’adoption de la proposition.

Depuis 2018, nous, les organisations de défense des droits humains, associations de journalistes et chercheurs soussignés, mettons en garde contre les graves menaces que cette proposition législative fait peser sur les droits et libertés fondamentaux, en particulier la liberté d’expression et d’opinion, la liberté d’accès à l’information, le droit à la vie privée et l’État de droit.

Grâce au travail de l’équipe de négociation du Parlement européen, à un débat élargi et à la participation de la société civile, un certain nombre de problèmes ont été abordés au cours des trilogues entre le Parlement européen et le Conseil de l’Union européenne.

Toutefois, malgré le résultat des dernières négociations du trilogue, le texte final de la proposition de règlement contient toujours des mesures dangereuses qui, à terme, affaibliront la protection des droits fondamentaux dans l’UE. Cela risque également de créer un dangereux précédent pour la réglementation des contenus en ligne dans le monde entier.

La proposition de règlement doit faire l’objet d’un vote final en plénière au Parlement européen en avril 2021. Nous invitons les membres du Parlement européen à voter contre l’adoption de la proposition pour les raisons suivantes :

1. La proposition continue d’inciter les plateformes en ligne à utiliser des outils automatisés de modération de contenu, tels que des filtres de téléchargement

Le court délai imposé par la proposition de règlement aux hébergeurs en ligne pour retirer le contenu considéré comme étant à caractère terroriste incite fortement les plateformes à déployer des outils automatisés de modération de contenu, tels que les filtres de téléchargement. Les pratiques actuelles de modération de contenu se caractérisent par le profond manque de transparence et de précision de la prise de décision automatisée. Parce qu’il est impossible pour les outils automatisés de différencier invariablement le militantisme, les contre-discours, et la satire à propos du terrorisme du contenu considéré comme terroriste lui-même, une automatisation accrue entraînera à terme la suppression de contenus légaux comme le contenu journalistique, le traitement discriminatoire des minorités et de certains groupes sous-représentés. Les plateformes suppriment déjà d’énormes quantités de contenus publiés par des survivants, des civils ou des journalistes documentant la violence dans les zones de guerre, tel que le montre le travail des Syrian and Yemeni Archives, ce qui peut entraver les efforts de responsabilisation. La proposition de règlement, qui manque de mesures de protection afin d’empêcher de telles pratiques de suppression erronées lorsque des outils automatisés sont utilisés, ne fera que renforcer cette tendance. En outre, les filtres de téléchargement peuvent avoir un effet négatif sur l’internet, notamment en ce qui concerne son architecture ouverte et ses éléments constitutifs interopérables.

2. Il existe un manque cruel de contrôle judiciaire indépendant

La proposition de règlement demandent aux États membres de désigner, à leur discrétion, les autorités compétentes qui seront investies des pouvoirs nécessaires pour mettre en œuvre les mesures prévues par le règlement, notamment l’émission d’injonctions de retrait de contenu. Même si la proposition indique que les autorités doivent être objectives, non discriminantes, respectueuses des droits,nous pensons néanmoins que seuls les tribunaux ou les autorités administratives indépendantes faisant l’objet d’un contrôle judiciaire devraient avoir le pouvoir d’émettre des injonctions de suppression de contenu. L’absence de contrôle judiciaire constitue un risque grave pour la liberté d’expression et l’accès à l’information. Il porte également atteinte à la Charte des droits fondamentaux, qui protège la liberté de recevoir et de communiquer des informations et stipule que l’expression licite est protégée et ne devrait être limitée qu’ultérieurement, par un tribunal et sur demande légitime.

3. Les États membres émettront des injonctions de suppression transfrontalières sans aucun garde-fou

Selon les résultats du trilogue, toute autorité compétente aura le pouvoir d’ordonner la suppression d’un contenu en ligne, hébergé n’importe où dans l’UE, dans un délai d’une heure. Cela signifie qu’un État membre peut étendre sa compétence d’exécution au-delà de son territoire sans contrôle judiciaire préalable et sans tenir compte des droits des personnes dans les juridictions concernées. Compte tenu des graves menaces qui pèsent sur l’État de droit dans certains États membres de l’UE, la confiance mutuelle qui sous-tend la coopération judiciaire européenne pourrait être sérieusement compromise. En outre, la procédure de notification, émise à l’État membre concerné, et de vérification parce même État, prévue dans le texte actuel, ne contient pas de garanties suffisantes contre une intervention excessive et les abus de pouvoir d’un État. Elle ne permettra pas non plus de résoudre les désaccords entre les États membres sur ce qui relève du terrorisme, de l’humour, de l’expression artistique ou du reportage journalistique.

Nous demandons instamment au Parlement européen de rejeter cette proposition, car elle pose de graves menaces aux droits et libertés fondamentaux, en particulier la liberté d’expression et d’opinion, la liberté d’accès à l’information, le droit à la vie privée et l’État de droit. De plus, elle créera un dangereux précédent pour toute future législation européenne réglementant l’écosystème numérique en faussant le cadre d’application de la loi sous prétexte de renforcer le marché unique numérique. Par conséquent, la réglementation sur les contenus terroristes dans son état actuel n’a pas sa place dans le droit européen.

Signataires

Access Now, International

Amnesty International

Antigone, Italian

ARTICLE 19, International

Asociația pentru Tehnologie și Internet (ApTI), Romania

Association of European Journalists (AEJ), Belgium

Bits of Freedom, the Netherlands

Bulgarian Helsinki Committee, Bulgaria

Centre for Democracy & Technology (CDT), International

Chaos Computer Club (CCC), Germany

Civil Liberties Union for Europe (Liberties), International

Comité de Vigilance en matière de Lutte contre le Terrorisme (Comité T), Belgium

Committee to Protect Journalists (CPJ), International

Communia, International

Digitalcourage, Germany

Digitale Gesellschaft, Germany

Digital Rights Ireland, Ireland

Državljan D, Slovenia

Electronic Frontier Finland (Effi), Finland

Electronic Frontier Foundation (EFF), USA

Elektroniks Forpost Norge (EFN), Norway

Entropia e.V., Germany

epicenter.works, Austria

European Digital Rights (EDRi), International

European Federation of Journalists (EFJ), International

Fitug e.V., Germany

Föreningen för digitala fri-och rättigheter (DFRI), Sweden

Freemuse, International

Global Forum for Media Development (GFMD), International

Global Voices, International

Helsinki Foundation for Human Rights, Poland

Hermes Center, Italy

Homo Digitalis, Greece

Human Rights Monitoring Institute, Lithuania

Human Rights Watch, International

International Commission of Jurists, International

Internationale Liga für Menschenrechte, Germany

International Federation for Human Rights (FIDH), International

Internet Governance Project, School of Public Policy at the Georgia Institute of Technology

Internet Society, International

IT Political Association of Denmark (IT-Pol), Denmark

Irish Council for Civil Liberties, Ireland

La Quadrature Du Net (LQDN), France

Latvian Human Rights Committee, Latvia

Liga voor de Rechten van de Mens, the Netherlands

Liga voor Mensenrechten, Belgium

Ligue des Droits de l’Homme, France

Ligue des Droit Humains, Belgium

Mnemonic, International

Open Technology Institute, USA

Panoptykon Foundation, Poland

Ranking Digital Rights, USA

Reporters Without Borders (RSF), International

Rights International Spain, Spain

Statewatch, the United Kingdom

Vrijschrift.org, The Netherlands

Wikimedia Deutschland, Germany

Wikimedia France, France

WITNESS, International

Xnet, Spain

7amleh -The Arab Center for the Advancement of Social Media, Palestine

]]> https://www.laquadrature.net/?p=17048http://isyteck.com/autoblog/quadrature/index.php5?20210319_112713_Securite_Globale____le_Senat_dit_oui_a_la_surveillance_de_masseFri, 19 Mar 2021 10:27:13 +0000Hier, le Sénat a voté à son tour la proposition de loi sur la « Sécurité globale », cinq mois après le vote en première lecture à l’Assemblée nationale. S’agissant d’une procédure accélérée, la prochaine étape sera directement en commission mixte paritaire, peut-être dès le début du mois d’avril. Au vu de la version du texte votée par le Sénat, il n’y a malheureusement rien à attendre de cette commission. Nos espoirs reposent maintenant sur le Conseil constitutionnel, qui devra censurer largement les dispositions de ce texte ultra-sécuritaire.

Il y a deux semaines, nous dénoncions le texte adopté par la commission des lois du Sénat sur la proposition de loi dite de « Sécurité globale ». Après trois jours de débat en hémicycle, le Sénat vient cette fois-ci d’adopter le texte dans son ensemble.

Il a donc dit oui à l’intensification de la vidéosurveillance fixe, à l’extension de la liste des personnes pouvant avoir accès à la surveillance de la voie publique, à la transmission en direct des images des caméras-piétons, aux drones, aux hélicoptères et à l’article 24.

Le Sénat ne s’est malheureusement pas arrêté là. Il a également, par plusieurs dispositions, aggravé le texte. Mais soyons rassuré·es : il s’agit désormais de la « proposition de loi pour un nouveau pacte de sécurité respectueux des libertés ».

Surveillance vidéo des cellules de centres de rétention administrative (CRA) et de garde à vue

Le pire ajout du Sénat est peut-être celui-ci. S’accordant avec le gouvernement, les rapporteurs ont fait adopter une disposition permettant au ministre de l’intérieur de mettre des caméras dans les chambres d’isolement des centres de rétention administrative et des cellules de garde à vue.

Les propos du gouvernement sur cet ajout ont été proprement indignes. Alors que la France est régulièrement interpellée par différentes associations depuis des années, que le Contrôleur général des lieux de privations de libertés pointe régulièrement les conditions de détention indignes, que les condamnations par des juridictions françaises et internationales pleuvent, Gérald Darmanin a préféré opter pour une stratégie du mensonge en niant les graves atteintes aux droits des personnes incarcérées. Le tout pour défendre la mise en place de vidéosurveillance dans les cellules.

Derrière l’écran de fumée de la lutte contre les suicides et mutilations (alors même qu’on peine à imaginer en quoi une caméra de vidéosurveillance permettrait de lutter contre ces situations de détresses humaines), le ministre de l’intérieur, le Sénat et ses rapporteurs ont créé une surveillance permanente du peu d’intimité qui reste aux personnes retenues.

Interpellé sur l’incohérence à vouloir mettre des caméras dans des lieux insalubres, Gérald Darmanin a répondu par le déni, détournant le sujet en estimant qu’il faudrait plus de CRA et qu’« on a l’argent pour construire des CRA ». Cet argent magique n’est, visiblement, pas prévu pour améliorer le respect des conditions de détention. Mais, surtout, alors que le débat portait sur les conditions indignes d’incarcération, M. Darmanin transformait les propos de l’opposition en un soi-disant « procès scandaleux » sur de possibles actes de tortures en milieux de rétention, dans une tentative bien grossière de créer une « affaire dans l’affaire ».

Des caméras-piétons pour les gardes-champêtres

Autre ajout aggravant : l’autorisation d’une « expérimentation » pour permettre aux gardes-champêtres d’utiliser des caméras individuelles et de filmer les « incidents » se produisant ou susceptibles de se produire pendant leur intervention.

Après la police nationale et la police municipale, et après les services de sécurité des transports, c’est donc une nouvelle catégorie d’agents qui aura accès à la vidéosurveillance mouvante. Prétextant comme toujours d’une capacité soi-disant « pacificatrice » de ce dispositif — et faisant oublier que la caméra-piéton était à la base une idée de l’ancien ministre Bernard Cazeneuve pour compenser son refus de la proposition des « récépissés » de contrôle d’identité —, le gouvernement légitime encore une fois un nouveau dispositif de surveillance.

Drones : les mains libres pour le ministre de l’intérieur

Concernant les drones, l’interdiction de la reconnaissance faciale pour les images captées décidée en commission des lois demeure, mais c’est bien le seul point positif. Le Sénat a accepté de permettre également à la police municipale (et non plus seulement à la gendarmerie ou la police nationale) d’utiliser des drones pour surveiller la voie publique et constater certaines infractions. Si cette autorisation est donnée à titre expérimental, il ne faut pas se leurrer : en la matière, une expérimentation est toujours amenée à être intégrée dans le droit commun après quelques temps. Autorisation a par ailleurs été donnée à la police municipale d’utiliser des caméras embarquées sur leurs véhicules, cette fois-ci directement de manière définitive.

Le Sénat a par ailleurs laissé au ministère de l’intérieur le soin d’écrire, via un décret, ses propres lignes directrices quant à l’utilisation de ses drones, aussi bien sur la question de la formation en données personnelles que sur la proportionnalité des usages prévus. La garantie d’un avis préalable de la Cnil sur cette question n’est pas là pour nous rassurer, le ministère de l’intérieur ayant pour habitude de ne pas respecter les avis de cette dernière et la présidente de la CNIL s’étant montrée particulièrement peu lucide sur cet enjeu, lors des auditions au Sénat d’abord, puis dans l’avis de l’autorité sur le texte.

Le projet assumé d’une société sous surveillance biométrique

Enfin, le moratoire proposé par le groupe écologiste pour interdire pendant deux ans tout dispositif de vidéosurveillance biométrique a été rejeté.

Cela a néanmoins permis d’expliciter le projet de surveillance désiré par le gouvernement et la droite au Sénat. Devant le silence méprisant de l’hémicycle sur cette proposition de moratoire, une partie des sénateurs et sénatrices ont en effet demandé un scrutin public sur le vote, en précisant que rejeter ce moratoire revenait à autoriser la surveillance biométrique. Sur 344 votants, 244 ont donc voté pour la surveillance biométrique.

À cet égard, le récent décret autorisant le comptage de masques dans les transports apparaît ainsi de plus en plus comme un nouveau pied dans la porte menant à la Technopolice que nous dénonçons régulièrement.

L’idée qu’essaient de faire passer les rapporteurs au Sénat, sur un travail de « juriste sérieux » visant à encadrer les plus graves dispositions du texte, ne tient plus. Hier, non seulement aucune amélioration notable n’a été apportée au texte, mais plusieurs dispositions sont venues aggraver le danger pour nos libertés. Il reste encore l’étape de la Commission mixte paritaire, qui réunira les élu·es de l’Assemblée nationale et du Sénat mais de laquelle nous n’attendons absolument rien. Rendez-vous donc au Conseil constitutionnel pour tenter de faire barrage à ce nouveau coup de semonce sécuritaire.

]]> https://www.laquadrature.net/?p=17042http://isyteck.com/autoblog/quadrature/index.php5?20210317_131846_Health_Data_Hub____du_fantasme_de_l___intelligence_artificielle_a_la_privatisation_de_nos_donnees_de_santeWed, 17 Mar 2021 12:18:46 +0000Projet central du « Plan national pour l’intelligence artificielle » (surnommé « AI for humanity« ), le « Health Data Hub » (HDH) est un projet visant à centraliser l’ensemble des données de santé de la population française. Il est prévu que le HDH regroupe, entre autres, les données de la médecine de ville, des pharmacies, du système hospitalier, des laboratoires de biologie médicale, du dossier médical partagé, de la médecine du travail, des EHPAD ou encore les données des programmes de séquençage de l’ADN [1].

Le HDH se substitue à une structure existante, le Système National de Données de Santé, avec deux principales modifications : un large élargissement des données collectées et un accès facilité, en particulier pour le secteur privé (GAFAM, « medtechs », startup, assureurs…), à ces dernières. A noter que les décrets officialisant les critères de sélection des projets ayant accès aux données ne sont toujours pas parus. Son objectif est donc, via leur centralisation, de faciliter l’utilisation de nos données de santé par le plus grand nombre d’acteurs de manière à, selon ses promoteurs-rices, « faire de la France un pays leader de l’intelligence artificielle » [2].

Ce projet, mené sans réelle concertation publique, est au centre de nombreuses controverses. Le choix du gouvernement de confier son hébergement à Microsoft, dans l’opacité la plus totale et malgré un avis particulièrement sévère de la CNIL, a soulevé de nombreuses protestations. Alors même que les critiques s’intensifiaient, le gouvernement a profité de l’état d’urgence sanitaire pour accélérer son développement, décision qui fut attaquée en justice par le collectif Interhop. Edward Snowden lui-même a pris position contre ce projet en dénonçant une capitulation du gouvernement devant « le cartel du Cloud ».

Sans remettre en question le droit à l’accès aux données médicales à des fins de recherche publique, ce texte se propose d’interroger les ressorts idéologiques du HDH et la vision du système de santé qu’il traduit, en l’inscrivant dans le contexte plus large de l’utilisation grandissante des techniques d’Intelligence Artificielle (IA) dans notre société. En effet, du système éducatif et social à la justice, en passant par la police, l’agriculture ou la santé, aucun domaine n’est aujourd’hui épargné. Alors que l’introduction de cette technologie est présentée comme inéluctable, et le recours à celle-ci comme intrinsèquement un progrès, les risques associés à son recours à outrance dans nos sociétés sont nombreux : déshumanisation [3], perte d’autonomie [4], usage contre les intérêts des patients, et, comme souvent lors de la création de nouvelles bases de données, une surveillance accrue [5]…

Aux origines du HDH : le rapport Villani ou l’IA fantasmée

La création du HDH fut initialement proposée dans le rapport Villani, publié en 2018. C’est sur la base de ce dernier que s’est construite la stratégie gouvernementale en matière d’IA.

Sa lecture permet d’appréhender la vision que se fait l’État des enjeux posés par l’IA, son positionnement par rapport à ces derniers et les risques que cette politique implique en terme de protection des données personnelles, tout particulièrement dans le domaine de la santé.

L’IA : « Une chance inouïe d’accélérer le calcul réservé à Dieu »

C’est en ces termes[6] qu’Emmanuel Macron, évoquant la philosophie de Leibniz[7], introduit le discours qu’il prononce à l’occasion de la publication du rapport Villani. L’IA, ajoute-t-il, « nous donnerait la capacité de réaliser nous-mêmes » le calcul du « meilleur des mondes possibles » que le philosophe réserve à Dieu. Selon lui, grâce à cette technique, nous serons bientôt en mesure de « parcourir beaucoup plus rapidement les chemins du malheur pour choisir le bon chemin […] plus tôt et […] plus rapidement » [6].

On retrouve ici toute la fascination exercée par les technologies, et l’informatique en particulier, sur nos dirigeant-e-s. Pour Jacques Ellul [8], ce sont d’ailleurs les politiques qui « paraissent plus que tous autres fascinés par cet instrument fabuleux », parce qu’ils-elles se trouvent « enfin maître(s) d’un instrument d’une puissance absolue » grâce auquel « tout va devenir possible ».

Après l’informatique, c’est donc à l’IA d’entretenir le mythe d’une technologie révolutionnaire et salvatrice. Comme l’écrivait André Vitalis en 1981 [9], l’IA et l’informatique sont des domaines si vastes que « dès lors, toutes les spéculations sont possibles, et à la place d’une appréciation raisonnée des possibilités de la machine, on est en présence d’une croyance à priori, en un pouvoir assez général ». Il ajoute à ce sujet que « ceci définit parfaitement une croyance magique ».

Une politique au service de finalités impensées

Cette fascination de nos dirigeant-e-s pour l’IA les empêche de prendre le recul nécessaire pour penser l’intégration de cette technique au sein d’un projet politique. Le rôle de l’Etat se limite à mettre tous les moyens à sa disposition pour préparer la France à « la révolution promise par l’IA », la faciliter, et ce, sans jamais questionner ni ses finalités ni ses moyens.

Ainsi, le rapport Villani plaide pour une véritable « transformation de l’Etat » et préconise d’adapter tant la commande publique que nos lois ou l’organisation de nos systèmes de santé et éducatif afin de lever les « freins » au développement de l’IA, « libérer la donnée » et « faire émerger une culture commune de l’innovation » [10]. Le cœur du rapport s’attache uniquement à préciser les actions à réaliser pour que la société s’adapte aux besoins techniques de l’IA.

Dans le même temps, la question de la limitation et de l’encadrement des usages de cette technologie y est quasi absente, tout comme la définition d’objectifs précis auxquels pourraient répondre une politique publique centrée autour de quelques grands projets de recherche publique. Ceux affichés par le « plan national pour l’IA » sont au contraire très vagues : permettre à la France de trouver une place parmi les « leaders » de ce domaine, ou encore « construire la véritable renaissance dont l’Europe a besoin » [6]

Il s’agit dès lors pour le pouvoir, non pas de questionner l’IA, mais de trouver de quels avantages dispose la France pour concurrencer les puissances dominantes (GAFAM, États-Unis, Chine) dans ce domaine. En se plaçant dans une logique concurrentielle, l’État embrasse implicitement le modèle défini par ces dernières et soustrait au débat public le choix de nos orientations technologiques.

Nos données de santé : un « avantage compétitif »

Les implications de ce choix vis-à-vis du HDH apparaissent rapidement. Comme Cédric Villani le précise [10] : « La situation actuelle est caractérisée par une asymétrie critique entre les acteurs de premier plan – les GAFAM […] – qui ont fait de la collecte et de la valorisation des données la raison de leur prééminence ; et les autres – entreprises et administrations – dont la survie à terme est menacée » .

Dans cette course à l’IA, l’État semble aujourd’hui dépassé par les GAFAM et les prodigieuses quantités de données qu’elles ont accumulé. A un tel point que Cédric Villani juge son existence mise en péril…

Toutefois, le rapport Villani se veut rassurant : si « le premier acte de la bataille de l’IA portait sur les données à caractère personnel » , et a été « remportée par les grandes plateformes » , le second acte va porter sur les « données sectorielles », dont le secteur de la santé est un parfait exemple. Or « c’est sur celles-ci que la France et l’Europe peuvent se différencier ».

Comment ? Grâce aux données à disposition de l’Etat français : celles collectées pour le développement de la sécurité sociale [11]. Comme l’explique clairement Emmanuel Macron : « Nous avons un véritable avantage, c’est que nous possédons un système de santé […] très centralisé, avec des bases de données d’une richesse exceptionnelle, notamment celle de l’Assurance-maladie et des hôpitaux ».

Tout est dit : pour que la France trouve sa place sur le marché de l’IA, l’État doit brader nos données de santé.

Un système de santé déshumanisé

Si le HDH est donc présenté comme un moyen de permettre à notre industrie nationale de « jouer un rôle de premier plan au niveau mondial et concurrencer les géants extra-européens » [10], il s’inscrit dans une vision plus globale d’un système de santé toujours plus quantifié et automatisé. Le rapport Villani permet en effet d’en cerner les contours : un système médical transformé pour être mis au service de l’IA, le recul des rapports humains, une médecine personnalisée basée sur l’exploitation à outrance de données personnelles et le transfert de la gestion de nouveaux pans de notre vie à des algorithmes opaques et privés.

« Hospital as a Platform » : Le corps médical au service de l’IA

L’ « Hospital as a Platform »[10], c’est ainsi que l’hôpital est désigné par le rapport Villani. Les lieux de soins y sont perçus comme de simples plateformes de données, des fournisseurs de matières premières pour les algorithmes des « medtechs ». Au delà de la violence d’une telle vision de notre système de soin, « producteur de données » [10], cela entraîne des conséquences directes tant pour le corps médical que pour la pratique de la médecine.

Puisque « les données cliniques renseignées par les médecins sont des sources d’apprentissage permanentes des IA », il devient « nécessaire que les professionnels de santé soient sensibilisés et formés pour encoder ces informations de manière à les rendre lisibles et réutilisables par la machine » [10].

Ainsi, jusqu’à présent, les soignants produisaient majoritairement des informations destinées à d’autres soignant-e-s et/ou patient-e-s. La quantification de chaque soin, introduite par la réforme de la T2A (tarification à l’activité) en 2003, avait déjà radicalement changé le rapport du soignant-e à la patient-e, tout en impactant les décisions médicales. Mais aujourd’hui c’est désormais l’ensemble de la production du personnel médical qui sera destiné à la machine. En inscrivant les relations patient-e/soignant-e dans des processus de rationalisation et de normalisation informatique, c’est le système lui-même que l’on déshumanise.

On renforce par ailleurs la charge de travail et les contraintes bureaucratiques du personnel médical, transformé à son tour en « travailleur-se du clic » pour reprendre l’expression d’Antonio Casilli [16], deux préoccupations au centre des récents mouvements de protestations [13] dans les milieux hospitaliers.

Marchandisation des données de santé

La stratégie gouvernementale prévoit la mise en place d’incitations fortes de manière à ce que le corps médical accepte ce changement de paradigme. Plusieurs pistes sont avancées :

Le rapport de préfiguration du HDH [14] indique par exemple que « les financements publics devraient être systématiquement conditionnés à la reconnaissance et au respect du principe de partage ». Un établissement médical refusant de partager les données de ses patient-e-s avec le HDH pourrait ainsi se voir ainsi privé de fonds.

Mais le coeur de la stratégie se veut plus doux. Il repose sur la rémunération des producteurs de données (hôpitaux, Ehpad, laboratoires…) par les utilisateurs-rices du HDH. Car comme le précise la mission de préfiguration, nos données de santé ont « un fort potentiel de valorisation économique » qui « se concentre principalement autour des industriels de santé, laboratoires pharmaceutiques et medtech » [14]. Ce que propose ainsi le rapport de préfiguration du HDH n’est rien de moins qu’une marchandisation de nos données de santé.

La mission de préfiguration rappelle par ailleurs qu’il sera nécessaire de « procéder à la large diffusion d’une culture de la donnée », afin de lever les freins culturels au développement de la technologie. Cette culture devra être infusée tant au niveau des responsables médicaux que des patients eux-mêmes. Et d’ajouter : « N’attendons pas d’être souffrants pour épouser cet état d’esprit » [14] …

Aujourd’hui pourtant, cette « culture de la donnée » française et européenne repose sur plusieurs textes tels la loi informatique et libertés de 1978 ou le RGPD (2018), qui visent au contraire à protéger cette donnée, et particulièrement la donnée de santé, dite « sensible » au même titre que l’orientation politique ou sexuelle. Maintenant que le contexte technique permet une analyse extrêmement pointue de ces données, il faudrait donc cesser de la protéger ?

« Deep Patient » : Du smartphone aux laboratoires d’analyses médicales

Pour Cédric Villani, les capteurs individuels de santé permettraient de participer à l’amélioration des outils d’IA, glissant vers une médecine individualisée à l’extrême, se basant sur la collecte d’une quantité toujours plus importante de données personnelles. Une médecine dans laquelle, selon lui, « le recueil des symptômes ne se fait plus seulement lors de la consultation de son médecin, mais à travers un ensemble de capteurs intégrés à l’individu (objets de « quantified self », apps de santé sur le smartphone, véritable « laboratoire d’analyses médicales distribuées ») ou à son environnement » [10].

Ce qu’évoque ici le rapport Villani, c’est le rêve d’une mesure de chaque aspect de notre vie (sommeil, alimentation, activité physique…), idéologie portée par le mouvement né aux Etats-Unis dit du « quantified self » [15]. Rêve accessible grâce à ces smartphones à qui incombe la responsabilité de collecte des données. Il est ainsi précisé que le « suivi en temps réel du patient et des traces qu’il produit » permet de « retracer une image précise du patient », constituant ce que le rapport désigne par l’expression de « deep patient » [10].

Le modèle proposé est donc celui de la délégation de notre système de santé à des applications se basant sur des algorithmes développés par le secteur privé, grâce aux données du HDH. La consultation de FAQ remplace petit à petit les consultations médicales, trop onéreuses et inefficientes, pendant qu’un avatar électronique remplace la médecin de famille.

Aucun recul n’est pris par rapport aux risques qu’engendre une privatisation croissante de notre système de santé. Aucune critique n’est faite du modèle économique des GAFAM basé sur la prédation des données personnelles. Il s’agit au contraire pour l’état d’accentuer le mouvement initié par ces derniers, de les concurrencer.

Se dessine alors une médecine personnalisée à l’extrême, atomisée, où la machine est reine et les interactions avec le corps médical marginalisées. Une médecine dans laquelle les questions collectives sont poussées en arrière plan et dans laquelle des pans entiers de notre système de santé sont délégués au secteur du numérique.

Conclusion

Nous refusons que nos données de santé soient utilisées pour la construction d’une médecine déshumanisée et individualisée à l’extrême. Nous refusons qu’elles servent à l’enrichissement de quelques structures privées ou à l’apparition de GAFAM français du domaine de la santé. Nous refusons qu’elles participent à l’avènement d’une société du « Quantified Self » dans laquelle la collecte de données personnelles de santé serait favorisée et valorisée. Nous refusons enfin une société où notre système de soin deviendrait un auxiliaire au service de technologies dont la place n’a pas fait l’objet d’un débat public.

Nous demandons donc :

– L’arrêt du développement du HDH, dans l’attente d’une remise à plat de ses objectifs et son fonctionnement ;
– L’arrêt du contrat d’hébergement conclu avec Microsoft ;
– Un changement de paradigme faisant de l’accès aux données de santé de la population française par le secteur privé l’exception plutôt que la norme.

—

[1]: Pour une liste exhaustive, se reporter à la Partie 5 « Patrimoine de Données » du Rapport de la mission de préfiguration du HDH : https://solidarites-sante.gouv.fr/IMG/pdf/181012_-_rapport_health_data_hub.pdf
[2]: https://www.aiforhumanity.fr/
[3]: Les films « Moi, Daniel Blake » ou « Effacer l’historique » offrent une belle, et triste, illustration d’un système social informatisé et bureaucratisé jusqu’à en perdre toute humanité
[4]: Voir à ce sujet « La liberté dans le coma » du Groupe Marcuse/ Sushana Zuboff
[5]: Voir à ce sujet le projet Technopolice: www.technopolice.fr
[6]: Discours prononcé le 29 mars 2018 par Emmanuel Macron à l’occasion de la publication du rapport Villani accessible ici
[7]: Macron évoque ici les réflexions de Leibnitz, philosophe du dix-septième siècle autour de la question suivante: « Si Dieu est omnibénévolent, omnipotent et omniscient, comment pouvons-nous rendre compte de la souffrance et de l’injustice qui existent dans le monde? » (citation wikipedia)
[8]: Lire à ce sujet le chapitre préliminaire du livre ‘Informatique, Pouvoir et Libertés’ d’André Vitalis et sa préface écrite par Jacques Ellul
[9]: « Pouvoir et Libertés », André Vitalis, Chapitre préliminaire,
[10]: Rapport Villani, accessible ici p.196
[11]: Sur le développement conjoint, et les besoins en matière de collecte de données, de l’état policier et de l’état providence, voir « La liberté dans le Coma », p57-75
[12]: Sur le concept de « travailleurs du clic », voir le livre « En attendant les robots. Enquête sur le travail du clic » d’Antonio Casili.
[13]: Voir par exemple cet article de Libération ici
[14]: Mission de préfiguration du HDH. Rapport disponible ici
[15]: Pour plus de détail sur ce mouvement, voir la page wikipedia ainsi que le chapitre 7 du livre « To Save Everything, Click Here: The Folly of Technological Solutionism » d’Evgeny Morozov.
[16]: Voir « En attendant les robots. Enquête sur le travail du clic. » d’Antonio A. Casilli.

]]> https://www.laquadrature.net/?p=17023http://isyteck.com/autoblog/quadrature/index.php5?20210315_144844_Le_Senat_doit_s___opposer_a_la_reconnaissance_faciale_des_masquesMon, 15 Mar 2021 13:48:44 +0000Le 10 mars 2021, le ministre des transports M. Djebbari a autorisé par décret les gestionnaires de gares, de métro et de bus à déployer sur leurs caméras de surveillance des logiciels de détection de masque, prétextant un besoin statistique dans la lutte contre le Covid.

Ce décret est illégal : d’abord, seul le Parlement aurait le pouvoir d’autoriser un tel traitement, par exemple dans la loi Sécurité Globale actuellement débattue. Surtout, un débat démocratique aurait fait apparaître que cette surveillance, en plus d’être une atteinte supplémentaire à nos libertés, est inutile et donc injustifiable.

Le gouvernement a préféré contourner le Parlement et la loi en passant par décret, remettant entièrement en cause l’autorité du pouvoir législatif. Le Sénat doit contenir cette offensive anti-démocratique en adoptant l’amendement de la loi Sécurité globale qui propose un moratoire de 2 ans pour tout système d’analyse d’image automatisée.

Nous manifesterons pour cela devant le Sénat mardi 16 mars à 16h, square Poulenc à Paris, le jour où commenceront les débats en séance publique sur cette loi.

Un décret pour une start-up

Le 6 mai 2020, profitant de la panique sanitaire, la start-up française Datakalab avait tenté un coup d’éclat médiatique en offrant à la RATP, l’exploitant des transports parisiens, un logiciel de détection de masque déployé dans la station de métro Châtelet. Si l’opération avait réussi à faire parler de Datakalab, elle avait aussi attiré la CNIL qui fit savoir que ce dispositif était illégal pour défaut d’encadrement juridique. Dans ces conditions, avoir déployé ce logiciel constituait un délit puni de 5 ans de prison. Le logiciel a donc été remballé le 12 juin (le tout sans qu’aucune poursuite pénale ne soit engagée).

Ensuite, la RATP et Datakalab ont manifestement cherché du soutien auprès du gouvernement afin de bricoler ce « cadre juridique » qui leur permettrait de poursuivre leur expérimentation. C’est ainsi que M. Djebbari a adopté le décret du 10 mars 2021, tout en saluant publiquement Datakalab, pour qui ce décret était clairement pris. En retour, Datakalab remerciait le ministre dans une franchise symptomatique des sociétés autoritaires.

Difficile de savoir exactement pourquoi M. Djebbari souhaite autoriser l’activité illégale d’une start-up, mais on peut au moins constater une chose : cela renforce la stratégie globale du gouvernement visant à éroder la large opposition populaire contre la surveillance biométrique en rendant celle-ci de plus en plus présente dans nos vies.

Le contenu du décret

Dans les grandes lignes, le décret se contente de décrire l’expérience menée illégalement par Datakalab en mai 2020, puis de l’autoriser. Désormais, les gestionnaires de gares, de métro et de bus peuvent installer sur leurs caméras de surveillance un logiciel qui comptera deux choses : le nombre de personnes filmées et le nombre parmi celles-ci qui portent un masque. Un pourcentage est donné pour des tranches d’au moins 20 minutes et le décret prétend pour l’instant que le logiciel ne pourra servir qu’à faire des statistiques en ne visant ni à punir ni à identifier les personnes ne portant pas de masque.

En pratique, c’est le visage de l’ensemble des personnes filmées qui sera évalué par un logiciel d’analyse automatisée. De façon assez classique en matière de surveillance, le consentement ne sera pas demandé et les personnes ne pourront pas s’y opposer.

Difficile de savoir si la RATP souhaitera retenter son aventure avec une start-up délinquante. On peut le supposer. Mais Datakalab pourra aussi prospecter d’autres villes, notamment Cannes où elle avait commencé à déployer ses premières démonstrations de force dans la vidéosurveillance automatisée. Dans tous les cas, la start-up gagnera en réputation et améliorera son dispositif en l’entraînant sur nos corps mis gratuitement à sa disposition, et il faut redouter que d’autres start-up ne lui emboitent le pas.

L’illégalité du décret

Deux arguments juridiques suffisent à comprendre que ce décret est illégal.

Premièrement, la loi (l’article L251-2 du code de la sécurité intérieure) liste de façon limitée les objectifs que les caméras de surveillance peuvent poursuivre (lutte contre les vols, les incendies, les agressions, etc). La loi ne liste pas l’objectif statistique poursuivi par le décret, qui est donc contraire au droit. Pour être légal, le décret aurait du être précédé par une modification de la loi pour y ajouter cette finalité statistique.

Ensuite, l’article 4 de la loi de 1978 et l’article 5 du RGPD, ainsi que la Constitution, exigent que toute mesure de surveillance soit « nécessaire » à la finalité qu’elle poursuit. Elle ne peut être autorisée que si l’objectif poursuivi ne peut pas être atteint par une mesure moins dangereuse pour les libertés. Dans notre cas, il n’est absolument pas nécessaire d’analyser constamment le visage de l’ensemble de la population afin de faire des statistiques. Un comptage réalisé par des humains et sur la base d’échantillons est un procédé aussi facile que fiable.

Surtout, à écouter M. Djebbari lui-même, un tel comptage, qu’il soit réalisé par des machines ou des humains, est largement inutile pour lutter contre le Covid puisque selon lui : « les transports en commun ne sont pas un lieu de contamination particulier », notamment car « le port du masque est totalement respecté dans ces lieux ». La nécessité de l’installation de caméras d’analyse de visages, autre critère juridique fondamental, fait donc clairement défaut.

Le Parlement contourné

On comprend que c’est précisément car cette mesure de surveillance est inutile pour lutter contre le Covid que le gouvernement a préféré passer par décret. En effet, il aurait eu bien du mal à convaincre le Parlement d’autoriser une mesure aussi inutile qu’impopulaire. Et pour cause, sous la pression populaire, le Sénat lui-même a déjà commencé à repousser ce type de surveillance.

Dans sa position adoptée le 3 mars, la commission des lois du Sénat a précisé que les drones ne devaient pas servir à faire de la reconnaissance faciale, a limité la façon dont les agents de sécurité des transports peuvent accéder aux caméras de surveillance et a rejeté un amendement visant à généraliser la reconnaissance faciale sur les caméras de surveillance.

Si ces trois positions sont bien en-deçà de ce que le Sénat devrait faire pour corriger la loi Sécurité Globale dans son ensemble (voir nos critiques), elles se révèlent suffisantes pour dissuader le gouvernement d’essayer d’obtenir l’autorisation du Parlement afin de déployer des logiciels de reconnaissance de masques. Il a donc acté de le contourner, afin de décider seul par décret. Le message est clair : le gouvernement n’a besoin ni de loi, ni de Parlement ni de la moindre légitimité démocratique pour repousser chaque fois davantage les frontières de la Technopolice.

Contenir l’offensive autoritaire

Le gouvernement a en effet pris l’habitude de se passer de l’autorisation du Parlement pour déployer sa Technopolice : autorisation de la reconnaissance faciale massive en 2012 dans le fichier TAJ, centralisation des visages de toute la population dans le fichier TES, déploiement de caméras par hélicoptères et par drones, fichage politique des militants dans les fichiers PASP et GIPASP… 

Certes, aujourd’hui, suite à notre victoire au Conseil d’État, le gouvernement se retrouve obligé de demander au Parlement d’autoriser les caméras mouvantes dans la loi Sécurité Globale. Mais pour le reste, il a continué d’usurper le pouvoir législatif en autorisant des mesures de surveillance qui auraient du faire l’objet d’un débat démocratique puis être soumises au vote du Parlement, qui aurait probablement conclu au rejet de ces mesures injustifiables. Tant que personne ne l’arrêtera, le gouvernement continuera encore et encore à s’accaparer le pouvoir législatif tant les ambitions sécuritaires qu’il s’est fixé pour les Jeux Olympiques de 2024 sont immenses.

Le devoir du Parlement est d’obliger fermement le gouvernement à revenir devant lui chaque fois qu’il souhaitera étendre ses appareils de surveillance. Au Sénat, la gauche a proposé un amendement qui irait précisément dans ce sens en suspendant par principe et pendant 2 ans toute nouvelle extension des systèmes de vidéosurveillance. 


Sauf à renoncer à son rôle démocratique, le Sénat doit impérativement adopter cet amendement. S’il n’en fait rien, nous devrons probablement pallier la démission du Parlement en attaquant nous-même ce décret devant le Conseil d’État. Et puisque le Parlement n’a pas encore envisagé de léguer son budget aux nombreuses associations qui reprennent son rôle de contre-pouvoir, n’oubliez pas de nous soutenir si vous le pouvez !

]]> https://www.laquadrature.net/?p=17016http://isyteck.com/autoblog/quadrature/index.php5?20210312_134305_Une_videosurveillance_peut_en_cacher_une_autreFri, 12 Mar 2021 12:43:05 +0000Ce serait enfoncer une porte ouverte que de dire que la vidéosurveillance est partout. Alors que la Cour des comptes critique l’absence totale d’efficacité de ces dispositifs, celle-ci est sans cesse promue comme une solution magique à des problèmes que l’on ne veut pas regarder en face. Pourtant, derrière l’effrayante banalité de la vidéosurveillance peut se cacher l’effarante illégalité de la vidéosurveillance automatisée, ou algorithmique.

C’est l’histoire d’une banale histoire de vidéosurveillance

L’AN2V, le lobby de la vidéosurveillance, faisait la promotion, dans l’édition 2020 de son guide annuel, de la vidéosurveillance automatisée (VSA). Véritable démonstration des possibilités sécuritaires, ce document regroupe des articles sur l’analyse algorithmique de nos vies et rêve de futurs toujours plus sombres. Mais ce « Pixel 2020 », comme il se fait appeler, donne également la parole aux revendeurs d’un des logiciels les plus utilisés dans le domaine de la VSA : Briefcam.

Quelle ne fut pas notre surprise en découvrant dans ce guide qu’un petit bourg d’à peine 7000 habitant·es, Moirans, pas très loin de Grenoble, utilise le logiciel Briefcam pour faire de l’analyse algorithmique à partir des images captées par les caméras de vidéosurveillance. Il est de notoriété publique que beaucoup de collectivités locales de tailles importantes utilisent ce logiciel, mais nous découvrions ici qu’un petit village peut également se l’offrir.

En 2016, la mairie de Moirans, sous l’impulsion d’un maire « divers droite » et profitant d’un fait divers récupéré par le Premier ministre et le ministre de l’Intérieur de l’époque pour faire la promotion du solutionnisme technologique qu’est la vidéosurveillance, décida de s’équiper d’une soixantaine de caméras. Heureusement que l’État était là, puisqu’une subvention de 80 % du coût total par le Fonds Interministériel de Prévention de la Délinquance (FIPD), les plus de 400 000 € du projet ne furent que relativement peu supportés par le budget communal. Mais jusque là, personne n’avait encore entendu parler de Briefcam à Moirans…

Un Briefcam sauvage apparaît !

Après quelques invectives en conseil municipal, la ville de Moirans décida de s’équiper de vidéosurveillance et passa un marché public pour cela. Comme pour tout marché public, elle rédigea un cahier des clauses techniques particulières (CCTP). Celui-ci était assez classique : des caméras de haute résolution, la possibilité de lire une plaque minéralogique jusqu’à une vitesse de 90 km/h (alors même que la configuration du centre-ville rend périlleuses les vitesses au-delà des 30), des poteaux, des fibres, des écrans pour consulter les images et des serveurs pour les enregistrer, etc. Jusque-ici, aucune trace d’analyse algorithmique.

C’est finalement en lisant les rapports de suivi des travaux que nous découvrîmes le pot aux roses. Au moment de l’exécution du marché public, l’entreprise qui avait obtenu le projet proposa d’inclure le logiciel Briefcam, alors même que les fonctionnalités de VSA n’étaient pas demandées par la ville dans le CCTP. Une démonstration fut organisée par l’entreprise qui avait obtenu le marché public, le budget fut modifié pour tenir compte de cet ajout, et depuis 2019 Briefcam surveille. Emballé, c’est pesé.

Quelles leçons en tirer ?

Jusqu’alors nous cherchions la VSA là où elle s’affiche, comme à Marseille et son CCTP dédié à la VSA, mais nous nous sommes rendu compte qu’une simple vidéosurveillance, aussi classique soit-elle, peut cacher de la vidéosurveillance automatisée. Bien entendu, le journal municipal de Moirans se garde bien d’annoncer que la ville est équipée d’un logiciel capable de faire de l’analyse biométrique des personnes (ce qui n’empêche pas le journal municipal de vanter les bienfaits supposés de la vidéosurveillance « classique »). La CNIL n’a également jamais entendu parlé d’une quelconque étude d’impact à Moirans, étape pourtant obligatoire à la mise en place d’un traitement de données — a fortiori ici de données sensibles que sont les données biométriques. La première leçon à tirer est donc qu’il est vital de documenter le moindre projet de vidéosurveillance, même celui qui semble le plus classique. Bonne nouvelle, nous avons mis à jour nos guides pour vous aider à le faire dans votre ville !

La deuxième leçon à tirer est que Briefcam se cache là où on ne l’attend pas. L’entreprise qui a décroché le marché public à Moirans et a refourgué du Briefcam sous le manteau s’appelle SPIE. Il s’agit d’un industriel du BTP, qui a pignon sur rue mais qui n’est pas un fabricant de logiciel de VSA. En réalité, SPIE a sous-traité la VSA à Moirans à une autre entreprise, nommée Nomadys, qui elle-même revend Briefcam, logiciel développé par l’entreprise du même nom.

Que la chasse à Briefcam soit ouverte !

Fin janvier, nous avons identifié une douzaine d’administrations ayant passé un marché public de vidéosurveillance avec l’entreprise SPIE. Le Bulletin officiel des annonces de marché public (BOAMP) permet d’obtenir facilement une telle liste (certes très incomplète). Nous leur avons envoyé à chacune une demande CADA réclamant la communication des documents relatifs à ces marchés publics. Très peu ont répondu, et les quelques réponses reçues, lorsqu’elles ne sont pas caviardées à outrance, restent silencieuses sur les logiciels revendus par SPIE et utilisés. En particulier, aucune n’a accepté de nous communiquer les manuels d’utilisation des logiciels utilisés, en prétextant un soi-disant secret industriel. Si l’article L. 311-5 du code des relations entre le public et l’administration permet en effet à une administration de refuser de communiquer un document qui contiendrait un secret protégé par la loi, comme un secret industriel ou commercial, les manuels d’utilisation que nous demandions n’indiquent pas comment fonctionnent ces logiciels, mais ce qu’ils sont capables de faire. Ce type de document est par ailleurs communicable aux États-Unis en application de règles légales similaires à celles servant en France à faire des demande CADA. Il nous reste encore à analyser en détails les réponses, et nous saisirons ensuite la CADA sur ces refus. Et peut-être que nous irons plus loin, qui sait ?

Vous aussi de votre côté vous pouvez nous rejoindre dans cette chasse à Briefcam ! Nous avons mis à jour nos guides pour faire des demandes CADA et vous pouvez nous rejoindre sur le forum Technopolice pour partager vos découvertes. Et, comme toujours, vous pouvez aussi nous aider en nous faisant un don.

]]> https://www.laquadrature.net/?p=17012http://isyteck.com/autoblog/quadrature/index.php5?20210310_162900_Technopolice__les_bailleurs_sociaux_en_premiere_ligneWed, 10 Mar 2021 15:29:00 +0000On sait que les quartiers les plus défavorisés sont des lieux privilégiés d’expérimentation de la technopolice et de la répression policière. Caméras-piétons, LBD, drones : autant d’exemples de techniques largement déployées sur les populations les plus précaires avant d’être généralisées.

Le rapport annuel 2021 de l’Association Nationale de la Vidéoprotection, le grand lobby national de la vidéosurveillance, apporte de nouveaux éléments sur les rapports entretenus entre la Technopolice et les quartiers populaires.

Plusieurs pages sont dédiées aux sombres pratiques du plus grand bailleur de logements sociaux en France, le Groupe 3F . Y sont en particulier décrits trois exemples d’utilisation de la vidéosurveillance par le groupe. Tous concernent des « Quartiers de reconquête républicaine » (QRR) et portent des noms de code militaires, tels « Opération JULIETT » ou encore « Opération ALPHA ».

L’utilisation de caméras cachées

Le premier cas concerne l’installation de caméras de vidéosurveillance dans le 19e arrondissement de Paris, dans le quartier de Crimée. Il s’agissait de lutter contre des regroupements de personnes répondant à « des logiques de trafic [..] ou ethniques » (sic).

On apprend que la reconquête du parking « Jumeau » a ainsi impliqué l’installation de caméras « anti-vandales » mais aussi de caméras factices et de caméras « pin-hole ».

Ces dernières sont conçues pour être quasiment indétectables à l’œil nu et sont normalement utilisées pour espionner une ou plusieurs personnes à leur insu. Elles peuvent par exemple être installées dans de faux détecteurs anti-incendies, de faux détecteurs de mouvement ou simplement dans de fausses vis ! En voici deux exemplaires trouvés sur internet :

Une caméra dans un détecteur de fumée :


Une caméra dans une prise électrique :


La retransmission en temps réel aux services de police

La deuxième spécificité des systèmes de vidéosurveillance mis en place par le bailleur social est la transmission des images en temps réel aux Centres de Supervision Urbaine (CSU) des forces de l’ordre.

Si ce déport vidéo est autorisé, il faut toutefois préciser que cette pratique est strictement encadrée par la loi LOPPSI 2. Elle n’est en particulier autorisée qu’en cas « de circonstances faisant redouter la commission imminente d’une atteinte grave » et limitée au « temps nécessaire à l’intervention des services de la police ou de la gendarmerie ».

Notons d’ailleurs que dans le cadre de la loi « Sécurité Globale », le gouvernement cherche à faciliter ce déport en le permettant dès lors qu’il y a « occupation par des personnes qui entravent l’accès et la libre circulation des locataires (…)». L’article 20 bis du projet de loi de Sécurité Globale voté par l’Assemblée Nationale prévoit de supprimer le critère d' »atteinte grave » et de le remplacer par « en cas d’occupation par des personnes qui entravent l’accès et la libre circulation des locataires ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux » (voir notre billet à ce sujet). Cet article a été supprimé par le Sénat mais devrait malheureusement revenir au moment des débats en commission mixte paritaire.

Mais à Aulnay, dans le cadre de l’opération « ALPHA », Immobilière 3F ne semble pas faire grand cas de cet encadrement. Il est ainsi prévu que le déport vidéo vers le CSU d’Aulnay puisse être activé à la demande des policiers. Rien ne permet de comprendre comment le cadre législatif sera respecté.

Opération « Chicha »

Dernière illustration de la banalisation de l’utilisation de la vidéosurveillance des habitants de logements sociaux ? Le bailleur social se vante d’utiliser des caméras nomades pour lutter contre… les fumeurs de chicha.

Tout cela ne fait que souligner la surveillance permanente, et pernicieuse, des populations défavorisées. Comme les migrants aux frontières, elles sont les premières à souffrir de la fuite en avant technopolicière de notre société.

Une fuite en avant

Ces expérimentations donnent, de nouveau, à voir l’infiltration permanente de la surveillance dans notre société : aux caméras-fixes dans la rue, se superpose une surveillance par les airs (drones), à hauteur d’hommes (caméras-piétons), surveillance qui nous poursuit désormais jusque dans les halls d’immeubles. A quand nos portes d’entrée ou nos chambres ?

La possibilité de transmettre ces vidéos dans des centres de commandement, centralisant et analysant l’ensemble de ces flux, est désormais facilitée et encouragée alors même qu’elle était initialement strictement encadrée.

Que dire enfin des caméras de type « pin-hole » ? Alors que la législation mettait au cœur de l’équilibre du système l’information des personnes sur l’existence des caméras (qui devaient être visibles pour tout le monde), on constate le développement de caméras discrètes, cachées, invisibles. Une surveillance qui ne s’assume plus, qui se veut invisible, pernicieuse et incontestable…

]]> https://www.laquadrature.net/?p=17001http://isyteck.com/autoblog/quadrature/index.php5?20210308_132539_MaDada____exigeons_les_documents_de_la_TechnopoliceMon, 08 Mar 2021 12:25:39 +0000MaDada.fr est une plateforme web citoyenne, ouverte à tous, qui facilite et permet à tout un chacun de faire des demandes d’accès aux documents administratifs. Demandons les documents de la Technopolice partout autour de nous, exigeons la transparence, afin de mieux lutter contre ces dispositifs.

La campagne Technopolice vise à analyser et documenter les dispositifs de surveillance policière qui se propagent dans nos villes et nos vies, afin de mieux les contrer. Ce travail de veille et de recherche d’information, nous l’effectuons ensemble, de façon décentralisée, le forum Technopolice, ouvert à tous, nous servant de lieu où nous nous retrouvons, et où toutes ces informations se croisent, s’échangent et sont analysées collectivement. Le site data.technopolice.fr est lui un lieu de sauvegarde et d’organisation des documents issus de nos recherches.

Ces recherches et analyses nourrissent nos actions pour contrer la surveillance : elles nous aident à porter et appuyer des contentieux, à organiser des actions collaboratives (carte de la Technopolice, lettre ouverte pour les municipales) ou des actions de sensibilisation (expositions et ateliers Technopolice à Avignon, Marseille ou Nice ). Lire notre boîte à outils pour en savoir plus sur nos outils et modes d’actions.

Une source très importante d’informations pour la campagne Technopolice sont les « demandes d’accès aux documents administratifs », (parfois appelées « demandes CADA » par abus de langage, du nom de l’autorité chargée de rendre des avis sur la communicabilité des documents administratifs). La Technopolice avance vite, se répand et évolue en permanence, mais elle avance masquée, sans études préliminaires, sans débat ni concertation citoyennes et dans un manque profond de transparence et de démocratie. C’est à travers des informations recueillies par des demandes CADA que nous avons pu attaquer et faire interdire les portiques de reconnaissance faciale à Marseille et Nice, ou bien que l’écoute sonore à Saint-Étienne est apparue délirante.

Faisons valoir notre droit d’accès aux informations publiques

L’article 15 de la Déclaration des droits de l’homme et du citoyen de 1789 mentionne que « La société a le droit de demander des comptes à tout Agent public de son administration ». Le droit d’accès aux informations publiques est donc un droit constitutionnel. Ce droit est précisé et garanti par la loi n° 78-753 du 17 juillet 1978, codifiée au livre III du code des relations entre le public et l’administration (CRPA), qui institue le principe de la liberté d’accès aux documents administratifs à toute personne qui en fait la demande.

Notre Guide de demandes CADA vous propose un modèle de lettre et donne des indications détaillées sur la rédaction des demandes de documents administratifs.

MaDada.fr : une plateforme collaborative qui facilite les demandes

Une fois que l’on a identifié la demande à faire, les documents à demander et l’administration à laquelle l’adresser, on peut passer par Ma Dada. Il s’agit d’une plateforme web citoyenne, initiative de l’association Open Knowledge Foundation France, qui permet d’acheminer les demandes en maintenant à jour l’annuaire des administrations, d’y recevoir les réponses éventuelles, de recevoir des notifications en cas de dépassement des délais légaux de réponse et d’effectuer les rappels et les recours amiables dans ce cas. Elle permet le suivi des demandes, la duplication de celles-ci et l’envoi de demandes en série à plusieurs administrations à la fois (demandes par paquets de la fonctionnalité avancée MaDada++). En cas de non réponse après le délai légal d’un mois, afin de faciliter la saisine de la Commission d’accès aux documents administratifs (CADA), elle permet d’avoir accès à l’échange complet de la demande via son lien web public, ou d’en exporter une copie dans un fichier PDF.

Par défaut, les demandes sur Ma Dada sont publiques, leur réponses également. La plateforme joue ainsi le rôle d’une base de connaissances ouverte collective, un document demandé par un utilisateur profitant à tous les autres. Certaines peuvent néanmoins être rendues privées (fonctionnalités avancées MaDada++) pour les besoins d’une enquête ou d’analyse avant publication, ou pour celles et ceux qui ne souhaitent pas s’exposer.

Une demande d’accès aux documents administratifs doit obligatoirement comporter l’identité de la personne qui en fait la demande ou, pour une association, le nom de l’association et son numéro RNA. Ainsi, si dans le cadre de la campagne Technopolice vous souhaitez faire des demandes tout en restant anonyme, n’hésitez pas à nous l’indiquer sur le forum Technopolice. Ma Dada peut également, sur demande ou signalisation, censurer des informations personnelles qui paraissent sur le site.

Mettons à nue la Technopolice

Pour la Technopolice, nous avons commencé à utiliser Ma Dada. Il est ainsi possible s’inspirer de demandes existantes : en voici par exemple une qui demande tous les documents relatifs à l’audit du système de surveillance à Marseille ; ou encore une autre concernant la sécurité des grands événements et des JO de Paris 2024 . Voici également cette demande par paquets adressée à chacune des villes de la Technocarte pour y obtenir les arrêtés préfectoraux d’autorisation des emplacements des caméras de surveillance.

Restez connectés, nous publierons dans les jours qui viennent différents exemples et résultats d’analyses de demandes CADA qui nous ont été utiles dans la campagne Technopolice !

]]> https://www.laquadrature.net/?p=16993http://isyteck.com/autoblog/quadrature/index.php5?20210305_120525_La_police_en_helicoptere__ou_la_surveillance_militaire_des_citoyensFri, 05 Mar 2021 11:05:25 +0000Ce article a été d’abord publié sur le blog de notre site de campagne Technopolice.

Depuis plusieurs années, les hélicoptères de la gendarmerie sont régulièrement déployés pour des missions de surveillance de l’espace public, et ce en toute illégalité. Dotés d’un matériel d’abord développé dans un contexte militaire, la police se vante de leur capacité d’espionnage bien supérieure à celles des drones : caméras thermiques avec zoom ultra-puissant, suivi automatisé des suspects, transmission en temps-réel des images à des postes de commandement…

Leur usage n’a pourtant jamais été sanctionné – ni par le juge ni par la Cnil. Le gouvernement veut maintenant les légaliser dans la PPL « Sécurité Globale » – dont les débats ont repris début mars au Sénat.

Difficile de remonter aux premières utilisations d’hélicoptères par la police à des fins de surveillance de l’espace public. En octobre 2000, une question écrite au Sénat laisse déjà deviner une utilisation régulière d’hélicoptères équipés de « caméras vidéo thermiques embarquées » par la police et la gendarmerie.

Aujourd’hui en tous cas, la police et la gendarmerie sont fières de leurs capacités de surveillance. Pendant le confinement, elles vantaient ainsi que l’hélicoptère « ne peut être ni vu ni entendu par les personnes au sol » et est doté de caméras « capables de deviner à des centaines de mètres la présence d’êtres humains ou d’animaux ». En 2018, il était précisé que la caméra pouvait même « identifier un individu à 1,5 km de distance » avec retransmission « en direct et suivi depuis le centre interministériel de crise du ministère de l’Intérieur ».

En 2017, le commandant des « forces aériennes de la gendarmerie nationale » parle d’un « énorme zoom qui permet de lire à 300 mètres d’altitude une plaque d’immatriculation située à un kilomètre, d’identifier une personne à 2 km et un véhicule à 4 km », précisant qu’il peut « demander à la caméra de suivre automatiquement un objectif, quelle que soit la position ou la trajectoire de l’hélicoptère ».

Un matériel militaire pour de la surveillance interne

Plus que le type d’hélicoptère utilisé (apparemment, des « EC-135 » que la gendarmerie prête à la police quand celle-ci en a besoin), c’est le type de caméra qui importe.

Depuis au moins 2010, la gendarmerie utilise un dispositif nommé « Wescam MX-15 » – qui n’est même plus qualifié de « simple caméra » mais de « boule optronique ». C’est cet objet, avec sa caméra thermique et son zoom surpuissant, qui permet à la police de filmer, traquer, identifier (de jour comme de nuit) et de retransmettre en direct le flux vidéo, avec une « qualité d’image comparable à celle que le public connaît pour le Tour de France ».

C’est un appareil clairement militaire, utilisé dans des zones de guerre et répertorié en tant que tel sur des sites d’armement. Il est pourtant déployé depuis plusieurs années au-dessus des villes en France. Comme pour d’autres outils de la Technopolice (drones, vidéosurveillance automatisée…), il y a encore ici cette porosité entre les technologies militaires utilisées dans les pays en guerre, celles expérimentées aux frontières et celles déployées pour la surveillance des villes – soit une militarisation progressive de nos espaces publics.

Pour le futur, les hélicoptères devraient être équipés chez Safran, avec une « boule optronique » dite « Euroflir 410 » : un zoom encore plus puissant, des détecteurs de mouvement, un ordinateur intégré… Bref, un ensemble de technologies que la police ne manquera pas d’utiliser pour nous espionner au plus près. Comme pour les drones, ce type de technologies couplé à de l’analyse logicielle des images concrétise la société fantasmée par le ministère de l’Intérieur dans son


livre blanc publié en novembre dernier : celui d’une surveillance automatisée et totale. L’objectif est que ce nouveau dispositif soit « opérationnel avant les JO de Paris 2024 ».

Surveillance des manifestations et identification des « suspects »

Les utilisations des hélicoptères semblent encore plus larges que celles des drones : surveillance du confinement et des manifestations, surtout pendant celles des gilets-jaunes. En mars 2019, la gendarmerie annonce d’ailleurs avoir effectué 717 heures de vol au-dessus des manifestations, pour un coût total de 1 million d’euros.

En 2010, déjà, la gendarmerie se vantait de sa surveillance des manifestations, car les hélicoptères sont, selon elle, «  les mieux placés pour détecter les débordements, incidents ou intrusions dans les cortèges » avec des « images transmises en direct dans les salles de commandement (…) permettant aux responsables de faire intervenir immédiatement les effectifs au sol ».

Au-delà de le surveillance des machines, c’est aussi sur leur capacité d’intimidation que mise la police quand elle dit « faire du bruit » au dessus des manifestations ou qu’elle multiplie les survols menaçants et continus au-dessus des ZAD.

Illégalité et impunité de la surveillance

Tout ce pouvoir de surveillance n’a jamais été, et n’est toujours pas, encadré par le moindre texte de loi. Il n’existe aucune limite à ce qu’a pu faire et ce que peut faire aujourd’hui la police en termes de surveillance de la voie publique par hélicoptères : durée de conservation des données, types de lieux pouvant être filmés, accès aux images, information sur la captation…

C’est exactement la même illégalité que nous avions soulevé concernant les drones et qui a conduit à leur interdiction en France, par le Conseil d’Etat d’abord, par la Cnil ensuite : l’absence de texte législatif ou réglementaire permettant à la police de capter des données personnelles. Rien de tel malheureusement pour les hélicoptères : malgré leur utilisation régulière, aucune autorité n’est venue rappeler le droit à la police.

Le gouvernement, les parlementaires et la police en sont bien conscients. Ils veulent donc profiter de la proposition de loi « Sécurité globale » pour légaliser le dispositif – plusieurs dizaines d’années plus tard.

La proposition de loi « Sécurité globale » revient en ce moment devant le Sénat. En plus d’intensifier la vidéosurveillance fixe, elle veut légitimer la vidéosurveillance mouvante : les drones, les caméras-piétons, les caméras embarquées et donc, les hélicoptères. Les parlementaires doivent refuser la militarisation de la surveillance de l’espace public.

]]> https://www.laquadrature.net/?p=16987http://isyteck.com/autoblog/quadrature/index.php5?20210303_150312_La_loi_Securite_Globale_validee_en_commission_au_SenatWed, 03 Mar 2021 14:03:12 +0000La commission des lois du Sénat a adopté ce matin sa position sur la proposition de loi Sécurité Globale. Il ne faut pas se laisser abuser par les modifications apportées au texte et dont se vanteront sans doute les rapporteurs, MM Hervé et Daubresse. Le texte adopté ce matin est aussi sécuritaire que celui adopté par l’Assemblée nationale.

Un débat à huis clos

Première mauvaise surprise : le débat en commission des lois s’est déroulé derrière des portes closes (sans retransmission vidéo) et a été d’une rapidité surprenante. Commencé à 8h30, l’examen du texte s’est terminé à 11h30. Il n’aura fallu que trois heures aux sénateurs pour voter leur version de la proposition de loi. Et, en toute opacité donc, réécrire l’article 24, légaliser les drones et les caméras embarquées, intensifier la vidéosurveillance fixe.

Article 24

Comme annoncé, les rapporteurs ont tenté de neutraliser l’article 24 qui, dans sa version initiale, aurait empêché de documenter les violences policières. Désormais, cet article se divise en deux infractions : une première sanctionne « la provocation, dans le but manifeste qu’il soit porté atteinte à son intégrité physique ou psychique, à l’identification » d’un policier ou d’un militaire ; une deuxième infraction sanctionne le fait de réaliser un traitement de données personnelles concernant des fonctionnaires sans respecter le RGPD et la loi informatique et liberté.

Ces nouvelles formules sont si confuses et redondantes avec le droit existant qu’il faut regretter que l’article n’ait pas été entièrement supprimé. On peut toutefois espérer que, ainsi modifié, l’article 24 ne fasse plus diversion et que le débat puisse enfin se recentrer sur les mesures de surveillance au cœur de la proposition de loi.

Vidéosurveillance

Le code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale. Ce matin, le Sénat a validé les articles 20, 20 bis A et 20 ter de la loi Sécurité Globale qui étendraient cet accès aux agents de la police municipale et de la ville de Paris, des communes, des communautés de communes et groupements similaires ainsi que des services de sécurité de la SNCF et de la RATP. Les sénateurs se sont contentés de quelques modifications de façade (ici, ici et là) qui, prétendant suivre l’avis d’une CNIL démissionnaire (relire nos critiques), ne changeront rien à l’extension injustifiable des personnes pouvant accéder aux images de vidéosurveillance.

Il n’y a bien qu’une seule véritable (et maigre) avancée en matière de vidéosurveillance : la commission des lois a supprimé l’article « 20 bis ». Celui-ci prévoyait de faciliter la retransmission en direct des images filmées par les caméras posées dans les halls d’immeubles. Comme nous l’avions souligné dans notre analyse juridique, en plus d’être une mesure de surveillance extrêmement invasive, cette disposition était clairement inconstitutionnelle.

Les rapporteurs ne pouvaient donc que l’enlever. La disposition risque malheureusement de réapparaître en commission mixte paritaire au moment des discussions avec l’Assemblée nationale.

Drones

S’agissant des drones, les rapporteurs ont appliqué une technique éculée en matière de faux-semblants législatifs : réécrire un article pour lui faire dire la même chose avec des mots à peine différents. Si l’amendement adopté semble dense, les différences avec le texte initial sont presque nulles : la police et la gendarmerie pourront tout aussi facilement déployer leurs drones pour maintenir leur politique de surveillance massive et de répressions des libertés par la violence (relire notre analyse).

La seule avancée obtenue ce matin est l’interdiction explicite de l’audiosurveillance et de la reconnaissance faciale par drone. Les rapporteurs prétendent vouloir «  réaffirmer, à ce stade, la prohibition des techniques qui ne sont pas expressément autorisées par le législateur (captation des sons, reconnaissance faciale, interconnexions automatisées de données) ». Bien que cette interdiction explicite ne soit pas nécessaire (le droit interdit déjà ces pratiques), ce positionnement symbolique du Sénat est bienvenu face à des industriels qui invitent déjà les autorités à recourir à ces techniques.

Caméra-piétons

La victoire symbolique obtenue sur les drones doit être largement relativisée : si nous redoutions le déploiement massif de la reconnaissance faciale, ce n’est pas tant sur les drones que sur les caméras-piétons, bientôt largement déployées en France et dont les images seront transmises en temps réel au centre de contrôle en application de la loi Sécurité Globale. Les rapporteurs n’ont rien fait pour contrer ce risque pourtant bien plus actuel et immédiat que celui posé par les drones, plus lointain. Comme si leur souhait de « réaffirmer » l’interdiction de la reconnaissance faciale était limité aux scénarios les plus abstraits mais que, pour les choses que la police réclame concrètement, le législateur devrait baisser les yeux et la laisser faire.

Ici encore, l’amendement adopté ce matin se contente de réécrire sans rien changer, en prétendant suivre l’avis de la CNIL qui, elle même, ne proposait rien de concret ou de juridique.

Reconnaissance faciale

La commission des lois a rejeté les amendements que nous dénoncions hier comme tentant d’instaurer un système de reconnaissance faciale généralisé. La provocation politique était sans doute trop importante. Et pourtant, dans le même temps, les sénateurs ont aussi rejeté l’amendement qui proposait d’interdire pendant deux ans les dispositifs de biométrie policière.

Comment comprendre ces deux positions qui, en apparence, s’opposent ? La situation semble identique à celle constatée à l’Assemblée nationale l’an dernier : la majorité et la droite souhaitent bien que la loi Sécurité Globale renforce le dispositif de reconnaissance faciale autorisé depuis 2012 par décret, mais pas grand monde ne semble prêt à assumer la responsabilité d’autoriser explicitement un tel régime dans la loi. L’hypocrisie est totale quand les rapporteurs prétendent interdire ce dispositif sur les drones mais refusent toute interdiction plus large.

Prochaine étape : la discussion en séance publique qui aura lieu les 16, 17 et 18 mars prochains. Il sera plus que jamais nécessaire de maintenir la pression sur les sénateurs pour qu’ils aillent beaucoup plus loin que les rapporteurs et mettent un coup d’arrêt définitif à ce texte.

]]> https://www.laquadrature.net/?p=16980http://isyteck.com/autoblog/quadrature/index.php5?20210302_152440_Securite_Globale____la_droite_appelle_a_la_reconnaissance_facialeTue, 02 Mar 2021 14:24:40 +0000Demain 3 mars, la commission des lois du Sénat examinera la loi Sécurité Globale, déjà adoptée en novembre par l’Assemblée nationale (relire notre réaction). Alors que le texte était déjà largement contraire à la Constitution et au droit européen (relire notre analyse), les sénateurs et sénatrices de droite et du centre souhaitent s’enfoncer encore plus loin dans l’autoritarisme en officialisant un système jusqu’alors implicite dans la loi : instaurer un vaste régime de reconnaissance faciale.

Dans le cadre du vote de la loi Sécurité globale, 68 sénateurs et sénatrices proposent d’inscrire la reconnaissance faciale au livre VIII du code de la sécurité intérieure qui, créé en 2015 par la loi renseignement, avait autorisé la surveillance de masse des communications électroniques (voir notre analyse). Cette surveillance de masse s’étendrait désormais à nos rues : tous les visages filmés par les 75 000 caméras de vidéosurveillance françaises pourraient être analysés sur simple autorisation du Premier ministre, afin de retrouver des personnes recherchées pour terrorisme. Cette apparente limitation aux menaces terroristes ne doit rassurer personne : la police et les services de renseignement qualifient seuls ce qui relève du terrorisme, sans le contrôle préalable d’un juge, ce qui permet déjà de viser des militants politiques (relire notre analyse concernant la censure des mouvements sociaux). Surtout, qu’elle soit soupçonnée ou non de terrorisme, l’ensemble de la population aurait son visage analysé, soumis à un contrôle d’identité invisible et permanent.

Un second amendement, signé par 19 sénateurs, propose déjà d’étendre ce système au-delà des seules menaces terroristes afin d’identifier toutes les personnes fichées dans le FAED (fichier automatisé des empreintes digitales – qui recueille aussi des photos de face des « relevés de signalétiques ») et le fichier des personnes recherchées, pour n’importe quelle finalité.

Ces initiatives n’ont rien de bien nouveau (c’est un classique de la droite la plus dure) et il faut espérer que ces amendements ne survivent pas bien longtemps tant ils sont liberticides et contraires à la Constitution et au droit européen (les signataires de ces amendements ignorent manifestement l’exigence de « nécessité absolue » requise par la directive 2016/680 en matière de biométrie). Hélas, peu importe que ces amendement perdurent ou non, car l’important soutien qu’ils ont reçu suffit à établir un terrible rapport de force : alors que, depuis plusieurs mois, une large partie de la population dénonce le risque que la vidéosurveillance et les caméras-piétons n’aboutissent à un système de reconnaissance faciale généralisée, Les Républicains (et leurs alliés centristes) tentent de s’approprier ce thème autoritaire pour en faire leur horizon politique immédiat.

En contraste, cette offensive autoritaire spectaculaire permet aux rapporteurs du texte, MM. Hervé et Daubresse, de se donner des airs de modérés à peu de frais. Ainsi leurs amendements sur les drones, les caméras-piétons et l’extension de la vidéosurveillance valident les objectifs répressifs de Gérald Darmanin en les saupoudrant de « garde-fous » de façade qui ne changent rien aux critiques politiques et juridiques si nombreuses à faire contre ce texte.

Dans ces conditions, difficile d’espérer un débat législatif capable de prendre en compte nos libertés. Comme trop souvent, il faudra très certainement se tourner vers le Conseil constitutionnel ou d’autres juridictions pour espérer cela, ou rejoindre le niveau européen par la pétition en cours contre la biométrie policière. En attendant, on peut saluer les amendements de la gauche qui, en minorité, propose de retirer l’autorisation des drones et de suspendre pendant 2 ans tous les dispositifs d’analyse biométrique automatisée.

Nous nous retrouverons demain dans la matinée pour suivre et commenter le vote du texte en commission. Comme pour souligner l’ampleur de l’offensive sécuritaire que nous subissons actuellement, ce vote sera suivi par l’audition de Gérald Darmanin, de Marlène Shiappa et d’Éric Dupond-Moretti sur la loi « séparatisme » – l’autre grande loi autoritaire qui vise, entre autres choses, à renforcer les pouvoirs du gouvernement pour dissoudre et entraver les associations militantes (voir notre position).

]]> https://www.laquadrature.net/?p=16970http://isyteck.com/autoblog/quadrature/index.php5?20210301_135838_Partage_de_donnees____les_services_de_renseignement_violent_la_ConstitutionMon, 01 Mar 2021 12:58:38 +0000La Quadrature du Net vient de demander au Conseil d’État de saisir le Conseil constitutionnel d’une Question prioritaire de constitutionnalité (QPC) contre une disposition de la loi renseignement, l’article L. 863-2 du code de la sécurité intérieure. Comme le révélait le journal Le Monde il y a près de deux ans, un data-center attenant au siège de la DGSE permet aux services de renseignement d’échanger des données collectées dans le cadre de leurs activités de surveillance, et ce en contournant certaines des garanties inscrites dans la loi renseignement, déjà bien maigres. Ces activités illégales posent de nouveau la question de l’impunité des responsables du renseignement français, et des autorités de contrôle qui les couvrent.

En juin 2019, La Quadrature déposait un recours au Conseil d’État contre « l’entrepôt », dont l’existence venait d’être révélée dans la presse. Comme nous l’expliquions alors, « les activités de surveillance relèvent de régimes plus ou moins permissifs », avec des garanties plus ou moins importantes accordées aux droits fondamentaux selon les régimes.

Autant de garanties écartées d’un revers de main dès lors que les données sont versées dans ce pot commun dans lequel peuvent potentiellement venir piocher des dizaines de milliers d’agents, relevant de services aux compétences et aux missions très diverses (TRACFIN, douanes, direction du renseignement de la préfecture de police de Paris, bureau central du renseignement pénitentiaire, ANSSI, service central du renseignement territorial, etc.). En pratique, l’entrepôt permet à un service donné d’accéder à des données qu’il n’aurait légalement pas le droit de collecter et d’exploiter dans le cadre des procédures prévues par la loi.

Ces échanges de données se fondent sur une disposition inscrite en 2015 dans la loi renseignement : l’article L. 863-2 de code de la sécurité intérieure. Or, celui-ci ne fournit aucun encadrement spécifique : le législateur s’était alors défaussé en renvoyant à un décret d’application, mais celui-ci n’est jamais paru. Une source du Monde évoquait pour s’en expliquer un « défaut de base constitutionnelle ». Or, c’est bien à la loi d’encadrer ces pratiques, raison pour laquelle l’article L. 863-2 est tout simplement inconstitutionnel.

Depuis l’introduction de notre recours devant le Conseil d’État, des rapports parlementaires sont venus corroborer les révélation du Monde. Dans le rapport d’activité 2019 publié l’été dernier, la Délégation parlementaire au renseignement note ainsi :

(…) il ressort des travaux conduits par la délégation que l’absence de cadre réglementaire n’a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c’est-à-dire d’extractions et de transcriptions, mais également de renseignements collectés, c’est-à-dire de données brutes recueillies dans le cadre d’une technique de renseignement.

La délégation a ainsi été informée de l’existence d’une procédure dite d’extension, qui permet la communication de transcriptions effectuées au sein du GIC [le Groupement interministériel de contrôle] à un service autre que celui qui a fait la demande initiale de technique de renseignement (…). La délégation regrette de n’avoir pu obtenir, en revanche, d’informations plus précises sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de données brutes.

Dans ce rapport, la Délégation parlementaire au renseignement estimait également « urgent qu’un encadrement précis de ces échanges soit réalisé », notant à juste titre que « le renvoi simple à un décret pourrait se révéler insuffisant et placer le législateur en situation d’incompétence négative ».

Nous espérons que le Conseil d’État acceptera de transmettre notre QPC au Conseil constitutionnel afin de que celui-ci mette fin à cette violation manifeste de la Constitution, malheureusement caractéristique du renseignement français. Un autre exemple flagrant d’illégalité est le partage de données entre les services français et leurs homologues étrangers, qui porte sur des volumes colossaux et n’est nullement encadré par la loi. Pire, celle-ci interdit explicitement à la CNCTR, la commission de contrôle des activités de surveillance des services, de contrôler ces activités.

L’illégalité persistante du renseignement français et l’impunité dont bénéficient ses responsables sont d’autant plus problématiques que l’espionnage politique constitue désormais une priorité assumée des services de renseignement la surveillance des groupes militants ayant vu sa part plus que doubler entre 2017 et 2019 (passant de 6 à 14% du total des mesures de surveillance autorisées).

Téléchargez notre mémoire QPC

]]> https://www.laquadrature.net/?p=16570http://isyteck.com/autoblog/quadrature/index.php5?20210228_101800_L___Internet_des_personnesSun, 28 Feb 2021 09:18:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Monde connecté.

Nous vivons dans un monde connecté. Que nous le voulions ou non, nous vivons dans des sociétés construites par la réduction du coût de connexion entre les personnes, les ressources et les idées. Connecter des choses, c’est établir un lien entre celles-ci afin de transférer de l’information entre elles. Connecter des choses, c’est leur permettre de s’influencer mutuellement via la transmission de cette information. C’est permettre à ces entités de prendre en compte l’autre et d’adapter son comportement aux conditions par l’intermédiaire de boucles de rétroaction. Ces boucles de rétroactions sont des informations sur l’état du système utilisé pour adapter son comportement. Par exemple, un radiateur adapte son comportement en fonction de la consigne de température que lui fournit le thermostat, et, dans le même temps, le thermostat modifie sa consigne en fonction de la température de la pièce dans laquelle il se trouve.

L’étude de ces connexions et de leur fonctionnement est décrite par la cybernétique. Cette science analytique permet de décrire un système non pas par ses composants internes, mais par ses connexions à son environnement. La fonction, et donc la place dans le monde, d’une entité se fait par les connexions de celle-ci aux autres. C’est-à-dire que la fonction est définie par l’ensemble des connexions d’une entité. Il n’est pas possible pour un radiateur de maintenir une température de 19°C sans connexion à un système de mesure de température par exemple, et il ne peut donc pas remplir sa fonction.

Afin de simplifier ces connexions, on utilise des standards formels. Le radiateur sait qu’il n’est pas encore arrivé à température parce qu’il n’a pas reçu un signal très spécifique qui lui est adressé. Et c’est cette description des méthodes de connexion qu’on appelle un protocole. Pour que la connexion s’établisse, il faut que les parties impliquées sachent comment échanger des informations et comment décoder celles qu’elles reçoivent. Le protocole utilisé pour une connexion va donc définir les types d’informations, et la fonction des parties impliquées dans ces échanges.

Ces protocoles sont souvent empilés les uns dans les autres, afin de pouvoir multiplier les niveaux de communication et d’information. Par exemple, pour lire cet article, vous vous êtes connectés avec votre machine, utilisant un système d’affichage et d’écriture — une interface humain·e-machine, pilotée par le système d’exploitation de votre machine et qui alloue différentes ressources (affichage, mémoire interne, etc.) à votre connexion. Il établit également d’autres connexions avec les éléments matériels de votre machine — processeurs, mémoire vive, périphériques de stockages — qui sont ensuite connectés entre eux par d’autres protocoles, etc. De la même façon, votre ordinateur est également connecté par une carte réseau à un point d’accès Internet, en utilisant un protocole — avec ou sans fil (au rang desquels le Wifi, mais aussi la 4G par exemple), cet appareil est lui-même connecté à un répartiteur, connecté à un cœur de réseau, puis à un entrepôt de données, et ainsi de suite, jusqu’à ce que, de connexion en connexion, de protocoles imbriqués les uns dans les autres, vous ayez établi un lien jusqu’à cet article et qu’il puisse s’afficher sur votre écran afin que vous puissiez le lire.

Cette imbrication de protocoles permet à des appareils ayant des fonctions différentes de pouvoir travailler collectivement et former une entité plus grande qu’eux, fournissant une interface plus souple sur laquelle agir. On ne s’occupe que rarement des détails des connexions entre votre carte graphique et votre processeur par exemple, mais on sait qu’il est possible de s’en servir pour afficher n’importe quel texte ou n’importe quelle image, animée ou non, sans se soucier de respecter très strictement un protocole spécifique.

Ce travail collaboratif n’est rendu possible que parce que ces protocoles sont disponibles pour tous. N’importe qui désirant connecter quelque chose à Internet peut le faire, et ce sans demander une certification préalable. Il est même possible de ne pas respecter l’intégralité du protocole défini ou de vouloir s’attaquer à l’intégrité de ce réseau. C’est un bon moyen de ne pas se faire apprécier des autres personnes connectées à Internet, mais il est possible de le faire, car le protocole nécessaire (IP dans sa version 4 ou 6) est ouvert, documenté, standardisé, et suffisamment simple pour faire en sorte que n’importe quelle machine puisse le parler. Ce protocole IP permet de transporter des données entre deux machines connectées entre elles, en ne précisant que peu de choses sur le contenu de la donnée elle-même.

À l’inverse, le protocole HTTP, que vous avez utilisé avec votre navigateur, est un protocole plus complexe, autorisant plus de choses, mais plus sensible aux erreurs. C’est un protocole de type client-serveur, dans lequel un client demande une ressource à un serveur, serveur qui la restitue ensuite au client. HTTP ne s’occupe pas de savoir comment la donnée est transmise, c’est le rôle d’IP (et de son siamois TCP) pas le sien. Ce n’est pas non plus son rôle de mettre en page le contenu, c’est celui du navigateur qui, en utilisant le protocole (x)HTML pourra afficher correctement le texte, et créer des liens entre eux. Le standard (x)HTML a une fonction structurante et se base lui-même sur un autre protocole, appelé XML, et ainsi de suite.

Internet des cultures

Dans notre vie quotidienne, nous utilisons des protocoles de haut niveau, et relativement bien définis, pour communiquer les uns avec les autres. Les conventions sociales et culturelles, par exemple celle de serrer la main ou de s’embrasser, varient d’un endroit à l’autre. Ce sont ces conventions sociales que les parents essayent d’inculquer à leurs enfants, afin que ces derniers puissent comprendre le monde dans lequel ils grandissent. Ce sont aussi ces conventions sociales qui amènent à la structure du langage naturel, des langues que nous utilisons pour parler les uns aux autres et faire société ensemble. Ces protocoles permettent de décrire des choses beaucoup plus complexes et abstraites que ne le peuvent les systèmes numériques, mais décrivent tout autant la personne qui en fait usage. Un des exemples qui me vient en tête est le vouvoiement. C’est un protocole typiquement français que les anglo-saxons, par exemple, ne comprennent pas, et qui les amène à faire de nombreuses erreurs protocolaires, nous poussant parfois à les considérer comme malpolis. Du moins, pour les personnes reconnaissant la pertinence de ce protocole.

Notre pensée et notre langue sont inextricablement liées. Sans nécessairement chercher à résoudre qui de la langue et de la pensée arrive en premier, la langue que l’on utilise reflète notre pensée. Les protocoles que j’utilise au quotidien pour communiquer avec les autres sont définis par une part commune de nos pensées, cette partie qui constitue la culture. La connexion entre nous nous permet de partager partiellement nos pensées, et la dialectique, par exemple, est un des protocoles que l’on peut utiliser pour communiquer de manière structurée avec les autres. Cela nécessite que le champ lexical disponible, la grammaire utilisée, les éléments descriptifs des protocoles donc, limitent les pensées que l’on peut échanger. C’est toute la difficulté de la pédagogie par exemple, il faut transmettre une idée à quelqu’un qui ne la connaît pas, et donc formaliser l’échange. C’est pour cette raison que, dans de nombreux domaines, des jargons apparaissent, transcendant parfois les langues locales des personnes, afin de permettre une transmission de connaissance. C’est aussi la standardisation de la langue qui est, par exemple, au cœur des préoccupations d’Orwell lorsqu’il décrit la novlangue dans 1984. C’est une langue très appauvrie, ne contenant qu’un nombre limité de mots et de fonctions, et qui rend, de fait, coûteuse la discussion sur des sujets politiques. Comment parler de liberté si vous n’avez pas de mots pour décrire ce concept autre que penséecrime ? Il vous faudra l’expliquer avec cette langue commune, contenant peu de mots, lui associant ensuite un mot que seuls vous et votre interlocuteur·rice connaîtrez. Et il faudra recommencer à chaque fois que vous voulez expliquer votre idée à quelqu’un·e d’autre.

Contrôler la langue permet donc de contrôler les échanges entre les personnes, leurs dialogues et leur rapport au monde. La langue française a, par exemple, été ainsi standardisée par l’Académie Nationale au XVII° siècle et est, depuis, au centre de nombreux combats entre conservateurs et réformateurs, notamment sur le rôle de l’académie dans la mise en avant du genre masculin par défaut (contrairement à l’anglais par exemple, ou à de nombreuses langues) ou s’opposant à la modernisation de la langue. Il n’est d’ailleurs pas innocent que cette académie ait été créée par Richelieu afin d’étendre son influence sur la société française de l’époque.

Contrôler les protocoles de communications permet donc de contrôler l’échange d’information entre individus. C’est conscientes de ce pouvoir que les personnes qui ont participé à la création et à l’émergence d’Internet ont fait attention à créer des protocoles agnostiques, c’est à dire dont le comportement ne change pas en fonction du contenu. C’est le principe à la base de la neutralité des réseaux. C’est une neutralité idéologique — le réseau ne prend pas parti pour tel ou tel contenu —, mais pas une neutralité sociale. L’existence de réseaux interconnectés qui utilisent ces protocoles agnostiques rend possible l’échange d’une multitude d’informations, et permet donc de laisser aux personnes le contrôle sur leurs connexions avec leurs pairs. La gestion collective de ce bien commun mondial qu’est ce réseau de réseaux n’est rendue possible que parce que les protocoles utilisés, et leur ouverture, permettent à tout le monde de participer à sa gouvernance. Et le fonctionnement des organes de gouvernance dont s’est doté ce réseau obéissent aussi à des protocoles précis et détaillés, garantissant que leur contrôle ne pourra pas tomber directement entre les mains d’un seul acteur hégémonique.

Émergence des titans

Les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ont cependant, petit à petit, rachat par rachat, infiltré et pris le contrôle partiel de ces organes. Sous couvert d’améliorer la sécurité des personnes, de réduire la pollution ou de lutter contre la contrefaçon, ils ont transformé ces protocoles agnostiques en portail de validation et d’identification. Plus moyen d’envoyer un mail à Google sans avoir au préalable installé des protocoles ayant pour but de montrer patte blanche. Plus moyen de pouvoir poster un message sur Facebook en utilisant une application non officielle. En vendant les mythes de la performance, de la nécessité d’avoir des contenus dans des définitions supérieures à celle que peut détecter notre œil et de l’instantanéité, les GAFAM ont créé des silos étanches, auxquels on ne peut se connecter qu’en utilisant leurs protocoles.

Ces silos — ces plateformes — permettent aux GAFAM de contrôler nos connexions avec les autres, leur permettant non pas de savoir qui nous sommes, mais bel et bien de décider comment l’on pense. Cela se voit aussi bien par la suppression de certains propos politiques, tout en faisant la promotion de contenus de haine, que par l’enfermement des personnes travaillant dans cet écosystème à n’utiliser que des protocoles dont la fonction est de rendre financièrement rentable la captation des utilisateur·rices. Si j’ai un marteau en main, mes problèmes tendent à ressembler à des clous dit-on. Si j’ai en main un protocole de surveillance, de mesure et de contrôle de la pensée, alors tous mes problèmes deviennent des problèmes de quantification et d’analyse de données.

D’un ensemble vivant et évoluant sans cesse, décrit par des protocoles permettant de ne pas hiérarchiser ou classifier le contenu et les idées, nous avons une novlangue protocolaire écrite par les GAFAM et dont le seul but et de promouvoir leurs visions conservatrices et capitalistes¹Okhin – La Quadrature du Net, « De la modération », 22 juil. 2019, https://www.laquadrature.net/2019/07/22/de-la-moderation/. Il ne m’est pas possible de quitter Facebook, car j’entretiens des connexions avec des personnes qui y sont, et que, de fait, je suis présent sur Facebook, sans même y avoir de compte. Il n’est pas possible de trouver une plateforme alternative, car l’on se retrouve alors avec le même problème : une plateforme qui va se retrouver en charge de choisir les connexions qu’elle effectue avec le monde, et donc de décider comment les personnes qui utilisent ses services voient le monde et se définissent. Ces plateformes alternatives, utilisant souvent une gouvernance fédérée (partagée entre les participant·es et acteurs de la plateforme), sont un premier pas intéressant, mais qui utilise toujours les outils des GAFAM : des protocoles chargés de trier le bon contenu du mauvais, en rendant obligatoire l’utilisation de contrôle d’accès par exemple, ou en favorisant les contenus largement demandés aux autres et en perpétuant la chasse aux Likes et autres Retweet.

La solution est la suppression des plateformes. Il nous faut réutiliser des protocoles agnostiques, ne requérant pas de certification préalable, permettant à n’importe quelle machine participant au réseau d’être acteur de celui-ci et non un simple consommateur de données. Ces protocoles existent déjà : ce sont tous les protocoles fonctionnant en pair-à-pair. Le protocole BitTorrent, par exemple, permet de s’échanger des fichiers sans passer par un serveur central. Avec l’avantage supplémentaire que, à chaque fois que je veux lire le contenu de ce fichier, je n’ai besoin ni d’être connecté à Internet ni de retélécharger intégralement le fichier (ce qui est le cas des plateformes de streaming par exemple). Le fonctionnement en pair-à-pair permet également de mobiliser l’ensemble des ressources des participant·es du réseau, au lieu du modèle actuel dans lequel nos machines sont passives le plus clair de leur temps.

Effectivement, la surveillance des connexions, sans plateformes par laquelle on peut passer, rend complexe et coûteuse l’observation des groupes sociaux. Mais ces systèmes en pair-à-pair permettent à chacun de pouvoir se déterminer, en fonction des liens qu’il entretient avec le monde, liens qui reviennent partiellement sous son contrôle dans un tel modèle. Cet internet des protocoles permet de pouvoir penser librement, de se définir comme on l’entend, de se documenter sur le monde pour essayer de le comprendre, sans s’inféoder aux décisions politiques et arbitraires d’entités ne rendant de compte à personne d’autre que leurs investisseurs et actionnaires.

References[+]

↑1	Okhin – La Quadrature du Net, « De la modération », 22 juil. 2019, https://www.laquadrature.net/2019/07/22/de-la-moderation/

]]> https://www.laquadrature.net/?p=16959http://isyteck.com/autoblog/quadrature/index.php5?20210223_131407_Technopolice____Mise_a_jour_de_la_TechnocarteTue, 23 Feb 2021 12:14:07 +0000Ce article a été d’abord publié sur le blog de notre site de campagne Technopolice.

Ce mois de février, on lance la saison 2 de la campagne Technopolice. Depuis un an et demi que la campagne est lancée, le déploiement de la technopolice sur les territoires gagne toujours plus en intensité et la crise sanitaire n’a fait qu’aggraver les choses.

La semaine dernière, nous avons publié notre argumentaire juridique contre la proposition de loi « Sécurité globale ». En intensifiant la vidéosurveillance fixe, en permettant le déploiement des drones, des « caméras embarquées » et des caméras piétons, en facilitant l’analyse de ces images, cette loi veut inscrire la surveillance automatisée dans notre quotidien.

Aujourd’hui, nous mettons à jour la Technocarte : une nouvelle charte visuelle, et des filtres spécifiques suivant les types de dispositifs que nous avons identifiés : caméras thermiques, caméras parlantes, drones, etc. — bref, toujours des caméras partout et des libertés nulle part. Cet outil est toujours appelé à s’améliorer, n’hésitez pas à nous donner des idées sur le forum.

Dans les semaines à venir, nous détaillerons les autres outils développés et utilisés depuis un an dans notre campagne : nos demandes d’accès aux documents d’abord et notre plateforme de fuite de documents ensuite.

Retrouvez la carte ici !

]]> https://www.laquadrature.net/?p=16941http://isyteck.com/autoblog/quadrature/index.php5?20210222_141630_La_technopolice_aux_frontieresMon, 22 Feb 2021 13:16:30 +0000Comment le business de la sécurité et de la surveillance au sein de l’Union européenne, en plus de bafouer des droits fondamentaux, utilise les personnes exilées comme laboratoire de recherche, et ce sur des fonds publics européens.

On a beaucoup parlé ici ces derniers mois de surveillance des manifestations ou de surveillance de l’espace public dans nos villes, mais la technopolice est avant tout déployée aux frontières – et notamment chez nous, aux frontières de la « forteresse Europe ». Ces dispositifs technopoliciers sont financés, soutenus et expérimentés par l’Union européenne pour les frontières de l’UE d’abord, et ensuite vendus. Cette surveillance des frontières représente un marché colossal et profite grandement de l’échelle communautaire et de ses programmes de recherche et développement (R&D) comme Horizon 2020.

Roborder – des essaims de drones autonomes aux frontières

C’est le cas du projet Roborder – un « jeu de mots » entre robot et border, frontière en anglais. Débuté en 2017, il prévoit de surveiller les frontières par des essaims de drones autonomes, fonctionnant et patrouillant ensemble. L’intelligence artificielle de ces drones leur permettrait de reconnaître les humains et de distinguer si ces derniers commettent des infractions (comme celui de passer une frontière ?) et leur dangerosité pour ensuite prévenir la police aux frontières. Ces drones peuvent se mouvoir dans les airs, sous l’eau, sur l’eau et dans des engins au sol. Dotés de multiples capteurs, en plus de la détection d’activités criminelles, ces drones seraient destinés à repérer des « radio-fréquences non fiables », c’est-à-dire à écouter les communications et également à mesurer la pollution marine.
Pour l’instant, ces essaims de drones autonomes ne seraient pas pourvus d’armes. Roborder est actuellement expérimenté en Grèce, au Portugal et en Hongrie.




Un financement européen pour des usages « civils »

Ce projet est financé à hauteur de 8 millions d’euros par le programme Horizon 2020 (subventionné lui-même par la Cordis, organe de R&D de la Commission européenne). Horizon 2020 représente 50% du financement public total pour la recherche en sécurité de l’UE. Roborder est coordonné par le centre de recherches et technologie de Hellas (le CERTH), en Grèce et comme le montre l’association Homo Digitalis le nombre de projets Horizon 2020 ne fait qu’augmenter en Grèce. En plus du CERTH grec s’ajoutent environ 25 participants venus de tous les pays de l’UE (où on retrouve les services de police d’Irlande du Nord, le ministère de la défense grecque, ou encore des entreprises de drones allemandes, etc.).

L’une des conditions pour le financement de projets de ce genre par Horizon 2020 est que les technologies développées restent dans l’utilisation civile, et ne puissent pas servir à des fins militaires. Cette affirmation pourrait ressembler à un garde-fou, mais en réalité la distinction entre usage civil et militaire est loin d’être clairement établie. Comme le montre Stephen Graham, très souvent les technologies, à la base militaires, sont réinjectées dans la sécurité, particulièrement aux frontières où la migration est criminalisée. Et cette porosité entre la sécurité et le militaire est induite par la nécessité de trouver des débouchés pour rentabiliser la recherche militaire. C’est ce qu’on peut observer avec les drones ou bien le gaz lacrymogène. Ici, il est plutôt question d’une logique inverse : potentiellement le passage d’un usage dit « civil » de la sécurité intérieure à une application militaire, à travers des ventes futures de ces dispositifs. Mais on peut aussi considérer la surveillance, la détection de personnes et la répression aux frontières comme une matérialisation de la militarisation de l’Europe à ses frontières. Dans ce cas-là, Roborder serait un projet à fins militaires.

De plus, dans les faits, comme le montre The Intercept, une fois le projet terminé celui-ci est vendu. Sans qu’on sache trop à qui. Et, toujours selon le journal, beaucoup sont déjà intéressés par Roborder.

IborderCtrl – détection d’émotions aux frontières

Si les essaims de drones sont impressionnants, il existe d’autres projets dans la même veine. On peut citer notamment le projet qui a pour nom IborderCtrl, testé en Grèce, Hongrie et Lettonie.

Il consiste notamment en de l’analyse d’émotions (à côté d’autres projets de reconnaissances biométriques) : les personnes désirant passer une frontière doivent se soumettre à des questions et voient leur visage passer au crible d’un algorithme qui déterminera si elles mentent ou non. Le projet prétend « accélérer le contrôle aux frontières » : si le détecteur de mensonges estime qu’une personne dit la vérité, un code lui est donné pour passer le contrôle facilement ; si l’algorithme considère qu’une personne ment, elle est envoyée dans une seconde file, vers des gardes-frontières qui lui feront passer un interrogatoire. L’analyse d’émotions prétend reposer sur un examen de « 38 micro-mouvements du visage » comme l’angle de la tête ou le mouvement des yeux. Un spectacle de gadgets pseudoscientifiques qui permet surtout de donner l’apparence de la neutralité technologique à des politiques d’exclusion et de déshumanisation.

Ce projet a également été financé par Horizon 2020 à hauteur de 4,5 millions d’euros. S’il semble aujourd’hui avoir été arrêté, l’eurodéputé allemand Patrick Breyer a saisi la Cour de justice de l’Union Européenne pour obtenir plus d’informations sur ce projet, ce qui lui a été refusé pour… atteinte au secret commercial. Ici encore, on voit que le champ « civil » et non « militaire » du projet est loin de représenter un garde-fou.

Conclusion

Ainsi, l’Union européenne participe activement au puissant marché de la surveillance et de la répression. Ici, les frontières et les personnes exilées sont utilisées comme des ressources de laboratoire. Dans une optique de militarisation toujours plus forte des frontières de la forteresse Europe et d’une recherche de profit et de développement des entreprises et centres de recherche européens. Les frontières constituent un nouveau marché et une nouvelle manne financière de la technopolice.

Les chiffres montrent par ailleurs l’explosion du budget de l’agence européenne Frontex (de 137 millions d’euros en 2015 à 322 millions d’euros en 2020, chiffres de la Cour des comptes européenne) et une automatisation toujours plus grande de la surveillance des frontières. Et parallèlement, le ratio entre le nombre de personnes qui tentent de franchir la Méditerranée et le nombre de celles qui y laissent la vie ne fait qu’augmenter. Cette automatisation de la surveillance aux frontières n’est donc qu’une nouvelle façon pour les autorités européennes d’accentuer le drame qui continue de se jouer en Méditerranée, pour une « efficacité » qui finalement ne profite qu’aux industries de la surveillance.

Dans nos rues comme à nos frontières nous devons refuser la Technopolice et la combattre pied à pied !

Cet article a été initialement publié sur le site technopolice

]]> https://www.laquadrature.net/?p=16925http://isyteck.com/autoblog/quadrature/index.php5?20210217_110754_Contre_la_surveillance_biometrique_de_masse____signez_la_petition_europeenneWed, 17 Feb 2021 10:07:54 +0000Le collectif « Reclaim your Face », lance aujourd’hui sa campagne contre la surveillance biométrique et notamment la reconnaissance faciale. « Reclaim Your Face » est composé de plus de quarante associations de défense des libertés et menée par l’organisation européenne EDRi. Cette campagne prend la forme d’une « initiative citoyenne européenne » : il s’agit d’une pétition institutionnelle visant à recueillir 1 million de signatures au sein de plusieurs pays de l’Union européenne pour demander à la Commission d’interdire les pratiques de surveillance biométrique de masse
Cliquez ici pour signer la pétition

En décembre 2019, l’OLN, accompagnée de 124 organisations, demandait déjà l’interdiction de la reconnaissance faciale sécuritaire. Nous avions souligné les dangers de cette technologie : le risque d’une surveillance permanente et invisible de l’espace public, nous transformant en une société de suspect·es et réduisant nos corps à une fonction de traceurs constants pour abolir l’anonymat dans l’espace public.

La surveillance biométrique ne se limite pas à la reconnaissance faciale. Un an après, notre demande d’interdiction n’a pas abouti et les techniques de surveillance biométrique se sont multipliées, notamment dans le contexte de la crise sanitaire. Alors que la police continue d’utiliser de façon massive la reconnaissance faciale à travers le fichier des Traitements des Antécédents Judiciaires (TAJ), plusieurs villes et administrations ont déployé des dispositifs de contrôle de température, de détection de port du masque ou des projets de vidéosurveillance intelligente pour suivre et tracer les mouvements sociaux.

La France n’est malheureusement pas le seul pays où se développe cette surveillance biométrique. En Italie, en Serbie, en Grèce ou aux Pays-Bas, l’État déploie plusieurs dispositifs qui promettent à l’Europe un avenir de surveillance automatisée permanente.

Des batailles contre la société de contrôle se jouent donc aujourd’hui : dans les mobilisations sociales contre les projets de loi sécuritaires, dans la lutte contre l’opacité qui entoure le déploiement de ces techniques, dans les tribunaux où sont contestées ces expérimentations de surveillance.

Chaque initiative compte. Cette pétition européenne a pour objectif de montrer le refus populaire massif et d’imposer un débat sur l’arrêt du déploiement de ces outils de contrôle, et nous l’espérons permettra d’obtenir un texte protecteur à l’échelle de l’Union européenne.

C’est un combat important contre des futurs où nos corps et nos comportement seraient en permanence scannées.

Demandons donc ensemble l’interdiction formelle de la surveillance biométrique : de la reconnaissance faciale sécuritaire, de l’analyse des émotions et des comportements par la vidéosurveillance, des prédictions automatisées en raison de caractéristiques physiques, de l’analyse automatisée biométrique de nos profils sur les réseaux sociaux, de l’analyse automatique de nos voix et de nos comportements pour nous contrôler.

Pour rejoindre cette lutte, nous vous invitons donc à signer et à relayer cette pétition sur la page de campagne de la Coalition Reclaim Your Face : https://reclaimyourface.eu/fr/

Cliquez ici pour signer la pétition

Organisations signataires relais de la campagne en France

Organisations membres de l’OLN :

La Quadrature du Net (LQDN),
La Ligue des Droits de l’Homme (LDH),
Le Syndicat de la Magistrature (SM).
Le Syndicat des Avocats de France (SAF),
Le CECIL,
Creis-Terminal,
Globenet,

Ainsi que :

Le Mouton Numérique,
Lève les yeux,
Attac,
Sciences Critiques.

Pour aller plus loin :

Le communiqué de lancement d’EDRi traduit en français.

Le texte de l’initiative validé par la Commission européenne et ses annexes disponibles ici en français et reproduit ci-dessous :

« Initiative de la société civile en vue d’une interdiction des pratiques de surveillance biométrique de masse »

Nous exhortons la Commission européenne à réglementer strictement l’utilisation des technologies biométriques afin d’éviter toute atteinte injustifiée aux droits fondamentaux. Nous demandons en particulier à la Commission d’interdire, en droit et en pratique, les utilisations indifférenciées ou arbitrairement ciblées de la biométrie pouvant conduire à une surveillance de masse illégale. Ces systèmes intrusifs ne peuvent être développés, mis en place (même à titre expérimental) ou utilisés par des entités publiques ou privées dans la mesure où ils sont susceptibles d’entraîner une atteinte inutile ou disproportionnée aux droits fondamentaux des personnes.

Il apparaît que certaines utilisations de la surveillance biométrique de masse dans les États membres et par des agences de l’UE ont donné lieu à des violations de la législation de l’UE en matière de protection des données et ont indûment restreint les droits des personnes, y compris le droit au respect de la vie privée, le droit à la liberté d’expression, le droit de manifester et le droit à la non-discrimination. Le recours généralisé à la surveillance biométrique, au profilage et à la prédiction constitue une menace pour l’état de droit et pour nos libertés les plus fondamentales.

Par cette ICE, nous prions donc instamment la Commission de proposer un acte juridique qui s’appuiera sur les interdictions générales prévues par le RGPD et la directive en matière de protection des données dans le domaine répressif et respectera pleinement lesdites interdictions, pour faire en sorte que le droit de l’Union interdise explicitement et spécifiquement la surveillance biométrique de masse.

]]> https://www.laquadrature.net/?p=16891http://isyteck.com/autoblog/quadrature/index.php5?20210215_163531_Securite_globale____nos_arguments_juridiquesMon, 15 Feb 2021 15:35:31 +0000L’année 2020 s’était finie en apothéose : après une série de manifestations prodigieuses contre la loi sécurité globale, alors adoptée par l’Assemblée nationale, nous obtenions une victoire décisive devant le Conseil d’État contre les drones. Si le début de l’année 2021 est douloureux, entre un hiver sanitaire qui n’en finit plus et le spectacle raciste lancé avec la loi séparatisme (lire aussi nos craintes pour les libertés associatives), il est temps de relancer l’offensive.

Commençons par la loi sécurité globale, examinée en commission par le Sénat le 3 mars. Afin de corriger l’analyse particulièrement bienveillante de la CNIL envers les dérives sécuritaires du gouvernement, nous envoyons aux sénateurs la nôtre, reproduite ci-dessous, centrée sur les sept articles qui renforceront la surveillance policière. Dans les jours suivants, il nous faudra poursuivre notre combat contre la Technopolice toute entière, tant au niveau local que national, pour aujourd’hui comme pour demain (voir notre mobilisation sur les JO 2024), car cette loi n’est que la première étape d’une longue lutte que nous devrons absolument gagner.

Loi Sécurité Globale – Analyse du titre III « Vidéoprotection et captation d’images »

La Quadrature du Net s’oppose à la proposition de loi « Sécurité Globale » et appelle le Sénat à la rejeter. Par la présente analyse, elle entend démontrer le caractère inconstitutionnel et inconventionnel des dispositions :

• intensifiant la vidéosurveillance fixe (articles 20, 20 bis A, 20 bis et 20 ter) ; et
• autorisant la vidéosurveillance mouvante (articles 21, 22 et 22 bis).

L’ensemble de ces dispositions aura pour effet d’intensifier la reconnaissance faciale.

Ces modifications sont intrinsèquement contraires à la Constitution et au droit européen. Aucune garantie ni aucun aménagement ne saurait les rendre conformes à ces normes supérieures qui s’imposent au législateur. L’ensemble des articles 20 à 22 bis doivent être supprimés, sans quoi nous les soumettrons à l’examen de toute juridiction utile pour les faire censurer et corriger, une fois de plus en la matière, les erreurs de droit qu’elle comporte.

I – Vidéosurveillance fixe

En droit, le Conseil constitutionnel juge que les systèmes de vidéosurveillance affectent la liberté d’aller et venir, le droit à la vie privée ainsi que l’inviolabilité du domicile, protégés par les articles 2 et 4 de la Déclaration des droits de l’Homme et du citoyen de 1789, et ne peuvent donc être conformes à la Constitution qu’en respectant de strictes garanties (Cons. constit., 94-352 DC, 18 janvier 1995, §§ 3 et 4). Il souligne aussi que des mesures de surveillance généralisée sont susceptibles de porter atteinte à la liberté d’expression et de manifestation (Cons. const., 27 décembre 2019, 2019-796 DC, § 83).

La Cour de justice de l’Union européenne juge que « l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel » (CJUE, C-212/13, 11 décembre 2014, §22) dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (la Charte) et qui, à ce titre aussi, ne peut être traitée que dans de strictes limites, notamment définies par la directive 2016/680 (dite « police-justice »).

En l’espèce, les articles 20 à 20 ter intensifieraient la vidéosurveillance bien au-delà des limites définies par la Constitution et le droit européen, sur quatre points.

A – Défaut de nécessité

En droit, une disposition ne peut porter atteinte aux libertés fondamentales que si cette atteinte est nécessaire à l’objectif qu’elle prétend poursuivre. Il s’agit d’une des garanties exigées par la Constitution en matière de vidéosurveillance. De même, la Cour européenne des droits de l’Homme (CEDH) considère qu’une atteinte au droit à la vie privée n’est justifiée que « si elle est proportionnée au but légitime poursuivi et si les motifs invoqués par les autorités nationales pour la justifier apparaissent « pertinents et suffisants » » (cf. CEDH, 4 décembre 2008, S et Marper c. Royaume-Uni, n°30562/04 et 30566/04, § 101). De même, l’article 4 de la directive police-justice exige que tout traitement de surveillance policière « soit nécessaire et proportionné » à la lutte contre les infractions et les atteintes à la sécurité publique.

En l’espèce, il faut souligner que, depuis son autorisation en 1995, la nécessité et l’efficacité de la vidéosurveillance contre les infractions et les atteintes à la sécurité publique n’ont jamais été démontrées. Bien au contraire, les seules études concrètes déplorent qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de délinquance commis sur la voie publique » (Cour des comptes, Les polices municipales, octobre 2020).

En conclusion, la proposition de loi devrait corriger le dispositif actuel de vidéosurveillance pour en réduire largement ou totalement le champ d’application. Or, en l’état actuel du texte, non seulement cette proposition de loi ne réduit pas au strict nécessaire le dispositif existant, mais au contraire elle l’intensifie. Si le dispositif de base est disproportionné, son extension l’est d’autant plus et viole les normes supérieures de ce seul fait.

B – Surveillance des lieux privés

En droit, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5). Ainsi, en 2010, le Conseil constitutionnel n’a pas hésité à censurer une disposition qui autorisait la police à accéder aux images de caméras de hall d’immeubles dès lors que surviennent « des événements ou des situations susceptibles de nécessiter l’intervention des services de police ou de la gendarmerie » (Décision 2010-604 du 25 février 2010).

En l’espèce, une loi de 2011 a réintroduit la disposition censurée en 2010 en tentant de la corriger par une condition un peu plus limitée : la transmission d’image n’est plus permise qu’en présence « de circonstances faisant redouter la commission imminente d’une atteinte grave aux biens ou aux personnes ». Hélas, le Conseil constitutionnel n’a jamais eu l’occasion de trancher si cette modification suffirait pour rendre le dispositif conforme à la Constitution.

Pourtant, l’article 20 bis de la présente proposition de loi supprimerait cette limitation de 2011 pour revenir à une situation quasi-identique à celle censurée en 2010. Les images pourraient être transmises en cas de simple « occupation par des personnes qui entravent l’accès et la libre circulation des habitants ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux ». La condition de « nuisance à la tranquillité des lieux » est aussi large, et même davantage, que celle de « situations susceptibles de nécessiter l’intervention de la police ». En pratique, cette nouvelle condition permettrait à tout moment à n’importe quel bailleur, ou à la police, de permettre la transmission en direct des images filmées par les caméras.

En conclusion, une telle disposition reviendrait à autoriser dans des conditions totalement disproportionnées la vidéosurveillance par la police dans les immeubles d’habitation, en contradiction manifeste avec la jurisprudence du Conseil constitutionnel.

C – Extension des personnes ayant accès aux images

En droit, la CJUE juge contraire à la Charte une mesure de surveillance qui « ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données » (CJUE, grande chambre, 8 avril 2014, Digital Rights Ireland et autres, C-293/12, C-594/12, § 62). Cette limitation est indispensable dans la mesure où les risques de dérives et d’abus des mesures de surveillance ainsi que la difficulté du contrôle que peut en faire une autorité indépendante sont proportionnels au nombre de personnes pouvant les mettre en œuvre. Dans son avis du 21 décembre 2020, la Défenseure des droits insiste sur le fait que cette limitation est une garantie centrale pour le respect de la vie privée.

En l’espèce, l’article L252-3 du code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale. La loi sécurité globale étendrait cet accès aux agents :

• de la police municipale et de la ville de Paris (article 20) ;
• des communes, des communautés de communes et des groupements similaires (article 20bisA) ;
• des services de sécurité de la SNCF et de la RATP (article 20 ter).

Aucun élément matériel ni aucune étude concrète n’a été produite pour démontrer la nécessité d’une extension si importante des personnes accédant aux images de vidéosurveillance pour lutter contre les infractions.

En conclusion, cette extension multiplie hors de toute proportion justifiée les risques de détournement et d’abus des mesures de surveillance, tout en diminuant les capacités de contrôle des autorités indépendantes.

D – Délégation à des personnes privées

En droit, le Conseil constitutionnel juge que la nécessité d’une force publique, inscrite à l’article 12 de la DDHC, interdit de déléguer à des personnes privées des compétences de police administrative générale et de surveillance générale de la voie publique (Conseil constit., décision 2011-625 DC du 10 mars 2011).

En l’espèce, l’article 20 ter permet aux agents des services internes de la SNCF et de la RATP d’avoir accès aux images de vidéosurveillance de la voie publique. Il s’agit de salariés de droit privé auxquels serait délégué un pouvoir de surveillance de la voie publique. Les encadrements prévus par la loi, comme le contrôle d’un agent de police ou le nombre limité de finalités, n’altèrent en rien la qualification de délégation à une personne privée d’une mission de surveillance.

En conclusion, la délégation que prévoit l’article 20 ter de la proposition de loi est contraire à la Constitution.

2. Vidéosurveillance mouvante

Les articles 21, 22 et 22 bis concernent le déploiement et l’intensification de la vidéosurveillance mouvante : transmission en temps réel et systématisation des images captées par les caméras-piétons, légalisation des caméras aéroportées et des caméras embarquées. Ces trois types de vidéosurveillance seront examinés ensemble, car elles partagent toutes le fait d’être mobiles : cette seule caractéristique suffit à les rendre irréconciliables avec quatre garanties fondamentales exigées par la Constitution et le droit européen.

A – Défaut de nécessité

En droit, tel qu’exposé précédemment, une atteinte à la vie privée ou à la protection des données personnelles n’est conforme à la Constitution et au droit européen que si elle est strictement nécessaire à la finalité qu’elle poursuit. Plus spécifiquement, l’article 4 de la directive police-justice exige que le traitement de données personnelles réalisé pour lutter contre les infractions et les atteintes à la sécurité publique « soit nécessaire et proportionné » à cette finalité et que les données soient « adéquates, pertinentes et non excessives » au regard de cette finalité.

Plus grave, si les images captées sont des données « sensibles », telles que des données biométriques ou des données pouvant révéler les opinions politiques ou religieuses des personnes filmées, l’article 10 de la directive police-justice, transposé à l’article 88 de la loi informatique et libertés, exige que les autorités démontrent la « nécessité absolue » d’une telle surveillance – autrement dit, la police doit démontrer être dans l’impossibilité matérielle de lutter contre les infractions si elle ne peut pas utiliser ces caméras.

En l’espèce, l’article 21 veut généraliser la captation et la transmission d’images par caméras-piéton. Les articles 22 et 22 bis veulent autoriser les caméras aéroportées (drones) et embarquées (hélicoptères, voitures). Aucune démonstration n’a été réalisée, ni même tentée, quant à la nécessité de déployer de telles caméras pour poursuivre l’une des très nombreuses et larges finalités qu’elles pourraient poursuivre : sécurité des rassemblements de personnes sur la voie publique, constat des infractions, protection des bâtiments…

C’est même le contraire qui commence à apparaître dans la jurisprudence. Dans sa décision du 22 décembre 2020 (décision n° 446155) qui a interdit les drones policiers à Paris, le Conseil d’État a dénoncé que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement dans les circonstances actuelles, en l’absence de recours à des drones » – c’est-à-dire grâce au 35 000 caméras fixes surveillant déjà l’espace public .

De même, si l’objectif premier des caméras-piétons était de « prévenir les incidents susceptibles de survenir au cours des interventions [et de] déterminer les circonstances de tels incidents, en permettant l’utilisation des enregistrements à des fins probatoires » (comme l’expliquait la CNIL dans son rapport de 2015), le gouvernement n’a jamais pris la peine d’évaluer si cet objectif avait été atteint. Pourtant, sans attendre une telle évaluation, l’article 21 prévoit d’étendre considérablement le rôle de ce dispositif en autorisant la transmission des images au centre de commandement, en direct et à la libre initiative de la police et de la gendarmerie, dès lors que celles-ci considèrent que « la sécurité des agents […] ou la sécurité des biens et des personnes est menacée ». La nécessité d’une extension si importante est encore moins démontrée que celle du dispositif initial, qui fait pourtant défaut.

Si la simple « nécessité » des drones est absente, tout autant que celle des caméras par hélicoptère et des caméras-piétons, leur « nécessité absolue » fait entièrement défaut. Pourtant, ces caméras captent régulièrement des données sensibles, ne serait-ce qu’en manifestation où elles ont largement été déployées et où, par définition, toute image captée est susceptible de révéler des opinions politiques.

Pour toute tentative de justification, la police semble mettre en avant certains faits divers où un drone, ou une caméra piéton, aurait plus ou moins facilité son travail. Non seulement le critère de « nécessité » ou de « nécessité absolue » exige bien davantage qu’un simple gain de temps, d’énergie ou une économie de moyens mais, surtout, la loi ne s’écrit pas sur la base d’anecdotes. En effet, face à chaque fait divers en faveur de telle mesure de surveillance, on pourra toujours en opposer un autre témoignant d’un abus, dans un jeu infini et vain d’étalage de faits divers. Au contraire, la loi se pense par la rigueur d’examens systémiques, que le gouvernement a toujours refusé d’entreprendre ici. Ce ne sont pourtant pas les occasions qui lui ont manqué : ces caméras mouvantes ont été déployées pendant des années, de façon illégale, mais suffisamment large pour en évaluer les effets.

Expérimenter l’usage de drones, proposition portée par la CNIL dans son avis sur la proposition de loi, est également voué à la même contradiction flagrante aux normes supérieures qui s’imposent. Premièrement, une telle expérimentation s’est faite illégalement avant que le Conseil d’État ne vienne explicitement interdire l’usage de drones en mai 2020 puis décembre 2020, et la nécessité absolue fait toujours défaut. Deuxièmement, les règles impératives de proportionnalité, dont l’exigence de « nécessité absolue », ne peuvent être contournées par l’introduction sur le papier d’une disposition qui serait dite expérimentale. La directive police-justice ne distingue pas les cas de surveillances expérimentales des autres ; en effet, une telle distinction aurait pour conséquence de vider de leur substance les protections requises par le droit européen.

En conséquence, à défaut d’être nécessaires à la poursuite des finalités qui leur sont associées, et alors qu’ils causent de graves atteintes aux libertés fondamentales tel que démontré ci-après, les dispositifs de caméra mouvante autorisés par la présente proposition de loi ne sauraient l’être sans violer la Constitution et le droit européen, y compris s’ils étaient expérimentaux.

B – Défaut de contrôle préalable

En droit, le Conseil constitutionnel juge, en matière de vidéosurveillance, que le législateur « ne peut subordonner à la diligence de l’autorité administrative l’autorisation d’installer de tels systèmes sans priver alors de garanties légales les principes constitutionnels » protégeant la liberté d’aller et venir, la vie privée et l’inviolabilité du domicile. Le Conseil exige que le législateur prévoie un contrôle préalable extérieur, tel que l’avis préalable d’une commission indépendante ayant pu en examiner la nécessité et la proportionnalité du dispositif (Conseil constit., 94-352 DC, 18 janvier 1995, §§ 6 et 12).

De la même manière, la CJUE exige qu’une mesure de surveillance ne puisse être déployée qu’en faisant l’objet « d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (CJUE, C-511/18, La Quadrature du Net, 6 octobre 2020, §§ 139, 168, 179, 189 et 192).

Ainsi, avant d’installer chaque caméra, une autorité indépendante doit pouvoir examiner si le lieu filmé est surveillé pour des justifications suffisantes propres à ce lieu – telles que la fréquence des infractions qui y surviennent, leur nature, leur gravité et les difficultés particulières que la police y rencontre. C’est ainsi que l’article L252-1 du code de la sécurité intérieure prévoit qu’un dispositif de vidéosurveillance ne peut être autorisé qu’après l’avis d’une commission départementale de vidéoprotection, présidée par un magistrat.

En l’espèce, il est impossible de connaître à l’avance les lieux filmés par une caméras-piéton, aéroportée ou embarquée. La police et la gendarmerie décident seules et sur le vif des lieux à surveiller, en réaction à des situations imprévisibles par nature. La proposition de loi ne prévoit aucune forme de contrôle préalable car, en pratique, il semble effectivement improbable qu’une autorité extérieure puisse examiner en temps réel la nécessité pour un agent d’activer sa caméra ou pour un drone de survoler telle ou telle position.

Cette impossibilité intrinsèque à toute caméra mouvante a des conséquences particulièrement graves : si la police souhaite abuser de ses pouvoirs afin, par exemple, d’envoyer un drone filmer les locaux d’une association, d’un journal ou d’un avocat, ou encore la résidence d’un parlementaire ou d’une personne bénéficiant d’un asile politique, elle pourrait le faire en toute discrétion et en toute autonomie, sans qu’aucune autorité indépendante n’en soit informée. À l’inverse, l’installation de caméra fixe est signalée et examinée par une autorité indépendante à même de dénoncer de telles dérives.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant pas être examinées au préalable par une autorité indépendante, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

C – Défaut d’information

En droit, pour être conforme à la Constitution, une disposition qui autorise un dispositif de vidéosurveillance doit s’assurer « que le public soit informé de manière claire et permanente de l’existence du système de vidéosurveillance ou de l’autorité et de la personne responsable » (Cons. constit., décision 94-352 DC, 18 janvier 1995, § 5).

De même, l’article 13 de la directive police-justice exige que le responsable d’une mesure de surveillance fournisse aux personnes concernées plusieurs informations, telles que l’identité du responsable, les finalités du traitement et le droit d’accéder aux données.

S’agissant des caméras fixes, l’article R252-3 du code de la sécurité intérieure prévoit que chaque dispositif de vidéosurveillance soit accompagné d’une affiche indiquant « le nom ou la qualité et le numéro de téléphone du responsable auprès duquel toute personne intéressée peut s’adresser pour faire valoir le droit d’accès prévu à l’article L. 253-5 ». Seule une information aussi précise et complète permet de garantir le respect des garanties avancées par le Conseil constitutionnel et le droit de l’Union.

En l’espèce, la proposition de loi prévoit que le public devrait être informé de la surveillance par drone « par tout moyen approprié  » et de la surveillance par caméra embarquée « par une signalétique spécifique de l’équipement du moyen de transport par une caméra ». En pratique, tel qu’il a été facile de constater ces dernières années, cette information sera systématiquement défaillante : un écriteau « vous êtes filmé » accroché à un hélicoptère volant à plus de 100 mètres n’aura aucun effet ; pire, un drone vole trop haut pour transmettre la moindre information visuelle ou sonore, et sa taille est si petite qu’il échappe souvent entièrement à l’attention des personnes surveillées. De même, les caméras-piétons se fondent parfaitement dans l’équipement des agents qui, eux-mêmes, se fondent facilement dans les foules surveillées, qu’ils n’ont aucun moyen visuel ou sonore d’informer de façon réaliste.

Par ailleurs, la proposition de loi prévoit que les agents peuvent ne pas informer le public d’une surveillance par drone ou par caméra embarquée « lorsque les circonstances l’interdisent ». Cette dérogation est si large qu’elle retire tout effet utile que ces mesures auraient pu avoir. Cette dérogation est d’ailleurs inexistante dans la loi sur la vidéosurveillance fixe de la voie publique.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant jamais être portées à la connaissance du public de façon suffisamment efficace, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

D – Surveillance des lieux privés

En droit, tel que rappelé ci-dessus, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5).

Ainsi, les caméras fixes sont orientées de façon à éviter de filmer les immeubles et, quand elles ne le peuvent pas, un système d’obstruction matérielle ou logicielle basique permet de ne pas capter l’image des immeubles (un rectangle noir, typiquement).

En l’espèce, la vidéosurveillance mouvante filme des lieux qui changent constamment et qui ne peuvent être connus à l’avance. Or, il est techniquement irréaliste d’obstruer en temps réel l’image d’immeubles présents sur des lieux inconnus à l’avance et en mouvement constant – contrairement aux lieux statiques filmés par les caméras fixes. Le caractère mouvant de cette vidéosurveillance est mécaniquement incompatible avec une interdiction de filmer l’intérieur des immeubles.

Dès lors, l’article 21 sur les caméras-piétons et l’article 22 bis sur les caméras embarquées ne prévoient aucune interdiction de filmer l’intérieur des immeubles – ce qui, en effet, serait irréaliste. Pourtant, ces caméras sont presque toujours en situation de filmer l’intérieur d’immeubles et de lieux privés, ne serait-ce qu’au travers des fenêtres.

L’article 22 sur les drones prévoit une interdiction de filmer l’intérieur des « domiciles » ou de leurs entrées et non, comme l’exige le Conseil constitutionnel, l’intérieur de tous les « immeubles » en général. La police et la gendarmerie seraient seules à décider quels immeubles sont ou non des domiciles. Cette appréciation se ferait à la volée et en cours d’opération, ce qui semble parfaitement irréaliste – même via des outils d’analyse automatisée, qui ne seraient d’aucune aide s’agissant d’une appréciation aussi sociale et humaine de ce qu’est ou non un « domicile ». Mais ce problème est finalement sans importance dans la mesure où, de toute façon, aucun dispositif technique n’est capable d’obstruer en temps réels l’image mouvante d’immeubles, domiciles ou non.

Au cours des débats à l’Assemblée nationale, la rapporteure Alice Thourot a reconnu sans ambiguïté, s’agissant des drones, qu’il « n’est matériellement pas possible d’interdire de visualiser les espaces privés » (voir les débats publics de la troisième séance du vendredi 20 novembre 2020 relatifs à l’amendement n° 1164).

En conséquence, les dispositifs de vidéosurveillance mouvante ne pouvant jamais éviter de filmer l’intérieur des immeubles, les articles 21 à 22 bis, qui intensifient et autorisent leur déploiement, violent la Constitution.

3 – Reconnaissance faciale

Le titre III de la proposition de loi vise à intensifier la vidéosurveillance fixe et généraliser la vidéosurveillance par drones, hélicoptères et caméras-piétons. Toutes les nouvelles images captées par ces dispositifs, fixes comme mouvants, seront transmises en temps réel à un poste de commandement.

Une telle transmission en direct donne aux forces de police et de gendarmerie la capacité d’analyser les images transmises de façon automatisée, notamment en recourant au dispositif de reconnaissance faciale autorisé par le décret du 4 mai 2012 relatif au traitement d’antécédents judiciaires. Cette technique, qui n’a jamais été autorisée par le législateur, est l’exemple typique de traitements de données biométriques qui, au titre de l’article 10 de la directive police-justice et de l’article 88 de la loi informatique et libertés, doivent démonter leur « nécessité absolue » dans la lutte contre les infractions et les menaces pour la sécurité publique. Pourtant, cette nécessité n’a jamais été démontrée et le droit français ne prévoit aucune garantie pour les limiter à ce qui serait absolument nécessaire. Au contraire, le recours à ces techniques semble être devenu systématique et ne reposer sur aucun contrôle de proportionnalité : en 2019, les autorités ont réalisé plus de 375 000 opérations de reconnaissance faciale, soit plus de 1 000 par jour (voir l’avis rendu le 13 octobre 2020 par le député Mazars au nom de la commission des lois de l’Assemblée nationale).

Il ne fait pourtant aucun doute que l’analyse automatisée d’images de vidéosurveillance est aujourd’hui contraire au droit français et européen, qu’il s’agisse d’ailleurs de reconnaissance faciale comme de tout autre type d’analyse automatisée permettant l’identification et le suivi d’une personne, tel que la CNIL l’a encore dénoncé face au déferlement de caméras dites « intelligentes » au cours de la crise du Covid-19 (Cnil, « Caméras dites « intelligentes » et caméras thermiques », 17 juin 2020).

Comme vu tout au long de la présente analyse, l’utilité opérationnelle des nouvelles captations et transmissions d’images semble nulle ou très faible. Il en irait peut être autrement si le véritable objectif de ces changements était d’abreuver les dispositifs de reconnaissance faciale d’une immense quantité de nouvelles images. Le gouvernement ne l’a jamais avoué explicitement, et pour cause : cet objectif est frontalement contraire au droit européen et ne saurait donc en rien justifier d’intensifier la vidéosurveillance tel que le propose la présente loi.

Plutôt que de renforcer des pratiques aussi illégales qu’impopulaires, le rôle du législateur est d’empêcher l’analyse automatisée des images de vidéosurveillance et son renforcement par le titre III de la proposition de loi Sécurité Globale, qui doit donc être supprimé dans son ensemble.

]]> https://www.laquadrature.net/?p=16566http://isyteck.com/autoblog/quadrature/index.php5?20210214_100800_Faut-il_reguler_Internet_____2_2_Sun, 14 Feb 2021 09:08:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Suite et fin de « Faut-il réguler Internet ? »

Face à tout cela, il semble clair que se contenter de renforcer les obligations des plateformes géantes ne suffira pas, c’est l’ensemble de ce modèle de l’économie de l’attention qu’il faut remettre en question.

Faire évoluer le droit : différencier petits hébergeurs et grandes plateformes pour aider au développement des alternatives libres et décentralisées aux plateformes géantes

Qu’appelle-t-on « alternative libre et décentralisée » à La Quadrature du Net ? Un exemple pour illustrer : la Quadrature du Net fournit à plus de 9 000 personnes l’accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n’est que l’un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la collecte massive de données).

Mais actuellement, et ce depuis 15 ans, le droit freine le développement d’alternatives aux GAFAM et à leur monde. Il impose des obligations lourdes à tous les « hébergeurs » (les personnes qui conservent et diffusent sur Internet des contenus fournis par le public). Si un contenu « manifestement illicite » est signalé à un hébergeur, il doit le censurer « promptement » ou en devient personnellement responsable¹Voir l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, transposant l’article 14 de la directive européenne de 2000 sur le commerce électronique.. En pratique, à La Quadrature du Net, nous avons songé à devenir un hébergeur de vidéos (en autorisant tout le monde à mettre en ligne des vidéos sur notre service de streaming Peertube²https://video.lqdn.fr/ . PeerTube est un logiciel libre d’hébergement de vidéo décentralisé grâce à la diffusion en pair à pair, créé en 2015 et soutenu par Framasoft. Il fonctionne sur le principe d’une fédération d’instances hébergées par plusieurs entités différentes. Son objectif est de fournir une solution alternative aux plateformes centralisées telles que YouTube ou Dailymotion.). Ce serait une façon concrète de participer à la construction d’une alternative à Youtube, qui ne tirerait aucun profit des discours conflictuels ou de la surveillance de masse. Mais nous avons dû y renoncer. Nous n’avons pas du tout assez de juristes pour évaluer quelles vidéos seraient « manifestement illicites ». Nous n’avons pas les moyens de supporter des amendes en cas de plaintes. Youtube reste maître.

Pour que des alternatives aux GAFAM et à leur monde puissent se développer, il faut commencer par changer le droit et par distinguer les « petits » hébergeurs (ceux qui ne tirent aucun profit d’une quelconque mise en avant et hiérarchisation des contenus qu’ils hébergent) des grandes plateformes. Ce sont celles qui régulent les contenus de manière active, pour faire tourner leur modèle économique, et qui exercent sur leurs utilisateur·rices un « pouvoir de contrainte » puisque ces dernier·es ne peuvent quitter la plateforme sans subir de conséquences négatives – perte des liens sociaux tissés sur le réseau dans le cas de Facebook par exemple -. Cela permet à la plateforme d’imposer les règles de son choix, sans que quiconque puisse y réagir. Si l’on souhaite utiliser le droit pour corriger les géants du Web, il faut d’abord trouver un critère objectif pour les identifier. Ensuite, autour de ce critère, le droit pourra poser des obligations spécifiques pour former un « statut juridique » adapté à leur situation. Ce nouveau statut juridique se placerait à mi-chemin entre celui d’hébergeur et d’éditeur : la plateforme porterait une certaine responsabilité sur les contenus qu’elle héberge et promeut, sans toutefois être responsable de l’ensemble des contenus publiés comme le sont les éditeurs. Enfin, il serait nécessaire d’alléger à l’inverse les obligations faites aux petits hébergeurs, en ne leur laissant pas supporter la charge d’évaluer si un contenu est « manifestement illicite » ou non. Seul·e un·e juge doit pouvoir exiger la censure, et donc le retrait d’un contenu. 

Le cercle vertueux de la régulation décentralisée

Permettre à une multitude de petits hébergeurs de se développer fait naître l’espoir d’une auto-régulation efficace, placée dans les mains de l’ensemble des personnes utilisatrices.

Dans le cadre de la loi, chaque hébergeur applique ses propres règles de modération, plus ou moins stricte, et chaque personne choisit l’espace de discussion adapté à ses besoins et à ses envies. La liberté de ce choix est renforcée par le développement des standards de « réseaux sociaux décentralisés », notamment du standard ³On appelle « standard » des règles ou normes techniques de communication partagées entre différents acteurs pour leur permettre d’interagir. ActivityPub ⁴ActivityPub est un standard ouvert pour réseaux sociaux décentralisés basé sur le format ActivityStreams 2.0. Il fournit une API (interface de programmation d’application, ensemble de fonctions permettant à un logiciel d’offrir des services à un autre logiciel : https://fr.wikipedia.org/wiki/Interface_de_programmation) allant d’un client vers un serveur pour la création, la mise à jour et la suppression de contenu, ainsi qu’une API entre serveurs afin de permettre la fédération de notifications et de contenus. https://fr.wikipedia.org/wiki/ActivityPub publié en janvier 2018 par le World Wide Web Consortium (W3C, à l’origine des standards du Web) et déjà appliqué par Mastodon (alternative à Twitter) ou Peertube (alternative à Youtube). Ces standards permettront à une infinité d’hébergeurs de communiquer entre eux, selon les règles de chacun·e. Ils permettront aussi à chaque personne de passer librement d’un hébergeur à un autre, d’une règle du jeu à un autre (ce que les plateformes géantes font tout pour empêcher aujourd’hui).

Chaque personne choisira de s’exposer ou non à tel ou tel type de conflit, et chaque hébergeur modérera sa communauté à une échelle humaine (et donc sans mettre en place de filtrage automatique). Cette structure offre l’espoir de diminuer significativement les conflits interpersonnels non-souhaités sur Internet. Ainsi, les juridictions n’auront plus à trancher autant de conflits qu’il en existe sur les plateformes géantes et pourront se recentrer sur les infractions les plus graves.

Faire cohabiter les petits hébergeurs et les grandes plateformes par l’interopérabilité

En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n’avons pas d’autre choix que de continuer à les utiliser. C’est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d’autres services : si nous les forçons à nous permettre de continuer de parler avec nos « ami·es Facebook » sans être nous-mêmes encore inscrit·es sur Facebook. 

Techniquement, cette « interopérabilité » passe par l’application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub (évoqué plus haut) propose un standard pour « réseaux sociaux décentralisés » – et nous y voyons l’espoir concret de l’essor d’un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » (possibilité pour une personne de récupérer tout ou partie de ses données dans un format ouvert et lisible) créé par le RGPD (à l’article 20) et qui, sans interopérabilité entre plateformes, peine pour l’instant à démontrer son utilité.

Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (tel que par exemple Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature du Net, ou encore l’instance mstdn.fr). Depuis ce nouveau service, nous pourrions continuer de recevoir et d’envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

Ainsi, dès lors qu’un géant abandonnerait son pouvoir de contrainte, nous pourrions librement échapper au cadre destructeur de sa capitalisation de notre attention. Le « cercle vertueux de la décentralisation » reprenant le pas, le pouvoir de contrainte de ce géant-ci pourrait diminuer, jusqu’au point où, éventuellement, il pourrait revenir dans le statut plus souple des hébergeurs.

Dans tous les cas, il serait tenu, comme n’importe quel hébergeur, d’afficher clairement et en toute transparence ses règles de hiérarchisation des contenus, nous permettant de nous y soumettre ou non en pleine connaissance de cause. De même, revenir à un cadre d’hébergeur « plus souple » ne signifie en aucun cas alléger les obligations en matière de protection des données personnelles : ces données ne doivent jamais permettre de hiérarchiser les contenus sans le consentement explicite de chaque personne concernée.

La Quadrature du Net travaille actuellement sur cette question de l’interopérabilité, et est à l’origine d’une lettre ouverte sur le sujet, publié en mai 2019.

Et pour mieux comprendre cette question de l’interopérabilité, on peut lire cet excellent billet de Stéphane Bortzmeyer sur le Framablog ou encore notre fiche « Nos propositions positives sur l’interopérabilité ».

References[+]

↑1	Voir l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, transposant l’article 14 de la directive européenne de 2000 sur le commerce électronique.
↑2	https://video.lqdn.fr/ . PeerTube est un logiciel libre d’hébergement de vidéo décentralisé grâce à la diffusion en pair à pair, créé en 2015 et soutenu par Framasoft. Il fonctionne sur le principe d’une fédération d’instances hébergées par plusieurs entités différentes. Son objectif est de fournir une solution alternative aux plateformes centralisées telles que YouTube ou Dailymotion.
↑3	On appelle « standard » des règles ou normes techniques de communication partagées entre différents acteurs pour leur permettre d’interagir.
↑4	ActivityPub est un standard ouvert pour réseaux sociaux décentralisés basé sur le format ActivityStreams 2.0. Il fournit une API (interface de programmation d’application, ensemble de fonctions permettant à un logiciel d’offrir des services à un autre logiciel : https://fr.wikipedia.org/wiki/Interface_de_programmation) allant d’un client vers un serveur pour la création, la mise à jour et la suppression de contenu, ainsi qu’une API entre serveurs afin de permettre la fédération de notifications et de contenus. https://fr.wikipedia.org/wiki/ActivityPub

]]> https://www.laquadrature.net/?p=16884http://isyteck.com/autoblog/quadrature/index.php5?20210203_154419_PPL_Securite_globale____la_CNIL_au_secours_de_l___Etat_policierWed, 03 Feb 2021 14:44:19 +0000La CNIL vient de rendre son avis sur les drones et caméras de la PPL Sécurité globale. L’époque où la CNIL prétendait se faire l’écho des inquiétudes populaires est bien morte et oubliée. Dans un triste spectacle d’équilibriste déserteur, elle parvient à contourner toutes les questions juridiques qui auraient pu remettre en question le projet sécuritaire du gouvernement.

Derrière l’apparente critique de la proposition de loi, la CNIL s’emploie en réalité à valider l’objectif sécuritaire du texte. Aucune disposition n’est remise en cause dans son essence même et l’avis de la CNIL, de même que l’audition de sa présidente ce matin devant la commission des lois du Sénat, n’a qu’un seul objectif : donner le mode d’emploi au législateur pour faire passer son texte.

La CNIL prend ainsi soin de ne surtout rien dire sur la « nécessité absolue » ou le contrôle préalable du déploiement des drones et des caméras-piétons. Et pour cause : ces garanties, exigées tant par la Constitution que le droit européen, sont incompatibles avec le projet du gouvernement et suffiraient à l’invalider.

De même, elle est parfaitement silencieuse sur le fait qu’en pratique les personnes surveillées par drones ou caméras mobiles ne pourront pas en être véritablement informées, comme l’exigent la Constitution et le droit européen. Alors que l’avis de la CNIL relève que l’usage de drone est intrinsèquement dangereux de part leur miniaturisation et leurs capacités techniques, il n’en tire aucune conséquence sur l’information du public. Silence total aussi sur la reconnaissance faciale associée aux caméras-piétons, débat que la CNIL écarte en affirmant qu’elle serait interdite car non explicitement prévue par le texte alors qu’elle a tant animé le débat public et que cette possibilité est offerte par d’autres pans de l’arsenal répressif de l’État.

Contorsion absolue : la CNIL propose que les drones soient d’abord expérimentés avant d’être autorisés définitivement dans la loi. Comme si les drones n’avaient pas déjà été largement déployés pendant des années et n’avaient pas déjà eu l’occasion de démontrer encore et encore leur incompatibilité intrinsèque à la Constitution et au droit européen. Même le Conseil d’État a déjà commencé à dénoncer l’inutilité des drones dans le travail de la police, mais la CNIL refuse absolument de contrarier Gérald Darmanin et lui offre un nouveau délai d’expérimentation que rien ne justifie en pratique ni en droit.

L’avis de la CNIL nous offre également une scène de béatitude totale devant les possibilités de floutage, faisant passer cette rustine inefficace comme la clé du respect de la vie privée. Or, un dispositif de floutage des images prises par drones, en plus d’être désactivable à souhait par la police et techniquement très aléatoire, ne fera que donner un faux sentiment de protection alors que ces dispositifs renforcent le pouvoir de la Technopolice qui pourra filmer tout, tout le temps, et sans contrôle, au mépris de l’ensemble des règles de droit françaises et européennes.

Car les 12 pages de son avis sont largement dépourvues de droit, tant sur le fond (la CNIL ne vise aucune norme précise mais son seul sentiment) que sur la forme (un contrôle rigoureux de la proportionnalité de chaque disposition l’aurait empêchée d’esquiver les très graves manquements qu’elle passe sous silence).

Plus que jamais, la CNIL tord le droit et sa propre mission pour venir au secours d’un État policier qu’elle était supposée limiter. Ayant démissionné de son rôle historique, elle est réduite à conseiller l’État sur la meilleure façon de renforcer ses capacités de surveillance tandis que, dans le même temps et paradoxalement, c’est le Conseil d’État lui-même qui apparaît comme dernier contre-pouvoir du gouvernement dans cette affaire.

Non, contrairement à ce qu’elle affirme dans son avis, la CNIL n’a jamais « mis en lumière […] les questions particulières en matière de vie privée soulevées par l’usage des drones, des caméras embarquées sur des véhicules ou des personnes et des dispositifs dits de « vidéo intelligente » ou de « vidéo assistée » ». C’est même le contraire : après cinq années d’utilisation des drones par la police en toute illégalité, il nous aura fallu tirer la sonnette d’alarme, déposer des recours contentieux à plusieurs reprises pour que ces sujets avancent. Face à cette démobilisation de la CNIL qui ne date pas d’aujourd’hui, nous avons d’autant plus besoin de votre aide pour continuer le travail que devrait faire l’autorité.

]]> https://www.laquadrature.net/?p=16563http://isyteck.com/autoblog/quadrature/index.php5?20210131_095900_L___arnaque_des_algorithmes_d___aide_a_la_prise_de_decisionSun, 31 Jan 2021 08:59:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

L’administration, au sens public du terme, prend tous les jours un certain nombre de décisions : lorsqu’elle accorde une allocation, lorsqu’elle retire un permis de conduire, lorsqu’elle accepte un·e étudiant·e dans une formation supérieure, lorsqu’elle est chargée d’appliquer une loi, etc. Décider est le quotidien de l’administration et administrer, nous dit le dictionnaire Larousse, signifie « diriger, gérer des affaires publiques ou privées ». La Constitution nous prévient également que « le Gouvernement détermine et conduit la politique de la nation » et « dispose de l’administration » (article 20). Le rôle de l’administration dans la conduite des affaires publiques est donc fondamental. À cette fin, son pouvoir de décision l’est tout autant.

Décider est donc une fonction intrinsèque à l’administration, mais décider n’est pas toujours le fruit d’un processus entièrement humain. L’administration s’est toujours dotée de règles, de documents, de cadres, pour décider, quand bien même aucune obligation ne le lui imposerait : ce pouvoir discrétionnaire dont jouit très souvent l’administration est limité par elle-même, c’est-à-dire qu’elle va décider que, parmi l’éventail de possibilités dans la prise de décision, elle en choisira une seule.

De plus, l’arrivée ces derniers temps d’un nouvel outil pour l’administration, l’algorithme, change radicalement la manière dont on peut concevoir la décision administrative. Skip Machine lave plus blanc que blanc ; l’algorithme décide plus efficacement que l’humain. Il en résulte un miracle : la décision administrative algorithmique. Le législateur est intervenu, pour répondre à un certain nombre de craintes. Mais la pratique administrative tend à contourner ces protections grâce à un nouvel outil, l’algorithme d’aide à la prise de décision.

Avant toute chose, il est nécessaire de s’entendre sur la notion de décision et celle d’algorithme. Nous entendons ici un algorithme (ou son équivalent juridique de « traitement algorithmique ») comme une suite d’opérations mathématiques avec en entrée plusieurs paramètres et en sortie un résultat unique (mais pas forcément reproductible, comme nous le verrons plus tard). Un algorithme n’a donc pas à être compliqué : un rapport sénatorial a ainsi pu comparer une recette de cuisine à un algorithme¹Sophie Joissains, Rapport n° 350 (2017-2018) fait au nom de la commission des lois sur le projet de loi relatif à la protection des données personnelles, 14 mars 2018. https://www.senat.fr/rap/l17-350/l17-350.html. Il ne s’agit pas forcément non plus d’un programme informatique ou de lignes de codes exécutables : un algorithme peut également être une séries de formules dans une feuille de calcul²Les algorithmes locaux de Parcoursup (ceux utilisés par les commissions de classement des vœux de chaque université) ne sont d’ailleurs qu’une feuille de calcul dont les pondérations sont laissées à l’appréciation de chaque commission..

On classera toutefois les algorithmes en deux catégories : les algorithmes auto-apprenants et les autres. Les premiers (on parlera également d’« intelligence artificielle », de « machine learning » ou de « deep learning ») fonctionnent avec une phase d’apprentissage préalable. Dans un premier temps, l’algorithme auto-apprenant s’entraîne sur un jeu de données dont le résultat attendu est connu (par exemple : « cette image est un chaton » ou « cette image n’est pas un chaton ») et s’adapte en comparant ses résultats à ceux attendus. Une fois cette phase terminée, il est utilisé alors que le résultat attendu n’est pas connu (dans notre exemple, il sera censé distinguer les images de chatons des autres). Le résultat d’un algorithme auto-apprenant n’est pas reproductible puisqu’il dépendra de la phase d’apprentissage et de la qualité du jeu de données initial. Les autres algorithmes, ceux qui ne sont pas auto-apprenants, ont un résultat reproductible puisqu’il ne reposent pas sur une phase préalable d’apprentissage.

Une décision administrative, quant à elle, est un acte administratif (au sens de document émanant d’une administration ³Sans entrer dans les débats de la doctrine administrativiste autour la notion d’acte administratif, notons simplement que cette définition est une approximation et n’est pas partagée pas tou·tes les juristes.) décisoire. Lorsque l’administration constate quelque chose (ce que font beaucoup d’autorités de régulation, par exemple), elle ne fait pas de choix et son acte n’est donc pas une décision.

Enfin, nous entendrons une décision administrative algorithmique comme un type de décision administrative dans laquelle un algorithme a été utilisé durant le processus de prise de décision. L’algorithme n’a pas à être le seul fondement à la décision pour que celle-ci soit qualifiable de décision administrative algorithmique. Il faut distinguer la décision algorithmique de l’algorithme d’aide à la prise de décision : le premier fonde la décision, le deuxième est utilisé en amont de la décision et ne la fonde alors pas.

Arrêtons-nous tout d’abord sur ce qui motive l’administration à utiliser des algorithmes (I). Voyons ensuite les barrières prévues par le droit pour les décision algorithmique (II) et comment l’administration les contourne grâce aux algorithmes d’aide à la prise de décision (III). Enfin, étudions les conséquences de ces algorithmes d’aide à la prise de décision sur nos droits fondamentaux (IV).
I. Un recours aux décisions algorithmiques de plus en plus important

Il est difficile – pour ne pas dire impossible – de systématiser l’utilisation d’un algorithme. L’administration n’est jamais tenue d’y avoir recours, ce n’est qu’une faculté (explicitement admise par la loi depuis 2016⁴Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 4, créant l’article L. 311-3-1 du code des relations entre le public et l’administration sur les décisions administratives individuelles prises sur le fondement d’un traitement algorithmique.).

En tout état de cause, lorsqu’elle y a recours, cela peut être pour atteindre deux objectifs. Premièrement, il peut s’agir d’une situation dans laquelle l’administration doit prendre beaucoup de décisions dans un laps de temps restreint. Elle veut alors accélérer la prise de décision. Dans ce cas, l’algorithme est souvent très simple et il s’agit principalement de décisions administratives individuelles (c’est-à-dire dont le destinataire est une personne nommée ou un groupe de personnes individualisées). Le cas des algorithmes locaux de Parcousup illustre parfaitement cette situation : les universités doivent, en quelques semaines, classer des milliers de candidatures en attribuant à chaque candidat un rang précis ; les algorithmes locaux de Parcoursup appliquent à l’ensemble des candidats une même règle pour donner in fine un rang à chaque candidature. Les algorithmes locaux de Parcoursup sont une simple feuille de calcul sur laquelle les commissions de classement ont donné une importance plus ou moins grande à certains critères académiques parmi ceux transmis par la plateforme aux universités (notes, appréciations, lycée d’origine, etc.⁵Notons déjà d’emblée que les appréciations ne peuvent pas, par une simple feuille de calcul, être évaluées : elles sont donc nécessairement mises de côté par l’algorithme et les commissions de classement ne s’en serviront alors que pour partager deux éventuel·les candidat·es avec exactement le même rang.).

Deuxièmement, il peut s’agir de détecter ce que l’on estime impossible à trouver par une analyse humaine : il s’agit de la recherche de signaux faibles. Un signal faible est un élément tellement difficile à discriminer de la masse qu’un humain ne peut pas le faire : c’est l’aiguille dans la botte de foin. Dans cette situation, le recours aux algorithmes auto-apprenants est le plus souvent nécessaire. Par exemple, la surveillance algorithmique des réseaux de communication (parfois appelée « boîtes noires ») permises depuis la loi renseignement de 2015⁶Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, article 15, créant l’article L. 851-2 du code de la sécurité intérieure. repose sur des algorithmes auto-apprenants dont le but est de détecter des risques à caractère terroriste qu’on estime indétectable par un analyste du renseignement.
II. L’algorithme comme fondement de la décision administrative : une protection théorique contre les abus de la décision administrative algorithmique

Ce panorama étant posé, une peur peut légitimement naître : comment être certain qu’un algorithme a pris la bonne décision ? Il est intellectuellement plus facile de contester une décision prise par un humain que de contester une décision prise par une machine dont l’aléatoire est réputé neutralisé.

Le droit offre un certain nombre de mesures protectrices – bien qu’insuffisantes en pratique – lorsqu’un traitement algorithmique a été le fondement d’une décision. Autrement dit, lorsque l’administration, pour prendre sa décision, se base sur les résultats d’un algorithme, le droit pose des limites. L’article L. 311-3-1 du code des relations entre le public et l’administration énonce ainsi le droit de se faire communiquer les « règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre »⁷Ce qui, selon l’article R. 311-3-1-2 du même code, englobe, notamment, « les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé » ainsi que « les opérations effectuées par le traitement ». dans le cas d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique. Ainsi, lorsque l’administration prend une décision individuelle à l’aide d’un algorithme, un droit à se faire communiquer certaines informations sur l’algorithme naît au bénéfice du destinataire de la décision. Une forme de transparence est ainsi posée et d’elle découle une forme de contrôle sur la qualité de l’algorithme, donc de la décision qui en découle.

Le Conseil constitutionnel est également venu poser un garde-fou important à l’usage d’algorithmes dans les décisions administratives. Il a ainsi précisé que l’administration doit pouvoir expliquer et reproduire ses résultats : les algorithmes auto-apprenants sont donc théoriquement exclus de la prise de décision⁸Cons. const., 12 juin 2018, Loi relative à la protection des données personnelles, n° 2018-765 DC, point 71..

Enfin, précisons également que le code source des algorithmes sont des documents administratifs au sens de la loi⁹Art. L. 300-2 du code des relations entre le public et l’administration.. À ce titre, il est possible, en dehors des cas de décisions administratives individuelles, de se faire communiquer de tels documents¹⁰Art. L. 311-1 du code des relations entre le public et l’administration..
III. L’algorithme comme simple aide : l’absence de toute garantie contre les algorithmes d’aide à la prise de décision

La pratique administrative tend à exclure de plus en plus les algorithmes de la prise de décision. Si l’algorithme n’est plus considéré comme ayant fondé une décision, alors les limites posées (notamment l’interdiction de recourir à des algorithmes auto-apprenants donc aux résultats non reproductibles) n’existent plus du tout.

C’est ce qu’il se passe avec le recours des algorithmes dits « d’aide à la prise de décision ». Ces algorithmes sont utilisés bien en amont de la prise de décision : il s’agit de guider l’administration dans son action au quotidien, avant qu’une décision ne soit prise. On retrouve de tels algorithmes par exemple dans la lutte contre la fraude fiscale et douanière, dans la lutte contre le terrorisme, la police prédictive, etc.

Ces algorithmes d’aide à la prise de décision fonctionnent selon une même logique : une alerte ou une recommandation est levée par l’algorithme. Un·e agent de l’administration reçoit cette alerte ou cette recommandation, puis décide de prendre ou non une décision. Le fondement de la décision n’est donc plus l’algorithme, qui a seulement invité l’agent à s’intéresser à une situation particulière. L’algorithme d’aide à la prise de décision n’est plus au fondement de la décision, il est est détaché.

Ainsi, l’algorithme Paved (« plateforme d’analyse et de visualisation évolutive de la délinquance ») de la gendarmerie ne fait qu’afficher les zones à risques : il ne détermine pas les zones dans lesquelles les patrouilles seront positionnées. L’agent choisira seul·e de placer ses patrouilles dans les zones à risque ou non. Il en va de même pour les boites noires utilisées par les services de renseignement (cf. supra pour leur présentation) : elles ne lèvent qu’une alerte sur une potentielle menace, libre ensuite à l’analyste du renseignement de procéder ou non à une surveillance plus ciblée. Ce même fonctionnement vaut également pour les algorithmes de Bercy chargés de détecter les potentielles fraudes fiscales : les agents du fisc sont toujours libres de procéder ou non au contrôle fiscal.

Ces exemples sont réels et l’hypocrisie est flagrante. Si l’administration demande à un algorithme de l’aider, soit en augmentant le nombre de situations traitées, soit en détectant ce qu’un humain ne pourrait pas voir, pourquoi ne pas suivre ses recommandations ? On pourrait répondre que lorsqu’une alerte ou une recommandation est émise, l’agent pourrait refaire le traitement sur la situation spécifique afin de vérifier la qualité du résultat de l’algorithme. Cependant, premièrement, aucune obligation n’impose à l’administration une telle vérification. Deuxièmement, ce serait omettre les résultats négatifs qui impliquent une forme de validation de la situation par l’algorithme : passer à travers le filet ne serait-il pas une approbation donnée par l’algorithme ? Troisièmement, ce serait réduire drastiquement les gains de productivité demandés à ces algorithmes dans certaines situations, Quatrièmement, enfin, certains cas ne se prêtent tout simplement pas à une telle vérification, notamment lorsqu’il est demandé à l’algorithme de repérer les signaux faibles.

En réalité, lorsque une alerte ou une recommandation est levée par un algorithme d’aide à la prise de décision, l’administration se bornera à vérifier les erreurs grossières pour les cas positifs. Elle ne vérifiera jamais les résultats négatifs. L’humain chargé de réceptionner les alertes ou recommandations n’aura qu’un rôle de vérification a minima, au risque, autrement, d’aller à l’encontre des gains de production demandés. Le doute sera donc nécessairement au détriment de l’administré·e. Éventuellement, il peut être demandé à l’agent d’opérer un classement pour ne prendre en considération qu’un nombre limité de cas. On peut penser qu’un tel choix est fait dans les domaines où un contingentement existe en fait ou en droit (nombre limité de gendarmes mobilisables sur le terrain, quota de mises sous surveillance, etc.). Mais rien n’indique que ce choix ne soit pas dû au hasard (notamment lorsque l’humain n’est pas censé pouvoir apprécier la situation).
IV. Des conséquences négatives concrètes sur les droits fondamentaux

Le résultat de tout cela est assez décevant. D’une part, l’usage même de ces algorithmes d’aide à la prise de décision implique un droit à un recours effectif limité. Dès 2016¹¹Cour suprême du Wisconsin, State vs. Eric L. Loomis, 13 juillet 2016., la Cour suprême du Wisconsin affirmait qu’il n’est pas possible de contester le résultat d’un algorithme d’aide à la prise de décision puisque seul l’humain a pris la décision : la seule décision attaquable devant un juge est celle prise par un humain, et elle seule, même si un algorithme a aidé à cette prise de décision. Il n’existe donc pas de recours direct contre ces algorithmes puisqu’ils sont passés par le truchement d’un humain avant la prise de décision en tant que telle.

Mais, même dans le cas des décisions administratives algorithmiques – c’est-à-dire celles dont le fondement est un algorithme, contrairement au cas des algorithmes d’aide à la prise de décision –, les droits fondamentaux sont limités. Dans ces situations, on se heurtera au pouvoir discrétionnaire de l’administration : l’administration, très souvent, a une large possibilité d’action (nous l’avons rappelé en introduction) et le rôle du juge se limite alors à vérifier l’absence d’« erreur manifeste d’appréciation », c’est-à-dire l’absence d’erreur grossière dans la décision. Une décision administrative algorithmique ne sera qu’une décision dans laquelle l’administration a voulu, de son chef, limiter son aléa. Mais la manière de le limiter, les paramétrages de l’algorithme, restent un choix qui n’est pas vraiment contestable puisqu’il entrera très souvent dans le champ du pouvoir discrétionnaire de l’administration. La transparence (lorsqu’elle est applicable) permettra à l’administré·e de vérifier ces erreurs grossières (on peut par exemple penser aux cas de discriminations), mais le doute se fera toujours au bénéfice de l’administration.

D’autre part, l’usage de tels algorithmes va de pair avec une augmentation du nombre de données traitées. Pour utiliser des algorithmes, encore faut-il avoir des informations pour les nourrir. L’administration est donc incitée à collecter et traiter de plus en plus de données. La récente volonté de Bercy de récolter les données publiques des réseaux sociaux n’est que le dernier exemple d’une liste très longue. Avec cette collecte, ce sont le droit à la vie privée et familiale ou encore le droit à la liberté d’expression et d’information qui se retrouvent limités¹²Voir, pour une illustration, « Le Parlement doit rejeter le flicage fiscal des réseaux sociaux » , La Quadrature du Net, 5 novembre 2019..

Le résultat n’est pas réjouissant. L’administration se sert d’algorithmes, mais parfois tellement en amont dans son travail qu’il ne sont pas considérés comme ayant fondé la décision administrative, sapant au passage les garanties posées par le droit. Un problème de taille se pose : la notion de décision administrative, telle qu’elle est conçue aujourd’hui, a-t-elle encore une légitimité à l’heure des algorithmes ? Doit-elle évoluer pour réintégrer dans son champ les algorithmes d’aide à la prise de décision ?

References[+]

↑1	Sophie Joissains, Rapport n° 350 (2017-2018) fait au nom de la commission des lois sur le projet de loi relatif à la protection des données personnelles, 14 mars 2018. https://www.senat.fr/rap/l17-350/l17-350.html
↑2	Les algorithmes locaux de Parcoursup (ceux utilisés par les commissions de classement des vœux de chaque université) ne sont d’ailleurs qu’une feuille de calcul dont les pondérations sont laissées à l’appréciation de chaque commission.
↑3	Sans entrer dans les débats de la doctrine administrativiste autour la notion d’acte administratif, notons simplement que cette définition est une approximation et n’est pas partagée pas tou·tes les juristes.
↑4	Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 4, créant l’article L. 311-3-1 du code des relations entre le public et l’administration sur les décisions administratives individuelles prises sur le fondement d’un traitement algorithmique.
↑5	Notons déjà d’emblée que les appréciations ne peuvent pas, par une simple feuille de calcul, être évaluées : elles sont donc nécessairement mises de côté par l’algorithme et les commissions de classement ne s’en serviront alors que pour partager deux éventuel·les candidat·es avec exactement le même rang.
↑6	Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, article 15, créant l’article L. 851-2 du code de la sécurité intérieure.
↑7	Ce qui, selon l’article R. 311-3-1-2 du même code, englobe, notamment, « les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé » ainsi que « les opérations effectuées par le traitement ».
↑8	Cons. const., 12 juin 2018, Loi relative à la protection des données personnelles, n° 2018-765 DC, point 71.
↑9	Art. L. 300-2 du code des relations entre le public et l’administration.
↑10	Art. L. 311-1 du code des relations entre le public et l’administration.
↑11	Cour suprême du Wisconsin, State vs. Eric L. Loomis, 13 juillet 2016.
↑12	Voir, pour une illustration, « Le Parlement doit rejeter le flicage fiscal des réseaux sociaux » , La Quadrature du Net, 5 novembre 2019.

]]> https://www.laquadrature.net/?p=16870http://isyteck.com/autoblog/quadrature/index.php5?20210120_163304_Reglement_terroriste_europeen____nous_saisissons_la_Defenseure_des_droitsWed, 20 Jan 2021 15:33:04 +0000Le 11 janvier dernier, la commission LIBE du Parlement européen (pour Commission des libertés civiles, de la justice et des affaires intérieures) a voté le règlement sur le retrait des contenus « à caractère terroriste ». C’est la dernière étape avant le vote en plénière au Parlement, peut-être dès le mois d’avril.

Un silence assourdissant

Ce texte prévoit que n’importe quelle autorité d’un Etat membre de l’Union européenne puisse imposer à n’importe quel hébergeur sur Internet de retirer en une heure un contenu que cette autorité aura considéré comme étant à « caractère terroriste ». Concrètement, en France, cela permettra à la police de faire censurer en une heure n’importe quel texte ou vidéo sans l’autorisation préalable d’un juge.

Outre les dangers de surveillance et de censure politique que nous soulignons depuis plusieurs années, cette obligation de retrait en une heure est exactement celle qui, au sein de la loi Avia, a été censurée par le Conseil constitutionnel en juin 2020 dans le cadre de sa décision sur la loi Avia.

Le vote en commission LIBE de lundi ne donne pourtant lieu qu’à un silence assourdissant. Côté presse, la dernière actualité est celle d’un communiqué de l’AFP intervenu à la suite du compromis trouvé entre le Parlement et le gouvernement européens sur le texte. On y voit le gouvernement français se féliciter de cet accord, sans aucune mention du débat extrêmement vif qu’avait suscité la réplique de ce texte dans la loi Avia ni, évidemment, de la décision du Conseil constitutionnel de juin 2020.

À part ce communiqué, bien pauvre et partiel… rien. La suppression du compte de Donald Trump était manifestement un sujet plus léger et agréable à discuter que la censure de milliers de militants européens qu’il faudra redouter dès que l’ensemble du Web sera soumis à l’arbitraire de toutes les polices européennes.

Côté gouvernement par contre, on se félicite de cette situation. Que ce soit Clément Beaune, le secrétaire d’Etat aux affaires européennes, qui parle sans gêne d’une « avancée majeure, portée par la France ». Ou Emmanuel Macron qui se félicite de l’aboutissement d’un processus qu’il a engagé en 2017. Impossible aussi de ne pas mentionner les parlementaires français du Parlement européen qui se sont vantés de cette adoption, telles que Nathalie Loiseau et Fabienne Keller. Comme si tout l’appareil gouvernemental n’avait plus honte à admettre instrumentaliser l’Union européenne pour contourner la Constitution française et violer frontalement nos libertés.

Une saisine pour préparer le vote final

Nous avons donc décidé de saisir la Défenseure des droits sur ce sujet. Elle est en effet compétente pour veiller « au respect des droits et libertés par les administrations de l’Etat ». Or, le gouvernement français, et particulièrement le secrétaire d’Etat aux affaires européennes, Clément Beaune, a activement participé à faire avancer le processus d’adoption de dispositions déclarées en juin 2020 comme violant la Constitution.

Nous espérons également que, devant ce silence médiatique et ces abus anticonstitutionnels du gouvernement, toutes les organisations et journalistes qui étaient montés au créneau contre les dangers de la loi Avia feront de même sur ce dossier.

]]> https://www.laquadrature.net/?p=16558http://isyteck.com/autoblog/quadrature/index.php5?20210117_094300_Nos_donnees_n___appartiennent_qu___a_notre_humaniteSun, 17 Jan 2021 08:43:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

« – Et que fais-tu de ces étoiles ?
(…)
Rien. Je les possède.
(…)
Mais j’ai déjà vu un roi qui…
Les rois ne possèdent pas. Ils « règnent » sur. C’est très différent. »

Antoine de Saint-Exupéry,
« Le Petit Prince », Chapitre XIII¹La référence à ce passage du Petit Prince d’Antoine de Saint-Exupéry pour illustrer la différence entre « régner » et « posséder » et, plus largement, l’existence d’autres liens juridiques que le droit de propriété pour exercer du pouvoir sur une chose, est empruntée à la professeure Valérie-Laure Benabou, qui y recourra magistralement lors d’une conférence-débat coorganisée par le réseau Galatea et l’Ordre des avocats au Conseil d’État et à la Cour de cassation, qui se tint le 26 juin 2018 dans la bibliothèque de l’Ordre. Outre la professeur Valérie-Laure Benabou, les participants à ce débat étaient M. Jean Lessi, M. Gaspard Koenig, Me Emmanuelle Trichet et Me Isabelle Landreau. La vidéo de cette conférence-débat est consultable à cette adresse : https://www.youtube.com/watch?v=bbhr80OvSxI&t=3616s

Une donnée est une information. Dans l’environnement informatique, la donnée est constituée d’une séquence de chiffres. L’ordonnancement de ces chiffres leur confère un sens particulier. Mais, la donnée subsiste aussi indépendamment de son support informatique. L’information brute existe, indépendamment de tout encodage numérique.

Lorsque cette information est susceptible d’être reliée, directement ou indirectement, à une personne physique, elle constitue une donnée personnelle²Les textes recourent plutôt au vocable, plus lourd, de « données à caractère personnel »..

Les débats entourant le droit gouvernant les données personnelles voient régulièrement apparaître des propositions tendant à faire entrer ces données dans le champ du droit de propriété. Les positions les plus extrêmes, issues de cercles ultralibéraux, estiment même opportun de créer un droit de propriété privée sur les données personnelles afin que les individus puissent en négocier l’usage auprès des grands acteurs numériques contre une rémunération. Ces propositions sont présentées comme un moyen plus efficace de lutter contre le « pillage de nos données » que la législation actuelle en vigueur.

Pour séduisante qu’une telle proposition puisse paraître au premier abord, « l’application du concept de propriété est contestable philosophiquement et juridiquement, et n’apporte pas de réponses adéquates »³CNCDH, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, adopté à l’unanimité par l’Assemblée plénière de la Commission, pt. 32., ainsi que l’a parfaitement résumé la Commission nationale consultative des droits de l’homme (CNCDH).

Idée contestable (1) et efficacité hasardeuse (2), ce qui explique probablement pourquoi, au-delà de la CNCDH, nos institutions s’étant penchées sur la question ont, dans une rare unanimité – Conseil d’État⁴Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ;
Mme Nicole Belloubet, garde des sceaux, faisait sienne la position du Conseil d’État dans les débats qui se sont tenus au Sénat le 21 mars 2018, sur le projet qui deviendra la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en réponse à un amendement qui visait à insérer un second alinéa à l’article L. 341-1 du code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. », CNIL⁵CNIL, rapport d’activité 2017, p. 52 ; https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf, CNNum⁶CNNum, rapport sur la « Neutralité des plateformes » (mai 2014), p. 37 ; CNNum, avis sur « La libre circulation des données dans l’Union européenne » (avril 2017). –, rejeté l’idée de faire entrer les données personnelles dans le champ du droit de propriété. Il en va de même de la doctrine la plus éclairée en la matière⁷Judith Rochfeld. Contre l’hypothèse de la qualification des données personnelles comme des biens, in : Les biens numériques, éd CEPRISCA, 2015, pp.221-23 ; http://www.ceprisca.fr/wp-content/uploads/2016/03/2015-CEPRISCA-BIENS-NUMERIQUES.pdf.

La Quadrature du Net rejette également la thèse de la patrimonialité des données personnelles. Elle considère que la protection de la vie privée et des données personnelles constitue un droit fondamental⁸Premier considérant du RGPD. 2) de l’article 1er du RGPD. Voir également, CE, ord. réf., 18 mai 2020, La Quadrature du Net e.a., n° 440442, 440445, pt. 6. et que l’enjeu principal consiste à mettre fin à leur exploitation débridée, et non simplement à organiser une compensation monétaire par des tiers.

1.- Une idée contestable

En droit civil, la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements⁹Article 544 du code civil. . Ses attributs sont classiquement assimilés à l’usus (le droit d’user de la chose), le fructus (le droit de percevoir les fruits de la chose) et l’abusus (le droit de disposer de la chose, notamment par l’aliénation ou la destruction).

En l’état du droit, il n’existe aucun droit de propriété sur les données brutes¹⁰Conseil d’État, « Le numérique et les droits fondamentaux », Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf. Un droit sui generis est certes reconnu au producteur d’une base de données¹¹Dont la notion juridique est définie à l’article L. 112-3 du code de la propriété intellectuelle. lorsque la constitution, la vérification ou la présentation de son contenu atteste d’un investissement financier, matériel ou humain substantiel¹²Article L. 341-1 du code de la propriété intellectuelle. sur le plan quantitatif ou qualitatif.

Mais la donnée en elle-même est insusceptible de faire l’objet d’un droit de propriété. À l’instar des idées, qui sont de libre parcours¹³Par ex. Civ. 1ère, 5 juillet 2006, n° 04-16.687.], les données ne sont susceptibles de faire l’objet d’un droit de propriété incorporelle que lorsqu’elles constituent en réalité une œuvre de l’esprit, revêtant un caractère original¹⁴Article L. 111-1 du code de la propriété intellectuelle.. Elles rentrent alors dans le champ du droit d’auteur.

Partant, les personnes physiques ne disposent d’aucun droit de propriété sur leurs données personnelles¹⁵Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Pierre Truche, Jean-Paul Faugère, Patrice Flichy, « Administration électronique et protection des données personnelles. Livre blanc. », février 2002]. Cela vaut, a fortiori, pour les personnes morales, s’agissant des données de personnes physiques[[Thibault Verbiest, « Smart cities et données », JT 2019, n° 221, p. 31..

Il est vrai que certains arrêts récents de la Cour de cassation ont pu faire planer un doute sur la possibilité, pour de simples données, de faire l’objet d’un droit de propriété¹⁶Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n’a pas été déclaré auprès de la CNIL, n’est pas dans le commerce, et sa vente a un objet illicite (cf. Com., 25 juin 2013, n° 12-17.037, Bull. civ., IV, n° 108). Le détournement de fichiers informatiques contenant des informations confidentielles peut être constitutif d’un abus de confiance (cf. Crim., 22 octobre 2014, n° 13-82.630). Le téléchargement, effectué sans le consentement de leur propriétaire, de données que le prévenu savait protégées caractérise la soustraction frauduleuse constitutive du vol (cf. Crim., 20 mai 2015, n° 14-81.336, Bull. crim., 2015, n° 119).. Mais si le doute est toujours permis, il est probable que si la juridiction avait souhaité consacrer un changement aussi important de paradigme, en dehors de toute base légale, elle aurait destiné ses décisions à une plus grande publicité – au-delà de la seule publication au Bulletin – et certains auteurs y ont vu plus que ce qu’il fallait y voir.

Le droit de propriété est une formidable fiction, qui prend ses racines dans des temps immémoriaux et répond à un besoin social. Il s’agit d’une forme d’exercice du pouvoir sur une chose. Mais c’est loin d’être la seule.

Lorsque les pouvoirs publics lèvent des impôts, ils exercent leur pouvoir sur des individus, des biens et des activités. Pourtant, la nature du droit qui leur permet d’exercer ce pouvoir n’est pas un droit de propriété. Lorsque l’État exige des personnes résidant régulièrement sur son territoire de s’acquitter d’un impôt sur leurs revenus ; des propriétaires de biens immobiliers présents sur son sol, ou même des habitants résidant sur son territoire, de s’acquitter d’un impôt foncier ou local ; ou encore, que des droits de douane lui soient versés pour les marchandises traversant ses frontières, il exerce un droit qui n’est pas un droit de propriété.

De même, les liens réciproques entre l’État et les personnes disposant de sa nationalité, qui peuvent avoir des effets mutuels très importants – service militaire ou civique, protection consulaire, etc. – ne sont pas constitutifs d’un quelconque droit de propriété.

La conclusion s’impose rapidement : il existe d’autres droits, outre le droit de propriété, qui permettent d’assurer aussi bien, voire nettement mieux, des finalités variées. C’est ainsi que depuis 1978 – et la loi Informatique et Libertés -, le législateur a fait le choix de protéger les données personnelles en tant qu’élément de la personnalité des individus. Cette approche « personnaliste » imprègne également le RGPD (Réglement général sur la protection des données) adopté au niveau de l’Union européenne, dont les dispositions s’opposent frontalement à l’hypothèse « propriétariste ».
2.- Une efficacité hasardeuse

À l’échelle individuelle, les données sont dépourvues d’une valeur économique significative. C’est l’agrégation massive de données, à partir d’une granularité très fine, combinée à un traitement toujours plus rapide, à l’aide d’algorithmes de plus en plus sophistiqués et de machines de plus en plus performantes, qui permet de créer des modèles, d’anticiper et d’influencer les comportements. C’est ce pouvoir d’anticipation et d’influence qui confère une valeur économique aux données. Croire qu’un individu isolé pourrait retirer des revenus importants de la vente de ses seules données constitue donc une illusion et la légitimé économique de l’approche patrimoniale est pour le moins contestable¹⁷Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères..

Le droit à la protection des données personnelles existe pour protéger les personnes dans des rapports asymétriques, notamment dans leur rapport avec les entreprises et avec les administrations. Il existe pour rééquilibrer des rapports de forces par essence très fortement défavorables aux individus.

Les mécanismes qui engendrent de la valeur à partir de la collecte et du traitement des données personnelles sont, en pratique, bien souvent illégaux et contraires aux droits fondamentaux. En l’état actuel du droit, lorsqu’une personne consent à ce que l’on utilise des données la concernant, elle conserve un certain nombre de droits (accès, rectification, opposition, effacement, etc.), notamment celui de délimiter l’autorisation accordée à une finalité précise. Dans un système où les données seraient « vendues », ces facultés des individus à contrôler seraient affaiblies, puisque la transaction organiserait un transfert de propriété.

Se placer sur le terrain de la compensation monétaire équivaut donc en réalité à abdiquer ses droits fondamentaux. Doit-on accepter que les droits à la vie privée et à la protection de ses données personnelles soient rétrogradés du rang de droits fondamentaux à de simples biens échangeables sur un marché ?

Les données personnelles existent à la frontière de l’être et de l’avoir¹⁸Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères. . Elles constituent un attribut de la personnalité, une émanation immatérielle de l’individu, une prolongation incorporelle de soi-même.

Ces données revêtent, en outre, un caractère dual, janusien : elles oscillent entre intimité et sphère sociale. On occulte en effet bien trop souvent la dimension collective des données personnelles. Ou plutôt, leurs dimensions collectives : médiates et plus immédiates.

La première concerne par exemple nos données génétiques, susceptibles de révéler des informations sur nos parents, mais aussi sur l’humanité tout entière¹⁹CNIL, Les données génétiques, 2017, La documentation française, Collection Point CNIL, 216 p. ; https://slate.com/technology/2019/12/gedmatch-verogen-genetic-genealogy-law-enforcement.html.. Au-delà des données génétiques, il s’agit encore de données plus triviales, mais qui, dès lors que massivement agglomérées et traitées, permettent d’établir des « modèles » susceptibles de révéler des informations parfois très intimes sur des tiers.

La seconde concerne plus largement l’ensemble des données qui permettent d’être reliées, directement, à plusieurs personnes. À titre d’exemple, on pourrait citer un accident de voiture entre deux véhicules ou un rendez-vous entre deux personnes, l’un et l’autre susceptibles de révéler une multitude d’informations, parfois très précises, sur l’ensemble des protagonistes.

Aussi, contrairement à cette première intuition qui nous anime, les données personnelles ne sont que bien rarement strictement individuelles. Bien souvent, il s’agit en réalité de données collectives, sociales, à même de révéler des informations extrêmement précises et nombreuses, souvent intimes, sur une multitude d’individus. La voie de la patrimonialisation des données personnelles reviendrait à reconnaître un droit de propriété sur une chose qui ne nous appartient pas en propre.

Nos données personnelles permettent de tracer nos « graphes sociaux »²⁰https://en.wikipedia.org/wiki/Social_graph, d’y entrelacer des nœuds et d’esquisser les liens entre eux. C’est d’ailleurs pour avoir compris l’importance de cette dimension réticulaire des données personnelles que des entreprises comme Google ou Facebook ont pu construire leurs empires grâce à la publicité ciblée. Les données permettent de tisser la trame de nos sociétés et de nouer les points aux carrefours desquels nos relations sociales s’entrecroisent, en sorte qu’il s’agit de véritables « coordonnées sociales »²¹Lionel Maurel, « Calimaq », https://scinfolex.com/2018/06/28/google-les-donnees-sociales-et-la-caverne-des-habitus/ ; https://scinfolex.com/2018/05/25/rgpd-la-protection-de-nos-vies-numeriques-est-un-enjeu-collectif-tribune-le-monde/.

Si le droit actuel arrive à saisir les données personnelles dans la relation à l’individu, il reste encore assez largement impuissant à reconnaître et à protéger ce qui en fait la dimension collective. Contrairement à ce que soutient la thèse « patrimonialiste », renforcer encore l’approche individualiste en créant un droit de propriété privée ne constituera pas une solution, mais renforcera encore le problème.

Céder nos données reviendrait en réalité à vendre les clés permettant de nous emprisonner dans des bulles de filtre, de capter notre attention afin d’influencer notre perception de la réalité et, in fine, d’influer sur notre comportement à des fins marchandes, voire sociales et même politiques²²https://fr.wikipedia.org/wiki/Cambridge_Analytica.

Modéliser des comportements. Les anticiper. Et, surtout, les influencer. D’abord, afin d’engendrer un acte économique : l’achat. Ensuite, un acte social : gommer les comportements sociaux considérés négatifs ou favoriser ceux que l’on considère positifs. Ou enfin, un acte politique : le vote.

Justifier de telles pratiques pourrait bien saper les fondements mêmes de notre société, de nos démocraties et de nos États de droit²³En 2002, M. Michel Gentot écrivait déjà que, dans l’esprit du législateur, le droit à la protection des données personnelles « excédait très largement le seul registre de la protection de la vie privée et touchait aux fondements mêmes de l’État de droit. » (M. Gentot, « La protection des données personnelles à la croisée des chemins », in P. Taraboni (dir.), La protection de la vie privée dans la société de l’information, t. III, PUF, 2002, p. 25 s., spéc. p. 31)..

Le marketing économique, la publicité marchande, la propagande politique existent certes depuis des temps immémoriaux. Il est probable que ces activités aient toujours existé dans l’ombre de l’humanité. Mais l’ampleur, la puissance, l’efficacité de ces phénomènes n’ont probablement jamais été aussi importantes.

Face à ces enjeux, l’approche de la Quadrature du Net consiste à rester fidèle à la vision philosophique qui conçoit la protection des données comme un droit fondamental de la personne humaine, tout en ayant conscience de l’importance de nous organiser collectivement pour faire valoir ces droits. C’est la raison pour laquelle l’association, dès l’entrée en vigueur du RGPD, a lancé une série d’actions de groupe, mobilisant plus de 12 000 citoyens pour réclamer le respect de nos droits face aux pratiques des GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Ces recours collectifs, qui ont été rendus possibles par le RGPD, sont une manière de faire corps ensemble pour le respect de nos droits, mais ils restent encore davantage une agrégation de demandes individuelles plus qu’une défense de la dimension collective des données. Pour aller plus loin et faire évoluer le droit, il devient de plus en plus urgent de reconnaître un droit à l’interopérabilité, qui permettrait aux internautes de quitter les plateformes dominantes et rejoindre des alternatives plus respectueuses de leurs droits, tout en continuant à communiquer avec leurs contacts. Une telle évolution permettrait de protéger les données, non plus uniquement en tant que relation à soi, mais aussi comme relation aux autres.

***

Nos données personnelles nous définissent. Elles révèlent notre intimité la plus profonde.

Les effets néfastes de la théorie propriétariste sont légion²⁴Yann Padova, « Notre vie privée n’a pas de prix ! », Les Echos, 28 mars 2019 ; https://www.lesechos.fr/idees-debats/cercle/notre-vie-privee-na-pas-de-prix-1004389..

Il y a un peu plus de 40 ans, à l’heure où l’informatique en était encore à ses prémisses, le législateur eu la sagesse de proclamer, à l’orée de la première loi relative à l’informatique, aux fichiers et aux libertés, que l’informatique devait être au service de chaque citoyen, sans porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques²⁵Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés..

Au lieu de s’aventurer avec légèreté sur les terra incognita de la patrimonialisation de nos données personnelles, il serait préférable de s’interroger sur ce qui serait inévitablement défait pour tenter, probablement en vain, de poursuivre des finalités qui peuvent être atteintes par des voies plus sûres.

References[+]

↑1	La référence à ce passage du Petit Prince d’Antoine de Saint-Exupéry pour illustrer la différence entre « régner » et « posséder » et, plus largement, l’existence d’autres liens juridiques que le droit de propriété pour exercer du pouvoir sur une chose, est empruntée à la professeure Valérie-Laure Benabou, qui y recourra magistralement lors d’une conférence-débat coorganisée par le réseau Galatea et l’Ordre des avocats au Conseil d’État et à la Cour de cassation, qui se tint le 26 juin 2018 dans la bibliothèque de l’Ordre. Outre la professeur Valérie-Laure Benabou, les participants à ce débat étaient M. Jean Lessi, M. Gaspard Koenig, Me Emmanuelle Trichet et Me Isabelle Landreau. La vidéo de cette conférence-débat est consultable à cette adresse : https://www.youtube.com/watch?v=bbhr80OvSxI&t=3616s
↑2	Les textes recourent plutôt au vocable, plus lourd, de « données à caractère personnel ».
↑3	CNCDH, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, adopté à l’unanimité par l’Assemblée plénière de la Commission, pt. 32.
↑4	Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ; https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Mme Nicole Belloubet, garde des sceaux, faisait sienne la position du Conseil d’État dans les débats qui se sont tenus au Sénat le 21 mars 2018, sur le projet qui deviendra la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en réponse à un amendement qui visait à insérer un second alinéa à l’article L. 341-1 du code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »
↑5	CNIL, rapport d’activité 2017, p. 52 ; https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf
↑6	CNNum, rapport sur la « Neutralité des plateformes » (mai 2014), p. 37 ; CNNum, avis sur « La libre circulation des données dans l’Union européenne » (avril 2017).
↑7	Judith Rochfeld. Contre l’hypothèse de la qualification des données personnelles comme des biens, in : Les biens numériques, éd CEPRISCA, 2015, pp.221-23 ; http://www.ceprisca.fr/wp-content/uploads/2016/03/2015-CEPRISCA-BIENS-NUMERIQUES.pdf
↑8	Premier considérant du RGPD. 2) de l’article 1er du RGPD. Voir également, CE, ord. réf., 18 mai 2020, La Quadrature du Net e.a., n° 440442, 440445, pt. 6.
↑9	Article 544 du code civil.
↑10	Conseil d’État, « Le numérique et les droits fondamentaux », Étude annuelle 2014, p. 264 ; https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf
↑11	Dont la notion juridique est définie à l’article L. 112-3 du code de la propriété intellectuelle.
↑12	Article L. 341-1 du code de la propriété intellectuelle.
↑13	Par ex. Civ. 1ère, 5 juillet 2006, n° 04-16.687.
↑14	Article L. 111-1 du code de la propriété intellectuelle.
↑15	Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ; https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Pierre Truche, Jean-Paul Faugère, Patrice Flichy, « Administration électronique et protection des données personnelles. Livre blanc. », février 2002]. Cela vaut, a fortiori, pour les personnes morales, s’agissant des données de personnes physiques[[Thibault Verbiest, « Smart cities et données », JT 2019, n° 221, p. 31.
↑16	Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n’a pas été déclaré auprès de la CNIL, n’est pas dans le commerce, et sa vente a un objet illicite (cf. Com., 25 juin 2013, n° 12-17.037, Bull. civ., IV, n° 108). Le détournement de fichiers informatiques contenant des informations confidentielles peut être constitutif d’un abus de confiance (cf. Crim., 22 octobre 2014, n° 13-82.630). Le téléchargement, effectué sans le consentement de leur propriétaire, de données que le prévenu savait protégées caractérise la soustraction frauduleuse constitutive du vol (cf. Crim., 20 mai 2015, n° 14-81.336, Bull. crim., 2015, n° 119).
↑17	Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères.
↑18	Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères.
↑19	CNIL, Les données génétiques, 2017, La documentation française, Collection Point CNIL, 216 p. ; https://slate.com/technology/2019/12/gedmatch-verogen-genetic-genealogy-law-enforcement.html.
↑20	https://en.wikipedia.org/wiki/Social_graph
↑21	Lionel Maurel, « Calimaq », https://scinfolex.com/2018/06/28/google-les-donnees-sociales-et-la-caverne-des-habitus/ ; https://scinfolex.com/2018/05/25/rgpd-la-protection-de-nos-vies-numeriques-est-un-enjeu-collectif-tribune-le-monde/
↑22	https://fr.wikipedia.org/wiki/Cambridge_Analytica
↑23	En 2002, M. Michel Gentot écrivait déjà que, dans l’esprit du législateur, le droit à la protection des données personnelles « excédait très largement le seul registre de la protection de la vie privée et touchait aux fondements mêmes de l’État de droit. » (M. Gentot, « La protection des données personnelles à la croisée des chemins », in P. Taraboni (dir.), La protection de la vie privée dans la société de l’information, t. III, PUF, 2002, p. 25 s., spéc. p. 31).
↑24	Yann Padova, « Notre vie privée n’a pas de prix ! », Les Echos, 28 mars 2019 ; https://www.lesechos.fr/idees-debats/cercle/notre-vie-privee-na-pas-de-prix-1004389.
↑25	Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

]]> https://www.laquadrature.net/?p=16861http://isyteck.com/autoblog/quadrature/index.php5?20210112_163944_Reglement_terroriste____la_commission_LIBE_vote_pour_la_censure_securitaireTue, 12 Jan 2021 15:39:44 +0000Lundi, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen a voté le règlement dit « anti-terroriste ». Ce nouveau règlement obligera l’ensemble des acteurs de l’Internet à censurer en une heure n’importe quel contenu signalé comme « terroriste » par la police, et ce sans intervention préalable d’un juge.

Comme nous le répétons depuis maintenant deux ans :

• Le délai d’une heure n’est pas réaliste, seules les grosses plateformes seront en mesure de se conformer à une telle obligation;
• La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook;
• Ce pouvoir donné à la police, sans contrôle préalable d’un juge pourrait mener à la censure d’opposants politiques et de mouvements sociaux;
• Le texte permet à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse

.

Surtout, en juin 2020, le Conseil constitutionnel a censuré une disposition (parmi beaucoup d’autres) de la loi Avia qui prévoyait la même obligation de retrait en 1 heure de contenus notifiés comme « terroristes » par la police. Il a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication.

Les membres de la Commission LIBE ont néanmoins voté le texte. Les députés européens, et spécifiquement les députés français, ont donc voté en toute conscience un texte déclaré anticonstitutionnel en France. Ils devront en porter toute la responsabilité.

Nous travaillons sur ce texte depuis sa présentation en septembre 2018. Le vote d’hier était une étape importante dans le processus de son adoption, et donc une défaite pour la lutte contre la censure et la surveillance sur Internet. Ce vote a eu lieu sans aucun débat ou vote public (les résultats précis n’ont toujours pas été publiés).

La prochaine étape sera le vote en plénière au Parlement européen. Nous sommes prêts pour continuer la bataille contre ce texte et demander son rejet.

]]> https://www.laquadrature.net/?p=16814http://isyteck.com/autoblog/quadrature/index.php5?20210108_153642_Reglement_terroriste____le_Parlement_europeen_doit_s___opposer_a_la_censure_securitaireFri, 08 Jan 2021 14:36:42 +0000Lundi 11 janvier, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen va voter sur le règlement dit « antiterroriste ».

Ce texte (disponible ici en anglais, version non consolidée) vise à soumettre l’ensemble des acteurs de l’Internet à des obligations aussi strictes qu’absurdes.

La principale obligation sera de permettre aux autorités de n’importe quel État membre de l’Union européenne (que ce soit la police ou un juge) de demander le retrait de n’importe quel contenu qu’elle considère comme « terroriste » à un acteur du Web dans un délai d’une heure.

La loi Avia prévoyait l’exacte même obligation et le Conseil constitutionnel l’a censuré en juin dernier. Cette victoire nous avait laissé espérer que le texte européen soit profondément modifié. Ce n’est pourtant pas le cas. Après sa défaite nationale, le gouvernement français démontre clairement vouloir utiliser l’Union européenne pour faire passer des textes anticonstitutionnels.

Introduit en septembre 2018 par la Commission européenne, le règlement antiterroriste a été adopté en décembre 2018 par le Conseil de l’Union européenne puis adopté en première lecture par le parlement européen en avril 2019. Après des négociations en trilogue (entre les trois institutions européennes), il est maintenant de retour devant le Parlement pour un dernier vote (vous pouvez retrouver le bilan de nos actions sur ce texte en avril 2019 ici).

La Quadrature du Net a envoyé le message suivant aux membres de la Commission LIBE pour leur demander de rejeter ce texte.

—

Chers membres de la Commission LIBE,

Lundi 11 janvier prochain, vous allez voter sur le règlement « relatif à la prévention de la diffusion des contenus à caractère terroriste en ligne ». Nous vous demandons de rejeter ce texte dangereux qui ne pourra que conduire à une surveillance massive de nos communications en ligne et à une censure privée et automatisée de l’information.

En premier lieu, ce texte imposera à tout acteur du Web de bloquer en une heure n’importe quel contenu signalé comme « terroriste » par un juge ou par la police. Les exceptions prévues dans ce texte sont purement hypothétiques et ne protégeront pas en pratique nos libertés.

Le délai d’une heure est irréaliste et seule une poignée d’acteurs – les géants du Web – pourront respecter des obligations aussi strictes. La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook.

En France et dans d’autres pays membres de l’Union européenne, ce pouvoir sera donné à la police, sans contrôle préalable d’un juge. Un tel pouvoir pourrait mener à la censure d’opposants politiques et de mouvements sociaux.

En France, cette même disposition, obligeant des acteurs de l’Internet à retirer en une heure un contenu considéré comme « terroriste » par la police, a été considérée contraire à la Constitution en juin 2020. Le Conseil Constitutionnel a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication. L’adoption de ce texte serait faite donc en violation de la Constitution française et conduirait à amoindrir considérablement la confiance dans l’Union européenne.

En second lieu, le texte sur lequel vous devez vous prononcer est bien différent du texte adopté par le Parlement européen en avril 2019. L’article 4 permet ainsi à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse.

Demander aux membres du Parlement de voter dans un délai aussi court et sur un texte aussi important ne peut que vous encourager à rejeter ce texte et à exiger, sur des questions aussi complexes, un débat véritablement démocratique.

Les idéologies meurtrières ne peuvent être combattues que par des changements structurels et sociétaux. Ce texte joue sur la peur du terrorisme pour mieux contrôler la liberté d’expression sur Internet et limiter les oppositions politiques.

La Quadrature du Net vous demande de rejeter ce texte.

]]> https://www.laquadrature.net/?p=16803http://isyteck.com/autoblog/quadrature/index.php5?20210107_145847_Decrets_PASP____premiere_bataille_perdue_contre_le_fichage_massif_des_militants_politiquesThu, 07 Jan 2021 13:58:47 +0000Le 4 janvier 2021, le Conseil d’Etat a rejeté les recours formés en urgence par plusieurs associations (et dans lesquels nous étions intervenus) contre les trois décrets PASP, GIPASP et EASP (plus d’explications ici).

Le fichage massif des militantes et militants politiques, de leur entourage, de leurs opinions politiques, de leurs données de santé ne sera donc pas suspendu. Comme il s’agit de fichiers étendus par un texte réglementaire, seul le Conseil d’État avait le pouvoir de freiner les ambitions sécuritaires du gouvernement – ce qu’il vient de refuser de faire, au moins pour l’instant. Ce refus révèle toute la défaillance du système qui prétend encadrer les fichiers de police : le seul contre-pouvoir placé face aux ambitions de la police est un Conseil d’État qui, sur les questions sécuritaires, démontre régulièrement son manque d’indépendance idéologique vis-à-vis du gouvernement et un certaine largesse dans l’application du droit (tel que dans la présente décision, où la démonstration juridique est aussi sommaire que confuse).

Cette décision marque par ailleurs une nouvelle étape dans la déchéance de la CNIL : outre ses avis bien timides sur les fichiers (avis non contraignants), la CNIL avait néanmoins émis un communiqué pour critiquer le fait qu’elle n’avait pu donner son avis sur le fichage des opinions politiques, convictions religieuses et appartenances syndicales. Le Conseil d’État a balayé cet argument en un paragraphe, sans réelle explication.

Ce n’est cependant qu’une décision visant le recours en référé-suspension (c’est-à-dire une demande visant à suspendre les décrets le temps que le juge administratif puisse examiner les recours au fond), qui n’augure en rien d’une possible annulation des décrets sur le fond. La bataille n’est donc pas entièrement perdue. Nous avons déposé fin décembre, en même temps que de nombreuses associations, nos trois recours contre ces décrets. Une décision devrait donc être rendue, sur le fond cette fois-ci, dans quelques mois.

]]> https://www.laquadrature.net/?p=16788http://isyteck.com/autoblog/quadrature/index.php5?20210105_174732_Liberte_pour_Julian_AssangeTue, 05 Jan 2021 16:47:32 +0000Hier, la justice britannique a refusé la demande d’extradition de Julien Assange vers les États-Unis. Nous nous réjouissons de cette décision, qui soulève cependant quelques questions. Car rappelons-le, Julian Assange est aujourd’hui inquiété du fait de son activité de journaliste, qui l’a amené à rendre publics notamment les crimes de guerre commis par l’armée américaine dans le cadre de ses opérations en Irak, mais aussi d’autres dossiers d’intérêt public.


Nous déplorons que le verdict ne s’appuie que sur les seuls risques qu’une extradition aurait engendrée sur l’état de santé mentale d’Assange. Nous rejoignons ainsi les critiques rappelant que le jugement n’a pas rejeté la demande américaine sur le fond, validant ainsi la pratique de procès politique remettant en question la liberté de la presse et le droit à l’information, principes pourtant au cœur de cette affaire. 

Nous appelons donc à la libération de Julian Assange dès aujourd’hui, pour lui permettre de continuer d’informer librement, et d’être jugé de manière équitable, sans subir les pressions des États-Unis, qui rappelons-le, ont déjà persécuté de nombreux lanceurs et lanceuses d’alerte telles que Chelsea Manning.


Afin d’assurer sa protection, l’asile politique lui a été offert par le gouvernement mexicain, ce que nous saluons également. Nous regrettons que des pays dits « démocratiques » ne lui aient pas, eux aussi, offert asile.

Article de l’EFF sur le sujet : https://www.eff.org/deeplinks/2021/01/eff-statement-british-courts-rejection-trump-administrations-extradition-request
Notre article précédent en soutien à Assange : https://www.laquadrature.net/2020/09/08/freeassange/

]]> https://www.laquadrature.net/?p=16550http://isyteck.com/autoblog/quadrature/index.php5?20210103_094100_Technopolice__villes_et_vies_sous_surveillanceSun, 03 Jan 2021 08:41:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Depuis plusieurs années, des projets de « Smart Cities » se développent en France, prétendant se fonder sur les nouvelles technologies du « Big Data » et de l’« Intelligence Artificielle » pour améliorer notre quotidien urbain. Derrière ce vernis de ces villes soi-disant « intelligentes », se cachent des dispositifs souvent dangereusement sécuritaires.

D’une part, car l’idée de multiplier les capteurs au sein d’une ville, d’interconnecter l’ensemble de ses réseaux et d’en gérer l’entièreté depuis un centre unique et hyper-technologique ne peut qu’entraîner une surveillance accrue de ses habitant·es. Mais d’autre part, car les promoteurs de tels projets ne s’en cachent pas et considèrent que le premier objectif d’une « ville intelligente » doit être la sécurité de ses habitant·es. C’est ainsi que Caroline Pozmentier, l’adjointe au maire de Marseille considère que : « La safe city est la première brique de la smart city », ou, que Marc Darmon, directeur général adjoint de Thales déclare que : « La sécurité est, avec la mobilité, le pilier le plus réaliste de la Smart City. »

Panorama de la Technopolice en France

Un ensemble de nouvelles technologies visant à la surveillance totale de l’espace public sont ainsi expérimentées en toute opacité sur le territoire français. C’est le cas de la vidéosurveillance automatisée (dit vidéosurveillance « intelligente ») qui vise à détecter certains comportements considérés comme suspects par ses promoteurs : détection de mouvement de foule, de personnes se mettant subitement à courir, ou suivi de silhouettes ou de démarches… De tels projets sont déjà à l’essai à Valenciennes, Toulouse, Nice et bientôt à Marseille. [1] La reconnaissance faciale est par ailleurs un type de vidéosurveillance automatisée qui connaît un développement inquiétant : au niveau national avec le TAJ (le fichier des « Traitements des Antécédents Judiciaires) qui concerne plusieurs millions de personne mais aussi à Nice, où la technologie a été testée sur la voie publique en 2019 ou dans la région Sud où un projet de portiques de reconnaissance faciale dans des lycées est encore en discussion.

Les drones font également partie intégrante de ces projets techno-policiers. Ils participent à l’idée de multiplier les flux de vidéo (avec les caméras fixes et les caméras-piétons) pour ne plus laisser aucun espace à l’abri du regard tout-puissant des autorités. L’image ne leur suffit d’ailleurs pas : les dispositifs de détection de sons se multiplient à leur tour. C’est ainsi que le projet « Serenicity » à Saint-Etienne, aujourd’hui abandonné, prévoyait d’installer des microphones dans les rues pour détecter les « bruits suspects » et aider à l’intervention automatisée de la police.

D’autres projets plus globaux sont en préparation. À Marseille, la ville cherche, à travers son projet d’ « Observatoire de la tranquillité publique », à agréger l’ensemble des données issues des services municipaux pour détecter et prévoir les incidents, dans l’objectif de « façonner la ville quasi-idéale ». À Nice, encore une fois, le projet « Safe City », porté par Thalès, veut « anticiper les incidents et les crises » et « collecter le maximum de données existantes » et « effectuer des corrélations et de rechercher des signaux faibles ».

Le fantasme d’une ville sécurisée

Le même objectif se retrouve à chaque fois dans ces différents projets : celui d’une ville totalement sécurisée, surveillée et fluidifiée à l’aide d’outils technologiques soi-disant miraculeux : reconnaissance faciale, vidéosurveillance « intelligente », police prédictive, application mobile de dénonciation citoyenne… Ces outils participent à la transformation de la ville en un espace où le hasard n’a plus sa place, où l’intelligence artificielle servira, comme l’annonçait Gérard Collomb, à « repérer dans la foule des individus au comportement bizarre », où l’on parle de l’« optimisation de la gestion [des] flux » : une ville finalement où l’humain n’a plus sa place mais devient un capteur comme les autres, pour un maire qui se voit maintenant qualifié de « CEO de la ville »…

Car c’est l’un des pendants du développement de ces projets : la délégation à des entreprises privées de la gestion de la ville. Se retrouvent dans l’administration de nos espaces publics des logiques de marché, de concurrence, de normalisation qui y sont totalement étrangères et qui ne peuvent conduire qu’à des dérives, la première étant d’en faire des terrains d’expérimentations pour ces start-up qui peuvent développer en toute impunité leurs outils de surveillance. Caroline Pozmentier, encore elle, n’hésite ainsi même pas à déclarer que « les villes sont des laboratoires » pour ces outils technologiques de surveillance.

Un autre pendant de ces projets, c’est la militarisation de notre espace public : les drones sont avant tout un outil militaire dont l’utilisation commence pourtant à se normaliser au cœur de nos villes. Qui était ainsi derrière le projet de « Serenicity » à Saint-Etienne ? L’entreprise Verney Carron, fabricant d’armes et fournisseur de lanceurs de balle de défense Flash-balls pour la police et la gendarmerie nationale.

Terrorisme et nouveaux marchés industriels

Pourquoi ces projets sont-ils mis en place ? La première réponse à apporter est devenue une évidence dans le contexte politique des dernières années : la « menace terroriste », érigée en grand ennemi public face auxquels tous les Français·es ont le devoir de se rallier, s’est imposée comme un argument politique imparable. C’est en son nom qu’ont été notamment adoptées la loi Renseignement en 2015 ou la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » en 2017. Ces textes, ainsi que d’autres à venir, nous amputent pourtant chaque fois d’un peu plus de liberté. Au nom de la lutte contre le terrorisme, tout est maintenant acceptable car la lutte contre le terrorisme fait élire.

Désormais tout ce qui permet aux élu·es de se revendiquer de la « sécurité » vaut le coup. Les caméras de surveillance, qui sont présentes par dizaines de milliers dans nos villes, n’ont jamais réellement fournit la preuve de leur efficacité mais continuent pourtant de se multiplier. Nice est la ville la plus équipée en caméras de France, et elle l’était déjà en juillet 2016 lors de l’attentat sur la promenade des Anglais, sans qu’elle n’ait permis d’éviter quoi que ce soit.

Qu’importe, les choix d’augmentation des dispositifs de surveillance ne sont jamais faits dans le but d’augmenter de façon effective la sécurité. Si c’était le cas, cet argent serait orienté vers la rénovation des immeubles proches de l’effondrement à Marseille au lieu de l’être dans le projet de l’ « Observatoire de la tranquillité publique ». Le but des élu·es est finalement beaucoup plus clair : augmenter le sentiment de sécurité, et cela dans un objectif purement électoraliste.

La deuxième réponse est d’ordre économique. Derrière la mise en place de ces technologies se cache l’ouverture de nouveaux marchés : Thalès, Cisco, Huawei et d’autres industriels préparent ces projets depuis longtemps avec la volonté de vendre, clés en main, de nouveaux équipements aux villes qui le souhaiteraient. L’idée est de généraliser ces systèmes au maximum. Thalès a par exemple finalisé en avril le rachat de l’entreprise Gemalto, à l’origine du système PARAFE, qui gère le contrôle d’identité aux frontières dans les aéroports afin de se positionner en leader de la sécurité de la surveillance. Pour s’ouvrir à ce marché des villes sécuritaires, les industriels, les élu·es et les start-ups nous inondent de discours sur la ville intelligente et leur progrès technique inéluctable au service d’une soi-disante sécurité.

Enfin le dernier argument – le plus inquiétants au regard du respect de nos droits et libertés – est d’ordre politique. Ces technologies ont pour but de rendre l’espace urbain plus contrôlable et prévisible. Pour certain·es élu·es, les technologies de surveillance couplées à l’intelligence artificielle sont les outils parfaits pour l’exécution de leur fantasme sécuritaire. Christian Estrosi déclare ainsi vouloir « suivre, grâce au logiciel de reconnaissance faciale dont est équipé [le] centre de supervision urbain [de Nice], toutes les allées et venues des [fichés S] ». Dans le cadre de mouvements sociaux de plus en plus difficiles à réprimer, les outils de surveillance ont un impact normatif sur la société dont les dirigeant·es sont bien conscient·es : se savoir surveillé·e est en effet bien souvent aussi efficace que la surveillance en elle-même.

Dans cette atmosphère de progrès technologique fantasmé, les solutions techno-sécuritaires pré-fabriquées proposées par ces différents industriels se présentent comme la solution de facilité pour se faire élire et contenir plus facilement la population. Les argumentaires de lutte contre le terrorisme et de développement économique finissent d’entériner l’idée de contrôle total et massif de l’espace public.

Technopolice contre surveillance

La campagne Technopolice, lancée en septembre 2019 par La Quadrature du Net et d’autres associations, a pour objectif de mettre en lumière le développement de ces dispositifs, de partager les informations et de mettre en place la résistance nécessaire face à ces nouveaux outils de surveillance. De telles mobilisations ont déjà porté leurs fruits : les projets de portiques de reconnaissance faciale à Nice et de microphones dans les rues de Saint-Etienne ont été pour l’instant arrêtés en France par la Cnil. Ces projets craignent en effet la lumière, et le débat public peut y mettre un premier frein. Aux États-Unis, des mobilisations semblables ont par exemple conduit de nombreuses villes à prendre des arrêtés interdisant l’utilisation de la reconnaissance faciale.

Le but de la plateforme Technopolice est ainsi double : documenter de la manière la plus rigoureuse possible le déploiement de ces projets de surveillance à travers le pays, et construire ensemble des outils et des stratégies de mobilisation capables de les tenir en échec. L’enjeu, c’est de parvenir à organiser des résistances locales en les fédérant afin qu’elles puissent se nourrir les unes les autres. Vous pouvez dès à présent nous rejoindre sur forum.technopolice.fr pour participer à l’analyse et à la lutte contre le développement de ces projets sécuritaires.

Contre cette dystopie que préparent ceux qui prétendent nous gouverner, nous appelons à une résistance systématique.

]]> https://www.laquadrature.net/?p=16744http://isyteck.com/autoblog/quadrature/index.php5?20201222_152519_Interdiction_des_drones____victoire_totale_contre_le_gouvernementTue, 22 Dec 2020 14:25:19 +0000Le Conseil d’État vient d’exiger que la préfecture de police de Paris cesse sa surveillance par drones des manifestations (voir sa décision). Allant encore plus loin que son interdiction de mai dernier, la plus haute juridiction administrative est particulièrement virulente contre l’utilisation de drones en manifestation, laissant peu de place au gouvernement pour autoriser ceux-ci dans sa PPL Sécurité Globale. Le rapport de force s’inverse enfin : engouffrons-nous dans la brèche !

Comme nous le racontions, à la suite de la première interdiction exigée par le Conseil d’État en mai dernier, la préfecture de police de Paris a continué à utiliser les drones pour surveiller, notamment, les manifestations. Nous avons été donc forcé·es de former un nouveau recours contre cette surveillance illégale, recours que nous venons donc de gagner devant le Conseil d’Etat.

La préfecture de police avait tenté, pour contourner l’interdiction faite par le Conseil d’État d’utiliser des drones, d’ajouter un dispositif de floutage par intelligence artificielle. Aujourd’hui, le Conseil d’État a entièrement rejeté cette tentative grotesque d’esquiver la loi. La préfecture de police est donc enjointe d’arrêter immédiatement le déploiement de drones en manifestation.

Le Conseil d’État va même plus loin et dénonce le dispositif dans son essence : « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones ».

En droit des données personnelles, si l’utilité d’un dispositif de surveillance n’est pas clairement démontrée, il ne peut jamais être autorisé (en matière de données sensibles, telles que les opinions politiques captées en manifestation, il faut même que le dispositif soit « absolument nécessaire » au maintien de l’ordre).

En dénonçant l’absence d’une telle preuve, le Conseil d’État prive donc l’article 22 de la proposition de loi Sécurité Globale de tout fondement. Cette décision du Conseil d’État est une double claque pour le gouvernement : non seulement les drones sont interdits, mais le gouvernement a perdu toute légitimité juridique à vouloir les autoriser dans la loi (à moins d’apporter l’impossible preuve d’une « nécessité absolue »).

Après de longues semaines douloureuses à subir une série de projets autoritaires et de violences en manifestation, il se pourrait que le rapport de force commence enfin à s’inverser, le camp sécuritaire connaissant sa première défaite majeure. L’année 2021 commencera dans cette optique et, avec vous, nous vaincrons !

Pour documenter la lutte, nous détaillons ci-dessous l’ensemble du débat juridique contre le gouvernement qui, commençant il y a 6 mois, a conduit à la victoire d’aujourd’hui.

Premier confinement : le déploiement sauvage de drones déclaré illégal

En avril 2020, alors que la France connaissait un premier confinement , nous documentions comment les différentes forces de police en profitaient pour mettre à l’essai un usage totalement sauvage et opaque des drones. La tentation sécuritaire derrière cette initiative était très forte et assumée : celle de surveiller tout, tout le temps, par des moyens toujours plus intrusifs. C’est début mai, suite à un article de Mediapart qui avait obtenu des détails sur les drones parisiens, que nous attaquions en urgence cet usage aux côtés de la Ligue des droits de l’Homme dans la ville de Paris. Au-delà de ce cas particulier, le but de ce recours était d’obtenir une décision de justice démontrant l’illégalité de l’ensemble des déploiements de drones.

Le Conseil d’État nous a donné raison. Par une ordonnance de mai 2020, il enjoignait ainsi à la préfecture de police de Paris de cesser d’utiliser ses drones pour faire respecter les mesures sanitaires. Le juge estimait que les drones, en l’absence de tout encadrement, portaient atteinte aux libertés fondamentales et devaient être interdits. Si la décision de mai ne concernait que les drones utilisés à Paris pour faire respecter les règles propres au confinement, le raisonnement affiché par le Conseil d’Etat pouvait être utilisé de façon plus large et s’appliquer contre tout type d’usage. Ce qui n’a pas empêché le préfet Lallement de l’ignorer de façon délibérée.

Les manifestations : nouveau terrain de surveillance par drones

Avec l’assouplissement des mesures sanitaires et la ré-autorisation des manifestations, la préfecture de police ne s’est pas privée d’utiliser les drones pour surveiller ces rassemblements. Cet usage n’était pas nouveau (les manifestations de gilets jaunes ont quelquesfois été surveillées par drones avant le confinement), mais il venait cette fois-ci violer frontalement la décision du Conseil d’État qui venait de déclarer leur utilisation illégale quelques semaines plus tôt.

C’est grâce à votre aide que nous avons pu documenter cet usage par la préfecture de police : en juin, juillet, septembre, octobre. Lors de la procédure, la préfecture de police n’a jamais contesté cette utilisation systématique des drones en manifestation.

Surtout, si cette surveillance des manifestations restait illégale, elle questionnait l’usage des drones sous un angle nouveau : les opinions politiques n’ont pas à être surveillées. C’est pour cela que nous avons déposé un nouveau recours en urgence devant le Tribunal administratif de Paris.

Le floutage des personnes : un artifice dangereux

Grâce à cette nouvelle procédure, il nous a été révélé que la préfecture de police de Paris a tenté de contourner la première ordonnance de mai en mettant en place un dispositif de floutage par intelligence artificielle : une fois captées, les images des drones étaient transmises à un serveur chargé de flouter les personnes, avant de retransmettre les informations (images floutées et non-floutées) au centre de commandement de la police.

Mediapart analysait en novembre les documents de la préfecture tentant de justifier et d’expliquer ce procédé. Ce dispositif de floutage, réversible et soumis au seul bon vouloir de la police, était une tentative grossière de la préfecture de police de tromper les juges. Le Conseil d’État, contrairement au tribunal administratif de Paris, n’est pas tombé dans le piège : le rapporteur public¹Le rapporteur public est un membre de la formation de jugement
chargé de donner une première analyse juridique de l’affaire, avant que le Conseil d’État rende sa décision. estimait à l’audience que la préfecture de police avait commis une erreur de lecture de l’ordonnance de mai et que le fait de flouter les personnes souligne le problème intrinsèque aux drones : ce genre de dispositif a bien une capacité très importante de surveillance et un floutage a posteriori n’enlève rien à cela.

La CNIL doit mettre fin à la mauvaise foi de la police

Cette affaire met en lumière l’incroyable mauvaise foi de la préfecture de police qui, durant toute la procédure, a tenté de sauver son dispositif à l’aide d’indignes pirouettes, faisant ainsi évoluer sa doctrine d’utilisation des drones au gré des débats²Fort heureusement, comme en mai dernier, le Conseil d’État n’a donné aucune valeur à cette doctrine qui n’a aucune portée juridique., ou n’hésitant pas à contredire de manière éhontée ses propres documents quand nous les retournions contre elle pour appuyer l’illégalité du déploiement des drones.

La préfecture de police est en roue libre et il est fondamental de mettre fin à cette impunité. Le préfet de police a par exemple attendu près de deux mois pour appliquer (faussement vient de dire le Conseil d’État) la décision de mai. Combien de temps lui faudra-t-il cette fois-ci ? La CNIL doit passer à l’action et sanctionner les forces de police nationale et de gendarmerie qui continuent d’utiliser des drones ou des hélicoptères pour surveiller les manifestations ou faire appliquer les règles sanitaires. Nous lui avons mâché le travail, à elle de prendre le relais.

Cette nouvelle interdiction des drones intervient alors que la proposition de loi Sécurité Globale a déjà été votée en première lecture à l’Assemblée nationale et arrivera à la rentrée devant le Sénat. Après les critiques des rapporteur·es des Nations Unies de la Défenseure des droits et de 188 organisations, et les manifestations qui ont eu lieu partout en France contre ce texte, son rejet est d’autant plus important. Non seulement cette loi légalise les usages policiers de drones et accentue une fois de plus la pression sécuritaire sur les citoyen·nes, mais elle fait également fi de la protection la plus élémentaire des libertés fondamentales.

References[+]

↑1	Le rapporteur public est un membre de la formation de jugement chargé de donner une première analyse juridique de l’affaire, avant que le Conseil d’État rende sa décision.
↑2	Fort heureusement, comme en mai dernier, le Conseil d’État n’a donné aucune valeur à cette doctrine qui n’a aucune portée juridique.

]]> https://www.laquadrature.net/?p=16710http://isyteck.com/autoblog/quadrature/index.php5?20201221_182435_Contre_la_politique_de_maintien_de_l___ordre_en_ligneMon, 21 Dec 2020 17:24:35 +0000Photo by Ralph (Ravi) Kayden on Unsplash

Depuis un mois nous vous parlons de la loi Sécurité Globale, de fichiers de police étendus, des nouveaux moyens donnés à la police pour réprimer les manifestants et des moyens de dénonciation des violences policières qui leur sont retirés. Aujourd’hui nous abordons les stratégies de maintien de l’ordre en ligne.

La censure, première arme de maintien de l’ordre sur internet

Depuis la création d’Internet, il semble que nos gouvernants n’aient eu de cesse de le présenter comme un « espace de non-droit » qu’il faudrait au plus vite « re-civiliser », y rétablir l’ordre. Si l’année 2000 a d’abord vu apparaître un statut européen protecteur des hébergeurs, préservant ces derniers de toute obligation de contrôle actif des contenus publiés sur leurs infrastructures sauf à « retirer promptement un contenu manifestement illicite qui leur aurait été désigné », différentes lois se sont enchaînées depuis pour renforcer la censure d’État.

La police est ainsi la première entité à bénéficier d’un très fort pouvoir de censure au prétexte de lutter contre le « terrorisme ». Lorsque la police demande à ce qu’un contenu soit censuré, elle s’adresse directement à l’hébergeur. Aucun juge n’intervient alors à ce stade et la police est la seule à décider de la nature d’un contenu qu’elle veut faire censurer, sur la base d’une notion de « terrorisme » particulièrement large, floue et sujette à l’arbitraire. Le seul recours offert est la contestation devant les tribunaux de la demande de censure mais cette possibilité est dérisoire : le juge arrive après la demande de la police, des mois voire des années plus tard. Ce mécanisme, dans lequel le juge n’intervient qu’en cas de contestation, prive les hébergeurs de toute marge de manœuvre quant à ces demandes, et les place dans une position de faiblesse. De l’autre coté, ce système offre à la police de vastes capacités d’abus et de censures politiques¹.

Les géants du Net, bras armé de l’État

Loi haine, Règlement européen de censure terroriste, loi Fake News, Directive Copyright, toutes les lois de censure de ces dernières années remettent en question la protection du statut d’hébergeur, en leur confiant le rôle de police sur Internet. 1h pour censurer les contenus considérés comme « terroristes », 24h pour censurer les contenus ciblés comme « haineux », la mission confiée ici aux géants du web à travers cette exigence de délais si courts est de créer une police robotisée pour automatiser la censure. Sous couvert de lutte contre la haine ou le terrorisme, ce sont bien souvent les opposants politiques qui sont visés.

Lire notre article Une loi contre la haine anti-macron ? »

Les géants, tout à fait enclins à obéir aux États tant qu’ils conservent leur position dominante sur le marché illégal des données personnelles, font même du zèle, appliquant ces lois avant même leurs applications.

Contre la censure et la surveillance en ligne, la décentralisation

Depuis quelques jours nous avons vu s’inscrire sur notre instance Mastodon, mamot.fr, plus de mille personnes ayant souffert de la censure politique de Twitter. Beaucoup d’entre eux nous ont demandé quelle était notre politique de conservation des données et de censure. Il y a trois ans nous avons fait l’objet d’une réquisition concernant les données personnelles d’un utilisateur de mamot. Si la loi française « pour la confiance en l’économie numérique » demande aux hébergeurs de conserver les données des utilisateur·ices pendant un an, La Quadrature a choisi de respecter le droit européen et de ne conserver ces données que 14 jours.

Lire notre article Réquisition de mamot.fr, LQDN s’en tient aux droits fondamentaux

Qu’il s’agisse de régime de conservation et de communication à la police de données personnelles ou de modération et de filtrage des contenus publiés, nous gagnerons toujours à avoir une diversité d’hébergeurs et à lutter contre la centralisation des contenus et des personnes. C’est pourquoi, même si les nouv·elles venu·es sur mamot.fr sont les bienvenu·es, nous vous encourageons à ne pas vous concentrer sur ce serveur : de nombreuses instances existent et vous pouvez aussi créer les vôtres afin d’utiliser les nombreuses possibilités de modération qu’offre la décentralisation, et surtout créer des espaces dont vous choisissez les règles. Nous envisageons d’ailleurs de clore bientôt les inscriptions sur mamot.fr afin d’éviter qu’elle ne devienne une instance trop grosse.

Interopérabilité

Sur tous les réseaux, le poids de l’organisation verticale décidée unilatéralement se fait de plus en plus sentir. Il nous revient à toutses de créer ou de trouver des espaces pour communiquer qui ne soient plus assujettis aux principes économiques des plateformes ou aux principes sécuritaires des États. Mais quitter les plateformes des géants revient souvent à abandonner des liens importants, et nombreux sont ceux qui choisissent de céder un peu de leurs libertés pour préserver ces liens.
Pour permettre à tout le monde de préserver ses liens sociaux et ses libertés, La Quadrature propose depuis deux ans de contraindre les géants à devenir interopérables. C’est-à-dire, de les forcer à communiquer avec l’extérieur comme c’est le cas pour le mail : peut importe votre hébergeur mail, vous pouvez écrire à n’importe quelle autre adresse email car le protocole est ouvert.
Pour les réseaux sociaux c’est possible aussi : le protocole ActivityPub permet par exemple aux différentes instances Mastodon de communiquer entre elles. Ce protocole permet même de faire communiquer des réseaux qui ont des activités différentes (publications d’images, de vidéos, de billets de blogs…). Si les plateformes géantes étaient interopérables, il deviendrait possible de supprimer nos compte et de refuser de se soumettre entièrement à leur Conditions Générales d’Utilisation, pour passer sur des services qui respectent nos droits, voire même héberger soi-même son propre compte !

Lire notre lettre commune Pour l’interopérabilité des géants du web

Forcer les géants du Net à devenir interopérable est un projet probablement aussi ambitieux que d’imposer la neutralité du Net. L’Union européenne pourrait commencer à se saisir de cet enjeu dans son récent Digital Market Act, qu’il faudra pleinement investir dans les mois à venir.

Depuis 2008, La Quadrature se bat contre la surveillance et la censure sur Internet, nous dénonçons les lois liberticides et tentons de faire pression sur nos représentant·es pour qu’iels préservent nos droits. Pour que La Quadrature continue ses combats nous avons besoin d’énergie et d’argent. Pour nous aider à lutter contre ces futurs sécuritaires, parlez de nos combats autour de vous et faites un don si vous le pouvez sur laquadrature.net/donner

References[+]

↑1	L’affaire d’IndyMedia Nantes un exemple d’abus assez parlant : la police voulait censurer une revendication de sabotage et la justice, parce que l’hébergeur est allé jusqu’au bout et a tenu, le tribunal administratif a fini par déclarer abusive la demande de la police.

]]> https://www.laquadrature.net/?p=16546http://isyteck.com/autoblog/quadrature/index.php5?20201220_101800_Combattre_le_capitalisme_identitaireSun, 20 Dec 2020 09:18:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Il ne fait désormais plus aucun doute que le marché de la surveillance est en plein essor. Des sociétés vendent aux États des systèmes d’identification des populations, à des fins de contrôle, pour des marchés se comptant en milliards d’euros. En France, de plus en plus de villes mettent en place des systèmes invasifs, qu’il s’agisse d’ériger des portiques de reconnaissance faciale dans les lycées (comme à Nice et Marseille ¹), de déployer des drones (en dépit de la faune locale qui ne les apprécie que peu, comme à Paris ²) ou de forcer les habitants à s’identifier sur des services en ligne pour interagir avec leur administration – comme l’illustre notamment le site Technopolice.

Il y a également un autre marché plus insidieux, que l’on suppose parfois moins nuisible que celui, brutal, de la surveillance par les États. C’est celui de l’économie de l’attention, de la marchandisation de nos comportements et de nos identités. Ne nous trompons pas de sujet, la plupart des multinationales hégémoniques du numérique (Google, Apple, Facebook, Amazon et Microsoft – GAFAM par la suite) parlent³ de vente et d’exploitation de données personnelles et non de comportement, car la donnée est abstraite et omniprésente. Il est difficile de s’opposer à une collecte de données personnelles ou de métadonnées. La donnée est abstraite, une modélisation mathématique, et peut-être isolée, car il est difficile d’en percevoir l’effet au quotidien. Pourtant si l’on parle des comportements que décrivent ces données, alors il devient beaucoup plus évident de s’opposer à cette collecte et à leurs marchandisations.

Parler de capitalisme des comportements, de capitalisme des identités, de capitalisme identitaire, au lieu de capitalisme de surveillance ou de l’économie de l’attention, permet de rendre concret et palpable ce que font réellement les GAFAM. Ils analysent nos comportements dans le but de nous forcer à nous comporter de certaines façons. De plus, cela permet de mettre en lumière le fait que les pratiques de surveillance des États et ce capitalisme du comportement sont en fait souvent les deux faces d’une même pièce de cette surveillance. D’autant que les acteurs de ces deux formes de surveillance sont, de fait, souvent les mêmes. Palantir, par exemple, la société qui a obtenu un marché d’analyse de grandes quantités de données pour la DGSI⁴ en France, est fondée par Peter Thiel. Qui est également le fondateur de PayPal, le premier financeur externe de Facebook et qui, via le fonds d’investissement duquel il fait partie, investit également dans Airbnb, Lyft, Space X (le programme spatial d’Elon Musk) et Spotify.

Palantir est loin d’être le seul exemple. La société Amesys, ancienne filiale du groupe Bull, s’est fait connaître par la vente d’un système de surveillance à Mouammar Kadhafi⁵. Ou encore Amazon, qui héberge le cloud de la CIA (un petit contrat à 600 millions de dollars tout de même). Ou Google qui, via le projet Maven (officiellement abandonné en 2019 suite à des pressions des employé·es de Google), entraîne les drones à faire de la reconnaissance de cible⁶. C’est un phénomène global qui touche énormément d’entreprises du numérique, comme le documentent, par exemple, Transparency Toolkit et Privacy International⁷.

Ces capitalistes identitaires tirent leur richesse du travail que nous leur fournissons gratuitement en alimentant leurs gigantesques collections de données comportementales. Chaque fois que vous lisez quelque chose en ligne, que vous regardez une vidéo, que vous la repartagez avec d’autres ou non, chaque action minime que vous entreprenez sur Internet, permet à ces ogres gargantuesques de s’enrichir encore plus, d’accumuler encore un peu plus de contrôle tout en évitant de s’y soumettre, renforçant toujours plus l’asymétrie propre aux systèmes capitalistiques. Cela engendre également une forme de prolétariat. Une dépossession des travailleu·ses dans ces systèmes de leurs outils de production, pour ne se voir évaluer qu’en fonction de leur « crédit social ». Qu’il s’agisse du nombre d’étoiles du chauffeur supposé indépendant, mais aliéné à Uber (ou Lyft), ou le nombre de vues de votre profil Facebook ou de contenus sur Instagram, le « score p » de votre chaine Youtube⁸, votre valeur dans ce système capitaliste est celle que les plateformes de gestion de contenus vous donnent.

Ce n’est pas la qualité intrinsèque du contenu de ce que vous publiez, ou de ce que vous lisez, qui compte. C’est le score que vous attribue une entreprise de manière arbitraire qui décide de votre valeur, de ce que vous êtes pour la société, de ce à quoi vous aurez accès. Ces gigantesques entrepôts d’information sur les comportements et les identités sont gérés par des entreprises qui cherchent à gagner toujours plus et à n’importe quel prix, au mépris de l’éthique et même des lois. Elles n’hésitent pas à collaborer et à renforcer les systèmes oppressifs existants pour conquérir de nouveaux marchés. Ces entreprises n’ont pas fait exprès, elles sont désolées et promis juré, la prochaine fois elles feront mieux, développant une culture de l’excuse⁹ et s’exonérant à l’inverse de toute responsabilité.

Ces entrepôts comportementaux permettent aux États de renforcer encore plus leurs appétits pour obtenir toujours plus de moyens de contrôle des populations dans une forme de « partenariat public privé de la surveillance ». Appétits qui sont ensuite nourris par les nouvelles avancées technologiques proposées par les GAFAM, créant ainsi un cercle vicieux, affaiblissant encore plus les prolétaires au contrôle sur leurs comportements et identités, afin de toujours donner plus aux mêmes et de permettre à cette classe de très riches cyberbourgeois de continuer de bénéficier d’un pouvoir de plus en plus total sur nous.

Il existe cependant des moyens pour mettre à mal ce capitalisme identitaire. Se saisir des moyens de production apparaît comme l’une des façons les plus efficaces, qu’il s’agisse des machines de productions des ouvriè·res industriel·les ou des systèmes de production et de consommation d’information. De la même manière que le travail à la chaîne a retiré aux ouvrier·es leurs statuts et les ont asservi aux machines en les dépossédant de leurs compétences et connaissances, les systèmes centralisateurs des GAFAM cherchent à nous empêcher de comprendre comment fonctionnent les échanges d’informations pour nous déposséder de notre connaissance.

Leur force, en plus de l’appétence des États en quête de toujours plus de contrôle, est d’être parvenus à transformer un système géré en communauté – Internet – en un système géré par eux. Pour s’affranchir de leur contrôle, il faut s’affranchir de leurs solutions, de leurs outils. L’Internet des protocoles, par exemple, est un premier pas dans cette direction (voir l’article L’Internet des Protocoles dans ce même dossier). Mais seul, il ne suffit pas. Il faut que nous prenions tou·tes conscience que ce problème s’étend bien au-delà de nos simples espaces en ligne. L’identification systématique requise pour utiliser des services, quels qu’ils soient, en forçant la création (ou l’association) d’un « compte », nous identifiant, de préférence avec un système d’identification centralisée, renforce le pouvoir de ces GAFAM et des États sur nous. Cela nous force également, nous militan·tes, à nous soumettre à leur bon vouloir pour constituer les archives de nos luttes, pour coordonner nos actions ou simplement pour prendre des nouvelles les un·es des autres.

Requérir d’une personne qu’elle dispose d’un compte Google pour accéder aux discussions internes à un groupe est dangereux et vous coupe des personnes qui refuseraient d’avoir un tel compte. Mais exiger qu’elle ouvre un compte sur une plateforme « sécurisée » quelconque n’est pas forcément une meilleure idée¹⁰. Si votre liste de militant·es pour l’environnement est rendue publique, il y a fort à parier que votre mouvement en pâtisse. En France comme ailleurs, les services de renseignements utilisent de plus en plus les médias sociaux comme source de renseignement¹¹. Lorsque votre réseau social privé sera compromis, le fait que les communications soient chiffrées ne vous protégera pas. Utiliser un protocole de chiffrement est un bon premier pas, mais ne suffit pas à lui seul. L’analyse des données comportementales — qui parle à qui et quand — via les métadonnées¹² suffit à mettre en danger les personnes. Savoir comment sont chiffrées vos communications, ou qui a accès à tel ou tel élément de la conversation est tout aussi important. Les systèmes de messageries privées mis en place par les GAFAM et les entreprises qu’elles financent, directement ou non (WhatsApp, Messenger, iMessage, etc.) ne permettent pas de répondre à ces questions, même si le logiciel est à code ouvert.

Car un programme, quel qu’il soit, s’exécute dans un environnement social et technique. Cet environnement est tout aussi important que le code source. Les nombreux échecs de l’utilisation d’algorithmes pour essayer de modérer les discussions¹³ sont très souvent liés aux biais personnels des personnes développant ces logiciels, ces personnes étant souvent des hommes blancs, relativement aisés, vivants sur la côte ouest des États-Unis. Mais au-delà des problématiques politiques, des limitations matérielles et légales existent. Par exemple, si le système de génération de nombre aléatoire d’un ordinateur est modifié pour ne générer que des nombres prédictibles (par exemple, que des 1), alors tous les algorithmes de chiffrement utilisant cet ordinateur sont instantanément cassés et inefficaces, sans pour autant que l’utilisat·rice du service ne remarque quoi que ce soit. Par ailleurs, il existe des territoires sur lesquels les nations obligent des entreprises à ajouter des faiblesses dans leurs logiciels, via des « portes dérobées » communément appelées backdoors¹⁴ ou du « chiffrement responsable »¹⁵. Ces pratiques sont de plus souvent tenues secrètes par des procédures bâillons¹⁶. De fait, il est malheureusement illusoire de penser que le seul fait que le logiciel soit à code ouvert est une garantie suffisante de protection des communications.

Il est donc impératif de résister aux sirènes de l’identification systématique sur les pages et services en ligne. La plupart des contenus que vous consultez ne changent pas en fonction de votre identité. Ou ne devrait pas. Que je sois Arthur, Ahmed ou Amélie ne devrait pas changer le contenu d’un journal ou d’un livre que je consulte. Certes, une personne me connaissant pourra me recommander tel ou tel livre en fonction de mes goûts personnels, pour peu que je les partage avec elle, mais il me reste possible de prendre un média au hasard et son contenu sera le même pour moi que pour tous les autres. Ou devrait être le même. Les commentaires, idées, ou autre, que je produis et souhaite rendre publiques ne devraient pas être limités par l’accès aux seul·es membres d’un club privé et restreint, mais rendus disponibles à toute personne voulant les lires, les commenter, les critiquer ou les partager avec ses ami·es.

Au-delà du simple contenu, la manière dont nos comportements transitent en ligne est aussi importante et est souvent associée à une identité. Les adresses IP, attribuées par des fournisseurs d’accès à Internet, ou les numéros IMEI de vos téléphones portables, très souvent associés à une déclaration d’identité, sont également utilisés pour faire du profilage (par exemple, bon nombre de publicités vous localisent géographiquement relativement précisément¹⁷).

Il est donc fondamental, pour se réapproprier les moyens de production numérique, de se réapproprier nos collectifs et nos identités, de questionner les structures s’occupant de convoyer ces petits bouts de comportements d’un point à l’autre de la planète.

Au plus bas niveau, cela peut être de créer ou de rejoindre un fournisseur d’accès à Internet associatif, comme l’un de ceux fédérés autour de la FFDN¹⁸. À un niveau plus élevé, il peut s’agir d’utiliser d’autres moyens de se connecter à Internet que de passer par la seule ligne fournie par votre fournisseur, en utilisant des protocoles de routage alternatif comme Tor ou GNUNet. Mais il est également de notre responsabilité à tou·tes de documenter nos usages, d’archiver nos luttes, de les partager et de les faire circuler. Sans que tout le monde ne devienne ingénieur·e en systèmes et réseaux, permettre à chacun·e de pouvoir accéder au contenu de la manière qui l·a protège le plus sans qu’iel n’ait à décliner son identité est fondamental.

Les réflexions sur la gouvernance et l’Internet des protocoles doivent aussi s’inscrire dans une vision politique plus large. Par exemple, les archives de discussions d’il y a cinq ans sont-elles réellement nécessaires ? Et si oui, ne serait-il pas possible de les conserver sous la forme d’un texte de positionnement reprenant les éléments clefs de cette conversation, supprimant le nom des personnes qui ont tenu ces propos il y a cinq ans et permettant aux nouve·lles venu·es d’avoir la réponse à une question qu’iels auraient pu poser et rejouer de nouveau cette discussion ?

À l’inverse, les conversations quotidiennes, qui font le sel du travail militant, qui nous permettent de tenir le coup, de veiller les un·es sur les autres, n’ont pas nécessité à être mises à disposition du public au-delà de l’intervalle de temps dans lequel elles prennent place. C’est le deuxième point important et nécessaire pour s’affranchir du contrôle des capitalistes identitaires. Il faut se poser la question de ce que l’on garde comme données, comme traces de comportement. Même les inscriptions aux casiers judiciaires sont censées être limitées dans le temps et avoir une date au-delà de laquelle on considère que la personne a suffisamment changé pour ne pas se voir chargée à vie de ses actions passées¹⁹. Même à des fins d’observation des comportements à l’échelle de la société, il est souvent bien plus efficace de ne conserver que des données dites consolidées, c’est à dire étant le résultat d’un traitement statistique, et non le détail de chaque donnée. Enfin, dans le cadre d’étude scientifique, notamment médicale, mais aussi sociologique, le consentement des personnes participant·es à cette étude est un préalable à toute forme de travail scientifique, il devrait en être de même pour l’analyse comportementale, expérimentale ou non.

Distribuer la responsabilité de la gestion au plus grand nombre, se poser la question de la persistance des données et de l’accès à celles-ci sont les moyens par lesquels il devient possible de se réapproprier nos moyens de production culturelle et informationnelle, de reprendre le contrôle sur l’identité que nous voulons afficher auprès des autres. C’est aussi le meilleur moyen d’attaquer les GAFAM là où il sera possible de leur faire le plus de dégâts : le portefeuille. Si un Internet hors des plateformes se développe, alors ces entreprises n’auront plus la possibilité de toujours fournir plus de données aux États, brisant ainsi le cercle vicieux et la course à la plus grande quantité de comportements analysés et disséqués.

References[+]

↑1	La Quadrature du Net, « Reconnaissance faciale au lycée : l’expérimentation avant la généralisation », 19 déc. 2018, https://www.laquadrature.net/2018/12/19/reconnaissance-faciale-au-lycee-lexperimentation-avant-la-generalisation/
↑2	Jean-Muchel Décugis, « Paris : les goélands attaquent les drones de la police », 25 juin 2019, http://www.leparisien.fr/faits-divers/les-goelands-attaquent-les-drones-de-la-prefecture-de-police-de-paris-25-06-2019-8102361.php ; voir aussi une vidéo de La Quadrature « Comment lutter contre la surveillance en manif ? », https://video.lqdn.fr/videos/watch/b1f10929-b471-4caf-8fbe-5c8dade9142f
↑3	Quand ils n’évitent pas tout bonnement le sujet où n’utilisent des tournures encore plus alambiquées.
↑4	Hervé Chambonnière, « Palantir. La « boule de cristal » des services de police et de renseignement », 10 juin 2019 https://www.letelegramme.fr/france/palantir-la-boule-de-cristal-de-la-dgsi-10-06-2019-12307531.php
↑5	Olivier Tesquet, « Amesys, cette société française qui aidait Kadhafi à surveiller les Libyens », 17 mars 2016 mis à jour le 1 fév. 2018, https://www.telerama.fr/medias/amesys-cette-societe-francaise-qui-aidait-kadhafi-a-surveiller-les-libiens,139820.php
↑6	Nicholas Montegriffo, « Le créateur de l’Oculus Rift se joint au controversé Project Maven », 11 mars 2019 https://www.androidpit.fr/createur-oculus-rift-project-maven
↑7	Autour d’un projet visant à établir les entreprises privées du secteur de la surveillance, Surveillance Industry Index, https://sii.transparencytoolkit.org/ et https://www.privacyinternational.org/explainer/1632/global-surveillance-industr
↑8	Sylvqin, « P-Score : comment Youtube a noté les chaînes des créateurs (et a oublié de le cacher) », 1 nov. 2019, https://www.youtube.com/watch?v=PYrJq7r90Ao
↑9	Benjamin Ferran, « Facebook, Google et la culture de l’excuse permanente », 5 oct. 2017, http://www.lefigaro.fr/secteur/high-tech/2017/10/05/32001-20171005ARTFIG00097-les-geants-de-la-tech-et-la-culture-de-l-excuse-permanente.php voir en ce sens 14 ans d’excuses de Facebook : Geoffrey A. Fowler Chiqui Esteban April, « 14 years of Mark Zuckerberg saying sorry, not sorry », 9 avril 2018, https://www.washingtonpost.com/graphics/2018/business/facebook-zuckerberg-apologies
↑10	Comme cela peut être détaillé dans la brochure « Parlons de Signal », 29 juil. 2019, https://iaata.info/Parlons-de-Signal-3517.html
↑11	Et ce sans cadre légal spécifique, voir aussi Léa Sanchez, « Après les « gilets jaunes », les services de renseignement veulent mieux anticiper les mouvements sociaux », 18 juil. 2019, https://www.lemonde.fr/societe/article/2019/07/18/les-services-de-renseignement-veulent-mieux-anticiper-les-mouvements-sociaux_5490588_3224.html
↑12	Olivier Clairouin et Martin Vidberg, « Comment les métadonnées permettent de vous surveiller (expliqué en patates) », 1 juil. 2015, https://www.lemonde.fr/pixels/video/2015/06/15/comment-les-metadonnees-permettent-de-vous-surveiller-explique-en-patates_4654461_4408996.html
↑13	Okhin – La Quadrature du Net, « De la modération », 22 juil. 2019, https://www.laquadrature.net/2019/07/22/de-la-moderation/
↑14	Une porte dérobée est une fonctionnalité cachée et inconnue des utilisat·rices d’un outil informatique permettant aux personnes qui l’ont introduite de prendre contrôle de tout ou partie de cet outil souvent au détriment de ses utilisat·rices (par exemple pour les espionner ou pour installer d’autres logiciels sur l’ordinateur), pour plus de détails voir par exemple : la page https://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e ou https://www.panoptinet.com/culture-cybersecurite/cest-quoi-un-backdoor-porte-derobee.html
↑15	Qui est en réalité totalement irresponsable, ouvrant une porte dérobée permettant le déchiffrement des contenus sans que la personne ne le souhaite remettant en cause toute la sécurité du dispositif, pour plus d’explications : Yves Grandmontagne, « ‘Chiffrement responsable’ : les irresponsables des backdoors », 20 nov. 2017 https://itsocial.fr/enjeux/securite-dsi/cybersecurite/chiffrement-responsable-irresponsables-backdoors/
↑16	Weronika Zarachowicz, « Comprendre les procédures-bâillons : le stade ultime de l’intimidation judiciaire », 16 mai 2017 mis à jour le 1 fév. 2018, https://www.telerama.fr/monde/comprendre-les-procedures-baillons-le-stade-ultime-de-l-intimidation-judiciaire,158229.php
↑17	Voir par exemple, Julie rédactrice chez Tactill, « Les meilleurs outils pour une publicité géolocalisée », 5 déc. 2017, https://www.tactill.com/blog/les-meilleurs-outils-pour-une-publicite-geolocalisee/
↑18	Fédération des Fournisseurs d’Accès Internet Associatifs, https://www.ffdn.org/
↑19	Malheureusement ces délais en plus d’être très longs ne sont pas toujours très bien respectés.

]]> https://www.laquadrature.net/?p=16644http://isyteck.com/autoblog/quadrature/index.php5?20201214_135812_Contre_les_technocrates_et_les_oligopoles__democratiser_les_telecomsMon, 14 Dec 2020 12:58:12 +0000Alors que le déploiement de la 5G suscite une large opposition populaire, La Quadrature du Net et la Fédération FDN des fournisseurs d’accès associatifs (FFDN) interpellent aujourd’hui les responsables publics français. L’enjeu ? Œuvrer à la démocratisation des politiques dans le secteur des télécoms. Comment ? En favorisant le développement de réseaux construits et gérés par et pour la population.

Il y a près de deux ans, La Quadrature se battait aux côtés des opérateurs télécoms associatifs de la Fédération FDN et de nombreux autres « réseaux communautaires » à travers le monde pour porter une revendication simple : démocratiser les télécoms. Et pour ce faire, favoriser le développement d’infrastructures gérées en bien commun par des opérateurs alternatifs plutôt que d’inféoder la régulation des télécoms aux intérêts d’une poignée d’industriels. Nous avons même obtenu quelques avancées, à la fois modestes et historiques, encourageant le développement des réseaux communautaires (dont on pourrait dire, par analogie avec l’agriculture, qu’ils sont un peu les AMAP du numérique). Pourtant, bien qu’inscrites dans le Code des communications électroniques européen adopté fin 2018 au niveau de l’Union européenne, ces dispositions se heurtent aujourd’hui à l’indifférence totale des responsables publics.

Après le piteux lancement de la 5G, décidé en haut lieu et imposé brutalement en dépit d’oppositions légitimes, il nous a semblé utile de les remettre sur la table. Car si les responsables publics, à l’image du président sortant de l’Arcep Sébastien Soriano, se plaisent à disserter sur les « biens communs » et à dénoncer les dérives du capitalisme numérique, les actes concrets se font cruellement attendre. On se paie de belles paroles, mais en réalité rien ne change. À travers ce « commonswashing », on tente de légitimer des politiques conçues pour servir les intérêts du cartel de multinationales qui domine aujourd’hui le secteur, et redonner un peu de panache à la vision industrielle éculée des quelques technocrates qui pilotent ces dossiers. Mais, en pratique, personne n’est vraiment dupe : c’est business as usual.

Alors que le gouvernement finalise la transposition du Code des communications électroniques européen par voie d’ordonnance, et tandis que l’Arcep devrait rendre un avis sur ce projet de transposition, nous publions aujourd’hui des lignes directrices favorables au développement d’opérateurs alternatifs – c’est-à-dire opérant sur un modèle coopératif ou, comme la Fédération FDN, sur un mode associatif. Fruit du travail commun de dizaines de réseaux communautaires à travers l’Europe, elles ont été publiées dès 2017 et, pour certaines d’entre elles, reprises par le Parlement européen afin de les inscrire dans le code européen des télécoms. Nous les présentons aujourd’hui dans une version traduite et mise à jour qui prend en compte l’évolution du cadre réglementaire intervenue depuis lors.

Alors que le Parlement français sera bientôt saisi de l’ordonnance de transposition du code européen des télécoms, et tandis que de nombreux responsables publics – y compris des élus locaux – s’interrogent sur la crise de légitimité qu’affrontent les politiques dans le domaine du numérique, nous entendons ainsi rappeler que des solutions concrètes se construisent « par en bas », et qu’il est grand temps de leur accorder la reconnaissance qu’elles méritent. Et ce d’autant plus que, désormais, le cadre réglementaire européen y oblige.

Plutôt qu’une course effrénée à l’innovation industrielle, plutôt que la surenchère technologique et la fuite en avant de la surveillance, ces initiatives citoyennes montrent qu’il est possible de construire des réseaux simples et résilients, adaptés aux besoins et aux valeurs de leurs usagers, mais aussi respectueux de leurs droits. Pour ainsi reconstruire une maîtrise démocratique des infrastructures télécoms.

Télécharger les Lignes directrices pour le développement des réseaux communautaires.

]]> https://www.laquadrature.net/?p=16607http://isyteck.com/autoblog/quadrature/index.php5?20201210_095702_____Safe_City_____de_Marseille____on_retourne_a_l___attaqueThu, 10 Dec 2020 08:57:02 +0000MAJ du 11 décembre : Premier bout de victoire, la ville annonce avoir « suspendu » le projet. Nous attendons la résiliation du contrat.

Nous repartons à l’attaque contre la « Safe City » de Marseille. Le projet de vidéosurveillance automatisée, que nous avions déjà essayé d’attaquer sans succès en janvier dernier, est en effet toujours d’actualité, et ce malgré le changement de majorité à la mairie et les critiques de la CNIL. Nous déposons donc un nouveau recours devant le tribunal administratif de Marseille pour stopper ce projet dangereux et illégal – alors que la loi « Sécurité Globale » discutée au Parlement cherche justement à faciliter l’analyse algorithmique des images de vidéosurveillance. L’enjeu est aussi de créer une jurisprudence capable d’entraver des projets similaires en cours dans d’autres villes françaises, comme à Paris, Toulouse, Nice, Lille ou encore Valenciennes.

En janvier dernier, dans le cadre de notre campagne Technopolice, nous attaquions le projet de vidéosurveillance automatisée de la ville de Marseille, alors dirigée par Jean-Claude Gaudin épaulé par son adjointe à la sécurité, Caroline Pozmentier.

En novembre 2018, la ville avait en effet signé avec la société SNEF un contrat pour installer un dispositif de « vidéoprotection intelligente ». Ce dispositif doit, selon eux, permettre de pallier au fait que les opérateurs humains ne peuvent pas visualiser l’ensemble des images issues des caméras et que l’aide d’un logiciel leur serait nécessaire. Une justification qui marche sur la tête : alors que l’utilité de la vidéosurveillance est toujours aussi contestée, on continue pourtant à multiplier les caméras dans nos rues, jusqu’à remplacer les opérateurs humains dépassés par des machines supposément toutes-puissantes.

Technopolice marseillaise

Parmi les fonctionnalités envisagées de ce dispositif à Marseille, on trouve la détection automatique de graffitis, de destruction de mobilier urbain, la possibilité de rechercher dans les archives de vidéosurveillance par filtre de photos ou de « description », la détection sonore de coups de feu ou d’explosions, la « reconstitution d’évènements » (comme le parcours d’un individu) ou la détection de « comportements anormaux » (bagarre, maraudage, agression).

Derrière la technicité des termes utilisés, le projet ressemble parfaitement à ce que l’on voit se multiplier un peu partout en France, discrètement depuis plusieurs années : le déploiement de nouvelles technologies visant à décupler les pouvoirs de surveillance de la police grâce aux avancées de l’analyse algorithmique. Reconnaissance faciale oui, mais pas seulement : « tracking » de personnes, détection de comportements suspects, analyse de foule… Et depuis la crise sanitaire : caméras thermiques, détection du port de masque ou calcul de distance physique.

Le projet de Marseille est d’ailleurs directement lié aux projets que nous avons dénoncé dans notre campagne. La société SNEF, qui a eu le marché en 2018, admet elle-même sur sa brochure commerciale être liée à d’autres entreprises de surveillance, en premier lieu la société israélienne Briefcam (voir d’ailleurs l’article d’EFF ici), l’entreprise canadienne Genetec ou le français Evitech : des entreprises qui développent toutes des produits illégaux de surveillance à destination des collectivités.

Ces dispositifs, couplés à l’augmentation du nombre de caméras, permettent une surveillance totale de notre espace urbain et nous réduisent à une société de suspects, traqués et identifiés identifiés en permanence. C’était donc l’objectif de notre premier recours en janvier dernier : lutter contre le développement de cette Technopolice en dénonçant son illégalité.

Une opacité qui empêche d’agir en justice

Nous avons néanmoins perdu ce premier contentieux. Non pas pour une raison de fond concernant le système mis en place par Marseille, mais pour une raison purement procédurale. Alors que nous attaquions la décision de la ville de mettre en place le dispositif, le tribunal a rejeté notre requête en considérant que nous aurions dû attaquer le contrat signé entre Marseille et la SNEF. C’est ce que nous faisons donc aujourd’hui en demandant la résiliation de ce marché.

Cette première défaite en mars est loin d’être anodine : elle révèle la difficulté à contester devant les tribunaux la mise en place des systèmes de vidéosurveillance automatisée. De tels systèmes ne font en effet que très rarement l’objet de décisions administratives publiques (et facilement attaquables) mais sont plutôt organisés autour de décisions non publiées ou de marchés publics moins médiatisés, plus compliqués aussi à attaquer.

Si nous avons pu avoir connaissance du projet de Marseille, c’est parce qu’il a fait l’objet d’un appel d’offre spécifique. La plupart du temps, ils sont englobés dans d’autres marchés, plus généraux, sur la sécurité publique ou la vidéosurveillance, ou dans des contrats pluriannuels passés avec de grosses entreprises, où aucune publication n’est nécessaire si la ville décide d’installer un jour un logiciel d’analyse algorithmique. Nous avons récemment écrit au ministère de l’Intérieur pour tenter de trouver des solutions face à cette opacité organisée, mais nos demandes et relances sont restées à ce jour sans réponse.

Gaudin et Rubirola, même combat

Autre point important : la mairie de Marseille n’est plus dirigée aujourd’hui par la même équipe que celle qui avait signé en 2018 le contrat. Ainsi, on a pu espérer un instant que la liste du Printemps marseillais abandonne le contrat au vu de ses positions sur la défense des libertés. En mars 2020, durant la campagne des municipales, il avait répondu favorablement à notre lettre ouverte demandant un moratoire sur les projets technopoliciers à Marseille. L’équipe de campagne nous avait également contacté pour nous signifier leur intérêt de notre manifeste contre la Technopolice. Dès la victoire aux municipales, en juillet dernier, il avait été question d’un « moratoire » sur la vidéosurveillance. Plus récemment encore, nombre des partis auxquels appartiennent certains cadres de l’administration marseillaise ont signifié leur opposition à la loi « Sécurité Globale » et à ses objectifs d’intensifier la vidéosurveillance sur le territoire. Des élus du Printemps Marseillais se sont également montrés aux côtés des manifestants sur le Vieux-Port le 28 novembre dernier.

Hélas, comme nous l’avons dénoncé à l’occasion de cette manifestation, cela fait six mois que cette nouvelle liste est au pouvoir et les actes concrets se font toujours attendre. L’idée de « moratoire » semble même avoir disparu. Lors du dernier conseil municipal (voir page 172), il est maintenant fait état d’un « déploiement (…) contenu » des caméras pour atteindre le nombre de 1500 sur le territoire communal. Et même si l’on parle d’un « bilan et une évaluation complète du dispositif », la collectivité a tenu à souligner que pour « assurer la continuité du fonctionnement des équipements actuels, le lancement d’une nouvelle procédure de marché public est nécessaire ». On est bien loin d’un moratoire ou d’un audit citoyen, auxquels le Printemps Marseillais s’était pourtant engagé. Quant à l’arrêt définitif du projet d’observatoire Big Data de la tranquillité publique — un prototype de police prédictive — et de l’expérimentation de la vidéosurveillance automatisée, les nouveaux élus marseillais ne semblent pas même au fait de ces dossiers.

Ainsi, s’agissant de la vidéosurveillance automatisée fournie par la SNEF, le marché public semble toujours bien en place, comme l’attestent d’ailleurs les documents que nous avons obtenus et qui concernent les échanges entre la mairie et la CNIL. En septembre dernier, l’autorité de protection des données personnelles livrait ainsi une sévère critique de « l’analyse d’impact » réalisée à la va-vite par la ville de Marseille suite à notre recours en référé de l’hiver dernier. La CNIL évoque notamment des finalités imprécises et les justifications insuffisantes avancées par la mairie pour justifier au plan juridique le déploiement de ce nouvel outil de surveillance. Ces critiques n’ont pourtant pas suffit à mettre un coup d’arrêt au projet.

Tandis que les nouvelles majorités municipales oublient déjà leurs promesses électorales et semblent incapables d’aller à contre-courant des dogmes sécuritaires, nous les attaquons pour les rappeler au strict respect du cadre légal.

]]> https://www.laquadrature.net/?p=16593http://isyteck.com/autoblog/quadrature/index.php5?20201208_171957_Decrets_PASP____fichage_massif_des_militants_politiquesTue, 08 Dec 2020 16:19:57 +0000Après la loi sécurité globale et la loi séparatisme, le gouvernement poursuit son offensive généralisée visant à museler toute opposition politique. Mercredi dernier, les trois fichiers de « sécurité publique » (PASP, GIPASP et EASP) ont été largement étendus par trois décrets (ici, ici et là). Ils permettront le fichage massif de militantes et militants politiques, de leur entourage (notamment de leurs enfants mineurs), de leur santé ou de leurs activités sur les réseaux sociaux. Malgré ses moyens limités, La Quadrature du Net n’entend pas se faire prendre de vitesse par cette offensive généralisée. Elle contestera ces décrets non seulement dans la rue, chaque samedi au sein de la coordination contre la loi sécurité générale, mais aussi en justice, devant le Conseil d’État.

Historique

En 2008, la DST et les RG ont été supprimés et leurs missions ont été partagées entre la DCRI (maintenant DGSI, la direction générale de la sécurité intérieure) et la DGPN (direction générale de la police nationale). Les fichiers des anciens services ont été partagés entre la DCRI (qui les a récupérés dans le fichier CRISTINA) et la DGPN (dans un fichier alors nommé EDVIGE). Une mobilisation historique sur l’étendue trop importante des informations contenues dans EDVIGE avait forcé le gouvernement a retirer le décret qui l’autorisait.

En 2009, le gouvernement revient avec deux fichiers distincts qui tentent de corriger les pires reproches faits à EDVIGE (tel que le fait de ficher les « opinions politiques », des données de santé ou des enfants). Les deux fichiers sont le fichier des enquêtes administratives (EASP) et le fichier de prévention des atteintes à la sécurité publique (le PASP), tous deux gérés par la police. En 2011 est créé le GIPASP, l’équivalent du PASP pour la gendarmerie.

Un rapport de 2018 permet de bien saisir le fonctionnement de ces fichiers de renseignement : en 2017, le PASP comportait 43 446 notes sur des individus, répartis autour d’une demi-douzaine de thèmes qu’on pourrait résumer ainsi :

• manifestations illégales ;
• violences et dégradations liées à des contestations idéologiques ;
• violence et vandalisme lors de manifestations sportives ;
• violences liées aux économies souterraines ;
• discours prônant la haine, agressions, stigmatisations envers certaines communautés ;
• radicalisation, prosélytisme virulent, velléités de départ à l’étranger en zone de combat ;
• pressions sectaires.

Ces notes pouvaient contenir des informations particulièrement détaillées : profession, adresses physiques, email, photographies, activités publiques, comportement, déplacements…

Fichage généralisé des manifestants

Jusqu’à présent, les fichiers de renseignement de la police (PASP) et de la gendarmerie (GIPASP) ne concernaient que des personnes physiques considérées comme dangereuses par les autorités. Nouveauté importante : depuis la semaine dernière, les fichiers pourront aussi concerner des personnes morales ou des « groupements ». On imagine qu’il s’agira d’associations, des groupes Facebook, de squats, de ZAD ou même de manifestations.

Si une fiche est ouverte pour une manifestation, le PASP et le GIPASP permettent aussi de lister les personnes « entretenant ou ayant entretenu des relations directes et non fortuites » avec ce « groupement ». Jusqu’à présent, les fiches du PASP et du GIPASP ne pouvaient lister l’entourage des « personnes dangereuses » que de façon succincte, sur la fiche principale de la personne dangereuse. Désormais, si la police le juge nécessaire, chaque membre de l’entourage pourra avoir une fiche presque aussi complète que celle des personnes dangereuses (activités en ligne, lieux fréquentés, mode de vie, photo…).

Ces deux évolutions semblent officialiser une pratique (jusqu’alors illégale) qui commençait à apparaître dans le rapport de 2018 précité : « certaines notes se bornent à faire état de faits collectifs, notamment pour les phénomènes de bande ou les manifestations, avec une tendance à inclure dans le traitement toutes les personnes contrôlées ou interpellées alors qu’il n’est fait état dans la note d’aucun fait personnel qui leur est reproché ». C’est ainsi l’ensemble des participants (« ayant entretenu une relation directe et non fortuite ») à une manifestation (« groupement » considéré comme dangereux) qui pourraient se voir attribuer une fiche particulièrement détaillée sur la base d’informations obtenues par la police sur le terrain (vidéo captées par drones et caméra mobile, par exemple) ou sur les réseaux sociaux.

Fichage automatisé

Les trois décrets augmentent considérablement la variété et l’ampleur des informations pouvant être enregistrées. Sont visées les « habitudes de vie » et les « activités en ligne ». Dans son avis préalable, la CNIL souligne que « l’ensemble des réseaux sociaux est concerné », « les données sont à ce titre collectées sur des pages ou des comptes ouverts » et « porteront principalement sur les commentaires postés sur les réseaux sociaux et les photos ou illustrations mises en ligne ». Une forme de surveillance devenue monnaie courante à défaut d’être encadrée dans la loi, et d’autant plus dangereuse qu’elle peut facilement être automatisée.

Inquiète, la CNIL demandait à « exclure explicitement la possibilité d’une collecte automatisée de ces données ». Le gouvernement a refusé d’ajouter une telle réserve, souhaitant manifestement se permettre de telles techniques, qu’il s’est déjà autorisé en d’autres matières (voir notre article en matière de surveillance fiscale).

Opinions politiques et données de santé

Les notes individuelles peuvent désormais contenir des informations qui relèvent « des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale » là où, avant, seules pouvaient être enregistrées des informations se rattachant à « des activités politiques, philosophiques, religieuses ou syndicales ».

S’agissant des personnes considérées comme dangereuses, le fichier pourra désormais recueillir des données de santé supposées « révéler une dangerosité particulière » : « addictions », « troubles psychologiques ou psychiatriques », « comportement auto-agressif ». La CNIL souligne qu’il ne s’agira pas d’une information « fournie par un professionnel de santé [mais] par les proches, la famille ou l’intéressé lui-même ». Difficile de comprendre en quoi la police aurait besoin d’une telle variété de données aussi sensibles, si ce n’est pour faire pression et abuser de la faiblesse de certaines personnes.

Fichage des victimes et des enfants

Autre débordement : le PASP et le GIPASP peuvent désormais contenir des fiches détaillées sur les « victimes » des personnes considérées comme dangereuses (sans que cette notion de « victime » ne renvoie à une notion pénale, étant interprétée librement par les agents).

Encore plus grave : alors que, depuis leur origine, le PASP et le GIPASP interdisaient de ficher des enfants de moins de 13 ans, les nouveaux décrets semblent désormais indiquer que seuls les mineurs considérés comme dangereux bénéficieront de cette protection d’âge. Ainsi, en théorie, plus rien n’empêche la police d’ouvrir une fiche pour un enfant de 5 ans ou de 10 ans se trouvant dans l’entourage d’une personne considérée comme dangereuse ou parce qu’il se trouvait dans une manifestation qui a dégénéré.

Recoupement de fichiers

Le rapport de 2018 précité explique que « l’accès à l’application PASP se fait par le portail sécurisé « CHEOPS » qui permet de donner accès, sous une même configuration, à différentes applications de la police nationale [et qui] dispose d’une fonctionnalité originale, en cours d’enrichissement par des développements complémentaires. Il s’agit d’une gestion de liens pertinents entre individus du fichier qui aboutit à élaborer graphiquement des sociogrammes (leader d’un groupe, membres du groupe, antagonistes…) ».

Cette constitution de graphes sociaux fait directement écho à l’entourage des « groupements » décrit plus haut. Mais ce commentaire renvoie aussi à une autre réalité, décrite par la CNIL dans son avis préalable : de nombreuses catégories d’informations comprises dans les trois fichiers « seront alimentées manuellement par d’autres traitements » – les agents nourriront les fichiers PASP, GIPASP et EASP en allant manuellement chercher des informations dans d’autres fichiers. Pour leur faciliter le travail, les nouveaux décrets prévoient que les notes individuelles mentionneront si la personne concernée est aussi fichée dans l’un des 5 autres grands fichiers de police (TAJ, N-SIS II, fichier des personnes recherchées, FSPRT, fichiers des objets et véhicules volés ou signalés).

Reconnaissance faciale

Autre nouveauté facilitant considérablement le recoupement des fichiers : les décrets prévoient que le PASP, le GIPASP et l’EASP participent non seulement à la sécurité publique, mais désormais aussi à la « sûreté de l’État », qui est définie comme recouvrant les « intérêts fondamentaux de la Nation ». Il s’agit d’une notion très large, que la loi renseignement de 2015 a défini comme couvrant des choses aussi variées que « les intérêts économiques et industrielles majeurs de la France », le respect des engagements internationaux pris par la France ou la lutte contre les manifestations non-déclarées et les attroupements. Un des intérêts de cette notion juridique est de donner accès aux photographies contenues dans le fichier TES, destiné à centraliser les photos de tout détenteur de passeport et de carte d’identité. Une fois obtenues, les photographies pourront être ajoutées au PASP ou au GIPASP et, pourquoi pas, aussi au TAJ, où elles pourront être analysées par reconnaissance faciale (dispositif que nous avons déjà attaqué devant les tribunaux).

D’ailleurs, les décrets de la semaine dernière ont pris le soin de supprimer la mention qui, depuis leur origine, précisait que le PASP comme le GIPASP « ne comporte pas de dispositif de reconnaissance faciale ». En lisant l’avis de la CNIL, on comprend que le projet initial prévoyait carrément d’ajouter un nouveau dispositif de reconnaissance faciale dans le PASP et le GIPASP, afin d’identifier automatiquement les fiches correspondant à la photographie d’une personne : « l’interrogation par la photographie doit constituer une nouvelle possibilité d’interrogation du traitement (à l’instar du nom) […] aux fins de déterminer si la personne dont la photographie est soumise figure déjà dans le traitement ». Ce nouveau système n’apparaît plus dans les décrets publiés, le gouvernement ayant sans doute préféré créer des ponts entre les différents dispositifs existants plutôt que de déployer une nouvelle infrastructure complexe. Ou peut-être a-t-il simplement préféré remettre à plus tard la légalisation de cette fonctionnalité controversée.

Conclusion

Alors que la loi sécurité globale autorise des techniques de captation d’informations en masse (drones et caméras piétons), ces trois nouveaux décrets concernent la façon dont ces informations pourront être exploitées et conservées, pendant 10 ans. Si, via la loi sécurité globale, tous les manifestants pourront être filmés en manifestation et que, via le fichier TAJ, une grande partie d’entre eux pourra être identifiée par reconnaissance faciale, le PASP et le GIPASP leur a déjà préparé une fiche complète où centraliser toutes les informations les concernant, sans que cette surveillance ne soit autorisée ni même contrôlée par un juge.

L’ensemble de ce système, aussi complexe qu’autoritaire, poursuit l’objectif décrit dans le récent livre blanc de la sécurité intérieure : faire passer la surveillance policière à une nouvelle ère technologique avant les JO de 2024. Nous préparons notre recours pour contester la validité de ces décrets devant le Conseil d’État et serons samedi 12 décembre dans la rue, comme tous les samedis désormais, pour lutter contre le fichage généralisé et la surveillance des manifestants.

]]> https://www.laquadrature.net/?p=16500http://isyteck.com/autoblog/quadrature/index.php5?20201207_101200_Contre_les_futurs_securitaires__faites_un_don_a_La_QuadratureMon, 07 Dec 2020 09:12:00 +0000

Futur et sécurité.

Nos dirigeants et leur armée d’industriels n’ont que ces mots à la bouche. Ils prétendent nous guider tels des prophètes vers ce futur auquel, paraît-il, on n’échappera pas, parce que ce serait pour notre bien. Ce futur qu’ils nous promettent c’est celui de la surveillance biométrique, des drones et des caméras partout.

« Expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent » déclarait notre secrétaire d’État chargé du numérique. De toute façon, comme toutes les autres technologies de surveillance, « la reconnaissance faciale ne peut être désinventée » ; alors à quoi bon s’y opposer ?

Prétendre que le futur est tracé de manière immuable et nier son caractère politique, c’est le meilleur moyen de se dédouaner, de s’ôter la culpabilité de transformer nos villes en Technopolice, en laissant nos vies exsangues de libertés.

La Quadrature du Net refuse ce futur.

Nous nous battrons pour choisir notre futur. Nous nous battrons pour que les machines et techniques servent les habitants des villes et de la Terre. Qu’elles ne nous soient plus imposées, qu’elle ne servent plus à nous faire taire et à nous contrôler. Rejoignez-nous dans ce combat. Soutenez La Quadrature du Net.

POURQUOI DONNER À LA QUADRATURE ?

Pour faire le travail qui est le sien, l’association a une fantastique équipe de membres bénévoles, mais elle a besoin d’une équipe salariée. Elle se finance grâce à vos dons.
L’association ne touche aucun argent public, mais elle touche des subventions de la part de deux fondations philanthropiques, OSF et FPH, à hauteur de 25 % de son budget.
Tout le reste provient de la générosité des personnes qui estiment que nos droits et nos libertés doivent être défendues sans relâche.

COMMENT DONNER ?

Vous pouvez faire un don par CB, ou bien par chèque, par virement ou en crypto-monnaie.
Et si vous pouvez faire un don mensuel — même un tout petit ! — n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, les dons mensuels nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
En plus, le cumul de vos dons vous donne droit à des contreparties (sac, t-shirt, hoodie, etc.)

DE NOUVEAUX PALIERS POUR LES CONTREPARTIES

Les paliers qui donnent accès aux contreparties ont changé l’année dernière. Ils ont augmenté (c’est rarement dans l’autre sens…) pour s’adapter aux coûts de la fabrication et de l’expédition.
Dorénavant, il faudra cumuler 42 € de dons pour recevoir un piplôme, 64 € pour un sac (+piplôme), 128 € pour un t-shirt (+piplôme+sac), et 314 € pour un hoodie (+piplôme+sac+t-shirt).
Attention, l’envoi n’est pas automatique, il faut faire la demande sur votre page personnelle de donateur.
Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et parce qu’on fait tout ça nous-mêmes avec nos petites mains. Mais elles finissent toujours par arriver !
Merci encore pour votre générosité, et merci beaucoup pour votre patience <3

À QUOI SERVENT VOS DONS ?

Tout simplement à faire exister l’association. La Quadrature du Net emploie actuellement une équipe de six salarié·es à plein temps. C’est encore trop peu, pour tout le boulot à abattre. Quand on en parle avec nos collègues à l’étranger, l’étonnement est toujours le même : « Vous êtes aussi peu nombreux pour faire tout ça ? ». Oui, on est aussi peu nombreux, même en comptant les membres bénévoles, et non, on n’a pas le temps de s’ennuyer…
En 2020, vos dons nous ont permis de récolter 217 000 €. Nos dépenses pour l’année se montent à 195 000 €. Pour l’année qui vient, nous nous fixons un objectif de 240 000 € de dons, avec l’espoir de pouvoir embaucher une personne supplémentaire dans l’équipe.
Les dons recueillis servent principalement à payer les salaires des permanents (79 % des dépenses). Le restant couvre le loyer et l’entretien du local, les déplacements en France et à l’étranger (en train uniquement) et les divers frais matériels de l’activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).
Quand on ventile toutes les dépenses (salaires inclus) sur nos campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :


]]> https://www.laquadrature.net/?p=16252http://isyteck.com/autoblog/quadrature/index.php5?20201206_100200_Les_couts_societaux_de_la_publicite_en_ligneSun, 06 Dec 2020 09:02:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

(Re)définir la publicité

La page Wikipédia la concernant est éloquente, elle commence ainsi « La publicité est une forme de communication de masse, dont le but est de fixer l’attention d’une cible visée (consommateur, utilisateur, usager, électeur, etc.) afin de l’inciter à adopter un comportement souhaité  : achat d’un produit, élection d’une personnalité politique, incitation à l’économie d’énergie, etc. »¹. Elle ne s’éloigne pas des définitions plus classiques où l’on retrouve toujours le fait « d’inciter », de « promouvoir », « d’exercer sur le public une influence, une action psychologique afin de créer en lui des besoins, des désirs »²

Il est important de poser ces définitions pour sortir des chaussetrappes où la publicité serait entendue, dans son sens étymologique, comme le fait de rendre quelque chose « public », de le faire connaitre et serait assimilée à de la simple communication, voire à de l’information du public. Non, la publicité n’est pas là pour échanger ni pour informer, elle est là pour inciter. Elle agit sur nos schémas cognitifs, nos pensées et nos rêves, sur nos « temps de cerveaux disponibles »³ pour les modifier, majoritairement dans des logiques de consommation commerciale voire de propagande politique.
Ainsi, une personne qui tire des revenus de la publicité tire des revenus de la modification des processus cognitifs des individus et donc quasi systématiquement de leurs manipulations dans des actes de consommation potentiellement inutiles et néfastes.

Le deuxième point important à rappeler est que la publicité ne crée pas en soi de valeur et toute l’énergie qui y est investie peut être perçue comme gaspillée. Elle est susceptible de créer des besoins ou peut réorienter des pratiques, mais cela sans faire appel à des choix conscients ou informés. Elle joue sur les désirs, sur les fonctionnements cognitifs, sur nos peurs, etc. 
À l’échelle sociétale, la publicité est un surcout de paiement. On subit la publicité dans la rue comme sur Internet et on paye ces influences mentales, majoritairement non souhaitées, quand on achète un bien ou un service.
La publicité est donc payée aussi bien cognitivement que monétairement.

Une définition sarcastique en creux de la publicité pourrait donc être : le symptôme d’une société malade qui paye une industrie parasite pour se faire manipuler.

Pour en résumer brièvement quelques-uns, la publicité a pour cout sociétaux :

• La modification des comportements orientée par des logiques mercantiles et adressée surtout aux personnes qui sont les plus vulnérables à ces influences, et notamment aux enfants ;
• La création de besoins et les conséquences notamment environnementales et sociales qui les accompagnent, par la surconsommation de biens (nouvel ordiphone, voiture…) ;
• Des utilisations à des fins de propagande politique et donc de perversion de l’idéal des logiques démocratiques ;
• Des liens de contrôle des médias, dont les informations seront influencées par ce lien de dépendance⁴ ;
• La construction ou la reproduction de normes sociales par des pratiques de communication de masse qui viennent influencer et polluer nos imaginaires.

Malheureusement, la publicité a trouvé avec Internet un terrain de jeu sans égal qui n’a fait que renforcer ses conséquences.

 

Le modèle publicitaire, le péché originel d’Internet

Internet n’a pas été pensé et spécialement conçu pour des pratiques économiques. Facilité de transmission de l’information et de son partage, pratiques décentralisées, numérisation des contenus et une reproduction à cout marginal… En dehors des couts d’accès à Internet qui étaient eux onéreux (matériel informatique et abonnements liés au débit), la navigation en ligne et même les premiers services numériques ne requéraient aucun paiement. Les premiers temps d’Internet témoignent ainsi de nombreuses pratiques bénévoles, amatrices, libres, d’expérimentation, de partage, etc. un certain idéal paradisiaque⁵ pour nombre des premiè·res internautes. La déclaration d’indépendance du cyberespace⁶ de John Perry Barlow témoigne de cet enthousiasme et on peut pourtant voir un certain tournant symbolique dans le fait qu’elle ait été réalisée dans le cadre du Forum économique mondial de Davos.
Les entreprises ont ensuite saisi l’importance de ce nouveau média et ont commencé à l’investir. Elles se sont toutefois confrontées à un problème : un rejet majeur de toute possibilité de paiement en ligne dû aussi bien à des craintes (plutôt justifiées) liées à la sécurité des données bancaires, mais aussi, et surtout, à des pratiques déjà ancrées d’accès gratuit. Pourquoi payer pour une information alors qu’elle est déjà présente en accès libre sur un autre site ? Pourquoi débourser une somme pour un service alors que tel prestataire me l’offre « gratuitement » ?
Assez naturellement de nombreuses personnes se sont tournées vers la publicité pour obtenir des revenus en ligne, le modèle était connu et malgré quelques premières réticences des annonceurs les audiences étaient en pleine croissance et ils se sont ainsi laissés convaincre.
Le développement de la publicité sur Internet n’a pas été exempt de tout heurt, le tout premier mail publicitaire (spam) en 1978 a, par exemple, connu une vive réaction d’indignation.⁷ De la même façon, les bloqueurs de publicité, petits outils qui bloquent techniquement les différents affichages publicitaires sont apparus et ont été rapidement adoptés au moment où la publicité a commencé à inonder de nombreux sites pour maximiser les « impressions publicitaires ». L’invasion publicitaire est devenue trop forte et les internautes avertis se protègent ainsi des multiples « popups », affichages conduisant vers des sites malveillants, renvois et rechargements intempestifs, etc.

Le déluge publicitaire a envahi ce « paradis » et l’a durablement déséquilibré. La gratuité bénévole et altruiste des débuts a été remplacée par une apparence de gratuité. Rares sont les services en ligne (et très spécifiques) qui réussissent, même aujourd’hui, à obtenir un paiement direct de la part de leurs utilisateurs-clients face à la distorsion de concurrence induite par ce trou noir de la gratuité publicitaire et l’exploitation des biais psychologiques des utilisateurs-produits par la publicité.

Cela a pu faire dire à Ethan Zuckerman, chercheur sur les questions touchant aux libertés à l’ère du numérique et activiste, mais qui a également participé à la création du popup publicitaire : « L’état de déchéance de notre internet est une conséquence directe, involontaire, de choisir la publicité comme modèle par défaut pour les contenus et services en ligne. »⁸
Ce noir constat s’appuie aussi sur les conséquences de la deuxième vague du développement publicitaire en ligne : la publicité « ciblée ».

Les dérives illégales de la surveillance publicitaire

Citant Ethan Zuckerman, Hubert Guillaud résume ainsi les conséquences néfastes de la publicité en ligne⁹ :

• « La surveillance et le développement de la surveillance (comme le dit Bruce Schneier, la surveillance est le modèle d’affaires d’internet ¹⁰ ;
• Le développement d’une information qui vise à vous faire cliquer, plutôt qu’à vous faire réfléchir ou à vous engager en tant que citoyens ;
• Le modèle publicitaire favorise la centralisation pour atteindre un public toujours plus large. Et cette centralisation fait que les décisions pour censurer des propos ou des images par les entreprises et plates-formes deviennent aussi puissantes que celles prises par les gouvernements :
• Enfin, la personnalisation de l’information, notre récompense, nous conduit à l’isolement idéologique, à l’image de la propagande personnalisée […] »

On en ajoutera quelques-unes, mais la plus importante est désormais bien connue. Pour sortir des logiques inefficaces de matraquage publicitaire, des entreprises ont fait le choix de développer des outils permettant de surveiller les internautes au travers de leurs navigations pour mieux les profiler et ainsi leur fournir des publicités plus « ciblées », au meilleur endroit au meilleur moment pour ainsi essayer de les manipuler le plus efficacement possible dans des actes de consommation.¹¹
C’est une évolution relativement logique de « l’économie de l’attention », pour éviter la perte d’attention induite par la surmultiplication publicitaire, on a développé des outils pour les rendre beaucoup plus efficaces.

Ces outils ont toutefois un cout sociétal colossal : ils impliquent une surveillance de masse et quasi constante des internautes dans leurs navigations. La publicité a financé et continue de financer le développement de ces outils de surveillance qui viennent cibler les consommateurs et les traquer. Les deux entreprises championnes de cette surveillance sont incontestablement Google/Alphabet et Facebook¹² dont la quasi-totalité des revenus proviennent de la publicité et qui représentent à elles deux désormais bien plus de 50% de tout le secteur de la publicité en ligne. Ce ne sont (malheureusement ?) pas les seuls acteurs de ce système et bien d’autres (géants du numérique, courtiers en données, etc.) cherchent à se partager le reste du gâteau. Le développement de ces nombreuses entreprises s’est ainsi totalement orienté vers la captation de données personnelles par la surveillance et vers la maximisation de l’exploitation des temps de cerveaux disponibles des internautes.

Ce problème est ainsi résumé par la chercheuse Zeynep Tufekci : « on a créé une infrastructure de surveillance dystopique juste pour que des gens cliquent sur la pub »¹³. Cette infrastructure est colossale, les outils de surveillance qui ont été développés et le marché de la surveillance publicitaire en ligne sont d’une grande complexité¹⁴ et n’hésitent pas à utiliser la moindre faille possible.¹⁵ Le système publicitaire a su pleinement tirer profit de l’informatique pour automatiser la surveillance des individus et les manipuler. Il espère même maintenant pouvoir importer cette surveillance dans nos rues avec les panneaux numériques.¹⁶ 
Sans insister ici sur ce point, cette surveillance a assez naturellement attiré la convoitise des différents gouvernements qui ne pouvaient rêver d’un tel système de surveillance et ne se privent pas d’essayer d’en bénéficier à des fins de contrôle et de répression dans ce que l’on pourrait appeler un « partenariat public-privé de la surveillance. »¹⁷

Il y a là une atteinte majeure au droit au respect de la vie privée des personnes, une liberté pourtant fondamentale, ainsi qu’à la législation européenne sur la protection des données personnelles. Ainsi, le Règlement général sur la protection des données (RGPD) couplé à la directive e-privacy impose un consentement « libre, éclairé, spécifique et univoque » pour la majorité des opérations de collecte de données personnelles à des fins publicitaires. Or, la quasi-totalité de ces outils de surveillance ne satisfont pas à ces critères qui impliqueraient par défaut que les données ne soient pas collectées. C’est seulement si l’internaute acceptait volontairement et spécifiquement d’être traqué à des fins publicitaires qu’il pourrait l’être. C’est pourquoi La Quadrature du Net a lancé¹⁸, dès l’entrée en application du RGPD, des plaintes collectives contre les fameux « GAFAM » pour leurs violations de ces règles. Malheureusement, plus d’un an et demi après ces plaintes, ces pratiques continuent de proliférer et seul Google a été sanctionné d’une timide amende de 50 millions d’euros qui ne s’appuyait malheureusement pas sur tous les griefs. Même aux États-Unis la législation COPPA (Children’s Online Privacy Protection Act), interdit la collecte à des fins publicitaires sur des enfants de moins de 13 ans et n’a fait jusqu’en 2019¹⁹qu’être assez sciemment contournée face à la manne publicitaire de la manipulation des plus jeunes…
Malgré l’illégalité flagrante, ces pratiques de surveillance continuent donc de violer chaque jour nos libertés.
Si les internautes averti·es peuvent configurer certains outils, dont leur bloqueur de publicités, pour limiter ces abus (par exemple en suivant les informations sur https://bloquelapub.net/) c’est encore dans une guerre continue entre l’ingéniosité pervertie²⁰ des ingénieurs publicitaires pour contourner ou bloquer les bloqueurs de pubs et celles des hackeur·ses qui y résistent. Quoi qu’il en soit, la publicité et la surveillance publicitaire demeurent pour la majorité des personnes.

Une lourde addition des couts sociétaux de la publicité en ligne

La surveillance publicitaire est la dérive la plus flagrante de la publicité, elle est inacceptable et il est nécessaire de la combattre pour la faire disparaitre si l’on veut caresser l’espoir de retrouver des pratiques commerciales plus saines sur Internet, mais cela semble loin de suffire. La publicité en elle-même est un problème : elle induit une dépendance économique aux annonceurs, mais aussi technique aux systèmes publicitaires.
Les problématiques liées à la dépendance économique publicitaire sont très claires quand la publicité constitue la seule source de revenus d’un acteur. Cette problématique est aussi mise en valeur avec les vidéastes qui s’appuient sur la plateforme de Google « Youtube » qui sont devenu·es de fait totalement dépendant·es du bon vouloir de celle-ci pour leurs revenus ou encore avec les éditeurs de presse qui ne font depuis plus de 10 ans que de subir des revers pour obtenir les miettes des revenus publicitaires de Google.
Côté dépendance technique, pour les gestionnaires de site Internet, insérer un système publicitaire revient à laisser une porte ouverte à des acteurs tiers et constitue donc une faille en puissance. Il y a là un réel cout de confiance et de dépendance. L’encart publicitaire peut être utilisé pour faire exécuter des éléments de code d’un prestataire publicitaire ou d’un tiers qui l’aurait compromis, on ne contrôle pas nécessairement le contenu des publicités qui s’afficheront… 
La publicité est également un surcout énergétique dans l’affichage de la page, qui peut rester faible, mais peut aussi largement alourdir une page si l’on parle par exemple de publicité vidéo²¹ou de multiplication des traqueurs et dispositifs de contrôle.
Le gaspillage énergétique, les dépendances multiples des acteurs dont le modèle économique repose sur la publicité, la dystopie de surveillance, l’influence mentale subie des personnes qui voient leurs pensées parasitées pour leur faire consommer plus ou voter autrement… 
La publicité apparait bien comme une cause majeure de perversion d’Internet vers plus de centralité, plus de contrôle et de surveillance des géants du numérique, plus de contenus piège à clic et de désinformation au lieu de productions de qualité et de partage…
L’addition des conséquences sociétales de la publicité en ligne est salée comme la mer d’Aral²². La supprimer en même temps que la surveillance publicitaire participerait très largement à résoudre de nombreuses atteintes aux libertés fondamentales et aux équilibres démocratiques.

Twitter a annoncé fin octobre 2019²³ supprimer les publicités politiques de son réseau social et en explique les raisons : 
« Nous avons pris la décision d’arrêter toutes les publicités politiques sur Twitter. Nous pensons que la portée d’un message politique doit se mériter, pas s’acheter. »
La démarche est louable, mais pour arrêter les publicités politiques sur Twitter ne faut-il pas arrêter la publicité tout court ? Edward Bernays (neveu de Freud, considéré comme le père de la propagande politique et des « relations publiques ») comme Cambridge Analytica²⁴ avaient bien compris que la publicité a les mêmes effets qu’il s’agisse de biens de consommation ou d’idées. Mais au-delà de ça, « tout est politique » : les publicités sexistes ou pour des véhicules polluants, des nouveaux gadgets technologiques, des voyages lointains, de la nourriture de mauvaise qualité… jouent largement sur de grands enjeux politiques²⁵. La publicité est en soi une idéologie politique²⁶, adossée au capitalisme, qu’il soit de surveillance ou non.

À La Quadrature du Net nous refusons l’exploitation de ces temps de cerveaux disponibles et de profiter de ces revenus publicitaires, même quand ils sont si « gentiment » proposés par des sociétés telles que Lilo, Brave ou Qwant²⁷ qui derrière une vitrine d’« éthique » restent dans cette logique d’exploitation et ne servent qu’à faire accepter ces logiques publicitaires.

Nous refusons ces manipulations et espérons des pratiques saines où les biens ou des services sont vendus directement pour ce qu’ils valent, nous souhaitons avoir une liberté de réception sur les informations auxquelles nous accédons et que les plus riches ne puissent pas payer pour être plus entendus et modifier nos comportements.

Nous ne voulons plus que nos cerveaux soient des produits !
https://bloquelapub.net/

References[+]

↑1	fr.wikipedia.org/wiki/Publicité
↑2	Voir la définition du Larousse ou même du Trésor de la langue française.
↑3	Selon la formule de 2004 de Patrick Le Lay alors PDG de TF1.
↑4	La dépendance de nombreux vidéastes aux revenus de NordVpn en témoigne assez clairement, même quand ceux-ci restent caustiques à ce sujet cela reste très édulcoré, voir par exemple « Pourquoi NordVPN est partout ?! », Un créatif, 30 mai 2019, publié sur https://www.youtube.com/watch?v=9X_2rNC6nKA
↑5	Attention, tout était loin d’être parfait sur bien d’autres sujets.
↑6	John Perry Barlow, « A declaration of the independance of Cyberspace », 8 fév. 1996, Davos, https://www.eff.org/cyberspace-independence
↑7	Brad Templeton, « Reaction to the DEC Spam of 1978 », https://www.templetons.com/brad/spamreact.html
↑8	Ethan Zuckerman, « The Internet’s Original Sin », 14 août 2014, https://www.theatlantic.com/technology/archive/2014/08/advertising-is-the-internets-original-sin/376041/, la citation en anglais « The fallen state of our Internet is a direct, if unintentional, consequence of choosing advertising as the default model to support online content and services. »
↑9	Hubert Guillaut, « Comment tuer la pub, ce péché originel de l’internet ? », 13 nov. 2014, http://www.internetactu.net/2014/11/13/comment-tuer-la-pub-ce-peche-originel-de-linternet/
↑10	Bruche Schneier, « Surveillance as a Business Model », 25 nov. 2013, https://www.schneier.com/blog/archives/2013/11/surveillance_as_1.html
↑11	Et oui, la publicité marche sur tout le monde, voir Benjamin Kessler et Steven Sweldens, « Think You’re Immune to Advertising ? Think Again », 30 janv. 2018, https://knowledge.insead.edu/marketing/think-youre-immune-to-advertising-think-again-8286
↑12	Voir par ex. Nicole Perrin, « Facebook-Google Duopoly Won’t Crack This Year » , 4 nov. 2019, https://www.emarketer.com/content/facebook-google-duopoly-won-t-crack-this-year et rappelons que les fondateurs de Google ont pourtant pu exprimer certains des réels problèmes de la dépendance publicitaire, Sergei Brin et Lawrence Page, « The Anatomy of a Large-Scale Hypertextual Web Search Engine », 1998, http://infolab.stanford.edu/~backrub/google.html : « To make matters worse, some advertisers attempt to gain people’s attention by taking measures meant to mislead automated search engines. » ou encore : « we expect that advertising funded search engines will be inherently biased towards the advertisers and away from the needs of the consumers. »
↑13	Zeynep Tufekci, « We’re building a dystopia just to make people click on ads », sept. 2017 https://www.ted.com/talks/zeynep_tufekci_we_re_building_a_dystopia_just_to_make_people_click_on_ads
↑14	L’Avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet de l’Autorité de la concurrence, https://www.autoritedelaconcurrence.fr/sites/default/files/commitments//18a03.pdf en témoigne.
↑15	Voir par exemple la technique du « Web Beacon », https://en.wikipedia.org/wiki/Web_beacon
↑16	Résistance à l’Agression Publicitaire, « JCDecaux colonise la Défense avec ses mobiliers urbains numériques », sept. 2014, https://antipub.org/jcdecaux-colonise-la-defense-avec-ses-mobiliers-urbains-numeriques/
↑17	En témoigne notamment les révélations d’Edward Snowden du programme « PRISM ».
↑18	Voir notre site de campagne https://gafam.laquadrature.net/ et par exemple la plainte contre Google https://gafam.laquadrature.net/wp-content/uploads/sites/9/2018/05/google.pdf
↑19	Google semble toutefois s’être fait rappelé à l’ordre et a annoncé devoir supprimer les publicités pour les chaines s’adressant à un public enfantin. Sur ce sujet, voir par exemple, « Game Theory : Will Your Favorite Channel Survive 2020 ? (COPPA) », 22 nov. 2019, https://www.youtube.com/watch?v=pd604xskDmU
↑20	Les ingénieur-es de Facebook font preuve d’une malice certaine aussi bien pour traquer les internautes que pour les forcer à voir leurs publicités (il suffit de regarder le code source des contenus « sponsorisés » pour en être convaincu…).
↑21	Gregor Aisch, Wilson Andrew and Josh Kelleroct « The Cost of Mobile Ads on 50 News Websites », 1 oct. 2015,https://www.nytimes.com/interactive/2015/10/01/business/cost-of-mobile-ads.html
↑22	Le parallèle pourrait même être poussé plus loin, voir Professeur Feuillage, « Aral, ta mer est tellement sèche qu’elle mouille du sable », 31 janv. 2018, https://www.youtube.com/watch?v=uajOhmmxYuc&feature=emb_logo&has_verified=1
↑23	Par des déclarations de Jack Dorsay son PDG, https://twitter.com/jack/status/1189634360472829952
↑24	Edward Bernays, Propaganda : Comment manipuler l’opinion en démocratie, (trad. Oristelle Bonis, préf. Normand Baillargeon), Zones / La Découverte, 2007 (1re éd. 1928) ; concernant Cambridge Analytica, avant que le scandale n’éclate la page d’accueil du site affichait fièrement : « Data drives all we do, Cambridge Analytica uses data to change audience behavior. Visit our Commercial or Political divisions to see how we can help you ».
↑25	Voir Emily Atkin, Exxon climate ads aren’t « political, » according to Twitter But a Harvard researcher says Exxon’s ads « epitomize the art » of political advertising, 5 nov. 2019, https://heated.world/p/exxon-climate-ads-arent-political et Résistance à l’agression publicitaire (RAP), En refusant de réglementer la publicité, le gouvernement sacrifie l’écologie, 10 décembre 2019, https://reporterre.net/En-refusant-de-reglementer-la-publicite-le-gouvernement-sacrifie-l-ecologie
↑26	Pour en saisir l’ampleur, voir l’ouvrage de Naomi Klein, No Logo : la tyrannie des marques, (trad. Michel Saint-Germain), Actes Sud, 2001, et celui du Groupe Marcuse, De la misère humaine en milieu publicitaire : comment le monde se meurt de notre mode de vie, la Découverte, 2004.
↑27	Lilo ne servant que d’emballage de blanchiment aux recherches et aux publicités de Microsoft – Bing en vendant l’image de marque des associations tout en se gardant 50% des revenus publicitaires reversés par Microsoft. S’agissant de Brave, les montants versés directement par les internautes constituent une piste intéressante de financement des contenus et services en ligne, mais les logiques de remplaçement des publicités présentes sur les sites par celles de la régie Brave où « Les publicités sont placées en fonction des opportunités, et les utilisateurs deviennent des partenaires et non des cibles » pour qu’une partie soit reversée à des acteurs tiers est à minima douteuse… C’est la même logique absurde que l’option « Qwant Qoz » qui permet si elle est activée à l’utilisateur-produit de voir deux fois plus de publicités pour que son surplus d’exploitation cérébrale soit reversé à des associations…

]]> https://www.laquadrature.net/?p=16500http://isyteck.com/autoblog/quadrature/index.php5?20201126_180106_Contre_les_futurs_securitaires__faites_un_don_a_La_QuadratureThu, 26 Nov 2020 17:01:06 +0000a.btn20{background:url('https://www.laquadrature.net/wp-content/uploads/manege/bouton.png');background-size: 100%;width:12em;display: block;height:3em;margin:auto;}a:hover.btn20{background:url('https://www.laquadrature.net/wp-content/uploads/manege/boutonhover.png');background-size: 100%;}a:active.btn20{background:url('https://www.laquadrature.net/wp-content/uploads/manege/clic.png');background-size: 100%;}.page-template-page-don-19 h1.entry-title{display:none}



Futur et sécurité.

Nos dirigeants et leur armée d’industriels n’ont que ces mots à la bouche. Ils prétendent nous guider tels des prophètes vers ce futur auquel, paraît-il, on n’échappera pas, parce que ce serait pour notre bien. Ce futur qu’ils nous promettent c’est celui de la surveillance biométrique, des drones et des caméras partout.

« Expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent » déclarait notre secrétaire d’État chargé du numérique. De toute façon, comme toutes les autres technologies de surveillance, « la reconnaissance faciale ne peut être désinventée » ; alors à quoi bon s’y opposer ?

Prétendre que le futur est tracé de manière immuable et nier son caractère politique, c’est le meilleur moyen de se dédouaner, de s’ôter la culpabilité de transformer nos villes en Technopolice, en laissant nos vies exsangues de libertés.

La Quadrature du Net refuse ce futur.

Nous nous battrons pour choisir notre futur. Nous nous battrons pour que les machines et techniques servent les habitants des villes et de la Terre. Qu’elles ne nous soient plus imposées, qu’elle ne servent plus à nous faire taire et à nous contrôler. Rejoignez-nous dans ce combat. Soutenez La Quadrature du Net.

POURQUOI DONNER À LA QUADRATURE ?

Pour faire le travail qui est le sien, l’association a une fantastique équipe de membres bénévoles, mais elle a besoin d’une équipe salariée. Elle se finance grâce à vos dons.
L’association ne touche aucun argent public, mais elle touche des subventions de la part de deux fondations philanthropiques, OSF et FPH, à hauteur de 25 % de son budget.
Tout le reste provient de la générosité des personnes qui estiment que nos droits et nos libertés doivent être défendues sans relâche.

COMMENT DONNER ?

Vous pouvez faire un don par CB, ou bien par chèque, par virement ou en crypto-monnaie.
Et si vous pouvez faire un don mensuel — même un tout petit ! — n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, les dons mensuels nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
En plus, le cumul de vos dons vous donne droit à des contreparties (sac, t-shirt, hoodie, etc.)

DE NOUVEAUX PALIERS POUR LES CONTREPARTIES

Les paliers qui donnent accès aux contreparties ont changé l’année dernière. Ils ont augmenté (c’est rarement dans l’autre sens…) pour s’adapter aux coûts de la fabrication et de l’expédition.
Dorénavant, il faudra cumuler 42 € de dons pour recevoir un piplôme, 64 € pour un sac (+piplôme), 128 € pour un t-shirt (+piplôme+sac), et 314 € pour un hoodie (+piplôme+sac+t-shirt).
Attention, l’envoi n’est pas automatique, il faut faire la demande sur votre page personnelle de donateur.
Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et parce qu’on fait tout ça nous-mêmes avec nos petites mains. Mais elles finissent toujours par arriver !
Merci encore pour votre générosité, et merci beaucoup pour votre patience <3

À QUOI SERVENT VOS DONS ?

Tout simplement à faire exister l’association. La Quadrature du Net emploie actuellement une équipe de six salarié·es à plein temps. C’est encore trop peu, pour tout le boulot à abattre. Quand on en parle avec nos collègues à l’étranger, l’étonnement est toujours le même : « Vous êtes aussi peu nombreux pour faire tout ça ? ». Oui, on est aussi peu nombreux, même en comptant les membres bénévoles, et non, on n’a pas le temps de s’ennuyer…
En 2020, vos dons nous ont permis de récolter 217 000 €. Nos dépenses pour l’année se montent à 195 000 €. Pour l’année qui vient, nous nous fixons un objectif de 240 000 € de dons, avec l’espoir de pouvoir embaucher une personne supplémentaire dans l’équipe.
Les dons recueillis servent principalement à payer les salaires des permanents (79 % des dépenses). Le restant couvre le loyer et l’entretien du local, les déplacements en France et à l’étranger (en train uniquement) et les divers frais matériels de l’activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).
Quand on ventile toutes les dépenses (salaires inclus) sur nos campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :


]]> https://www.laquadrature.net/?p=16479http://isyteck.com/autoblog/quadrature/index.php5?20201124_180108_____Securite_globale________l___Assemblee_nationale_vote_pour_la_TechnopoliceTue, 24 Nov 2020 17:01:08 +0000L’Assemblée nationale vient de voter la proposition de loi de « Sécurité Globale ». Déposée le 20 octobre dernier, elle a donc été examinée en commission des lois, débattue en séance publique puis votée en à peine un mois, alors que l’agenda parlementaire était déjà surchargé. Outre le caractère liberticide de plusieurs de ses dispositions, le gouvernement et sa majorité viennent de faire adopter un texte très certainement inconstitutionnel. Espérons que le Sénat saura se montrer à la hauteur des enjeux et refusera cette nouvelle atteinte à nos libertés.

Nous avons dès le début alerté sur plusieurs dispositions particulièrement dangereuses de ce texte. L’article 21, qui autorise la transmission en direct des images filmées par les caméras-piétons de la police et de la gendarmerie à un centre de commandement – et qui facilite ainsi leur analyse automatisée, comme la reconnaissance faciale. L’article 22, qui autorise la police à surveiller nos villes, nos rues et nos manifestations avec des drones. L’article 24, évidemment, qui nous interdit de dénoncer les violences policières.

Le passage-éclair en commission des lois nous a effrayé encore un peu plus. Nous avons relaté l’ambiance lugubre et fuyante des débats entre des rapporteur·euses aux ordres des syndicats de police, et des député·es de l’opposition insulté·es et méprisé·es. Le texte y a été étoffé de nouvelles dispositions pour que la police puisse avoir plus facilement accès aux caméras dans nos halls d’immeubles et pour étendre, encore un peu, le nombre de personnes pouvant visionner les images de la voie publique (on en parlait ici).

Nous avons ensuite suivi, mot par mot, les débats en séance publique. Ceux-ci, comme l’attention médiatique, étaient particulièrement concentrés sur l’article 24 et ses conséquences sur la liberté de la presse. À l’issue des débats, cet article n’a d’ailleurs en aucun cas été arrangé mais, au contraire, aggravé, s’étendant à la police municipale. L’article 22, majeur pourtant, a été lui débattu vendredi en pleine nuit et voté à 1h du matin, alors que le ministre de l’intérieur ne prenait même plus la peine de répondre aux parlementaires.

Il est particulièrement difficile de voir un texte qui aura autant de conséquences sur nos libertés être voté aussi vite et dans des conditions aussi déplorables. Quand on le lit à la lumière du livre blanc de la sécurité intérieure et du schéma national de maintien de l’ordre publiés récemment, on comprend que ce texte veut faire entrer la surveillance dans une nouvelle ère : celle de la multiplication des dispositifs de captations d’images (caméras fixes, caméras sur les uniformes, caméras dans le ciel), de leur croisement afin de couvrir toutes nos villes (espaces publics ou privés) et de leur analyse massive par des algorithmes, avec en tête la reconnaissance faciale. Si en 2019, grâce au fichier TAJ, il y a déjà eu plus de 375 000 traitements de reconnaissance faciale faits par la police en France, combien y en aura-t-il en 2021 quand chaque coin de rue sera filmé et analysé en direct ? Comment croire en l’intérêt d’un encadrement quand un tel pouvoir de surveillance est donné aux gouvernants ? Comment faire confiance à la majorité parlementaire et au gouvernement qui nous assure que la reconnaissance faciale sur les images des drones et caméras-piétons ne sera pas permise par ce texte – ce qui est juridiquement faux –, alors même que tous les amendements visant à écarter explicitement cette possibilité ont été rejetés ?

Ce texte, que vient donc d’adopter l’Assemblée nationale, c’est celui de la Technopolice. Celle que nous dénonçons depuis deux ans : une dystopie préparée par ceux qui prétendent nous gouverner, la mise sous coupe réglée de nos villes pour en faire une vaste entreprise de surveillance.

La prochaine étape se jouera au Sénat, pas avant janvier si l’on en croit son calendrier. Nous en sommes réduits à espérer que celui-ci prenne son rôle au sérieux et vienne rappeler à la majorité présidentielle les bases du respect des libertés et de nos droits. Il faudra en tous cas, et quoiqu’il arrive, maintenir la pression sur nos institutions pour que ce texte disparaisse, ne revienne jamais, et que la voix des citoyens et citoyennes – mobilisé·es massivement – soient entendue.

]]> https://www.laquadrature.net/?p=16451http://isyteck.com/autoblog/quadrature/index.php5?20201119_180040_La_Technopolice__moteur_de_la_____securite_globale____Thu, 19 Nov 2020 17:00:40 +0000L’article 24 de la loi Sécurité Globale ne doit pas devenir l’arbre qui cache la forêt d’une politique de fond, au cœur de ce texte, visant à faire passer la surveillance et le contrôle de la population par la police à une nouvelle ère technologique.

Quelques jours avant le vote de la loi Sécurité Globale à l’Assemblée Nationale, le ministère de l’Intérieur présentait son Livre blanc. Ce long rapport de prospective révèle la feuille de route du ministère de l’Intérieur pour les années à venir. Comme l’explique Gérard Darmanin devant les députés, la proposition de loi Sécurité Globale n’est que le début de la transposition du Livre dans la législation. Car cette loi, au-delà de l’interdiction de diffusion d’images de la police (article 24), vise surtout à renforcer considérablement les pouvoirs de surveillance des forces de l’ordre, notamment à travers la légalisation des drones (article 22), la diffusion en direct des caméras piétons au centre d’opération (article 21), les nouvelles prérogatives de la police municipale (article 20), la vidéosurveillance dans les hall d’immeubles (article 20bis). Cette loi sera la première pierre d’un vaste chantier qui s’étalera sur plusieurs années.

Toujours plus de pouvoirs pour la police

Le Livre blanc du ministère de l’Intérieur envisage d’accroître, à tous les niveaux, les pouvoirs des différentes forces de sécurité (la Police nationale, la police municipale, la gendarmerie et les agents de sécurité privée) : ce qu’ils appellent, dans la novlangue officielle, le « continuum de la sécurité intérieure ». Souhaitant « renforcer la police et la rendre plus efficace », le livre blanc se concentre sur quatre angles principaux :

• Il ambitionne de (re)créer une confiance de la population en ses forces de sécurité, notamment par une communication renforcée, pour « contribuer à [leur] légitimité », par un embrigadement de la jeunesse – le Service National Universel, ou encore par la création de « journées de cohésion nationale » (page 61). Dans la loi Sécurité Globale, cette volonté s’est déjà illustrée par la possibilité pour les policiers de participer à la « guerre de l’image » en publiant les vidéos prises à l’aide de leurs caméras portatives (article 21).
• Il prévoit d’augmenter les compétences des maires en terme de sécurité, notamment par un élargissement des compétences de la police municipale : un accès simplifié aux fichiers de police, de nouvelles compétences en terme de lutte contre les incivilités … (page 135). Cette partie-là est déjà en partie présente dans la loi Sécurité Globale (article 20).
• Il pousse à une professionnalisation de la sécurité privée qui deviendrait ainsi les petites mains de la police, en vu notamment des Jeux olympiques Paris 2024, où le besoin en sécurité privée s’annonce colossal. Et cela passe par l’augmentation de ses compétences : extension de leur armement, possibilité d’intervention sur la voie publique, pouvoir de visionner les caméras, et même le port d’un uniforme spécifique (page 145).
• Enfin, le dernier grand axe de ce livre concerne l’intégration de nouvelles technologies dans l’arsenal policier. Le titre de cette partie est évocateur, il s’agit de « porter le Ministère de l’Intérieur à la frontière technologique » (la notion de frontière évoque la conquête de l’Ouest aux États-Unis, où il fallait coloniser les terres et les premières nations — la reprise de ce vocable relève d’une esthétique coloniale et viriliste).

Ce livre prévoit une multitude de projets plus délirants et effrayants les uns que les autres. Il propose une analyse automatisée des réseaux sociaux (page 221), des gilets connectés pour les forces de l’ordre (page 227), ou encore des lunettes ou casques augmentés (page 227). Enfin, le Livre blanc insiste sur l’importance de la biométrie pour la police. Entre proposition d’interconnexion des fichiers biométriques (TAJ, FNAEG, FAED…) (page 256), d’utilisation des empreintes digitales comme outil d’identification lors des contrôles d’identité et l’équipement des tablettes des policiers et gendarmes (NEO et NEOGEND) de lecteur d’empreinte sans contact (page 258), de faire plus de recherche sur la reconnaissance vocale et d’odeur (!) (page 260) ou enfin de presser le législateur pour pouvoir expérimenter la reconnaissance faciale dans l’espace public (page 263).

Le basculement technologique de la surveillance par drones

Parmi les nouveaux dispositifs promus par le Livre blanc : les drones de police, ici appelés « drones de sécurité intérieure ». S’ils étaient autorisés par la loi « Sécurité Globale », ils modifieraient radicalement les pouvoirs de la police en lui donnant une capacité de surveillance totale.

Il est d’ailleurs particulièrement marquant de voir que les rapporteurs de la loi considèrent cette légalisation comme une simple étape sans conséquence, parlant ainsi en une phrase « d’autoriser les services de l’État concourant à la sécurité intérieure et à la défense nationale et les forces de sécurité civile à filmer par voie aérienne (…) ». Cela alors que, du côté de la police et des industriels, les drones représentent une révolution dans le domaine de la sécurité, un acteur privé de premier plan évoquant au sujet des drones leur « potentiel quasiment inépuisable », car « rapides, faciles à opérer, discrets » et « tout simplement parfaits pour des missions de surveillance »

Dans les discours sécuritaires qui font la promotion de ces dispositifs, il est en effet frappant de voir la frustration sur les capacités « limitées » (selon eux) des caméras fixes et combien ils fantasment sur le « potentiel » de ces drones. C’est le cas du maire LR d’Asnières-sur-Seine qui en 2016 se plaignait qu’on ne puisse matériellement pas « doter chaque coin de rue de vidéoprotection » et que les drones « sont les outils techniques les plus adaptés » pour pallier aux limites de la présence humaine. La police met ainsi elle-même en avant la toute-puissance du robot par le fait, par exemple pour les contrôles routiers, que « la caméra du drone détecte chaque infraction », que « les agents démontrent que plus rien ne leur échappe ». Même chose pour la discrétion de ces outils qui peuvent, « à un coût nettement moindre » qu’un hélicoptère, « opérer des surveillances plus loin sur l’horizon sans être positionné à la verticale au-dessus des suspects ». Du côté des constructeurs, on vante les « zooms puissants », les « caméras thermiques », leur donnant une « vision d’aigle », ainsi que « le décollage possible pratiquement de n’importe où ».

Tout cela n’est pas que du fantasme. Selon un rapport de l’Assemblée nationale, la police avait, en 2019, par exemple 30 drones « de type Phantom 4 » et « Mavic Pro » (ou « Mavic 2 Enterprise » comme nous l’avons appris lors de notre contentieux contre la préfecture de police de Paris). Il suffit d’aller voir les fiches descriptives du constructeur pour être inondé de termes techniques vantant l’omniscience de son produit : « caméra de nacelle à 3 axes », « vidéos 4K », « photos de 12 mégapixels », « caméra thermique infrarouge », « vitesse de vol maximale à 72 km/h » … Tant de termes qui recoupent les descriptions faites par leurs promoteurs : une machine volante, discrète, avec une capacité de surveiller tout (espace public ou non), et de loin.

Il ne s’agit donc pas d’améliorer le dispositif de la vidéosurveillance déjà existant, mais d’un passage à l’échelle qui transforme sa nature, engageant une surveillance massive et largement invisible de l’espace public. Et cela bien loin du léger cadre qu’on avait réussi à imposer aux caméras fixes, qui imposait notamment que chaque caméra installée puisse faire la preuve de son utilité et de son intérêt, c’est-à-dire de la nécessité et de la proportionnalité de son installation. Au lieu de cela, la vidéosurveillance demeure une politique publique dispendieuse et pourtant jamais évaluée. Comme le rappelle un récent rapport de la Cour des comptes, « aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de la délinquance commise sur la voie publique, ou encore les taux d’élucidation ». Autre principe fondamental du droit entourant actuellement la vidéosurveillance (et lui aussi déjà largement inappliqué) : chaque personne filmée doit être informée de cette surveillance. Les drones semblent en contradiction avec ces deux principes : leur utilisation s’oppose à toute notion d’information des personnes et de nécessité ou proportionnalité.

Où serons-nous dans 4 ans ?

En pratique, c’est un basculement total des pratiques policières (et donc de notre quotidien) que préparent ces évolutions technologiques et législatives. Le Livre blanc fixe une échéance importante à cet égard : « les Jeux olympiques et paralympiques de Paris de 2024 seront un événement aux dimensions hors normes posant des enjeux de sécurité majeurs » (p. 159). Or, « les Jeux olympiques ne seront pas un lieu d’expérimentation : ces technologies devront être déjà éprouvées, notamment à l’occasion de la coupe de monde de Rugby de 2023 » (p. 159).

En juillet 2019, le rapport parlementaire cité plus haut constatait que la Police nationale disposait de 30 drones et de 23 pilotes. En novembre 2020, le Livre blanc (p. 231) décompte 235 drones et 146 pilotes. En 14 mois, le nombre de drones et pilotes aura été multiplié par 7. Dès avril 2020, le ministère de l’Intérieur a publié un appel d’offre pour acquérir 650 drones de plus. Rappelons-le : ces dotations se sont faites en violation de la loi. Qu’en sera-t-il lorsque les drones seront autorisés par la loi « sécurité globale » ? Avec combien de milliers d’appareils volants devra-t-on bientôt partager nos rues ? Faut-il redouter, au cours des JO de 2024, que des dizaines de drones soient attribués à la surveillance de chaque quartier de la région parisienne, survolant plus ou moins automatiquement chaque rue, sans répit, tout au long de la journée ?

Les évolutions en matières de reconnaissance faciale invite à des projections encore plus glaçantes et irréelles. Dès 2016, nous dénoncions que le méga-fichier TES, destiné à contenir le visage de l’ensemble de la population, servirait surtout, à terme, à généraliser la reconnaissance faciale à l’ensemble des activités policières : enquêtes, maintien de l’ordre, contrôles d’identité. Avec le port d’une caméra mobile par chaque brigade de police et de gendarmerie, tel que promis par Macron pour 2021, et la retransmission en temps réel permise par la loi « sécurité globale », ce rêve policier sera à portée de main : le gouvernement n’aura plus qu’à modifier unilatéralement son décret TES pour y joindre un système de reconnaissance faciale (exactement comme il avait fait en 2012 pour permettre la reconnaissance faciale à partir du TAJ qui, à lui seul, contient déjà 8 millions de photos). Aux robots dans le ciel s’ajouteraient des humains mutiques, dont le casque de réalité augmentée évoqué par le Livre Blanc, couplé à l’analyse d’image automatisée et aux tablettes numériques NEO, permettrait des contrôles systématiques et silencieux, rompus uniquement par la violence des interventions dirigées discrètement et à distance à travers la myriade de drones et de cyborgs.

En somme, ce Livre Blanc, dont une large partie est déjà transposée dans la proposition de loi sécurité globale, annonce le passage d’un cap sécuritaire historique : toujours plus de surveillance, plus de moyens et de pouvoirs pour la police et consorts, dans des proportions et à un rythme jamais égalés. De fait, c’est un État autoritaire qui s’affirme et se consolide à grand renfort d’argent public. Le Livre blanc propose ainsi de multiplier par trois le budget dévolu au ministère de l’Intérieur, avec une augmentation de 6,7 milliards € sur 10 ans et de 3 milliards entre 2020 et 2025. Une provocation insupportable qui invite à réfléchir sérieusement au définancement de la police au profit de services publiques dont le délabrement plonge la population dans une insécurité bien plus profonde que celle prétendument gérée par la police.

]]> https://www.laquadrature.net/?p=16438http://isyteck.com/autoblog/quadrature/index.php5?20201119_112805_Liberation_de_Jeremy_Hammond__hacktiviste_emprisonne_depuis_7_longues_annees___Thu, 19 Nov 2020 10:28:05 +0000La libération de Jeremy Hammond, hacktiviste étatsunien à qui l’on doit la publication des Stratfor Leaks, vient d’être annoncée par son comité de soutien.

Après avoir passé 7 années de sa vie en prison, il vient d’être libéré.

Jeremy Hammond fut dénoncé par Sabu, un ex-hacker devenu informateur pour le gouvernement américain.

En octobre 2019, Hammond refusa de témoigner contre Julian Assange, et ce malgré les menaces du gouvernement d’augmenter sa peine.

La Quadrature se réjouit de cette nouvelle, et rappelle que d’autres lanceuses et lanceurs d’alertes sont toujours emprisonné·es ou poursuivi·es (Reality Winner, Julian Assange, Ola Bini…).

]]> https://www.laquadrature.net/?p=16281http://isyteck.com/autoblog/quadrature/index.php5?20201113_115759_Les_ordres_du_sommet____Le_programme_de_l___UE_pour_demanteler_le_chiffrement_de_bout_en_boutFri, 13 Nov 2020 10:57:59 +0000Ceci est une republication en français de l’article de l’EFF « Orders from the Top: The EU’s Timetable for Dismantling End-to-End Encryption »

Aux États-Unis, ces derniers mois, un flux continu de propositions de lois, incitées et encouragées par le discours du FBI et du Département de la Justice, est venu prôner un « accès légal » aux services chiffrés de bout en bout. Ce mouvement de lobbying est récemment passé des États-Unis, où le Congrès est complètement paralysé par la polarisation critique de la société, à l’Union Européenne, où le lobby anti-chiffrement espère pouvoir passer plus facilement. Plusieurs documents qui ont fuité des plus hautes instances de l’UE montrent un plan d’action en ce sens, avec l’apparente intention de présenter une loi anti-chiffrement au parlement européen dès l’année prochaine.

Les premiers signaux de ce retournement de l’Union européenne — qui soutenait jusqu’alors les technologies de protection de la vie privée comme le chiffrement de bout en bout — datent de juin 2020, avec le discours de Ylva Johansson, commissaire européenne aux affaires intérieures.

Lors d’une conférence en ligne sur la lutte contre la pédophilie et l’exploitation des enfants, Johannsson avait appelé à une « solution technique » à ce qu’elle décrit comme le « problème » du chiffrement et annoncé que son bureau avait réuni « un groupe spécial d’experts issus du monde académique, des gouvernements, de la société civile et des entreprises afin de trouver des manières de détecter et de signaler les contenus pédophiles chiffrés ».

Le rapport a ensuite été fuité via Politico. Il fournit une liste de procédés inavouables et tortueux pour ateindre cet objectif impossible : permettre aux Etats d’accéder aux données chiffrées, sans pour autant casser le chiffrement.

En haut de cette liste bancale, on trouve, comme cela fut en effet proposé aux États-Unis, le scan côté client. Nous avons déjà expliqué en quoi le scan côté client est tout bonnement une porte dérobée (ou « backdoor ») qui ne dit pas son nom. Un code informatique inaltérable qui tourne sur votre terminal (ordinateur ou téléphone), et compare en temps réel le contenu de vos messages avec une liste noire de mots (liste dont le contenu est secret et impossible à auditer : voilà qui est en contradiction complète avec l’expression « chiffrement de bout en bout », censée garantir une protection de la vie privée. La même approche est d’ailleurs utilisée par la Chine pour suivre les conversations politiques sur des services comme WeChat. Cette technique n’a pas sa place dans un outil qui prétend protéger la confidentialité des conversations privées.

Tout gouvernement qui utiliserait cette technique franchirait un pas décisif dans l’intrusion. Pour la première fois en dehors d’un régime autoritaire, l’Europe déclarerait quels programmes de communication par Internet sont légaux et lesquels ne le sont pas. Même si les propositions de loi étaient les meilleures solutions possibles imaginées par les meilleurs chercheurs appliqués à résoudre cette quadrature du cercle, la solution serait toujours trop agressive pour en faire une réglementation applicable politiquement, même avec le soi-disant objectif de lutter contre la pédophilie comme l’assurait Johannsson.

Le sujet exige une avancée politique concertée, et les instances supérieures de l’Union Européenne se préparent pour la bataille. Fin septembre, Statewatch a publié une note, maintenant diffusée par la présidence allemande de l’UE, intitulée « La sécurité via le chiffrement et la sécurité malgré le chiffrement » qui invite les états membres à se mettre d’accord sur une nouvelle position commune au sujet du chiffrement avant la fin de l’année 2020.

Tout en concédant que « l’affaiblissement du chiffrement par quelconques moyens (incluant les portes dérobées) n’est pas une option souhaitable », la note de la présidence cite explicitement une note du Coordonnateur du Contre-Terrorisme (CCT) de l’Union Européenne, écrite en mai et divulguée par NetzPolitik.org, site allemand d’actualité et de défense des libertés sur Internet. Cette publication appelle à la création d’une « front-door », c’est-à-dire une solution d’accès dédié, autorisant la lecture légale des données chiffrées par les forces de police, sans imposer toutefois de solutions techniques particulières aux fournisseurs de services.

Le CCT souligne ce qui serait nécessaire pour légiférer sur ce cadre légal :

L’UE et ses Etats membres devraient prendre position de manière croissante dans le débat public sur le chiffrement, dans le but de l’orienter selon un angle juridique et policier…
Cela éviterait un débat à sens unique mené par le secteur privé et les organisations non gouvernementales. Cela pourrait impliquer de s’engager auprès de groupes militants, y compris des associations de victimes qui relateraient les efforts gouvernementaux dans ce domaine. S’engager au parlement européen sera aussi important pour préparer le terrain d’une possible légifération.

Un discours de la Commissaire Johannsson qui établit un lien entre la remise en cause des messageries sécurisées et la protection des enfants ; une publication appelant à des « solutions techniques » pour tenter de briser le front d’opposition ; et, dans un futur proche, une fois que l’UE aura publié sa nouvelle position commune sur le chiffrement, un lobbying concerté pour inciter les membres du parlement européen à adopter ce nouveau cadre légal ; tout cela correspond parfaitement aux étapes proposées par le Coordonnateur du Contre-Terrorisme.

Nous en sommes aux toutes premières étapes d’une longue charge anti-chiffrement aux plus hauts niveaux de l’UE, pour forcer la porte des conversations sécurisées des européens. La Grande-Bretagne, l’Australie et les États-Unis suivent la même voie. Si l’Europe veut conserver son statut de juridiction sacralisant la vie privée, il faudra donc se battre.

]]> https://www.laquadrature.net/?p=16406http://isyteck.com/autoblog/quadrature/index.php5?20201112_140226_187_organisations_contre_la_____securite_globale____Thu, 12 Nov 2020 13:02:26 +0000Nous signons aux côtés de 186 organisations la lettre ci-dessous pour nous opposer à la loi de sécurité globale. Si vous êtes une association partageant notre combat, écrivez-nous à contact@laquadrature.net pour signer la lettre (mettez « signature lettre sg » en objet). Si vous êtes un particulier, appelez les députés pour leur demander de rejeter ces dispositions.

Contre la loi « sécurité globale », défendons la liberté de manifester

Nous nous opposons à la proposition de loi « sécurité globale ». Parmi les nombreuses propositions dangereuses de ce texte, trois articles risquent de limiter la liberté de manifester dans des proportions injustifiables, liberté déjà fortement restreinte sur le terrain et de nouveau remise en cause par le Schéma national du maintien de l’ordre.

L’article 21 concerne les caméras portables qui, selon les rapporteurs du texte, devraient équiper « toutes les patrouilles de police et de gendarmerie […] dès juillet 2021 ». S’il est voté, le texte autorisera donc la transmission des flux vidéo au centre de commandement en temps réel. Cela permettra l’analyse automatisée des images, et notamment la reconnaissance faciale des manifestants et des passants, en lien avec les 8 millions de visages déjà enregistrés par la police dans ses divers fichiers.

Ces nouveaux pouvoirs ne sont justifiés par aucun argument sérieux en matière de protection de la population et ne s’inscrivent aucunement dans une doctrine de gestion pacifiée des foules. L’effet principal sera de faciliter de façon considérable des pratiques constatées depuis plusieurs années en manifestation, visant à harceler des opposants politiques notamment par des placements en « garde à vue préventive », par l’interdiction de rejoindre le cortège ou par des interpellations arbitraires non suivies de poursuites. Ces pratiques illicites seront d’autant plus facilement généralisées que l’identification des militants et des militantes sera automatisée.

L’article 22 autoriserait la surveillance par drones qui, selon le Conseil d’État, est actuellement interdite. Ici encore, la police n’a produit aucun argument démontrant qu’une telle surveillance protégerait la population. Au contraire, nous avons pu constater en manifestation que les drones sont avant tout utilisés pour diriger des stratégies violentes contraires à la liberté de manifester : nassage, gaz et grenades lacrymogènes notamment. Comme pour les caméras mobiles, la reconnaissance faciale permettra ici aussi d’identifier des militantes et militants politiques.

En clair, le déploiement massif des caméras mobiles et des drones, couplés aux caméras fixes déjà existantes, entraînerait une capacité de surveillance généralisée de l’espace public, ne laissant plus aucune place à l’anonymat essentiel au respect du droit à la vie privée et ne pouvant avoir qu’un effet coercitif sur la liberté d’expression et de manifestation.

L’article 24 vise à empêcher la population et les journalistes de diffuser des images du visage ou de tout autre élément d’identification de fonctionnaire de police ou militaire de gendarmerie. Autrement dit, les images des violences commises par les forces de l’ordre ne pourront dés lors plus être diffusées. Le seul effet d’une telle disposition sera d’accroître le sentiment d’impunité des policiers violents et, ainsi, de multiplier les violences commises illégalement contre les manifestantes et manifestants.

Nous appelons les parlementaires à s’opposer à ces trois dispositions qui réduisent la liberté fondamentale de manifester dans le seul but de faire taire la population et de mieux la surveiller.

Signataires

• ACAT France
• Action Antifascite NP2C
• Action Climat Paris
• Action Droits des Musulmans
• AG des Gilets Jaunes de Versailles
• Agir ensemble pour les droits humains
• Aix Solidarité
• Alliance Slow Food des Cuisinières et Cuisiniers
• Alternatiba
• Alternatiba Marseille
• Alternatiba Paris
• Alternatiba Rhone
• Alternatiba Nevers
• Alternatiba Caen
• Alternatiba 63
• Amis de la Terre en Savoie
• Antanak
• ANV-COP21
• ANV-COP21 Aix
• ANV-COP21 Groupe de Nevers
• ANV-COP21 Marseille
• ANV-COP21 Vallée de l’Arve
• Art en grève Rouen
• Art en grève Paris Banlieues
• Article 19
• Assemblée Populaire du Grand Toulon (APC)
• Association Coopération Solidaire
• Association des Journalistes de l’Environnement (AJE)
• Association ACID (Agence Collaborative d’Information et de Diffusion)
• Association Dédale
• Assodev-Marsnet
• Attac Flandre
• ATTAC
• Bas Les Masques
• BDS 34
• Bee-home
• BEN’ ARTs
• Bibliothèque Associative de Malakoff, bam!
• BLACK MARKET
• Canal-D
• CECIL
• CercLL (Cercle d’Entraide et Réseau Coopératif autour des Logiciels Libres)
• CGT des Cadres et professions intermédiaires (UGICT-CGT)
• Cliss 21
• CNNR
• CNT 31
• CNT
• Collectif ADN – Arrêt Du Nucléaire
• CCPA – Collectif Climat Pays d’Aix
• Collectif Gilets Jaunes contre les violences policières en Région PACA
• COLL•E•C – Collectif d’Échanges Citoyens du Pays d’Aix
• Collectif Contre Les Abus Policiers – C.L.A.P33
• Collectif Jaunes Etc 33
• Collectif Justice Climatique Angers
• COLLECTIF ACTION LUTTE 83
• Collectif sans fin
• Collectif StopArmesMutilantes
• Comité d’animation du Collectif anti-nucléaire Ouest
• Coordination des Intermittents et Précaires
• CREIS-TERMINAL
• CTRL-A
• DONUT Infolab
• Europe Ecologie Les Verts (EELV)
• Europe Solidaire sans Frontières
• Extinction Rebellion Marseille et Pays d’Aix
• Extinction Rebellion Nantes
• Extinction Rebellion Paris Centre
• Extinction Rebellion Paris Est
• Extinction Rebellion Paris Nord
• Extinction Rebellion Paris Ouest
• Extinction Rebellion Rer-B SUD
• Extinction Rebellion Lille
• Extinction Rebellion Montgeron
• Extinction Rebellion Val de Marne
• Extinction Rébellion Montreuil
• FAIbreizh
• FAImaison
• Fakir
• FDN
• Fédération Syndicale Unitaire
• FELINN
• FFDN
• Force Jaune
• Franciliens.net
• FSU 72
• FSU 73
• Gilets Jaunes du Pays d’Aix et de la Barque
• Gilets Jaunes Marseille-Centre
• GISTI
• Globenet
• Halte au contrôle numérique
• Handi-social
• Hoga
• Illyse
• Iloth
• Indie Hosters
• INP-net
• L’Auberge des Migrants
• La Boussole
• La Quadrature du Net
• Le Bib Hackerspace
• L’enfant bleue
• Le Collectif Savoyard contre la Répression
• Le Collectif des Hiboux
• Le Tamis – Anthropologies coopératives
• Les Amis de la Terre France
• Les Amis de la Terre 74
• Les Citoyens constituants
• Les infiltrés
• Les Jeunes Ecologistes
• Les pieds dans le Paf
• Les-Tilleuls
• Ligue des droits de l’Homme
• Ligue des droits de l’Homme d’Aix
• Ligue des droits de l’Homme Marseille
• Ligue des Droits de l’Homme Tarbes-Bagnères de Bigorre
• Ligue des Droits de l’Homme Fontenay Luçon Sud Vendée
• L’Ouvre-Tête, association étudiante de l’Université de Montpellier
• La France Insoumise – groupe thématique numérique
• Mailden
• MALOKA
• Marseille Féministe
• Marseille révoltée
• Minga
• MODE 83
• Moutons Numériques
• Mouvement Écologiste Indépendant »
• Mouvement Utopia
• MRAP
• Numericatous
• Nebulae
• Négajoule !
• Observatoire des Libertés et du Numérique
• Observatoire des Libertés
• Omnibus, bibliothèque et et pôle d’échange
• onestla.tech
• Open Atlas
• Orchestre Poétique d’Avant-guerre – O.P.A
• Parti Pirate
• Plein le dos
• Ploss Auvergne Rhone Alpes
• PRIMCODE
• Rap Marseille
• Radiaction
• RAP
• ReAct
• RESINE média
• RevLibre
• ritimo
• Root66
• RSF
• Sciences Critiques
• Sherpa
• SNJ-CGT
• SNUipp-FSU 71
• Solidaires Union Syndicale
• Solidaires 35 Union Syndicale
• Solidaires 05 Union Syndicale
• Solidaires Informatiques Union Syndicale
• SOS Racisme
• Stop Fuelling War
• SUD éducation Loiret
• SUD éducation 03
• SUD éducation 63
• SUD éducation Bourgogne
• SUD éducation 77
• Sud Education Calvados
• Sud CT 33
• Syndicat des Avocats de France
• Syndicat National des Journalistes
• Taramada
• Toile-Libre
• TV Bruits
• Union Communiste Libertaire – Tarbes
• UCL – Union Communiste Libertaire Aix-Marseille
• UCL Var
• Union des étudiants de Toulouse
• Union syndicale Solidaires
• VeganCorporation
• Vélorution Paris-Île-de-France
• Youth for Climate Avignon
• Youth for Climate Lyon
• Youth for Climate Marseille
• Youth for Climate Orléans
• Youth for Climate Paris
• Youth for Climate Toulouse
• Xenos jacobienne d’hymocrate
]]> https://www.laquadrature.net/?p=16395http://isyteck.com/autoblog/quadrature/index.php5?20201110_123047_____Securite_globale________appelons_les_deputesTue, 10 Nov 2020 11:30:47 +0000Défendons notre droit de manifester, opposons nous à la censure et à la surveillance généralisée de nos rues. La proposition de loi sera examinée à partir du mardi 17 novembre par l’ensemble des députés (voir notre première analyse du texte et notre compte rendu de l’examen en commission). Profitons du confinement pour prendre le temps d’appeler les personnes censées nous représenter.

Au hasard parmi les députés de tous les groupes
et de tous les départements


( – )





Député suivant >

Malgré le confinement, il y a encore un bon nombre de députés présents à l’Assemblée et qui nous répondrons (ou alors ce sera leurs assistant·es, qui connaissent parfois mieux le dossier, donc prenons le temps de leur parler aussi). Si personne ne répond, écrivons-leur (venez consulter ou proposer vos modèles de messages sur ce document participatif).

Résumé de nos arguments

L’article 21 autorisera la transmission en temps réel des vidéos enregistrées par les caméras individuelles de chaque brigade de police et de gendarmerie, ouvrant la voie à la vidéosurveillance automatisée et particulièrement à la reconnaissance faciale généralisée (pour rappel, en 2019, sans même disposer de ces futures vidéos transmises en temps réels, la police a déjà réalisé 375 000 opérations de reconnaissance faciale). La Défenseure des droits considère elle-aussi qu’une telle transmission porterait « une atteinte disproportionnée au droit à la vie privée ».

L’article 22 autorisera la surveillance de masse de nos rues par drones, ce qui n’augmentera pas la protection de la population mais servira surtout à renforcer des stratégies violentes du maintien de l’ordre, visant notamment à épuiser et dissuader les manifestants d’exercer leur liberté fondamentale d’exprimer leurs opinions politiques. Pour la Défenseure des droits, cette surveillance « ne présente pas les garanties suffisantes pour préserver la vie privée ».

L’article 24 empêchera la population de diffuser des images de violences policières, et ce dans des conditions si floues et si générales qu’elles conduiront en pratique à empêcher presque toute captation d’images de policiers et de gendarmes, en violation totale de la liberté fondamentale de la population d’être informée des pratiques et dérives des institutions publiques.

Réponses aux contre-arguments

« La reconnaissance faciale par transmission de vidéo en temps réel (article 21) ne s’en prendra qu’aux criminels ».

La reconnaissance faciale est autorisée depuis 2012 dans le fichier de traitement des antécédents judiciaires, le « TAJ » (lire notre analyse). Ce fichier est géré seule par la police, sans contrôle extérieure effectif, de sorte qu’elle peut y inscrire en pratique à peu près qui elle veut, et même des opposants politiques. Le TAJ contiendrait 19 millions de personnes fichées et 8 millions de photos.

« Les drones (article 22) permettront de limiter les violences en manifestation ».

Si la police voulait diminuer les violences, elle adopterait une approche de désescalade de la violence fondée sur la communication et l’apaisement. Les drones sont parfaitement inutiles pour une telle approche apaisée. Ils ne sont utiles que pour l’approche confrontationnelle actuellement adoptée par la police, consistant à gérer les manifestants comme des flux dans des stratégies d’épuisement.

« Il faut bien une loi pour encadrer l’utilisation des drones, c’est ce que demande le Conseil d’État »

Telle que rédigée aujourd’hui, la proposition de loi n’est pas un encadrement mais un blanc-seing donnée aux forces de l’ordre pour déployer tout type de surveillance dans l’espace public. Une telle capacité de surveillance de masse est en totale opposition avec les exigences de nécessité et de proportionnalité qui sont normalement nécessaires avant le déploiement de chaque nouvelle caméra dans la rue.

« L’article 24 n’empêchera que les diffusions faites dans le but de nuire physiquement ou psychiquement aux policiers et gendarmes. »

La dénonciation d’une violence policière se fait forcément avec la conscience et même la volonté de pouvoir nuire au moral des personnes qu’on dénonce : on veut les empêcher d’agir. Quand on fait une telle dénonciation, on souhaite une sanction disciplinaire, ce qui est une attente parfaitement légitime et normale, qu’il serait donc injustifiable de criminaliser. S’agissant des appels à la violence contre les policiers, ils sont déjà interdits comme pour n’importe quelle personne.

« L’article 24 n’empêchera que la diffusion des images, pas leur captation. »

Ce sera déjà une atteinte injustifiable au droit fondamental de la population d’être informée de l’usage de la violence réalisée par la police. De plus, en pratique, la police empêche déjà régulièrement les manifestants et les passants de filmer ses interventions, alors que la population est parfaitement autorisée à le faire. Une interdiction aussi floue et générale que celle introduite par l’article 24 ne pourra que renforcer cette interdiction « de fait » imposée par la police de façon complètement arbitraire et très souvent violente.

]]> https://www.laquadrature.net/?p=16354http://isyteck.com/autoblog/quadrature/index.php5?20201109_174759_Fichage_policier____recours_contre_le_detournement_du_fichier_du_____Systeme_de_controle_automatise____Mon, 09 Nov 2020 16:47:59 +0000Nous venons de déposer un recours devant le Conseil d’État contre l’extension du fichier du Système de contrôle automatisé (SCA). Depuis avril, ce fichier permet de conserver pendant 5 à 10 ans les informations relatives à une contravention ou un délit conduisant au paiement d’une amende forfaitaire. Nous attaquons cet énième fichier de police.

Le SCA — ou ADOC, pour « Accès au dossier des contraventions » — est un fichier de police qui permettait, avant avril, de conserver des informations relatives aux délits routiers. En avril, pendant le confinement, le gouvernement a détourné ce fichier pour y inscrire des informations relatives au non-respect du confinement. La police et la gendarmerie l’ont ainsi utilisé pour repérer les récidivistes, afin tout simplement, de les mettre en prison¹Le non-respect des règles de confinement, aujourd’hui encore, vous expose à une amende de 135€, mais la récidive peut en effet vous conduire en prison..

Ce fichier ne permettant pas, à l’époque, de conserver des informations autres que sur les délits routiers, les procédures judiciaires ont depuis été annulées et les personnes relaxées.

Qu’à cela ne tienne. Puisque les tribunaux reprochaient à la police d’utiliser un fichier sans en avoir le droit, la police — par le biais du ministre de l’intérieur — a changé les règles du jeu. Et voilà que, depuis mi-avril 2020, toute infraction réprimée par une amende forfaitaire sera inscrite dans ce fichier, et cela pour une durée de 5 ans (pour les contraventions) à 10 ans (pour les délits).

Outre la méthode infâme et indigne d’un État de droit, cette manœuvre accentue de manière inquiétante le fichage de la population. Non seulement les infractions visées sont peu graves²C’est justement parce que ces infractions sont « peu graves » que l’on peut décider de de payer une amende forfaitaire au lieu de passer devant un tribunal., mais elles sont aussi très nombreuses. Vous pourrez donc vous retrouver dans ce fichier de police pour avoir vendu une Tour Eiffel à la sauvette, pour avoir du cannabis sur vous, pour le dépôt d’ordures³Notons à ce propos que la police sanctionne l’affichage militant sauvage par une amende pour dépôt d’ordures sauvage., pour avoir participé à une manifestation interdite sur la voie publique, ou encore, depuis fin octobre, pour ne pas avoir respecté les obligations de confinement. Et cette liste est très loin d’être exhaustive : nous avons relevé dix délits et une trentaine de contraventions qui, seulement parce qu’ils et elles font l’objet du paiement d’une amende, vous inscrira dans un énième fichier de police. Et ce pour une période relativement longue.

À travers ce fichier, c’est encore une fois l’impunité policière qui doit être dénoncée. Le gouvernement fait fi des règles d’un l’État de droit pour arriver à ses fins : mettre les gens sous surveillance, les envoyer en prison et réprimer toujours plus durement. Il est pourtant établi qu’un fichage policier conduit toujours à des abus — le TAJ ou les drones ne sont que deux exemples dans un océan d’arbitraire.

References[+]

↑1	Le non-respect des règles de confinement, aujourd’hui encore, vous expose à une amende de 135€, mais la récidive peut en effet vous conduire en prison.
↑2	C’est justement parce que ces infractions sont « peu graves » que l’on peut décider de de payer une amende forfaitaire au lieu de passer devant un tribunal.
↑3	Notons à ce propos que la police sanctionne l’affichage militant sauvage par une amende pour dépôt d’ordures sauvage.

]]> https://www.laquadrature.net/?p=16344http://isyteck.com/autoblog/quadrature/index.php5?20201106_192204_Securite_globale____la_police_fait_la_loiFri, 06 Nov 2020 18:22:04 +0000La loi « sécurité globale » a été adoptée hier en commission des lois de l’Assemblée nationale (relire notre première analyse de la loi). Un premier constat s’impose aux personnes qui ont suivi l’examen du texte : une ambiance singulière, lugubre et fuyante. Un silence de plomb rompu seulement par divers éclats de rires du groupe LREM, incongrus et parfaitement indécents compte tenu de la gravité du texte examiné. Certains diront qu’il faut écrire la loi d’une main tremblante. Alors tremblons.

Le RAID dans l’Assemblée

Cette loi illustre la méthode législative propre aux États policiers : la police écrit elle-même les règles qui définissent ses pouvoirs.

D’abord, littéralement, l’auteur principal du texte, Jean‑Michel Fauvergue (LREM), est l’ancien chef du RAID, de 2013 à 2017. Il est l’un des deux rapporteurs du texte. À travers lui et, depuis son pupitre en commission des lois, la police a pu imposer son autorité.

Quand la députée Danièle Obono (LFI) s’inquiète pour nos libertés fondamentales, Fauvergue lui reproche de « déverser [son] fiel sur la société française » – car, comprenez-vous, critiquer la police, c’est critiquer « la France ». Voyant Obono insister, il lui intime même : « Allez prendre vos gouttes ! ». Sans doute voit-il le « débat parlementaire » comme un champ de bataille où il est exclu de négocier avec l’ennemi, tout en se permettant de reprocher à Obono de « voir la société de façon binaire entre les « gentils » et les « méchants »».

Pensées interdites

Cette négociation impossible s’est aussi traduite dans l’attitude de l’autre rapporteure du texte, Alice Thourot. Chaque fois qu’un amendement proposait de limiter ne serait-ce qu’un tant soit peu les nouveaux pouvoirs de la police, elle restait cloîtrée dans une unique et lancinante réponse, se résumant à : « Cette disposition a été demandée par la police, il faut l’adopter telle quelle ».

Elle n’est sortie de ce mutisme intellectuel que pour demander aux députés d’arrêter d’envisager des hypothèses où la police abuserait de ses nouveaux pouvoirs, car de telles pensées seraient insultantes pour la police. Entre ces « crimepensées » et le slogan choisi par Thourot pour cette loi, « protéger ceux qui nous protègent », 1984 est à l’honneur.

Trois député·es

Ne laissons ici aucun doute : le rôle historique du Parlement et du droit est précisément d’envisager des hypothèses où les institutions abuseraient de leur pouvoir afin d’en limiter les risques. Mais il n’y avait plus hier qu’une poignée de députés pour s’en souvenir. Saluons-les pour leur étrange baroud d’honneur. Danièle Obono, déjà citée, l’ancien marcheur Paul Molac et le centriste Philippe Latombe qui, devant les barrières dressées par la police au sein même de l’Assemblée nationale, a fait tomber les masques, rempli d’amertume, avouant que « les députés ne servent à rien ». Et en effet, ils n’auront servi à rien.

Alors que le sujet de cette loi, dont le processus d’adoption est – rappelons le – d’une rapidité exceptionnelle, touche à nos libertés publiques et nécessiterait une discussion solennelle et sérieuse de la part des parlementaires, nous avons à l’inverse pu observer une absence criante de la mesure de la gravité des enjeux, chaque augmentation de pouvoir de la police étant votée comme une simple formalité administrative.

La police autonome

Ce débat, tant sur sa forme que sur son fond, aura démontré que la police est une institution politique autonome, avec son agenda et ses idéologies propres qu’elle entend défendre elle-même. Les discussions sur l’article 21 sur les « caméras-piétons » l’ont parfaitement illustré.

Les députés de droite ont martelé qu’il fallait que cet article 21 permette aux policiers de publier les vidéos prises par leur caméra portative afin de « rétablir la vérité », ou plus exactement d’établir « leur vérité » dans la « guerre des images », et de justifier les violences policières filmées par les journalistes et la population. La police n’est donc plus uniquement chargée de protéger la population contre les infractions. Elle est aussi destinée à faire de la communication politique au même titre qu’un parti politique ou qu’un journal militant – les armes et les hélicoptères en plus.

Un chien-fou en liberté

Le gouvernement et sa majorité parlementaire ont toujours dû laisser à la police certaines libertés en contrepartie de la protection armée offerte contre les débordements populaires. Mais ce rapport de force semble largement déraper. Sur la forme, on pourrait se demander ce qu’il reste de l’indépendance du pouvoir législatif, soumis de fait à la police et à ses lobbyistes élus.

Sur le fond du texte aussi, le rapport de force semble basculer brutalement en faveur de la police. L’article 24 de la loi, qui conduira en pratique à empêcher la population et les journalistes de filmer et de diffuser les images de violences policières, fera disparaître un contre-pouvoir fondamental dans l’équilibre des institutions. Car la documentation des abus policier dans les médias, par la presse et la population, permettait de les contenir un minimum, ce qui arrangeait bien les autres pouvoirs. Si le contre-pouvoir de la presse devait sauter, plus grand-chose n’empêcherait la police de verser dans l’arbitraire le plus total.

Les amendements de la police

Hier, l’agenda a bel et bien été dicté par la police. Les seuls amendements sérieux à avoir été adoptés sont ceux qui accroissent les pouvoirs de la police.

Sur les articles qui nous intéressent, un premier amendement « vise à étendre aux polices municipales les avancées permises par le présent article en matière de caméras individuelles » (notamment la transmission en temps réel au centre de commandement, où les images pourront être analysées automatiquement). Un deuxième ensemble d’amendements allonge la liste des finalités permettant la surveillance par drones (lutte contre les rodéos urbains et les petits dealers notamment).

Enfin, la seule modification apportée à l’article 24 sur la diffusion d’images policières sonne comme une provocation : l’article 24, qui interdit toujours la diffusion du visage et d’autres éléments d’identification des policiers, permet désormais de diffuser des images illustrant leur matricule – ce fameux RIO dont l’absence est justement si souvent déplorée… Réagissant aux vives oppositions, notamment celle de la défenseure des droits, contre l’atteinte à la liberté d’informer constituée par cet article, l’ancien chef du RAID a été définitif : « nous voulons que les agents ne soient plus identifiables du grand public ».

La suite

Le texte sera examiné par l’ensemble des députés à partir du 17 novembre. Vous pouvez appeler ou écrire aux élus d’ici là via l’outil ci-dessous.

Nos espoirs principaux seront peut-être à placer dans le Sénat et le Conseil constitutionnel, qui ont une place singulière dans les rapports de force entre les institutions et sont récemment parvenus à réduire à néant les initiatives du gouvernement, notamment en s’opposant à la loi Avia.

Au hasard parmi les députés de tous les groupes
et de tous les départements


( – )





Député suivant >

]]> https://www.laquadrature.net/?p=16337http://isyteck.com/autoblog/quadrature/index.php5?20201106_134409_Identite_numerique_et_reconnaissance_faciale____defaite_au_Conseil_d___Etat__le_combat_continue___Fri, 06 Nov 2020 12:44:09 +0000En juillet 2019, nous avions attaqué l’application pour smartphone « ALICEM » devant le Conseil d’Etat. Cette application, développée par l’Agence des Titres Sécurisés (ANTS), visait à développer une identité numérique gouvernementale, soi-disant « sécurisée », conditionnée à un traitement de reconnaissance faciale obligatoire. Soit une manière détournée de commencer à imposer à l’ensemble de la société française la reconnaissance faciale à des fins d’identification. La CNIL s’était, pour une fois, autorisée à contredire frontalement le gouvernement en soulignant dans son avis qu’un tel dispositif était contraire au droit européen. Le gouvernement n’avait pas suivi son avis et avait publié, sans le modifier, le décret permettant la création de cette application.

Outre cette violation du droit européen sur la protection des données, nous avions souligné de notre côté le risque de normalisation de la reconnaissance faciale : à force de l’utiliser volontairement comme outil d’authentification, nous risquerions de nous y accoutumer, au point de ne plus nous indigner de ce mode de contrôle social particulièrement insidieux et dangereux pour les libertés publiques. Notre recours était également concomitant à un rapport signé par l’ancien ministre de l’Intérieur, Christophe Castaner, où ce dernier faisait d’inquiétants liens entre Alicem, la haine en ligne et son désir de mettre fin à l’anonymat. Enfin, nous avions attaqué la disproportion des données traitées pour l’application Alicem : pour créer cette identité, l’application traite en effet 32 données différentes (nom, prénom, taille, date de délivrance du passeport…).

Hier, le Conseil d’Etat a rendu sa décision. Elle est choquante : plus d’un an après le dépôt de notre recours. Il rejette ce dernier en trois paragraphes. Il reprend notamment l’argumentation du ministère de l’Intérieur en considérant que la CNIL s’est trompée : le droit européen serait selon lui respecté car les personnes ne voulant pas utiliser l’application (du fait de la reconnaissance faciale) ne subiraient pas de préjudice. Elles pourraient en effet utiliser d’autres moyens d’identification pour accéder aux services publics en ligne (par exemple via un identifiant et un mot de passe via France Connect). Cette interprétation de la notion de « consentement libre et éclairé » méconnaît non seulement celle de la CNIL mais aussi celle du comité européen de la protection des données. Sur la question de l’étendue des données, il considère tout simplement que le traitement est « adéquat et proportionné ». Sans plus de détails. Une conclusion aucunement argumentée, qui résume à elle seule tout l’arbitraire de cette décision. Un seul lot de consolation  : le Conseil d’État y reconnaît donc que conditionner l’accès à un service public en ligne à la reconnaissance faciale ne respecte pas le droit des données personnelles (il faut toujours qu’une alternative soit proposée, et Alicem risque donc de ne jamais sortir de sa phase d’expérimentation).

Cette décision marque une bataille perdue contre la surveillance biométrique, contre son utilisation dans le cadre d’une identité numérique, et surtout contre sa normalisation. Notre recours aura néanmoins rempli un de ses objectifs : celui de mettre la lumière sur ce projet du gouvernement et de lancer le débat sur la reconnaissance faciale en France. De montrer aussi à ses promoteurs que chaque initiative, chaque tentative de leur part de nous imposer cette surveillance sera combattue. C’est dans cette même idée que nous avons déposé il y a quelques mois un recours contre la reconnaissance faciale dans le TAJ. C’est aussi dans cette idée que nous suivrons de près le prochain sujet de la carte d’identité numérique, où la biométrie sera, encore une fois, au cœur des débats.

]]> https://www.laquadrature.net/?p=16242http://isyteck.com/autoblog/quadrature/index.php5?20201101_100013_Faut-il_reguler_Internet_____1_2_Sun, 01 Nov 2020 09:00:13 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Le modèle de l’économie de l’attention

Si le rêve initial d’Internet était celui du partage, force est de constater qu’aujourd’hui les « Géants du Web » ont acquis un quasi-monopole sur de très nombreux aspects de nos activités en ligne : nos recherches sur le Net (Google Search possède par exemple 91 % des parts de marché en France), nos téléphones mobiles (le système Android est installé sur la plupart des portables, près de 8 sur 10 en France, et si l’on ajoute Apple et son système iOS, on couvre la quasi-totalité des portables), nos communications via les réseaux sociaux (qui passent en grande majorité par Facebook et Twitter) et les liens sociaux tissés par la même occasion…

Et ces entreprises n’ont pas développé ces activités dans un but philanthropique : elles sont là pour faire de l’argent, et leur modèle économique est essentiellement basé sur l’affichage publicitaire (cela représente par exemple 85 % du chiffre d’affaires de Google et même 98 % de celui de Facebook). Pour augmenter leur chiffre d’affaires et leurs bénéfices, ils font donc tout ce qu’ils peuvent pour mieux nous cibler et nous garder le plus longtemps possible sur leurs sites ou leurs applications. C’est ce qu’on appelle « l’économie de l’attention » : l’idée est de nous garder le plus longtemps possible « captif·ves », à la fois pour récupérer un maximum de données nous concernant, mais surtout pour bénéficier de plus de « temps de cerveau disponible » et mieux vendre leurs espaces publicitaires aux annonceurs.

Prenons l’exemple du réseau social Facebook. L’entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l’entreprise pour qu’elle diffuse ce message à ce public, dans les meilleures conditions.

Afin de cibler correctement ces publics, Facebook analyse donc les contenus produits par ses utilisat·rices : contenus publics, messages privés, interactions diverses, contenus consultés, appareils utilisés pour se connecter, temps de visionnage d’un message, etc. Ces contenus ne se résument pas à ce qu’on publie consciemment, mais à l’ensemble nos activités, qui dévoilent nos caractéristiques sociales, économiques… Pour voir à quel point cette analyse peut s’avérer redoutable, on peut évoquer une étude conduite par l’université de Cambridge en 2013 : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j’aime » laissés sur Facebook. En repartant de leurs seuls « j’aime », l’université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s’ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %).

Ces données récoltées et traitées (sans forcément que les utilisateur·rices en soient averti·es ou conscient·es) permettent ensuite à Facebook de proposer des messages publicitaires « adaptés », aux moments et aux formats les plus opportuns pour fonctionner sur les personnes ciblées et les influencer dans leurs choix. Mais cela ne s’arrête pas là, Facebook collabore aussi avec des tiers pour pister des personnes n’ayant même pas de compte chez eux, via les cookies (petits fichiers stockés sur nos appareils, initialement faits pour faciliter la navigation, mais qui sont susceptibles d’être utilisés pour traquer les personnes), les boutons « j’aime » sur des pages de sites Internet (si une personne voit un de ces boutons s’afficher sur la page qu’elle consulte, des données la concernant – telle que son adresse IP par exemple – sont envoyées à Facebook et ce même si elle n’a pas de compte auprès de ce service), le Facebook login (bouton qui permet de se connecter sur un site via son compte Facebook, et qui renvoie lui aussi un certain nombre d’informations à Facebook)…

Mais il est aussi nécessaire de capter le plus longtemps possible l’attention des utilisat·rices dans le cadre de cette « économie de l’attention ». Prenons cette fois l’exemple de Youtube, la plus grosse plateforme vidéo d’Internet, propriété de Google et l’un des sites les plus visités au monde. Youtube ne se contente pas seulement d’héberger des vidéos : il s’agit d’un véritable média social de contenus multimédias, qui met en relation des individus et régule ces relations : lorsqu’une vidéo est visionnée sur Youtube, dans 70 % des cas l’utilisateur·rice a été amené·e à cliquer sur cette vidéo via l’algorithme de recommandation de Youtube. Et le but de cet algorithme n’est pas de servir l’utilisat·rice mais de faire en sorte que l’on reste le plus longtemps possible sur la plateforme, devant les publicités. Cet algorithme ne se pose certes pas la question du contenu, mais en pratique l’ancien employé de Google Guillaume Chaslot [dans un entretien dans le numéro 5 de la revue Vraiment, paru le 18 avril 2018] constate que les contenus les plus mis en avant se trouvent être les contenus agressifs, diffamants, choquants ou complotistes. Il compare : « C’est comme une bagarre dans la rue, les gens s’arrêtent pour regarder ».

Youtube, désirant ne pas perdre une seconde de visionnage de ses utilisat·rices, ne prend pas le risque de leur recommander des contenus trop extravagants. L’ancien employé déclare qu’ils ont refusé plusieurs fois de modifier l’algorithme de façon à ce que celui-ci ouvre l’utilisat·rice à des contenus inhabituels. Dans ces conditions, le débat public est entièrement déformé, les discussions les plus subtiles ou précises, jugées peu rentables, s’exposent à une censure par enterrement.

En tant qu’hébergeur de contenu, Youtube est tenu de retirer un contenu « manifestement illicite » si celui-ci lui a été notifié. Compte tenu de la quantité de contenus que brasse la plateforme, elle a décidé d’automatiser la censure des contenus « potentiellement illicites », portant atteinte au droit de certains auteurs, au moyen de son RobotCopyright appelé « ContentID » (système d’empreinte numérique qui permet de comparer tout nouveau contenu déposé sur la plateforme à une base de données préexistante, alimentée par les titulaires de droit d’auteur). Pour être reconnu auteur·e sur la plateforme, il faut répondre à des critères fixés par Youtube. Une fois qu’un contenu est protégé par ce droit attribué par Youtube (en pratique, il s’agit en majorité de contenus issus de grosses chaînes de télévision ou de grands labels), la plateforme se permet de démonétiser¹Nombreux sont les Youtubeur·ses qui vivent en partie des revenus publicitaires liés à leurs vidéos. Démonétiser une vidéo revient à supprimer les revenus publicitaires liés à cette vidéo et donc la rémunération de son auteur·rice, en cessant de mettre cette vidéo en avant ou en cessant de l’associer à des publicités. ou supprimer les vidéos réutilisant le contenu protégé à la demande des titulaires de droit. Ce ContentID est un moyen de censure de plus qui démontre que Youtube ne souhaite pas permettre à chacun·e de s’exprimer (contrairement à son slogan « Broadcast yourself ») mais cherche simplement à administrer l’espace de débat public avec pour but de favoriser la centralisation et le contrôle de l’information. Et pour cause, cette censure et cet enfermement dans un espace de confort est le meilleur moyen d’emprisonner les utilisat·rices dans son écosystème au service de la publicité.

De la nécessité de réguler

Nous avons donc des entreprises qui récoltent nos données personnelles et en font la base de leur modèle économique, le plus souvent de manière illégale : en effet, depuis mai 2018, le RGPD prévoit que notre consentement à la collecte et au traitement de nos données personnelles n’est pas considéré comme valide s’il n’est pas librement donné, et notamment si l’on n’a pas d’autre choix que d’accepter pour pouvoir accéder au service (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l’article 29²https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes et https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 – référence en anglais). Or pour avoir un compte Facebook ou pour consulter des vidéos sur Youtube nous n’avons actuellement pas d’autre choix que d’accepter que nos données soient collectées par leurs outils de pistage/ciblage.

Et ces mêmes entreprises sont aussi celles qui mettent en avant des contenus polémiques, violents, racistes ou discriminatoires en partant de l’idée que ce sont ceux qui nous feront rester sur leur plateforme. Le rapport visant à « renforcer la lutte contre le racisme et l’antisémitisme sur Internet », commandé par le Premier ministre français et publié en septembre 2018, l’explique très bien. Il dénonce « un lien pervers entre propos haineux et impact publicitaire : les personnes tenant des propos choquants ou extrémistes sont celles qui « rapportent » le plus, car l’une d’entre elles peut en provoquer cinquante ou cent autres. Sous cet angle, l’intérêt des réseaux sociaux est d’en héberger le plus possible ». Plus généralement, le rapport regrette la « règle selon laquelle un propos choquant fera davantage de « buzz » qu’un propos consensuel, alimentant de façon plus sûre le modèle économique des plateformes ».

References[+]

↑1	Nombreux sont les Youtubeur·ses qui vivent en partie des revenus publicitaires liés à leurs vidéos. Démonétiser une vidéo revient à supprimer les revenus publicitaires liés à cette vidéo et donc la rémunération de son auteur·rice, en cessant de mettre cette vidéo en avant ou en cessant de l’associer à des publicités.
↑2	https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes et https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 – référence en anglais

]]> https://www.laquadrature.net/?p=16321http://isyteck.com/autoblog/quadrature/index.php5?20201030_161428_Lettre_aux_parlementaires____Supprimez_les_boites_noires__ne_violez_pas_le_droit_europeenFri, 30 Oct 2020 15:14:28 +0000Mercredi 4 novembre, l’Assemblée nationale examinera pour la seconde fois le projet de loi visant à prolonger encore une fois les « boites noires ». Introduites par la loi de renseignement de 2015, les « boites noires » sont des dispositifs analysant de façon automatisée l’ensemble des communications circulant sur un point du réseau de télécommunications afin, soi-disant, de « révéler des menaces terroristes ». Une de nos plus importantes affaires, récemment tranchée par la Cour de justice de l’Union européenne, vient de déclarer ces « boites noires » contraires au droit de l’Union.

Nous venons d’écrire aux députés pour qu’ils rejettent la tentative du gouvernement de violer le droit européen.

Objet : Supprimez les boites noires, ne violez pas le droit européen

Mesdames, Messieurs les membres de la commission des lois,

Le 4 novembre, vous examinerez le projet de loi relatif à la prorogation de diverses dispositions du code de la sécurité intérieure.

Le 8 juillet, vous aviez rendu un avis favorable à ces prorogations, notamment à celle de la mesure prévue à l’article L851-3 de ce code, jusqu’au 31 juillet 2021. Toutefois, depuis cet examen, un événement majeur est survenu et devrait vous convaincre d’adopter une position diamétralement opposée.

Le 6 octobre, au terme de cinq années de procédure, la Cour de justice de l’Union européenne a rendu un arrêt « La Quadrature du Net » dont les conséquences sur les activités de renseignement françaises seront d’une importance sans précédent. Cet arrêt dense et complexe affecte de très nombreux aspects du droit. Néanmoins, il y a un point sur lequel le Cour est limpide : la mesure décrite à l’article L851-3 du code de la sécurité intérieur, telle qu’elle est actuellement autorisée en droit français, est contraire au droit de l’Union et à ses traités.

La Cour considère que cette mesure est une « analyse automatisée [qui] s’applique de manière globale à l’ensemble des personnes faisant usage des moyens de communications électroniques » et que « les données faisant l’objet de l’analyse automatisée sont susceptibles de révéler la nature des informations consultées en ligne ». La Cour exige ainsi que cette « ingérence particulièrement grave » ne puisse être admise qu’à titre exceptionnel « face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » et ce « pendant une période strictement limitée ». Enfin, la mise en œuvre d’une telle mesure doit faire « l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant ».

Le droit français ne respecte aucune de ces garanties. L’article L851-3 du code de la sécurité intérieure autorise cette mesure de façon générale et par principe, sans être conditionnée à la moindre « menace réelle et actuelle ». Le droit français n’encadre cette mesure dans aucune « période strictement limitée », mais autorise au contraire ces boites noires depuis cinq ans de façon ininterrompue. Enfin, le contrôle de cette mesure a été confié à la CNCTR qui, en droit, n’a aucun pouvoir contraignant.

Le gouvernement a annoncé qu’il corrigerait ces graves manquements dans une prochaine loi sur le renseignement, sans aucune garantie quant au délai ou à la pertinence des ces corrections. Pourtant, les services de renseignement ne cachent pas l’intérêt stratégique particulièrement limité de cette mesure. Dès lors, proroger l’autorisation de cette mesure ne pourrait être compris et décrit que d’une seule façon : la volonté active du législateur de renoncer aux princes de hiérarchie des normes et d’État de droit en matière de surveillance.

]]> https://www.laquadrature.net/?p=16315http://isyteck.com/autoblog/quadrature/index.php5?20201029_164322_Loi_securite_globale____surveillance_generalisee_des_manifestationsThu, 29 Oct 2020 15:43:22 +0000Le 20 octobre, les députés de la majorité LREM ont déposé une proposition de loi de « sécurité globale ». Elle sera débattue par l’Assemblée nationale le 4 novembre, dans une urgence inouïe que rien ne justifie. Son article 21 veut déréguler l’utilisation des caméras mobiles portées par les forces de l’ordre. Son article 22 veut légaliser la surveillance par drone. Son article 24 veut interdire au public de diffuser l’image de policiers.

Nous exigeons le rejet de ces trois mesures, ne serait-ce qu’en raison de l’atteinte inadmissible qu’elles portent au droit fondamental d’exprimer nos opinions en manifestation. Ce n’est pas la seule critique à faire contre ce texte, mais c’est la critique que nous développerons dans cette première analyse.

L’approche confrontationnelle du maintien de l’ordre

Pour bien comprendre les dangers posés par cette proposition de loi, il faut la resituer dans la pratique générale du maintien de l’ordre en manifestation. Deux approches s’y opposent.

Une première approche « d’accompagnement », telle qu’elle serait enseignée au centre de formation de la gendarmerie ou telle qu’elle existe en Allemagne, en Suède ou en Suisse, se concentre sur la protection des manifestants, le dialogue et la désescalade de la violence.

Une deuxième approche « confrontationnelle », telle qu’elle s’illustre vivement depuis 2015 et telle qu’elle est fermement dénoncée depuis (voir par exemple le rapport du défenseur des droits de 2018), vise avant tout à dissuader la population de participer à des manifestations, que ce soit par épuisement psychologique des participants (pratique de la nasse, blocage ou filtrage des entrées et sorties du parcours, gazage, fouilles au corps, comportements injurieux) ou par des violences physiques (LBD, grenades, charges). Cette seconde approche ne traite plus les manifestantes et les manifestants comme des individus à protéger mais comme des « flux » déshumanisés qu’il s’agit uniquement de canaliser, de dévier, de retenir ou d’écouler.

L’approche « d’accompagnement » est théoriquement compatible avec notre droit fondamental de manifester. Au contraire, l’approche confrontationnelle est frontalement opposée à ce droit, par essence. C’est cette approche que la loi « sécurité globale » tente de renforcer, en donnant à la police trois moyens technologiques nouveaux pour s’y enfoncer davantage.

Surveillance de masse au sol

Une loi de 2016 a autorisé les policiers et les gendarmes à filmer leurs interventions par des « caméra mobiles ». Une condition était toutefois posée : que l’agent portant la caméra ne puisse pas accéder aux images, celles-ci ne pouvant être exploitées qu’a posteriori, lorsqu’un événement particulier survenu pendant l’intervention le justifiait. Cette condition, d’après l’avis de la CNIL, constituait une des « garanties essentielles » capables de rendre le dispositif acceptable.

L’article 21 de la loi « sécurité globale » propose de supprimer cette garantie. Non seulement l’agent pourra accéder aux images qu’il a enregistrées mais, plus grave, les images ne seront plus seulement exploitées à posteriori : elles pourront aussi être « transmises en temps réel au poste de commandement ». Quel est le but de cette transmission en temps réel ? Il ne s’agit manifestement pas d’informer le centre de commandement du déroulé de l’intervention, puisqu’une communication orale y suffit largement depuis des décennies. À notre sens, un des intérêts principaux serait de permettre l’analyse automatisée et en temps réel des images. Pour rappel, la police est autorisée depuis 2012 à utiliser des logiciels de reconnaissance faciale pour identifier une des 8 millions de photos déjà enregistrées dans le fichier de traitement des antécédents judiciaire (TAJ) sur n’importe quelle image dont elle dispose (qu’elle vienne de caméras fixe ou mobile, de vidéo publiée en ligne, etc.)

En manifestation, la reconnaissance faciale en temps réel permettra au centre de commandement de renseigner en direct les agents de terrain sur l’identité des nombreux militants et militantes qu’ils croiseront, déjà fichées à tort ou à raison dans le TAJ, fichier que la police gère seule sans contrôle indépendant effectif. Ce nouvel outil permettra à la police de multiplier certains abus ciblés contre des personnes déjà identifiées : gardes à vue « préventives », accès au cortège empêché, interpellations non-suivies de poursuite, fouilles au corps, confiscation de matériel, comportement injurieux…

Il ne s’agirait pas d’une simple accentuation mais d’un véritable changement de paradigme : actuellement, la police ne peut malmener qu’une poignée de personnes, plutôt célèbres, dont le visage peut être effectivement retenu par les policiers humains. Cette limite cognitive disparaît entièrement avec la reconnaissance faciale en temps réel, qui pourra toucher n’importe quel militant politique ou presque. Cette évolution est parfaitement étrangère à l’approche protectrice du maintien de l’ordre, mais s’inscrit parfaitement dans l’approche confrontationnelle.

Surveillance de masse aérienne

L’article 22 de la loi « sécurité globale » propose d’autoriser une pratique qui s’est répandue en violation de la loi au cours des derniers mois : le déploiement de drones pour surveiller les manifestations (pratique que nous venons d’attaquer à Paris).

Une telle surveillance aérienne est parfaitement inutile dans l’approche non-confrontationnelle du maintien de l’ordre : les drones ne sont pas des outils de dialogue ou d’apaisement mais, au contraire, distancient certains policiers et gendarmes des manifestants, qui ne peuvent même plus les voir. À l’inverse, la surveillance de masse par drones s’inscrit parfaitement dans l’approche confrontationnelle, et ce de deux façons.

En premier lieu, tout comme pour les caméras mobiles, les images captées par drones peuvent être analysées par reconnaissance faciale en temps réel, facilitant les actions ciblées de la police contre des militants préalablement identifiés. La surveillance par drones permet aussi, plus simplement, de suivre à la trace n’importe quel individu « dérangeant » repéré au cours d’une manifestation, afin de diriger les forces aux sols pour le malmener. Mediapart en a récemment donné un exemple saisissant : le témoignage de militantes qui, pour défendre l’hopital public, ont lâché une banderole flottante pendant un discours d’Emmanuel Macron et que la police a interpellées dans un domicile privé en expliquant avoir suivi leur trace par drone – avant de les relâcher après quatre heures, sans qu’elles ne soient poursuivies. Gérard Darmanin l’explique sans gêne dans le nouveau « schéma national du maintien de l’ordre » : les drones « sont utiles tant dans la conduite des opérations que dans la capacité d’identification des fauteurs de troubles ».

En second lieu, à ces attaques ciblées s’ajoute une approche plus collective. Le drone est l’outil idéal pour la gestion de flux déshumanisés propre à l’approche confrontationnelle. La position aérienne donne à voir concrètement ces « flux » et « liquides » que nous sommes devenus. Elle fait clairement apparaître les robinets et les écluses que la police peut actionner pour retenir, dévier ou faire écouler les flux humains : nasses, barricades, filtres, grenades, gaz. La stratégie d’épuisement des foules est bien délicate à mener sans vision d’ensemble, et c’est l’intérêt principal des drones que d’offrir cette vision.

Pire, avec une vision si haute et lointaine, les ordres du centre de commandement ne peuvent qu’être déconnectés des considérations humaines les plus élémentaires : bien souvent, les manifestants et les manifestantes ne sont plus que des points vus du dessus, dont la souffrance et la peur sont imperceptibles. Les conditions idéales sont réunies pour éviter que les donneurs d’ordre ne soient distraits par quelque empathie ou considération morale, pour que plus rien ne retienne la violence illégitime qui dissuadera les manifestants de revenir exercer leurs droits.

Interdiction de documenter l’action de la police

L’article 24 de la loi « sécurité globale » propose d’interdire au public de diffuser « l’image du visage ou tout autre élément d’identification d’un fonctionnaire de la police nationale ou d’un militaire de la gendarmerie nationale lorsqu’il agit dans le cadre d’une opération de police » et lorsque cette diffusion est faite « dans le but qu’il soit porté atteinte à son intégrité physique ou psychique ». Cette dernière précision vise à rassurer, mais ne soyons pas dupes : la police empêche déjà très régulièrement des personnes de la filmer alors qu’elles en ont parfaitement le droit. Cette nouvelle disposition ne pourra que rendre l’opposition de la police encore plus systématique et violente, peu importe le sens exact de la loi. De même, cette disposition sera à coup sûr instrumentalisée par la police pour exiger que les réseaux sociaux, petits ou grands, censurent toute image d’abus policiers, d’autant que le droit français rend ces plateformes responsables des images « manifestement illicites » qu’elles ne censureraient pas après signalement.

Il faut bien comprendre, ici encore, que si le maintien de l’ordre se faisait dans une approche de protection et d’apaisement, cette mesure serait parfaitement inutile. La population ne dénoncerait pas de policiers et n’en diffuserait pas l’image si la stratégie de maintien de l’ordre ne reposait pas sur la violence. Le seul objectif de cette disposition est de permettre à cette violence de perdurer tout en la rendant pratiquement incontestable.

Conclusion

Aucune de ces trois mesures ne serait utile dans une approche non-violente du maintien de l’ordre, dont l’objectif ne consisterait pas à combattre l’exercice légitime d’une liberté fondamentale mais bien de l’accompagner. A fortiori, ces mesures donneraient un pouvoir nouveau, dans un contexte où la contestation contre les violences policières grandit et où se fait criant le besoin de mécanismes démocratiques de contre-pouvoirs et de régulation du maintien de l’ordre.

Ce fourvoiement des députés LREM, avec la complicité du gouvernement et de leurs alliés de circonstance du centre traduit une déconnexion de certain·es parlementaires. Nous demandons à l’Assemblée nationale de supprimer ces articles et d’exiger — c’est aussi son rôle — du ministère de l’intérieur un changement radical de modèle dans le maintien de l’ordre.

]]> https://www.laquadrature.net/?p=16307http://isyteck.com/autoblog/quadrature/index.php5?20201026_120640_Drones_en_manifestation____La_Quadrature_contre-attaqueMon, 26 Oct 2020 11:06:40 +0000Nous venons de déposer un nouveau recours devant le tribunal administratif de Paris, en urgence, pour que la préfecture de police cesse sa surveillance par drones des manifestations. Alors que le Conseil d’État était clair en mai dernier et déclarait illégale l’utilisation des drones par la police parisienne, celle-ci fait depuis mine de ne rien voir et continue aujourd’hui de déployer, à chaque manifestation, son arsenal de surveillance par drones. Il est temps d’y mettre fin, à nouveau.

En mai dernier, le Conseil d’État donnait raison à La Quadrature du Net en estimant que la surveillance par drones est interdite pour faire respecter les mesures restrictives du confinement. Bien au-delà de cas particuliers, ce sont des principes forts, s’appuyant sur un raisonnement général en matière de droit à la vie privée et de droit à la protection des données personnelles, qui ont été dégagés. Le Conseil d’État a ainsi estimé que l’usage de drones porte une atteinte particulière aux droits et libertés et que, en l’absence d’encadrement réglementaire, leur usage reste interdit.

Cette décision de justice n’a nullement gêné la préfecture de police. Grâce à votre aide précieuse, nous avons pu documenter l’usage policier actuel des drones pour surveiller les manifestations parisiennes tout au long de ces derniers mois et présenter photos et vidéos qui attestent que la police nationale et la gendarmerie utilisent de manière systématique les drones pour surveiller les manifestations.

Pourtant, la surveillance des manifestations est d’autant plus grave qu’il s’agit de moments d’expressions politiques. Comme nous l’analysions en 2019, la surveillance des manifestant·es à l’aide de technologies de reconnaissance faciale est également aujourd’hui déjà possible, depuis 2012. Le gouvernement, par la voix du ministre de l’intérieur Gérald Darmanin, ne se cache d’ailleurs pas que l’objectif de ces drones n’est pas seulement le maintien de l’ordre, mais bel et bien, in fine, d’identifier les personnes qui manifestent. Et le récent « Schéma national du maintien de l’ordre » ne fait que le confirmer.

Notre premier recours contre les drones avait été rendu possible grâce à un article de Mediapart dans lequel la préfecture de police détaillait fièrement son usage des drones. Depuis, cette dernière refuse systématiquement de répondre aux journalistes. Ce silence en dit long sur le malaise du côté de la police qui sait que son activité de surveillance est aujourd’hui purement illégale.

Il est important de relever un autre silence : celui de la CNIL. L’autorité affirmait pourtant en mai, pour sauver les apparences, s’intéresser à la question des drones alors que le Conseil d’État constatait déjà leur illégalité. Aujourd’hui, plus de cinq mois après ce commentaire, rien ne semble bouger du côté de l’autorité chargée de faire respecter le droit en matière de vie privée…

En parallèle, la détermination politique de renforcer le pouvoir de la police est plus que jamais présente : la récente proposition de loi « relative à la sécurité globale » prévoit déjà d’autoriser, de façon extrêmement large, les drones pour surveiller les manifestations et identifier les manifestant·es. Nous reviendrons dessus bientôt, mais espérons déjà qu’une nouvelle victoire devant les juges permettra de freiner le blanc-seing que le groupe LREM à l’Assemblée nationale veut donner à la police, et mettra fin à l’utilisation de ce dispositif de surveillance de masse.

]]> https://www.laquadrature.net/?p=16286http://isyteck.com/autoblog/quadrature/index.php5?20201021_120518_Menace_de_dissolution_du_CCIF____une_inacceptable_atteinte_aux_libertes_associatives_et_a_l___egalite_des_droitsWed, 21 Oct 2020 10:05:18 +0000Dès 2015, La Quadrature du Net a eu l’occasion de travailler avec une poignée d’associations militantes, dont le CCIF, contre l’État d’urgence et ses nombreuses dérives. Elle signe aujourd’hui cet appel, rappelant le danger que fait peser sur les libertés – dans l’espace numériques et au-delà – la dissolution arbitraire d’organisations de la société civile.

---

Associations, collectifs, avocat·es, universitaires et membres de la société civile, signataires de ce texte, bouleversé.e.s et choqué.e.s par l’assassinat de Samuel Paty, expriment leur consternation et leur colère à la suite des déclarations du ministre de l’Intérieur, M. Gérald Darmanin, annonçant la volonté du gouvernement de dissoudre plusieurs associations, dont le Collectif Contre l’Islamophobie en France – CCIF, une structure avec laquelle nous collaborons régulièrement.

La contribution du CCIF au débat public sur la question des discriminations est incontestable. Le racisme et la stigmatisation des personnes musulmanes, ou considérées comme telles, est une réalité en France depuis des décennies. S’attaquer à une association de défense des droits de la minorité musulmane met en péril un combat plus que jamais nécessaire dans une société à la cohésion sociale fragilisée.

Le CCIF participe aux démarches inter-associatives de défense et de promotion des libertés et droit fondamentaux, comme c’est le cas dans le cadre du réseau « Anti-terrorisme, droits et libertés » dont il est membre ainsi que plusieurs signataires de ce texte. Le CCIF s’est également associé à plusieurs initiatives de la société civile mettant en garde contre les dérives de la mise en œuvre de l’état d’urgence sanitaire. Tout aussi légitime et essentielle est l’action que ce collectif mène au plan judiciaire pour lutter contre la banalisation des discours d’incitation à la haine raciale dans le débat public.
La dissolution administrative des associations par décret en Conseil des ministres, mesure qui existe en droit français depuis 1936, ne peut intervenir que lorsque de strictes conditions sont remplies, des conditions que le CCIF ne remplit pas. Sa dissolution s’apparenterait à une attaque politique contre une association dont l’action est essentiellement centrée autour de la lutte contre le racisme subi au quotidien par les musulman-es. L’action du CCIF dérange parce qu’elle révèle, ici et là, la manière dont notre société discrimine les personnes musulmanes. En cela, l’action du CCIF rejoint celle de toutes les associations de lutte contre les discriminations (origine, handicap, genre, orientation sexuelle, pauvreté…) dont l’action tend fatalement à remettre en cause les structures, règles et dispositifs majoritaires à raison des inégalités qu’ils créent.

La stratégie de stigmatisation choisie par le ministre de l’Intérieur est dangereuse puisqu’elle vise des personnes et des associations en raison de leur appartenance religieuse, réelle ou supposée, alors qu’elles n’ont aucun lien avec le terrorisme ou les discours haineux. Cette posture autoritaire bat en brèche des principes essentiels de l’État de droit, qui protègent contre les accusations collectives, les procédures abusives et non fondées sur des faits précis.

La dissolution arbitraire d’associations n’est une manière ni juste, ni efficace de défendre la liberté d’expression ou la sécurité collective. Seuls les fanatiques religieux et l’extrême droite ont quelque chose à gagner à cette dissolution ; l’État de droit a tout à y perdre.

Nous demandons au gouvernement de renoncer à la dissolution du CCIF, de respecter la liberté d’association et la liberté d’expression, inscrites dans la Constitution de notre République.

Signataires :

Associations : Action Droits des musulmans*, APPUII, Collectif « Les citoyens en alerte », La Quadrature du Net*, REAJI, Tous Migrants, VoxPublic*

Avocat.es : Me Asif Arif, Me Nabil Boudi*, Me Emmanuel Daoud*, Me Adelaïde Jacquin*, Me Jérôme Karsenti*, Me Raphaël Kempf*, Me Myriame Matari, Me Lucie Simon*, Me Stephen Suffern, Me Flor Tercero*

Universitaires : Marie-Laure Basilien-Gainche (Univ. Jean Moulin Lyon 3, membre honoraire de l’Institut Universitaire de France)*, Vanessa Codaccioni (Univ. Paris 8)*, Stéphanie Hennette-Vauchez (Univ. Paris Nanterre)*, Olga Mamoudy (Univ. Valenciennes)*, Sébastien Milleville (Univ. Grenoble-Alpes) Stéphanie Renard (Univ. Bretagne Sud), Julien Talpin (CNRS)

* = membres du Réseau antiterrorisme, droits et libertés.

]]> https://www.laquadrature.net/?p=16240http://isyteck.com/autoblog/quadrature/index.php5?20201018_100014_Dossier____Faire_d___Internet_un_monde_meilleurSun, 18 Oct 2020 08:00:14 +0000L’an dernier, l’association Ritimo a proposé à La Quadrature du Net de rédiger un dossier de fond sur un sujet de notre choix. Le dossier complet est déjà disponible sur le site de Ritimo. De notre côté, nous allons publier progressivement chacun des articles du dossier dans les semaines à venir. On commence ici avec l’introduction.

Au commencement, Internet était un espace d’expérimentation sans chef, nous étions libres de nous déplacer, de nous exprimer, d’inventer et de créer. Dans les années 2000, la sphère marchande s’est mise à y prendre de plus en plus de place. La publicité s’y est développée et s’est présentée comme un moyen de financer des services en ligne. Grâce aux données sur les utilisateurs de ces services, les méthodes de ciblage publicitaire ont évolué et ont séduit de plus en plus d’annonceurs. Ce nouveau marché de la publicité en ligne était bien trop obnubilé par sa rentabilité pour se préoccuper des droits des personnes vivant derrière ces données.

Dans le même temps, Internet restait un espace d’expression et prenait de plus en plus de place dans la société. Les États se sont inquiétés de cet espace grandissant sur lequel ils n’exerçaient pas un contrôle assez fort et ont commencé à chercher à mettre en place des mesures pour surveiller et réguler Internet. Lutte contre le partage d’œuvres couvertes par le droit d’auteur, lutte contre le terrorisme, la pédopornographie, les fausses informations, la « haine »… Tout est devenu prétexte à surveiller et à censurer ce qui circule sur Internet. Finalement, les technologies qui semblaient si émancipatrices à leurs débuts se sont trouvées être un parfait allié de la surveillance d’État. L’apprentissage statistique, cette méthode utilisée par l’industrie publicitaire consistant à rassembler de très grandes quantités de données pour établir des corrélations et cibler les personnes susceptibles d’être réceptives à une publicité, devient un outil fabuleux pour repérer des comportements inhabituels dans une foule, par exemple.

C’est ainsi que pour des motivations bien différentes, les États et les grosses entreprises du numérique ont trouvé dans les technologies développées ces vingt dernières années les leviers nécessaires pour augmenter leur emprise sur leurs citoyens ou leurs clients.

Le présent dossier proposé par La Quadrature du Net s’intéresse dans un premier temps aux mécanismes qui motivent les États et les entreprises à surveiller, censurer, voire manipuler la population. Les premiers articles détaillent l’impact de ces réductions de libertés, sur la société et sur les personnes, d’un point de vue politique et philosophique. Ils décrivent la mise en silo de la société à différents niveaux : de l’enfermement imposé par les géants du numérique à la stérilisation de nos rues et espaces publics imposée par l’accroissement de la surveillance.

Pour lutter contre cette mise sous surveillance de nos vies, La Quadrature entend remettre en question les réflexes de solutionnisme technologique vers lesquels les décideurs politiques tendent de plus en plus sans réflexions préalables. Pour construire un Internet plus respectueux des libertés, La Quadrature développe des alternatives politiques et présente les initiatives existantes. Construire cet Internet libre et émancipateur demande de remettre en question certains principes qui ont été imposés par les géants du web : des espaces clos, des règles pour limiter et contrôler le partage de la connaissance et de la création, etc.

C’est à ces perspectives optimistes qu’est consacrée la deuxième partie de ce dossier. Elle se veut aussi être un appel à imaginer cet « autre monde »…

]]> https://www.laquadrature.net/?p=16262http://isyteck.com/autoblog/quadrature/index.php5?20201015_122803_Le_Senat_autorise_Darmanin_a_nous_surveiller_en_violation_du_droit_europeenThu, 15 Oct 2020 10:28:03 +0000Hier, sur demande du ministère de l’Intérieur, le Sénat a autorisé les services de renseignement à conserver leurs « boites noires », alors même que ces dispositifs venaient d’être dénoncés par la Cour de justice de l’Union européenne.

Introduites par la loi de renseignement de 2015, les « boites noires » sont des dispositifs analysant de façon automatisée l’ensemble des communications circulant sur un point du réseau de télécommunications afin, soi-disant, de « révéler des menaces terroristes ». Cette surveillance de masse n’avait été initialement permise qu’à titre expérimental jusqu’à la fin de l’année 2018. Cette expérimentation avait été prolongée jusqu’à la fin de l’année 2020 par la loi antiterroriste de 2017.

Voyant la fin d’année arriver, le ministère de l’Intérieur a souhaité prolonger ses pouvoirs d’encore un an, par un projet de loi déposé le 17 juin dernier et que nous dénoncions déjà (le texte prolonge aussi les mesures de l’état d’urgence intégrées dans le droit commun par la loi SILT de 2017). Le 21 juillet, l’Assemblée nationale a adopté le projet de loi, et c’était au tour du Sénat de se prononcer.

Le 6 octobre, entre temps, un évènement majeur est intervenu et aurait dû entrainer la disparition immédiate de ce texte. La Cour de justice de l’Union européenne s’est prononcée sur la loi renseignement et nous a donné raison sur de nombreux points, notamment sur les boites noires.

La Cour a constaté que, en droit français, une « telle analyse automatisée s’applique de manière globale à l’ensemble des personnes faisant usage des moyens de communications électroniques » et que « les données faisant l’objet de l’analyse automatisée sont susceptibles de révéler la nature des informations consultées en ligne » (le gouvernement ayant avoué au cours de l’instruction que les boites noires analysent l’URL des sites visités). D’après la Cour, cette « ingérence particulièrement grave » ne saurait être admise qu’à titre exceptionnel « face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », « pendant une période strictement limitée ». Enfin, les boites noires doivent faire « l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant ».

Les exigences de la Cour sont beaucoup moins strictes que celles que nous espérions obtenir en allant devant elle – nous voulions l’interdiction pure et simple de toute surveillance de masse. Il n’empêche que ses exigences sont bien plus strictes que celles du droit français. L’article L851-3 du code de la sécurité intérieure autorise les boites noires de façon générale et par principe, sans être conditionnée à la moindre « menace réelle et actuelle » – menace qu’on ne saurait identifier aujourd’hui, d’ailleurs. Le droit français n’encadre ces mesures dans aucune « période strictement limitée » mais les autorise au contraire depuis cinq ans de façon ininterrompue. Enfin, le contrôle des boites noires a été confié à la CNCTR qui, en droit, n’a aucun pouvoir contraignant.

Le droit français viole clairement le droit européen. La Cour de justice l’a déclaré sans ambigüité. En réaction, les sénateurs auraient dû refuser immédiatement et automatiquement la prolongation demandée par le ministère de l’intérieur. Ses boites noires sont illégales et, s’il tient vraiment à les maintenir, il n’a qu’à corriger sa loi.

Qu’ont fait les sénateurs ? Ils ont prolongé les boites noires pour une année entière au lieu des sept mois votés par l’Assemblée (sur les dispositifs de la loi SILT, les sénateurs ont carrément décidé de les pérenniser sans débat). Sinon, rien. Les pleins pouvoirs ont été reconduits dans les mains de Darmanin. Tant pis pour l’État de droit.

Le texte, examiné en lecture accélérée, va maintenant passer en commission mixte paritaire où l’Assemblée et le Sénat chercheront un compromis – qui ne s’annonce pas vraiment en faveur de nos libertés. Ensuite, tel que le ministre de l’intérieur l’a rappelé au Sénat, il proposera bientôt une nouvelle loi renseignement qui, entre autres choses, entend bien autoriser de façon pérenne les boites noires. La bataille sera ardue : commençons-la dès maintenant.

]]> https://www.laquadrature.net/?p=16199http://isyteck.com/autoblog/quadrature/index.php5?20201010_110010_____S___opposer_a_la_5G_pour_dire_notre_refus_de_l___informatique_dominante____Sat, 10 Oct 2020 09:00:10 +0000Tandis que La Quadrature du Net vient de publier sa position commune sur la 5G, nous entamons la publication d’une série de points de vue plus personnels. Suite à sa participation à une journée d’action anti-5G le 19 septembre dernier, Félix Tréguer, membre du collectif, a réagi aux critiques qui s’étaient fait jour sur notre liste de discussion. Nous publions ici une version légèrement remaniée de ce texte partagé le le 24 septembre dernier.

Ma participation comme représentant de La Quadrature du Net à une journée de mobilisation contre la 5G à Lyon, samedi 19 septembre, a suscité des réactions nombreuses et pour le moins contrastées.

Parmi elles, des réactions assez hostiles, rageuses ou moqueuses, qui ont fait suite aux quelques éléments partagés sur les réseaux sociaux pour expliquer le sens ma participation. En prenant part à une table ronde et à un atelier organisés dans le cadre de cette journée, j’aurais donné – et La Quadrature du Net à travers moi – du crédit aux « obscurantistes », « dingos anti-ondes » et autres adeptes de la « fake science ». Or, s’il est vrai qu’on trouvait des textes relevant clairement de la désinformation scientifique sur certains des sites associés à cette journée, il serait trompeur et dangereux de la réduire à cela.

L’événement était organisé par plusieurs collectifs locaux (anti-5G, anti-Linky, anti-surinformatisation, écologistes) et couvrait les trois grandes catégories de critiques adressées à la 5G : aspects sanitaires, coût écologique et celle dont on parle beaucoup moins et pour laquelle nous étions justement invités, à savoir l’accentuation de la surveillance numérique. L’invitation à y intervenir m’a été faite par des gens du collectif stéphanois « Halte au contrôle numérique » qui ont pris une part active dans l’organisation de cette journée.

Nous nous sommes rencontrés l’hiver dernier dans le cadre d’une conférence organisée à Saint Étienne où j’étais venu parler de notre campagne Technopolice. Au sein de La Quadrature, on était plusieurs à avoir auparavant pu échanger avec des membres du collectif, et nous étions vraiment enthousiastes quant à leurs actions de terrain : chiffro-fêtes, projections et débats publics autours de documentaires, déambulations festives contre l’« atelier Google », travail d’information et de résistance au projet de capteurs sonores « intelligents » dans un quartier populaire du centre-ville de Saint Étienne, happening contre la réunion organisée (finalement annulée) par le député Jean-Michel Mis sur la reconnaissance faciale (où les participants étaient venus affublés d’un masque à son effigie). Bref, des militants aux parcours divers qui inventent des choses ensemble et obtiennent de belles victoires, et en qui l’on a spontanément confiance.

Alors certes, il y a dans la mouvance anti-Linky/anti-5G, des gens peu crédibles, en particulier parmi celles et ceux qui se mobilisent autour des risques associés aux champs électro-magnétiques (les « anti-ondes »). C’est regrettable, mais c’est un peu le problème inhérents aux espaces horizontaux dans des collectifs militants qui tâchent de s’ouvrir – un point de faiblesse classique des mouvements décentralisés comme l’est la mouvance anti-Linky (un autre exemple serait celui des Gilets Jaunes). Peut-on pour autant caricaturer l’ensemble du mouvement, voire même sa seule composante « anti-ondes », en le réduisant à ces gens-là ? Je ne crois pas.

Quand j’ai discuté de ma participation avec les autres membres de La Quadrature, le risque de s’associer à des groupes récusant les règles de la controverse scientifique et du débat de société a tout de suite été identifié. Mon avis, c’était qu’il fallait refuser cette caricature du mouvement dans son ensemble. Je trouvais vraiment dommage que, à quelques jours du lancement de la vente aux enchères des fréquences 5G, on s’interdise – au nom de la pureté militante et par peur des raccourcis, au prétexte qu’une des franges du mouvement serait « infréquentable » – d’exprimer notre solidarité. Alors même qu’on tombait d’accord au sein de La Quadrature sur la nécessité de nourrir nous aussi une critique de la 5G, je pensais qu’à partir de notre point de vue spécifique, nous pouvions revendiquer un objectif commun au sein d’une coalition ouverte et par nature hétérogène.

D’ailleurs, des alliances hétérogènes, La Quadrature en fait très régulièrement avec d’autres ONG inscrites dans notre champ, des partis politiques, des entreprises : on signe des lettres ouvertes écrites par d’autres malgré des nuances qui nous semblent parfois manquer, on assiste à des événements organisés par des gens que l’on n’apprécie guère, en rappelant souvent que notre participation ne vaut pas soutien (et avec comme ligne rouge de ne jamais laisser le moindre doute quant au fait que nous sommes un collectif anti-raciste, anti-sexiste, anti-homophobie, anti-transphobie, anti-fasciste…). Après tout, les âneries pseudo-scientifiques et les mensonges, on en entend également plein dans la bouche des promoteurs très en vue de la 5G sans que ça n’émeuve grand monde, et il y a là un regrettable deux poids, deux mesures.

Je ne veux vraiment pas m’attarder sur ce sujet, mais je trouve aussi qu’il y a quelque chose d’assez malsain dans l’agressivité opposée aux « anti-ondes ». Quand l’ANSES estime à 5% la part de personnes électro-sensibles, et quand bien même les scientifiques n’arrivent pas à établir de lien probant entre les ondes présentes dans notre environnement quotidien et ces symptômes, on ne peut pas, à mon sens, se moquer de la posture anti-ondes comme si « La Science » avait tranché ce débat une fois pour toutes. Certes, on ne doit pas nécessairement donner le bénéfice du doute aux anti-ondes, mais on sait aussi que la science n’est pour une grande part qu’une série de postulats que l’on n’a pas encore réussi à infirmer. On ne sait pas tout, et dès lors qu’il y a des choses non-élucidées sur des pathologies très largement observées, le doute scientifique et un sens élémentaire de l’empathie devraient nous inviter à une humilité compréhensive vis-à-vis de la souffrance de ces personnes, et à une écoute attentive lorsqu’elles expriment leur défiance vis-à-vis du fonctionnement des agences sanitaires et qu’elles documentent les conflits d’intérêt qui les entourent.

Mais bref. Je n’étais pas à Lyon pour ça. J’étais à Lyon pour dire que, depuis son positionnement spécifique, sans être d’accord sur tout ce qui s’était dit dans la journée, La Quadrature était solidaire de l’objectif affiché, à savoir faire obstacle au déploiement de la 5G. Avec nos raisons à nous, que j’ai personnellement résumé en ces termes sur les réseaux sociaux (ce qui, j’en conviens, n’était pas l’endroit adapté) :

• Parce que, tout en constatant les affres de l’informatisation et l’échec global de nos luttes pour un Internet libre, on peut continuer à penser que le numérique pourrait avoir un visage bien différent, et que
  manifestement la #5G nous éloigne toujours plus de cet horizon …
• Parce que, à les lire, le futur que les promoteurs zélés de la #5G nous préparent, c’est l’accélération de presque tout ce qui déraille déjà dans la société numérique : société « sans contact », automatisation, déshumanisation.
• Parce que la #5G, toujours à lire les industriels qui planchent dessus, c’est notamment la fuite en avant programmée de la société de surveillance : vidéosurveillance et autre gadgets de la #Technopolice, #IoT spywares, etc.
• Parce que les discours des défenseurs de la #5G contribuent dores et déjà à instituer le monde-machine qu’ils fantasment, à le banaliser, à le rendre incontournable et désirable, à orienter les investissements et la R&D. Que, hélas, leur science fiction transforme notre réalité.
• Parce que la #5G est une technologie technocratique et coûteuse, qu’elle est imposée par « en haut » en raison d’intérêts économiques et politiques dans lesquels nous ne nous retrouvons pas. Et qu’en dépit de tout cela, le pouvoir a l’audace de la présenter comme incontestable.

Je voudrais revenir un instant sur « l’échec global de nos luttes » que j’évoquais. Je crois en effet que l’activisme numérique – celui des logiciels libres, des réseaux libres, de la lutte contre la surveillance et la censure d’Internet – doit, tout en gardant l’expertise technique et juridique qui a fait sa force, se renouveler et s’ouvrir. Cela passe notamment par le fait de sortir de notre zone de confort pour nous ouvrir aux questionnements technocritiques et écologistes, de nous livrer à des alliances nouvelles capables de faire grossir nos luttes, de les rendre plus populaires, plus disséminées, en expérimentant de nouveaux modes d’action. C’est en substance ce qu’on expliquait il y a trois ans dans notre « revue stratégique » et c’est bien ce qu’on essaie de faire à notre petite échelle, par exemple avec la campagne Technopolice. Or, c’est aussi cela que permet l’opposition à la 5G.

Alors oui, on est d’accord : il n’y a rien d’intrinsèque ni même de très spécifique à la 5G dans les arguments évoqués ci-dessus. Ces problèmes, ce sont pour l’essentiel ceux du processus d’informatisation dans son ensemble, et ceux des technosciences en général. La 5G n’est qu’une couche de plus sur un substrat déjà bien moisi. Mais – et c’est là que je veux en venir – s’opposer à son déploiement, c’est aussi une manière de tenter de se ménager des marges de manœuvre dans nos luttes, en tâchant d’éviter que la situation ne s’empire. En conclusion de la contre-histoire d’Internet que j’ai publié l’an dernier, j’avais résumé les choses comme ça :

Près de quarante ans [après le début du processus d’informatisation], tandis que la « gouvernance par les données » sert de nouveau mode de gouvernement, que les protections juridiques associées à l’État de droit sont tendanciellement dépassées, la technologie informatique continue sa « marche en avant » au service du pouvoir. Un tel constat doit nous interroger : et si, en nous en tenant aujourd’hui à des approches éthiques, juridiques, technologiques ou organisationnelles pour tenter de corriger les pires aspects des technologies modernes, nous ne faisions qu’acter notre propre impuissance ? Cette  interrogation fait directement écho à Foucault, et à la question stratégique centrale évoquée dans ses écrits sur les liens entre pouvoir et « capacités » (où il mentionne expressément les capacités [technologiques] associées aux « techniques de communication ») : « Comment déconnecter la croissance des capacités et l’intensification des relations de pouvoir ? » (…).

Malgré les espoirs des premiers hackers et autres pionniers quant aux possibilités ouvertes par la micro-­informatique, ce découplage entre pouvoir et technologie se fait toujours grandement désirer. L’informatique prolifère désormais dans nos foyers, sur nos corps, et dans l’espace public urbain où notre capacité à nous rassembler a historiquement constitué une des modalités de contestation les plus efficaces. À l’heure où le Big Data et l’intelligence artificielle s’accompagnent d’une recentralisation phénoménale des capacités de calcul, un tel découplage entre pouvoir et informatique paraît moins probable que jamais. Et si l’on admet qu’il n’adviendra pas dans un futur proche, alors il est urgent d’articuler les stratégies classiques à un refus plus radical opposé à l’informatisation du monde.

Il se trouve que, dans notre société, le refus collectif d’une technologie, c’est presque de l’ordre du blasphème. Sébastien Soriano, le président de l’Arcep, a beau dire « #Parlons5G », il est lui aussi très clair sur le fait que la 5G se fera (ou, pour le citer, que « la France ouvrira pourtant la voie à la 5G »). Ou l’art de la concision pour illustrer la profonde inanité de la « démocratie technique » que les institutions prétendent mettre en œuvre, que ce soit d’ailleurs sur la 5G, la reconnaissance faciale ou l’intelligence artificielle : des pseudo-consultations où le principal objectif pour le pouvoir est d’assurer « l’acceptabilité sociale » de ces technologies.

Cela fait plus de dix ans que je participe à La Quadrature du Net et je peux vous dire qu’on en a fait des débats, des rapports, des réponses à des consultations, des communiqués pour dénoncer ou proposer. On en a déposé beaucoup, des amendements et des recours pour tenter de promouvoir une informatique à échelle humaine, qui ne soit pas toute entière construite contre nos droits. Et même si je continue de penser que le travail que nous faisons est utile et nécessaire, nos quelques victoires ne changent rien au fait que l’on perd chaque jour du terrain ; que l’informatique dominante surveille, domine, automatise, déshumanise ; qu’elle est très coûteuse en ressources. Quant aux artisans de l’Internet décentralisé et émancipateur, ils tiennent bon, mais les politiques publiques les relèguent toujours plus loin aux marges de l’économie numérique.

La Quadrature est d’autant plus fondée à s’opposer aujourd’hui à la 5G que, depuis dix ans, une partie de notre action – souvent restée inaperçue il faut bien le dire – a porté sur les politiques du secteur télécom, notamment s’agissant du spectre radio-électrique. En mai 2011, nous revendiquions la libération de l’accès aux fréquences pour favoriser le développement de réseaux télécoms suivant la logique des biens communs – soit l’exact inverse des mises aux enchères prisées dans le secteur depuis les années 1990. L’année suivante, nous avions dénoncé la vente par l’État des fréquences dévolues à la 4G. Plus récemment, en lien avec le projet de recherche européen netCommons, La Quadrature s’est aussi battue aux côtés des opérateurs télécoms associatifs de la Fédération FDN et de nombreux autres réseaux communautaires à travers le monde pour porter une revendication simple : démocratiser les télécoms. Nous avons même obtenu quelques avancées, à la fois modestes et historiques. Inscrites dans le code européen des télécommunications adopté fin 2018, elles se heurtent aujourd’hui à l’indifférence totale des responsables publics.

Convenons au moins de ça : le déploiement de la 5G ne nous rapprochera pas d’un iota de nos objectifs. Les gains en puissance de calcul, en capacités de stockage, ou comme en l’espèce en vitesses de transmission et de latence, ont essentiellement pour effet de renforcer l’informatique de contrôle que l’on est censés combattre. La 5G présente des risques importants pour la neutralité du Net. Il est très clair qu’elle ne bénéficiera nullement aux hébergeurs alternatifs comme Framasoft et ses CHATONS, ni aux opérateurs de la Fédération FDN. Tout porte à croire qu’elle fera en revanche les choux gras des multinationales qui dominent déjà le secteur – de Google à Netflix en passant par Thales – et des alliances public-privé formées pour nous surveiller et nous administrer.

Affirmer collectivement notre refus de l’informatique dominante, c’est aussi ça le sens de l’opposition à la 5G. Alors soit : notre opposition ne porte pas tant sur un protocole que sur la logique qui le produit et qu’il reproduit, à savoir l’informatisation de tout au travers de choix arbitrés technocratiquement, au mépris des droits et de la démocratie. La 5G n’est qu’un des symptômes d’un problème bien plus large. Mais en attendant que le monde change, en attendant qu’il produise des techniques en accord avec nos valeurs politiques, elle est un très bon moyen de contester l’innovation technologique en revendiquant le droit d’appuyer sur la touche « STOP ».

Tout ça pour vous dire que je n’ai aucun regret à être allé à cette journée.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

]]> https://www.laquadrature.net/?p=16188http://isyteck.com/autoblog/quadrature/index.php5?20201009_170537_Brisons_le_totem_de_la_5GFri, 09 Oct 2020 15:05:37 +0000La Quadrature du Net refuse le futur promis par les promoteurs de la 5G.

Nous refusons le rêve d’Ericsson pour qui la 5G ouvrira à la « smart surveillance » un marché de 47 milliards de dollars d’ici 2026. Nous refusons que la vidéosurveillance puisse représenter le marché le plus important des objets connectés permis par la 5G, estimé à 70% en 2020, puis 32% en 2023. Nous refusons le fantasme sécuritaire dans lequel « l’obtention d’image d’une très haute qualité ouvre la voie à l’analyse intelligente de la vidéo via l’IA ». Nous refusons l’ambition de l’ancien employé de Safran, Cédric O, de procéder au déploiement de la 5G quoi qu’il en coûte.

Peu importe que ces promesses soient crédibles ou non, nous mettons en garde contre ce qu’elles représentent. Elles sont le rappel, fait par une industrie techno-sécuritaire qui n’existe que pour elle-même et impose partout son agenda, que nous n’avons jamais eu notre mot à dire sur ces grands programmes industriels ; que cette industrie et ses relais au sein de l’État s’arrogent le droit de nous contrôler au travers de leurs innombrables gadgets, quitte à participer à la ruine de ce monde ; quitte à risquer ce qu’il nous reste d’humanité.

Si l’industrie de la surveillance a fait de la 5G le totem de son monde fantasmé, il nous faut briser ce totem. Nous l’affirmons avec d’autant plus de détermination que nous savons que les politiques en matière de télécoms pourraient avoir un visage bien différent, que les réseaux télécoms pourraient être faits pour les gens et par les gens. Partout en Europe et dans le monde, des alternatives existent. Elles se heurtent malheureusement à l’indifférence coupable et intéressée des gouvernants.

À La Quadrature, les débats sur la 5G ont commencé il y a déjà quelques temps et sont parfois très animés. Au delà de la position commune affichée ici, nous prévoyons de publier différentes tribunes qui seront recensées ci-dessous afin de donner à voir les nuances dans nos positionnements.

• « S’opposer à la 5G pour dire notre refus de l’informatique dominante » (Félix Tréguer)

 

 

 

]]> http://isyteck.com/autoblog/quadrature/index.php5?20201008_185003_La_censure_de_l___art_pour_banaliser_la_surveillanceThu, 08 Oct 2020 16:50:03 +0000La Quadrature du Net s’inquiète de la censure par le Studio national d’arts contemporains Le Fresnoy, à Tourcoing, de l’artiste Paolo Cirio, suite à une intervention du ministre de l’intérieur Gérald Darmanin, et de syndicats de policiers, qui demandait dans un tweet la déprogrammation de son exposition « Capture », au motif que celle-ci serait une « mise au pilori » des policiers. En France, l’expression est libre, et le fait que l’art questionne de manière tout à fait légale l’arrivée de la reconnaissance faciale dans la société européenne ne devrait en aucun cas devenir une raison de censurer une telle exposition.

Le 1er octobre, Paolo Cirio, artiste contemporain, lançait un site web, capture-police.com pour annoncer une une exposition au Fresnoy à partir du 15 octobre, portant sur l’importance du débat européen sur la reconnaissance faciale. « L’exposition Capture est constituée de visages d’officiers de police français. L’artiste a collecté 1000 images publiques de policiers prises durant des manifestations en France. Capture commente l’usage et le mésusage potentiel de technologies d’intelligence artificielle et de reconnaissance faciale en questionnant les jeux d’asymétrie du pouvoir. Le manque de règles de respect de la vie privée de ce type de technologie finit par se retourner contre les mêmes autorités qui invitaient à son utilisation » L’exposition ainsi que le site web sont donc tout à fait licites de notre point de vue, la zone de saisie d’un nom sous chacun image de policier étant en réalité inactive, et ne collectant donc aucune données. L’exposition pose pourtant de manière originale et forte la question de l’arrivée de technologies de reconnaissance faciale dans la société.

Le même jour, le ministre de l’intérieur s’offusquait publiquement et menaçait l’artiste de poursuites. Le lendemain, le syndicat de police Synergie publiait une lettre du studio d’arts contemporain Le Fresnoy annonçant l’annulation de l’exposition, annulation dont l’artiste n’était à cette heure pas encore prévenu ! La pression à la fois du ministre de l’intérieur et d’un syndicat de police sur une exposition d’art contemporain démontre l’asymétrie des pouvoirs que l’exposition comptait précisément mettre en lumière : le gouvernement ne défend la vie privée que de la police, tandis que cette même police a déjà enregistré la photo de 8 millions de personnes dans le fichier de traitement des antécédents judiciaires (voir notre analyse) et se permet d’analyser illégalement ces images par reconnaissance faciale (nous avons contesté ce pouvoir en justice).

« Nous demandons depuis longtemps l’interdiction des technologies de reconnaissance faciale dans l’espace public tant au niveau du droit français que du droit européen. Gérald Darmanin montre à nouveau ses ambitions autoritaires et son mépris des principes démocratiques, faisant pression sur un artiste, qui ne souhaitait qu’apporter dans l’espace public un débat légitime : faut-il autoriser des technologies liberticides dans l’espace public ? » réagit Benjamin Sonntag, membre de la Quadrature du Net.

]]> https://www.laquadrature.net/?p=16157http://isyteck.com/autoblog/quadrature/index.php5?20201006_153420_Surveillance____une_defaite_victorieuseTue, 06 Oct 2020 13:34:20 +0000Premier communiqué de presse à chaud

La Cour de justice de l’Union européenne (CJUE) vient de rendre une décision très attendue en matière de surveillance. Depuis près de quinze ans, l’État français imposait aux fournisseurs d’accès à Internet et de téléphonie de conserver les données de connexion de l’ensemble de la population (qui parle à qui, quand, d’où). La Quadrature du Net, aux côtés de FDN, FFDN et Igwan.net, contestait devant les juridictions de l’UE la légalité du droit français en la matière.

Une première lecture rapide nous laisse penser qu’il s’agit d’une défaite victorieuse. En effet, si la Cour affirme que la France ne peut plus imposer cette conservation généralisée des données de connexion, elle fait apparaître un certain nombre de régimes d’exception importants. Cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus, que nous détaillerons plus tard.

Cependant, aussi décevant soit-il, l’arrêt de ce matin dessine un cadre juridique qui est beaucoup plus protecteur des libertés et de la vie privée que l’état actuel du droit français. Par exemple, si l’État peut toujours obliger les fournisseurs d’accès à Internet à conserver les adresses IP de toute la population, ces adresses ne peuvent plus être utilisées que dans le cadre des enquêtes sur la criminalité grave ou dans les affaires de sécurité nationale (notamment, de terrorisme). Autre victoire importante, les hébergeurs de sites web ne peuvent plus être contraints par la loi à surveiller pour le compte de l’État l’ensemble de leurs utilisateurs, en gardant en mémoire qui publie quoi, avec quelle adresse IP, quand, etc.

Le droit français se retrouve ainsi en contradiction flagrante avec la décision de la CJUE : le principe de conservation généralisée est refusé par la Cour alors qu’il est la règle en droit français. La Cour acte que les mécanismes français de contrôle des services de renseignement ne sont pas suffisants, et nous veillerons lors de la réforme annoncée du droit français à ce que les garde-fous nécessaires soient renforcés.

Cet arrêt, de 85 pages, nécessitera une longue et minutieuse analyse dans les semaines et les mois à venir.

]]> https://www.laquadrature.net/?p=16142http://isyteck.com/autoblog/quadrature/index.php5?20201005_093828_Le_deguisement_des_trackers_par_CnameMon, 05 Oct 2020 07:38:28 +0000
Aujourd’hui, nous allons vous expliquer comment marche, à quoi sert, et quelles sont les conséquences du « Cname Cloaking » ou « déguisement par Cname », une technique désormais utilisée par les sociétés de publicité, marketing et surveillance ou suivi des internautes pour outrepasser la protection des systèmes anti pub ou anti tracking comme uBlock origin, Adblock et autres

Le tracking / suivi des internautes, c’est quoi ?

Les sites de media les plus visités (par exemple lemonde.fr, lefigaro.fr, mais aussi des sites comme marmiton.org ou leboncoin.fr) faisant beaucoup de visites, ils veulent pouvoir monétiser le fait que de nombreux internautes viennent sur leur pages web, et en profiter pour afficher de la publicité autour des contenus qu’ils publient, ce qui permet de financer tout ou partie de leur entreprise.

Ces sites ont donc peu à peu ajouté plein de contenus externes à leur page web, des contenus venant d’autres entreprises, soit pour afficher de la publicité, pour collecter des statistiques de visite, ou pour suivre des internautes d’un site à l’autre et ainsi créer des profiles précis, permettant de leur afficher des publicités plus ciblées, donc supposément plus efficaces, donc qui rapporteraient plus.
On appellera donc « tracking » tout contenu d’un site web qui n’est pas géré par la boite produisant ce site, mais qui vient d’un tiers, et dont le but est une de ces 3 finalités : statistiques, affichage publicitaire, création de profil consommateur. Notez que parfois un contenu tiers rentre dans plusieurs de ces catégories en même temps.
Prenons un exemple. Si je vais sur lefigaro.fr, mon navigateur reçoit une page web qui est constituée d’un document principal (la page web), ainsi que des fichiers supplémentaires, fournis par lefigaro (ou parfois par un tiers pour des questions d’optimisation) qui permettent d’afficher des images, des animations, une police de caractère, une jolie mise en page etc.

Ensuite, tout un tas de trackers sont chargés, servis par divers tiers, ici on trouve du criteo, du brightcove, appnexus, taboola. On les voit en rouge dans cette vidéo, car mon bloqueur de pub, uBlock Origin, empêche leur chargement dans la page.
On voit qu’une fois la page chargée, mon navigateur a fait 94 requêtes pour un total de 1.2 méga-octets transférés. Si on charge la même page sans bloqueur de pub, on voit mon navigateur faire pas moins de 650 requêtes pour un total de 10.5 méga-octets ! On comprend donc facilement pourquoi les internautes veulent utiliser un adblocker : cela fait économiser beaucoup de temps, de puissance machine pour télécharger, décoder et afficher ces éléments inutiles, ainsi que de bande passante (Dans la consommation de ressource du numérique, je n’ai jamais vu d’étude sérieuse prenant en compte cette surcharge du fait de la surveillance, du suivi, de la pub, des statistiques… alors qu’on le voit, cela pèse parfois très lourd !)

Ce que l’on a donc appris, c’est qu’il y a de nombreuses entreprises tierces chargées d’afficher de la publicité, fournir des statistiques ou suivre les internautes d’un site à l’autre pour tenter de les profiler et vendre la publicité plus cher. Ce que l’on voit aussi, c’est que ces éléments de pages sont sur des noms de domaine distincts, les rendant facilement identifiable par un bloqueur de pub, ce qui permet leur blocage.

Le Cname Cloaking, c’est quoi ?

Afin de contrer la présence de plus en plus importante de logiciel de blocage de publicité, les entreprises de tracking ont trouvé une manière détournée de pouvoir nous suivre quand même : le Cname Cloaking. Le principe technique est assez simple : au lieu de fournir les outils de tracking via une adresse située sur un nom de domaine identifiable (comme criteo.com ou eulerian.com), le site web souhaitant surveiller l’utilisateur crée un sous-domaine de son domaine principal, qui pointe chez le fournisseur de tracking.
Petit point technique : sur Internet, on utilise un service, nommé le DNS, qui permet de savoir où est situé sur Internet un nom de domaine donné. Par exemple, utilisant le DNS, je peux savoir que sonntag.fr est à l’adresse IP (qui est l’équivalent sur Internet des adresses postales) 91.194.60.2. Ainsi chaque éditeur de site ou fournisseur a une ou plusieurs Adresses IP où il héberge ses infrastructures.
On va prendre pour notre exemple le domaine 01net.com, qui utilise le Cname Cloaking à ce jour.
Si je me rends sur 01net.com, je constate l’utilisation d’un sous-domaine « 5ijo.01net.com » qui pointe vers l’adresse IP 109.232.197.179 appartenant non pas à 01net, mais à Eulerian !

La méthode proposée est malgré tout peu pratique parce que l’adresse IP du fournisseur de tracking est susceptible de changer, le propriétaire du site web ne crée donc pas un pointage DNS direct depuis son nom (ici 5ijo.01net.com) vers l’adresse IP de son prestataire tracker, mais crée un sous-domaine de type Cname, appelé aussi Alias en français, qui pointe vers un autre domaine, qui lui pourra enfin pointer vers l’adresse IP finale.
Si je regarde en détail où pointe notre exemple sur Internet, je constate que 5ijo.01net.com est un Cname ou alias vers 01net.eulerian.net. Qui est lui-meme un alias vers atc.eulerian.net, qui enfin pointe vers l’adresse IP que notre navigateur devrait joindre.

Ainsi, Eulerian peut choisir de changer l’adresse IP cible en toute autonomie. Et 01net.com trompe les internautes en leur faisant croire qu’ils téléchargent un contenu du site 01net.com, alors que leur navigateur est en train de télécharger un script de tracking chez Eulerian… Cette technique, utilisant un Cname DNS pour cacher le nom du véritable fournisseur de tracking est donc nommée « Cname Cloaking » ou « Déguisement par Cname ».
Ce faisant, et pendant quelques mois, les outils de protection contre le pistage comme uBlock Origin ont été trompé et laissaient passer ces appels à Eulerian qui pouvaient donc nous traquer en toute discrétion. Je vous rassure, c’est corrigé depuis, et uBlock empêche bien ce genre d’usage.
On peut donc déjà affirmer que cette technique est en soi une rupture de confiance entre l’internaute qui vient visiter un site, et le site éditeur. Mais pire, cela peut poser, et pose, un problème grave de sécurité !

Quel problème de sécurité pose le Cname Cloaking ?

Disposer d’un sous-domaine de son domaine pointant chez un tiers est un gros problème de sécurité. Pourquoi ? Parce que les cookies, ces petits blocs de données échangés entre un éditeur de site web et votre navigateur, peuvent être partagés au sein d’un même nom de domaine. 
Un cookie est une donnée envoyée par un site web à un navigateur, qui est ensuite renvoyée par le navigateur au site web pour toutes les pages suivantes consultées par le même navigateur sur le même nom de domaine. Cela permet par exemple de rester authentifié dans un espace privé, pour l’abonnementà un site restreint, l’accès à une messagerie etc.
Ainsi, si 01net.com envoie à mon navigateur un cookie, ce dernier sera renvoyé par le navigateur pour toute page située sur www.01net.com, mais aussi sur 5ijo.01net.com !
Or, ces cookies sont souvent liés à des informations personnelles : identifiant unique d’un internaute, accès à son compte dans un espace privé, gestion d’abonnement etc.

Pire : les journalistes de 01net se connectent probablement au site pour en modifier le contenu via le nom de domaine 01net.com lui-même. Dans ce cas, leur cookie, qui les identifie en tant que journaliste autorisé à publier sur le site, est partagé avec Eulerian ! Il faut donc une confiance très forte dans les tiers concernés par les pages utilisant le Cname Cloaking ! Et pire qu’une confiance dans ces tiers, il faut une totale confiance dans la sécurité des sites de ces tiers, ainsi qu’une confiance dans l’ensemble des salariés et prestataires travaillant pour ces tiers et disposant d’accès aux serveurs.
En clair, l’utilisation du Cname Cloaking peut s’avérer devenir une véritable faille de sécurité qui pourrait permettre des fuites de cookie liés à des informations personnelles soit d’internautes connectés au site, soit des propriétaires et éditeurs du site lui-même !

Conclusion ?

On a donc découvert comment le Cname Cloaking permet à des éditeurs de site web de vous traquer sans vous le dire, et de la manière la plus discrète possible, au risque de faire fuiter de nombreuses données personnelles, tant des internautes que des employés ou journalistes du site web concerné ! Cette technologie a été très utilisée il y a quelques années mais semble l’être moins aujourd’hui (par exemple, libération l’utilisait il y a quelques mois, avec le sous-domaine f7ds.liberation.fr, encore visible dans le DNS, mais je n’ai pas trouvé trace sur leur site de l’utilisation de ce sous-domaine à ce jour.)
Cependant, je ne pense pas que l’utilisation d’une telle bidouille soit en soi un problème juridique, c’est plutôt à mon avis le manque flagrant de respect du consentement des internautes obtenu librement, qui devrait donner lieu à de lourdes sanctions. Les sites que nous avions pu voir utiliser ce type de technologie par le passé étant encore, à ce jour, dans une totale illégalité dans leur respect du RGPD, règlement européen censé protéger les internautes contre l’usage abusif et non consenti de leurs données personnelles, règlement pour lequel la CNIL n’a à ce jour, puni personne de manière significative.
En conclusion, je me contenterai de vous préconiser d’installer, si ce n’est pas déjà fait, un bloqueur de publicité et de tracking sur votre navigateur web. Personnellement je recommande uBlock Origin pour Firefox, (ou pour chrome) qui a toujours été de confiance et d’excellente qualité. Mieux : si vous utilisez déjà un bloqueur de pub, invitez vos familles et amis à faire de même, assurez-vous que toutes et tous soient ainsi bien protégés !
De plus, uBlock origin s’installe très bien sur un navigateur Firefox pour mobile. Sur mon Android, j’ai ainsi pu installer Firefox Mobile, et y ai ajouté uBlock origin pour me protéger du gros des publicités et économiser beaucoup de batterie et de bande passante sur mon forfait 4G ! Rendez-vous sur  https://bloquelapub.net/ pour en savoir plus

Pour en savoir plus :

Criteo, société française de tracking, dépouillée par PixelDeTracking https://www.pixeldetracking.com/fr/criteo-geant-marketing-surveillance-francais
Une étude très complète sur le Cname Cloaking, en anglais sur le site de l’APNIC (organisme international chargé des adresses IP pour l’asie / pacifique) https://blog.apnic.net/2020/08/04/characterizing-cname-cloaking-based-tracking/

]]> https://www.laquadrature.net/2020/10/04/franceinter-fr-la-reconnaissance-faciale-se-met-en-place-a-bas-bruit/http://isyteck.com/autoblog/quadrature/index.php5?20201004_192225__Franceinter.Fr__La_reconnaissance_faciale_se_met_en_place_a_bas_bruitSun, 04 Oct 2020 17:22:25 +0000Interdite sur la voie publique en France, la reconnaissance faciale en temps réel fait malgré tout son chemin. Plusieurs municipalités testent des dispositifs qui s’en rapprochent, avant sa possible autorisation pour les Jeux olympiques de Paris en 2024. […]

À Marseille (Bouches-du-Rhône), la Cannebière est équipée d’une cinquantaine de caméras intelligentes. Elles ne reconnaissent pas formellement les gens, mais identifient des situations bien précises. « Ce projet a été mis en place 2019, détaille Felix Treguer, membre fondateur de l’association La Quadrature du net. Un algorithme d’analyse automatisée reconnaît des comportements et des événements suspects, et déclenche automatiquement des alertes et des suivis dans le centre de supervision. »

Concrètement, il s’agit de repérer des objets abandonnés, des individus au sol, des taggeurs ou de la destruction de mobilier urbain. « Une fois que les caméras ont filmé et que les vidéos sont archivées, la police peut utiliser des filtres, complète Martin Drago, juriste pour La Quadrature du net, c’est-à-dire repérer des visages ou des silhouettes, pour identifier les personnes. » […]

https://www.franceinter.fr/emissions/secrets-d-info/secrets-d-info-05-septembre-2020

NDLRP – Le teaser vidéo de cette enquête radiophonique et écrite est à retrouver aussi sur le Peertube de La Quadrature du Net :

]]> https://www.laquadrature.net/?p=16118http://isyteck.com/autoblog/quadrature/index.php5?20200922_155455_La_loi_Avia_revient_par_la_porte_de_l___UETue, 22 Sep 2020 13:54:55 +0000Le 25 juin, une semaine après que la loi Avia a été sévèrement censurée par le Conseil constitutionnel, le gouvernement français a demandé à la Commission européenne de faire adopter au niveau européen ce que la Constitution l’empêchait d’adopter en France.

Contre la « haine »

Le gouvernement français demande une nouvelle loi européenne pour « contraindre les plateformes à retirer promptement les contenus manifestement illicites » via « des obligations de moyens sous le contrôle d’un régulateur indépendant qui définirait des recommandations contraignantes relatives à ces obligations et sanctionnerait les éventuels manquements ». Cette demande est le strict reflet de la loi Avia : son délai de 24h, ses pleins pouvoirs donnés au CSA. La France demande de faire censurer « non seulement les contenus illicites, mais aussi d’autres types de contenus tels que les contenus préjudiciables non illicites […] par exemple, les contenus pornographiques [ou] les contenus de désinformation ».

Cette demande intervient dans le cadre du débat législatif à venir sur le Digital Service Act dont vous nous parlions il y a peu : ce futur texte européen pourrait permettre à la France d’imposer au niveau européen une censure qu’elle a échoué à faire adopter au niveau national. Cette séquence législative ne débutera néanmoins pas immédiatement et ne portera que sur une partie de la loi Avia – la partie qui prétendait lutter contre les « contenus haineux ».

Contre le « terrorisme »

Il ne faut pas oublier que la loi Avia prévoyait dans une seconde partie, à côté de celle prévue pour les contenus haineux, un autre type de censure, plus grave encore : confier à la police le pouvoir de censurer en une heure tout contenu qu’elle qualifierait seule – sans juge – de terroriste. Comme nous l’avons déjà expliqué, nous y voyons le risque d’un large dévoiement contre les opposants politiques du gouvernement. Heureusement, en juin dernier, le Conseil constitutionnel n’a pas hésité à censurer un pouvoir si dangereux. Là encore, ce que Macron n’a pu imposer en France, il tente de l’imposer par la porte de l’UE. Et il le fait avec bien plus d’empressement que pour la censure en matière de lutte contre la « haine ».

Depuis deux ans déjà, le gouvernement défend un règlement de « lutte contre les contenus terroristes » pour imposer cette censure en une heure et sans juge, partout dans l’UE. Néanmoins, cette idée rencontre, en Europe aussi, de nombreuses oppositions (voir notre bilan des débats au Parlement européen), de sorte que le texte était en train de s’embourber depuis des mois dans des négociations indécises entre le Parlement européen et les États membres. Toutefois, après sa défaite au Conseil constitutionnel, le gouvernement français est revenu de plus bel : ce règlement pourrait bien être sa dernière carte à jouer pour placer sa police en contrôleur du Web français et européen.

Nous opposerons contre ce projet la même force que nous avons déjà déployée, et ce autant de fois qu’il le faudra.

]]> https://www.laquadrature.net/?p=16111http://isyteck.com/autoblog/quadrature/index.php5?20200922_112930_Nous_soutenons_la_petition_pour_bannir_la_reconnaissance_faciale_en_EuropeTue, 22 Sep 2020 09:29:30 +0000Nous republions ici le texte de la pétition rédigée par l’artiste et militant Paolo Cirio et appelant à l’interdiction permanente de la reconnaissance faciale utilisée pour l’identification et le profilage dans toute l’Europe. Le site de la pétition est disponible ici.

—

La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous. Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent.

Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics.

Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cette opinion avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

Rejoignez la lutte contre la technologie de reconnaissance faciale :

Signez la pétition, rejoignez la campagne, agissez, restez informé et partagez cet appel.

Pour notre campagne et notre pétition, utilisez notre hashtag #BanFacialRecognitionEU

Le site officiel Ban-Facial-Recognition.EU et notre Twitter @BanFacialRecEU

Pour les demandes de presse et les partenariats, écrivez à info@Ban-Facial-Recognition.EU.

À propos de l’interdiction de la reconnaissance faciale en Europe

La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous et un énorme danger pour les libertés démocratiques, les libertés civiles et la liberté d’expression pour toute la société.

Actuellement, les services de police et les services de sécurité des différents États européens, de concert avec l’industrie de la technologie, font pression contre les institutions européennes pour l’utilisation de la technologie de reconnaissance faciale. En réponse, cette pétition vise à contester les objections formulées par des États membres individuels sur l’interdiction de la reconnaissance faciale et demande à la Commission européenne d’engager des procédures d’infraction contre les États membres qui enfreignent déjà les lois de l’UE en utilisant la reconnaissance faciale.

Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics. Pendant ce temps, aux États-Unis, la reconnaissance faciale a été interdite dans plusieurs villes et a même été récemment limitée par de grandes entreprises technologiques telles qu’Amazon, IBM et Microsoft à partir de juin 2020.

L’Europe doit s’aligner sur une interdiction définitive de la reconnaissance faciale pour son leadership en matière de droits de l’homme. Cependant, en janvier 2020, il a été révélé qu’une Commission européenne avait retiré son projet d’interdire la technologie de reconnaissance faciale pendant cinq ans, un plan qui a probablement été rejeté par les programmes de police des États membres de l’UE. Cela prouve à quel point l’Union européenne est peu fiable et vague sur ces questions juridiques et de droits de l’homme critiques concernant la technologie de reconnaissance faciale.

Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent. Leurs promoteurs ont une foi aveugle en cette technologie et poussent souvent à accélérer sa prolifération quelles que soient les conséquences inévitables pour nos libertés.

L’Europe doit redresser ses lois sur la protection de la vie privée et lutter radicalement contre la reconnaissance faciale en interdisant totalement son utilisation abusive. Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cet avis avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

Pourquoi la reconnaissance faciale est trop dangereuse

Il existe plusieurs technologies très envahissantes pour la vie privée, en particulier avec la biométrie. Parmi eux, la reconnaissance faciale est particulièrement violente et biaisée. Les visages ont des significations sociales et ils sont difficiles à cacher car ils sont notre principal moyen de communication. Les visages sont les parties les plus publiques des humains et leurs traits servent de métriques pour le jugement social. Nous considérons la reconnaissance faciale trop dangereuse pour les citoyens, car elle peut transformer l’un de nos principaux moyens de socialité contre nous, transformant nos visages en dispositifs de suivi plutôt qu’en composant essentiel de nous-mêmes.

Au-delà du contrôle social, de la discrimination et de la surveillance, il s’agit de la vie privée de chacun. Tout le monde est en danger lorsqu’un tel instrument est autorisé sans règles. Il ne s’agit pas seulement de la police ou des entreprises qui utilisent la reconnaissance faciale pour la sécurité ou l’exploration des données, mais c’est ainsi que cette technologie devient culturellement omniprésente et normalisée, provoquant finalement la peur dans la vie de tous. Cela crée un faux sentiment qu’être observé et analysé à tout moment est acceptable et crée des sociétés remplies de suspicion, d’abus et de méfiance.

La technologie de reconnaissance faciale est également aggravée par la «prédiction comportementale» qui prétend pouvoir classer les émotions ou les intentions d’une personne, mais qui menace fondamentalement la dignité et l’autonomie humaines. La reconnaissance faciale associée à une soi-disant intelligence artificielle sous la forme d’algorithmes d’apprentissage automatique augmente les déséquilibres de pouvoir, la discrimination, le racisme, les inégalités et le contrôle social autoritaire. Il y a trop de risques élevés pour les prétendus «avantages» que l’utilisation de ces technologies pourrait éventuellement apporter.

Partout en Europe, les gouvernements, les entreprises privées et aussi les civils cherchent à utiliser la reconnaissance faciale. Nous avons déjà vu son utilisation dans les lieux de travail, les espaces publics, les écoles, les aéroports, les maisons et dans nos propres téléphones personnels. Ces mises en œuvre de la reconnaissance faciale vont souvent au-delà de notre consentement, ou nous sommes souvent obligés de consentir, tandis que les conséquences à long terme du stockage des données biométriques et de la formation de l’intelligence artificielle pour analyser nos visages peuvent dépasser notre contrôle et les institutions en qui nous avons confiance.

Aucun argument ne peut justifier le déploiement de telles technologies. L’utilisation civile, commerciale et gouvernementale des dispositifs de reconnaissance faciale pour l’identification et la catégorisation des individus doit être strictement interdite. Toute technologie de reconnaissance faciale vendue dans le commerce ou développée et utilisée à titre privé pour cette portée doit être arrêtée.

La reconnaissance faciale doit être interdite, pas seulement réglementée

Les réglementations ne suffisent pas et elles échoueraient à s’attaquer à cette technologie en raison de l’ampleur de son danger.

La reconnaissance faciale porte atteinte au droit à la dignité car elle utilise les qualités, les comportements, les émotions ou les caractéristiques des individus contre eux de manière non justifiée ou proportionnée aux droits fondamentaux de l’UE ou aux lois nationales individuelles. Par exemple, les réglementations européennes actuelles telles que le RGPD couvrent principalement la vie privée des citoyens dans le secteur commercial à quelques exceptions près, mais elles ne traitent pas suffisamment les droits de l’homme qui sont en péril avec la reconnaissance faciale tels que le droit à la dignité et à l’égalité.

Tout comme les armes nucléaires ou chimiques, la reconnaissance faciale constitue une grande menace pour l’humanité. Son utilisation pour l’identification et le profilage est certainement trop dangereuse pour être utilisée. Elle devrait être interdite non seulement par l’Union européenne mais aussi au niveau mondial par les Nations Unies.

Il existe de fausses croyances sur l’efficacité et l’utilité de la reconnaissance faciale qui justifient son utilisation dans le cadre de la réglementation. Cependant, même pour la sécurité, il existe de sérieux doutes quant à savoir si la police en a vraiment besoin ou si elle contribue à fournir de meilleurs services. Les acteurs privés acquièrent un pouvoir disproportionné sur la technologie qui a souvent été développée sans responsabilité ni transparence. Souvent, ces technologies sont vendues aux autorités publiques et aux forces de l’ordre avec peu ou pas de responsabilité pour leurs actions.

Au-delà de la surveillance du gouvernement et des entreprises, il existe désormais d’énormes quantités de données publiques sur les sites Internet, les plateformes de médias sociaux et les ensembles de données ouverts que tout le monde peut récolter ou acheter. En outre, les infrastructures des appareils qui capturent des images de visages sont déjà omniprésentes avec les caméras CCTV, les smartphones et les scanners vidéo dans nos vies publiques et privées. Ces conditions rendent la reconnaissance faciale particulièrement dangereuse parmi d’autres technologies qui peuvent identifier, suivre et juger les personnes.

Aujourd’hui, la reconnaissance faciale est déjà présente dans nos smartphones, les contrôles des passeports dans les aéroports et les espaces publics. Utiliser la reconnaissance faciale pour l’authentification faciale locale pour déverrouiller un smartphone ou pour accéder à un service semble beaucoup moins intrusif que d’identifier un individu parmi de nombreuses personnes dans un lieu public.

Cependant, le développement de la technologie elle-même, la formation d’algorithmes et le stockage des données biométriques détenues par des entreprises privées pourraient, à l’avenir, être utilisés au-delà du cadre initial. Même lorsque nous donnons votre consentement ou utilisons la reconnaissance faciale en privé, nous risquons que ces données puissent entraîner des conséquences involontaires futures telles que des fuites de données biométriques, leur vente à des tiers ou la formation d’algorithmes sur nos traits personnels.

Par conséquent, nous rejetons les deux exceptions d’utilisation de la reconnaissance faciale en ce qui concerne l’innovation pour l’industrie technologique et la sécurité publique. Nous appelons à une interdiction totale de tous les cas de technologies de reconnaissance faciale concernant leur utilisation pour toute forme d’identification, de corrélation et de discrimination qui permettrait une surveillance de masse, des crimes de haine, des traques omniprésents et des violations de la dignité personnelle. Il serait toujours possible à des fins de recherche, de médecine et de divertissement à condition qu’aucune donnée biométrique ne soit stockée ou utilisée pour identifier ou classer des individus.

Nous soutenons que la reconnaissance faciale est déjà illégale en vertu du droit de l’UE et doit être interdite dans la pratique. Quatre instruments européens interdisent déjà la surveillance de masse biométrique: dans le sens le plus large, la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE, et plus précisément la Convention sur la protection des données du Conseil de l’Europe, le RGPD, et son instrument frère, le LED . Cependant, les autorités nationales de protection des données (APD) ont été insuffisamment financées et politiquement démunies par leurs États membres, ce qui signifie que leurs efforts pour faire appliquer les réglementations ont souffert et que les acteurs en violation de la loi ont été peu incités à se conformer.

C’est la raison pour laquelle nous avons besoin de nouvelles lois pour imposer une interdiction de la reconnaissance faciale et pas seulement de réglementations faibles qui peuvent être interprétées et non appliquées par l’UE à ses États membres et à leurs députés.

L’identification et la classification par reconnaissance faciale sont trop dangereuses pour ne jamais être nécessaires et proportionnées puisque les utilisations bénéfiques potentielles ne sont pas justifiées.

Ce dont nous avons besoin pour interdire la reconnaissance faciale dans l’UE

Nous devons prendre des mesures au Parlement européen pour attirer l’attention sur cette question dans ses États membres, ainsi que pour faire pression sur la Commission européenne pour qu’elle prenne des mesures coercitives contre les États qui violent actuellement les droits fondamentaux de l’UE et les lois sur la protection de la vie privée. L’interdiction totale de l’identification et du profilage via la technologie de reconnaissance faciale ne doit pas être simplement une directive, mais elle doit être une interdiction rigide pour être applicable dans toute l’Europe sans exceptions ni expiration.

Dans l’Union européenne, il existe déjà des lois qui interdisent la surveillance biométrique de masse, mais elles ne sont pas appliquées. Les protestations, pétitions et litiges stratégiques peuvent potentiellement être très efficaces pour appliquer ces lois existantes et introduire une interdiction à l’échelle de l’UE.

Dans les rues et en ligne, à travers des manifestations et d’autres formes d’action, les citoyens et les collectifs du monde entier font équipe pour arrêter la propagation fatidique de la reconnaissance faciale. Ensemble, nous faisons partie d’un vaste mouvement résistant à l’avènement de la reconnaissance faciale dans toute l’Europe et dans le monde.

Interpellez-nous et dites-nous si vous voyez la reconnaissance faciale utilisée dans les écoles, les communautés fermées et les bâtiments, les identifiants et badges, les services publics, les dispositifs de verrouillage, les applications mobiles, les plates-formes Internet, et même si c’est pour le divertissement ou un usage personnel ou s’il est utilisé par la police, le contrôle des frontières, les forces de l’ordre et les enquêteurs.

Nous demandons à la Commission européenne et à la Cour européenne de justice d’évaluer les cas que nous avons rassemblés concernant les programmes de reconnaissance faciale en Europe pour avoir rendu ces utilisations actuelles et futures illégales. Si la Commission européenne, soutenue par le Parlement européen, ne prend pas les mesures d’application et législatives appropriées pour interdire une telle technologie, nous prévoyons de porter les affaires devant la Cour européenne de justice sur la base des directives LED actuelles, des règlements GDPR, du Conseil de la Convention européenne sur la protection des données et les lois nationales sur la protection des données, y compris la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE.

Aujourd’hui, nous exprimons notre refus collectif de ces outils de contrôle social en exhortant les décideurs à les interdire une fois pour toutes.

Cas et détails – Reconnaissance faciale en Europe

En mai 2020, au moins 15 pays européens ont expérimenté des technologies biométriques telles que la reconnaissance faciale dans les espaces publics. Au minimum, il y a des activités en République tchèque, au Danemark, en France, en Allemagne, en Grèce, en Hongrie, en Italie, aux Pays-Bas, en Pologne, en Roumanie, en Serbie, en Slovénie, en Suède, en Suisse et au Royaume-Uni.

La liste suivante de cas sur les utilisations de la reconnaissance faciale en Europe a été compilée par Paolo Cirio avec ses recherches et avec l’aide d’experts en politique de confidentialité et d’organisations telles que La Quadrature du Net, et à travers le document de recherche EDRi pour l’interdiction de la surveillance biométrique.

Cette liste montre comment l’absence d’une législation cohérente entourant la reconnaissance faciale pousse les États membres de l’UE à prendre des initiatives individuelles, à exercer une surveillance laxiste et à faire un usage réel de ces technologies dangereuses.

Nous exigeons une plus grande transparence publique et une plus grande responsabilité à l’égard des parties – qu’elles soient publiques, privées ou en collaboration entre les deux – qui déploient des traitements biométriques, ainsi que des échanges de données entre les forces de l’ordre, la sécurité aux frontières, d’autres agences de sécurité publique, y compris la santé, et les autorités nationales. agences de sécurité.

FRANCE

À partir de 2020

La police française utilise déjà la reconnaissance faciale pour identifier les personnes dans les espaces publics. Ils utilisent des photos de personnes stockées dans la base de données des antécédents judiciaires TAJ. Il y a plus de 18 millions d’enregistrements d’individus dans cette base de données avec plus de 8 millions de photos. L’utilisation de la reconnaissance faciale dans cette base de données en France est autorisée depuis 2012 et est actuellement contestée devant les juridictions nationales.

Octobre 2019

La France est en passe de devenir le premier pays européen à utiliser la technologie de reconnaissance faciale pour donner aux citoyens une identité numérique – qu’ils le veuillent ou non. Dire qu’il veut rendre l’État plus efficace, le président Emmanuel Macron fait passer des plans pour déployer un programme d’identification basé sur la reconnaissance faciale appelé Alicem dans le cadre de son gouvernement.

Juillet 2019

L’autorité régionale Provence-Alpes-Côte d’Azur (PACA) a demandé à la CNIL l’autorisation d’utiliser un système de reconnaissance faciale pour gérer l’entrée au lycée Ampère à Marseille. Cet «essai» se voulait une expérience d’un an et a également été réalisé dans une autre école de la même région (le Lycée les Eucalyptus de Nice). Cette utilisation a été conçue pour augmenter la sécurité des étudiants et du personnel et pour accélérer le temps nécessaire aux étudiants pour entrer dans les locaux de l’école. Ces tentatives d’utilisation de la reconnaissance faciale dans les deux écoles françaises ont été stoppées par un procès en 2020.

Depuis 2012

«PARAFE» est un programme de portails automatisés aux frontières déjà installés dans différentes gares et aéroports en France. Les portes utilisent la technologie de reconnaissance faciale pour vérifier l’identité de l’utilisateur par rapport aux données stockées dans la puce de son passeport biométrique. Le programme a été développé par la société française Thales.

Plus d’infos sur le dispositif de Thales

ALLEMAGNE

Janvier 2020

Le ministre allemand de l’Intérieur, Horst Seehofer, prévoit d’utiliser la reconnaissance faciale automatique dans 134 gares et 14 aéroports, selon un reportage publié le 3 janvier 2020. Le ministère de l’Intérieur a testé des caméras de reconnaissance faciale dès 2018 à la gare de Berlin-Südkreuz. Le résultat a été que 80% des personnes étaient correctement identifiées. Après les tests de 2018, le ministre de l’Intérieur Seehofer a déclaré que les systèmes de reconnaissance faciale «rendraient le travail de la police encore plus efficace, améliorant ainsi la sécurité des citoyens».

En savoir plus sur euractiv.com

POLOGNE

Mars 2020

L’application obligatoire basée sur la reconnaissance faciale de la Pologne a été utilisée pour appliquer la quarantaine. Il a envoyé la police au domicile de toute personne qui ne partage pas un selfie sur l’application dans les 20 minutes suivant une alerte.

En savoir plus sur politico.eu

ÉCOSSE

Février 2020

La police écossaise a déclaré qu’elle espérait utiliser un logiciel de reconnaissance faciale en direct d’ici 2026, mais a ensuite suspendu ses plans. La technologie peut scanner des foules de gens et croiser les visages avec les bases de données de la police.

En savoir plus sur bbc.com

SUÈDE

Août 2019

La reconnaissance faciale était utilisée par les élèves du secondaire en Suède pour suivre la fréquentation dans la municipalité de Skelleftea. Le procès, qui s’est déroulé à l’automne 2018, a été un tel succès que la collectivité envisage de le prolonger. Cependant, les juges suédois et les autorités de protection des données ont bloqué l’expérimentation de la reconnaissance faciale dans les écoles.

FRONTIÈRES EUROPÉENNES

Le SPIRIT est un projet financé par l’Europe pour racler des images de visages sur les réseaux sociaux afin de créer une base de données pour l’analyse de la reconnaissance faciale. Cinq parties prenantes liées aux forces de l’ordre participent à ce projet de recherche: la police hellénique (GR), la police des West Midlands (Royaume-Uni), la police et le commissaire au crime de Thames Valley (Royaume-Uni), le ministère serbe de l’Intérieur (RS) et le Académie de police de Szczytno (PL). Selon le site Web clairsemé et non transparent, le projet vise à utiliser des outils, tels que l’extraction et la mise en correspondance de visages, pour corréler des informations à partir de données de médias sociaux similaires au modèle de la société américaine Clearview AI. Selon les demandes d’accès à l’information, des essais étaient prévus pour 2020 et 2021.

L’iBorderCtrl est un projet de recherche financé par l’Europe sur les frontières hongroise, grecque et lettone. Le projet prévoyait d’utiliser l’analyse automatisée des données biométriques pour prédire les preuves de tromperie parmi ceux qui cherchent à entrer dans l’Union européenne en tant que «détecteurs de mensonge» pour les réfugiés. Le projet a pris fin en août 2019.

En savoir plus sur edri.org

Le système Prum est une initiative à l’échelle de l’UE reliant les bases de données ADN, d’empreintes digitales et d’enregistrement des véhicules pour une recherche mutuelle. Dix États membres européens, dirigés par l’Autriche, appellent à étendre le système Prum et à créer un réseau de bases de données nationales de reconnaissance faciale de la police et à interconnecter ces bases de données à chaque membre de l’État avec des réseaux de bases de données faciales de la police couvrant toute l’Europe et les États-Unis.

En savoir plus sur theintercept.com

Le «complexe industriel-sécurité de l’UE» conduit à la promotion, à la défense et à l’utilisation de technologies de «titrisation». Les agences Europol et Frontex utilisent déjà une technologie biométrique avancée pour étudier les frontières et profiler les voyageurs.

En savoir plus sur edri.org

Pays étrangers et entreprises en Europe

Le raclage des médias sociaux et le courtage d’ensembles de données dépassent les frontières, les entreprises et les acteurs étatiques étant intéressés par la collecte, la numérisation d’images et la constitution de bases de données de données biométriques de citoyens européens.

C’est déjà le cas avec Clearview AI, une société américaine qui extrait des images des réseaux sociaux, et avec FindFace, une technologie de reconnaissance faciale développée par la société russe NtechLab.

En savoir plus sur nytimes.com
En savoir plus sur forbes.com

L’utilisation de ces outils dépasse l’Europe avec des entités étrangères autorisées à utiliser la technologie de reconnaissance faciale sur les citoyens européens. Amazon, Facebook, Google et Apple rassemblent également d’énormes bases de données de données faciales biométriques de citoyens européens et les utilisent pour former leur intelligence artificielle sans transparence et sans responsabilité. Les produits tels que Ring of Amazon, Apple Face ID, Google Lens et les fonctionnalités de reconnaissance faciale Facebook devraient être interdits à tous les citoyens européens.

]]> https://www.laquadrature.net/?p=16103http://isyteck.com/autoblog/quadrature/index.php5?20200915_141827_USA__lettre_ouverte_contre_la_censure_de_media_anarchistesTue, 15 Sep 2020 12:18:27 +0000Nous constatons depuis plusieurs années que la différence entre censure d’état et censure privée sur Internet s’efface, les gouvernements encourageant une centralisation toujours plus importante d’Internet entre les mains de quelques géants tel Facebook, Amazon ou Google.

La Quadrature dénonce depuis plusieurs années cette stratégie des états consistant à pousser l’ensemble de la population à utiliser des solutions centralisées pour ensuite pouvoir user de la capacité de censure de celles-ci, comme si elle était sienne, par le biais d’incitations, de loi ou de sous couvert de simple « bonne intelligence ». Ces politiques de modération sont inconstantes, arbitraires et se font à un coût humain important, les personnes employées pour la modération de ces gigantesques plateformes étant exposées à des images et textes traumatisants, peu soutenues psychologiquement et mal payées. Pire : cette réalité, intrinsèque à la taille de ces plateformes, dépassées par leur échelle nécessairement inhumaine, est donc inévitable.

La Quadrature du Net signe aujourd’hui une lettre ouverte reproduite ci-dessous contre un blocage arbitraire par Facebook dirigée contre deux importants média anarchistes anglophones (It’s going down et CrimethInc), nouvelle preuve – si elle était nécessaire ?– de la convergence de la censure sur Internet et appelle les citoyens à continuer à se saisir de solutions de communication décentralisée, chiffrées et libres.

—

Solidarité avec les médias anarchistes bannis par Facebook

Refusons l’argumentaire de Facebook qui, prétextant l’impartialité, s’aligne sur l’administration du gouvernement Trump pour supprimer les voix de militant·es et de médias associé·es aux mouvements contestataires de gauche.

En tant qu’éditeur·trices, auteur·trices, éducateur·trices, militant·es et médias, nous sommes très inquiet·es de la décision de Facebook de bloquer itsgoingdown.org, crimethinc.com et plusieurs autres éditeur·trices, auteur·trices et militant·es en raison de leur association avec l’anarchisme. Cette décision est explicitement motivée par des raisons politiques. Facebook étouffe leurs voix en raison de leurs convictions, et parce qu’ils offrent un lieu de rencontre et d’échanges pour les militant·es des mouvements sociaux de gauche.

Dans une déclaration justifiant les fermetures de pages, Facebook a reconnu que ces groupes n’ont aucun rôle dans l’organisation d’actions violentes, mais leur reproche de manière abstraite d’avoir « célébré des actes violents », et d’être « associés à la violence » ou « d’avoir des membres avec des modèles (statistiques) de comportements violents » – une description si large qu’elle pourrait désigner d’innombrables pages pourtant toujours actives sur Facebook. Les éditeur·trices et les auteur·trices anarchistes ciblé·es le sont en définitive en raison de leurs convictions politiques, et non à cause d’une quelconque violence. Si cette décision n’est pas contestée, elle créera un précédent qui sera utilisé encore et encore pour censurer toute parole dissidente.

Dans sa déclaration, Facebook classe les anarchistes dans la catégorie des milices d’extrême droite soutiens de l’administration Trump, liant ainsi deux groupes pourtant fondamentalement différents et opposés. Cela fait écho à la décision du procureur général William Barr de créer une unité opérationnelle du Ministère de la Justice dédiée à la répression des « extrémistes anti-gouvernementaux », qui cible aussi bien les fascistes auto-proclamés que les antifascistes, établissant une fausse équivalence entre les suprémacistes blancs qui orchestrent les attaques et celles et ceux qui s’organisent pour protéger leurs communautés contre ces attaques.

À une époque où les manifestations ont joué un rôle essentiel dans la création d’un dialogue, partout aux États-Unis sur le racisme, la violence et l’oppression, nous devons replacer ce blocage par facebook des pages et sites anarchistes dans le contexte des efforts continus de l’administration Trump pour réprimer les manifestations. Pendant des mois, Donald Trump a explicitement blâmé les anarchistes pour la vague mondiale de protestations provoquée par la violence policière permanente aux États-Unis. Il y a dix ans, les représentants de Facebook avaient fièrement vanté leur rôle dans les mouvements sociaux horizontaux qui ont renversé des tyrans en Égypte et ailleurs. Aujourd’hui, leur décision de bloquer les médias qui fournissent des lieux et des outils aux participant·tes des mouvements sociaux montre qu’ils se basent sur les signaux reçus du sommet des structures de pouvoir pour déterminer ce qui constitue ou pas un discours acceptable.

La décision de Facebook s’inscrit dans un schéma qui ira beaucoup plus loin si nous ne réagissons pas. Les lecteur·trices méritent de pouvoir entendre les voix de personnes impliquées dans les mouvements de protestation contre les violences policières et le racisme, y compris des voix controversées. Les auteur·trices et les éditeur·trices ne doivent pas être réprimé·es pour avoir promu la solidarité et l’autodétermination.

Nous vous invitons toutes et tous à vous joindre à nous pour condamner ces blocages et défendre la légitimité des voix des anarchistes en particulier, et des manifestant·es des mouvements sociaux en général.

Version originale

Stand with Anarchist Publishers Banned by Facebook

Oppose Facebook’s « both sides » narrative as they align with the Trump administration to suppress the voices of activists and media producers associated with left protest movements.

As publishers, authors, educators, activists, and media producers, we are deeply troubled by Facebook’s decision to ban itsgoingdown.org, crimethinc.com, and several other publishers, authors, and activists on account of their association with anarchism. This decision is explicitly politically motivated. Facebook is suppressing their voices because of their beliefs, and because they provide a venue for the perspectives of participants in left social movements.

In a statement justifying the bans, Facebook acknowledged that these groups have no role in organizing violence, but abstractly alleges that they « celebrated violent acts, » and are “tied to violence” or “have individual followers with patterns of violent behavior”—a description so broad that it could designate countless pages that remain active on Facebook. The anarchist publishers and authors in question are being targeted for reasons that are ultimately about political beliefs, not « violence. » If this decision goes unchallenged, it will set a precedent that will be used again and again to target dissent.

In their statement, Facebook categorizes anarchists with far-right militias that support the Trump administration, linking two groups that are fundamentally dissimilar and opposed. This echoes Attorney General William Barr’s decision to create a Department of Justice task force focused on “anti-government extremists” that targets self-proclaimed fascists and anti-fascists alike, drawing a false equivalence between those who orchestrate white supremacist attacks and those who organize to protect their communities against them.
At a time when demonstrations have played an essential role in creating a nationwide dialogue about racism, violence, and oppression, we must see Facebook’s ban on anarchist publishers in the context of the Trump administration’s ongoing efforts to clamp down on protest. For months, Donald Trump has explicitly blamed anarchists for the worldwide wave of protests precipitated by persistent police violence in the United States. A decade ago, Facebook representatives proudly touted their role in the horizontal social movements that toppled tyrants in Egypt and elsewhere. Today, their decision to ban publishers who provide venues and platforms for participants in protests shows that they are taking their cues about what should constitute acceptable speech from those at the top of the power structure.

Facebook’s decision is part of a pattern that will go much further if we don’t respond. Readers deserve to be able to hear voices from within protest movements against police brutality and racism, even controversial ones. Authors and publishers should not be suppressed for promoting solidarity and self-determination.

We call on everyone to join us in condemning this ban, and defending the legitimacy of the voices of anarchists specifically and protesters generally.

Signed,

Agency [anarchistagency.com]

]]> https://www.laquadrature.net/?p=16093http://isyteck.com/autoblog/quadrature/index.php5?20200908_174212_L___Union_europeenne_doit_imposer_l___interoperabilite_aux_geants_du_WebTue, 08 Sep 2020 15:42:12 +0000La Commission européenne s’apprête à lancer un nouveau débat législatif sur les hébergeurs Web. Depuis 2000, ces hébergeurs sont protégés par la directive e-commerce, adoptée alors qu’Internet posait sans doute moins de problèmes juridiques qu’aujourd’hui. Les règles étaient simples : un hébergeur n’est pas responsable des informations qu’il stocke s’il reste « passif » – s’il ne fait rien d’autre que stocker des informations fournies par ses utilisateurs.

Depuis 2000, de nouveaux acteurs sont apparus, Facebook et Google en tête, soulevant de nouveaux enjeux tant juridiques que politiques. Ces nouvelles plateformes sont-elles vraiment « passives » ? Sont-elles devenues trop grosses ? Doivent-elles être corrigées, détruites ou encore quittées ?

La Commission européenne souhaite recueillir l’avis d’une multitude d’acteurs à ce sujet. Il semble bien difficile d’anticiper ce sur quoi débouchera ce processus. Mais les enjeux sont si complexes et larges que ce débat pourrait bien aboutir à l’une des lois européennes dont les conséquences seront parmi les plus lourdes. Notre réponse à la consultation de la Commission est courte et simple.

Réponse à la consultation publique sur le Digital Service Act

S’il faut remettre en cause le régime des hébergeurs Web, la question centrale concernera les plateformes géantes, telles que Facebook, Youtube ou Twitter, qui jouent un rôle de plus en plus actif et nuisible dans la hiérarchisation des informations qu’elles diffusent. Leur « économie de l’attention » semble favoriser les échanges les plus virulents et polémistes au détriment des discussions argumentées et d’entre-aide.

En appliquant strictement la directive e-commerce, ces plateformes géantes pourraient être responsables de la quasi-totalité des informations qu’elles diffusent. Dans ces conditions, il est difficile d’imaginer que ces entreprises pourraient continuer d’opérer en Europe. Si cette conclusion serait bénéfique sur le long terme, il serait dangereux d’y arriver brusquement : des millions d’utilisateurs se retrouveraient soudainement privés de leurs moyens principaux de communication.

L’urgence est de permettre à ces utilisateurs de quitter dans les meilleures conditions ces plateformes géantes qui les maintiennent actuellement captifs et dont le modèle économique est fondamentalement contraire au droit et aux valeurs européennes, que ce soit en matière de données personnelles ou de liberté d’expression.

Obligation d’interopérabilité

Tout service d’hébergement, tel que défini à l’article 14 de la directive 2000/31, qui est fourni à des fins lucratives et dont le nombre d’utilisateurs est d’une grandeur significative doit être interopérable.

Un service est interopérable si, par l’application de standards techniques adéquats, il permet à ses utilisateurs d’échanger des informations avec les utilisateurs de services tiers qui appliquent ces mêmes standards.

Des standards techniques sont adéquats s’ils sont documentés, stables et conformes à l’état de l’art et qu’ils ne peuvent être modifiés de façon unilatérale.

Les utilisateurs d’un service interopérable peuvent échanger des informations de la même façon et aussi simplement avec les utilisateurs de ce même service qu’avec ceux des services tiers qui appliquent les mêmes standards.

Le respect de cette obligation est assuré par l’autorité visée à l’article 5 du code des communications électroniques européen, qui peut prononcer à cette fin amendes, astreintes et injonctions.

Explications

Plus de liberté

Cette obligation permettra aux internautes de quitter les plateformes géantes sans payer le coût social, souvent prohibitif, de perdre contact avec leur famille, amis, collègues ou réseaux d’entre-aide. Les internautes pourront rejoindre d’autres plateformes équivalentes depuis lesquelles ils et elles pourront continuer de communiquer avec leurs contacts restés sur les plateformes géantes.

Une fois partis, ces internautes n’auront plus de relation contractuelle avec la plateforme quittée, ce qui leur permettra de mettre fin aux conditions imposées contre leur libre consentement en matière de traitement de données personnelles ou de censure d’informations légitimes.

Cette liberté permettra aux internautes de rejoindre les services tiers dont les règles de modération répondent au mieux à leurs attentes, tandis que les plateformes géantes apparaissent aujourd’hui incapables de protéger leurs utilisateurs, notamment à cause de leur taille bien trop grande.

Standards techniques

Les plateformes géantes n’auront pas à être interopérables avec n’importe quel service, mais seulement avec les services qui appliqueront les mêmes standards techniques qu’elles.

Ces standards ne devront pas pouvoir être modifiés régulièrement et unilatéralement par une plateforme géante, sans quoi celle-ci pourrait rendre l’interopérabilité irréalisable en pratique.

Les standards devront correspondre à l’état de l’art tel que reconnu par l’autorité de contrôle. Actuellement, le standard ActivityPub apparaît comme la base de travail la plus évidente et la plus simple. Toutefois, en théorie, rien n’empêchera les plateformes géantes de proposer leurs propres standards à l’autorité de contrôle.

Plus de maitrise

L’interconnexion entre une plateforme géante et un service tiers ne sera pas automatique mais se fera à la demande et dans les conditions de chaque utilisateur, qui sélectionnera les utilisateurs et services tiers avec qui communiquer.

Ainsi, les utilisateurs des plateformes géantes ne seront pas mis en difficulté par l’interopérabilité mais garderont tout le contrôle des personnes avec qui elles communiquent – si un utilisateur décide de ne pas bénéficier des possibilités permises par l’interopérabilité, alors celle-ci n’aura aucune conséquence pour lui.

De même, l’interopérabilité n’impliquera aucune obligation de modération supplémentaire pour les plateformes géantes dans la mesure où elles ne sauraient être tenues responsables d’informations partagées par des tiers avec lesquels elles n’ont aucune relation contractuelle ni d’aucune nature. Rien n’empêche toutefois les plateformes de modérer les messages d’utilisateurs tiers si elles souhaitent fournir ce service.

Un principe au cœur du Net

Le principe d’interopérabilité n’est pas nouveau mais, au contraire, aux sources même d’Internet, décentralisé, avant que de grandes plateformes ne s’imposent et ne deviennent si difficile à vivre.

Le principe du courrier électronique est un des plus anciens exemples d’interopérabilité : il ne serait aujourd’hui pas concevable de ne pas pouvoir communiquer avec une personne dont le courrier électronique n’est pas géré par le même fournisseur.

Ainsi, l’interopérabilité imposée aux plateformes géantes viendra parfaitement compléter l’interopérabilité déjà prévue en matière de communications interpersonnelles par l’article 61, §2, c, du code des communications électroniques européen.

État du débat en France

Notre proposition est défendue par une large partie de la sphère politique française. Le gouvernement la soutient, son secrétaire d’État au numérique, Cédric O, ayant déclaré à l’Assemblée nationale, lors de débat sur les règles de modération des grands réseaux sociaux, que « l’interopérabilité est une des solutions […] C’est à l’Europe d’imposer des règles en matière d’interopérabilité, comme elle l’a fait pour la protection des données ». Dans le même débat parlementaire, plus de 60 députés de droite comme de gauche ont déposé sept amendements visant à imposer et favoriser l’interopérabilité des grandes plateformes. En parallèle, le Sénat adoptait une proposition de loi « visant à garantir le libre choix du consommateur dans le cyberespace », notamment en imposant des obligations d’interopérabilité.

Ces initiatives législatives font suites à différentes positions de l’administration, telle que l’ARCEP, moteur dans ces avancées, ou la direction générale du trésor invite proposant des « obligations de développer des standards techniques facilitant l’interopérabilité des services et les possibilités de migration des utilisateurs […] lorsque des problèmes concurrentiels associés à une plateforme apparaissent structurels et durables et appellent donc une intervention continue pour être réglés ». Ces initiatives faisaient elles-même suite à une position commune de mai 2019 signée par 75 organisations françaises afin d’imposer l’interopérabilité aux géants du Web.

]]> https://www.laquadrature.net/?p=16084http://isyteck.com/autoblog/quadrature/index.php5?20200908_135330__FreeAssangeTue, 08 Sep 2020 11:53:30 +0000Alors qu’a repris ce lundi 7 septembre le procès relatif à l’extradition de Julien Assange, nous republions ici l’appel de la Maison des lanceurs d’alerte en faveur de sa libération immédiate, l’abandon des charges pesant contre lui, et l’octroi à Julian Assange de l’asile constitutionnel par la France.

Défendre Assange et WikiLeaks aujourd’hui, c’est défendre l’horizon démocratique. C’est dénoncer les faux-semblants de la transparence et ne pas s’y résigner. C’est revendiquer l’héritage des combats contre la raison d’État et son arbitraire, contre l’opacité bureaucratique et l’infantilisation qu’elle génère. C’est non seulement encourager la systématisation des divulgations d’intérêt public, mais aussi se montrer solidaires de toutes celles et ceux qui essuient la violence d’État parce qu’elles ont eu l’audace de la percer à jour.

Durant le mois qui vient, diverses mobilisations et actions festives seront organisées en soutien à Assange. Plus d’informations ici.

Procès de Julian Assange : la Maison des Lanceurs d’Alerte réitère sa demande d’asile pour le fondateur de WikiLeaks

Le 7 septembre 2020 s’ouvrira à nouveau le procès en extradition de Julian Assange, fondateur de WikiLeaks. Ce dernier risque d’être extradé vers les États-Unis, pays dans lequel un grand jury de l’état de Virginie a engagé le 23 mai 2019, des poursuites sur le fondement de l’« Espionage Act » de 1917. Les 18 charges que ce grand jury a retenues contre lui l’exposent à une peine de 175 ans de prison. En outre, le 23 juin 2020, les États-Unis ont renforcé leurs accusations contre Julian Assange, qui est désormais accusé d’avoir conspiré avec des pirates informatiques pour hacker les serveurs de l’Organisation du Traité de l’Atlantique Nord (OTAN).

Comme l’a rappelé la Maison des Lanceurs d’Alerte aux côtés de 16 autres organisations le 19 février 2020, il s’agit d’une attaque inédite contre les libertés fondamentales, portant atteinte au droit à la vie de Julian Assange, et à la liberté de la presse. En conséquence, la Maison des Lanceurs d’Alerte avait demandé aux côtés de 9 autres organisations, le 27 février 2020, que la France accorde à Julian Assange l’asile politique pour des raisons humanitaires, compte tenu des dangers qui le menacent et des attaches familiales qui le lient à la France d’une part, et d’autre part pour la sauvegarde de la liberté d’informer, la liberté de la presse et des valeurs démocratiques.

L’enfermement que Julian Assange a subi pendant près de 7 ans au sein de l’ambassade d’Équateur à Londres, suivi d’une détention de presque un an dans une prison de haute sécurité, a considérablement fragilisé l’état de santé de ce dernier. Dans ces conditions, un renvoi vers les États-Unis, où il est menacé d’une peine de 175 ans de prison sans avoir la pleine capacité de se défendre de manière équitable, l’exposerait à des traitements inhumains et dégradants au sens de l’article 3 de la Convention Européenne des Droits de l’Homme.

Au-delà, les charges contre Julian Assange reposent quasi exclusivement sur des activités que mènent au quotidien tous les journalistes d’investigation, à savoir la publication d’informations auparavant tenues secrètes. Au-delà du sort réservé au fondateur de Wikileaks, une telle inculpation porterait donc une atteinte grave au droit fondamental à la liberté d’expression, de nature à réduire à néant la protection dont bénéficient les journalistes dans toute l’Europe.

En conséquence, la Maison des Lanceurs d’Alerte demande la libération immédiate de Julian Assange et l’abandon des charges pesant contre ce dernier. En outre, elle réitère sa demande auprès des autorités Françaises d’accorder sans délai au fondateur de Wikileaks l’asile constitutionnel en France.

]]> https://www.laquadrature.net/?p=16069http://isyteck.com/autoblog/quadrature/index.php5?20200807_090753_Nous_attaquons_la_reconnaissance_faciale_dans_le_TAJFri, 07 Aug 2020 07:07:53 +0000Nous venons de déposer un recours devant le Conseil d’Etat contre les dispositions du code de procédure pénale qui autorisent la police à utiliser la reconnaissance faciale pour identifier les personnes fichées dans le TAJ (pour « Traitement des Antécédents Judiciaires »). Ce fichier comporte 19 millions de fiches et plus de 8 millions de photos. Il permet déjà à la police, et depuis plusieurs années, d’utiliser de façon massive la reconnaissance faciale en France sur la voie publique, sans aucune justification ni aucun cadre juridique. Il est temps d’y mettre fin.

Nous en parlions déjà l’année dernière : alors que le gouvernement essaie de faire croire qu’il souhaite un débat public avant de déployer la reconnaissance faciale en France, celle-ci est déjà en réalité bien en place. Expérimentée sur la voie publique à Nice l’année dernière, elle est aussi présente dans plusieurs aéroports et gares avec les portiques « Parafe » et sera au cœur de la prochaine application d’identité numérique « Alicem ».

C’est surtout avec le fichier du « Traitement des antécédents judiciaires » que ce déploiement est le plus évident (nous en parlions ici). Ce fichier contient, en plus d’un très grand nombre d’informations, les photographies des visages de toute personne « mise en cause » lors d’une enquête de police. C’est-à-dire non seulement les personnes condamnées, mais aussi celles innocentées par la suite lors de l’enquête et dont les photos sont très souvent conservées malgré elles dans ce fichier. Le TAJ contient aujourd’hui, selon un rapport parlementaire et la CNIL, 19 millions de fiches et 8 millions de photographies de visage.

Le code de procédure pénale, dans son article R40-26, permet explicitement à la police et à la gendarmerie d’utiliser la reconnaissance faciale sur ces millions de photographies. Comme la CNIL l’expliquait dès 2011, ce système permet « de comparer à la base des photographies signalétiques du traitement, les images du visage de personnes impliquées dans la commission d’infractions captées via des dispositifs de vidéoprotection », c’est-à-dire comparer par exemple le visage d’une personne filmée dans la rue par une caméra aux photographies stockées dans le fichier pour l’identifier. Cette technique est d’ores et déjà utilisée pour des affaires courantes et, récemment avec le confinement, de forts soupçons de détournements de ce fichier pèsent sur certaines amendes adressées à des personnes « connues des services de police ».

La création du fichier TES, résultant de la fusion des fichiers des cartes d’identités et du TES passeport, accentue fortement ce risque. En effet, ce fichier, dont l’accès par la police a été grandement étendu suite à la loi Renseignement, regroupera les photographies présentes sur les passeports et cartes d’identité de l’ensemble de la population français. Ces développements pourraient permettre à la police d’aller beaucoup plus loin dans son utilisation de la reconnaissance faciale et de procéder ainsi à une réelle surveillance biométrique de masse. Une analyse détaillée est disponible ici.

La nécessité d’une action contentieuse

La surveillance biométrique est exceptionnellement invasive et déshumanisante. Elle permet un contrôle invisible, permanent et généralisé de l’espace public. Elle fait de nous une société de suspect·es. Elle attribue à notre corps une fonction de traceur constant, le réduisant à un objet technique d’identification. Elle abolit l’anonymat.

C’est pourquoi nous attaquons aujourd’hui ces dispositions du code de procédure pénale sur le TAJ : pour ne laisser aucune place, ni répit, à cette surveillance biométrique. Tout comme nous avons attaqué (et gagné) contre les portiques de reconnaissance faciale dans les lycées de la région Sud. De même contre l’application Alicem. Ou contre la vidéosurveillance automatisée de Marseille. Ou comme lorsque nous avons demandé avec une centaine d’associations l’interdiction de la reconnaissance faciale.

Nous fondons principalement notre recours juridique sur la notion de « nécessité absolue » qui est au cœur de la directive européenne dite « police – justice » (la version « policière » du RGPD). En effet, l’article 10 de cette directive indique que tout traitement de données biométriques (dont le visage fait évidemment partie) et qui est réalisé afin d’identifier une personne n’est possible qu’en cas de « nécessité absolue » et « sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ».

Or, ce n’est évidemment pas le cas pour le TAJ : aucune « nécessité absolue » n’est susceptible de venir justifier un tel dispositif, et rien n’a d’ailleurs été jamais avancé dans ce sens par le gouvernement. Au contraire, quand la ministre de la Justice répond à notre courrier de demande d’abrogation de ces dispositions, elle le qualifie seulement d’ « aide technique » (bien loin donc de toute « nécessité absolue »). Par ailleurs, il n’existe évidemment aucune « garantie appropriée » à ce type de dispositif. Les dispositions qui permettent la reconnaissance faciale à partir des photos du TAJ apparaissent donc en contradiction flagrante avec le droit européen et la loi française qui a transposé directement ces différents principes.

La reconnaissance faciale dans le TAJ est une des pierres angulaires de la surveillance biométrique en France, et c’est pourquoi nous l’attaquons aujourd’hui. Et nous continuerons de dénoncer et d’attaquer les autres déploiement de cette surveillance : non seulement la reconnaissance faciale, mais aussi l’ensemble des autres techniques de surveillance qui continuent de se répandre à travers la Technopolice.

]]> https://www.laquadrature.net/?p=16032http://isyteck.com/autoblog/quadrature/index.php5?20200717_111550_Il_est_temps_d___arreter_les_prolongations_securitairesFri, 17 Jul 2020 09:15:50 +0000Lettre ouverte de l’Observatoire des libertés et du numérique (OLN), Paris, le 17 juillet 2020

L’Observatoire des Libertés et du Numérique et d’autres associations (1) interpellent les parlementaires afin qu’ils rejettent le projet de loi prorogeant la loi SILT et les « boites noires » de renseignement (« relatif à la prorogation des chapitres VI à X du titre II du livre II et de l’article L. 851-3 du code de la sécurité intérieure »).

Ce projet de loi vise à prolonger, pour ensuite les pérenniser et les renforcer – comme l’affiche sans complexe le gouvernement – un ensemble de mesures sécuritaires adoptées avec des limites temporelles en raison de leur caractère liberticide. Elles sont prolongées alors que leur nécessité, leur efficacité et leur proportionnalité n’ont pas été démontrées.

Il s’agit des mesures prévues par la loi n° 2017‑1510 du 30 octobre 2017 « renforçant la sécurité intérieure et la lutte contre le terrorisme » dite « SILT » : les mesures individuelles de contrôle administratif et de surveillance (MICAS), les périmètres de protection (zone de contrôle), les visites et saisies domiciliaires (perquisitions administratives), les fermetures de lieux de culte, ainsi que les algorithmes – ou boites noires – de renseignement adoptés avec la loi n° 2015‑912 du 24 juillet 2015 relative au renseignement.

Ces dispositifs avaient, pour répondre aux nombreuses contestations soulevées lors de l’examen de ces textes, fait l’objet d’un délai maximal d’expérimentation en raison des atteintes aux libertés fondamentales qu’ils recèlent. Cette période devait par ailleurs donner lieu de la part du gouvernement et du Parlement, à des évaluations, lesquelles sont pour partie manquantes. En effet, la mission de contrôle de la loi SILT de l’Assemblée nationale n’a pas rendu de rapport d’évaluation. L’exigence d’une évaluation a pourtant été maintes fois rappelée que ce soit par la CNCDH ou encore récemment par la Rapporteuse spéciale des Nations Unies sur la promotion et la protection des droits de l’homme dans la lutte anti-terroriste(2). S’agissant des boites noires, prolongées une première fois alors qu’elles auraient dû initialement s’achever le 31 décembre 2017, elles devaient faire l’objet d’un rapport d’évaluation du gouvernement au 30 juin 2020, date limite dépassée. Pire encore, le gouvernement a fait fi de ce que la Commission Nationale de Contrôle des Techniques de Renseignement avait demandé que ce rapport soit réalisé peu après la première année de leur mise en service (soit vers la fin de l’année 2018). Si l’on a récemment appris que le gouvernement aurait finalement réalisé une évaluation – toujours confidentielle jusqu’ici – de cette surveillance algorithmique, l’intérêt de ces mesures semble très discutable alors que leurs conséquences sur les libertés sont particulièrement conséquentes (3).

Prétextant la crise sanitaire, le gouvernement entend repousser encore d’un an ces « expérimentations » et par la même occasion les évaluations s’y attachant. Alors que ce projet de loi vise à être adopté dans le cadre d’une procédure accélérée sans aucun débat (notre demande d’audition auprès du rapporteur du texte et de la commission des lois étant notamment restée lettre morte), l’objectif poursuivi par le gouvernement est limpide : « Dans le délai ouvert par cette prorogation, un projet de loi viendra pérenniser ces dispositions, mais également compléter ou modifier ces deux lois, afin de tenir compte des nécessaires évolutions induites par les besoins opérationnels ».

Les intentions de l’Exécutif sont affichées : proroger uniquement pour lui laisser le temps de pérenniser et aggraver ces dispositifs liberticides.

Si lors des débats du mercredi 8 juillet, la commission des lois de l’Assemblée nationale a proposé de réduire le report des mesures en question à 6 mois, il n’en demeure pas moins que la représentation nationale devrait s’opposer purement et simplement à cette prorogation.

Un tel projet de prorogation est un nouveau témoin de la dérive sécuritaire des autorités françaises. L’absence de toute remise en question de ces dispositifs de surveillance et de contrôle n’est qu’une preuve une fois de plus de l’effet « cliquet » de ces dispositifs sécuritaires qui, une fois votés avec la promesse de leur caractère provisoire, sont en réalité constamment prorogés et aggravés.

Afin, dans les mots du nouveau ministre de la Justice de « quitter un peu les rives du sécuritaire en permanence », nous appelons donc les parlementaires à rejeter ce projet de loi pour, a minima, forcer la tenue d’une évaluation et d’un débat sérieux sur ces dispositifs ou les laisser enfin disparaitre.

(1)Signataires :

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

Autres associations : Action Droits des Musulmans (ADM) ; Le Collectif des Associations Citoyennes (CAC)

(2) Ainsi Fionnuala Ni Aolain, le 24 juin 2020, regrette « que les MICAS n’aient été évaluées comme le prévoient les clauses d’extinction (ou clause ‘sunset’) prévues par la loi SILT, et qu’elle soit donc un moyen de contourner l’obligation de vérifier l’efficacité, la proportionnalité, la nécessité et l’aspect non- discriminatoire de ces mesures »

(3) Pour un rappel des enjeux de ces textes, nous vous renvoyons notamment vers ces ressources :

Le numérique assigné à l’état d’urgence permanent, communiqué de l’OLN du 3 oct. 2017 : https://www.ldh-france.org/numerique-assigne-letat-durgence-permanent/

France / Loi SILT. Amnesty International France demande une évaluation indépendante prenant en compte les droits humains, 12 février 2020 : https://www.amnesty.fr/presse/france–loi-silt.-amnesty-international-france

Un an de mise en oeuvre de la loi SILT – Rapport 2018, Réseau Antiterrorisme, droits et Libertés : https://antiterrorisme-droits-libertes.org/IMG/pdf/silt_analyse_juridique_mise_en_oeuvre_et_contenieux_annee_i_-2017_2018-3.pdf

Renseignement : derrière le brouillard juridique, la légalisation du Deep Packet Inspection, Félix Tréguer, 15 nov. 2017 : https://www.laquadrature.net/2017/11/15/renseignement_legalisation_dpi/

]]> https://www.laquadrature.net/?p=15998http://isyteck.com/autoblog/quadrature/index.php5?20200703_093755_Acces_aux_contenus_pornographiques____le_Parlement_doit_retirer_l___article_11___Fri, 03 Jul 2020 07:37:55 +0000MAJ : Le Parlement a définitivement adopté cette proposition de loi le 21 juillet 2020.

Le Parlement s’apprête à voter un nouveau dispositif de surveillance et de censure de l’Internet. Il s’agit des articles 11 et 11 bis A de la loi sur la protection des victimes des violences conjugales, tels que votés par le Sénat le 9 juin. Ces articles imposent aux sites qui hébergent des contenus pornographiques de recourir à des dispositifs de vérification d’âge pour empêcher que les mineur·es y aient accès. De telles obligations, nourries des volontés gouvernementales de nous identifier partout et tout le temps, ne peuvent qu’entraîner de nouvelles et multiples atteintes à nos libertés. Elles risquent aussi de parasiter, en les déshumanisant, les questionnements autour de l’accompagnement des enfants dans la découverte d’Internet, qui devraient pourtant être au cœur des réflexions. Le Parlement a encore une chance de rejeter une partie de cette idée : il doit la saisir.

Tout commence avec l’article 227-24 du code pénal. Depuis 1994, celui-ci prévoit que le fait « de diffuser (…) un message à caractère violent, incitant au terrorisme, pornographique (…) est puni de trois ans d’emprisonnement et de 75 000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur ». Quand cet article a été adopté, l’objectif avancé par le législateur était de « poursuivre les minitels roses qui sont aisément accessibles à des mineurs ». Aujourd’hui, cet article sert de prétexte pour interdire tout site internet qui permet à des mineur·es de consulter des contenus pornographiques.

Il s’avère qu’une telle interdiction, assez peu réaliste en l’état, n’est aujourd’hui pas mise en œuvre. Néanmoins, depuis sa création, cet article du code pénal est utilisé pour pousser différentes idées de contrôle et de surveillance d’Internet : obligation d’utiliser une carte d’identité numérique « qui permettrait au visiteur de justifier de sa majorité sur Internet », filtrage par défaut par les fournisseurs d’accès ou blocage administratif des sites… Tant de mesures qui, sur ce sujet, étaient pour l’instant restées au stade d’idées et n’avaient pas été mises en place.

Le gouvernement d’Emmanuel Macron en a néanmoins fait une de ses priorités. Ce dernier l’annonce lui-même en 2019 : « On va maintenant, enfin, préciser dans notre code pénal que le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante contre l’accès à la pornographie des mineurs ». Et de revenir aussi sur l’idée d’une généralisation des « dispositifs de vérificateur d’âge efficaces ».

Marc Dorcel et le Parlement

Comme pour la loi Avia, c’est une députée LREM qui s’est retrouvée avec la mission de retranscrire dans une loi les directives d’Emmanuel Macron : Bérangère Couillard. En décembre 2019, elle dépose une proposition de loi « visant à protéger les victimes des violences conjugales », avec un article 11 qui propose d’indiquer explicitement à l’article 227-24 du code pénal que « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs ». Et dès l’examen en
commission, elle relève que cela ne sera pas suffisant et qu’il faudrait aller encore plus loin : « la seule menace réellement dissuasive à l’encontre des conglomérats dont le modèle économique repose sur la captation du trafic le plus important possible consiste dans le blocage des sites internet depuis la France ».

Cette idée du blocage s’est concrétisée plus tard quand le texte arrive au Sénat, et qu’un amendement est proposé en séance publique : la sénatrice Marie Mercier (groupe Les Républicains) propose ainsi de mettre le CSA dans le jeu : lorsque celui constate qu’un site ne respecte pas l’article 227-24 du code pénal, il peut ainsi le mettre en demeure de « prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé ». Dans le cas où le site n’obtempère pas, le CSA peut saisir le juge des référés, c’est-à-dire le juge de l’urgence, afin de mettre « fin à l’accès à ce service » : autrement dit, d’en faire bloquer l’accès par les fournisseurs d’accès à Internet. La justice peut déjà prononcer ce type de blocage, mais il s’agit ici de donner toute la légitimité au CSA pour le demander en urgence, et donc de lui accorder un pouvoir de pression supplémentaire.

D’après le gouvernement, l’amendement est poussé par la société Dorcel – qui produit et diffuse des contenus pornographiques –, lui permettant au passage de mettre en difficulté ses concurrents dont le modèle, gratuit, n’entraîne pas l’authentification des utilisateurs par leur carte bancaire, contrairement au sien. L’amendement est adopté par le Sénat et le texte en son entier est voté le 9 juin 2020.

Des parlementaires qui n’ont toujours rien compris à Internet

Où commencer la critique sur un aussi mauvais projet ?

Les parlementaires reprennent une idée poussée pendant plusieurs années au Royaume-Uni. Cette idée a fini par être abandonnée après que plusieurs associations ont souligné les dangers des dispositifs de vérification d’âge pour la vie privée des utilisatrices et utilisateurs. Manifestement, le gouvernement français n’apprend pas des erreurs de ses voisins et pense pouvoir faire mieux tout en recopiant le système britannique- sans faire autre chose. Une certaine logique Shadok.

Ensuite, le gouvernement s’obstine à mettre le CSA au centre de sa vision d’Internet, une autorité créée et pensée pour la télévision. Et cela alors même que le Conseil constitutionnel vient de jeter à la poubelle toutes les idées du gouvernement pour faire du CSA l’autorité en charge de la « haine sur Internet ». Ici, le but est d’en faire l’autorité en charge de la régulation sur Internet des contenus pornographiques. Or, face à une notion si mal définie en droit français, le CSA va se retrouver avec le pouvoir de décider de ce qui relève ou non de la pornographie, avec la menace derrière de saisine du juge des référés et de blocage.

Par ailleurs, comme l’avait fait le Royaume-Uni, les parlementaires ne détaillent pas dans la loi le dispositif de vérification d’âge : ils laissent aux sites et au CSA le soin de les décider entre eux. Mais un rapide passage en revue des solutions envisagées ne peut que faire craindre une surveillance inadmissible sur Internet.

S’agira-t-il, comme en parle Marie Mercier, d’utiliser France Connect, le service d’identité numérique de l’État ? Au-delà de l’énorme jeu de données traitées par ce dispositif (voir à ce titre l’arrêté qui les détaille), va-t-on vraiment demander à des personnes d’utiliser le même identifiant pour les impôts, la sécurité sociale et la consultation de sites avec contenus pornographiques ? Même si Cédric O semble avoir rejeté cette idée, il parlait pourtant bien en juillet 2019 d’une idée assez proche d’identité numérique et de passer sa carte d’identité sur un lecteur pour vérifier sa majorité.

Ou alors s’agira-t-il d’imposer l’utilisation d’une carte bancaire, comme l’espère Dorcel ? Les effets rebonds possibles d’une telle mesure sont problématiques, imposer la carte bancaire, c’est, notamment, risquer que les données récoltées sur la consultation du site puissent être collectées par d’autres personnes, par exemple celles ayant accès au relevé du compte bancaire… Sans compter que, comme cela a déjà été relevé, la Cnil n’a jamais reconnu la preuve de la majorité comme finalité possible pour l’utilisation d’une carte de paiement.

En réalité, quelle que soit la solution, elle implique le traitement de données profondément intimes avec le risque permanent et terrible d’une faille de sécurité et d’une fuite des données d’une large partie de la population.

Enfin, faut-il rappeler encore aux parlementaires que, quel que soit le dispositif choisi, il est fort possible qu’il traite de données « sensibles », au sens du droit européen (car pouvant révéler « l’orientation sexuelle d’une personne physique »). Or, tout traitement de ce type de données est interdit, et ne peut être autorisé que pour certaines exceptions précises.

Centralisation et déshumanisation

D’autres critiques doivent évidemment être faites à une telle proposition, et le STRASS, syndicat du travail sexuel, les répète depuis le dépôt de cette proposition de loi : du fait des dispositifs de contrôle d’âge qui deviendraient obligatoires à mettre en œuvre pour l’ensemble des sites pouvant proposer des contenus considérés comme « pornographiques », « la conséquence probable de cet article sera la censure massive de contenu pornographique voire érotique légal, artisanal, amateur et indépendant tout en favorisant de facto les grands distributeurs ». De même : « on peut aussi s’attendre à ce que cette loi entraîne le blocage des sites d’annonces d’escort et de webcam érotique basés à l’étranger ainsi que les sites Web de travailleurSEs du sexe indépendantEs, fragilisant d’autant une communauté déjà marginalisée par la définition très large du proxénétisme et la pénalisation du client ». En renforçant la pornographie industrielle aux détriments des indépendantes, ce sont les pratiques de cette première qui sont promues, avec ses clichés les plus sexistes et ses conditions de travail les plus abjectes. Il ne restera alors rien de l’objectif que s’était donné la loi, celui de « protéger les victimes de violences conjugales ».

Identification permanente, surveillance de notre intimité, censure, contrôle du CSA sur Internet… Autant de raisons qui devraient conduire les parlementaires à abandonner cette idée. D’autant plus qu’elle conduit, enfin et surtout, à déshumaniser la question autour de la découverte d’Internet, à faire penser qu’une machine s’occupe de poser des limites à cette découverte, que la question ne nous concerne plus. C’est encore une fois vouloir régler par un outil technique magique une question éminemment humaine.

Le texte devrait passer dans les prochaines semaines en commission mixte paritaire pour que l’Assemblée Nationale et le Sénat se mettent d’accord. Si le passage sur « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs » semble définitivement adopté, l’article 11 bis A sur les pouvoirs du CSA peut encore être retiré. Le Parlement doit se saisir de cette occasion pour retirer sa dangereuse proposition.

]]> https://www.laquadrature.net/?p=15991http://isyteck.com/autoblog/quadrature/index.php5?20200622_160230_Racisme_policier____les_geants_du_Net_font_mine_d___arreter_la_reconnaissance_facialeMon, 22 Jun 2020 14:02:30 +0000À un moment où l’institution policière est remise en question, les multinationales de la sécurité tentent de se racheter une image par des effets d’annonce : elles arrêteraient la reconnaissance faciale car la technologie ne serait pas tout à fait au point et la police l’utiliserait à mauvais escient.

Arrêter la reconnaissance faciale ?

Plusieurs entreprises ont annoncé arrêter (temporairement ou non) la reconnaissance faciale. C’est d’abord IBM qui a ouvert le bal : l’entreprise a déclaré publiquement qu’elle arrêtait de vendre la reconnaissance faciale à « usage général » et appelle le Congrès américain à établir un « dialogue national » sur la question. Le même jour, une employée de Google dénonce les biais des algorithmes et la dangerosité de cette technologie. Le lendemain, Amazon affirme interdire l’utilisation par la police de son logiciel de reconnaissance faciale Rekognition pendant un an. Enfin, Microsoft dit vouloir arrêter de vendre de tels services tant qu’il n’y aura pas de cadre législatif plus précis.
Ce sont donc les entreprises à l’origine même de l’invention et de la mise au point de la reconnaissance faciale qui la dénoncent. Culotté.
Comme le montre bien Privacy International, IBM est une des premières entreprises à s’être lancée dans la reconnaissance faciale et à en avoir fait son fonds de commerce. Elle a carrément inventé le terme même de « Smart City » pour vendre toujours plus de systèmes de vidéosurveillance à travers le monde. Et, on y reviendra plus tard, la reconnaissance faciale n’est qu’une fraction des algorithmes vendus par IBM. Selon l’association britannique, IBM prend les devants pour éviter d’être accusée de racisme, comme ce fut le cas lorsque qu’il est apparu qu’elle vendait sa technologie aux Nazis pendant la Seconde guerre mondiale. En outre, c’est peut-être un moyen pour l’entreprise de se retirer d’un marché concurrentiel où elle ne fait pas office de leader, comme à Toulouse, où la mairie de J.-L. Moudenc a conclu un contrat avec IBM pour équiper une trentaine de caméras de VSA, sans succès apparent.

À travers ces déclarations, ces entreprises tentent d’orienter nos réponses à cette question classique qui se pose pour nombre de nouvelles technologies : la reconnaissance faciale est-elle mauvaise en soi ou est-elle seulement mal utilisée ? La réponse à cette question de la part d’entreprises qui font des bénéfices grâce à ces technologies est toujours la même : les outils ne seraient ni bons ni mauvais, c’est la façon dont on les utilise qui importerait.

C’est ainsi qu’une annonce qui s’apparente à un rétropédalage sur le déploiement de la reconnaissance faciale est en réalité la validation de l’utilité de cette technologie. Une fois que l’État aura établi un cadre clair d’utilisation de la reconnaissance faciale, les entreprises auront le champ libre pour déployer leurs outils.

Instrumentaliser les combats antiracistes pour se refaire une image

Que ce soit Google, Microsoft ou Amazon, les géants du numérique qui utilisent de l’intelligence artificielle ont déjà été épinglés pour les biais racistes ou sexistes de leurs algorithmes. Ces révélations, dans un contexte où de plus en plus de monde se soulève contre le racisme, au sein de la police notamment aux États-Unis, affectent de plus en plus l’image de ces entreprises déjà connues pour avoir peu de respect pour nos droits. Mais les géants du numérique ont plus d’un tour dans leur sac et maîtrisent les codes de la communication et gèrent avec attention leur image publique . Le débat autour des biais algorithmiques concentre l’attention, alors que pendant ce temps les questions de respect des données personnelles sont passées sous silence.
En annonçant mettre en pause l’utilisation de leurs outils de reconnaissance faciale tant qu’ils auront des biais racistes, Microsoft, IBM et Google font coup double : ils redorent leur image en se faisant passer pour des antiracistes alors qu’ils font leur business sur ces outils depuis des années et qu’ils imposent publiquement un débat dans lequel l’interdiction totale de la reconnaissance faciale n’est même pas envisagée.
Amazon fait encore plus fort, en prétendant interdire au gouvernement de se servir de Rekognition, son logiciel de reconnaissance faciale. Ainsi le message de l’entreprise est clair : ce n’est pas la reconnaissance faciale qui est dangereuse mais l’État.
Cette volte-face des géants du numérique rappelle leur énorme poids politique : après avoir passé des années à convaincre les autorités publiques qu’il fallait se servir de ces outils technologiques pour faire régner l’ordre, ils ont le luxe de dénoncer leur utilisation pour redorer leur blason. C’est le cas d’IBM, qui fait la promotion de la reconnaissance faciale depuis au moins 2012, en fournissant à la ville d’Atlanta, aux États-Unis, un programme de police prédictive avec les photos des criminels à haut risque. Et qui en 2020, dénonce son utilisation par la police, de peur que cela ne lui retombe dessus.

La reconnaissance faciale, un épouvantail qui rend la VSA acceptable

Ce qui est complètement passé sous silence dans ces annonces, c’est le fait que la reconnaissance faciale n’est qu’un outil parmi d’autres dans l’arsenal de surveillance développé par les géants du numérique. Comme elle touche au visage, la plus emblématique des données biométriques, elle attire toute la lumière mais elle n’est en réalité que la partie émergée de l’iceberg. En parallèle sont développés des outils de « vidéosurveillance automatisée » (reconnaissance de tenues vestimentaires, de démarches, de comportements, etc.) qui sont discrètement installés dans nos rues, nos transports en commun, nos écoles. En acceptant de faire de la reconnaissance faciale un outil à prendre avec des pincettes, les GAFAM cherchent à rendre acceptable la vidéosurveillance automatisée, et cherchent à rendre impossible le débat sur son interdiction.
Or, il est fondamental d’affirmer notre refus collectif de ces outils de surveillance. Car sous couvert « d’aide à la prise de décision », ces entreprises et leurs partenaires publics instaurent et réglementent les espaces publics. Quand une entreprise décide que c’est un comportement anormal de ne pas bouger pendant 5 minutes ou quand on se sait scruté par les caméras pour savoir si l’on porte un masque ou non, alors on modifie nos comportements pour entrer dans la norme définie par ces entreprises.

Les grandes entreprises de la sécurité ne sont pas des défenseuses des libertés ou encore des contre-pouvoirs antiracistes. Elles ont peur d’être aujourd’hui associées dans la dénonciation des abus de la police et de son racisme structurel. Leurs annonces correspondent à une stratégie commerciale bien comprise : faire profil bas sur certains outils pour mieux continuer à vendre leurs autres technologies de surveillance. En passant pour des « multinationales morales et éthiques » — si tant est que cela puisse exister — ces entreprises ne prennent que très peu de risques. Car ne soyons pas dupes : ni IBM, ni Microsoft et encore moins Amazon ne vont arrêter la reconnaissance faciale. Ces boîtes ne font que temporiser, à l’image de Google qui, en réponse aux dénonciations d’employé·es avait laissé entendre en 2018 que l’entreprise se tiendrait à distance du Pentagone, et qui a depuis lors repris ses collaborations avec l’armée américaine. Et, ce faisant, elles font d’une pierre deux coups : en focalisant le débat sur la reconnaissance faciale, les géants du numérique tentent non seulement de redorer leur image mais laissent aussi la porte grande ouverte pour déployer d’autres dispositifs de surveillance fondés sur l’intelligence artificielle et tout aussi intrusifs.

]]> https://www.laquadrature.net/?p=15976http://isyteck.com/autoblog/quadrature/index.php5?20200618_193026_Loi_haine____le_Conseil_constitutionnel_refuse_la_censure_sans_jugeThu, 18 Jun 2020 17:30:26 +0000Victoire ! Après une longue année de lutte, le Conseil constitutionnel vient de déclarer contraire à la Constitution la quasi-intégralité de la loi de lutte contre la haine en ligne. Au-delà de sa décision, le Conseil constitutionnel refuse le principe d’une censure sans juge dans un délai imposé d’une heure ou de vingt-quatre heures.

En prétendant lutter contre la haine, la loi organisait en réalité une censure abusive d’Internet : la police pouvait exiger la censure de contenus à caractère terroriste en une heure ; les grandes plateformes devaient censurer tout contenu qui pourrait être haineux en vingt-quatre heures. Le Conseil constitutionnel a rendu une décision claire : ce principe de censure dans un délai fixe, que le Conseil critique violemment, est contraire à la Constitution. Comme nous le relevions dans nos observations envoyées au Conseil constitutionnel, un tel délai fixe, pour tout type de contenu, aggrave considérablement les risques de censures abusives, voire de censure politique. Le Conseil souligne que seuls les contenus manifestement illicites peuvent être retirés sans passer par un juge ; or, reconnaître qu’un contenu est manifestement illicite demande un minimum d’analyse, impossible en si peu de temps.

Notre victoire d’aujourd’hui est une lourde défaite pour le gouvernement. Il paie le prix d’une méthode irréfléchie et lourde de conséquences néfastes : alors que Facebook se vantait de lutter « efficacement » contre la haine en employant des armées de personnes et de machines pour censurer les contenus sur sa plateforme, le gouvernement a lancé une « mission Facebook » pour s’en inspirer. Il a ensuite chargé Madame Avia d’une loi pour imposer à l’ensemble de l’Internet le modèle de censure toxique et algorithmique de Facebook. Cette tentative aura été aussi inutile que dangereuse et inconstitutionnelle.

Mais, surtout, le gouvernement est intervenu au dernier moment pour faire « adopter à l’avance » en France le règlement européen contre la propagande terroriste, qui prévoit lui aussi une censure sans juge en une heure (lire notre analyse du texte). Alors que les débats européens sur ce sujet sont loin d’être terminés et qu’aucun compromis ne se dégage, la France a voulu mettre le législateur européen devant le fait accompli en tentant ce tour de force risqué. Son pari est entièrement perdu. Si le débat sur le règlement européen se poursuit, la France y aura perdu l’essentiel de sa crédibilité pour porter une proposition qu’elle est presque la seule, avec l’Allemagne, à vouloir imposer.

Pour lutter contre la haine en ligne, une autre stratégie, respectueuse des libertés fondamentales et d’un Internet libre, était possible : celle de l’interopérabilité. Cette voie, reprise par de nombreux amendements à droite comme à gauche durant l’examen de la loi haine, avait été repoussée par un gouvernement incapable de s’opposer véritablement aux géants du Net. En effet, le problème de la haine en ligne est accentué par le modèle économique des grandes plateformes qui ont un intérêt à mettre en avant des contenus conflictuels, voire haineux, qui feront réagir et rester sur leurs plateformes. Le législateur a refusé cette possibilité, se fourvoyant dans sa volonté de censure. Il faut désormais qu’il tire les conséquences de ce désaveu du Conseil constitutionnel.

Cette victoire est pour nous l’achèvement d’une longue année de lutte, à vos côtés, à tenter de convaincre les parlementaires que cette loi était contraire à la Constitution. Le Conseil constitutionnel sanctionne lourdement l’amateurisme du gouvernement et des député·es En Marche ayant renoncé à tout travail législatif sérieux.

]]> https://www.laquadrature.net/?p=15970http://isyteck.com/autoblog/quadrature/index.php5?20200603_133549_La_Technopolice_progresse__la_Cnil_moulineWed, 03 Jun 2020 11:35:49 +0000Depuis la crise sanitaire, la vidéosurveillance automatisée s’ancre un peu plus dans l’espace public : détection automatique du port de masque, de la température corporelle, des distances physiques… Ces dispositifs participent à la normalisation de la surveillance algorithmique et portent de nouvelles atteintes à nos libertés. Ils sont installés sans qu’aucune preuve de leur utilité n’ait été apportée, et souvent dans la plus complète opacité. La Cnil, en ne réagissant pas publiquement à ces dérives, participe à leur banalisation et à celle de toute la Technopolice.

Cela fait plus d’un an que nous combattons à travers la campagne Technopolice le déploiement de la vidéosurveillance automatisée. Elle s’est en quelques mois répandue dans de multiples villes en France (voir celles – très nombreuses – répertoriées sur le forum et le carré Technopolice). La crise sanitaire a, comme dans d’autres domaines, amplifié le phénomène. Ainsi, pendant que d’un côté la police a déployé illégalement ses drones pour démultiplier son pouvoir de surveillance sur le territoire, plusieurs collectivités ont passé des contrats avec des entreprises pour implémenter de nouvelles technologies de surveillance.

À Cannes et dans le métro parisien, la société Datakalab a fait installer son logiciel de détection de port de masque. Plusieurs mairies et écoles ont de leur côté déjà mis en place dans leurs locaux des caméras pour mesurer la température des personnes, avec pour objectif de les renvoyer chez elles en cas de température trop élevée – une expérimentation du même type est d’ailleurs en cours à Roissy. Quant à la mesure des distances physiques, elle est déjà en cours dans les transports à Cannes, et pas de doute qu’avec les propositions de plusieurs start-up, d’autres villes réfléchissent déjà à ces dispositifs.

Normalisation et opacité de la surveillance

La multiplication de ces dispositifs en crise sanitaire participe évidemment à la normalisation de la surveillance algorithmique. Derrière leurs apparences parfois inoffensives, ces technologies en banalisent d’autres, notamment la détection de « comportements suspects » ou le suivi automatique de personne selon un signe distinctif (démarches, vêtements…). Alors même que leur déploiement est programmé depuis plusieurs années, comment croire un seul instant que ces dispositifs seront retirés une fois la crise finie ? Au contraire, s’ils ne sont pas vigoureusement contestés et battus en brèche dès aujourd’hui, ils viendront simplement s’ajouter à l’arsenal toujours plus important de moyens de contrôle de la population. Le maire qui fait installer des caméras thermiques dans son école ne les considère-t-il pas lui-même comme « un investissement à long terme [pouvant] resservir au moment des épidémies de grippe et de gastro-entérite » ?

D’ailleurs, à Paris, l’expérimentation de détection de masque par la RATP dans la station de métro de Châtelet s’inscrit « dans le cadre du programme intelligence artificielle du groupe et du LAB’IA ». Nous dénoncions en février ce programme qui consiste pour la RATP à permettre aux industriels sécuritaires d’utiliser les usagères et usagers du métro comme des cobayes pour leurs algorithmes de détection automatique. Quelles entreprises y participent ? Quels algorithmes y sont testés ? Impossible de le savoir précisément. Car c’est l’autre caractéristique de ces expérimentations : leur opacité. Impossible de savoir quelles données traite le dispositif de Datakalab et de quelle manière, ou ce que captent, enregistrent et déduisent exactement les caméras thermiques d’Aéroports de Paris, ou les algorithmes de détection des distances à Cannes. À part une maigre communication dans la presse, les conventions conclues n’ont pas été publiées. Le seul moyen pour y avoir accès est d’adresser aux différents organismes concernés des demandes CADA (voir notre guide) et se plier à leur bon vouloir sur ce qu’ils souhaitent ou non communiquer.

Des dispositifs probablement illégaux

Au-delà de la normalisation et de l’opacité, plusieurs questions juridiques se posent.

On peut déjà critiquer la nécessité et la proportionnalité de tels outils : l’article 5 du RGPD impose que les données personnelles traitées doivent toujours être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Autrement dit, et comme le dit la Cnil elle-même : « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs ». Un tel questionnement semble totalement absent de la vidéosurveillance automatisée. N’y a-t-il vraiment aucun autre moyen de voir si des personnes portent un masque ou respectent des distances physiques que de les soumettre à une caméra et son algorithme ? N’importe quel humain semble pourtant capable de réaliser ces tâches. L’Humanité s’est très bien passée d’algorithme jusqu’à aujourd’hui.

Et quelle base légale pour ces dispositifs ? Par exemple, pour les caméras thermiques qui traitent des données dites « sensibles » (comme les données de santé) et dont le traitement est par principe interdit ? Il n’est autorisé que dans certaines conditions (article 9 du RGPD). Parmi ces exceptions, on trouve bien des motifs de « médecine du travail » ou de « santé publique » mais à chaque fois, de tels traitements doivent être basés sur le « droit de l’Union ou [le] droit de l’État membre ». Ce droit n’existe pas : il n’existe aucun cadre juridique spécifique à la vidéosurveillance automatisée. La Cnil dit d’ailleurs de nouveau elle-même : « En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs (…) les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques ».

De tels questionnements rejoignent ceux que nous posons constamment sur la vidéosurveillance automatisée et que nous avons soulevés lors d’un contentieux (aujourd’hui perdu) à Marseille. Comment ne pas s’étonner alors que la Cnil laisse se répandre cette Technopolice ?

Le silence coupable de la Cnil

Cela fait maintenant presque deux ans que nous avons rencontré des membres de la Cnil pour échanger sur ces sujets et depuis… rien. Ou presque : un avis sur les portiques de reconnaissance faciale et un avertissement sur un projet de capteurs sonores à Saint-Étienne (sur lesquels elle a volontairement communiqué). Et encore, seulement après que nous les ayons publiquement dénoncés et attaqués.

Depuis le début de la crise sanitaire, il semble bien qu’il y ait eu des échanges entre la Cnil et les entreprises ou autorités responsables sur les nouvelles expérimentations. C’est notamment le cas de celle à Cannes et dans le métro parisien, mais aussi pour l’expérimentation dans les aéroports. Or, là encore, aucune publicité n’a été faite sur ces échanges. Ils sont souvent pourtant d’un grand intérêt pour comprendre les velléités sécuritaires des autorités, des entreprises et pour mesurer les faiblesses des contrôles de la Cnil. C’était d’ailleurs le cas pour les portiques de reconnaissance faciale dans les lycées de la Région Sud où la Cnil avait rendu un avis non-public, que nous avons dû nous-même lui demander. La mollesse de la CNIL nous avait forcées d’agir de notre côté devant le tribunal administratif (où nous avons obtenu gain de cause quelques mois plus tard).

En dehors de ces quelques cas, l’action de la CNIL contre la Technopolice semble largement insuffisante. Son action se limite à émietter quelques principes théoriques dans ses communications (comme vu plus haut) mais n’en tire aucune conséquence concrète. Ou alors elle fait secrètement des contrôles dont nous ne sommes informés qu’après avoir attaqué nous-même le dispositif devant la justice. Ou alors elle ne veut rien faire. Rien sur les analyses d’émotions et la détection d’évènements violents en expérimentation à Nice, rien sur les logiciels de la société Briefcam installés dans plusieurs dizaines de villes en France, rien sur les capteurs sonores de Strasbourg, rien sur les logiciels de Huawei à Valenciennes.

Il est même extrêmement étonnant de voir être proposés et installés des outils de détection de température alors que la Cnil les a expressément interdits… On en vient presque à oublier qu’elle a le pouvoir d’ester en justice et de sanctionner (lourdement) le non-respect des textes [1]. Comme pour les drones, ce rôle semble quelquefois reposer sur les capacités contentieuses des associations.

Ce silence coupable participe à la prolifération des dispositifs sur le territoire français. Ces derniers, comme la reconnaissance faciale, doivent être combattus. Ils accroissent considérablement la capacité des autorités à nous identifier et à nous surveiller dans l’espace public, démultipliant les risques d’abus, et participent au déploiement d’une société de surveillance. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible, indolore et profondément déshumanisant.

—

[1] La critique de cette inaction de la Cnil pourrait d’ailleurs se faire de manière plus générale pour le peu de sanctions qu’elle rend au titre du RGPD, voir notamment 2 ans de RGPD : comparaison de l’application du règlement par les pays européens

]]> https://www.laquadrature.net/?p=15957http://isyteck.com/autoblog/quadrature/index.php5?20200602_172101_Crise_du_Covid-19____la_technopolice_profite_de_la_strategie_du_chocTue, 02 Jun 2020 15:21:01 +0000Ce texte a été publié au sein de l’œuvre collective « Résistons ensemble, pour que renaissent des jours heureux », (Télécharger au format epub et PDF) qui vise à faire le point sur la situation politique actuelle et à mettre en avant des propositions pour une société plus juste. Benoît Piédallu, membre de La Quadrature du Net, y tente une analyse de l’avancée des technologies de surveillance durant la crise du Covid19, dans un texte que nous reproduisons donc ci-dessous.

En février ou début mars 2020, voyant arriver la lame de fond de la pandémie, personne à La Quadrature du Net n’avait imaginé à quel point elle nous forcerait à mobiliser nos forces. Mobilisé·es à l’époque par la loi Avia (qui transfère des responsabilités de censure aux grandes plateformes), par la promotion de l’interopérabilité (qui imposerait ces mêmes grandes plateformes à se connecter à d’autres outils), ou encore à forcer la main à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur la législation des cookies, comment aurions-nous pu penser qu’un événement sanitaire allait bousculer à ce point notre agenda ?

Et pourtant, les premiers sujets sont vite arrivés. Quelques jours après le début du confinement officiel (le 17 mars), Orange a informé les médias que 17 % des Parisien·ne·s avaient quitté la capitale au début du confinement, ce que l’opérateur n’avait pu savoir qu’en utilisant des données de bornage de téléphones mobiles, pourtant non prévues à cette fin. Puis c’est la mise en place d’un système de traçage total de la population dont il a très vite été question. La police, décidant seule de qui avait le droit de se trouver dans les rues ou pas, en profita pour utiliser de manière massive ses drones, de la prévention à la verbalisation, à l’image de ces vidéos venant de Chine dont tout le monde se moquait pourtant quelques semaines plus tôt. Profitant de cette situation d’urgence, les élus locaux se trouvant sommés d’agir alors qu’ils se trouvaient dans un entre-deux-tours sans fin, de nombreuses entreprises se mirent à proposer, au vu et au su de tous, leurs technologies de surveillance, même gracieusement, sous prétexte de lutte contre la pandémie.

La surveillance de la population est un sujet de lutte depuis bien longtemps entre les associations de défense des droits fondamentaux d’une part, et les entreprises privées et les autorités d’autre part. Passées de paranos à tout juste réalistes à l’occasion de la parution des révélations Snowden en 2013, ces associations ont bénéficié d’une très courte fenêtre de tir avant qu’entreprises spécialisées et politiques pro-surveillance ne reprennent la main. C’est le RGPD, Règlement général sur la protection des données européen, qui en aura bénéficié dans sa rédaction. Mais, dans le fond, jamais le gouvernement français n’aura cessé d’ajouter des réglementations pour installer de nouveaux outils de surveillance de sa population, quand ce ne sont pas des technologies de surveillance mises en œuvre illégalement par différents services, et rendues légales une fois le législateur mis devant le fait accompli.

« Technopolice » est une campagne lancée par la Quadrature en septembre 2019, qui liste, dénonce – et lutte contre – les outils de surveillance urbaine. Qu’il s’agisse de la reconnaissance biométrique, de détection d’événement, d’usage de drones, de croisement et d’analyse algorithmique branchée sur les données urbaines, ils sont, depuis quelques années, déployés en catimini par des collectivités locales, majoritairement sous couvert d’expérimentation. Ce principe est un paravent qui leur permet souvent d’éviter le lancement d’appels d’offres, mais aussi de rassurer la population : en présentant à ses administré·e·s un projet comme « temporaire », un·e responsable politique peut plus facilement, sans avoir à prouver l’efficacité d’un système, le déployer dans l’espace public.

C’est aussi une technique utilisée au niveau national : à l’occasion de la loi de finances 2020, un article prévoyait la mise en place d’une expérimentation de trois ans (sic) par laquelle le ministère des Finances se voyait autorisé à capter des données sur divers services en ligne (leboncoin, eBay…), puis à leur appliquer des algorithmes à des fins de lutte contre la fraude fiscale. Et Cédric O demandait encore, fin décembre 2019, la mise en place d’une expérimentation nationale de la technologie de reconnaissance faciale, dont nous demandons de notre côté l’interdiction totale.

Pour chaque déploiement, il existe dans le monde une démonstration de détournement par l’administration : la reconnaissance faciale en Inde, présentée initialement pour retrouver les enfants perdus ? Utilisée pour lister les manifestant·e·s. L’utilisation du big data pour lutter contre la fraude fiscale ? Détournée aux Pays-Bas pour discriminer les populations les plus pauvres.

La crise que nous traversons a changé la donne : ces entreprises sécuritaires ne se cachent plus et vont démarcher les collectivités, organismes ou établissements de santé pour leur proposer des outils de surveillance et de contrôle de la population.
La police avoue utiliser ses drones sans base légale. Et en profite pour plus que doubler sa flotte à travers un contrat de quatre millions d’euros. Même des entreprises sans activité militaire ou de sécurité s’y mettent, à l’image de Sigfox dont le patron propose, comme solution alternative à l’application de traçage StopCovid, de fournir à la population des bracelets électroniques.

C’est la stratégie du choc qui est à l’œuvre. Profitant du traumatisme des bilans quotidiens de morts par milliers et du confinement imposé à une société animée par le lien social, les profiteurs de crise avancent leurs pions pour ouvrir une place durable à leurs marchés sécuritaires.
Pour certains, leurs noms sont connus de toutes et tous : ainsi Orange vend-il à des clients professionnels des statistiques basées sur les déplacements de ses abonnés, sans l’accord de ces derniers. Son nom se retrouve aussi lié à Dassault Système et Capgemini dans le développement de StopCovid, l’application de traçage de la population.

Tout est mis en œuvre dans l’idée que l’ennemi est le peuple. On lui ment, on le surveille, on le trace, on le verbalise s’il sort de chez lui. On rend responsables les malades, car ce sont certainement ceux qui n’ont pas respecté le confinement. On rend le peuple responsable individuellement en lui faisant porter le poids de la mort des autres. Pas une fois le pouvoir politique, durant cette crise, ne fera amende honorable sur ses manquements. Non : pour les gouvernants, dont les administrations détruisaient encore des masques courant mars, les solutions sont des outils de contrôle (température, port du masque), de surveillance (StopCovid, drones, patrouilles dans les rues), de nouvelles bases de données (extension de ADOC, pour les verbalisations routières, Contact Covid et SIDEP pour le traçage manuel des « brigades Covid »), ou encore le contrôle de l’information (Désinfox Coronavirus)…

Cet état d’urgence sanitaire, qui impose le confinement et ouvre de nouvelles bases de données de la population, devrait se finir au plus tard au 10 juillet 2020. Mais l’histoire récente montre qu’un état d’urgence temporaire peut aisément être reconduit plusieurs fois, jusqu’à entrer dans le droit commun. Et, même sans une reconduction législative perpétuelle, c’est l’entrée dans les habitudes qui est à craindre.

Le risque, c’est l’effet cliquet : une fois une technologie déployée, l’effort pour la supprimer sera largement supérieur à celui nécessaire pour empêcher son installation. Côté politique, par volonté de rentabiliser un investissement ou par peur de se voir reprocher par son électorat d’avoir réduit l’illusoire protection. Côté population, supprimer une technologie à laquelle les habitants se seront accoutumés demandera un effort considérable. Le déploiement, durant des mois, d’outils de contrôle tend à les faire se fondre dans le décor. Qui ira demander l’abandon d’outils acquis à grands frais (8 000 € la caméra thermique fixe) une fois la pandémie passée ? Et comment décidera-t-on de la fin de cette pandémie : par l’arrivée d’un vaccin ? Tout comme l’état d’urgence contre le terrorisme a été intégré dans le droit commun, il est possible que l’hypothèse d’un retour du danger sanitaire autorise les autorités à conserver les dispositions prévues pour le Covid-19.

Mais la lutte contre un danger sanitaire est l’objet d’un plan de gestion des risques, pas d’un système de surveillance généralisé et permanent. Un plan qui prévoirait la mise à disposition continue d’un nombre suffisant de masques, et un système hospitalier adapté.

Alors quoi ? Quels outils politiques pour éviter la prolongation d’un état d’exception et cette tentation permanente de fliquer la population ?

Les élus, l’administration, le pouvoir, sont les moteurs, depuis plusieurs dizaines d’années, de cette inflation sécuritaire qui alimente quantité de discours et sert les idéologies politiques. Il faut donc dès maintenant informer l’opinion publique sur les risques qu’il y a à continuer dans cette voie, et la mobiliser pour la mise en place ou le renforcement de garde-fous. Nous proposons quelques pistes pour aller dans ce sens.

• La CNIL est en France l’autorité dont la mission est de veiller au respect des données personnelles, que ce soit par l’État ou les entreprises privées. Avant 2004, toute création de traitement devait passer par une autorisation de la CNIL. Elle n’est, depuis, qu’une autorité consultative dont le pouvoir a été limité aux sanctions contre les entreprises privées. Il est nécessaire que son autorité à l’encontre du législateur soit restaurée, ce qui implique d’améliorer son indépendance, par une augmentation de son budget, un changement du processus de nomination des commissaires, en développant la place de la société civile en son sein ainsi qu’en restituant son pouvoir de blocage réglementaire.

• L’utilisation de l’outil informatique par l’État doit être transparente. Les algorithmes utilisés pour prendre des décisions administratives doivent être publiés dès leur mise en œuvre.

• Afin de garantir une indépendance technique de ces mêmes administrations, il est nécessaire qu’elles utilisent des logiciels libres, que ce soit pour le système d’exploitation ou les logiciels courants.

• Les décisions politiques autour de l’usage de technologies ne doivent pas se faire sans la population. Il est nécessaire pour cela de prévoir à l’école et par la suite une formation suffisante au numérique, à ses conséquences techniques, sociales et politiques.

• L’installation d’outils de contrôle dans l’espace public doit être interdite tant qu’une alternative non automatisée est possible, ce qui exclut la quasi-totalité des outils déployés durant cette crise.

• Une limitation drastique des champs du renseignement (et l’arrêt de l’expérimentation sine die des boîtes noires), et un développement de ses contre-pouvoirs.

• Une limitation immédiate de la collecte et de la conservation des données de connexion, en conformité avec la jurisprudence européenne.

• Des sanctions rapides et drastiques contre le secteur du traçage publicitaire en ligne pour faire cesser rapidement les illégalités au regard du RGPD.

• Le développement d’un contre-pouvoir sérieux face aux abus de la police.

]]> https://www.laquadrature.net/?p=15944http://isyteck.com/autoblog/quadrature/index.php5?20200526_161150_Loi_Avia__nos_observations_devant_le_Conseil_constitutionnelTue, 26 May 2020 14:11:50 +0000Lundi dernier, les sénateurs Républicains ont saisi le Conseil constitutionnel contre la loi Avia, qui avait été définitivement adoptée le 13 mai. Le Conseil devrait se prononcer dans les semaines à venir. Pour l’y aider, nous nous joignons à Franciliens.net pour envoyer au Conseil notre contribution extérieure (accessible en PDF, 7 pages, ou ci-dessous). Notre objectif principal est de démontrer que le nouveau délai d’une heure prévu en matière de censure anti-terroriste est contraire à la Constitution.

Objet : Contribution extérieure des associations La Quadrature du Net et Franciliens.net sur la loi visant à lutter contre les contenus haineux sur internet (affaire n° 2020-801 DC)

Monsieur le président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

La Quadrature du Net est une association qui œuvre à la défense des libertés à l’ère du numérique. Franciliens.net est un fournisseur d’accès à Internet. À ce titre, les deux associations ont, durant les débats parlementaires de la proposition de loi visant à lutter contre les contenus haineux sur internet, attiré l’attention du public et des parlementaires notamment sur les articles 1er et 6 du texte, qui, pour plusieurs raisons, nous semblent contraires à la Constitution. Nous avons ainsi l’honneur de vous adresser cette présente contribution extérieure au nom des associations La Quadrature du Net et Franciliens.net afin de démontrer l’inconstitutionnalité de ces deux articles.

I. Sur le délai d’une heure en matière de censure antiterroriste

Le I de l’article 1er de la loi qui vous est déférée modifie le régime de censure administrative du Web, dont il faut brièvement rappeler l’historique.

L’article 4 de la loi n° 2011-267 du 14 mars 2011 a ajouté un cinquième alinéa au 7 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Cette disposition a donné à l’administration un pouvoir jusqu’ici réservé à l’autorité judiciaire : exiger que les fournisseurs d’accès à Internet bloquent les sites qu’elle désigne comme diffusant des images d’abus d’enfant. Dans la limite de la lutte contre de telles images, le Conseil constitutionnel avait reconnu cette disposition conforme à la Constitution dans sa décision n° 2011-625 DC du 10 mars 2011.

Trois ans plus tard, l’article 12 de la loi n° 2014-1353 du 13 novembre 2014 a déplacé cette disposition à l’article 6-1 de la LCEN en y apportant d’importantes modifications. La principale modification a été d’étendre cette censure aux sites que l’administration considère comme relevant du terrorisme – et ce toujours sans appréciation préalable d’un juge. Le Conseil constitutionnel n’a jamais examiné la constitutionnalité d’une telle extension.

Six ans plus tard, aujourd’hui, le I de l’article 1er de la loi déférée modifie encore cette disposition. La principale modification est de réduire à une heure le délai, jusqu’alors de 24 heures, dont disposent les sites et hébergeurs Web pour retirer un contenu signalé par l’administration avant d’être bloqués par les fournisseurs d’accès à Internet et moteurs de recherche.

C’est la réduction de ce délai que le Conseil constitutionnel examine aujourd’hui. Il ne fait pas débat que le dispositif de censure administrative et, par là-même, la réduction du délai de ce dispositif, porte atteinte à la liberté d’expression. S’il est de jurisprudence constante que le droit à la liberté d’expression est un droit fondamental protégé par le Conseil constitutionnel, il sera démontré ci-dessous que l’atteinte portée par la loi qui vous est déférée est disproportionnée et contraire à la Constitution.

Sur le défaut d’adéquation

En droit, la jurisprudence du Conseil constitutionnel exige que « toute mesure restreignant un droit fondamental […] doit être adéquate, c’est-à-dire appropriée, ce qui suppose qu’elle soit a priori susceptible de permettre ou de faciliter la réalisation du but recherché par son auteur »¹« Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel.

En l’espèce, aucun site ou hébergeur Web n’est techniquement capable de supprimer en une heure l’ensemble des contenus que l’administration est susceptible de lui signaler. L’exemple le plus flagrant est celui de la vidéo de la tuerie de Christchurch du 15 mars 2019. Facebook a expliqu鲫 Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand que, au cours des 24 heures suivant la publication de la vidéo sur sa plateforme, ses services de modération ont supprimé 1,2 million de copies de la vidéo, mais ont échoué à en bloquer 300 000 autres copies. Si Facebook, avec ses milliers de modérateurs et ses algorithmes de pointe, a échoué à retirer entièrement cette vidéo en 24 heures, il est certain que la vaste majorité des hébergeurs seront parfaitement incapables de le faire en seulement une heure.

De façon plus triviale, mais tout aussi probante, les très nombreux sites ou hébergeurs Web, dont les administrateurs techniques ne travaillent ni la nuit ni le week-end, seront dans l’impossibilité de retirer en une heure les contenus signalés par la police au cours de ces périodes. Il en va ainsi par exemple de La Quadrature du Net, qui héberge 24 000 utilisateurs sur son réseau social mamot.fr, et dont les administrateurs techniques, bénévoles, ne travaillent ni la nuit ni le week-end.

En conclusion, le nouveau délai ne correspondant à aucune réalité technique, il n’est manifestement pas adéquat.

Sur le défaut de nécessité

En droit, une mesure restreignant un droit fondamental n’est conforme à la Constitution que si elle « n’excède pas ce qui est nécessaire à la réalisation de l’objectif poursuivi »³Valérie Goesel-Le Bihan,op. cit..

En l’espèce, le gouvernement n’a jamais produit la moindre étude ou analyse pour expliquer en quoi les contenus terroristes devraient systématiquement être censurés en moins d’une heure. La recherche scientifique est pourtant riche à ce sujet, et va plutôt dans un sens contraire. En 2017, l’UNESCO publiait un rapport⁴Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841 analysant 550 études concernant la radicalisation des jeunes sur Internet. Le rapport conclut que « les données dont on dispose actuellement sur les liens entre l’Internet, les médias sociaux et la radicalisation violente sont très limitées et ne permettent pas encore de tirer des conclusions définitives » et que « les données sont insuffisantes pour que l’on puisse conclure à l’existence d’un lien de cause à effet entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour prévenir la radicalisation violente des jeunes sur l’Internet n’ont pas fait la preuve de leur efficacité, alors qu’il est clair qu’elles peuvent porter atteinte aux libertés en ligne, en particulier la liberté d’expression ». La radicalisation semble avant tout résulter d’interactions interpersonnelles et non de propagande en ligne – par exemple, Mohammed Merah, Mehdi Nemmouche, Amedy Coulibably et les frères Kouachi n’avaient pas d’activité en ligne⁵Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html en lien avec le terrorisme.

Puisque, dans la majorité des cas, il semble peu utile de censurer la propagande terroriste en ligne, il n’est manifestement pas nécessaire de la censurer systématiquement en moins d’une heure. Dans les cas où la censure rapide d’un contenu particulièrement dangereux serait requise, il suffirait de déterminer au cas par cas l’urgence nécessaire pour ce faire. C’est la solution qui a toujours résulté de l’application de la LCEN depuis 2004. Par exemple, en 2012, un hébergeur Web a été définitivement condamné⁶Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429 par la cour d’appel de Bordeaux pour ne pas avoir retiré en moins de 24 heures un contenu particulièrement sensible – des écoutes téléphoniques réalisées au cours de l’enquête judiciaire sur l’affaire AZF.

En conclusion, il n’est pas nécessaire d’exiger que les contenus terroristes soient systématiquement retirés en une heure dans la mesure où le droit antérieur suffit largement pour atteindre l’objectif poursuivi.

Sur le défaut de proportionnalité

En droit, « toute mesure restreignant un droit fondamental […] doit enfin être proportionnée au sens strict : elle ne doit pas, par les charges qu’elle crée, être hors de proportion avec le résultat recherché »⁷Valérie Goesel-Le Bihan, op. cit..

En l’espèce, le délai d’une heure est si court qu’il accroît hors de toute proportion acceptable les risques d’erreurs et d’abus.

Premièrement, l’urgence imposée par ce nouveau délai conduira à une multitude d’erreurs techniques et à retirer davantage de contenus que nécessaire. Ces erreurs seront d’autant plus probables que la plupart des hébergeurs n’auront jamais les moyens organisationnels de grandes plateformes comme Google ou Facebook. Trop souvent, dans l’urgence et sans organisation dédiée pour ce faire, la meilleure façon de retirer une image ou une vidéo en moins d’une heure sera de bloquer l’accès à l’ensemble d’un service. Ce type de dysfonctionnement n’est ni rare ni limité aux petites structures : en octobre 2016, en tentant d’appliquer l’article 6-1 de la LCEN, Orange avait bloqué par erreur⁸Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange l’accès à Google, Wikipédia et OVH pour l’ensemble de ses utilisateurs.

Deuxièmement, ce nouveau délai intervient dans un contexte juridique qui était déjà particulièrement flou. Les « actes de terrorisme » visés à l’article 421-2-5 du Code pénal, auquel l’article 6-1 de la LCEN renvoie, ne sont pas explicitement définis par la loi française. Il faut se référer à l’article 3 de la directive 2017/541, relative à la lutte contre le terrorisme, pour en avoir une définition textuelle. Il s’agit notamment du fait, ou de la tentative, de « causer des destructions massives […] à un lieu public ou une propriété privée », quand bien même aucun humain n’aurait été mis en danger et que le risque se limiterait à des « pertes économiques ». Pour relever du terrorisme, il suffit que l’acte vise à « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque ».

Ainsi, même s’il peut sembler évident de qualifier de terroriste une vidéo revendiquant un attentat meurtrier, cette qualification est beaucoup moins évidente s’agissant de propos politiques bien plus triviaux qui, d’une façon ou d’une autre, peuvent être liés à des destructions matérielles. Il peut s’agir par exemple d’appels vigoureux à aller manifester, ou encore de l’éloge de mouvements insurrectionnels historiques (prise de la Bastille, propagande par le fait, sabotage luddite…). Les hébergeurs n’auront plus qu’une heure pour apprécier des situations qui, d’un point de vue juridique, sont tout sauf univoques. Devant la menace d’importantes sanctions, les hébergeurs risquent de censurer quasi-automatiquement la plupart des contenus signalés par l’administration, sans la moindre vérification sérieuse.

Troisièmement, l’article 6-1 de la LCEN échoue à compenser le défaut de contrôle judiciaire préalable en prévoyant qu’une personnalité qualifiée de la CNIL, informée de toutes les demandes de censure émises par l’administration, puisse contester celles-ci devant les juridictions administratives. Dans les faits et depuis 2015, cette personnalité qualifiée est Alexandre Linden, qui n’a eu de cesse de dénoncer l’absence d’effectivité de sa mission. Il concluait ainsi son dernier rapport de 2019⁹Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf, quant aux façons d’améliorer les conditions d’exercice de sa mission : « On peut une nouvelle fois légitimement s’interroger sur l’utilité de formuler des préconisations à l’issue de cette quatrième année d’activité, lorsque l’on constate que les préconisations mentionnées dans les trois premiers rapports d’activité n’ont pas été prises en compte par les autorités publiques […]. Cette situation compromet l’effectivité de son contrôle sur l’ensemble des demandes de retrait de contenus, de blocage ou de déréférencement ». Ne pouvant mener correctement cette mission, la CNIL a demandé au gouvernement qu’elle lui soit retirée – ce que l’article 7, IV, 3°, de la loi déférée a réalisé en confiant désormais cette mission au CSA.

Quatrièmement, à défaut d’intervention préalable de l’autorité judiciaire, cette nouvelle urgence permettra à l’administration d’abuser plus facilement de son pouvoir, tel qu’elle a déjà pu le faire. En septembre et octobre 2017, par exemple, la police nationale a invoqué l’article 6-1 de la LCEN pour exiger aux hébergeurs Indymedia Nantes et Indymedia Grenoble de retirer quatre tribunes anarchistes faisant l’apologie d’incendies de véhicules de le police et de la gendarmerie. La personnalité qualifiée de la CNIL, informée de ces demandes de censure, en a contesté la légalité devant le tribunal administratif de Cergy-Pontoise. Il a fallu attendre le 4 février 2019 pour que ce dernier reconnaisse¹⁰TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352 que la police avait abusé de ses pouvoirs dans l’ensemble des quatre demandes. Ainsi, l’administration a pu contourner la justice pendant un an et demi afin de censurer des opposants politiques. Réduire à une heure le délai laissé aux hébergeurs pour évaluer un contenu signalé par la police ne fera qu’accroître les risques que celle-ci abuse de son pouvoir.

En conclusion, le nouveau délai d’une heure aggrave hors de toute proportion acceptable les risques d’erreurs techniques ou juridiques propres au dispositif de censure administrative, ainsi que les risques d’abus de la part d’une administration qui échappe à tout contre-pouvoir effectif.

Il est utile de souligner que, si le projet de règlement européen visant à lutter contre les contenus terroristes en ligne prévoit aussi un délai d’une heure pour retirer les contenus signalés, ce délai est le principal point de désaccord du débat législatif concernant ce texte, et ce débat est loin d’être achevé. Au cours du dernier examen du Parlement européen, un amendement¹¹Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf de Mme Eva Joly a proposé de remplacer le « délai d’une heure » par « les plus brefs délais » : cet amendement n’a été rejeté qu’à 297 voix favorables contre 300 voix défavorables¹²Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR, et ce alors même que le texte prévoit davantage de garanties que le droit français, en exigeant notamment que l’injonction de retrait ne puisse être émise que par « une autorité judiciaire ou une autorité administrative fonctionnellement indépendante »¹³Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html.

II. Sur le nouveau régime de censure en 24 heures

Le II de l’article 1er de la loi qui vous est déférée ajoute un article 6-2 à la LCEN, qui crée un nouveau régime de responsabilité spécifique à certains intermédiaires techniques et à certaines infractions. Ce nouveau régime est contraire à la Constitution en raison de l’atteinte disproportionnée à la liberté d’expression qu’elle entraîne, au moins de deux façons.

Sur les plateformes concernées

L’objectif de ce nouveau régime est de contenir la diffusion des discours de haine et de harcèlement sur les grandes plateformes commerciales, en premier titre desquelles Facebook, Youtube et Twitter, en leur imposant des obligations spécifiques. Toutefois, cette obligation ne pèse pas seulement sur les grandes plateformes commerciales, à l’origine du problème, mais sur tout « opérateur » visé à l’article L. 111-7 du code de la consommation et dont le nombre d’utilisateurs dépasse un seuil fixé par décret (que l’on nous annonce à 2 millions). En pratique, des sites sans activité commerciale, tel que Wikipédia, seront aussi concernés.

Pourtant, le modèle de modération de ces plateformes non-commerciales, qui repose sur une communauté bénévole et investie, a pu se montrer plus efficace pour limiter la diffusion de la haine et du harcèlement que les grandes plateformes commerciales. Ce constat n’est remis en cause ni par la rapporteure de la loi déférée ni par le gouvernement. Tout en restant perfectibles, les plateformes non-commerciales satisfont déjà largement l’objectif poursuivi par la loi déférée. Il n’est pas nécessaire de leur imposer de nouvelles obligations qui nuiront à leur développement et à la liberté de communication de leurs utilisateurs.

En conséquence, ce nouveau régime porte une atteinte disproportionnée au droit à la liberté d’expression. À titre subsidiaire, ce nouveau régime ne pourrait être conforme à la Constitution qu’à la condition que son champ d’application soit interprété de façon à exclure les plateformes non-lucratives, par exemple tel que le prévoit l’actuel projet de loi relatif à la communication audiovisuelle¹⁴http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16 dont l’article 16, qui crée un nouveau régime de responsabilité en matière de droit d’auteur, ne s’applique qu’aux opérateurs qui organisent et promeuvent les contenus hébergés en vue d’un tirer un profit, direct ou indirect.

Sur le délai de 24 heures

Le nouveau régime impose un délai de 24 heures pour retirer les contenus signalés. La disproportion de ce nouveau délai résulte des mêmes constats déjà détaillés pour le nouveau délai d’une heure imposé en matière de terrorisme.

Le délai de 24 heures n’est pas adéquat, car il ne sera techniquement pas réaliste – même Facebook échoue à supprimer en 24 heures les pires vidéos terroristes. Le délai de 24 heures n’est pas nécessaire, car le droit actuel suffit largement pour fixer au cas par cas, en fonction de la gravité de chaque contenu, la célérité requise pour le retirer. Le délai de 24 heures n’est pas proportionné, car il aggravera les risques d’abus par la police, qui pourra plus facilement faire exécuter des demandes de censure excessives que les hébergeurs avaient, jusqu’alors, le temps d’analyser et de refuser.

En conséquence, le II de l’article 1er de la loi déférée porte une atteinte manifestement disproportionnée au droit à la liberté d’expression.

III. Sur l’augmentation des sanctions pénales

L’article 6 de la loi déférée fait passer de 75 000 euros à 250 000 euros le montant de l’amende prévue au 1 du VI de l’article 6 de la LCEN et qui sanctionne les fournisseurs d’accès à Internet et les hébergeurs qui ne conservent pas pendant un an les données de connexion de l’ensemble de leurs utilisateurs.

Aucun élément n’a été avancé pour justifier une telle augmentation. Au contraire, l’actualité jurisprudentielle européenne aurait dû entraîner la disparition de cette sanction. Comme La Quadrature du Net a déjà eu l’occasion de l’exposer au Conseil constitutionnel, la Cour de justice de l’Union européenne a, dans son arrêt Tele2 du 21 décembre 2016, déclaré qu’une telle mesure de conservation généralisée est contraire à la Charte des droits fondamentaux de l’Union.

En conséquence, l’article 6 de la loi déférée est contraire à la Constitution en ce qu’il augmente le montant d’une amende pénale sans que cette augmentation ne soit nécessaire à la poursuite d’aucun objectif légitime.

**

Pour ces motifs, les associations La Quadrature du Net et Franciliens.net estiment que les articles 1er et 6 de la loi visant à lutter contre les contenus haineux sur internet sont contraires à la Constitution.

Nous vous prions de croire, Monsieur le président, Mesdames et Messieurs les membres du Conseil constitutionnel, l’assurance de notre plus haute et respectueuse considération.

References   [ + ]

1.	↑	« Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel
2.	↑	« Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand
3.	↑	Valérie Goesel-Le Bihan,op. cit.
4.	↑	Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841
5.	↑	Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html
6.	↑	Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429
7.	↑	Valérie Goesel-Le Bihan, op. cit.
8.	↑	Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange
9.	↑	Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf
10.	↑	TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352
11.	↑	Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf
12.	↑	Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR
13.	↑	Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html
14.	↑	http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16

]]> https://www.laquadrature.net/?p=15925http://isyteck.com/autoblog/quadrature/index.php5?20200520_160221_Hadopi__une_victoire_de_fa__ade___Wed, 20 May 2020 14:02:21 +0000Mise à jour, 20 mai 20h : Avec le recul de l’analyse juridique minutieuse – incompatible avec la pression de l’urgence médiatique – cette décision pourrait constituer une victoire nettement plus modeste.

La censure prononcée par le Conseil constitutionnel nous a conduit à penser, dans le feu de l’action, à une victoire décisive que l’on espérait. Toutefois, malgré la restriction du champ des données de connexion accessibles à la HADOPI – qui reste une victoire -, une lecture plus attentive nous amène à penser que demeure une interprétation selon laquelle son activité devrait pouvoir persister. C’est cette interprétation possible que nous avons échoué à déceler dans l’urgence – nous remercions les personnes qui ont pu nous la signaler.

Ce recours devant le Conseil constitutionnel venait se greffer sur un contentieux au temps plus long, dont une autre partie est actuellement en cours notamment devant le Conseil d’État. D’autres aspects du dispositif de riposte graduée demeurent très critiquables. Nous allons désormais nous y attaquer.

Nous présentons nos sincères excuses à celles et ceux qui se sont réjouis trop vite à la lecture de notre communiqué enthousiaste. Nous avons lu la décision sous le prisme de notre préjugé et l’enthousiasme a limité notre regard critique sur ses détails. Nous présentons nos excuses pour cette fausse joie, il y a bien une censure de morceaux du dispositif, mais nous avons encore certains doutes parmi nous sur l’enchevêtrement de différents éléments du dispositifs et allons avoir besoin d’un temps de recul pour fournir une analyse finale de cette décision. Nous allons prendre le temps de faire cela correctement. Le débat consiste à savoir quelle portée a l’alinéa 3, censuré, de l’article L. 331-21 du code de la propriété intellectuelle. À lire l’exposé des motifs de la loi Hadopi de la loi Hadopi en 2008, plusieurs lectures paraissent possibles. On reviendra vers vous pour donner notre lecture en présentant à nouveau nos excuses pour cet enthousiasme prématuré et nous allons tâcher de redoubler d’efforts pour obtenir vraiment cette victoire.

Le Conseil constitutionnel vient de répondre à la question prioritaire de constitutionnalité transmise le 12 février 2020 par La Quadrature du Net, FDN, FFDN et Franciliens.net (lire la décision). Il déclare contraire à la Constitution les pouvoirs que la loi a donné à la HADOPI pour identifier les personnes qui partagent des œuvres sur Internet, par exemple en identifiant les adresses IP connectées à divers flux BitTorrent. Ces pouvoirs prendront fin à la fin de l’année

La décision d’aujourd’hui n’a rien de surprenant : elle s’inscrit dans la continuité d’une jurisprudence déployée depuis cinq ans par le Conseil constitutionnel, en parallèle de la Cour de justice de l’Union européenne (relire l’explication détaillée de notre action). Cette jurisprudence tend à replacer l’autorité judiciaire dans son rôle de contrôle préalable de l’administration, notamment quand il s’agit de lever l’anonymat des internautes. Or, la raison d’être de la HADOPI était précisément de contourner la justice afin de surveiller le plus plus grand nombre d’internautes et de les dissuader de partager des œuvres en ligne. Puisqu’il lui est enfin imposée de passer par la justice, la raison d’être de la HADOPI disparait. Nul doute que son budget annuel de 10 millions d’euros sera utile ailleurs.

Le projet de loi audiovisuelle, débattu depuis quelques mois par le Parlement, prévoyait déjà de supprimer la HADOPI. Mais il prévoit aussi de transmettre ses missions au CSA. La stratégie de notre action contentieuse consistait à attendre ce moment pour inciter le Parlement, au moment de supprimer la HADOPI, à ne pas perpétuer des missions dont l’incompatibilité à la Constitution a été aujourd’hui reconnue.

Il s’agit de l’aboutissement de 10 ans de lutte pour La Quadrature du Net. Si nous avons été nombreuses à nous moquer, avant son adoption, de l’inutilité de la HADOPI, il ne faut pas minimiser la nocivité qu’aura eu son action en 10 années. Elle aura vivement dissuadé la population de recourir à la pratique vertueuse, libre et décentralisée qu’est le partage d’œuvres de pair à pair. Au contraire, la HADOPI aura forcé nombre d’internautes dans les bras d’une poignée de méga-plateformes, licites ou non, qui auront centralisé les échanges culturels en quelques points dominants. Cette centralisation aura surtout permis à ces méga-plateformes d’imposer leurs conditions aux artistes. Au final, à part ces plateformes, tout le monde – internautes, artistes, etc. – aura perdu au change.

Nous espérons que la victoire d’aujourd’hui sera un pas de plus vers la décentralisation du Net et le libre partage de la culture, accessible à toutes et à tous sans condition de richesse.

]]> https://www.laquadrature.net/?p=15917http://isyteck.com/autoblog/quadrature/index.php5?20200518_123331_Les_goelands_abattent_leur_premier_droneMon, 18 May 2020 10:33:31 +0000Suite à notre recours, l’ordonnance du Conseil d’État est une victoire historique contre la surveillance par drone. La décision reconnaît l’illégalité de tout drone qui, volant suffisamment bas et étant équipé de caméra, permet à la police de détecter des individus, que ce soit par leurs habits ou un signe distinctif.

D’après le Conseil d’État, cette illégalité ne saurait être corrigée que par un arrêté ministériel pris après avis de la CNIL. Dans l’attente d’un tel arrêté, que nous recevrons de pied ferme, la police devra maintenir au sol la grande majorité de ses drones dans l’ensemble du pays. En effet, l’ordonnance d’aujourd’hui concerne le déploiement de drones pour lutter contre le virus et on peut douter que les autres drones de la police soient déployés pour un motif plus impérieux — qui permettraient de se passer d’un arrêté.

D’autres outils de la Technopolice restent sans cadre juridique et continuent pourtant de se déployer : vidéosurveillance automatisée, capteurs sonores, police prédictive… Une telle décision nous encourage à continuer nos combats.

]]> https://www.laquadrature.net/?p=15901http://isyteck.com/autoblog/quadrature/index.php5?20200514_174046_EDRi_demande_l___interdiction_de_la_surveillance_biometriqueThu, 14 May 2020 15:40:46 +0000L’association internationale EDRi, soutenue par La Quadrature du Net, lance une campagne européenne pour faire interdire la reconnaissance faciale et plus généralement la surveillance de masse biométrique. Nous publions la traduction du communiqué de lancement.

À travers toute l’Europe, des technologies de reconnaissance faciale et d’identification biométrique, intrusives et violant les droits, se répandent discrètement dans les espaces publics. Comme la Commission européenne consulte le public à ce sujet, EDRI appelle les États membres de l’UE à garantir que de telles technologies soient totalement interdites, à la fois dans la loi et dans la pratique.

Circulez, y a rien à voir…

À la fin de l’année 2019, au moins 15 pays européens ont expérimenté des technologies de surveillance de masse utilisant l’identification biométrique, comme la reconnaissance faciale. Ces technologies sont conçues pour surveiller, suivre et analyser les individus, pour les noter et les juger dans leur vie quotidienne.
Pire, plusieurs gouvernements l’ont fait en collaboration avec des entreprises technologiques secrètes, en l’absence de débat public et sans avoir démontré que ces systèmes respectent les critères les plus élémentaires de responsabilité, de nécessité, de proportionnalité, de légitimité, de légalité ou de sécurité.

Quelques milliers de caméras pour les gouverner tous

Sans la vie privée, vous n’avez plus de conversations privées avec vos ami·es, votre famille, votre supérieur ou même votre docteur. Votre militantisme et votreengagement pour sauver la planète sont connus de tous et toutes. Si vous lancez l’alerte pour dénoncer un fait d’exploitation ou de corruption, ou si vous assistez à une manifestation politique qui déplaît à votre gouvernement, on peut vous retrouver. Vous perdez de fait le droit d’assister à une cérémonie religieuse ou à une réunion syndicale sans qu’on garde un œil sur vous, le droit d’étreindre votre partenaire sans que quelqu’un vous regarde, le droit de flâner librement sans que quelqu’un puisse trouver ça louche.

La surveillance de masse permanente supprime le droit d’être réellement seul et instaure l’obligation d’être constamment surveillé et contrôlé.

COVID-1984 ?

Les débats autour de la pandémie de coronavirus ont vu naître des idées d’applications et d’autres propositions pour étendre rapidement les systèmes de surveillance, sous couvert de santé publique. Le risque est considérable que les dégâts causés par cet élargissement des mesures de surveillance survivent à l’épidémie. On peut se demander, par exemple, si les employeurs enlèveront les caméras thermiques des bureaux une fois la pandémie passée.

Les systèmes de surveillance biométriques exacerbent les inégalités structurelles, accélèrent la création de fichiers et de « profilages » illégaux, ont un effet intimidant sur les libertés d’expression et de réunion, et limitent les capacités de chacun·e à participer à des activités sociales publiques.

Fanny Hidvegi, responsable de la politique européenne à Access Now, insiste sur ce point :

« Les droits humains s’appliquent en temps de crise et d’urgence. On ne doit pas avoir à choisir entre la vie privée et la santé : protéger les droits numériques favorise la santé publique. La suspension des droits à la protection des données en Hongrie est la preuve que l’UE doit renforcer la protection des droits fondamentaux. »

La surveillance biométrique : une architecture d’oppression

Se présentant comme une « architecture d’oppression », la capture et le traitement non ciblé de données biométriques sensibles permet aux gouvernements et aux entreprises d’enregistrer en permanence et en détail qui vous rencontrez, où vous allez, ce que vous faites. Cela leur permet aussi d’utiliser ces informations contre vous — que ce soit par les pouvoirs publics pour faire appliquer la loi ou à des fins commerciales. Une fois ces enregistrements reliés à nos visages et corps, il n’y a plus de retour possible, nous sommes marqués au fer rouge. Il ne peut y avoir de place pour de telles pratiques dans une société démocratique.

Ioannis Kouvakas, juriste chez Privacy International (PI), membre d’EDRi met en garde :

« L’introduction de la reconnaissance faciale dans les villes est une idée extrémiste et dystopique qui menace explicitement nos libertés et pose des questions fondamentales sur le type de société dans laquelle nous voulons vivre. En tant que technique de surveillance très intrusive, elle offre aux autorités de nouvelles opportunités de s’en prendre à la démocratie sous prétexte de la défendre. Nous devons interdire son déploiement dès maintenant et de manière définitive avant qu’il ne soit trop tard. »

EDRi demande donc une interdiction immédiate et permanente de la surveillance de masse biométrique dans l’Union européenne.

La surveillance de masse biométrique est illégale

Cette interdiction est fondée sur les droits et protections consacrés par la Charte des droits fondamentaux de l’Union européenne, le Règlement général sur la protection des données (RGPD) et la Directive Police Justice. Ensemble, ces textes garantissent aux résidents de l’UE de vivre sans la crainte d’un traitement arbitraire ou d’un abus de pouvoir, et le respect de leur autonomie. La surveillance de masse biométrique constitue une violation de l’essence de ces textes et une violation du cœur même des droits fondamentaux de l’UE.

Une fois que des systèmes qui normalisent et légitiment la surveillance constante de tout le monde sont en place, nos sociétés glissent vers l’autoritarisme. L’UE doit donc veiller, par des moyens notamment législatifs, à ce que la surveillance de masse biométrique soit totalement interdite en droit et en pratique. Lotte Houwing, conseillère politique chez Bits of Freedom (BoF), membre d’EDRi, déclare :

« Les mesures que nous prenons aujourd’hui façonnent le monde de demain. Il est de la plus haute importance que nous gardions cela à l’esprit et que nous ne laissions pas la crise du COVID-19 nous faire sombrer dans un état de surveillance (de masse). La surveillance n’est pas un médicament. »

L’UE réglemente tout, des médicaments aux jouets pour enfants. Il est inimaginable qu’un médicament dont l’efficacité n’a pas été prouvée ou un jouet présentant des risques importants pour la santé des enfants soient autorisés sur le marché. Cependant, en ce qui concerne la captation et le traitement des données biométriques, en particulier à la volée dans les espaces publics, l’UE a été un foyer pour les expérimentations illégales. D’après une étude de 2020, plus de 80% des Européens sont pourtant opposés aux partages de leurs données faciales avec les autorités.

EDRi appelle la Commission européenne, le Parlement européen et les États membres à respecter leurs valeurs et à protéger nos sociétés en interdisant la surveillance de masse biométrique. S’ils s’y refusent, nous augmentons nos chances de voir naître une dystopie numérique incontrôlable.

]]> https://www.laquadrature.net/?p=15890http://isyteck.com/autoblog/quadrature/index.php5?20200511_143847_Vote_final_de_la_____loi_haine____Mon, 11 May 2020 12:38:47 +0000Mise à jour : tel que redouté, la loi a été adoptée dans sa pire version.

L’urgence de LREM est de donner à la police de nouveaux pouvoirs pour lutter contre le « terrorisme » sur Internet. L’Assemblée nationale votera le 13 mai 2020 la proposition de loi de Laetitia Avia qui, initialement présentée comme une loi « contre la haine », s’est transformée en janvier dernier en une loi « antiterroriste », telle qu’on en connait depuis des années, de plus en plus éloignée du principe de séparation des pouvoirs. Mercredi sera la dernière chance pour les député·es de rejeter cette dérive inadmissible.

Pour rappel, la proposition de loi initiale demandait aux très grandes plateformes (Facebook, Youtube, Twitter…) de censurer en 24h certains contenus illicites, tels que des contenus « haineux » signalés par le public ou la police. Pour une large partie, ces obligations seront inapplicables et inutiles, Laetitia Avia ayant systématiquement refusé de s’en prendre à la racine du problème – le modèle économique des géants du Web – en dépit de nos propositions, reprises par tous les bords du Parlement.

L’histoire aurait pu en rester à ce coup d’épée dans l’eau si le gouvernement n’avait pas saisi l’occasion pour pousser sa politique sécuritaire. Le 21 janvier, alors que la loi était examinée une deuxième fois par une Assemblée presque vide, le gouvernement a fait adopter un amendement de dernier minute renversant toute la situation.

Une nouvelle obligation vient éclipser le reste de la loi, ajoutée au paragraphe I de son article 1. Elle exige que tous les sites Web (pas uniquement les plateformes géantes) censurent en 1h (pas en 24h) les contenus signalés par la police comme relevant du « terrorisme » (sans que cette qualification ne soit donnée par un juge, mais par la police seule). Si le site ne censure par le contenu (par exemple car le signalement est envoyé un week-end ou pendant la nuit) la police peut exiger son blocage partout en France par les fournisseurs d’accès à Internet (Orange, SFR…).

La séparation des pouvoirs est entièrement écartée : c’est la police qui décide des critères pour censurer un site (en droit, la notion de « terrorisme » est suffisamment large pour lui donner un large pouvoir discrétionnaire, par exemple contre des manifestants) ; c’est la police qui juge si un site doit être censuré ; c’est la police qui exécute la sanction contre le site. Le juge est entièrement absent de toute la chaîne qui mène à la censure du site.

Le 26 février, le Sénat avait supprimé cette nouvelle disposition. Le texte revient mercredi pour une toute dernière lecture par l’Assemblée nationale, qui aura le dernier mot. Il est indispensable que les député·es suppriment l’article 1, paragraphe I de cette loi, qui permet à la police d’abuser de son pouvoir pour censurer le Web à des fins politiques – en cherchant à censurer les attaques contre le Président ou contre la police, comme elle le fait déjà.

Appelons les député·es sur cette page pour qu’ils rejettent ce texte.

]]> https://www.laquadrature.net/?p=15875http://isyteck.com/autoblog/quadrature/index.php5?20200504_105606_Nous_attaquons_les_drones_de_la_police_parisienneMon, 04 May 2020 08:56:06 +0000Mise à jour du 5 mai à 21h : dans une première décision, le tribunal administratif de Paris rejette notre recours. Il n’aborde aucun de nos arguments, se contentant d’un débat hors-propos sur la présence ou non de données personnelles. La Quadrature du Net a décidé de faire appel pour obtenir dans les prochains jours une décision du Conseil d’État avec qui nous espérons avoir un débat plus constructif.

La Quadrature du Net et la Ligue des Droits de l’Homme viennent de déposer un recours en urgence contre le déploiement de drones par la préfecture de police de Paris. Depuis le début du confinement et un peu partout en France, la police prétend se faire assister de drones pour lutter contre les infractions. Pourtant, puisqu’ils sont déployés en l’absence de tout cadre légal spécifique et adapté, ce sont eux qui violent la loi et nos libertés. Nous espérons qu’une victoire à Paris aura des effets dans tout le pays..

Depuis le début du confinement, la police et la gendarmerie utilisent de façon massive et inédite les drones pour surveiller la population et faire appliquer les règles du confinement : diffusion des consignes par haut-parleurs ainsi que surveillance par vidéo pour repérer les contrevenants, guider les patrouilles au sol et filmer les personnes échappant à la police pour mieux les sanctionner après.

Le déploiement de ces drones, déjà utilisés notamment pour la surveillance des manifestations, ne fait que s’amplifier avec la crise sanitaire. En avril, le ministère de l’Intérieur a par ailleurs publié un appel d’offres portant sur l’acquisition de plus de 650 nouveaux drones pour plus que doubler sa flotte. Selon un rapport sénatorial, entre le 24 mars et le 24 avril, la police nationale a déclenché 535 vols de drones dont 251 de surveillance.

Ce déploiement, en plus d’augmenter de manière inédite les capacités de surveillance de la police, se fait en l’absence de tout cadre légal spécifique quant à l’utilisation des images filmées. Aucun texte ne prévoit un délai de suppression pour ces images ou n’en limite l’accès aux seuls agents de la préfecture pour une mission de police identifiée. D’ailleurs, dans un premier temps, cette absence de texte nous a empêchés d’attaquer les drones.

Heureusement, la publication par Mediapart le 25 avril dernier, dans un article de Clément Le Foll et Clément Pouré, de deux documents issus du service de communication de la préfecture de police de Paris a apporté plusieurs éléments concrets nous permettant d’agir en justice. La préfecture y reconnait notamment qu’il n’existe aucun cadre juridique spécifique pour les images captées par les drones, et cela alors qu’ils sont équipés de caméras haute-résolution permettant « la captation, la transmission et l’enregistrement des images » ainsi que « l’identification d’un individu ».

Nous avons déposé samedi un référé-liberté devant le tribunal administratif de Paris pour lui demander de faire cesser immédiatement ce dispositif illégal. Notre recours est notamment fondé sur l’absence de cadre légal spécifique, qui implique de multiples atteintes au droit à la vie privée (absence d’information des personnes filmées ou de délai de conservation de ces images…), et la disproportion de ce dispositif. Il est enfin évident qu’en cas de victoire, les principes d’une telle décision devront être respectés par l’ensemble de la police et de la gendarmerie, partout en France, et pas seulement par la préfecture de police de Paris.

Si la police comptait profiter de la crise sanitaire pour tester ses nouveaux gadgets, elle s’est trompée. Nous sommes là pour la ramener à la froide réalité des choses : ce n’est pas elle qui fait la loi.

]]> https://www.laquadrature.net/?p=15869http://isyteck.com/autoblog/quadrature/index.php5?20200430_104137_Crise_sanitaire____la_Technopolice_envahit_l___universiteThu, 30 Apr 2020 08:41:37 +0000Dans le contexte de la pandémie, le gouvernement recommande officiellement aux établissements d’enseignement supérieur la télésurveillance des examens à l’aide de dispositifs invasifs, discriminants et manifestement illégaux : reconnaissance faciale, vidéosurveillance par webcam et smartphone, détection de bruits suspects… Ou quand la Technopolice envahit l’enseignement. Ces dispositifs doivent être rejetés dès maintenant

En mars 2020, le ministère de l’Enseignement supérieur a publié un « plan de continuité pédagogique » composé de plusieurs fiches visant à accompagner les établissements dans le contexte de la pandémie (et depuis régulièrement mis à jour). La fiche n°6 « Évaluer et surveiller à distance » indique que « les examens écrits nécessitent une télé-surveillance particulière qui permet de vérifier l’identité de l’étudiant et d’éviter les fraudes. Ils nécessitent donc un recours à des services de télésurveillance ». Le document recommande ensuite aux établissements une liste de fournisseurs de services « qui ont l’habitude de travailler avec des établissements d’enseignement supérieur ».

Cette liste, qui est donc une recommandation officielle du gouvernement, fait la promotion d’outils de surveillance extrêmement invasifs, dangereux et profondément discriminants. Au programme : reconnaissance faciale, vidéosurveillance continue avec analyse comportementale (par utilisation simultanée de la webcam et du smartphone), voire détection sonore de bruits suspects.

Enseignement technopolisé

Commençons par une rapide présentation des pires solutions envisagées :

– Managexam propose des solutions de surveillance audio et vidéo, avec « prise de photos fréquentes, régulières ou aléatoires » ou « vidéo captée en continue ». Sur son site, l’entreprise promet de repérer « automatiquement les anomalies pouvant survenir dans la session d’évaluation grâce à une recherche et une classification visuelle de l’environnement des candidats » ;

– C’est le cas également pour Proctorexam, qui propose une « technologie avec deux prises de vues simultanées sur l’étudiant (webcam+appli smartphone) » et Evalbox, qui propose « des algorithmes d’analyse comportementale pour détecter les comportements suspicieux » ;

– TestWe, solution qui revient souvent dans les média, offre un système de photographie de la carte d’étudiant ou d’identité par webcam « pour vérifier que la bonne personne est en face de l’écran ». Son PDG, Benoît Sillard, se vante également de mettre « en place actuellement un système à double caméras, celle de l’ordinateur qui filme par l’avant, et celle de votre smartphone qui filme l’ensemble de la pièce, pour vérifier qu’il n’y a pas un deuxième ordinateur ou quelqu’un en train de vous souffler » ;

– et enfin Smowl qui « utilise un algorithme de reconnaissance automatique des visages pour vérifier l’identité de l’utilisateur en ligne et un système qui détecte les comportements incorrects ».

Ces services ne sont malheureusement pas nouveaux et sont déjà utilisés par plusieurs établissements. Selon le document du ministère, c’est notamment le cas de l’Université de Caen-Normandie depuis 2017 et de Sorbonne Université (même s’il est difficile de connaître exactement la solution mise en place). Le contexte de la pandémie provoque une démultiplication leur utilisation et plus de 50 universités et écoles seraient en train d’envisager ce type de procédés.

Surveillance et discrimination

Ces dispositifs sont pourtant profondément intrusifs : ces logiciels bloquent les ordinateur des étudiant.es, déclenchent une double surveillance obligatoire de la webcam et de la caméra du téléphone et nécessitent quelquefois un enregistrement sonore. Mais il est également nécessaire de prendre en compte les profondes discriminations que ces outils risquent d’entraîner, notamment pour les étudiant·es n’ayant pas l’équipement adapté, ou un environnement propice à ce genre d’examens (la surveillance visuelle et sonore nécessite un lieu à soi, sans bruits, etc.).

Ce sont bien ces mêmes arguments qui ont déjà été soulevés par le journal Le Poing (à ne pas confondre avec Le Point) qui souligne le « protocole aussi kafkaïen qu’orwellien, intrusif pour sa vie privée, et lourd de contrainte, en particulier pour les étudiants précaires » et le SNESUP-FSU (syndicat d’enseignement supérieur) qui dénonce ces dispositifs en considérant justement que « la plus grande liberté laissée aux établissements d’une dématérialisation complète des examens pouvant faire appel à de la télésurveillance, outre qu’elle se heurte à des problèmes techniques souvent insurmontables, facilite la réalisation par les établissements d’un suivi individualisé des enseignant·es, au mépris de leur liberté pédagogique, et accentue potentiellement l’inégalité des étudiant·es ».

Illégalités manifestes

Il est encore plus étonnant de voir le gouvernement recommander des solutions aussi manifestement illégales. Car en ce qui concerne le système de reconnaissance faciale ou d’enregistrement sonore d’une voix en particulier, l’article 9 du règlement général sur la protection des données (RGPD) interdit tout traitement de données biométriques « aux fins d’identifier une personne physique de manière unique » – ce qui est bien le cas ici. Et si cette interdiction de principe souffre quelques exceptions, aucune d’elle ne permet d’autoriser ce type d’outils (et sûrement pas le « consentement » de l’élève, qui doit être libre, c’est-à-dire non contraint…).

De manière générale, outre que personne ne devrait être forcé à une surveillance constante par sa webcam ou son téléphone, les solutions décrites ci-dessus ne sont en aucun cas « adéquates, pertinentes et limitées à ce qui est nécessaire » comme le recommande pourtant le RGPD (article 5) – Nous ne voyons pas ici quel objectif rendrait licite une surveillance d’une telle intensité. Ce qui rend la plupart de ces dispositifs simplement illégaux.

Voir le gouvernement recommander de telles solutions illustre sa fuite systématique vers la surveillance numérique. Fuite que nous appelons les établissements d’enseignement à ne pas suivre en renonçant à ces dispositifs invasifs

Recommander ces méthodes est d’autant plus dommageable que des alternatives existent, comme l’annulation ou le report des examens, ou plus simplement le passage d’une évaluation en contrôle terminal à une évaluation en contrôle continu. Mieux encore : cette situation inédite peut être l’occasion de préférer de véritables innovations pédagogiques à de pseudo-innovations techniques. Plutôt que de fonder l’évaluation sur la crainte de la triche, il serait ainsi possible d’évaluer élèves et étudiant·e·s sur leurs compétences, d’aménager individuellement les évaluations, ou de recourir à l’auto-évaluation supervisée.

]]> https://www.laquadrature.net/?p=15843http://isyteck.com/autoblog/quadrature/index.php5?20200429_175840_Que_penser_du_protocole_de_tra__age_des_GAFAM___Wed, 29 Apr 2020 15:58:40 +0000Tribune de Guinness, doctorante en informatique et membre de La Quadrature du Net

À l’heure où toutes les puissances de la planète se mettent à réfléchir à des solutions de traçage de contact (contact tracing), les GAFAM sautent sur l’occasion et Apple et Google proposent leur propre protocole.
On peut donc se poser quelques minutes et regarder, analyser, chercher, et trouver les avantages et les inconvénients de ce protocole par rapport à ses deux grands concurrents, NTC et DP-3T, qui sont similaires.

Commençons par résumer le fonctionnement de ce protocole. Je me base sur les documents publiés sur le site de la grande pomme. Comme ses concurrents, il utilise le Bluetooth ainsi qu’un serveur dont le rôle est de recevoir les signalements de personnes infecté·es, et de communiquer aux utilisateurices de l’application les listes des personnes infectées par SARS-Cov2 qu’elles auraient pu croiser.

Mais commençons par le début.

Le protocole utilisant de nombreux protocoles et fonctions cryptographiques, et étant assez long, je ne vais pas l’expliquer en détail, et si vous voulez plus d’informations, vous pouvez vous référer à la note en bas de page.¹L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TIN_j qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TIN_j du quart d’heure en cours.
Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.

Pour faire simple, on génère initialement une clef (Tracing Key ou TK), qu’on utilise chaque jour pour calculer une nouvelle clef (Daily Tracing Key ou DTK), qu’on utilise elle-même toutes les 15 minutes pour calculer une troisième clef (Rolling Proximity Identifier ou RPI), qu’on va appeler la «clef roulante de proximité», qui sera diffusée avec le Bluetooth.
Ce qu’il faut retenir, c’est que l’identifiant qui est diffusé via le Bluetooth change toutes les 15 minutes, et qu’il est impossible en pratique de déduire l’identité d’une personne en ne connaissant que cet identifiant ou plusieurs de ces identifiants.

Par ailleurs, si on se déclare comme malade, on envoie au serveur central la liste des paires (DTK, jour de création de la DTK) des 14 derniers jours, et de même pendant les 14 jours suivants. Cet ensemble forme ce qu’on appelle la clef de diagnostic.



Cryptographie

D’un point de vue cryptographique, tous les spécialistes du domaine (Anne Canteaut, Leo Colisson et d’autres personnes, chercheureuses au LIP6, Sorbonne Université) avec lesquels j’ai eu l’occasion de parler sont d’accord : les algorithmes utilisés sont bien connus et éprouvés. Pour les spécialistes du domaine, la documentation sur la partie cryptographique explique l’utilisation des méthodes HMAC et HKDF avec l’algorithme de hashage SHA256. Les clefs sont toutes de taille suffisante pour qu’on ne puisse pas toutes les générer en les pré-calculant en créant une table de correspondance également appelée « Rainbow table » qui permettrait de remonter aux Tracing Keys . L’attaque envisagée ici consiste à générer le plus de TK possibles, leurs DTK correspondantes et lorsque des DTK sont révélées sur quelques jours, utiliser la table de correspondance pré-calculée pour remonter à la TK.

On peut faire un gros reproche cependant : la non-utilisation de sel (une chaîne de caractères aléatoires, différente pour chaque personne et définie une fois pour toutes, qu’on ajoute aux données qu’on hashe) lors de l’appel à HMAC pour générer les DTK, ce qui est une aberration, et pire encore, aucune justification n’est donnée par Apple et Google.

Respect de la vie privée et traçage

Quand on écrit un protocole cryptographique, selon Apple et Google « with user privacy and security central to the design » (Traduction : « avec le respect de la vie privée de l’utilisateurice et la sécurité au centre de la conception »), on est en droit de chercher tous les moyens possibles de récupérer un peu d’information, de tracer les utilisateurices, de savoir qui iels sont.

Premier problème : La quantité de calcul demandée aux clients

À chaque fois que le téléphone du client récupère la liste des clefs de diagnostic des personnes déclarées malades, il doit calculer tous les RPI (96 par jour, faites moi confiance c’est dans le protocole, 96 * 15 min = 24 h) de toutes les clefs pour tous les jours. On peut imaginer ne récupérer que les nouvelles données chaque jour, mais ce n’est pas spécifié dans le protocole. Ainsi, au vu de la quantité de personnes infectées chaque jour, on va vite se retrouver à court de puissance de calcul dans le téléphone. On peut même s’imaginer faire des attaques par DoS (déni de service) en insérant de très nombreuses clefs de diagnostic dans le serveur pour bloquer les téléphones des utilisateurices.

En effet, quand on se déclare positif, il n’y a pas d’information ajoutée, pas d’autorité qui assure que la personne a bien été infectée, ce qui permet à tout le monde de se déclarer positif, en faisant l’hypothèse que la population jouera le jeu et ne se déclarera positive que si elle l’est vraiment.

Deuxième problème : Le serveur principal

Un design utilisant un serveur centralisé (possédé ici par Apple et Google), qui a donc accès aux adresses IP et d’autres informations de la part du client gagne beaucoup d’informations : il sait retrouver quel client est infecté, avoir son nom, ses informations personnelles, c’est-à-dire connaître parfaitement la personne infectée, quitte à revendre les données ou de l’espace publicitaire ciblé pour cette personne. Comment cela se passe-t-il ? Avec ses pisteurs embarqués dans plus de 45% des applications testées par Exodus Privacy, pisteurs qui partagent des informations privées, et qui vont utiliser la même adresse IP, Google va pouvoir par exemple recouper toutes ces informations avec l’adresse IP pour savoir à qui appartient quelle adresse IP à ce moment.

Troisième problème : Traçage et publicité

Lorsqu’on est infecté⋅e, on révèle ses DTK, donc tous les RPI passés. On peut donc corréler les partages de RPI passés avec d’autres informations qu’on a.

Pour aller plus loin, nous avons besoin d’introduire deux notions : celle d’adversaire actif, et celle d’adversaire passif. L’adversaire actif tente de gagner activement de l’information, en essayant de casser de la cryptographie, de récupérer des clefs, des identifiants. Nous avons vu précédemment qu’il a fort peu de chance d’y arriver.
L’adversaire passif quant à lui se contente de récupérer des RPIs, des adresses physiques de puces Bluetooth, et d’essayer de corréler ces informations.

Ce dernier type d’adversaire a existé et existe encore . Par exemple, la ville de Londres a longtemps équipé ses poubelles de puces WiFi, permettant de suivre à la trace les smartphones dans la ville. En France, l’entreprise Retency, ou encore les Aéroports de Paris font la même chose avec le Bluetooth. Ces entreprises ont donc des réseaux de capture de données, et se révéler comme positif à SARS-Cov2 permet alors à ces entreprises, qui auront capté les RPIs envoyés, de pister la personne, de corréler avec les données de la publicité ciblée afin d’identifier les personnes infectées et donc revendre des listes de personnes infectées.
On peut aussi imaginer des implémentations du protocole qui stockent des données en plus de celles demandées par le protocole, telles que la localisation GPS, ou qui envoient des données sensibles à un serveur tiers.

D’autres attaques existent, dans le cadre d’un adversaire malveillant, mais nous ne nous attarderons pas dessus ; un article publié il y a quelques jours (en anglais) les décrit très bien : https://eprint.iacr.org/2020/399.pdf.

Nous pouvons ainsi voir que, même si le protocole est annoncé comme ayant la sécurité et le respect de la vie privée en son centre, il n’est pas exempt de défauts, et il y a même, à mon avis, des choix techniques qui ont été faits qui peuvent permettre le traçage publicitaire même si on ne peut en prouver la volonté. Alors même que tous les pays du monde sont en crise, et devraient investir dans du matériel médical, dans du personnel, dans les hôpitaux, dans la recherche de traitements contre SARS-Cov2, ils préfèrent se tourner vers un solutionnisme technologique qui non seulement n’a aucune assurance de fonctionner, mais qui également demande que plus de 60 % de la population utilise l’application pour être efficace (voir cet article pour plus d’informations).
D’autant plus qu’une telle application ne peut être efficace qu’avec un dépistage massif de la population, ce que le gouvernement n’est actuellement pas en état de fournir (à raison de 700k tests par semaine, tel qu’annoncé par Édouard Philippe dans son allocution du 28 avril, il faudrait environ 2 ans pour dépister toute la population).

Pour plus d’informations sur les possibles attaques des protocoles de contact tracing, en particulier par des adversaires malveillants, je vous conseille l’excellent site risques-tracage.fr écrit par des chercheureuses INRIA spécialistes du domaine.

References   [ + ]

1.

↑

L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key. Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits. Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours. Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ? L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic. Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.

]]> https://www.laquadrature.net/?p=15839http://isyteck.com/autoblog/quadrature/index.php5?20200427_155813_La_CNIL_s___arrete_a_mi-chemin_contre_StopCovidMon, 27 Apr 2020 13:58:13 +0000L’application StopCovid ne fera finalement pas l’objet d’un vote à l’Assemblée nationale, le gouvernement se refusant à tout risque de vote contraire à sa volonté. Pourtant, les prises de position s’accumulent contre elle et son avenir semble chaque jour plus incertain.

Hier, la CNIL a rendu son avis à son sujet. Contrairement au Conseil national du numérique (CNNum) qui s’est prononcé vendredi en faveur de l’application, la CNIL n’a pas entièrement fui le débat : elle exige que le gouvernement démontre l’utilité concrète de StopCovid, ce qu’aucune étude ou analyse ne soutient actuellement. Hélas, alors que la CNIL aurait dû s’arrêter à ce simple constat pour demander l’arrêt de ce dangereux et inutile projet, elle s’est égarée dans le faux-débat tendu par le gouvernement : rechercher des « garanties », forcément illusoires, pour encadrer l’application.

Une nécessité non démontrée

L’idée au cœur du droit des libertés fondamentales est que, par principe, il est interdit de limiter nos libertés. Elles ne peuvent l’être que par exception, et uniquement en démontrant qu’une telle limitation est utile à un intérêt supérieur, telle que la santé publique dans notre cas. Hier, la CNIL a rappelé ce principe cardinal, qu’elle applique naturellement de longue date. Par exemple, dans son avis sur les portiques de reconnaissance faciale dans des lycées de la région Sud, elle avait bien rappelé qu’il revenait au responsable de traitement de données« d’évaluer la nécessité et la proportionnalité du traitement envisagé ». Un tel raisonnement l’avait conduit à considérer que le projet de reconnaissance faciale était contraire au RGPD, car la région n’avait pas démontré cette nécessité.

Il ne fait pas de doute que StopCovid est une mesure limitant les libertés fondamentales, ce que la CNIL reconnaît facilement : risques d’attaques malveillantes, de discriminations, d’accoutumance à la surveillance constante, de dévoiement par le gouvernement. La CNIL exige donc que les prétendus bienfaits sanitaires de l’application soient démontrés avant que celle-ci ne soit déployée, ce qui fait jusqu’ici défaut. La rigueur du raisonnement de la CNIL tranche nettement avec l’avis du CNNum, qui conclut en faveur de StopCovid hors de toute méthode d’analyse sérieuse.

Toutefois, il faut regretter que la CNIL se soit arrêtée là, sans conclure et répondre elle-même à la question qu’elle a si justement posée. Si aucun élément factuel ne prouve l’efficacité d’une technique qu’elle reconnaît pourtant comme attentatoire aux libertés fondamentales, la mission de la CNIL est de déclarer celle-ci illégale. Déclarer illégaux des traitements de données injustifiés est une des missions centrales qui justifient l’existence de la CNIL.

Mais, refusant de tenir son rôle, la CNIL s’est ensuite perdue dans le débat vain souhaité par le gouvernement : chercher à tâtons les garanties pouvant encadrer cette pratique. Pourtant, les conditions pour que StopCovid respecte nos libertés sont impossibles à remplir. L’essence même du « traçage de contact », automatique comme manuel, rend impossible l’anonymat, et le contexte de crise sanitaire rend irréaliste la garantie d’un consentement libre.

Un anonymat impossible

Cédric O affirme que les données traitées par StopCovid « seraient anonymes ». De même, Bruno Sportisse, directeur de l’INRIA chargé du protocole ROBERT sur lequel reposera l’application, affirme que celle-ci serait « totalement anonyme ».

En pratique, une application anonyme n’aurait aucun intérêt : l’application doit envoyer à des personnes ciblées des alertes du type « vous avez été au contact de personnes malades, mettez-vous en quarantaine ». Du moment que chaque alerte est envoyée à des personnes ciblées, le système n’est plus anonyme : trivialement, il suffit qu’un tiers (un patron, un conjoint, etc.) puisse consulter votre téléphone pour constater que vous avez reçu une alerte. Des chercheu·ses de l’INRIA ont produit une excellente liste de quinze scénarios de ce type, démontrant à quel point il était simple de lever ce prétendu « anonymat ».

Hélas, le CNNum s’enfonce dans le déni de réalité et continue de prétendre que « les utilisateurs de l’application ne peuvent pas se réidentifier entre eux ». Dans une étrange note de bas de page, l’avis du CNNum admet que cette affirmation est peut-être fausse puis renvoie vers les scénarios de l’INRIA. Voilà la triste posture du CNNum : mentir dans le corps du texte et s’excuser en pied de page, en petits caractères.

De son côté, heureusement, la CNIL est plus honnête et ne cache pas ces failles : les données traitées par StopCovid sont des pseudonymes ré-identifiables. Mais elle refuse d’en tirer la moindre conséquence effective. Après avoir exigé quelques mesures de sécurité nécessaires qui ne changeront pas le fond du problème, elle semble se bercer dans l’illusion que le droit serait une garantie suffisante pour empêcher que ce pseudonymat si fragile ne soit levé. Au final, sa seule « garantie » n’est rien d’autre que ce cher RGPD que la CNIL échoue à faire respecter depuis deux ans, quand elle ne s’y refuse pas carrément (lire notre article sur les cookies publicitaires).

Un consentement impossible

Tout comme l’utilisation faussée de la notion de données « anonymes », le gouvernement fonde la création de StopCovid sur le fait que l’application serait installée « volontairement ». Une telle présentation est encore mensongère : matériellement, l’État ne pourra pas s’assurer que l’application ne soit pas imposée par des tiers.

Si des employeurs, des restaurants ou des centres d’hébergement exigent que leurs salariés ou usagers utilisent StopCovid, que va faire Cédric O ? Leur envoyer la police pour forcer le passage ? Si la pression vient de la famille ou des amis, que va faire la CNIL ? Leur imposer des amendes en violation du RGPD – qu’encore une fois elle ne fait déjà pas respecter avec énormément de sites internet ?

L’urgence est partout ailleurs

Comme nous ne cessons de le répéter, il est urgent que ce débat prenne fin, par le rejet de ce projet. L’attention du public, du Parlement et de la recherche doit se rediriger vers les nombreuses autres solutions proposées : production de masques, de tests, traçage de contacts réalisé par des humains, sans avoir à réinventer la roue. Leur efficacité semble tellement moins hasardeuse. Surtout, contrairement à StopCovid, ces solutions ne risquent pas de légitimer sur le long terme l’ensemble de la Technopolice, qui cherche depuis des années à rendre acceptable la surveillance constante de nos corps dans l’espace public par la reconnaissance faciale, les drones ou la vidéo automatisée.

Les 28 et 29 avril, dans le cadre des mesures de déconfinement, l’Assemblée nationale débattra de StopCovid, sans toutefois voter spécifiquement à son sujet. L’Assemblée doit exiger la fin de cette application. Rendez-vous sur cette page pour contacter les député·es.

]]> https://www.laquadrature.net/?p=15820http://isyteck.com/autoblog/quadrature/index.php5?20200425_184742_____StopCovid_est_un_projet_desastreux_pilote_par_des_apprentis_sorciers____Sat, 25 Apr 2020 16:47:42 +0000Nous reproduisons, avec l’accord de leurs auteurs, la tribune parue aujourd’hui dans le quotidien Le Monde concernant l’application StopCovid, écrite par Antonio Casilli, Paul-Olivier Dehaye, Jean-Baptiste Soufron, et signée par UGICT-CGT et La Quadrature du Net. Le débat au parlement se déroulera le 28 avril et nous vous invitons à contacter votre député⋅e pour lui faire part de votre opposition au projet et de lui demander de voter contre.

Tribune. Le mardi 28 avril, les parlementaires français seront amenés à voter sur StopCovid, l’application mobile de traçage des individus imposée par l’exécutif. Nous souhaitons que, par leur vote, ils convainquent ce dernier de renoncer à cette idée tant qu’il est encore temps. Non pas de l’améliorer, mais d’y renoncer tout court. En fait, même si toutes les garanties légales et techniques étaient mises en place (anonymisation des données, open source, technologies Bluetooth, consentement des utilisateurs, protocole décentralisé, etc.), StopCovid serait exposée au plus grand des dangers : celui de se transformer sous peu en « StopCovid Analytica », une nouvelle version du scandale Cambridge Analytica [siphonnage des données privées de dizaines de millions de comptes Facebook].

L’application StopCovid a été imaginée comme un outil pour permettre de sortir la population française de la situation de restriction des libertés publiques provoquée par le Covid-19. En réalité, cette « solution » technologique ne serait qu’une continuation du confinement par d’autres moyens. Si, avec ce dernier, nous avons fait l’expérience d’une assignation à résidence collective, les applications mobiles de surveillance risquent de banaliser le port du bracelet électronique.

Tous les citoyens, malades ou non

Le terme n’est pas exagéré : c’est déjà le cas à Hong-Kong, qui impose un capteur au poignet des personnes en quarantaine, et c’est l’objet de tests en Corée du Sud et au Liechtenstein pour certaines catégories de citoyens à risque. StopCovid, elle, a vocation à être installée dans les smartphones, mais elle concerne tous les citoyens, malades ou non. Malgré le fait que son installation soit présentée comme facultative dans d’autres pays, tels l’Italie, on assiste à la transformation de cette démarche volontaire en obligation.

L’affaire Cambridge Analytica, révélée au grand jour en 2018, avait comme point de départ les travaux de chercheurs de l’université anglaise. Une application appelée « Thisisyourdigitallife », présentée comme un simple quiz psychologique, avait d’abord été proposée à des utilisateurs de la plate-forme de microtravail Amazon Mechanical Turk. Ensuite, ces derniers avaient été amenés à donner accès au profil Facebook de tous leurs contacts. C’était, en quelque sorte, du traçage numérique des contacts avant la lettre.

A aucun moment ces sujets n’avaient consenti à la réutilisation de leurs informations dans le cadre de la campagne du Brexit ou dans l’élection présidentielle de Donald Trump. Cela est arrivé ensuite, lorsque les chercheurs ont voulu monétiser les données, initialement collectées dans un but théoriquement désintéressé, par le biais de l’entreprise Cambridge Analytica. En principe, cette démarche respectait les lois des différents pays et les règles de ces grandes plates-formes. Néanmoins, de puissants algorithmes ont été mis au service des intérêts personnels et de la soif de pouvoir d’hommes politiques sans scrupule.

Les mêmes ingrédients sont réunis ici : des scientifiques « de bonne volonté », des géants de la « tech », des intérêts politiques. Dans le cas de StopCovid, c’est le consortium universitaire européen Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), qui a vu le jour à la suite de la pandémie. Ces scientifiques se sont attelés à la tâche de concevoir dans l’urgence le capteur de contacts le plus puissant, dans le respect des lois. Cela s’articule avec les intérêts économiques d’acteurs privés, tels les grands groupes industriels nationaux, le secteur automobile et les banques en Italie, les télécoms et les professionnels de l’hébergement informatique en France. Mais surtout les GAFA, les géants américains du numérique, se sont emparés du sujet.

Cette fois, ce ne sont pas Facebook et Amazon, mais Google et Apple, qui ont tout de suite proposé de fournir une nouvelle structure pour diffuser les applications de suivi de contacts sur leurs plates-formes. La menace qui plane au-delà de tous ces acteurs vient des ambitions de certains milieux politiques européens d’afficher leur détermination dans la lutte contre le Covid19, en se targuant d’une solution technique à grande échelle, utilisant les données personnelles pour la « campagne du déconfinement ».

Une myopie sur les dimensions sociales des données

Le projet StopCovid n’offre aucune garantie sur les finalités exactes de la collecte de ces données. L’exécutif français ne s’autorise pas à réfléchir à la phase qui suit la collecte, c’est-à-dire au traitement qui sera fait de ces informations sensibles. Quels algorithmes les analyseront ? Avec quelles autres données seront-elles croisées sur le moyen et le court terme ? Son court-termisme s’accompagne d’une myopie sur les dimensions sociales des données.

Que se passerait-il si, comme plusieurs scientifiques de l’Inria, du CNRS et d’Informatics Europe s’époumonent à nous le dire, malgré une collecte initiale de données réduite au minimum, des entreprises ou des puissances étrangères décidaient de créer des « applications parasites » qui, comme Cambridge Analytica, croiseraient les données anonymisées de StopCovid avec d’autres bases de données nominatives ? Que se passerait-il, par exemple, si une plate-forme de livraison à domicile décidait (cela s’est passé récemment en Chine) de donner des informations en temps réel sur la santé de ses coursiers ? Comment pourrait-on empêcher un employeur ou un donneur d’ordres de profiter dans le futur des données sur l’état de santé et les habitudes sociales des travailleurs ?

L’affaire Cambridge Analytica nous a permis de comprendre que les jeux de pouvoir violents et partisans autour de la maîtrise de nos données personnelles ont des conséquences directes sur l’ensemble de la vie réelle. Il ne s’agit pas d’une lubie abstraite. Le cas de StopCovid est tout aussi marquant. En focalisant des ressources, l’attention du public et celle des parlementaires sur une solution technique probablement inefficace, le gouvernement nous détourne des urgences les plus criantes : la pénurie de masques, de tests et de médicaments, ou les inégalités d’exposition au risque d’infection.

Une malheureuse diversion

Cette malheureuse diversion n’aurait pas lieu si le gouvernement n’imposait pas ses stratégies numériques, verticalement, n’étant plus guidé que par l’urgence de faire semblant d’agir. Face à ces enjeux, il faudrait au contraire impliquer activement et à parts égales les citoyens, les institutions, les organisations et les territoires pour repenser notre rapport à la technologie. Le modèle de gouvernance qui accompagnera StopCovid sera manifestement centré dans les mains d’une poignée d’acteurs étatiques et marchands. Une telle verticalité n’offre aucune garantie contre l’évolution rapide de l’application en un outil coercitif, imposé à tout le monde.

Ce dispositif entraînerait un recul fondamental en matière de libertés, à la fois symbolique et concret : tant sur la liberté de déplacement, notamment entre les pays qui refuseraient d’avoir des systèmes de traçage ou qui prendront ce prétexte pour renforcer leur forteresse, que sur la liberté de travailler, de se réunir ou sur la vie privée. Les pouvoirs publics, les entreprises et les chercheurs qui dans le courant des dernières semaines sont allés de l’avant avec cette proposition désastreuse, ressemblent à des apprentis sorciers qui manient des outils dont la puissance destructrice leur échappe. Et, comme dans le poème de Goethe, quand l’apprenti sorcier n’arrive plus à retenir les forces qu’il a invoquées, il finit par implorer une figure d’autorité, une puissance supérieure qui remette de l’ordre. Sauf que, comme le poète nous l’apprend, ce « maître habile » ne reprend ces outils « que pour les faire servir à ses desseins ».

Antonio Casilli, sociologue.
Paul-Olivier Dehaye, mathématicien.
Jean-Baptiste Soufron, avocat.
Cosignataires : Sophie Binet et Marie-José Kotlicki, cosecrétaires généraux de l’UGICT-CGT ; Raquel Radaut, membre de La Quadrature du Net.

]]> https://www.laquadrature.net/?page_id=15792http://isyteck.com/autoblog/quadrature/index.php5?20200424_151627_Rejetons_StopCovid_____Contactons_les_deputesFri, 24 Apr 2020 13:16:27 +0000Le 28 avril 2020, l’Assemblée nationale débattra pour rendre son avis sur le projet d’application StopCovid du gouvernement. Cette application risque d’être inefficace d’un point de vue sanitaire (voire contre-productive) tout en créant de graves risques pour nos libertés : discriminations de certaines personnes et légitimation de la surveillance de nos corps dans l’espace public (reconnaissance faciale, drone et toute la Technopolice).

Quelques textes à lire pour bien comprendre le sujet :

• le résumé de nos arguments ;
• notre position commune avec l’Observatoire de Libertés et du Numérique ;
• la fiche pédagogique de chercheu·ses de l’INRIA pour expliquer les limitations techniques ;
• la série d’analyses de NextInpact ;
• les prises de position diffusées via Framasoft.

Contactons les député·es pour leur demander de mettre fin à ce débat inutile et dangereux.

Au hasard parmi les députés de tous les groupes
et de tous les départements


( – )





Député suivant >



]]> https://www.laquadrature.net/?p=15777http://isyteck.com/autoblog/quadrature/index.php5?20200417_142132_Parcoursup____fin_partielle_de_l___omerta_sur_les_algorithmes_locauxFri, 17 Apr 2020 12:21:32 +0000Dans sa décision QPC du 3 avril dernier, le Conseil constitutionnel a estimé que les algorithmes locaux, utilisés par les Universités pour sélectionner les étudiant·es dans le cadre de la procédure Parcoursup, doivent faire l’objet d’une publication après la procédure. Cette affaire, initiée par l’UNEF et dans laquelle La Quadrature du Net est intervenue, permet de lever – en partie – le voile sur l’opacité dangereuse des algorithmes qui sont utilisés de manière démesurée par l’État et ses administrations.

Parcoursup est une plateforme développée par le gouvernement et qui a pour objectif de gérer les vœux d’affectation des futur·es étudiant·es de l’enseignement supérieur. À ce titre, chaque établissement peut s’aider d’algorithmes (appelés « algorithmes locaux », car propres à chaque établissement) pour se faciliter le travail de comparaison entre les candidat·es. En pratique, il s’agit de simples feuilles de calcul. Les critères de ces algorithmes et leurs pondérations ne sont pas connu·es, et des soupçons de pratiques discriminatoires, notamment fondées sur le lycée d’origine des candidat·es, ont été émis par le Défenseur des droits. L’UNEF, syndicat étudiant, a alors demandé la communication de ces algorithmes locaux et, face au refus des Universités, s’est retrouvé devant le Conseil constitutionnel. La Quadrature du Net s’est jointe à l’affaire, et nous avons soutenu l’impératif de transparence.

En effet, jusqu’à présent, les juges administratifs et le Conseil d’État interprétaient la loi comme interdisant toute publication de ces algorithmes locaux, c’est-à-dire les critères utilisés et leurs pondérations. Le secret des délibérations était brandi pour refuser la transparence, empêchant ainsi de contrôler leur usage et la présence éventuelle de pratiques discriminatoires.

Dans sa décision, si le Conseil constitutionnel a considéré que la loi attaquée est conforme à la Constitution, il y a rajouté une réserve d’interprétation¹Une réserve d’interprétation est une clarification par le Conseil constitutionnel du sens de la loi, dans l’hypothèse où plusieurs lectures du texte auraient été possibles. La réserve d’interprétation permet de « sauver » un texte de loi en ne retenant qu’une interprétation conforme à la Constitution et en écartant toute autre lecture. : la liste exhaustive des critères utilisés par les Universités devra être publiée a posteriori. Cette réserve d’interprétation change radicalement le sens de la loi et c’est un début de victoire : elle crée une obligation de publication de l’ensemble des critères utilisés par les Universités, une fois la procédure de sélection terminée. En revanche, il est extrêmement regrettable que les pondérations appliquées à chaque critère ne soient pas couvertes par cette communication.

Autre point important, pour arriver à cette conclusion, le Conseil constitutionnel a dégagé un droit général de communication des documents administratifs, notion recouvrant les algorithmes²Pour rappel, c’est ce droit de communication que nous utilisons dans notre campagne Technopolice pour obtenir des documents sur les dispositifs de surveillance déployés par les communes.. Il a ainsi estimé que seul un intérêt général peut limiter ce droit à communication, et à condition que cette limitation soit proportionnée. C’est ainsi que, pour la procédure Parcoursup attaquée, il a estimé que ce droit serait bafoué s’il n’y avait pas communication des critères de sélection une fois la procédure de sélection terminée.

Cette décision pose un cadre constitutionnel clair en matière de communication des algorithmes : la transparence est la règle, l’opacité l’exception. Le Conseil constitutionnel a écarté les menaces de fin du monde brandies par le gouvernement et les instances dirigeantes du monde universitaire qui défendaient bec et ongles leur secret. S’il est déplorable que l’usage même de ces algorithmes pour fonder des décisions administratives n’ait pas été une seule fois questionné par le Conseil, ni les pondérations appliquées aux critères dans Parcoursup incluses dans l’obligation de communication, une nouvelle voie s’ouvre toutefois à nous pour attaquer certaines pratiques du renseignement, autre domaine où la transparence n’est pas encore acquise.

References   [ + ]

1.	↑	Une réserve d’interprétation est une clarification par le Conseil constitutionnel du sens de la loi, dans l’hypothèse où plusieurs lectures du texte auraient été possibles. La réserve d’interprétation permet de « sauver » un texte de loi en ne retenant qu’une interprétation conforme à la Constitution et en écartant toute autre lecture.
2.	↑	Pour rappel, c’est ce droit de communication que nous utilisons dans notre campagne Technopolice pour obtenir des documents sur les dispositifs de surveillance déployés par les communes.

]]> https://www.laquadrature.net/?p=15746http://isyteck.com/autoblog/quadrature/index.php5?20200414_164759_Nos_arguments_pour_rejeter_StopCovidTue, 14 Apr 2020 14:47:59 +0000MAJ : Mardi 28 avril, l’Assemblée Nationale commence son débat sur StopCovid. On vous a préparé une petite page pour contacter les député.es (par mail, Twitter) et lister quelques textes à lire sur le sujet. C’est ici !

Hier, Emmanuel Macron a invité le Parlement à débattre de l’éventuelle application StopCovid développée par son gouvernement. Nous venons d’envoyer aux parlementaires le résumé de nos arguments (PDF, 1 page), tel que repris ci-dessous.

L’application StopCovid serait inutile, dangereuse pour nos libertés et pourrait même aggraver la situation sanitaire. L’administration et le Parlement doivent cesser d’investir toute ressource humaine ou économique dans ce projet vain et dangereux. L’urgence est partout ailleurs.

Une efficacité hasardeuse

Utilisation trop faible

• de premières approximations évaluent que plus de 60%¹Le taux d’utilisation de 60% nécessaire pour une efficacité est très repris dans la presse française en s’appuyant sur cette étude, cela nous semble être une déduction assez vague de la figure 3 de l’étude, déjà nécessairement simplifiée par rapport à la réalité. Reste que pour espérer la moindre efficacité, il faudrait que l’application soit extrêmement performante pour identifier les contacts susceptibles d’avoir entraîné une contamination, la quarantaine successive très bien suivie, et également qu’il y ait un taux d’installation colossal de l’application., voire plutôt 80% ou 100% de la population devrait utiliser l’application pour que celle-ci soit efficace, à condition encore qu’elle produise des données fiables ;
• seulement 77% de la population française a un smartphone et cette proportion baisse à 44% pour les personnes de plus de 70 ans, alors qu’elles sont parmi les plus vulnérables ;
• beaucoup de personnes ne savent pas forcément activer le Bluetooth et certaines refusent de le maintenir activé en permanence pour des raisons pratiques (batterie) ou pour se protéger d’usages malveillants²Une grande partie des smartphones en utilisation ne sont pas équipés des dernières mises à jour de sécurité, or des failles dans le protocole Bluetooth ont été découvertes ces dernières années. ;
• 16% de la population de Singapour a utilisé l’application équivalente – ce qui n’a pas empêché de devoir finalement recourir au confinement.

Résultats trop vagues

• il faut redouter que la population n’ait pas accès à des tests de façon assez régulière pour se signaler de façon suffisamment fiable (et se reposer uniquement sur l’auto-diagnostic risquerait de faire exploser le nombre de faux-positifs) ;
• il ne semble n’y avoir aucun consensus quant à la durée et la distance de proximité justifiant d’alerter une personne entrée en « contact » avec une autre personne contaminée ;
• à certains endroits très densément peuplés (certains quartiers, grandes surfaces, grandes entreprises) on assisterait à une explosion des faux positifs, ce qui rendrait l’application inutile ;
• le champ de détection du Bluetooth semble beaucoup trop varier d’un appareil à un autre et sa précision n’est pas forcément suffisante pour offrir des résultats fiables³Selon l’analyse de l’ACLU : « Other open questions include whether Bluetooth is precise enough to distinguish close contacts given that its range, while typically around 10 meters, can in theory reach up to 400 meters, and that its signal strength varies widely by chips et, battery, and antenna design » (« D’autres questions restent ouvertes, par exemple celle de savoir si le Bluetooth est assez précis pour différencier les contacts proches, étant donné que sa portée, qui tourne en pratique autour de 10 m, peut atteindre en théorie 400 m et que la puissance du signal dépend beaucoup de la puce, de la batterie, et de l’antenne utilisées »)..

Contre-efficacité sanitaire

• en créant un faux sentiment de sécurité sanitaire, l’application pourrait inciter à réduire les gestes barrières, tout en échouant à lancer des alertes suffisamment fiables ;
• son développement requiert une énergie et un coût qui ne sont pas investis dans des solutions plus efficaces, comme la production de masques, le dépistage de la population ou la promotion des gestes barrières… ;
• le déploiement de systèmes de surveillance augmenterait le sentiment de défiance déjà important d’une partie de la population à l’égard de l’État. Ne sachant pas s’ils peuvent faire confiance au système mis en place, les potentiels malades pourraient se trouver incités à cacher leurs symptômes aux services de santé par peur de conséquences négatives.

Des libertés inutilement sacrifiées

Discriminations

• que ce soit en la rendant obligatoire, ou par une pression sociale trop importante, les personnes n’utilisant pas l’application risqueraient de ne plus pouvoir travailler ou accéder à certains lieux publics librement (voir déjà un exemple en Italie), rendant leur consentement non-libre et donc nul ;
• une hypothèse de discrimination particulièrement grave serait de faciliter l’accès aux tests sérologiques pour les personnes utilisant l’application.

Surveillance

• dans le cas où l’application serait adoptée par une partie de la population, il faut redouter que le gouvernement puisse l’imposer plus facilement au reste de la population, contre sa volonté ; nous constatons que toutes mesures sécuritaires et liberticides prises dans les temps « d’urgence » n’ont jamais été remises en cause – c’est l’effet cliquet qui participe à la défiance justifiée contre ces solutions de contrôle ;
• l’objectif de l’application (alerter des personnes ciblées) est par essence incompatible avec la notion juridique d’anonymat – il s’agit au mieux d’un pseudonymat, qui ne protège pas contre tout type de surveillance individuelle ;
• la publication du code de l’application sous une licence libre, ainsi que l’utilisation de méthodes de compilation reproductibles, seraient des exigences indispensables contre ces abus, mais elles-mêmes insuffisantes.

Acclimatation sécuritaire

• personne n’est capable de dire à l’avance pendant combien de temps l’application serait déployée ;
• une fois l’application déployée, il sera plus facile pour le gouvernement de lui ajouter des fonctions coercitives (contrôle individuel du confinement) ;
• l’application incite à soumettre son corps à une surveillance constante, ce qui renforcera l’acceptabilité sociale d’autres technologies, comme la reconnaissance faciale ou la vidéo surveillance automatisée, qui sont actuellement largement rejetées ;
• solutionnisme technologique : l’application renforce la croyance aveugle dans la technologie et la surveillance comme principales réponses aux crises sanitaires, écologiques ou économiques, alors qu’elles détournent au contraire l’attention des solutions : recherche scientifique, financement du service public…

L’utilisation d’une application dont les objectifs, les techniques et les conditions mêmes d’usage portent des risques conséquents pour notre société et nos libertés, pour des résultats probablement médiocres (voire contre-productifs), ne saurait être considérée comme acceptable pour nous – tout comme pour beaucoup de Français·es. Le temps médiatique, politique et les budgets alloués à cette fin seraient mieux utilisés à informer et protéger la population (et les soignant·es) par des méthodes à l’efficacité prouvée, telles que la mise à disposition de masques, de matériel médical et de tests.



References   [ + ]

1.	↑	Le taux d’utilisation de 60% nécessaire pour une efficacité est très repris dans la presse française en s’appuyant sur cette étude, cela nous semble être une déduction assez vague de la figure 3 de l’étude, déjà nécessairement simplifiée par rapport à la réalité. Reste que pour espérer la moindre efficacité, il faudrait que l’application soit extrêmement performante pour identifier les contacts susceptibles d’avoir entraîné une contamination, la quarantaine successive très bien suivie, et également qu’il y ait un taux d’installation colossal de l’application.
2.	↑	Une grande partie des smartphones en utilisation ne sont pas équipés des dernières mises à jour de sécurité, or des failles dans le protocole Bluetooth ont été découvertes ces dernières années.
3.	↑	Selon l’analyse de l’ACLU : « Other open questions include whether Bluetooth is precise enough to distinguish close contacts given that its range, while typically around 10 meters, can in theory reach up to 400 meters, and that its signal strength varies widely by chips et, battery, and antenna design » (« D’autres questions restent ouvertes, par exemple celle de savoir si le Bluetooth est assez précis pour différencier les contacts proches, étant donné que sa portée, qui tourne en pratique autour de 10 m, peut atteindre en théorie 400 m et que la puissance du signal dépend beaucoup de la puce, de la batterie, et de l’antenne utilisées »).

]]> https://www.laquadrature.net/?p=15734http://isyteck.com/autoblog/quadrature/index.php5?20200408_124359_La_crise_sanitaire_ne_justifie_pas_d___imposer_les_technologies_de_surveillanceWed, 08 Apr 2020 10:43:59 +0000Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 8 avril 2020,

Chacune des crises qui a marqué le 21e siècle ont été l’occasion d’une régression des libertés publiques. Les attentats terroristes du 11 septembre 2001 ont vu l’Europe adopter la Directive sur la rétention des données de connexions électroniques et l’obligation faite aux opérateurs de stocker celles de tous leurs clients. Les attentats terroristes qui ont touché la France en 2015 ont permis le vote sans débat de la loi renseignement. Ils ont aussi entraîné la mise en place de l’état d’urgence dont des mesures liberticides ont été introduites dans le droit commun en 2017.

La pandémie de Covid-19 menace d’entraîner de nouvelles régressions : discriminations, atteintes aux libertés, à la protection des données personnelles et à la vie privée…

Pour surveiller l’évolution de la pandémie, tenter d’y mettre fin et organiser la fin du confinement, les gouvernements de plusieurs pays européens proposent d’utiliser des outils numériques basés sur l’utilisation des données des téléphones portables en prenant exemple sur plusieurs pays d’Asie qui ont subi l’épidémie avant l’Europe (Chine, Corée du Sud, Taïwan, Singapour).

Deux logiques sont en œuvre : géolocaliser les populations et vérifier qu’elles respectent le confinement ; signaler aux personnes qu’elles ont pu être en contact avec des malades de la Covid-19.

En France, le 8 avril, le gouvernement a indiqué travailler sur une application pour téléphone portable, téléchargeable à titre volontaire, permettant que « lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique » [1].

Pistage des contacts (contact/backtracking)

Il est envisagé d’utiliser pour cela le Bluetooth, qui permet à deux appareils comme des téléphones portables, de se connecter lorsqu’ils sont à proximité[2]. Une application à installer (volontairement ou pas) permet aux porteurs de la Covid-19 de se signaler pour que les personnes ayant été à leur proximité soient informées sur leur téléphone portable qu’elles ont peut-être été en contact avec un porteur du virus, et qu’elles devront à leur tour rester confinées pour limiter la chaîne de contamination.

Quels sont les risques et les garanties nécessaires ?

Le Président de la République ayant déclaré que nous étions en guerre contre le virus, les mesures de restrictions des libertés nous sont présentées comme autant d’armes légitimes contre la pandémie.

Néanmoins, les utilisations envisagées de nos données personnelles (applications utilisant le Bluetooth pour le suivi des contacts) ou déjà mises en œuvre (géolocalisation) constituent une grave atteinte à nos libertés et ne sauraient être autorisées, ni utilisées sans notre consentement.

Pour que des données aussi sensibles puissent être utilisées légalement, nous devrions être informés du moment où ces données sont anonymisées, notre consentement devrait nous être demandé, des informations faciles à lire et à comprendre devraient nous être fournies pour permettre un consentement libre spécifique et éclairé. Des garanties devraient également être fournies sur les techniques utilisées pour rendre impossible leur ré-identification.

Concernant les applications de suivi des contacts, elle sont présentées comme peu dangereuses pour la confidentialité des données personnelles puisqu’il y aurait peu de collecte de données, mais essentiellement des connexions par Bluetooth d’un téléphone à un autre. C’est oublier que la notion de consentement libre, au cœur des règles de la protection des données, est incompatible avec la pression patronale ou sociale qui pourrait exister avec une telle application, éventuellement imposée pour continuer de travailler ou pour accéder à certains lieux publics. Ou que l’activation de ce moyen de connexion présente un risque de piratage du téléphone. Il est par ailleurs bien évident que l’efficacité de cette méthode dépend du nombre d’installations (volontaires) par les personnes, à condition bien sûr que le plus grand nombre ait été dépisté. Si pour être efficaces ces applications devaient être rendues obligatoires, « le gouvernement devrait légiférer » selon la présidente de la CNIL[3]. Mais on imagine mal un débat parlementaire sérieux dans la période, un décret ferait bien l’affaire ! Et qui descendra manifester dans la rue pour protester ?

L’atteinte au secret médical, à la confidentialité des données de santé, est aussi mis en cause, car ces applications offrent une possibilité d’identifier les malades et de les stigmatiser. Et qu’en sera-t-il de toutes les personnes qui n’auront pas installé l’application, seront-elles soupçonnées d’avoir voulu cacher des informations ?

Quant à celles qui ne possèdent pas de téléphone portable, elles risquent de subir une discrimination supplémentaire. Selon le CREDOC, seulement 44 % des « plus de 70 ans » possèdent un téléphone portable tandis que 14 % des Français ont des difficultés pour passer des appels ou envoyer des SMS[4]. De là à installer une application et en comprendre les alertes… Faudra-t-il les équiper d’un bracelet ou autre appareil électronique ?
Dès lors, l’atteinte au respect de la vie privée et au secret médical est susceptible d’être disproportionnée compte-tenu de l’inefficacité de la mesure en matière de santé publique.

En matière de lutte contre la pandémie et notamment de fin de confinement, il semble que le gouvernement tente de masquer ses manques et ses erreurs avec des outils technologiques présentés comme des solutions miracles. Et alors que leur efficacité n’a pas été démontrée, les dangers pour nos libertés sont eux bien réels.

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

—

[1] https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
[2]Technologie de réseaux sans fils d’une faible portée (10 à 100 mètres…) permettant de relier des appareils entre eux sans liaison filaire. Ils sont capables de se détecter sans intervention humaine s’ils sont à portée l’un de l’autre.
[3] Interview par l’AFP de la présidente de la CNIL, Marie-Laure Denis le 4 avril 2020
Question: Le gouvernement a-t-il la possibilité d’imposer ce type d’app, ou d’autres app visant à imposer le respect du confinement ?
Réponse: En France, les pouvoirs publics ont exclu à ce jour l’éventualité d’un recours à un dispositif obligatoire.
S’il devait en aller autrement, il serait nécessaire d’adopter un texte législatif pour mettre en œuvre ces dispositifs qui devraient en tout état de cause démontrer leur nécessité pour répondre à la crise sanitaire ainsi que leur proportionnalité par un respect des principes de la protection des données personnelles: la minimisation des données collectées, des finalités qui doivent être explicitées et précises, un caractère provisoire…
[4]https://www.credoc.fr/publications/barometre-du-numerique-2019

]]> https://www.laquadrature.net/?p=15722http://isyteck.com/autoblog/quadrature/index.php5?20200406_104944_Devenir_des_robots_pour_echapper_au_virus___Mon, 06 Apr 2020 08:49:44 +0000Tribune d’Arthur, juriste à La Quadrature du Net.

Les projets de traçage numérique contre le virus se précisent. Ferons-nous reposer la santé de la population sur notre « robotisation » ou, au contraire, sur notre humanité ?

Sonder son entourage

Mercredi dernier, le gouvernement a annoncé son projet de logiciel pour lutter contre le coronavirus après le confinement. L’idée semble très proche de ce qui a été expérimenté à Singapour : un logiciel pour smartphone vous permettrait de garder une trace des personnes croisées dans la journée et qui utilisent aussi l’application. La détection des personnes se ferait probablement par Bluetooth, sans avoir à enregistrer le lieu où vous les aurez croisées. Plus tard, si vous réalisez que vous êtes malade, le logiciel vous permettrait d’informer ces personnes pour les inviter à se mettre en quarantaine.

En théorie, ce modèle peut se passer de l’intervention d’une administration centrale, en ne reposant que sur la coopération volontaire entre individus. Il s’agit d’une des principales vertus mises en avant par ses promoteurs, en Asie comme en Europe. Ainsi, dans l’hypothèse où le gouvernement prendrait cette voie, on pourrait déjà se réjouir qu’il n’ait pas pris celle proposée par Orange, avec l’assentiment de la CNIL, visant à se passer entièrement de notre consentement.

Toutefois, si le modèle décrit ci-dessus semble simple en théorie, nous ignorons encore tout de la façon dont il sera déployé. Derrière les promesses d’une application décentralisée et autonome, il faut toujours redouter les terribles habitudes de l’État en matière de centralisation et de surveillance. La publication immédiate sous licence libre du code de l’application serait une garantie indispensable contre un tel dévoiement. Nous ne pouvons qu’être prudent en constatant que les autorités de Singapour, qui en avaient pourtant fait la promesse, n’ont toujours pas publié le code de leur application.

Cette application soulève d’autres difficultés juridiques mais le cœur du débat, politique, interroge l’évolution culturelle de notre société et son rapport à la technologie.

Un accord libre ?

Si l’application ne faisait rien sans notre accord et si son code était libre, serait-elle légale ? Le RGPD prévoit que le consentement n’est valide que s’il est « librement donné ». Ce n’est pas le cas si une personne « n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans ces conditions, l’hypothèse suivante ne serait pas conforme au RGPD : les personnes utilisant l’application sont autorisées à se déplacer librement, mais celles ne l’utilisant pas restent contraintes de rédiger une attestation de déplacement et de la soumettre au contrôle policier. Dans une telle hypothèse, le consentement ne serait pas donné librement, mais répondrait à la menace d’amendes lourdes et imprévisibles tant la police fait preuve d’arbitraire et de discriminations dans ces contrôles.

Si le gouvernement veut proposer une application licite, il devra entièrement rejeter cette hypothèse – hypothèse qui, heureusement, n’a pour l’heure pas été avancée. Enfin, même en rejetant cette hypothèse, y aurait-il encore à débattre de légalité de l’application ? Difficile de suivre un raisonnement uniquement juridique sans l’articuler à une réflexion politique : serons-nous socialement libres de refuser l’application ?

Une contrainte sociale

Les injonctions sanitaires ne viennent pas que du gouvernement, mais aussi d’une large partie de la population. Difficile de critiquer les injonctions actuelles qui invitent au confinement, mais que penser des injonctions futures, qui viendront après, lorsque la fin du confinement sera amorcée ?

Dans un monde déjà hyper-connecté, mis sous tension par la crise sanitaire, comment seront accueillies les personnes qui refuseront d’utiliser l’application ? Et celles qui, pour des raisons économiques, politiques ou en raison de handicap, n’ont tout simplement pas de smartphone ? Pourra-t-on aller travailler ou faire nos courses sans pouvoir attester de la bonne santé de nos fréquentations ? Nous laissera-t-on entrer dans tous les restaurants, centres d’accueil, bars, hôtels de jeunesse, boites de nuit, lieux de prière ou cinémas ?

De ces tensions sociales, il faut redouter un basculement culturel en faveur d’une surveillance massive de nos comportements hors-ligne. Il faut redouter l’exclusion sociale de celles et ceux qui refuseront de céder leur sociabilité et leur corps au contrôle et à l’efficacité biologique. De celles et ceux qui refuseront de devenir semblables à des machines, traçables et auditables en tout lieu.

Hélas, une telle évolution ne serait pas que sociale : l’industrie la prépare déjà depuis des années en déployant la reconnaissance faciale et la vidéo-surveillance automatisée dans nos villes. La Technopolice pourrait trouver dans cette crise sanitaire l’assise culturelle qui lui manquait tant.

Encore une fois, notre peur naturelle de mourir serait instrumentalisée, non plus seulement contre le terrorisme, mais désormais aussi contre la maladie. Nous sommes habitués à ces faux-chantages et ne sommes pas dupes. Dans le futur, notre société pourrait connaître des crises bien pires que celles en cours et, quelles que soient les menaces, la mort nous fera toujours moins peur que leurs futurs dystopiques — qu’une vie sans liberté.

Dans tous les cas, ce choix n’a pas lieu d’être aujourd’hui. La défense des libertés ne s’oppose pas à notre santé. Au contraire, elles vont de pair.

L’humanité, meilleure soignante que la technopolice

Les logiciels proposés aujourd’hui ne sont que l’éternelle réitération du « solutionnisme technologique » que l’industrie techno-sécuritaire redéploie à chaque crise. Sauf que, aujourd’hui, ce serpent de mer autoritaire constitue aussi une menace sanitaire.

Les enjeux de santé publique exigent de maintenir la confiance de la population, que celle-ci continue d’interagir activement avec les services de santé pour se soigner et partager des informations sur la propagation du virus. Les technologies de surveillance, telle que l’application envisagée par le gouvernement, risquent de rompre cette confiance, d’autant plus profondément qu’elles seront vécues comme imposées.

Face à l’éventuelle crainte de perdre leurs emplois ou d’être exclues de lieux publics, une telle défiance pourrait conduire de nombreuses personnes à mentir, à cacher leurs symptômes ou ceux de leurs proches. La « surveillance » nous aura privé d’informations précieuses.

Pour éviter une telle situation, plutôt que de prendre la voie des robots — tracés et gérés comme du bétail —, nous devons reprendre la voie des humains – solidaires et respectueux. Tisser et promouvoir des réseaux de solidarité avec les livreurs, les étrangers, les sans-abris, les soignants, augmenter le nombre de lits à l’hôpital, de masques pour le public, de tests pour permettre aux personnes malades de savoir qu’elles sont malades, de prendre soin d’elles-mêmes et de leur entourage, en nous faisant confiance les-unes les-autres – voilà une stratégie humaine et efficace.

]]> https://www.laquadrature.net/?p=15713http://isyteck.com/autoblog/quadrature/index.php5?20200404_120556_Urgence_partout__Etat_nulle_partSat, 04 Apr 2020 10:05:56 +0000Tribune de Noémie, membre de La Quadrature du Net.

Nous traversons une crise inédite tant par rapport à son origine, une pandémie mondiale, qu’à ses conséquences, une paralysie mondiale. En France, le gouvernement y a répondu en déclarant l’état d’urgence sanitaire, une notion créée pour l’occasion. Dedans, il y a « état d’urgence ». Et pourtant, la gravité qui accompagne d’ordinaire ce terme semble résonner dans le vide.

L’état d’urgence c’est un état d’exception, un espace où l’ordre juridique construit depuis des dizaines d’années est écarté pour laisser la priorité à l’efficacité, une séquence où les gouvernants s’arrogent de nouveaux pouvoirs dérogatoires sans aucun contrôle. Un moment dangereux pour les libertés, alimenté par la peur.

Alors qu’on devrait redoubler de vigilance envers l’action de l’État, que des garde-fous devraient être mis en place, que la critique devrait être partout, une grande partie d’entre nous baissons la garde. Serait-ce l’adjectif « sanitaire » accolé à l’état d’urgence qui fait diversion ? Ou plutôt une stratégie d’opportunité du gouvernement ? Tentons une explication.

L’urgence invisible

Il faut déjà se souvenir que la France a été en état d’urgence de 2015 à 2017, de quoi accoutumer la population à ce concept et le vider de sa signification, aussi bien en théorie qu’en pratique. Avec l’état d’urgence permanent, le message transmis est que le danger n’est plus exceptionnel, il est constant, il est partout. C’est cette justification qui a été utilisée pour transposer ces mesures soit disant « exceptionnelles » dans la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » (ou loi « SILT »).

Mais ce n’est sûrement pas l’unique raison de cette difficile prise de conscience. En 2015, les évènements tragiques du 13 novembre ont constitué le point de départ de l’état d’urgence, dont la mise en place était censée répondre rapidement aux maux l’ayant causé.

Aujourd’hui la temporalité semble différente. Le gouvernement n’a pas attendu l’état d’urgence pour prendre la mesure exceptionnelle et inédite que constitue le confinement. Cette fois-ci, il existe bien un évènement traumatisant qui justifierait l’exception, mais il n’est pas derrière nous. Il est devant.

Qu’attendons-nous exactement ? La fin de l’épidémie ? La fin du confinement ? D’être malade à notre tour ? Et qu’entendons-nous par « crise » sanitaire ? Le nombre de décès ? De malades ? L’aspect inédit du virus ? Les retombées économiques et sociales pour la France ?

On le voit, les circonstances justifiant l’état d’urgence sont autour de nous mais demeurent impalpables, difficiles à circonscrire, et les évènements auxquels il prétend répondre s’inscrivent dans une chronologie mouvante. En réponse, toutes les mesures d’exception qui seront prises dans le cadre de cet état d’urgence auront pour but de limiter un phénomène dont les contours ne sont pas réellement tracés, le tout couplé à un rythme effréné, comme une course contre la montre face à une menace invisible.

Nous l’attendons et dans cette attente cumulée à la peur, les critiques provenant des militant·es, citoyen·nes ou politiques sont alors inaudibles ou bien rendues illégitimes.

Cette absence de contours de ce que nous somme censés « combattre » pourrait être une explication à pourquoi ce nouvel état d’urgence échappe à une majorité de la population, à pourquoi les nouvelles mesures liberticides que nous subissons peuvent tant se confondre avec un quotidien déjà exceptionnel où nos libertés de déplacement sont contrôlées. Mais surtout, cela donne au gouvernement un blanc-seing afin de prendre des mesures aux contours tout aussi flous, dès lors qu’elles seront prises au nom de la lutte contre la pandémie. Et lorsque le gouvernement prend un nombre record d’ordonnances en l’espace de quelques jours, il nous fait plutôt regarder des courbes et des chiffres. Cela relève moins du hasard que de la stratégie.

La diversion des chiffres

En 2015, les militaires Sentinelles qui tournaient dans les rues étaient censés rassurer les citoyens face à la menace terroriste, sans pour autant que leur efficacité concrète en cas d’attaque soit réellement avérée. Cette illusion servait surtout à nous rappeler que nous devions avoir peur et ainsi l’état d’urgence pouvait passer pour légitime. Aujourd’hui, ce sont les chiffres qui jouent ce rôle. De malades, de décès, de cas, de probabilité, de seuil, ils sont là pour informer en permanence sur les raisons de cet état d’exception, tenter de nous rassurer (mais est-ce vraiment rassurant ?) tout en nous faisant suffisamment peur pour que l’état d’urgence suive son cours sans heurt ni critiques. Mais sont-ils réellement utiles ?

En réalité, les chiffres apparaissent comme le seul outil permettant de donner un corps à ce phénomène invisible. Les chiffres deviennent ainsi le seul levier pour le gouvernement, avec la police (dont les dérives et violences habituelles sont d’autant plus visibles quand on lui donne un joujou de plus pour être arbitraire) pour maîtriser la situation, ou plutôt, de prétendre la maîtriser. Toute forme de données, de statistiques lui sont utiles pour sa communication, pour le rapport de force.

On nous martèle alors que les producteurs de données c’est nous, nos comportements, nos téléphones, nos déplacements. La tendance actuelle présente la collecte de nos données comme le recours ultime contre la pandémie, alors que leur efficacité n’est en rien certaine. Cette volonté de nous identifier comme des acteurs potentiels de cette crise, alors que nous sommes les sujets qui en subissent les mesures liberticides, est une pure fiction.

En quoi les statistiques seront-elles plus efficaces que les médecins, les infirmier·es., les aide-soignant·es, les étudiant·es, les ambulancier·es qui s’épuisent, jour et nuit, à sauver les personnes infectées ? En quoi le fait de se géolocaliser résoudra-t-il la pénurie de masques, de tests et de médicaments ? Pourquoi une application nous sauverait-elle plus que la solidarité humaine et les mesures de confinement ?

Les mesures de surveillance, via nos usages des technologies, que suggèrent nos gouvernants relèvent en réalité d’une stratégie pour détourner notre attention de la cause réelle du problème que constitue l’abandon de l’hôpital public. Ils tablent sur la culpabilisation des citoyens désireux d’agir pour faire adopter des outils toujours plus intrusifs et évitent soigneusement de mettre en lumière les multiples réseaux de solidarité qui se forment, les besoins criants des associations pour aider les plus précaires, les multiples critiques de notre mode de vie qui émergent même des plus libéraux. Plutôt que d’assumer les conséquences désastreuses d’une politique de santé défaillante, leur diversion consiste à inverser les rôles, à nous faire passer, nous, pour ceux qui refuseront d’aider les autres. Comme si nous devions être coupable de vouloir protéger notre vie privée, d’exprimer notre colère, ou simplement de suggérer des alternatives.

Une fois ces manœuvres identifiées, il appartient à chacun de percevoir cette crise selon son propre prisme, de décider de sa propre manière d’agir ou d’aider. Nous la vivons toutes et tous de manière différente et la solidarité n’impose pas de se ranger derrière la seule action de l’État comme il le laisse entendre. Au contraire, les expériences que nous traversons sont inquantifiables et multiples, souvent difficiles, mais probablement très fortes dans ce qu’elles font de notre rapport aux autres et à la société, une richesse qu’il nous faudra cultiver une fois ce moment douloureux passé.

]]> https://www.laquadrature.net/?p=15692http://isyteck.com/autoblog/quadrature/index.php5?20200401_174503_Covid-19____l___attaque_des_dronesWed, 01 Apr 2020 15:45:03 +0000À l’heure de la crise sanitaire, la France bascule dans un État policier. Et c’est l’occasion pour les forces de sécurité de déployer massivement leurs derniers gadgets sécuritaires. À travers le pays, la police déploie des drones pour contrôler l’application du confinement. Non seulement pour diffuser par haut-parleurs les directives du gouvernement, mais aussi pour surveiller la population, en orientant les patrouilles au sol et même en filmant celles et ceux qui leur échapperaient pour mieux les sanctionner après.

Ce déploiement inédit ressemble à une gigantesque opération de communication des autorités, qui mettent ainsi en avant leur arsenal technologique. Cette crise est instrumentalisée pour banaliser l’utilisation d’un outil de surveillance pourtant extrêmement attentatoire à nos libertés. Et le tout dans un cadre juridique flou, voire inexistant. L’État profite ainsi de l’état de sidération pour imposer ses technologies policières.

Christophe Castaner a la mémoire courte. C’est sans doute la raison pour laquelle il n’a pas hésité, la semaine dernière, à expliquer que, si le gouvernement français s’était pour l’heure abstenu de se livrer à une surenchère en matière de surveillance numérique au cours de cette crise sanitaire, c’était parce que le traçage des données « n’est pas dans la culture française ». Oubliés les bons et loyaux services de l’opérateur télécom Orange qui propose de surveiller illégalement ses abonnés pour le compte des autorités ? Oubliés aussi, les programmes de surveillance massifs des services de renseignement français ? Oubliés, le fichier TAJ ou les ventes d’armes numériques aux dictatures ?

Si, pour l’heure, le « traçage numérique » n’est pas la priorité du gouvernement pour lutter contre l’épidémie, reste le flicage tout court. Et dans cette matière, le ministère de l’Intérieur nous fait ces jours-ci une démonstration magistrale de son savoir-faire, n’hésitant pas à étaler ses dernières technologies sécuritaires. Il y a encore quelques semaines, les vidéos de drones qui survolaient des villes en Chine afin de faire respecter les consignes de gouvernement provoquaient en France incrédulité et inquiétude concernant les dangers de ce nouvel « arsenal technologique » pour les « libertés individuelles ». D’aucuns étaient tenté d’y voir une spécificité chinoise, le signe d’un État autoritaire. Moins de deux mois plus tard, tandis que chaque sortie de nos domiciles est conditionnée à une déclaration préalable, que nos déplacements font l’objet de contrôles systématiques, la police française déploie à son tour ces mêmes engins sur tout le territoire.

Il ne s’agit pourtant pas d’un outil anodin : robo-militarisation de l’espace public et aérien, pollution sonore, coût énergétique, danger pour les biens et personnes en cas de défaillance, accès non autorisé aux espaces privés, l’usage policier des drones démultiplie la surveillance.

Tour de France du déploiement des drones et de leurs usages

De rapides recherches donnent pourtant à voir plus d’une quinzaine d’exemples où les drones sont utilisés pour imposer le confinement décidé par le gouvernement et intimider la population. Et il ne s’agit pas seulement d’y brancher un haut-parleur pour diffuser les consignes des autorités, mais bien, à l’aide des caméras, de surveiller la population, de repérer les attroupements, de mieux verbaliser les contrevenants, d’orienter les patrouilles au sol et même, dans certains cas, de filmer les personnes échappant à la police pour mieux les sanctionner après. Petit tour de France de ce déploiement inédit :

A Paris, la préfecture a déployé plusieurs drones pour diffuser des messages incitant au confinement, le tout au sein d’un « dispositif complet de surveillance et de contrôle de l’espace public dans le cadre des mesures de confinement destinées à protéger la population de la transmission du coronavirus » ;

A Ajaccio, la police survole les plages avec un drone pour « prévenir, voire même verbaliser, ceux qui avaient oublié les consignes de confinement » ;

A Nice, un drone « muni d’une caméra et d’un haut-parleur accompagne (…) des patrouilles de la Police nationale » et devrait bientôt être déployé à Cannes ;

En Haute-Garonne, les gendarmes (…) | « peuvent désormais utiliser un drone pour s’assurer que les règles de confinement sont respectées par tous ». La gendarmerie « basée à Muret a pu contrôler 75 personnes et réaliser 10 procès-verbaux en trois opérations avec ce drone équipée d’une caméra avec zoom dont l’image est envoyée sur une tablette » ;

En Moselle-Sud, les drones permettent « de couvrir une zone étendue en quelques minutes et de pouvoir contrôler des endroits difficiles d’accès »

A Metz, c’est avec un drone que « les policiers du commissariat de Metz ont repéré les contrevenants qui ont, ensuite, été verbalisés ;

A Limoges, un drone a été prêté à titre gracieux à la police par les pompiers « afin de surveiller que les mesures de confinement sont respectées ». Ce drone leur « permet effectivement de voir si les gens respectent bien le confinement, s’ils respectent aussi l’espace entre eux (…) de concentrer les patrouilles et les contrôles dans les endroits où il y a des attroupements injustifiés » ;

A Nantes, la police utilise un drone avec caméra et haut-parleur « pour détecter d’éventuels contrevenants » et « faire une capture d’image si un individu venait par exemple à prendre la fuite » ;

A Montpellier, les drones servent « à faire des reconnaissances dans les quartiers sensibles à Montpellier où des délinquants ne respectent pas le confinement », leur but étant de « d’opérer une reconnaissance pour savoir si on a des points de fixation aux abords de certaines cités sensibles pour éviter des embuscades et envoyer les moyens adéquats » ;

A Rennes, où un droneavec caméra « informe, par radio, de la position des contrevenants au confinement à ses collègues patrouillant» ;

Dans le Grand Est, où un drone avec haut-parleur et caméra est utilisé pour faire respecter le confinement, et où la région dit disposer de « 18 drones de gendarmerie opérés par 30 télépilotes [qui] seront mis à contribution en fin de semaine ».

Et la liste s’allonge de jour en jour : dans le Val-d’Oise ou les Côtes-d’Armor, avec haut-parleur et caméra pour orienter les patrouilles, mais aussi à Marseille, Amiens, Lille, Granville, Saint-Malo…. Et un tel déploiement n’est évidemment pas exclusif à la France – il a malheureusement lieu en ce moment partout en Europe (c’est le cas au Royaume-Uni, en Espagne, au Portugal…).

Démultiplication des pouvoirs de la police

C’est un déploiement massif, d’une ampleur inédite, qui décuple le pouvoir de surveillance et de sanction de la police. L’autre conséquence est évidemment la banalisation et la normalisation d’un tel outil, déjà largement utilisé pour la surveillance des migrants et des manifestations. Une banalisation qui pousse chaque personne à s’habituer au survol des espaces publics par des machines. Les agents de police, quant à eux, découvrent un nouveau gadget dans leur arsenal et l’expérimentent comme bon leur semble. Un outil qui, pour les industries du secteur, n’a aujourd’hui plus rien d’ « exotique ».

Car les industriels de la sécurité ne sont évidemment jamais bien loin. Comme pour tout dispositif technopolicier, les autorités délèguent et confient une partie de leur pouvoir de police à des sociétés privés. À Nice, c’est en effet une start-up locale, « Drone 06 » qui fait patrouiller ses drones pour la police (en promettant de ne pas filmer elle-même). Et à Paris, c’est l’entreprise Flying Eye qui loue ses machines à la préfecture de police à travers un accord-cadre, son dirigeant indiquant même qu’il reçoit en ce moment « toutes les deux heures un appel pour me commander du matériel ». Alors que les services de santé sont exsangues, la police et ses partenaires privés profitent de la crise pour multiplier les investissements dans ce coûteux matériel.

Vide juridique

Il n’existe aujourd’hui aucun cadre juridique spécifique pour l’utilisation des drones par la police. Cela avait déjà été souligné en 2015, réaffirmé depuis, et c’est encore et toujours le cas aujourd’hui. En réalité, le seul cadre existant semble constitué de deux arrêtés du 17 décembre 2015, l’un portant sur les normes de conception des drones, et l’autre sur leur utilisation. Les règles fixées par ces deux arrêtés (autorisation préalable, hauteur de vol…) concernent aussi bien les drones à usage civil que ceux de la police. Néanmoins, l’arrêté sur l’utilisation des drones permet, pour des activités de police, de déroger totalement aux règles édictées : « Les aéronefs qui circulent sans personne à bord appartenant à l’État, affrétés ou loués par lui et utilisés dans le cadre de missions de secours, de sauvetage, de douane, de police ou de sécurité civile peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission et les exigences de l’ordre et de la sécurité publics le justifient »

Pour résumer, il suffit donc à la police de considérer que sa mission d’ « ordre » et de « sécurité publique » le justifie, pour ne respecter aucune règle quant à l’utilisation de drones dans l’espace public¹Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police..

C’est d’autant plus étonnant que le code de la sécurité intérieure prévoit des dispositions spécifiques pour la vidéosurveillance (« vidéoprotection » dans la novlangue d’État) mais également pour les caméras-piétons. L’encadrement de ces dernières avait d’ailleurs fait suite à la pression de la Cnil, en 2015, qui avait considéré, qu’au vu des nouveaux dangers que posaient les caméras-piétons pour la vie privée, « un encadrement légal, spécifique et adapté à de tels dispositifs, est nécessaire ». Aucun appel semblable n’a été fait pour les drones. En l’état du droit, ces déploiements dignes d’un État policier sont tout simplement inadmissibles.

À La Quadrature, nous serions évidemment enclins à attaquer en justice ces déploiements pour y mettre un coup d’arrêt. Mais un tel flou juridique rend plus difficile tout contentieux. Il nous est ainsi très difficile de trouver des autorisations, arrêtés ou autres actes administratifs autorisant ces déploiements, et que nous pourrions contester devant les juridictions (or, faute de tels actes, nos recours sont voués à l’échec)²Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.. D’ailleurs, si vous en trouvez, n’hésitez pas à nous le signaler sur le forum de notre campagne Technopolice.

References   [ + ]

1.	↑	Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police.
2.	↑	Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.

]]> https://www.laquadrature.net/?p=15671http://isyteck.com/autoblog/quadrature/index.php5?20200328_114300_Orange_recycle_son_service_de_geolocalisation_pour_la_pandemieSat, 28 Mar 2020 10:43:00 +0000Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au fil la journée). La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

Flux Vision

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance, chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identifier chaque personne, mais elles sont réalisées de façon plus ou moins légale.

Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion¹Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées..

La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement. Pour des raisons encore obscures²Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile. et sans aucune base légale, la CNIL tolère que les opérateurs téléphoniques violent la loi « dans le domaine du tourisme, de l’aménagement du territoire et du trafic routier ». En 2013, Orange avait pu profiter de cette situation mais, coincé entre l’illégalité et la tolérance de la CNIL, l’entreprise n’a plus proposé d’offre nouvelle depuis 7 ans.

Jusqu’à ce que l’occasion se présente enfin. Une crise sanitaire, un gouvernement défaillant, des stratégies à inventer, tout ce qu’il faut pour proposer un nouveau produit.

L’occasion de la crise

Le commissaire européen Thierry Breton, lui aussi, a vu l’occasion d’aider l’industrie qui l’a nourri : il a réuni les huit principaux opérateurs européens (Orange, Deutsche Telekom, Vodafone…) pour annoncer entre grands-techniciens non-médecins leur stratégie pour lutter contre la pandémie en surveillant la population. De quoi mettre en avant leurs offres commerciales.

Et justement, de son côté en France, le PDG d’Orange, Stéphane Richard, enchaîne les interventions média avec une stratégie qui semble assez claire : recycler son offre Flux Vision de 2013 pour la crise actuelle. Si Orange peut déjà informer les villes sur les mouvements de leurs touristes, il le pourra aussi pour leurs malades et leurs confinés. Et si Orange joue les bons élèves en temps de crise, il aura ouvert un nouveau marché durable. Il se sera même rapproché d’autres marchés similaires, encore peu avouables, que ce soit pour tracer les manifestant⋅es, les jeunes des quartiers pauvres, les sans-abris…

Une bien belle occasion pour se diversifier dans le sécuritaire.

Le soutien de la CNIL

Et que fait la CNIL ? Mediapart nous apprend qu’elle pousse le gouvernement vers certaines solutions qui, en pratique, sont principalement celles d’Orange.

Pour se justifier, la CNIL reprend le vocabulaire fallacieux d’Orange, qui se vante de fournir des statistiques « agrégées » afin de donner l’impression qu’il respecte la loi. Or, pour fournir des statistiques de déplacement « anonymes », Orange analyse d’abord des données personnelles, non-anonymes, sans le consentement des personnes. C’est illégal.

La CNIL aurait dû exiger qu’aucune statistique d’Orange ne puisse se fonder sur autre chose que des données purement techniques, sans lien avec les personnes, tel que le nombre de connexions aux antennes-relais. Par exemple, bien qu’on ne sache pas exactement comment Paris a évalué à 17% la baisse de sa population depuis le confinement, la ville aurait simplement pu comparer entre deux dates le nombre de connexions à ses antennes, démontrant qu’il n’est pas nécessaire de violer la loi pour produire des chiffres.

Une surveillance plus poussée

Hélas, la CNIL ne se contente pas de faire la promotion des offres commerciales d’Orange. Elle invite aussi le gouvernement à adopter une nouvelle loi dans l’hypothèse où il faudrait des mesures « plus poussées » – par exemple, cartographier chaque malade ou confiné, sans leur consentement. Pourtant, la directive ePrivacy interdit toute loi de ce type : les données de localisation ne peuvent être collectées sans le consentement des personnes que pour lutter contre les infractions (et seulement les crimes les plus graves, d’après les juges de l’UE) et non pour lutter contre la propagation d’un virus³Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».. Contrairement à ce qu’on peut lire dans la presse, le RGPD n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le pourrait. Elle l’interdit en l’espèce.

On aimerait croire que, si la CNIL invite le gouvernement à violer le droit européen, ce n’est pas simplement pour la grandeur industrielle du pays, mais aussi pour protéger notre santé. Sauf que ni la CNIL, ni Orange, ni personne n’a été capable de démontrer la nécessité médicale de surveiller sans leur accord les personnes confinées ou malades – surtout quand celles-ci sont indétectables en l’absence de test. Alors que Singapour propose une application basée sur un protocole ouvert permettant aux personnes de révéler volontairement leurs déplacements, pourquoi la CNIL défend-t-elle la proposition d’Orange, contraire au droit, beaucoup moins respectueuse de nos libertés et qui, elle, n’a fait aucune preuve de son intérêt contre le virus ?

Pour l’instant, le gouvernement semble insensible aux appels d’Orange, occupé par des choses plus importantes. Bien. Contrairement à la CNIL, nous n’hésiterons pas à l’attaquer s’il cédait aux ambitions hasardeuses des profiteurs de crise.

References   [ + ]

1.	↑	Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées.
2.	↑	Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile.
3.	↑	Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».

]]> https://www.laquadrature.net/?p=15657http://isyteck.com/autoblog/quadrature/index.php5?20200326_181347_Surveillance_publicitaire____la_CNIL_se_defile_de_nouveau_sur_le_consentement_aux_cookiesThu, 26 Mar 2020 17:13:47 +0000La période est à la priorité d’un capitalisme toxique face au respect des libertés. Les entreprises du numérique comptent bien exploiter nos difficultés face à la crise sanitaire pour leurs profits. Si la population reste connectée plus longtemps, il faut lui afficher plus de pub ciblée. La CNIL vient ainsi de repousser encore une fois son rôle d’autorité chargée de faire respecter le RGPD.

Pour rappel, en juillet 2019, la CNIL publiait des lignes directrices où elle rappelait que le RGPD exige que le dépôt de cookie et autres traceurs se fasse avec notre « consentement explicite ». C’est-à-dire que notre consentement ne peut plus être « déduit » du simple fait que nous sommes informé·es par un vulgaire « bandeau cookie ». Tant que nous ne cliquons pas explicitement sur un bouton « J’accepte » (en ayant la même possibilité de refuser), il est strictement interdit de nous pister et de réaliser des profits sur nos données personnelles.

Cette règle était déjà connue et en vigueur depuis l’entrée en application du RGPD, en mai 2018 – date à laquelle ces pratiques délinquantes de l’industrie publicitaire auraient dû cesser et être sanctionnées. Néanmoins, en juillet dernier, la CNIL avait explicitement annoncé qu’elle ne sanctionnerait le non-respect de ces règles qu’à partir de 6 mois après la publication d’une recommandation destinée à décrire les « modalités pratiques possibles de recueil d’un consentement conforme aux règles applicables » (voir notre communiqué de réaction). Un nouveau délai d’un an « bonus » pour la surveillance publicitaire illégale. Nous avions évidemment attaqué cette décision devant le Conseil d’État, qui avait rejeté notre demande (voir notre article).

Or, hier matin, l’industrie publicitaire publiait dans la presse une tribune larmoyante avec une injonction : « Les annonceurs ont mis en suspens leurs investissements. Dans ce contexte, il faut que certaines règles, qui doivent être mises en place par la CNIL sur la protection de la vie privée, dans le prolongement du RGPD, fassent l’objet d’un moratoire ». Quelques heures à peine plus tard, la CNIL s’exécute et décide de reporter de nouveau l’application du RGPD en matière de surveillance publicitaire. Elle nous informe ainsi par courrier que : « Afin d’aborder dans un contexte plus serein ce sujet majeur pour la protection des données personnelles comme pour l’économie de l’écosystème publicitaire, la présentation du projet de recommandation est reportée à une date ultérieure, qui sera fixée en fonction de l’évolution de la situation. »

L’industrie publicitaire pourra donc continuer pendant le confinement et les possibles reprises à traquer les individus en ligne pour les manipuler le mieux possible dans des actes de consommation en violant les libertés.

Si l’on peut tout à fait comprendre que la période soit difficile en termes de travail des agent·es (en remerciant les agent·es consciencieus·es qui souhaitent autant que nous l’arrêt de ces pratiques délictueuses), rien n’empêchait la CNIL d’indiquer que ces règles sur le consentement sont en vigueur depuis 2018, ou même de raccourcir d’autant le délai prévu pour l’application de la recommandation.

La toxicité de la surveillance publicitaire en ligne n’est plus à démontrer tant ses conséquences sociales, écologiques et politiques sont criantes, au point que la question de son interdiction se pose même sérieusement outre atlantique. Il est en effet temps de changer ce système de dépendance à la violation des libertés à des fins publicitaires en économisant aux réseaux ce surcoût indu. C’est aussi le bon moment pour les personnes et les entreprises qui dépendent de ces revenus qui prouvent encore une fois leurs instabilités pour les abandonner et réfléchir aux adaptations requises.

En cette période de confinement et d’augmentation de nos usages d’Internet, La Quadrature du Net et Résistance à l’Agression Publicitaire appelons encore une fois toutes et tous à Bloquer la pub sur le Net en suivant les indications sur bloquelapub.net et en faisant découvrir ces outils à vos proches face à cette industrie délinquante et à ce nouveau recul de l’autorité de contrôle dans l’application de sa mission.

—

La Quadrature du Net avec Résistance à l’Agression Publicitaire (R.A.P.)

]]> https://www.laquadrature.net/?p=15638http://isyteck.com/autoblog/quadrature/index.php5?20200319_135300_Contre_le_COVID-19__la_geolocalisation_deja_autoriseeThu, 19 Mar 2020 12:53:00 +0000Face au COVID-19, de nombreux États annoncent leur intention de recueillir massivement des données de géolocalisation auprès des opérateurs de communication. En Chine, aux États-Unis, en Italie, en Israël, en Corée du Sud, en Belgique. En dépit d’un amendement scélérat proposé par l’opposition, une telle ambition est pour l’heure absente du projet de loi français dédié à l’épidémie, actuellement débattu au Parlement. Et pour cause : depuis 2015, la loi renseignement semble déjà autoriser de telles mesures. L’an dernier, nous avons attaqué cette loi devant le juge de l’Union Européenne, dont nous attendons bientôt la décision. Prenons ici un moment pour en rappeler les dangers.

La loi renseignement adoptée en 2015 permet à l’État de surveiller la population pour une très large variété de finalités, notamment « pour le recueil des renseignements relatifs à la défense [des] intérêts économiques, industriels et scientifiques majeurs de la France ». Si, comme Emmanuel Macron, on admet facilement que « cette crise sanitaire sans précédent aura des conséquences […] économiques majeures », il faut conclure que la loi renseignement autorise déjà l’État à surveiller la population afin de lutter contre l’épidémie. Rien de surprenant au regard de la démesure des pouvoirs que lui a conférés le Parlement en 2015.

Parmi les mesures autorisées par la loi renseignement, l’article L851-1 du code de la sécurité intérieure prévoit que les services de renseignement peuvent exiger la transmission par les opérateurs téléphoniques des « données techniques relatives […] à la localisation des équipements terminaux utilisés » par leurs clients. En application de l’article L851-4, ces données peuvent même être « recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs ». Pour exiger ces transferts, l’administration agit seule, sans le contrôle ou l’autorisation préalable d’un juge.

L’État n’informe jamais la population quant à la façon dont il utilise concrètement la loi renseignement, celle-ci organisant une totale opacité. Nous n’avons à ce stade aucune information permettant de corroborer l’utilisation de ces pouvoirs de surveillance dans le cadre de la lutte contre l’épidémie du virus COVID-19. Mais, en droit, rien n’interdit à l’État d’user de ces pouvoirs, par exemple, pour identifier les personnes se déplaçant de villes en villes ou ayant visité certains lieux sensibles, voire pour s’assurer que les injonctions de confinement soient suffisamment respectées¹L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements..

Si, aujourd’hui, l’administration utilisait la loi de 2015 en ce sens, serait-ce conforme au règlement général sur la protection des données (RGPD) ? En théorie, les données sensibles, telles que les données de santé que révélerait une telle surveillance (par exemple le fait que, en raison de ses déplacements, une personne présente un haut risque d’avoir contracté le virus), peuvent bien être traitées « pour des motifs d’intérêt public dans le domaine de la santé publique ».

À condition toutefois de respecter le reste du RGPD, ce qui n’est pas du tout le cas de la loi renseignement : une fois ces données collectées, cette loi laisse l’administration les ré-utiliser ensuite pour des finalités étrangères à la lutte contre l’épidémie (fichage politique, lutte contre la fraude, etc.). Si l’article L822-2 du code de la sécurité intérieure impose une suppression des données brutes de localisation au bout de 4 ans, il n’en est rien pour les « fiches » constituées sur la base de ces données : ni la durée de conservation, ni l’utilisation ultérieure de ces fiches n’est limitée. Cette violation du droit européen est une de nos principales critiques contre le texte dans notre affaire devant la Cour de justice de l’Union européenne – dont la décision devrait être rendue dans les mois à venir.

Dans cette situation de crise, en dépit des pressions politiques, le gouvernement doit résister à toute fuite-en-avant sécuritaire. Face au risque d’abus engendré par les pouvoirs démesurés que confère d’ores-et-déjà la loi renseignement à l’État, il doit également s’engager à faire immédiatement la transparence sur toutes les mesures de surveillance de la population mises en œuvre pour lutter contre la propagation du COVID-19. En attendant que les pouvoirs exorbitants que lui octroie la loi renseignement soient battus en brèche.

References   [ + ]

1.

↑

L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements.

]]> https://www.laquadrature.net/?p=15630http://isyteck.com/autoblog/quadrature/index.php5?20200312_125416_Videosurveillance_automatisee____le_tribunal_de_Marseille_refuse_l___urgenceThu, 12 Mar 2020 11:54:16 +0000Le tribunal administratif de Marseille vient de rejeter notre action en référé contre la ville de Marseille. Nous lui demandions d’annuler en urgence le déploiement de logiciels d’analyse automatisée sur les caméras de la ville (voir notre requête et l’ordonnance du juge).

Le tribunal nous rejette au motif que nous aurions dû attaquer le marché public conclu dès 2018 par la ville pour déployer ces dispositifs. Nous serions aujourd’hui hors délai pour les contester, quand bien même nous n’avons pu en prendre effectivement connaissance que très récemment et que leurs caractéristiques ont évolué et continueront d’évoluer.

Il faut bien comprendre que notre recours est rejeté pour une raison purement procédurale. Ce n’est en aucun cas le fond du dispositif qui est validé. La juge des référés n’a pas tranché sur la question de l’atteinte aux libertés que nous dénonçons.

Toutefois, en nous disant hors délai, le tribunal conforte les villes sécuritaires dans leur stratégie anti-démocratique : déployer leurs projets dans l’opacité la plus totale afin de freiner toute contestation, politique comme juridique. La stratégie de la mairie consiste depuis le début à œuvrer dans le silence : c’est au détour d’articles de presse que nous avons appris que cette surveillance serait mise en place d’ici fin 2019. Il aura fallu attendre le dernier moment pour qu’une lettre de la mairie du 31 décembre 2019 nous confirme qu’était mis en œuvre « un environnement test de 50 caméras ».

Mais qu’importe, la lutte est loin d’être terminée. Elle ne fait que commencer et ce recours n’en est que la première étape.

Par cette action en référé, nous espérions pouvoir utiliser une voie rapide et directe pour attaquer de tels systèmes qui se déploient déjà partout en France. Le tribunal a mis un coup d’arrêt à la contestation du dispositif marseillais. Mais, s’il nous faut prendre une autre voie contentieuse pour y parvenir, nous la prendrons, et reviendrons attaquer ce dispositif en surmontant l’obstacle posé aujourd’hui. Au-delà de Marseille, il faudra attaquer bien d’autres systèmes de vidéosurveillance automatisée, que nous avons déjà pu identifier à Valenciennes, à Nice, à Toulouse, à La Défense ou dans les Yvelines.

L’obstacle rencontré aujourd’hui démontre combien il est urgent de déchirer l’opacité imposée par nos adversaires. Inscrivez-vous sur Technopolice.fr pour nous aider à documenter puis déconstruire leur monde sécuritaire. Si vous disposez de documents, nous avons une plateforme pour vous permettre de nous les transmettre en toute discrétion. Enfin, nous avons toujours besoin de vos dons qui nous permettent d’engager de telles actions contentieuses.

]]> https://www.laquadrature.net/?p=15624http://isyteck.com/autoblog/quadrature/index.php5?20200306_155054_Loi_audiovisuelle____Aurore_Berge_s___attaque_a_la_neutralite_du_NetFri, 06 Mar 2020 14:50:54 +0000La commission culture de l’Assemblée nationale vient de voter en première lecture le projet de loi audiovisuelle. Cette loi est particulièrement large et dense : nous reviendrons petit à petit sur chaque point plus tard (nous avons déjà annoncé notre intention de détruire la HADOPI dans ce contexte).

Le vote d’hier a ajouté une nouvelle menace, considérable. Aurore Bergé, rapporteure du texte, a fait adopter une série d’amendements pour lutter contre la diffusion illicite d’événements sportifs. Les entreprises qui possèdent les droits de diffusion (Bein Sport, Canal+, et autres ayants-droit) pourront obtenir du juge de nouvelles mesures.

Depuis 2004, le juge des référés peut exiger des fournisseurs d’accès à Internet (FAI) qu’ils bloquent l’accès à un site Internet diffusant illégalement des contenus¹Article 6, §8, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.. L’article 23 de la loi audiovisuelle reprend ce principe en visant spécifiquement les sites « dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives ». La nouveauté introduite par Aurore Bergé est que le juge pourra désormais exiger que les FAI bloquent tout nouveau site apparaissant au cours d’une période pouvant s’étendre jusqu’à 12 mois, et ce alors même que ce site « n’a pas été identifié à la date » où le juge aura pris sa décision.

Problème : les FAI ne pourront pas savoir quels sites bloquer puisque ceux-ci n’auront « pas été identifié[s] » dans la décision judiciaire. Un autre amendement parachève l’arbitraire et précise que les ayants-droit leur communiqueront « les données d’identification nécessaires ». Un autre problème surgit alors : les ayants-droit n’ont aucune autorité pour qualifier juridiquement des faits et il reviendra donc à chaque FAI d’évaluer seul (sans juge) la licéité des sites signalés. Surtout, les ayants-droit ne pourront pas leur signaler l’intégralité des sites (virtuellement infinis) que le juge a pourtant ordonné de bloquer. Pour respecter l’injonction, le FAI n’aura d’autre choix que de les détecter lui-même, typiquement en analysant les données transmises sur son réseau afin d’y déceler la rediffusion de tel match de foot ou de tel tournoi de pétanque.

Qu’il s’agisse d’évaluer les signalements ou de détecter les sites illicites, un tel système marque une rupture frontale avec la neutralité du Net. Les FAI sont extirpés de leur rôle passif pour endosser, de force, une mission de surveillance et de modification active des informations qu’ils acheminent, hors de tout encadrement judiciaire.

Ce nouveau système viole confortablement les lois européennes, ne serait-ce que l’article 15 de la directive eCommerce qui interdit d’imposer aux FAI « une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Le délire autoritaire d’Aurore Bergé est tel que même Franck Riester, ministre de la culture et auteur de ce projet de loi, s’en est ému en commission : « est-ce qu’on ne va pas trop loin ? […] il faut des garanties sur les libertés, il faut être proportionné ». Piétiner un principe aussi fondamental que la neutralité du Net, oui, c’est aller trop loin.

Le projet de loi sera débattu en séance publique à l’Assemblée nationale à partir du 31 mars. Nous continuerons d’ici-là notre analyse des autres points de ce texte.

References   [ + ]

1.

↑

Article 6, §8, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

]]> https://www.laquadrature.net/?p=15604http://isyteck.com/autoblog/quadrature/index.php5?20200227_150301_Premiere_victoire_en_justice_contre_la_reconnaissance_faciale___Thu, 27 Feb 2020 14:03:01 +0000Le 3 février dernier, La Quadrature du Net, La Ligue des Droits de l’Homme, la FCPE et la CGT Educ’Action des Alpes Maritimes étaient en audience devant le tribunal administratif (TA) de Marseille contre la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycée de la région PACA.

Le TA a rendu sa décision hier, en statuant sur l’incompétence de la région PACA en matière d’encadrement et de surveillance des élèves annulant, de fait, la délibération lançant l’expérimentation du dispositif.

Ensuite, le tribunal reconnaît que cette délibération ne respecte pas le RGPD car les élèves n’ont pas pu donner de « consentement à la collecte de données personnelles de manière libre et éclairée », du fait de la relation d’autorité qui lie les élèves à l’administration de l’établissement.

Enfin, le tribunal, comme l’avait déjà souligné la CNIL à l’automne, a jugé que la reconnaissance faciale est une mesure disproportionnée pour gérer les entrées et sorties d’un lycée, d’autant que des mesures alternatives bien moins attentatoires aux droits existent pour ce faire. À ce sujet, le rapporteur public avait déclaré lors de l’audience que « la région utilise un marteau piqueur pour frapper une fourmi ».

En France, il s’agit de la première décision juridictionnelle sur la reconnaissance faciale, et de la première victoire contre elle ! Nous espérons qu’elle sera suivie d’autres décisions similaires menant à l’interdiction totale de la reconnaissance faciale. Pour rappel, nous publiions en décembre dernier une lettre commune avec 124 organisation appelant à interdire tous ses usages sécuritaires, notamment à l’adresse des équipes candidates aux élections municipales.

Lundi 2 mars 2020, toujours au tribunal administratif de Marseille, aura lieu l’audience de notre autre recours déposé avec la LDH contre la vidéosurveillance automatisée (qui repère entre autres les « comportements suspects » des individus sur la voie publique).

Défendre les libertés, ça n’a pas de prix, mais ça a un coût. Merci de faire un don si vous le pouvez.

]]> https://www.laquadrature.net/?p=15588http://isyteck.com/autoblog/quadrature/index.php5?20200225_152916_Gendnotes__faciliter_le_fichage_policier_et_la_reconnaissance_facialeTue, 25 Feb 2020 14:29:16 +0000Le gouvernement vient d’autoriser la gendarmerie à déployer une application mobile qui facilite la collecte de photos et d’informations sensibles (religion, politique, sexualité, prétendue origine raciale) et leur transfert dans des fichiers extérieurs – tel que le TAJ, qui permet la reconnaissance faciale, ou les fiches des services de renseignement, qui ont une activité de surveillance politique.

Samedi, a été publié un décret qui autorise les gendarmes à utiliser sur leur tablette l’application Gendnotes.

Cette application existe et est utilisée depuis plusieurs années sans cadre juridique : elle remplace la prise de note sur papier (qui devait être copiée sur ordinateur une fois rentré à la gendarmerie) par une prise de note directement informatique réalisée depuis le terrain.

Le décret précise désormais que, avec Gendnotes, les gendarmes peuvent prendre en photo n’importe quelle personne qu’ils suspectent d’avoir commis une infraction. Ils peuvent aussi enregistrer des informations sur leur religion, politique, sexualité ou prétendue origine raciale, à la simple condition que de telles informations soient « absolument nécessaires » aux fichiers de police judiciaire (pour lutter contre les crimes, délits, et certaines contraventions, telles que le « trouble à la sécurité » ou « l’atteinte à l’autorité de l’État ») ou de police administrative (les fiches des services de renseignement, doit-on redouter). Cette absolue nécessité n’est, en pratique, jamais vérifiée. La CNIL précise aussi « que l’enregistrement du code PIN ou du code PUK pourra être réalisé dans le cadre d’enquêtes afin de déverrouiller l’appareil », sans qu’il n’apparaisse clairement si cet enregistrement est toujours prévu ou non dans le décret.

Comme l’explique la CNIL, ces photos et informations sont au moins transmises au LRPGN (le logiciel de rédaction des PV de la gendarmerie)¹La CNIL explique dans son avis du 3 octobre 2019 que Gendnotes « vise à dématérialiser la prise de notes […] en vue notamment d’alimenter de manière automatisée l’application métier « Logiciel de Rédaction des Procédures de la Gendarmerie Nationale » dénommée LRPGN »., qui les transmet à son tour au TAJ (traitement des antécédents judiciaires) si les gendarmes décident d’ouvrir une procédure²La CNIL explique dans son avis du 11 octobre 2012 que « les logiciels de rédaction des procédures de la police (LRPPN) et de la gendarmerie (LRPGN) alimentent, en début de procédure, le traitement d’antécédents TAJ ».. Dans ce cas, les informations seront conservées dans le TAJ pendant 20 ans, accessibles par toute la police et la gendarmerie et les photos pourront être utilisées ultérieurement par un système de reconnaissance faciale pour identifier des personnes (si l’application Gendnotes n’intègre pas de logiciel de reconnaissance faciale, elle facilite le transfert des photos vers le TAJ qui, lui, l’organise).

Par exemple, lors d’une manifestation ou d’un contrôle routier, les gendarmes pourront, lors d’une fouille, d’un contrôle d’identité ou autre interaction avec une personne qu’ils jugent suspecte, inscrire une identité et/ou une photo, avec si besoin plus d’informations, au sein de cette application. Si les gendarmes décident ensuite d’ouvrir une procédure, ces informations seront inscrites au TAJ.

Le décret semble au moins illégal en ce qu’il échoue à définir sa finalité ou en quoi il serait absolument nécessaire au travail des gendarmes. Il indique que le but de Gendnotes est de faciliter la transmission des données enregistrées vers « d’autres traitements de données », sans définir ni limiter ces autres traitements (ce que la CNIL lui avait pourtant demandé de faire). On peut redouter que Gendnotes vienne nourrir une infinité de fichiers, des services de renseignements par exemple, et soit dévoyé à des fins de surveillance politique.

Les conséquences d’un tel dévoiement sont considérablement aggravées par l’automatisation des ces enregistrement et échanges d’informations. Jusqu’alors, le risque de surveillance politique était mécaniquement limité par la dépendance au papier. Cette limite matérielle disparaît aujourd’hui. Les fichiers se multiplient et on automatise les facilités d’échanges entre ces différents fichiers en démultipliant à chaque fois les possibilités d’abus. Encore une fois ce ne sont pas les décrets qui encadrent les pratiques policières, mais les pratiques de la police qui font loi.

References   [ + ]

1.	↑	La CNIL explique dans son avis du 3 octobre 2019 que Gendnotes « vise à dématérialiser la prise de notes […] en vue notamment d’alimenter de manière automatisée l’application métier « Logiciel de Rédaction des Procédures de la Gendarmerie Nationale » dénommée LRPGN ».
2.	↑	La CNIL explique dans son avis du 11 octobre 2012 que « les logiciels de rédaction des procédures de la police (LRPPN) et de la gendarmerie (LRPGN) alimentent, en début de procédure, le traitement d’antécédents TAJ ».

]]> https://www.laquadrature.net/?p=15583http://isyteck.com/autoblog/quadrature/index.php5?20200224_113749_Tremble__HADOPI___Mon, 24 Feb 2020 10:37:49 +0000Le 12 février dernier, le Conseil d’État a accepté notre demande de transmettre au Conseil constitutionnel une question sur la constitutionnalité des pouvoirs de la HADOPI. Cette question porte sur le pouvoir donné à ses agents pour accéder aux données permettant d’identifier les internautes à partir de leur adresse IP. Ce même pouvoir qu’à plusieurs reprises, la Cour de justice de l’Union européenne et le Conseil constitutionnel ont déjà jugé contraire aux droits fondamentaux dans d’autres cas semblables. Il ne reste plus au Conseil Constitutionnel qu’à prendre la même décision pour la HADOPI – et ainsi l’enterrer pour de bon !.

Une décision positive du Conseil constitutionnel constituerait une victoire historique. Elle serait un nouveau clou dans le cercueil de la HADOPI, institution que nous combattons depuis sa création il y a plus de dix ans et dont le fonctionnement repose sur la surveillance de masse de la population. Elle serait aussi l’aboutissement d’une longue bataille menée devant les juridictions françaises et européennes et qui pèsera, quoiqu’il arrive, dans le projet de loi audiovisuelle débattu en ce moment à l’Assemblée nationale, lequel vise à fusionner l’HADOPI et le CSA au sein d’une nouvelle instance, l’ARCOM.

Retour au 28 octobre 2009 : la loi « Hadopi 2 » vient d’être promulguée. Elle fait suite à la loi « favorisant la diffusion et la protection de la création sur Internet », adoptée quelques mois plus tôt (dite loi « Hadopi 1 »). Ensemble, ces deux lois créent la HADOPI (pour « Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ») et, avec elle, le système de « riposte graduée ».

Avec ce système, l’objectif affiché par le gouvernement est le suivant : « assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ». Ou plutôt, comme nous le disions déjà à l’époque : permettre, sur la base de dénonciations d’acteurs privés, « la tenue de campagnes de traque, d’avertissements et de répression de masse ciblant les internautes partageant sur internet de la musique et des films sans autorisation ». Le tout fait suite à plusieurs mois de débats intenses au Parlement et devant le Conseil constitutionnel. Débats sur l’absurdité et les dangers de cette autorité pour nos libertés. Débats qui continueront après la création de la HADOPI et tout au long de ses années de fonctionnement (voir ici pour l’historique du dossier et la liste des articles publiés par LQDN sur le sujet).

Pour comprendre l’importance de notre recours et de la décision à venir du Conseil constitutionnel, il faut revenir sur le fonctionnement de cette « riposte graduée ».

Riposte graduée, comment ça marche ?

Comment fait la HADOPI pour retrouver une personne ayant partagé une œuvre ? La première étape consiste à collecter l’adresse IP des personnes qui partagent sur un réseau Peer-to-Peer une œuvre soumise à droit d’auteur (la HADOPI ne s’intéresse en effet qu’au partage d’œuvres par réseau Peer-to-Peer). Cette collecte n’est pas faite directement par la HADOPI mais par une entreprise privée, mandatée par les ayants droit (en 2014, il s’agissait de la société TMG, pour « Trend Media Guard »).

À partir de cette collecte, la HADOPI contacte les fournisseurs d’accès à Internet (Orange, SFR, Bouygues, Free) pour leur demander l’identité des personnes derrière chaque adresse IP. C’est seulement sur la base de ces informations (nom, adresse, contact) que la HADOPI peut ensuite envoyer à la personne concernée un premier courriel d’avertissement qui pourra être suivi, si besoin, d’un deuxième courrier, puis d’une lettre de notification et même transmis en fin de course au procureur de la République (voir le schéma et les explications détaillées sur le site de l’autorité). L’étape qui nous intéresse pour notre action contentieuse est celle qui autorise la HADOPI à obtenir, auprès des opérateurs, le nom des personnes à partir des adresses IP. Ce pouvoir lui est donné par l’article L331-21 du code de la propriété intellectuelle.

C’est la constitutionnalité de cet article, qui donne aux « agents publics assermentés » de la HADOPI un accès aux données de connexion conservées par les fournisseurs d’accès à Internet, qui sera discuté, à notre demande, devant le Conseil constitutionnel. Comme on le voit, cette disposition est au centre de la « riposte graduée » de la HADOPI : sans elle, aucun moyen pour l’autorité de remonter à l’identité de la personne ayant partagé une œuvre. Et donc aucun moyen de la contacter et d’envoyer les mails d’avertissement.

Pour comprendre pourquoi cet article du code de la propriété intellectuelle risque une censure, il faut de nouveau revenir en arrière.

La question de l’accès aux données de connexion

L’article L. 331-21 du code de la propriété intellectuelle fait directement référence aux articles du CPCE ( pour « code des postes et communications électroniques ») et la LCEN (pour « loi pour la confiance dans l’économie numérique ») qui organisent le régime français de conservation des données de connexion. En résumé, ce régime impose aux fournisseurs d’accès à Internet et aux hébergeurs Web de conserver pendant un an les données de connexion de l’ensemble de la population. Ce sont ces données qui permettent à la HADOPI d’identifier les personnes à partir de leur adresse IP.

Or, la Cour de Justice de l’Union européenne s’est, par deux arrêts de 2014 et 2016 (les arrêts dits « Digital Rights Ireland » et « Télé 2 Sverige AB »), opposée à un tel régime de conservation généralisée et indifférenciée des données de connexion. Elle a aussi considéré que l’accès par les autorités nationales à ces données de connexion devrait être limité « aux seules fins de lutte contre la criminalité grave », et « subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ».

Bien entendu, le régime français de conservation des données, et les accès à ces données par certains agents de l’administration (dont la HADOPI) ne respectent nullement ces obligations (c’est d’ailleurs l’objet d’un autre de nos contentieux porté en ce moment devant la Cour de Justice de l’Union européenne qui tend à faire annuler les lois françaises relatives à de telles obligations de conservation).

En parallèle de ces arrêts de la Cour de Justice de l’Union européenne, le Conseil constitutionnel a commencé lui aussi, et dès 2015, à censurer des dispositions législatives sur le droit d’accès des agents de l’administration à ces données de connexion, en considérant notamment que ces accès n’étaient pas entourés des garanties propres à « assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ». C’est le cas donc en 2015 sur l’accès aux données de connexion pour les agents de l’Autorité de la concurrence. Même chose en 2017 pour la possibilité des agents de l’Autorité des marchés financiers de se faire communiquer les données de connexion. En février 2019 pour les douanes. Et en juin 2019 pour les agents des organismes de sécurité sociale.

Au fur et à mesure, le Conseil constitutionnel a donc dégagé une position claire et ferme quant à l’inconstitutionnalité des lois autorisant de tels accès aux métadonnées. La HADOPI, qui dispose d’un pouvoir d’accès semblable, devrait être la prochaine sur la liste.

Hadopi et surveillance de masse

Du côté de La Quadrature du Net et des fournisseurs d’accès à Internet associatifs (FFDN, Franciliens.net et FDN) , la stratégie était du coup plutôt enthousiasmante, ces décisions ne laissant pas trop de doute quant à l'[il]légalité de la « riposte graduée » de la HADOPI. Nous sommes donc intervenus à plusieurs reprises devant le Conseil constitutionnel sur ses décisions citées plus haut concernant l’accès aux données de connexion, l’objectif étant de renforcer sa position sur les garanties à apporter à ces accès (voir notamment notre article de février 2019 sur la censure de l’article 65 du code des douanes).

Enfin, en août 2019, La Quadrature, avec FFDN, Franciliens.net et FDN, ont attaqué devant le Conseil d’État le décret n°2010-236 du 5 mars 2010, un des décrets d’application de loi « Hadopi 1 ». Et c’est dans le cadre de ce contentieux que nous en avons demandé au Conseil d’État de poser au Conseil constitutionnel une « question prioritaire de constitutionnalité » sur l’article L. 331-21 du code de propriété intellectuelle. Ce que le Conseil d’État a accepté de faire dans sa décision du 12 février.

Dans notre demande, nous rappelons les jurisprudences citées plus haut sur l’obligation de prévoir des garanties sur l’accès de l’administration aux données de connexion – et nous soulignons que ces garanties sont inexistantes pour la HADOPI (comme pour les autres autorités). Nous y rappelons surtout que, et contrairement à ce qu’exige l’Union européenne, il ne s’agit pas ici de criminalité grave. Au contraire, il ne s’agit, au sens du code pénal, ni d’un crime, ni même d’un délit, mais seulement d’une contravention. Plus précisément, il s’agit sanctionner le manquement à l’obligation de surveillance de son accès à Internet (c’est-à-dire de vérifier que celui-ci n’est pas utilisé pour du partage d’œuvres contraire au droit d’auteur).

Bref, autant de raisons qui nous laissent espérer que le Conseil constitutionnel prendra ici la même décision qu’il a déjà pris pour des cas semblables. Et, du même coup, mettre à mal un des rouages essentiels de la HADOPI en la privant de son pouvoir de surveillance de masse.

Car la « riposte graduée » de la HADOPI est un outil de surveillance de masse. Selon ses propres chiffres, la HADOPI a ainsi envoyé, rien qu’entre les mois de février et août 2019, 319 175 mails de 1er avertissement, ce qui correspond donc à 319 175 personnes identifiées. Or, un tel traitement massif ne peut justement fonctionner que parce que la HADOPI est fondée sur la surveillance massive de la population. En cas de décision en notre faveur du Conseil constitutionnel, il sera d’ailleurs bien difficile au gouvernement de corriger ou d’encadrer une telle pratique : en théorie, un juge pourrait autoriser l’identification de chacune des 300 000 personnes, une à une ; en pratique, cela semble impossible, alors mêmes qu’il s’agirait de la seule correction juridiquement valide.

Interférences dans la loi audiovisuelle

Le timing de notre action n’est évidemment pas innocent : la jurisprudence étant claire depuis plusieurs années, nous aurions pu le faire avant, mais l’objectif est de peser dans les débats législatifs déjà en cours sur le projet de loi audiovisuel. Ce texte est en ce moment en discussion devant la commission des affaires culturelles de l’Assemblée nationale – il concerne de multiples sujets, de la transposition de la directive Copyright (voir notre dernier article sur cette directive), au blocage des sites miroirs en passant donc par la création d’une nouvelle autorité, résultat de la fusion entre le CSA et la HADOPI : l’ARCOM (pour « Autorité de régulation de la communication audiovisuelle et numérique »).

Or, les articles 22 (alinéa 20) et 25 de ce texte organisent justement le transfert des pouvoirs illégitimes de la HADOPI à la nouvelle ARCOM. Ces dispositions, comme d’autres du projet de loi (et sur lesquels nous reviendrons bientôt), doivent donc être supprimées pour que cette autorité, quel que soit son nom, respecte enfin le droit européen et la Constitution. Il sera d’ailleurs intéressant de suivre la réaction de l’actuel ministre de la Culture, Franck Riester, à la décision à venir du Conseil, lui qui porte aujourd’hui ce projet de loi et qui était il y a dix ans… rapporteur des lois HADOPI.

La décision à venir du Conseil constitutionnel pourrait être d’une importance majeure. Elle pourrait participer à la fin d’une autorité absurde et à la destruction de ses pouvoirs fondés sur la surveillance de masse. Elle pourrait aussi réparer l’erreur faite il y a dix ans : celle de refuser l’idée d’une contribution créative et de sanctionner les échanges non marchands d’oeuvres culturelles sur les réseaux P2P.

]]> https://www.laquadrature.net/?p=15576http://isyteck.com/autoblog/quadrature/index.php5?20200219_164943_La_Quadrature_du_Net_a_besoin_de_vos_donsWed, 19 Feb 2020 15:49:43 +0000Depuis 2008 La Quadrature du Net existe grâce à vos dons. Merci à vous !

Douze ans plus tard, l’équipe des fondateurs a laissé la place à un collège de membres bénévoles et à une équipe de salarié·es qui font vivre l’association au quotidien : parce que les sujets sont innombrables, parce que le numérique est désormais présent dans chaque aspect de nos vies et dans chaque texte de loi, en France comme en Europe, et qu’il faut être au travail tous les jours pour analyser les lois, les faits sociaux, l’évolution des techniques et leur exploitation dévoyée.

Pas chers, mais pas riches

Cette structure a un coût. Notre budget pour une année est d’environ 300 000 € : les deux tiers en salaires et cotisations sociales pour les 6 salarié·es, le reste pour les déplacements, la communication et les locaux. Les salaires sont modestes, le loyer aussi (mais on va devoir déménager avant l’été 2020), quand on sillonne le pays on se loge à l’économie (souvent chez les copains, merci à vous !) et les billets de train sont les moins chers possibles. Bref, ni homard ni champagne à La Quadrature, de toute façon il paraît que ça donne mal à la tête.

Un cinquième du budget

Cette année comme chaque année, au mois de décembre, nous avons donc lancé une campagne de dons dans l’espoir de réunir l’argent nécessaire pour tenir une année de plus. Chaque année on croise les doigts, on se demande si ça va passer, et chaque année jusqu’à présent c’est passé, on est arrivé à boucler le budget et l’année.

Mais chaque année on est inquiet, et ça rend le travail encore plus compliqué. Cette année, par exemple, c’est très lent : on a lancé la campagne de dons le 6 décembre, elle a bien tourné jusqu’au 31 décembre, mais depuis le 1er janvier c’est le calme plat. Nous recevons encore quelques nouveaux dons chaque jour, trois ou quatre environ, merci à vous ! Mais ça ne suffit pas.

Mi-février, on a rassemblé environ 20 % du financement de l’année, un cinquième du budget seulement, l’équivalent d’à peu près 2 mois et demi d’activité… Si on veut que La Quadrature continue d’exister, il faut que les dons reprennent.

Nous avons donc décidé de poursuivre notre appel à dons de manière continue sur toute l’année 2020.

Campagne permanente

Mais on ne peut pas passer notre temps en campagne de dons, sinon on ne fait plus rien d’autre, ce serait absurde. Alors on a besoin de vous ! Vous pouvez nous aider à faire connaître autour de vous La Quadrature et ses combats.

Le matériel qu’on a créé pour animer notre campagne de dons, en décembre, est toujours disponible. Il y a plein de vidéos sur notre plateforme PeerTube, pour faire connaître nos sujets d’action, et aussi des vidéos (légères) de campagne :
* Comment lutter contre la reconnaissance faciale ?
* Comment lutter contre la surveillance en manif ?
* Comment lutter contre la censure sur Internet ?

Ne vous fiez pas au faible compteur de vue, en fait ces vidéos ont fait des milliers de vues sur les réseaux sociaux et elles marchent très bien parce qu’elles sont drôles 

Il y a aussi des « threads » à retweeter sur notre compte Twitter, sur notre compte Mastodon, ou sur notre page Facebook.

Abonnez-vous, partagez-les, faites-les tourner, commentez-les, discutez-en avec vos proches et les inconnu·es de passage ! Nos luttes croisent l’actualité sans cesse, il y a mille façons de glisser le nom de La Quadrature du Net dans une conversation. On compte sur vous <3

Comment nous faire un don ?

Et bien sûr, si vous avez gagné au loto, vous pouvez nous faire un don, c’est ici : laquadrature.net/donner.

Blague à part, on sait que c’est difficile. Notre cas n’est pas isolé, toutes les associations à but non lucratif, même les plus grandes, même les plus prestigieuses, se plaignent de la baisse des dons de soutien.

Les personnes généreuses ne sont pas moins nombreuses qu’avant, mais elles sont fauchées… Alors tous les dons sont les bienvenus, même 10 €, même 5 € !
Nous avons bien sûr une grosse préférence pour les dons mensuels : si vous nous donnez 5 € ou 10 € par mois, c’est presque indolore pour vous, et ça nous permet d’envisager l’année qui vient avec une meilleure visibilité. La perspective d’une somme qui arrive chaque mois permet de faire des plans à plus long terme.
Et vous pouvez bien sûr arrêter vos dons mensuels à tout moment en nous envoyant un mail ou en les bloquant du côté de votre banque.

Rendez vous sur laquadrature.net/donner!

]]> https://www.laquadrature.net/?p=15545http://isyteck.com/autoblog/quadrature/index.php5?20200128_150448_Appel_aux_candidat__es_aux_municipales_a_s___opposer_a_la_reconnaissance_facialeTue, 28 Jan 2020 14:04:48 +0000En cette Journée de protection des données, l’Observatoire des libertés numériques¹Organisations membres de l’Observatoire des libertés et du numérique signataire de cette lettre ouverte : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM). envoie formellement la lettre ouverte demandant l’interdiction de la reconnaissance faciale sécuritaire au gouvernement ainsi qu’aux parlementaires. Cette lettre est désormais signée par 124 organisations.

Dans le même temps, l’OLN invite les listes candidates aux élections municipales à rejoindre cet appel et à s’engager contre ces logiques.

Au delà de la reconnaissance faciale, il est également essentiel d’attirer l’attention des listes candidates sur les autres technologies sécuritaires qui sont aujourd’hui en développement en France (voir à ce titre la campagne Technopolice). C’est le cas notamment pour la vidéosurveillance automatisée qui fait l’objet de nombreux contrats entre industriels et collectivités (et que La Quadrature du Net et la Ligue des Droits de l’Homme viennent d’attaquer en justice à Marseille).

Nous invitons donc également toutes personnes sensibilisées à ces enjeux à contacter les listes candidates aux élections municipales pour leur demander de s’engager contre la reconnaissance faciale sécuritaire par la signature de cette lettre, mais également de prendre position contre l’expansion de la vidéosurveillance et les techniques de vidéosurveillance automatisée.

Pour les organisations et listes candidates souhaitant signer cette lettre, envoyez un message à contact@laquadrature.net en indiquant la ville concernée, son code postal et le nom de la liste ainsi qu’un lien de référence.

Lettre commune : Interdisez la reconnaissance faciale sécuritaire

Nous, organisations, collectifs, entreprises, associations et syndicats, demandons au Parlement et au gouvernement français d’interdire tout usage sécuritaire de dispositifs de reconnaissance faciale actuels ou futurs.

Nous constatons que de telles technologies sont aujourd’hui déjà largement déployées en France. Outre les portiques « Parafe » présents dans plusieurs aéroports et gares, le fichier de traitement des antécédents judiciaires permet depuis 2012 à la police et à la gendarmerie de recourir à la reconnaissance faciale à partir d’images prises dans la rue par des caméras, ou encore obtenues sur les médias sociaux. D’autres expérimentations ont déjà été menées ou sont programmées.

La multiplicité des dispositifs déjà existants, installés sans aucun véritable encadrement juridique, transparence ou réel débat public, ne satisfait pourtant pas nombre d’acteurs publics et industriels. En se fondant sur le fantasme d’un développement inéluctable de la technologie et sur des arguments purement sécuritaires et économiques, ils souhaitent accélérer et faciliter le déploiement de ces dispositifs, au détriment des conséquences pour nos libertés et notre modèle de société.

La reconnaissance faciale est une technique exceptionnellement invasive et déshumanisante qui permet, à plus ou moins court terme, la surveillance permanente de l’espace public. Elle fait de nous une société de suspect·es. Elle attribue au visage non plus une valeur de personnalité mais une fonction de traceur constant, le réduisant à un objet technique. Elle permet un contrôle invisible. Elle impose une identification permanente et généralisée. Elle abolit l’anonymat.

Aucun argument ne peut justifier le déploiement d’une telle technologie : au-delà de quelques agréments anecdotiques (utiliser son visage plutôt que des mots de passe pour s’authentifier en ligne ou activer son téléphone…), ses seules promesses effectives sont de conférer à l’État un pouvoir de contrôle total sur la population, dont il ne pourra qu’être tenté d’abuser contre ses opposant·es politiques et certaines populations. Puisque l’utilisation de la reconnaissance faciale à des fins sécuritaires est par essence disproportionnée, il est vain d’en confier l’évaluation au cas par cas à une autorité de contrôle qui échouerait en pratique à suivre chacune de ses nombreuses nouvelles applications.

C’est pourquoi nous vous demandons d’interdire tout usage sécuritaire qui pourrait en être fait. De telles interdictions ont déjà été décidées dans plusieurs villes des États-Unis. La France et l’Union européenne doivent aller encore plus loin et, dans la lignée du règlement général sur la protection des données personnelles (RGPD), construire un modèle européen respectueux des libertés.

Il conviendra par ailleurs de renforcer les exigences de protection des données à caractère personnel et de limiter les autres usages de la reconnaissance faciale : qu’il s’agisse d’authentification ou d’identification privée, l’ensemble de ces dispositifs ne sont pas assez protecteurs des atteintes à la vie privée ; ils préparent, et banalisent une société de surveillance de masse.

Nous appelons à l’interdiction de tout usage sécuritaire de la reconnaissance faciale.

Liste des signataires :

• 42l
• Abilian
• ACAT France
• Access Now
• Action Droits des Musulmans
• Altairis
• Antanak
• ANV COP21 Montpellier
• Article19
• Association d’Acteurs Valorisant les Engagements Citoyens
• Association Dédale
• Association for Civil Rights (ADC)
• Association for Progressive Communications (APC)
• Association Générale
• Assodev-Marsnet
• ATTAC France
• ATTAC-Agen
• Bee Home
• BEhAV Consulting & Coaching
• BLS
• Cabane juridique (Legal Shelter)
• CECIL
• Cerveaux non disponible
• CFE-CGC
• Cliss XXI
• CNLL
• COAGUL
• Code for France
• Collectif 69 de soutien au peuple palestinien
• Collectif Contre Les Abus Policiers
• Collectif LAeA
• Collectif Salies sans Linky
• Collectif Stop compteurs communicants de Forcalquier
• COMBALINKY
• Comité Justice & Libertés Pour Tous
• Comité local ATTAC du 78 Sud
• Creis – Terminal
• DAL (Droit Au Logement)
• DEBAMAX
• EELV
• Electronic Frontier Foundation (EFF)
• Emmabuntus
• Entr’ouvert
• ETXE AMA
• EVOLIX
• FACil
• FAIbreizh
• Fairness Scop
• FDN
• Fédération Anarchiste
• Fédération nationale de la Libre Pensée
• Fédération nationale des Arts de la Rue
• FFDN
• Framasoft
• Franciliens.net
• G3L
• Genepi
• Generation-s
• GISTI
• Globenet
• Good Impact
• Halte Contrôle Numérique
• Happyculture
• Hermes Center
• Hoga
• I-buycott Montpellier
• Icare (UVSQ)
• Illyse
• In Memoris Fondation
• Indie Hosters
• INP-net
• Internet Bolivia
• IP Solution
• Jerry Do It Together
• L’Auberge des Migrants
• La Boussole
• La Cimade
• La coopérative des Tilleuls
• La Quadrature du Net
• LAC-Chablais
• Le Collectif Saône-Beaujolais Compteurs Libres
• Le groupe parlementaire LFI
• Le Mouton Numérique
• Le Parti Communiste Français
• Place Publique
• Les-Tilleuls.coop
• Ligue des Droits de l’Homme
• Logilab
• Lorraine Data Network
• Mailden
• Mailo
• Makina Corpus
• Mouvement Colibris
• Mouvement Ecologiste Indépendant
• Mycélium
• Numericatous
• Observatoire des Libertés et du Numérique
• Ouvaton
• Parti Pirate
• Peps (Pour une écologie populaire et Sociale)
• Ploss Auvergne Rhône-Alpes
• Police Contre la Prohibition
• ReAct
• Résistance à l’agression publicitaire
• ritimo
• Root66
• SCOP-IT
• Sherpa
• Solidaires Informatiques
• Stop Linky 5G Loire
• STRASS-Syndicat du travail sexuel
• Sursiendo (Chiapas – México)
• Syndicat de la Magistrature
• Syndicat des Avocats de France
• Tech Trash
• Technologos
• Technopolice
• Toile-Libre
• Ubunteam community
• Union communiste libertaire
• Union Syndicale Solidaires
• Usuarios Digitales de Ecuador
• Vanoix
• Vélorution Paris Île-De-France

References   [ + ]

1.

↑

Organisations membres de l’Observatoire des libertés et du numérique signataire de cette lettre ouverte : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM).

]]> https://www.laquadrature.net/?p=15509http://isyteck.com/autoblog/quadrature/index.php5?20200122_121748_Coup_d___Etat_sur_la_____loi_haine____Wed, 22 Jan 2020 11:17:48 +0000La loi « contre la haine » s’est transformée en loi sécuritaire au nom de la lutte « anti-terroriste ». Ce bouleversement a été acté hier à 22h30, par un amendement de dernière minute proposé par le gouvernement et adopté par les députés serviles de l’Assemblée nationale. Ce coup de force du gouvernement, imposé in extremis, est une nouvelle démonstration d’anti-parlementarisme. L’honneur des députés exige qu’ils rejettent la loi dans son ensemble.

Alors que la loi exigeait initialement de retirer les contenus illicites en 24 heures, elle impose désormais aux plateformes de retirer en une heure les contenus que la police lui signalera comme relevant du terrorisme ou d’abus sur mineurs. La police décidera seule des contenus relevant du terrorisme – sans le contrôle d’un juge. On l’a déjà vu abuser illégalement de ce pouvoir pour qualifier des propos militants de « terroristes » afin de les faire censurer – la justice avait alors attendu plus d’une année pour dénoncer ces abus de la police.

De plus, alors que la loi ne concernait initialement que les plateformes ayant plusieurs millions de visiteurs par mois (Facebook, Twitter, Youtube…), les nouvelles mesures « anti-terroristes » visent désormais n’importe quelle plateforme, de toute taille. Il pourra s’agir du forum de n’importe quel site de presse, d’une plateforme militante, d’un petit hébergeur associatif ou de tout nœud d’un réseau social décentralisé tel que Mastodon ou PeerTube.

Le délai d’une heure est matériellement impossible à respecter pour la grande majorité des plateformes Web (typiquement pour les signalements qui leur seraient faits de nuit). Ces plateformes n’auront d’autres choix que de fermer boutique ou de déléguer leur modération aux outils de censure automatisée fournis par Google et Facebook. Dans tous les cas, les grands vainqueurs seront ces deux dernières entreprises, dont la concurrence sera anéantie ou mise sous leur joug.

Enfin, alors que la loi initiale ne prévoyait que des sanctions financières, les nouvelles mesures prévoient des sanctions concrètes, drastiques. Si une plateforme ne censure pas un contenu dans l’heure qui suit sa notification par la police, la police pourra exiger que les fournisseurs d’accès à Internet empêchent l’accès à cette plate