Pouvez-vous nous expliquer ce qu’est la technopolice, et les moyens d’actions que vous vous êtes donnés ?

Technopolice est le nom de la campagne de recherche-action lancée par La Quadrature du Net en 2019. Elle désigne aussi ce contre quoi nous luttons dans cette campagne, à savoir le développement et l’adoption croissante par la police française de nouvelles technologies numériques dédiées à la surveillance de l’espace public : vidéosurveillance automatisée et microphones intelligents censés repérer des comportement suspects, police prédictive, drones… Depuis le départ, l’idée est de documenter la genèse et la mise en œuvre de déploiement de ces technologies, des laboratoires de recherches qui les mettent au point aux usages opérationnels en passant par les grands programmes budgétaires et les lois qui les financent ou en autorisent l’usage.

Nous tentons aussi d’offrir à des individus ou collectifs des analyses, guides, des espaces de discussion afin d’articuler les combats locaux à des mobilisations nationales ou européennes. Nous dénonçons des projets de loi et tentons de faire supprimer les dispositions les plus dangereuses ; nous allons devant les tribunaux pour démontrer l’illégalité de certains projets et y mettre un terme (par exemple, nous avons attaqué le couplage de l’intelligence artificielle et de la vidéosurveillance à Moirans) ; nous organisons des actions de sensibilisation, d’affichage public ou des projections de documentaires pour faire connaître notre combat et convaincre de nouvelles personnes d’y prendre part. Plus largement, notamment aux travers de nos interactions avec certains médias, nous cherchons à sensibiliser les gens à la prolifération de ces technologies de surveillance policière et à mettre en œuvre les moyens d’y résister collectivement.

État d’urgence, État d’urgence sanitaire, procédures parlementaires accélérées, 49.3, procédures dérogatoires au droit commun… Devant la multiplication de règles de droit à géométrie variable, la question se pose : peut-on encore croire en la justice ?

À La Quadrature du Net, nous avons commencé à développer l’action contentieuse en 2015, après avoir constaté que nos stratégies d’influence parlementaire achoppaient sur un consensus sécuritaire de plus en plus prégnant, à gauche comme à droite. Notre idée d’alors était que si le législateur était incapable de protéger les droits humains inscrits au sommet de la hiérarchie des normes juridiques, si « les droits de l’Homme et du citoyen » ne trouvaient plus aucune traduction tangible dans la fabrique de la loi, alors il fallait mobiliser le terrain judiciaire contre l’alliance entre un pouvoir exécutif dopé à l’exception et un Parlement trop enclin à lui concéder les pleins pouvoirs.

Nous savons que le champ juridique agit en grande partie comme un terrain de neutralisation des revendications politiques et de la contestation de l’ordre établi. Force est de constater que les usages contestataires du droit se heurtent à toutes sortes d’obstacles techniques – par exemple la lenteur des procédures – et au fait que le plus souvent, les magistrats – et c’est en particulier le cas du Conseil d’État devant qui se soldent nos contentieux contre le gouvernement – agissent comme des garants de l’État et de sa violence.

Mais de fait, il se trouve encore des juges pour tenir tête au pouvoir politique. Nous avons remporté quelques victoires, dont certaines non négligeables, à l’image de l’interdiction de la reconnaissance faciale à l’entrée des lycées de la Région Sud ou devant la Cour de justice de l’Union européenne dans le dossier de la conservation généralisée des données (les opérateurs de télécommunications sont censés conserver les métadonnées de la population – qui communique avec qui, à quelle heure, pendant combien de temps, depuis quel endroit). Et ces jurisprudences créent un univers de contraintes autour des bureaucraties d’État. Elles permettent aussi de donner de l’écho à nos luttes politiques.

Au final, l’action juridique est ambivalente. Il y a toujours le risque qu’une défaite vienne légitimer ce contre quoi on se bat. Mais, à condition d’être articulée à d’autres modes d’action, elle reste selon nous un outil symbolique fondamental. Car en dépit de toutes leurs limites et contradictions internes, les droits humains sont un héritage des luttes démocratiques des siècles passées. Nous sommes en tout cas d’avis qu’il importe de les faire vivre en ces heures sombres. Même lorsque nous perdons ou que nous obtenons des victoires temporaires ou cosmétiques, nos recours permettent de mettre en évidence les contradictions d’un régime représentatif qui s’enfonce dans le libéralisme autoritaire, de parler aux juges dans leur langage qui prétend à l’universel et de montrer dossier après dossier à quel point l’État de droit qu’ils prétendent incarner n’est pour l’essentiel qu’un mensonge, à quel point ils demeurent pour la plupart, comme l’écrivait Pierre Bourdieu, les « gardiens de l’hypocrisie collective ». Bref, lorsqu’il est bien manié et complété par d’autres moyens de lutte, le droit peut en réalité être un moyen de délégitimer le pouvoir et donc d’y résister.

Selon tous les indicateurs, les prochaines années vont être secouées de multiples crises (climatique, sanitaire, économique…), que Jérôme Baschet unifie sous le terme de « crise systémique du capitalisme ». Dans le contexte de nouvelles tensions géopolitiques entre grandes puissances (Russie vs Ukraine/Europe, Chine vs Taïwan/usa,…), avec toutes les entorses au droit que cela permet, et avec le développement de moyens technologiques toujours plus puissants, quelles évolutions du contrôle social envisagez‑vous pour les prochaines années ?

Nous n’avons évidemment pas de boule de cristal et il est reste très compliqué de faire des prédictions, à fortiori dans un environnement politique aussi tumultueux. Sans doute la crise sanitaire a-t-elle offert un bon aperçu de ces nouvelles formes de contrôle social qui vont continuer à se développer dans les prochaines années, ou revenir en force à l’aune des prochaines « crises ».

La reprise en main d’Internet risque de se poursuivre au rythme de sa place toujours plus importante dans l’infrastructure de nos sociétés de masse. Les quelques espaces alternatifs qu’une association comme La Quadrature du Net s’est donné pour objectif de défendre risquent de connaître une marginalité encore plus grande qu’aujourd’hui. Dans le même temps, les espaces « mainstreams » – fussent-ils la propriété de libertariens comme Elon Musk – continueront de s’insérer dans les politiques de contrôle étatiques. Ils seront les seuls à pouvoir surnager dans un océan de normes toujours plus drastiques en matière de censure, de surveillance ou de cybersécurité, tout en continuant de jouer un rôle dans les compétitions géopolitiques internationales. Ainsi, la censure extra-judiciaire d’Internet a beaucoup progressé ces dernières années, que ce soit au prétexte de lutter contre la propagande terroriste et les discours de haine que de combattre la désinformation scientifique, comme on l’a vu pendant la crise sanitaire. Les élites politiques prétendent s’armer contre la position dominante d’acteurs comme Google, Microsoft et consorts. La réalité, c’est que les dispositifs mis en place consacrent ces entreprises dans le rôle de points de contrôle sur lesquels peut s’appuyer la reprise en main d’Internet.

Il y a aussi l’automatisation croissante de l’ensemble des structures bureaucratiques qui nous administrent, de Parcousup à Linky en passant par les algorithmes de la CAF ou de Pôle Emploi. La déshumanisation bureaucratique va se poursuivre sous les oripeaux de la « transformation numérique » de l’État et du marché, cherchant à invisibiliser le déni de justice et la violence de classe liés à ces bureaucraties, le tout sous couvert d’efficacité. La 5G et la domotique s’inscrivent dans ce mouvement vers une capillarité croissante de l’infrastructure numérique, insérant nos existences dans la trame toujours plus resserrée d’administrations centralisées.

Et puis il y a les questions d’identité numérique. Les plans en la matière au niveau européen ou français permettront demain de confier à n’importe quelle personne munie d’un smartphone la mission de contrôler les allées et venues de la population, la capacité de les retracer dans le temps encore plus finement que ne le permettent les réseaux de télécommunications, de réguler l’accès à certains espaces ou services sans forcément en passer par la police, et ce à un coût extrêmement faible pour l’État puisque nous avons déjà financé l’essentiel de cette infrastructure en achetant nous-mêmes nos smartphones. Depuis le mois d’août 2021, les cartes d’identité délivrées en France embarquent un code en deux dimensions contenant les données d’état civil et l’adresse du domicile – des informations lisibles par n’importe qui – et une puce biométrique lisible pour l’instant pour les seuls usages « régaliens ». Quelques jours plus tard, la multinationale française de l’identité Idemia a été retenue par l’Agence nationale des titres sécurisés (ANTS) dans le cadre du programme interministériel France Identité Numérique. Le but de ce marché public est de permettre de contrôler l’identité d’une personne à l’aide d’un smartphone et de la nouvelle carte d’identité électronique. Ces évolutions préparent dans l’Hexagone la généralisation du « portefeuille d’identité numérique » européen prévue pour 2024, et promue par le commissaire européen Thierry Breton.

Ce qui se passe en Chine sur le plan du contrôle numérique nous concerne assez directement. En effet, derrière les stratégies de distinction des élites européennes, la modernisation à marche forcée de la société chinoise en lien avec l’édification d’un système techno-sécuritaire spectaculaire contribue à un véritable soft-power de l’Empire du milieu auprès des élites européennes. Comme le résume Junius Frey dans la préface française d’un livre du philosophe Yuk Hui, « la gouvernementalité chinoise sert d’ores et déjà de modèle aux formes occidentales d’exercice de la puissance ». Après, ici comme là-bas, on sent bien à quel point toutes ces tendances sont fragiles. Elles sont non seulement insoutenables au plan écologique – sauf à finir de mettre la planète à sac – et elles restent soumises à de multiples résistances.

Outre son impact en termes de contrôle social, il nous semble que la technologie a d’autres aspects négatifs : emprise totalitaire sur nos vies, aliénation (chacun rivé sur son écran à regarder des vidéos pour se divertir), dépendance de plus en plus accrue à l’énergie et aux matières premières… Pensez-vous que c’est simplement l’usage policier de la technologie qui est problématique ? Ou bien la technologie est-elle la manifestation de la démesure humaine à l’ère industrielle ? En d’autres termes : selon vous la technologie est-elle neutre ?

Bien sûr que non, la technologie n’est pas neutre : bien qu’elle soit plurielle et elle aussi soumise à des tendances contradictoires, elle est globalement produite – et elle tend généralement à reproduire – un système politique, économique et social à la fois écocide, capitaliste, raciste, patriarcal. Et oui, la technologie porte en elle la démesure d’un système technicien mis presque tout entier au service de l’édification de sociétés de masse inégalitaires, bureaucratisées et industrialisées.

Nous sommes parties prenantes d’un milieu militant qui a largement bercé dans les utopies fondatrices d’Internet, mais l’expérience politique collective qu’est La Quadrature du Net nous a permis de nous en départir. Même si nos moyens limités nous conduisent à mettre l’accent sur tel ou tel sujet selon les moments, notre action collective est loin de se réduire aux seuls sujets liés à la Technopolice, bien qu’ils soient sans doute les plus visibles ces temps-ci. Nous voyons évidemment plus loin que les usages policiers et nous sommes bien conscients de l’imbrication entre technologies numériques et les différentes formes de pouvoir qui régissent nos existences.

L’une des difficultés, une fois que l’on admet cette non-neutralité de la technique, c’est que le numérique est un fait social total et qu’il est très difficile aujourd’hui d’exister socialement ou politiquement sans en passer par lui. Ce qui pose la question de la place que l’on accorde aux usages alternatifs de l’informatique, des formes d’adoption minimale auxquelles nous consentons malgré tout, et la manière dont on peut les articuler à des stratégies d’évitement ou de contestation des infrastructures numériques existantes. Sur ces sujets notamment, il existe des positions et des pratiques diverses au sein de notre collectif. Nous tâchons de nous nourrir de cette diversité et des débats qu’elle suscite.

Que faire face à ce déferlement de contrôle ? Peut‑on revenir en arrière ? Quels moyens de résistance pensez‑vous efficaces ?

Revenir sur les lois sécuritaires et les régimes d’exception est bien évidemment possible, mais soyons lucides : le vent de l’histoire n’est pas favorable. Sur le plan de la matérialité technologique, revenir en arrière est impossible. Nous héritons quoiqu’il arrive de quantités d’infrastructures numériques qu’il faudra pour certaines maintenir – au moins un temps –, d’autres dont il faudra organiser le démantèlement immédiat, le tout en s’occupant de milieux saccagés dont nous devrons tâcher de tirer nos moyens d’existence.

Quant aux stratégies de résistance efficaces, notre sentiment personnel, c’est que même si certaines sont plus pertinentes que d’autres, il ne faut en rejeter aucune à priori. De l’entrisme au sabotage, toutes peuvent avoir leur efficacité dans un contexte donné. À chacun de décider ce qui lui incombe de faire, selon ses positions sociales et ses appétences, en essayant d’apprendre constamment de nos échecs et de nos erreurs ; d’être lucide, d’ajuster le diagnostic et de réviser nos tactiques avant de réessayer.

L’efficacité politique de nos luttes dépend sans doute pour beaucoup de notre capacité à articuler toutes ces différentes manières de faire, à nourrir un dialogue et des solidarités entre elles en faisant preuve de réflexivité, en les arrimant à un horizon commun de rupture avec le système existant pour faire percoler la radicalité. Même lorsque tout peut sembler perdu, rappelons-nous qu’à travers l’histoire, des pouvoirs en apparence inébranlables se sont avérés extrêmement fragiles. Des stratégies réfléchies et la contingence de l’histoire peuvent en venir à bout bien plus vite qu’il n’y paraît.

• Le mensonge de la biométrie : le gouvernement a répété et inscrit dans la loi que la VSA ne relevait pas de la surveillance biométrique. C’est totalement faux. Cette technologie identifie, analyse, classe en permanence les corps, les attributs physiques, les gestes, les silhouettes, les démarches, qui sont incontestablement des données biométriques. Nous n’avons cessé de l’expliquer (voir notre note et notre video), de le rabâcher aux rapporteurs du Sénat et de l’Assemblée ainsi qu’aux députés, comme l’ont également fait 38 organisations internationales et une quarantaine d’eurodéputés qui ont récemment interpellé le gouvernement. Mais celui-ci a continué de s’enfoncer dans ce mensonge à la fois technique et juridique. Ainsi la France viole à nouveau le droit de l’Union européenne et consacre sa place de championne européenne de la surveillance.
  
• Le mensonge de l’utilité : le gouvernement a utilisé les Jeux olympiques comme prétexte pour atteindre plus vite l’objectif, fixé depuis des années, de légaliser ces technologies, s’inscrivant par là dans la « tradition », observée partout ailleurs et consistant à instrumentaliser de façon très opportuniste les méga-évènements internationaux. Le gouvernement a réussi à faire croire à une nécessité, fabriquée de toute pièce, pour « repérer les colis suspects » ou « prévenir les mouvements de foule ». Ces évènements sont soudainement devenus la nouvelle priorité du ministère de l’Intérieur et des députés zélés, qui n’ont cessé de résumer la sécurité des JO à ces situations, rarement identifiées comme prioritaires en temps normal, et dont nous démontrions ici que la résolution dépend davantage de maîtrise humaine que de technologie. Ainsi, la VSA a été acceptée sur le seul fondement d’un mythe bien ancré selon lequel la technologie permettrait d’assurer magiquement la sécurité, sans qu’aucune évaluation ni démonstration de l’utilité ou de la proportionnalité de ces technologies très opaques n’ait jamais été honnêtement réalisée.
  
• Le mensonge technique : l’application principale de la VSA consiste à identifier des comportements que la police aura préalablement définis comme « suspects ». Arbitraire et dangereux par essence, le fonctionnement de ces algorithmes n’a jamais été expliqué par le gouvernement : et pour cause, il n’est sans doute pas compris par la majorité des décideurs… Incompétence inexcusable ou volonté assumée de noyer le poisson, dans tous les cas, cela a ramené les débats parlementaires à un niveau extrêmement bas, qui n’est pas à la hauteur des enjeux gravissimes soulevés par ces technologies biométriques. Grâce à l’aide des rapporteurs Renaissance Guillaume Vuilletet et Sacha Houlié (le remplaçant) et de quelques députés, ce sont les rhétoriques de minimisation tirées des arguments de vente des entreprises de la VSA, les mensonges et les inepties techniques qui ont prédominé. Ce qui en ressort, c’est l’incapacité patente du Parlement à discuter de questions techniques, mais surtout la crainte légitime que la société doit avoir pour le futur, au vu de l’incompétence des représentants à appréhender les contours et les dangers des prochaines technologies qui émergeront.

À l’heure où les images de violences policières inondent les écrans, où la police, armée de matraques, assure le service après-vente de mesures impopulaires au possible, l’accentuation de la surveillance policière participe d’une stratégie politique visant à étouffer toute contestation.

Il faut dénoncer ces manœuvres permettant à l’État de détourner la réalité des prérogatives de surveillance qu’il s’arroge. Particulièrement dans un contexte où les mots sont sciemment déviés de leur sens, où l’on tente de nous convaincre que « la surveillance c’est la protection », que « la sécurité c’est la liberté », et que « la démocratie c’est le passage en force ». Il est nécessaire de visibiliser, de contrer ce faux jeu démocratique, et de remettre en cause sans relâche les pouvoirs exorbitants attribués à l’appareil policier français. Il n’est pas nécessaire d’évoquer une dystopie « à la chinoise » pour prendre la mesure des dangers. Mieux vaut regarder l’histoire française et le climat politique actuel, pour mesurer et comprendre la fuite en avant sécuritaire visible depuis vingt ans : toujours plus de caméras, de surveillance et de fichiers, dans une dépolitisation croissante des enjeux sociaux, et une perte de repères des décideurs politiques. Ainsi, les débats sur la loi JO ont principalement brillé par la perte de boussole politique des dirigeants qui semblent hermétiques à tout questionnement sur ces sujets.

Cette première légalisation de la vidéosurveillance automatisée est une victoire d’étape pour les industries sécuritaires françaises. Elles qui demandaient depuis des années à pouvoir tester leurs algorithmes sur les populations, pour les perfectionner et les vendre à l’international, les voilà servies. Bientôt Thales, XXII, Two-I et Neuroo pourront vendre leurs logiciels biométriques à d’autres États, tout comme Idemia a vendu sa technologie de reconnaissance faciale à la Chine. La startup XXII n’a même pas attendu le vote de la loi pour annoncer en fanfare qu’elle avait levé 22 millions d’euros pour devenir, selon ses mots « le leader européen » de la VSA.

Du côté des institutions censées préserver les libertés, comme la CNIL, on note une démission totale. Institution dotée de véritables capacités de contre-pouvoir pour mesurer les velléités étatiques de surveillance à sa création en 1978, la CNIL est devenue un service après-vente des mesures gouvernementales et s’applique méticuleusement à accompagner les entreprises à exercer une « bonne » surveillance afin de préserver les intérêts économiques de l’industrie en dépit de toute considération pour les droits et libertés collectives.

Cette première légalisation de la vidéosurveillance automatisée va nécessairement ouvrir la voie à toutes les autres technologies de surveillance biométrique : audiosurveillance algorithmique, reconnaissance faciale, suivi biométrique des personnes a posteriori…

Nous n’allons pas lâcher le combat, nous continuerons de dénoncer les mensonges du gouvernement, nous serons présents dès que la première expérimentation sera mise en œuvre pour documenter les abus inévitables auxquels conduisent ces technologies. Nous chercherons des moyens de les contester devant les tribunaux, et nous nous battrons pour que cette expérimentation ne conduise pas, comme c’est hélas probable, à leur pérennisation.
Et nous continuerons de refuser ces technologies et la Technopolice qu’elles incarnent, notamment en nous battant au niveau européen pour obtenir leur interdiction.

Alors si vous voulez nous aider dans cette lutte, gardez un œil sur ce qu’on pourra lancer dans les mois à venir, et si vous le pouvez n’hésitez pas à faire un don !

Dans un précédent article, nous revenions sur les stratégies d’acceptation des technologies biométriques utilisées par les industriels et les politiques. Nous avions listé quelques-unes de ces stratégies, comme la dépolitisation des mesures de surveillance, l’expérimentation pour faire croire à leur côté éphémère, la dialectique du progrès versus les réactionnaires qui refusent de tels dispositifs… Et l’une d’entre elles consiste à être opportuniste, c’est-à-dire à utiliser n’importe quel événement ou actualité médiatique pour justifier l’utilisation de la vidéosurveillance algorithmique, et même parfois la reconnaissance faciale.
Le fiasco du Stade de France est un de ces évènements. Durant les débats à l’Assemblée et au Sénat, le ministère de l’Intérieur, de même que les députés et sénateurs de la majorité, n’ont pas cessé de faire référence à la finale de la Ligue des champions comme exemple ultime de la nécessité pour la France de se doter en algorithmes d’analyse d’images afin de garantir la sécurité lors de grands événements comme les Jeux olympiques. En réalité, il s’agit plutôt d’instrumentaliser une catastrophe pour cacher un échec, le cas du Stade de France étant un parfait contre-exemple pour montrer que la technologie sécuritaire ne fonctionne visiblement pas.

Rappel des faits

Le 28 mai 2022 avait lieu la finale de la Ligue des champions de football, opposant les clubs de Liverpool et du Réal de Madrid. Mais suite à une conjonction d’événements, la soirée a viré au drame : le RER B en grève, les autorités décidant de placer un point de contrôle pour plusieurs milliers de personnes en amont, à la sortie d’un corridor sous l’autoroute, finalement enlevé en fin de journée pour risque de piétinement. Ensuite des temps d’attente interminables avant d’entrer dans le stade, sans aucune information ni indication, des supporters agressés, les grilles du stade de France fermées, des personnes qui s’agglutinent et enfin l’usage de gaz lacrymogène par la police par dessus tout ça. Finalement, le coup de sifflet sera donné avec plus de 30 minutes de retard. Cet article, qui reprend le rapport cinglant de l’UEFA (Union des associations européennes de football), livre des témoignages glaçants de supporters.

L’instrumentalisation de l’événement

Dans un rapport sénatorial chargé de faire la lumière sur les événements et publié en juillet 2022, les élus étrillaient le ministère de l’Intérieur et son chef, G. Darmanin, pour « dysfonctionnement » et « défaillances ». L’Intérieur est accusé : « Les premières déclarations ne correspondaient pas à la vérité », et sont pointées les « défaillances » de la préfecture de police de Paris. Défaillances reprises par le rapport de l’UEFA, qui, à l’aune de centaines de témoignages, analyse les failles de la gestion sécuritaire de la préfecture de police de Paris et de l’Intérieur.

Si la situation n’a pas débouché sur une catastrophe, le rapport de l’UEFA
estime notamment que c’est uniquement grâce au sang froid des supporters : « Mieux organisés et plus réactifs que les policiers et les gendarmes chargés de veiller à leur sécurité, ces fans de Liverpool ou de Madrid n’ont dû leur salut qu’à une solidarité sans faille et une capacité à se discipliner qui forcent l’admiration dans un contexte aussi résolument hostile à leur endroit. »

L’ensemble de ces rapports mettent donc clairement en lumière la responsabilité de la préfecture de police de Paris et du ministère de l’Intérieur dans l’échec de la gestion de cet événement. La colère ne faiblit pas pour les supporters de Liverpool, qui déplient lors d’un match en février dernier des banderoles qui accusent le ministre de l’Intérieur et la ministre des Sports d’être des « menteurs ».

Mais dès les jours suivant ce qui était déjà communément désigné comme le « fiasco du Stade de France », le maire de Nice, Christian Estrosi sautait sur l’occasion : « Nous sommes équipés, nous avons les logiciels, nous avons des start-ups et des grands industriels, y compris français comme Thalès, qui ont des systèmes très au point pour garantir les libertés individuelles, et que seules les personnes fichées puissent être détectées par l’intelligence artificielle ».

Du côté de l’Intérieur, après s’être embrouillé dans des pseudo-justifications de dizaines de milliers de faux billets imaginaires, G. Darmanin commence à réciter une fable : celle de la VSA et de sa nécessité afin d’éviter des violences comme celles ayant eu lieu au Stade de France. En janvier 2023 devant le Sénat , c’est la ministre des sports et jeux olympiques et paralympiques, Amélie Oudéa-Castéra (qui défend la loi avec le ministre de l’Intérieur) qui revient dessus lors de la présentation des dispositions de l’article 7 et se félicite de ne pas utiliser de reconnaissance faciale « En matière de sécurité, nous entendons enfin tirer tous les enseignements des événements survenus au Stade de France le 28 mai dernier ».

Et la vidéosurveillance algorithmique ne manque pas de soutien dans l’hémicycle, elle est plébiscitée par l’extrême-droite, qui reprend parfaitement l’argumentaire de la majorité :

Yoann Gillet (RN) : « L’organisation des Jeux olympiques et paralympiques rend cruciale cette question. Au vu des défaillances majeures constatées en mai 2022 au Stade de France, le groupe Rassemblement national réclame des actions concrètes et adaptées pour assurer la sécurité intérieure du pays. Le traitement algorithmique des images de vidéosurveillance, prévu à titre expérimental par l’article 7, est un outil indispensable pour identifier les risques qui pourraient menacer la sécurité des personnes pendant cette manifestation internationale ».

Le ministre de l’Intérieur utilise notamment un point, qu’on retrouve parmi une liste de plusieurs dizaines de recommandations dans le rapport sénatorial précédemment cité, à savoir celui qui préconise le recours à l’intelligence artificielle pour éviter d’autres situations comme celle du Stade de France. La petite histoire commence alors.

Lors des discussions sur la loi JO, le 24 janvier dernier, le sénateur Thomas Dossu, résume parfaitement l’absurdité de ce technosolutionnisme :

«  Disons-le clairement, voir émerger cette recommandation dans ce rapport avait déjà un caractère saugrenu. En effet, l’intelligence artificielle aurait-elle permis d’éviter la défaillance dans l’orientation des supporters anglais ? L’intelligence artificielle aurait-elle déconseillé l’usage immodéré des gaz lacrymogènes sur des supporters pacifiques ? L’intelligence artificielle aurait-elle tiré, en amont, les conclusions d’une grève touchant l’une des deux lignes de RER qui menaient au Stade de France ? En d’autres termes, l’intelligence artificielle aurait-elle fait mieux que les intelligences combinées du ministre Darmanin et du préfet Lallement ? Aussi surprenant que cela puisse paraître, je ne le pense pas. »

Ainsi, on passe d’un événement où la responsabilité des forces de police françaises est mise en cause à la soi-disant nécessité d’une extension des pouvoirs de surveillance de cette même police, à travers l’ajout d’algorithmes aux caméras. Cette instrumentalisation de l’événement pour cacher un échec est bien pratique. À un peu plus d’un an des Jeux olympiques, le gouvernement français joue sa crédibilité : s’il est incapable de gérer une finale de Ligue des champions, comment pourrait-il accueillir un méga-évènement comme les JO ? Plutôt que d’avouer son échec, il jette de la poudre aux yeux en déviant sur la pseudo nécessité de la vidéosurveillance algorithmique.
Depuis le début des débats sur la loi JO, la prévention des « mouvements de foule » est alors mise en avant par la majorité comme l’usage principal de cette technologie. D’une part, cela invisibilise – à dessein- les applications bien plus dangereuses de la VSA. D’autre part, le gouvernement infuse de cette manière dans le débat une source d’insécurité fabriquée de toute pièce et qui n’avait jamais pris autant d’importance lors des autres évènements organisés en France.

La VSA aurait-elle pu être utile pour éviter le fiasco ?

Idée reçue : La VSA permettrait à la police d’être mieux organisée

Le fiasco du Stade de France est de toute évidence instrumentalisé pour promouvoir la VSA : mais celle-ci pourrait-elle quand même être efficace face à de tels événements ?
Le problème majeur de cette finale de la Ligue des champions n’a pas été le manque de technologie pour gérer la foule, mais bien la stratégie du maintien de l’ordre de l’Intérieur et de la préfecture, comme l’exposent les différents rapports précédemment cités, avec des erreurs de gestion de foule (contrôle des tickets dans des endroits trop étroits, ligne de RER en grève) couplées au gazage à tout-va des supporters. On voit mal comment la vidéosurveillance algorithmique aurait permis à l’évènement d’être mieux organisé ou à la police d’être moins violente…

Si la rengaine du technosolutionnisme presque magique, qui pourrait résoudre tous les problèmes, est régulièrement utilisée, elle laisse complètement dubitative dans ce cas-là. Le Stade de France compte 260 caméras de vidéosurveillance, pourtant celles-ci n’ont pas servi à grand-chose. Les bandes ont d’ailleurs étrangement été effacées au bout d’une semaine, personne n’ayant visiblement pensé à les réquisitionner : ni le tribunal, ni les sénateurs n’ont pu avoir accès aux images. En quoi l’ajout d’algorithmes aurait-il pu empêcher un tel événement ? Au contraire, le fiasco du Stade de France montre bien qu’une politique de sécurité répressive et inhumaine, dans laquelle les caméras et la VSA s’inscrivent largement et où la police est en partie à l’origine des mouvements de foule, n’aboutit qu’à la violence

Si l’Intérieur souhaite réellement éviter la reproduction de tels événements, il faudrait plutôt songer à changer la doctrine du maintien de l’ordre et s’enquérir de gestion humaine de l’espace : s’assurer d’avoir des couloirs assez grands, d’indiquer les guichets, d’avoir des agents multilingues pour orienter les supporters, d’informer en temps réel sur ce qui se passe, et de défaire les préjugés des forces de l’ordre sur le « hooliganisme anglais »…

Idée reçue : La VSA permettrait de détecter et prévenir des mouvements de foule

Pour éviter les mouvements de foules, les chercheurs dans le domaine pointent l’importance de l’organisation spatiale en amont, la nécessité de poster des humains pour orienter et aider les personnes présentes, le désengorgement des transports… Toutes solutions sans rapport avec la vidéosurveillance, qui ne peut clairement rien pour prévenir les mouvements de foule.

La concentration de milliers de personnes en un même endroit nécessite certes une préparation en amont, mais une fois la foule réunie, qu’est ce que la VSA pourrait repérer qui ne serait perceptible par des humains ? Et si un mouvement de foule se déclenche effectivement, la technologie biométrique ne peut ni porter secours ni réorienter les personnes pour diminuer la densité. On voit donc mal ce que la VSA apporterait sur le sujet. Rappelons également que chaque semaine depuis des décennies, des stades se remplissent et se vident en France. A notre connaissance, il n’a pas été documenté ou identifié de nouveaux problème majeurs de mouvements de foule qui nécessite de changer le savoir faire humain habituellement mis en œuvre dans ces lieux.

Que ce soit dans la prévention ou la résolution de tels mouvements, la technologie n’est pas une aide. Ici, c’est au contraire une stratégie afin d’orienter le débat et le dépolitiser. La vraie question est ailleurs : la VSA n’est pas un outil « neutre » d’aide à la décision, mais s’inscrit dans des stratégies de répression qui ont conduit à produire le fiasco du Stade de France.

Conclusion :

La référence au fiasco du Stade de France pour justifier le recours à la vidéosurveillance algorithmique ne tient pas l’analyse une seconde. Il est donc clair qu’il s’agit davantage d’une tentative d’utiliser un choc émotionnel provoqué par une catastrophe et d’essayer de couvrir un échec organisationnel et de répression policière. Mais surtout, en imposant ce faux débat dans les discussions sur la VSA, le gouvernement parvient à étouffer les véritables enjeux liés aux dangers de ces technologies. Le sujet des mouvements de foule a monopolisé les discussions sur la loi JO en commission des lois, empêchant les députés de questionner en profondeur les usages bien plus problématiques de ces algorithmes. Ainsi, la définition de « comportement suspect » ou le suivi biométrique des personnes dans la rue n’ont quasiment pas été débattus alors qu’il s’agit d’applications existantes et dangereuses, promues et développées par les entreprises de VSA qui seront chargées des expérimentations.

La légalisation de la VSA ne permettra pas d’empêcher les fiascos tels que celui ayant eu lieu lors de la finale de la Ligue des champions, mais contribuera bien à augmenter les capacités de surveillance de l’État et la répression de la population. Il faut contrer les manœuvres du gouvernement et regarder en face la société de surveillance qu’il est en train de faire accepter. Refusons toutes et tous l’article 7 !

Le résultat a été stupéfiant : à peine une semaine avant le vote en commission, aucun député n’était réellement informé sur le sujet. Ces derniers justifient leur manque d’investissement sur le sujet en pointant du doigt un agenda législatif très chargé. D’autres assument ne pas s’intéresser au sujet et suivre l’avis des responsables du dossier au sein de leur parti. Alors qu’il s’agit de la légalisation d’une des technologies les plus graves de la dernière décennie, de l’acceptation en creux d’une société de surveillance, les députés sont aux abonnés absents.

Sans surprise donc, le jour des débats en commission, très peu de députés ont pris la parole sur le sujet. À coté de celles et ceux de droite ou d’extrême droite ne jurant que par la sécurité et la protection qui seraient inhérentes à la VSA, les élus de la majorité ont été totalement silencieux et n’ont quasiment pas pris la parole (les groupes Horizons et Renaissance n’ont déposé que quelques amendements). Plus effrayant encore, les quelques députés censés être chargés du sujet ont fait étalage de connaissances très approximatives sur les technologies utilisées par la VSA et ont énoncé nombre d’absurdités avec une grande assurance.

Le champion de cette catégorie est sans aucun doute Philippe Latombe, député Modem, fraîchement nommé à la CNIL et autoproclamé spécialiste de la VSA, alors même que ses liens avec l’industrie sont plus que visibles. Ce dernier assumait en effet pousser pour la légalisation de VSA au salon Expo Protection en novembre 2022, durant lequel il a d’ailleurs été qualifié de « coéquipier » par Sébastien Garnault, représentant du lobby CyberTaskForce. Il a également rencontré le lobby de la vidéosurveillance AN2V dont le président Dominique Legrand regrette que l’impasse ait été faite, dans le texte de loi, sur « la détection des anomalies sonores […] telles qu’un coup de feu ou un bris de vitre. ». Qu’il se console, Philippe Latombe est là pour proposer un amendement sur la surveillance sonore !

De manière générale, le passage en revue des interventions des députés démontre leurs véritables intentions politiques pro-business sécuritaire, mais révèle qu’une fois de plus les parlementaires ne savent pas ce qu’ils votent.

Les jeux de données

Une des incohérences les plus grossières avancées en commission a été de laisser penser qu’en maîtrisant les données fournies aux systèmes d’IA pour apprendre à reconnaître les prétendus comportements « suspects », on pourrait empêcher toute mauvaise utilisation ou « biais » de ces algorithmes. Cette affirmation révèle une compréhension très lacunaire de l’impact de l’usage des données captées dans l’espace public.

• Le caractère « biaisé » de certains jeux de données

la question de la construction du jeu de données — sa représentativité en terme de diversité de genre, d’ethnie, d’âge, etc. — est devenue incontournable. Le cas du logiciel COMPAS, utilisé par certaines juridictions américaines et dont l’objectif était de détecter les possibilités de récidive en fonction des éléments d’un dossier policier, a popularisé les dérives de l’automatisation de la prise de décision. Le programme avait appris sur un jeu de données qui embarquait les décisions racistes du dispositif de police américain concerné, et avait déduit qu’une des caractéristiques principales liée à la récidive était la couleur de peau. On peut trouver d’autres exemples plus récents en parcourant la AI Incident Database.

Le problème est souvent présenté de cette manière : « Lorsque l’on recueille des données et que l’on recherche des corrélations entre elles, on peut aboutir à des résultats orientés si dans le jeu de données, une corrélation est surreprésentée ». On qualifie alors souvent de « biaisé » le jeu de données de départ et l’algorithme ainsi entraîné à partir de ces données. Cette qualification sous-entend qu’il serait possible d’avoir un algorithme neutre, fournissant une analyse objective de la réalité. En fait, si l’on reprend l’exemple de COMPAS, ce n’est pas un « biais », une erreur, qui a conduit à l’automatisation de décisions racistes de la part de l’algorithme, mais bel est bien le fait que les données réelles à partir desquelles on entraîne les machines sont des données produites par des humains et donc teintées d’opinions et portant en leur sein toutes les oppressions existant dans la société. Présenter le problème comme un « biais », c’est penser que le problème est technique alors qu’il s’agit d’un problème politique. C’est aussi reproduire le vain idéal d’une technique neutre, qui n’existe pas : toute technique est formatée par ses conditions de production, et par l’intention de ses auteurs.

La VSA, c’est la surveillance des espaces publics. Dans ces lieux il y a une surreprésentation des personnes précaires et marginalisées par rapport à la population globale, il y a aussi plus d’hommes, moins de personnes très jeunes ou très âgées. Cette surreprésentation se retrouve donc aussi dans les flux vidéo issus de la surveillance de ces espaces. Peut-on pour autant dire que les jeux de données issus de ces captations sont « biaisés » ? Non, cet état de fait n’est pas la conséquence d’une erreur de constitution d’un jeu de données mais bien de la décision politique, ciblée et discriminatoire, de vouloir renforcer la répression précisément dans ces espaces.

Plutôt que de confronter la réalité politique du choix des lieux d’implantation et des populations visées, les défenseurs du texte se cachent derrière des réponses techniques inopérantes relatives à de prétendus « biais ». Par exemple, Philippe Latombe explique :

«Le vrai souci sur l’IA c’est de s’assurer qu’il n’y a pas de biais. Il y a une façon assez simple qui est celle prévue par la CNIL notamment, c’est de dire « on vous donne des jeux de données, on sait exactement ce qu’il y a dans ces jeux de données, on sait ce qu’on doit attendre comme résultat positif mais aussi ce qu’il ne faut pas que nous ayons comme résultat négatif », et dans ces cas là on saura si le traitement est loyal ou pas loyal, s’il y a des biais ou s’il y a pas de biais.(…) Il faut des jeux de données standardisées.»

Pour résoudre ce soi-disant problème, il demande à ce que l’État fournisse lui-même des jeux de données aux entreprises, persuadé que cela permettrait de « pouvoir vérifier justement que les algorithmes n’ont pas de biais » et qu’avoir un laboratoire public [comme le NIST] permettrait de « prouver que l’algorithme il est loyal, il n’y a pas de biais, que les biais sont maîtrisés et qu’il n’y a pas de discrimination » (à écouter ici et là).
M. Latombe manie l’argument du recours à l’État comme figure d’autorité rassurante, faisant mine d’oublier que le droit à la sûreté individuelle est précisément censé protéger aussi contre l’arbitraire de l’État.

Il est rejoint sur ce point par le rapporteur Guillaume Vuilletet, qui explique que « le fait de fournir des données à un algorithme pour le nourrir, faire en sorte qu’il apprenne et qu’il évite les biais est consubstantiel de la démarche algorithmique ». Mais en réalité, cela signifie d’ouvrir l’accès aux images des caméras publiques à des entreprises privées pour qu’elles puissent utiliser les vidéos des personnes dans la rue, désignées cobayes involontaires, pour alimenter généreusement leurs logiciels. Une manne de données gratuites mises au profit d’entreprises privées.

La discrimination des populations imposée par la VSA n’est pas circonscrite à la seule sélection des jeux de données. En réalité, les conséquences les plus problématiques résultent davantage des fonctionnalités qui sont développées dans les logiciels et qui visent précisément les publics les plus vulnérables. Si le simple fait d’augmenter la répression dans les espaces publics est déjà discriminatoire, le fait que la VSA ait pour but de repérer les personnes allongées (personnes sans abri), les regroupements de personnes (personnes n’ayant accès qu’à des espaces publics pour se retrouver) tout en qualifiant ouvertement tous ces comportements de « suspects » est encore plus discriminatoire et problématique. Sans parler de l’atteinte potentielle aux droits fondamentaux de réunion, d’expression et de manifestation sur la voie publique. Cette question très inquiétante de la qualification des « comportements suspects » n’a cependant pas été développée lors des discussions en commission, alors qu’il s’agit d’un des problèmes majeurs de cette loi.

• Les usages possibles d’un jeu de données particulier

Plusieurs fois au cours des débats, les députés ont sous-entendu que les algorithmes n’étaient utiles que dans un cadre similaire à celui dans lequel ils ont été entraînés. Le rapporteur du texte, Guillaume Vuilletet lui-même, dit par exemple :

«La réalité c’est que c’est parfaitement borné. Les fournisseurs ne pourront pas revendre ailleurs ce qu’ils ont fait avec des cas d’usage. Ce que nous expérimentons ce sont des cas d’usage. Comme les JO ne reviendront pas à Paris avant un siècle, avant qu’on ait la configuration géographique et périmétrique du stade de France ou d’un autre site, ça ne veut rien dire.»

Le but est de minimiser le danger de la VSA et de prétendre que les algorithmes ne fonctionnent pas de manière générale mais seulement dans un contexte donné, parce que leur apprentissage s’est déroulé dans un contexte et pour un usage déterminé. Ceci est totalement faux. En réalité, les algorithmes entraînés sur les images des JO pourront tout à fait être utilisés à l’avenir pour surveiller les foules dans un contexte différent (une manifestation, par exemple). Encore pire, ces algorithmes développés par des entreprises privées utilisant la population comme cobaye pourront parfaitement être revendus, par la suite, à d’autres pays. Idémia, société française et leader du marché international de la reconnaissance faciale, pourra continuer à vendre ses algorithmes à la Chine.

On comprend qu’il importe peu que les données d’entraînement soient supprimées, ou propres à un contexte particulier : le résultat auquel elles ont permis d’aboutir sera conservé et pourra servir à une multitude d’applications qui peuvent être différentes du contexte premier de l’expérimentation.
Ce qui a de la valeur et qui sert à des usages futurs, ce sont la quantité de données utilisées et le modèle entraîné qui en résulte.

Est-ce par stratégie ou par méconnaissance que le rapporteur du texte affirme de telles absurdités ? Que ce soit l’une ou l’autre de ces explications, nous avons de grandes raisons de nous inquiéter de laisser l’avenir de la surveillance biométrique entre ses mains.

La fausse neutralité de l’automatisation

Ce qui ressort également des interventions des défenseurs de la VSA, c’est une croyance aveugle en la neutralité des outils techniques et en leur potentialité à résoudre facilement les problèmes politiques auxquels ces mêmes défenseurs seraient censés se confronter.

À entendre les députés, l’IA serait une forme de baguette magique statistique qui permettrait de révéler des corrélations invisibles pour l’humain et de détecter, comme par miracle, les signes précurseurs de mouvements de foule ou d’attentats terroristes. Cela relève du fantasme : toute la conception de l’algorithme est guidée du début à la fin par l’humain et implique un ensemble de prises de décisions techniques et politiques.

Outre le choix du jeu de données évoqué plus haut, dont on a vu qu’il influençait considérablement les décisions prises par l’algorithme, on trouve dans le processus d’élaboration d’un logiciel de VSA d’autres étapes qui orientent la décision finale et imposent à leurs concepteurs de faire des choix qui resteront inscrits dans le logiciel.

L’entraînement du modèle, c’est à dire le moment où les données sont fournies à l’algorithme pour qu’il établisse des corrélations et converge vers un état final satisfaisant, est également très important. On peut voir ce processus comme le calibrage de boutons à tourner : en fonction de la position des boutons, les différentes données de l’images sont pondérées différemment dans la décision d’activer, ou non, la détection. Ces boutons sont tournés de façon automatique par l’algorithme, mais le concepteur avance « à l’aveugle » : il favorise un résultat conforme à son attente, mais sans qu’il sache avec quels critères l’algorithme est arrivé à ce résultat. Si, pour rechercher une personne « suspecte », la combinaison finale de boutons tournés aboutit à ce que l’algorithme trouve plus efficace de repérer les personnes en survêtement, ou encore les personnes de telle couleur de peau, le concepteur ne saura même pas que c’est cette information qui est décisive pour l’algorithme. Il connaîtra juste la pondération que l’algorithme a faite et choisira d’opter pour cette configuration de paramètres car c’est celle-ci qui rend ce dernier le plus efficace.

Il y a donc trois moments décisifs dans la conception de l’algorithme qui vont orienter sa décision finale (et déclencher une intervention de la police) :
– Le choix de la finalité du logiciel de VSA : autrement dit, la définition du comportement suspect (point totalement évacué par les députés lors des débats),
– Le choix du jeu de données et la manière dont il est labellisé (on en parle juste au dessus),
– Et enfin cette étape de pondération d’usage de telle ou telle caractéristique (faite à l’aveugle, sans moyen de savoir si la donnée en question est sensible).

Difficile donc, quand on connaît le fonctionnement de cette technologie de prétendre qu’elle est neutre, tant son élaboration impose de faire des choix, des choix ayant des conséquences politiques importantes.

Ainsi, lorsque Philippe Gosselin (député LR, ex membre de la CNIL, et corapporteur avec Philippe Latombe d’une mission d’information sur la vidéosurveillance) dit : « L’algorithme n’est évidemment qu’un « outil » qui ne doit pas être confondu avec une « intrusion dans la vie privée » », il s’insère exactement dans ce discours visant à prétendre que les logiciels de VSA seraient « neutres ». Il escamote la question du pouvoir conféré à L’État et à la police par la technologie, et efface en quelques secondes les sombres traces de la surveillance dans l’Histoire moderne.

Fonctionnement des algorithmes

Tout au long des discussions, les députés ont tenté des explications techniques, parfois agrémentées de mots savants, sans que cela suffise à cacher leur manque de maîtrise du sujet. Voici notre podium.

Médaille de bronze

La médaille de bronze revient au multimédaillé et favori dans sa catégorie, Philippe Latombe, qui manipule les notions juridiques d’obligation de moyens et d’obligation de résultat sans que l’on comprenne vraiment où il veut en venir. Ce qu’on comprend surtout c’est qu’il estime impossible d’évaluer techniquement la VSA et qu’il faudrait absolument l’« expérimenter » pour garantir la sécurité lors des JO. Cela, sans jamais prévoir la manière dont on évaluera l’impact réel de telles technologies de surveillance de masse, alors même que l’on a jamais eu de retour sur les résultats sue les tests réalisés depuis des années sur la VSA. .

La vision assistée par ordinateur nécessite d’avoir recours au deep learning, ou « apprentissage profond », car les flux vidéo contiennent de grandes quantités de variables impliquant de très nombreux calculs. Une simple image HD compte plus de 2 millions de pixels : il n’est pas imaginable que toutes les dimensions que nécessite son analyse soit chapeautées par un humain.

Les calculs que nécessite l’analyse de telles images sont effectués dans différentes couches de réseaux de neurones. Chaque couche a un rôle précis et permet de pondérer l’algorithme pour lui faire adopter différents comportements. Certains algorithmes comportent de si nombreuses couches que leur fonctionnement est opaque, y compris pour les data scientists qui les manipulent, souvent à tâtons, sans pourvoir dire pourquoi tel réglage fonctionne mieux que tel autre : on se retrouve face à un divorce entre, d’un côté l’intention du programmeur et ses a priori, et de l’autre ce que la machine produit effectivement comme programme. Les ingénieurs ne peuvent avoir la main que sur la correction des erreurs du résultat (est-ce bien une personne qui court ?) et non sur la manière dont le résultat est obtenu (comment l’algorithme a déduit qu’il s’agissait d’une personne qui court).

Regarder les résultats d’un algorithme ne permet donc ni une vision claire de son fonctionnement et des décisions (aux conséquences politiques) qui l’ont conduit au résultat final, ni de savoir tout ce que l’IA n’a pas réussi à reconnaître.

Ainsi, quand Philippe Latombe bafouille « Dans le cas d’un système d’intelligence artificielle reposant sur un apprentissage, il est très compliqué de valider sur le plan technique la notion d’obligation de résultat. On valide éventuellement un logiciel ou un traitement algorithmique au départ, mais en fonction de l’apprentissage, ils peuvent évoluer. (…) il faut assumer le fait qu’il soit impossible de recourir à un algorithme s’il a évolué et ne répond plus entièrement aux conditions de départ. », pensant briller en mêlant jargon juridique et technique, il ne fait que démontrer qu’il n’est pas en mesure de mettre en place des garde-fous juridiques pour encadrer la surveillance biométrique (et pour cause, ce n’est pas possible tant le deep learning est une technologie opaque) ni même de garantir une quelconque efficacité. Bien essayé.

Médaille d’argent

À la deuxième place du podium, on trouve le rapporteur Guillaume Vuilletet qui, pour refuser l’ouverture et la transparence des algorithmes, explique : « S’il y a bien quelque chose qui peut servir aux terroristes c’est d’avoir le code et de comment le contourner (…) donner les codes des algorithmes, les rendre publics, c’est donner les outils à tous ceux qui voudraient pirater les algorithmes et voudraient les détourner. »

Car c’est bien connu : les terroristes, si facilement détectables avec une caméra et un bon logiciel, pourraient changer leur attitude pour laisser croire qu’ils ne sont pas terroristes. Car avant tout, le terroriste est fourbe.
Oui, c’est de l’ironie, mais c’est le député qui a commencé en nous prenant pour des buses.

Il n’est pas le seul, les députés ont à plusieurs reprises mentionné l’idée « d’ouvrir le code » pour dire à quel point il ne fallait surtout pas le faire.

Concernant les logiciels de VSA, il y a plusieurs choses qui peuvent être rendue accessibles :
– les données d’entraînement : en pratique, nombre de ces jeux de données sont déjà accessibles, sous des licences autorisant plus moins d’usages. Parmi eux, beaucoup sont utilisés de manières illégales et comportent, par exemple, des images récupérées sans consentement sur les réseaux sociaux.
– les algorithmes utilisés : il en existe de nombreux et eux aussi sont très fréquemment opensource
– le paramétrage de ces algorithmes : c’est la partie qui est développée par les entreprises de VSA et comme on l’a dit plus tôt qui détermine les décisions politiques.

Donc la question de la transparence des algorithmes n’est jamais posée correctement car elle est multiple. Surtout, cette problématique de l’ouverture du code efface la question de l’interdiction même de cette technologie. Plutôt que de chercher à rendre la surveillance biométrique plus transparente, autant se contenter de ne pas la légaliser.

Petite mention spéciale à Philippe Latombe, qui déclare « Donc ne commencez pas à dire « suspicion généralisée », ca va forcément être avec des biais, il faut ouvrir le code. Désolé mais vous demandez à Google d’ouvrir le code, le lendemain il vaudra plus rien, vous n’aurez pas les expertises pour pouvoir le faire. Y a des vrais sujets de praticité des choses.»

On comprend qu’il n’a aucune notion de ces éléments. Par exemple, Google n’a rien à perdre à rendre ses méthodes d’apprentissage publiques, elles sont déjà open sources pour la plupart (notamment la bibliothèque TensorFlow utilisée dans le monde entier) et la croyance que la mise à disposition d’un code lui enlève sa valeur est particulièrement datée. Les députés démontrent ainsi ne rien connaître à l’économie de l’opensource, qui est très importante dans le développement de l’intelligence artificielle (OpenAI, par exemple, a publié le modèle GPT2 qui est derrière ChatGPT) et n’abordent jamais le véritable sujet qui serait d’être plus transparent sur les pratiques policières pour lutter contre celles qui sont les plus discriminantes.

Médaille d’or

Enfin, la médaille d’or est attribuée à Philippe Latombe (encore lui, quel champion !), pour avoir expliqué – ici et là – que les traitements de la VSA ne sont que des « traitements vectoriels », car : « Les images sont transformées en vecteur et en points». Ainsi, la foule ne serait qu’une agrégation de points attribués à des personnes. Et pour les bagages abandonnés ? C’est très simple :

«On associe une personne que l’on transforme en un vecteur mathématique à un objet qui lui n’est pas un vecteur, et on voit si ça bouge et si il y a un écartement entre les deux. Cet écartement permet simplement d’éviter qu’il y ait un bagage abandonné sur le quai de la SNCF.»

On le connaît bien cet enfumage ! On vous en parlait il y a deux semaines lorsqu’on analysait les stratégies des entreprises pour donner à la VSA une image acceptable. À entendre les promoteurs de la VSA, on donne une définition mathématique des données biométriques et hop ! Magie ! Il n’y a plus de biométrie. « Ce n’est pas une image d’une personne, c’est juste une suite de nombres ! Et ça, ce n’est pas un micro, c’est un capteur de vibration de l’air ! ». Bientôt on aura droit à « Non ce n’est pas de l’ADN, c’est juste une macromolécule définie par une suite de bases nucléiques, rien de biométrique ! ».

Oui, une image est faite de pixels, qui restent des nombres, et oui on peut modéliser ce qui y est représenté avec des vecteurs. Une image avec des personnes majoritairement Noires, si on la modélise mathématiquement avec des vecteurs par exemple, « contiendra » l’information qu’une majorité des personnes sont Noires. Le prétendu « passage en vecteur » n’empêche absolument pas au programme de reconnaître une démarche, des vêtements ou une couleur de peau, de conserver cette information, de lui donner un poids et de prendre des décisions en fonction de ces variables. Au contraire, c’est grâce à ce traitement que l’on peut exploiter plus facilement les données biométriques.

Une fois encore, M. Latombe — par ignorance ou délibérément ? — tente de minimiser la qualification biométrique de cette surveillance, qui est pourtant indiscutable. La reconnaissance de comportements suspects implique nécessairement l’analyse du corps humain, de sa démarche, de ses attributs physiques et de ses mouvements, pour l’individualiser et le reconnaître. Il sera ainsi possible de reconnaître que telle personne présente sur telle zone est la même que celle visible sur une autre caméra, par exemple en raison de sa démarche. Le suivi et l’identification biométrique (c’est-à-dire la capacité à dire qu’il s’agit de la même personne d’après ses caractéristiques physiques, quand bien même on ne connaît pas son nom) sont explicitement rendus possibles par l’utilisation de cette nouvelle technologie, et c’est l’un des dangers prégnants qu’elle fait peser sur le droit à l’anonymat.

Malheureusement, comme un certain nombre de ses collègues, le député Thomas Rudigoz (Renaissance) prétend que « ce traitement algorithmique exclut tout traitement biométrique. Ce que l’on recherche c’est à identifier les mouvements de foule, les densifications de personne à un endroit particulier, identifier des zones interdites qui seraient occupées par telle ou telle personne, des colis suspects et aucunement une reconnaissance faciale ou biométrique ».

Nous l’avons déjà répété plusieurs fois : la VSA met en œuvre des traitements de données biométriques. Les associations européennes ont récemment alerté les députés sur ce point et il est totalement faux de prétendre l’inverse. L’industrie a usé de stratégies de communication pour modifier le sens de ce mot et le cantonner à la reconnaissance faciale (nous avons décortiqué cette manœuvre ici). Il est désolant de voir une grande partie des députés se laisser mener en bateau par cette rhétorique sans sourciller.

Conclusion

Les débats en commission des lois ont montré que les députés de la majorité ne maîtrisent ni les enjeux techniques ni les dangers politiques des technologies de vidéosurveillance automatisée. À aucun moment la question de la définition politique et morale de la notion de « comportement suspect » n’a été sérieusement abordée, ni les problématiques du rapport de la population à la sécurité dans l’espace public — qui passe par bien d’autres solutions que la surveillance et la répression. La croyance que la « protection » ne peut être atteinte que par l’installation de dispositifs de surveillance est tellement ancrée dans l’imaginaire des gouvernants qu’ils ne savent même plus déceler les pouvoirs à limiter et les abus à prévenir.

De nouveau la dépolitisation des questions collectives, voulue par le marché de la sécurité et alimentée par les politiques univoques de ces dernières décennies qui mettent systématiquement le sentiment d’insécurité au centre du débat public, a achevé d’enterrer tout débat constructif, les parlementaires ne faisant même plus semblant de maîtriser l’objet de leurs lois.

Les débats commencent lundi prochain en séance. Il est urgent de mettre les députés face à leurs contradictions pour les convaincre de voter contre cet article 7. Rendez-vous sur notre page de campagne pour voir comment les contacter et refuser ensemble la surveillance biométrique !

Ces associations alertent l’Assemblée nationale sur le fait qu’il s’agirait de la première légalisation de la surveillance biométrique en Europe, qui confirmerait la position de la France comme fer de lance de la surveillance dans l’Union européenne. Cela n’est pas si étonnant quand on se souvient que le Conseil d’État avait courant 2021 écarté le droit de l’UE pour valider les pratiques de surveillance de la police et des services de renseignement, et que plus récemment la France s’est positionnée dans les négociations du règlement sur l’intelligence artificielle pour qu’il y ait le moins de restrictions possibles à l’usage de la surveillance biométrique.

Les Jeux olympiques sont instrumentalisés pour rendre acceptable un objectif politique pensé et voulu de longue date. Alors interpellons les député·es pour les convaincre de refuser ce premier pas vers une société où les logiciels de surveillance automatisée de nos corps deviendraient la norme. Rendez-vous sur notre page de campagne pour empêcher le vote de l’article 7 de la loi !

Lettre de la société civile aux députés français sur le projet de loi relatif aux Jeux olympiques et paralympiques 2024

Nous, 38 organisations de la société civile soussignées, exprimons notre vive inquiétude en ce qui concerne l’article 7 du projet de loi relatif aux Jeux olympiques et paralympiques de 2024¹ https://www.senat.fr/leg/pjl22-220.html . Cette disposition crée une base juridique pour l’utilisation de caméras dotées d’algorithmes en vue de détecter des événements suspects spécifiques dans l’espace public.

Ce projet de loi ouvre la voie à l’utilisation d’une vidéosurveillance algorithmique intrusive sous couvert d’assurer la sécurité lors d’événements de grande ampleur. En vertu de cette loi, la France deviendrait le premier État de l’Union européenne (UE) à légaliser de manière explicite ce type de pratiques. Nous estimons que les mesures de surveillance introduites sont contraires au droit international relatif aux droits humains dans la mesure où elles ne satisfont pas aux principes de nécessité et de proportionnalité et impliquent des risques inacceptables vis-à-vis de plusieurs droits fondamentaux tels que le droit à la vie privée, le droit à la liberté de réunion et d’association et le droit à la non-discrimination.

Nous invitons les députés français à envisager le retrait de l’article 7 et à consulter la société civile en ouvrant un débat sur cette question. Si l’article était adopté, il créerait un précédent inquiétant en matière de surveillance injustifiée et disproportionnée dans l’espace public, au détriment des droits fondamentaux et des libertés.

Ce projet de loi représente une grave menace pour les libertés civiques et les principes démocratiques

Par sa simple présence dans des zones accessibles au public, la vidéosurveillance algorithmique non ciblée (souvent appelée « indiscriminée ») peut avoir un effet dissuasif sur les libertés civiques fondamentales, et notamment sur le droit à la liberté de réunion, d’association et d’expression. Comme l’ont souligné le Comité européen de la protection des données et le Contrôleur européen de la protection des données²https://edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_fr.pdf, la surveillance biométrique a de graves répercussions sur les attentes raisonnables des personnes en matière d’anonymat dans les espaces publics et a un effet négatif sur leur volonté et leur capacité d’exercer leurs libertés civiques, car elles redoutent d’être identifiées, repérées ou même poursuivies à tort. En l’état, cette mesure menace l’essence même du droit à la vie privée et à la protection des données, ce qui la rend contraire au droit international et européen relatif aux droits
humains.

Conformément aux valeurs et aux principes démocratiques, lors d’événements de grande ampleur tels que les Jeux olympiques, il est essentiel de garantir l’entière protection de ces droits fondamentaux et d’offrir des conditions propices au débat public, et notamment à l’expression politique dans les espaces publics.

Par ailleurs, ce projet de loi allonge considérablement et dangereusement la liste des motifs justifiant la surveillance des espaces publics. Ainsi, les situations de mendicité ou de rassemblements statiques pourraient être qualifiées d’« atypiques », créant un risque de stigmatisation et de discrimination pour les personnes qui passent beaucoup de temps dans l’espace public, par exemple parce qu’elles sont sans abri, en situation de vulnérabilité économique ou de handicap. Il est prouvé que l’utilisation des technologies de surveillance crée un état de contrôle, de profilage et de suivi permanent qui nuit de manière disproportionnée aux personnes marginalisées. L’utilisation de systèmes algorithmiques pour lutter contre la criminalité a entraîné une surveillance excessive de la part de la police, une discrimination structurelle dans le système de justice pénale et une criminalisation disproportionnée des minorités raciales, ethniques et religieuses. Cela conduit à la violation, entre autres, du principe de non-discrimination inscrit dans les normes internationales et européennes relatives aux droits humains.

Ce projet de loi entraînerait une surveillance biométrique de masse

Le paragraphe III de l’article 7 du projet de loi dispose de manière erronée que les systèmes algorithmiques de vidéosurveillance ne traiteront aucune donnée biométrique. Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les données biométriques comme des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (article 4-14 du RGPD).

Si l’usage de caméras dotées d’algorithmes est destiné à détecter des événements suspects spécifiques dans l’espace public, ces caméras capteront et analyseront forcément des traits physiologiques et des comportements de personnes présentes dans ces espaces. Il pourra s’agir de la posture de leurs corps, de leur démarche, de leurs mouvements, de leurs gestes ou de leur apparence. Le fait d’isoler des personnes par rapport à leur environnement, qui s’avère indispensable en vue de remplir l’objectif du système, constitue une « identification unique ». Tel que l’établit la loi sur la protection des données de l’UE et selon l’interprétation du Comité européen de la protection des données³https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_fr.pdf, la capacité d’isoler une personne parmi une foule ou par rapport à son environnement, que son nom ou son identité soient connus ou non, constitue une « identification unique ».

Il est important de garder à l’esprit que l’utilisation de systèmes basés sur l’intelligence artificielle en vue d’analyser et de prédire les comportements, les émotions ou les intentions des personnes peut être tout autant intrusive et dangereuse que celle de systèmes visant à identifier des personnes. Le fait de placer des personnes dans une catégorie regroupant les comportements « à risque » sur la base de leurs données biométriques constituerait une catégorisation biométrique, que le Défenseur des droits et le projet de loi sur l’intelligence artificielle de l’UE définissent comme le fait de catégoriser des personnes physiques en fonction de
caractéristiques spécifiques en se fondant sur leurs données biométriques. Nous attirons l’attention des députés français sur le risque que cette mesure soit en contradiction avec la future loi de l’UE sur l’intelligence artificielle. Dans le cadre du travail législatif en cours, plusieurs amendements proposent l’interdiction totale de la catégorisation biométrique au regard des risques importants qu’elle entraîne pour les droits fondamentaux.

Les atteintes graves aux droits humains contreviennent aux exigences de nécessité et de proportionnalité

Pour garantir une véritable protection des droits humains, il convient de commencer par comprendre les limites des technologies et apporter des preuves de leur adéquation par rapport aux objectifs poursuivis. Dès lors, il est indispensable de mener une étude en vue de déterminer si les technologies introduites au nom de la sécurité répondent à des menaces avérées et quelles incidences leur utilisation aura sur les droits humains et les libertés civiques.

Bien que ce projet de loi présente des risques élevés pour les droits fondamentaux et malgré les preuves existantes⁴https://www.lemonde.fr/societe/article/2021/12/22/une-etude-commandee-par-les-gendarmes-montre-la-relative-inefficacite-de-la-videosurveillance_6106952_3224.html de l’inefficacité de la vidéosurveillance en matière de prévention des infractions et des menaces à la sécurité, le gouvernement n’a pas démontré la conformité de ce projet de loi aux principes de nécessité et de proportionnalité et il n’a pas engagé de véritable dialogue avec la société civile au sujet de cette mesure. De ce fait, nous estimons que les restrictions des droits humains introduites ne satisfont pas aux trois critères de légalité, de but légitime et de nécessité et de proportionnalité. Elles constituent une violation des obligations incombant aux États en matière de droits humains en vertu de traités internationaux, et notamment du Traité international relatif aux droits civils et
politiques et de la Convention européenne des droits de l’homme.

Ce projet de loi constitue une étape vers la normalisation de pouvoirs d’exception en matière de surveillance

L’article 7 du projet de loi est représentatif de la tendance inquiétante des gouvernements à étendre leurs pouvoirs de surveillance dans le cadre de mesures d’urgence prises au nom de la sécurité. Or, il est rare que ces mesures dites « d’exception » soient levées rapidement. En lieu et place, les mesures de surveillance et de contrôle deviennent la norme. Souvent, elles ne s’accompagnent pas de garanties suffisantes et de mécanismes de responsabilité, elles manquent de transparence et elles ne font l’objet d’aucun dialogue avec les parties intéressées.

Cette tendance a été amplement constatée en ce qui concerne les mesures de surveillance prises au cours des deux dernières décennies sous couvert de la lutte contre le terrorisme et, plus récemment, avec les solutions numériques adoptées dans le contexte de la pandémie de Covid-19⁵https://ecnl.org/publications/under-surveillance-misuse-technologies-emergency-responses. Nous avons également observé par le passé que les Jeux olympiques peuvent servir de terrain d’expérimentation⁶https://www.scielo.br/j/cm/a/zcKnN9ChT9Wqc4hfGWKSk4d/?format=pdf&lang=en pour doter l’État de pouvoirs renforcés qui sont ensuite maintenus lorsque la situation d’exception prend fin.

Ces exemples suffisent à justifier nos craintes de voir l’utilisation de la vidéosurveillance algorithmique perdurer au-delà de 2025. Si elle est adoptée, cette loi constituera également un précédent dangereux pour d’autres pays européens, tels que le Portugal et la Serbie, qui ont tenté, à ce jour sans succès, de légaliser une série de pratiques de surveillance biométrique risquées. La France endosserait alors le rôle peu reluisant de « leader » des politiques de surveillance au sein de l’Union européenne.

Nous espérons sincèrement que les députés français prendront des mesures de toute urgence en consultation avec la société civile afin de répondre aux préoccupations exposées ci-dessus.

• Access Now, International
• AlgoRace, Espagne
• AlgorithmWatch, Allemagne
• AlgorithmWatch CH, Suisse
• Amnesty International, International
• ApTI, Roumanie
• ARTICLE 19, International
• Association Nationale des Supporters, France
• Big Brother Watch, Royaume-Uni
• Bits of Freedom, Pays-Bas
• Centre for Democracy & Technology, Europe
• Chaos Computer Club Lëtzebuerg, Luxembourg
• Citizen D / Državljan D, Slovénie
• Civil Liberties Union for Europe, Europe
• Deutsche Vereinigung für Datenschutz e.V. (DVD), Allemagne
• Digitalcourage e.V., Allemagne
• Digitale Gesellschaft, Suisse
• Digitale Freiheit e.V., Allemagne
• Elektronisk Forpost Norge, Norvège
• Eticas Tech, Espagne
• European Center for Not-for-Profit Law Stichting (ECNL), Europe
• European Digital Rights, Europe
• Fair Trials, International
• Forum Civique Européen, France/Europe
• Football Supporters Europe, Europe
• Homo Digitalis, Grèce
• Human Rights Watch, International
• Irish Council for Civil Liberties, Irlande
• IT-Pol, Danemark
• Iuridicum Remedium, République tchèque
• Liberty, Royaume-Uni
• Panoptykon Foundation, Pologne
• Privacy International, International
• Privacy Network, Italie
• Share Foundation, Serbie
• Society Vrijbit, Pays-Bas
• Statewatch, Europe
• Today is a new day / Danes je nov dan, Slovénie

À moins de deux ans des Jeux olympiques de Paris 2024, et à un an de la Coupe du monde de Rugby 2023, les décideurs publics annoncent de grands projets sécuritaires : la nation tout entière est en ordre de marche vers la Sécurité, comprise uniquement comme pratique policière de la répression et comme industrie de l’équipement de surveillance.

Jeux olympiques de Paris 2024. La liesse, la foule, les couleurs, le bruit. Des milliers de spectateurs se pressent dans les allées du village olympique et dans les alentours du Stade de France. Au-dessus d’eux, à peine visibles dans le ciel bleu, des drones bourdonnent. Ils filment en haute définition, et les images sont transmises au sol où des ordinateurs analysent sans relâche l’écoulement fluide de la foule, à la recherche d’un groupe qui chahute ou d’individus dont le comportement trop singulier inquiète : un attroupement sans cause visible, un arrêt prolongé dans un lieu de passage qui ralentirait ou dévierait le flux des spectateurs, ou une personne qui se met brusquement à courir. Le logiciel lance aussitôt une alerte. Sur chaque mât de lampadaire, des caméras pivotent en direction de la zone désignée par l’ordinateur. Alertés, des opérateurs humains se penchent sur les écrans. Les drones convergent pour donner une image plus précise de la situation vue du ciel — point de vue idéal, dispositif panoptique absolu, partout présent et localisable nulle part, un peu comme Dieu mais avec quatre hélices.
Comme 30 000 agents de police sont mobilisés chaque jour pour contrôler et rassurer la foule des touristes, le suspect est vite appréhendé dans une rue de Saint-Denis. Les policiers le photographient avec leur téléphone et soumettent son visage à leurs bases de données, en passant par le fichier du Traitement des antécédents judiciaires (TAJ), qui comporte une très utile fonction de reconnaissance faciale, interrogée plusieurs milliers de fois par jour. Très vite son nom revient, accompagné de toutes les informations dont disposent le fichier des Titres électroniques sécurisés (TES) : son âge, son adresse, ses empreintes digitales et son empreinte faciale. Il est relâché : malgré son aspect maghrébin, qui pouvait motiver une inquiétude bien acquise chez un policier français (de la police française), l’homme n’est pas défavorablement connu des services. En revanche, son comportement anormal ayant troublé l’ordre public et nécessité l’intervention coûteuse et inutile des forces de l’ordre, alors que le risque d’attentat est très élevé, une amende forfaitaire lui est infligée. Soulagé de quelques centaines d’euros, il peut reprendre le cours de sa vie d’innocent en sursis, à condition de ne pas courir.

Le désastre sécuritaire qui vient

Cette description relève encore partiellement de la science-fiction, mais plus pour très longtemps. Car l’ambition déclarée du ministère de l’Intérieur — dirigé aujourd’hui par Darmanin, Gérald — est bien de permettre au système sécuritaire français de concrétiser ce cauchemar avant juin 2024. Dans un « Livre blanc de la sécurité intérieure » paru fin 2020¹Livre blanc de la sécurité intérieure, novembre 2020. ainsi que dans un rapport annexe à la récente « Loi d’orientation et de programmation du ministère du l’Intérieur » (LOPMI, adoptée à l’Assemblée nationale le 18 novembre 2022), les intentions du ministère sont explicitées sans fausse pudeur : il s’agit d’un « réarmement », selon les mots du ministre lui-même, dans le cadre duquel les outils de haute technologie numérique seront de précieux auxiliaires de police. Casques à vision intégrée, exosquelette de protection, consultation des fichiers à distance, caméras mobiles, reconnaissance faciale en continu, drones, fichage, tout l’arsenal imaginable est envisagé, avec ses besoins de financement et son encadrement législatif, suivant un calendrier qui prend 2024 comme horizon. Tout doit être prêt pour les Jeux olympiques.

L’ambition est bien entendue habillée des meilleures intentions du monde. La légitime protection contre la menace terroriste est abondamment invoquée pour justifier ce déferlement sécuritaire. Darmanin parle de « terroristes islamistes, de l’ultra-droite et de l’ultra-gauche », et affirme que les renseignement feront un « effort » pour « maîtriser » ces personnes en amont des JO. Ce n’est pas sans rappeler la COP 21 de 2015, quand nombre de militants écologistes avaient été perquisitionnés, arrêtés pour certains, et assignés à résidence un peu avant le début de l’événement²« Les militants de la COP21, cibles de l’état d’urgence », Le Monde, 27 novembre 2015..

Apparition de la Technopolice

La Quadrature du Net, dont l’objet est la défense des droits et des libertés fondamentales à l’ère du numérique, s’intéresse activement depuis 2018 aux pratiques de surveillance technologique dans les villes françaises, que nous appelons la Technopolice. Tout est parti d’un article de presse³« À Marseille, le big data au service de la sécurité dans la ville », Le Monde, 8 décembre 2017. au sujet d’un projet municipal, à Marseille, de construire un « Observatoire de la Tranquillité publique », qui devait mettre le big data au service de la sécurité. Le nouveau centre de supervision urbain (CSU) — endroit où arrivent les flux vidéos de toutes les caméras de vidéosurveillance — devait également centraliser toutes les données numériques produites par les services de la ville : trafic routier, police municipale, marins-pompiers, hôpitaux, etc. L’ambition : malaxer cette montagne de données quotidiennes avec des algorithmes d’intelligence artificielle pour dégager des motifs, des récurrences, des lois, bref, des éléments signifiants, dans l’espoir d’anticiper la délinquance ou les perturbations de l’ordre public.
Il nous a aussitôt paru nécessaire de mettre en lumière ce qui se passait à Marseille et sans doute dans d’autres villes les françaises. Pour cela, nous avons utilisé un outil démocratique intéressant, le « droit d’accès au documents administratifs » que tous les citoyens peuvent exercer auprès des administrations, sous le contrôle d’un commission nationale (la Cada). Nous avons donc demandé aux mairies, par courrier, leurs délibérations et leurs appels d’offres en matière de dispositifs numériques de sécurité.

Les demandes Cada et l’effet vampire

Nous avons assez vite obtenu de nombreux documents, qui décrivent les dispositifs technologiques vendus par les industriels aux mairies. Des caméras, des logiciels, des algorithmes d’intelligence artificielle, des micros, des drones… Il faut bien comprendre que ces dispositifs ne sont pas des fantasmes de policiers ou de militants anti-répression, mais des réalités quotidiennes aujourd’hui en France. Un bestiaire étonnant, mais vite monotone, car les acteurs sont peu nombreux et toujours les mêmes. Autre surprise : de nombreuses communes ont acheté des packs de vidéosurveillance sans être toujours conscientes de la nature des systèmes qui leur ont été vendus. Et parfois, des initiatives plus déroutantes que d’autres se font remarquer : le maire de Saint-Étienne voulait installer des micros dans quelques rues « sensibles » d’un quartier populaire de la ville, pour lancer des interventions de police en cas de bruits suspects (bombe aérosol de peinture, cris, etc.). Dès que le projet a été rendu public, la mairie l’a retiré pour mettre un terme aux protestations. C’est ce qu’on appelle l’effet vampire  : les projets honteux ne résistent pas à la lumière.

La campagne Technopolice

Cet arsenal hybride se déploie depuis quelques années à très grande vitesse, mais derrière une brume tactique qu’il fallait dissiper. C’est pourquoi La Quadrature du Net a lancé une campagne Technopolice invitant les habitants des communes du pays à se saisir du problème et à faire des demandes Cada auprès de leurs mairies.
La campagne s’est organisée autour d’un forum pour fédérer les initiatives locales et d’un site internet pour publier les documents obtenus et cartographier l’emprise croissante de la Technopolice. Elle cherche à documenter les dispositifs de surveillance, illégaux pour la plupart, qui sont aujourd’hui mis en place sous couvert d’expérimentation dans un premier temps, avant d’être entérinés par la pratique, puis par le droit.

Les JO, un grand accélérateur de sécurité

Dans ce contexte de monomanie sécuritaire — dernier pouvoir d’un État réduit à son squelette régalien, et confiné dans un rôle d’orientation des fonds publics vers l’entreprise privée — les Jeux olympiques sont une aubaine : pouvoir légaliser des pratiques (policières), financer une économie (industrielle) et fabriquer de la sécurité.
La Coupe du monde de Rugby 2023 et surtout les Jeux olympiques de Paris 2024 sont explicitement envisagés comme des rendez-vous pour les forces de surveillance, car ils permettront de faire entrer dans le droit commun des pratiques jusqu’alors illégales, et de faire sauter le verrou qui bloquait la massification d’usages policiers encore marginaux, et de faire perdurer, bien au-delà de la période des JO, les moyens déployés spécifiquement pour ces derniers. C’est le célèbre effet cliquet : un événement exceptionnel justifie des mesures exceptionnelles qui ne seront jamais remises en cause par la suite. On se souvient par exemple que de nombreuses mesures de « simplification » administrative et judiciaire, prises lors de la longue période d’état d’urgence qui a suivi les attentats du 13 novembre 2015, ont ensuite été versées au droit commun par la loi Sécurité intérieure du 31 octobre 2017⁴Loi Sécurité intérieure du 31 octobre 2017.. Le pays baigne de fait dans un état d’exception permanente.

Une nouvelle « loi olympique » en 2023

Lors d’une audition récente au Sénat, Gérald Darmanin a déclaré que la préparation des JO occupait un tiers de son temps de ministre, et annoncé que 30 000 agents des forces de sécurité seront mobilisés chaque jour, que 15 000 nouvelles caméras de surveillance seront installées, financées à hauteur de 44 millions d’euros par le ministère de l’Intérieur, et renforcées par des programmes de vidéosurveillance et des dispositifs anti-drones (la police se réservant ainsi le monopole du drone légitime).
En amont, selon les mots du ministre, un « plan Zéro délinquance » prévoit de « nettoyer les banlieues », c’est-à-dire de harceler les populations ayant le malheur de vivre là où se tiendront les JO, dans les communes de Seine-Saint-Denis qui accueilleront le village olympique et les installations sportives (Saint-Denis, Aubervilliers, etc). Comme le Comité d’organisation des Jeux olympiques (COJO) l’écrit lui-même sur la page consacrée à « l’héritage » de ces Jeux : « Paris 2024 est un laboratoire pour inventer la ville de demain, une ville pour les gens »⁵Site officiel de Paris 2024…
Au cours de la même audition⁶Audition de Gérald Darmanin au Sénat, 25 octobre 2022., le ministre Darmanin a annoncé qu’une nouvelle « loi sur les Jeux olympiques » sortira des cartons au début de l’année 2023. Outre les dispositions déjà évoquées, son objectif sera d’introduire des « ajustements juridiques » pour légaliser la vidéosurveillance algorithmique.

La VSA, un vieille connaissance de La Quadrature du Net

Au cours de nos enquêtes sur les usages de la Technopolice municipale, nous avons beaucoup rencontré la vidéosurveillance intelligente, que nous préférons appeler la vidéosurveillance automatisée ou algorithmique (VSA). Les caméras urbaines génèrent chaque jour des centaines, des milliers d’heures d’images. L’humain n’est pas capable de les regarder avec efficacité. L’industrie a donc imaginé d’imposer cette fausse évidence : il suffit de confier le travail à des logiciels. Les algorithmes sont dressés à reconnaître des situations-types et chargés de repérer les « comportements suspects » définis par la police elle-même⁷« Qu’est-ce que la surveillance algorithmique ? », Technopolice, mars 2022..
Ces algorithmes sont capables de s’intéresser à des « événements » (déplacements rapides, altercations, immobilité prolongée) ou aux traits distinctifs des personnes : une silhouette, un habillement, une démarche, grâce à quoi ils peuvent isoler une personne au sein d’une foule et la suivre tout le long de son déplacement dans la ville. Plus large et plus variée que la seule reconnaissance faciale, la VSA est à la fois un outil de police idéal et une filière industrielle aux débouchés nombreux.
Pour cela, le gouvernement doit faire entrer dans le droit commun ces technologies aujourd’hui illégales, avec le moins de débat public possible.
La vidéosurveillance, en plus d’être inefficace en regard de l’objectif qu’elle prétend atteindre (« moins de délinquance »), est une chimère politique de droite qui trace un signe égal entre la notion de sécurité et la simple répression. Une « sécurité de gauche », qui engage d’autres imaginaires, comme la sécurité sociale, sanitaire, alimentaire, ou le droit au logement, est beaucoup plus coûteuse à défendre. La VSA, à l’inverse, propose une solution simple en venant automatiser des dynamiques discriminatoires à l’œuvre depuis longtemps.

Un enjeu de taille pour une industrie impatiente

Les Jeux olympiques sont une aubaine pour les industriels de la sécurité, depuis les grandes multinationales comme Thalès ou Dassault, jusqu’aux petites start-ups agiles et disruptives de l’intelligence artificielle qui concoctent, avec un zèle touchant, les algorithmes de détection des « comportements suspects ».
Thalès a déjà testé la reconnaissance faciale en 2021 dans les allées de Roland-Garros. La start-up Two-I avait essayé d’identifier les visages des supporters interdits de stade, à Metz, en 2020⁸Reconnaissance faciale au stade de Metz, France 3 Grand Est, février 2020. : la CNIL lui avait infligé un avertissement pour cette expérience de police sauvage. Ces prestataires de la Technopolice se frottent aujourd’hui les mains : portés par les fonds de l’Agence Nationale de la Recherche et par l’appel d’air sécuritaire créé par les JO, ils comptent exposer aux yeux de monde entier le savoir-faire français en matière de surveillance et vendre leurs solutions à d’autres villes en France, en Europe, ou plus loin encore.
Ces technologies sont aujourd’hui en phase de test — pas moins de 180 expérimentations avant la fin de 2022, pour un budget de 21 millions d’euros donnés par l’ANR — avant d’être « déployées » pour la Coupe du monde de Rugby de septembre 2023, dernière répétition générale avant les JO. Le gouvernement et les industriels sont main dans la main pour faire de la France une championne du marché techno-sécuritaire mondial.
Au moment où le ministère de l’Intérieur voit son budget croître encore de 15 milliards d’euros sur cinq ans⁹« Loi d’orientation du ministère de l’Intérieur : nouvelle version mais vieilles recettes », Libération, 8 septembre 2022., le budget « sécurité » des Jeux olympiques, d’abord prévu à 182 millions d’euros, est passé à 295 millions d’euros. La surveillance et la répression n’ont pas entendu parler de la fin de l’abondance. Pour un gouvernement économiquement libéral et politiquement autoritaire, comme celui que pratique Emmanuel Macron, la dépense publique de sécurité est un fusil à deux coups : les milliards d’argent public permettent d’« assurer la sécurité des Français » et de « créer de l’emploi ». En même temps. On nage dans le bonheur et l’efficacité.

Croissance et fragilité de la sécurité privée

Cette privatisation de la sécurité publique présente un autre aspect : les nombreuses lois sécuritaire de ces dernières années donnent aux entreprises privées une part toujours plus grande des missions de sécurité publique.
Les mouchards stipendiés par les préfets parisiens du 19e siècle regarderaient sans doute avec envie la rigueur professionnelle que le Livre blanc de la sécurité intérieur (2020) entend donner au « continuum de la sécurité privée ». Comme l’écrit Thomas Jusquiame : « moralisée, intégrée, contrôlée, protégée, alimentée, organisée, la sécurité privée n’a jamais paru autant en harmonie avec les forces de répression régaliennes »¹⁰« Sécurité privée et privatisation de la police », Lundi matin, 27 décembre 2021..
Mais les organisateurs de Paris 2024 sont hantés par le souvenir des Jeux de Londres en 2012 : l’entreprise de sécurité privée mandatée par l’État avait déclaré forfait trois semaines avant le début des Jeux, faute d’agents disponibles, et le gouvernement britannique avait dû faire appel au personnel de l’armée. Or, à deux ans de la cérémonie d’ouverture des Jeux de Paris 2024, les 25 000 à 30 000 agents de sécurité demandés par le COJO manquent encore à l’appel.
Le Conseil national des activités privées de sécurité (CNAPS) tente de rendre ce métier attractif, en proposant aux chômeur·euses d’île-de-France des formations payées par l’État, et cible même les étudiantes (il faut du personnel féminin pour les fouilles). À cela s’ajoute la nécessité de réaliser un million d’enquêtes administrative, dont la grande majorité concerne le recrutement des agents de sécurité privée. Le COJO a déjà annoncé avoir refusé entre 100 et 200 candidats fichés S.
Le grand embrigadement dans la société de surveillance est apparemment un chemin plein d’épines. Et il convient d’en rajouter.

Perspectives de lutte et plainte collective

Les Jeux olympiques ont souvent été dénoncés pour leur manière d’affirmer que le capitalisme fonctionne, tout en détruisant à la pelleteuse des vies, des habitats et des communautés¹¹« Paris JO 2024, miracle ou mirage », ouvrage collectif publié en 2022 aux éditions Libre et Solidaire.. En mai dernier, une rencontre anti-olympique a eu lieu à Paris¹²Retour sur les rencontres anti-olympiques internationales, mai 2022.. Le collectif Vigilance JO Saint-Denis dénonce les projet d’aménagement urbain destructeurs¹³Collectif Vigilance JO Saint-Denis. Le collectif Saccage 2024¹⁴Saccage 2024 regroupe les organisations qui combattent les destructions occasionnées par les Jeux, qui accélèrent « les problèmes écologiques et les injustices sociales dans nos villes, et nous privent des moyens de décider collectivement de ce qui nous entoure ».
Le déploiement des dispositifs technopoliciers diffère en fonction des contextes locaux, des volontés municipales et des accointances avec des industriels. Mais l’ambition du chantier de surveillance des JO de Paris 2024 confirme que le ton général est donné par le sommet de la pyramide sécuritaire nationale. C’est pourquoi la Quadrature du Net a décidé de porter une plainte collective — plus de 15 000 personnes nous ont confié leur mandat, et la plainte été déposée devant la CNIL le 24 septembre 2022 — contre le ministère de l’Intérieur et contre les grands piliers du système de la Technopolice : la vidéosurveillance, les logiciels de VSA, la reconnaissance faciale, et le fichage généralisé (fichiers TAJ et TES). Nous dénonçons la volonté d’imposer à marche forcée ces dispositifs de surveillance totale, sans volonté démocratique et sans retour possible, pour le maintien d’un ordre dont tout indique, des hôpitaux aux universités, des crises sanitaires aux crises migratoires, des océans aux forêts, de la biodiversité au climat, qu’il est un ordre de mort.

Panorama des technologies phares de surveillance biométrique

Tout d’abord, rappelons la véritable nature des trois technologies phares des entreprises du marché de la surveillance biométrique, qui mêlent captation de nos attributs (couleur des vêtements, sacs, couvre-chefs, etc.), de nos caractéristiques physiques (formes de nos corps, démarche…) et intelligence artificielle.

• VSA

La vidéosurveillance algorithmique consiste en l’automatisation du travail d’analyse des images de vidéosurveillance grâce à un logiciel, basé sur des algorithmes de « computer vision » (le champ de l’intelligence artificielle spécialisé dans le traitement des images), qui se charge de produire des notifications lorsque qu’il détecte un événement qu’on l’a entraîné à reconnaître, généralement en vue d’une intervention policière. Cette technologie est aussi utilisée pour des usages privés, par exemple pour détecter des intrusions dans une propriété privée ou pour surveiller les clients des supermarchés.

Les algorithmes ayant pour but de reconnaître une information sur une image sont généralement basés sur de l’apprentissage automatique, aussi appelé « machine learning ». Pour pouvoir faire de la reconnaissance sur ces flux vidéo, il convient de traduire des informations (nombre de pixels, position, couleur, et leur évolution dans le temps) en informations statistiques plus intelligibles et manipulables qu’on appelle des caractéristiques.

Nous avons recensé de manière non exhaustive la mise en place de cette technologie dans plus de 200 villes françaises. Par exemple, la VSA peut détecter des « évènements anormaux » qui sont en réalité des comportements anodins tels que des rassemblements ou le fait d’être statiques, mais aussi suivre le parcours d’une personne ou lire des plaques d’immatriculation.

• ASA

L’audiosurveillance algorithmique fonctionne de la même manière que la VSA mais en utilisant des signaux audio à la place des flux vidéo. Contrairement à la VSA, qui se base sur le parc de vidéosurveillance existant, cette technologie demande d’installer des micros dans les rues. La première ville dans le viseur des collectifs luttant contre la technopolice a été Saint-Étienne, où, sous couvert d’expérimentation la municipalité avait prévu d’installer plusieurs dizaines de capteurs sonores dans un quartier de la ville afin d’en traquer les « bruits suspects » (klaxons, bris de verres, bombes aérosols)… Dès 2019, nous avions pu analyser la gravité du projet qui a finalement été annulé suite à une grande mobilisation des Stéphanoi·ses et un avertissement de la CNIL.

Cela n’a pas empêché la ville d’Orléans de lancer un projet similaire en 2021, contre lequel La Quadrature a déposé un recours, toujours en cours d’examen par le tribunal.

• Reconnaissance faciale

La reconnaissance faciale fonctionne grâce aux mêmes algorithmes de « computer vision » que la VSA, c’est à dire de l’apprentissage statistique qui a pour but d’analyser et déterminer les corrélations et paramètres identiques entre des images. Dans cette application là, les algorithmes sont circonscrits aux traits du visage, on peut donc considérer la reconnaissance faciale comme une sous-catégorie de la VSA.

En France, la reconnaissance faciale est déjà massivement utilisée par la police à travers le fichier de police du Traitement des Antécédents Judiciaires (TAJ). Dans ce cadre, la reconnaissance faciale est utilisée pour créer un lien direct entre le visage d’une personne et son identité civile enregistrée dans le TAJ. Cet usage permet aux agents de comparer, a posteriori, des images de vidéosurveillance ou de réseaux sociaux avec plus de huit millions de photos de personnes contenues dans ce fichier.

De plus, nous avons pu observer plusieurs tentatives d’installation de la reconnaissance faciale dans l’espace public en France. Par exemple, la région PACA a voulu mettre en place des portiques de reconnaissance faciale dans deux lycées, à Nice et à Marseille en 2018. Nous avons fait un recours et le dispositif a été jugé illégal en 2020, car totalement disproportionné, par le Tribunal administratif de Marseille et par la CNIL.

Les entreprises qui proposent des solutions de VSA sont tout autant en mesure de faire de la reconnaissance faciale. Officiellement, la plupart d’entre elles affirment ne pas utiliser les caractéristiques biométriques propres au visage car cela les ferait souffrir d’une trop mauvaise publicité, due au rejet massif de la reconnaissance faciale dans la société. Pourtant, elles utilisent bien d’autres caractéristiques biométriques (analyse des corps et de leurs mouvements) qui leur permettent de vendre leurs outils de VSA aux municipalités. De plus, nombre de ces entreprises proposent conjointement la VSA et la reconnaissance faciale dans leurs services, c’est le cas par exemple de Atos, Idemia, Thales, Axis, Avigilon ou encore Two-I.

Nous dénonçons depuis longtemps le lien étroit entre toutes les technologies de surveillance biométrique. Si la VSA venait à être légalisée, les promoteurs de la reconnaissance faciale n’auraient plus qu’à expliquer qu’elle est seulement une application particulière de la VSA pour la faire accepter à son tour, comme un prolongement naturel ou logique. En autoriser une, c’est les accepter toutes, il est donc extrêmement important de ne laisser aucune de ces technologies gagner du terrain.

Les stratégies d’acceptation et de légalisation de la surveillance biométrique

Le droit actuel fournit une large protection des données personnelles et particulièrement des données biométriques. Nous l’expliquions dans cet article, avec le RGPD et la directive Police-Justice, la surveillance biométrique est pour l’heure strictement illégale. Les promoteurs de la surveillance biométrique sont au fait de cette illégalité. Pour contourner cet obstacle juridique, ils utilisent plusieurs stratégies pour faire exister ces technologies, les rendre acceptables et, in fine, les légaliser.

Comme ces technologies sont déployées en toute opacité, obtenir des informations sur ces stratégies nous a demandé d’employer divers moyens : demandes d’accès à des documents administratifs (pour les appels d’offre et les procès-verbaux de conseils municipaux par exemple), analyse de la communication des entreprises ou réception d’informations par des lanceurs d’alertes (notamment par notre plateforme de leak sécurisée). Récemment, nous avons aussi obtenu auprès de la CNIL les réponses des entreprises à la consultation qu’elle avait lancée il y a un an sur le sujet, que nous citons et publions ici, tant celles-ci sont l’illustration patente de ces techniques d’acceptabilité¹Les autres réponses reçues et non citées dans l’article sont disponibles ici : celles de l’association 810, du lobby AFEP, de la ville de Cagnes-sur-mer, du Cerema (Centre d’études et d’expertise sur les risques, l’environnement, la mobilité et l’aménagement), du CNPEN (Comité national pilote d’éthique du numérique), de Décathlon, du Défenseur des droits, de l’entreprise Digeiz, du délégué à la protection des données du ministère de l’Intérieur, de la Délégation à la protection des données (DPD) de la Ville et de l’Eurométropole de Strasbourg, du GPMSE (Groupement Professionnel des Métiers de la Sécurité Electronique), d’Île-de-France Mobilités, de la ville du Havre, de la ville de Neuilly -Plaisance, du PERIFEM (groupe réunissant les grandes enseignes de distribution, de l’entreprise Pizzorno, l’entreprise Quantaflow, du thinktank Renaissance Numérique, de l’entreprise Samsara, du groupe Transdev, de la Ville de Nice et de l’entreprise Wintics. .

• L’expérimentation : faire croire à la surveillance éphémère

L’expérimentation a été une des premières stratégies mises en œuvre pour confronter les publics à la surveillance biométrique et ainsi les habituer à cette technologie. L’appellation d’« expérimentation » permet de donner un sentiment d’éphémère et de réversibilité de leur mise en place.

Dès 2018, nous avons assisté à une tentative d’installation de portiques de reconnaissance faciale à l’entrée de deux lycées à Nice et à Marseille, sous couvert d’expérimentation. De même, la ville de Nice a expérimenté un système de reconnaissance faciale en 2019 lors de son carnaval, expérimentation dont les résultats n’ont jamais été objectivement communiqués.

Pour justifier la violation du RGPD et de la directive Police-Justice, les arguments consistaient à dire que l’expérience de reconnaissance faciale était « limitée dans le temps » et fondée sur le consentement explicite de volontaires. Cette stratégie se résume à faire exister des projets de surveillance biométrique en les « adoucissant » grâce à l’image expérimentale et permet aux promoteurs de la surveillance biométrique d’ancrer ces technologies sur le territoire, de les rendre normales dans nos environnements. Une fois que ces technologies ont une existence physique, il est beaucoup plus facile de les pérenniser et donc de justifier leurs légalisation.

Un grand nombre d’entreprises poussent cette stratégie dans les réponses à la consultation de la CNIL. Par exemple le lobby de la vidéosurveillance AN2V(l’Association Nationale de la « Vidéoprotection ») plaide pour un « droit à l’expérimentation » quand l’entreprise Deveryware juge que « les tests grandeur nature constituent également une nécessité pour vérifier la robustesse du produit, son efficacité et son efficience ».

On retrouve exactement le même procédé d’acceptabilité dans le projet de loi sur les Jeux olympiques, celui-ci prévoyant une « expérimentation » dans les évènements récréatifs, sportifs et culturels. Le gouvernement peine à masquer les volontés d’installer la VSA dans le quotidien puisque cette « expérimentation » durerait quasiment deux ans !

• La dialectique du progressisme contre les réactionnaires

Les technologies de surveillance biométriques sont fondées sur des algorithmes de « machine learning » dont l’existence est assez récente et qui sont très en vogue, y compris en dehors de l’industrie de la surveillance. Ils incarnent donc la nouveauté, le progrès et un futur soi-disant « inéluctable ». De nombreuses villes, y compris de très petites communes – comme Moirans en Isère – veulent l’adopter pour se donner une image de progrès et de modernité. Couplé à la stratégie d’expérimentation, il est assez facile pour ses promoteurs de présenter les militants s’opposant à la surveillance biométrique comme des réactionnaires souhaitant « revenir en arrière », alors même que ceux-ci ne font que réclamer la suspension de projets illégaux et présentés initialement comme éphémères.

Pour mettre en avant ces bienfaits, les entreprises s’arment d’un discours publicitaire toujours plus valorisant à l’égard de leurs produits en les présentant comme très efficaces, voire « technomagiques », pour résoudre tout type de problème. Ainsi, dans les réponses à la CNIL, un grand nombre d’acteurs présentent la VSA comme ayant des bénéfices « évidents » pour la sécurité et arguent que les refuser serait préjudiciable pour la société. Pourtant l’évidence de ces bénéfices n’est jamais démontrée.

Pour l’Union des Transports publics et Ferroviaires (qui voit dans la VSA un « bien commun », le chargé d’affaires publiques était manifestement très inspiré), « le déploiement de nouveaux systèmes de vidéos augmentées est important : il offre une nouvelle capacité d’anticipation et de réaction des opérateurs de service public non seulement en adéquation avec les réalités de fonctionnement du quotidien en matière de transport de masse, mais aussi, en adéquation avec les risques de notre temps et les attentes de « mieux vivre ensemble » du citoyen-voyageur ».

Pour l’entreprise Idemia (leader du marché de la reconnaissance faciale), l’intérêt de la vidéosurveillance est « indiscutable » car la VSA « permettrait de réduire le nombre d’agents chargés de l’exploitation des flux des caméras (…) au bénéfice d’agents sur le terrain, plus vite (stratégie des feux naissants) et donc plus directement au service des citoyens ». L’entreprise prétend même que les biais algorithmiques – par leur nature supposée quantifiable et maîtrisable – seraient moindres que les biais humains. Cela l’amène à rêver de « salles vidéo aux écrans éteints, et donc une liberté d’aller et de venir retrouvée » car « chaque caméra aura alors l’efficacité d’une patrouille expérimentée, sans avoir les dérives potentielles [des biais humains] ».

Ce discours péremptoire et mensonger de l’industrie – la VSA aurait un « intérêt indiscutable », serait du « bien commun », permettrait de « mieux vivre ensemble », etc. – ne s’accompagne d’aucune étude, d’aucune preuve, il s’agit simplement d’un discours publicitaire qui se retrouve pourtant bien souvent repris sans être questionné par des représentants politiques voulant démontrer qu’ils agissent pour la « sécurité ».

• La hiérarchisation : accabler une technologie pour faire accepter les autres

Une autre stratégie utilisée par les promoteurs de la surveillance biométrique est de mettre en concurrence la capacité d’atteinte aux libertés des différents outils de surveillance biométrique pour en présenter certaines comme inoffensives. Tout l’enjeu de cette stratégie est de hiérarchiser ces technologies – pourtant toutes considérées comme illégales par le RGPD et la directive Police-Justice – afin de jeter l’opprobre sur certaines et ainsi maintenir les autres dans l’opacité pour en cacher la gravité. Les entreprises de l’industrie de la surveillance biométrique entendent par cette rhétorique contribuer à dessiner la ligne d’un soi-disant « garde-fou » tout en se donnant l’image de se préoccuper des libertés alors qu’elles sont en réalité en train de les piétiner.

La reconnaissance faciale est alors un outil stratégique très utile. Bien connue et depuis longtemps car très représentée dans la fiction dystopique, elle évoque instantanément la surveillance de masse : elle est dans l’imaginaire collectif la « ligne rouge » à ne pas franchir. Conscientes de cela, les entreprises tentent de créer une différenciation entre la reconnaissance faciale, dangereuse, et les autres technologies de surveillance biométrique – l’ASA et la VSA – qui seraient beaucoup moins graves en comparaison, et donc acceptables.

Le choix des mots utilisés pour nommer et décrire ces technologies représente un enjeu stratégique majeur pour leur acceptabilité par la population. Chaque entreprise développe donc tout un discours marketing mélioratif et dédramatisant visant a éclipser le caractère biométrique de leur surveillance et à le présenter comme moindre par rapports à d’autres technologies plus graves. Dans les réponses envoyées par les entreprises à la CNIL lors de sa consultation sur la VSA, on retrouve beaucoup de ces éléments de langage. Par exemple, l’entreprise francilienne Alyce affirme « qu’il ne peut y avoir de postulat de dangerosité » concernant la VSA, niant ainsi tous les dangers de l’usage des données biométriques pour faire de la surveillance. Elle reconnaît que beaucoup des systèmes de VSA présentent « un fort risque d’intrusion » mais tente de les hiérarchiser en précisant que « tous ne présenteront pas un niveau de risque fort, notamment selon le caractère identifiant des images captées, le niveau d’identification permise par la captation », et cite comme exemple les dispositifs en différé ou bien ceux sur les axes routiers « car notamment insusceptible de révéler des données sensibles ». Rappelons pourtant que la surveillance des axes routiers et notamment la LAPI (le type de VSA qui permet la lecture automatisée des plaques d’immatriculation) fournit un identifiant unique rattachable à l’identité civile du conducteur du véhicule.

De la même manière, l’entreprise Veesion (qui fait de la détection de vol) minimise sa technologie en la comparant à d’autres dans sa présentation : « La technologie de Veesion se fonde uniquement sur un traitement algorithmique de la gestuelle et des attitudes. L’entreprise n’utilise donc ni la reconnaissance faciale, ni le suivi de client, ni l’enregistrement d’identité ».

Ces stratégies se révèlent souvent assez efficaces. Le choix de faire de la reconnaissance faciale un épouvantail attirant toute la lumière, alors que c’est surtout la VSA qui est au cœur du texte de la loi Olympique, a déteint jusqu’au gouvernement, qui a précisé au paragraphe III de l’article 7 que l’expérimentation n’incluait pas la reconnaissance faciale. La présidente CNIL a également foncé dans le piège en soutenant que l’exclusion de la reconnaissance faciale était une garantie.

L’urgence pour l’heure n’est pas de parler de la reconnaissance faciale mais de visibiliser les conséquences de la VSA, au cœur de l’article 7 de la loi : la reconnaissance faciale est massivement rejetée par la population car ses dangers sont connus, c’est beaucoup moins le cas de la VSA qui comporte pourtant des dangers similaires. Il est essentiel de faire connaître cette technologie et de manifester notre opposition. N’hésitez pas à appeler les député·es (on vous explique comment faire ici) pour leur faire prendre conscience de la gravité du texte qu’ils sont en train de voter.

• L’opportunisme : saisir chaque événement ou actualité pour promouvoir la surveillance biométrique

Conscients qu’avec un espace de débat ouvert sur le temps long, les mesures d’augmentation de la surveillance seraient fortement rejetées par la population, les promoteurs de la surveillance biométrique se servent de toutes les occasions possibles leur permettant de précipiter sa légalisation. C’est une stratégie à laquelle nous sommes fréquemment confrontés : l’épidémie de covid-19 a par exemple été prétexte à l’usage de drones, à la mise en œuvre du suivi de nos déplacements et à une accélération de la collecte des données de santé.

L’événement ici instrumentalisé, les Jeux olympiques, a déjà servi par le passé à l’extension de la surveillance. Par exemple, pour les JO de Tokyo, le gouvernement japonais a fait passer une loi « anti-conspiration » voulue de longue date pour mater les groupes militants et syndicaux, et fortement critiquée notamment par les Nations Unies au regard des atteintes aux libertés qu’elle créait et aux pouvoirs de surveillance qu’elle conférait à l’État. Plus récemment, le Qatar a mis en place un grand système de surveillance des personnes assistant à la Coupe du monde de football en 2022.

L’avantage, en terme d’acceptabilité, de se servir d’un événement exceptionnel comme les Jeux olympiques est de venir renforcer le sentiment d’éphémère et d’expérimentation. Dans les réponses à la CNIL, on retrouve l’échéance de la Coupe du monde de Rugby 2023 et des Jeux de Paris 2024 dans quasiment toutes les bouches, comme par exemple celle de Deveryware (page 4), la RATP (page 13) ou encore la SNCF (page 3).

Autre opportunisme que l’on croise très fréquemment dans la technopolice : celui des débouchés économiques. Pour le secteur, le développement des technologies créerait de l’emploi et favoriserait la croissance économique du marché de la surveillance. Aussi, celui-ci doit exister en France pour se positionner face à la concurrence internationale, qui apparaît inéluctable.

Ainsi, l’ancien député Jean-Michel Mis clame la « souveraineté » du marché et pour le réseau Alliance pour la Confiance Numérique (représentant un certain nombre d’entreprises de vidéosurveillance), la CNIL doit « favoriser l’émergence de leaders français de l’intelligence artificielle de confiance et non pas aboutir à des règles ou des situations qui pourraient entraver leurs développements à la faveur d’acteurs non souverains ». Pour Deveryware, « les industriels ont pour mission de créer de la richesse pour la nation avec notamment l’objectif d’exporter leurs solutions » quand Veesion juge qu’un droit d’opposition trop contraignant exposerait « les entreprises du secteur à être considérées comme illégales et donc à arrêter l’ensemble de leurs activités. Cela conduirait à menacer, de manière immédiate, 500 emplois directs en France. »

De nouveau, cette stratégie parvient à ses fins puisqu’elle a été reprise par le ministre de l’Intérieur lui-même pendant les débats sur le projet de loi au Sénat le mois dernier : « Lorsqu’un dispositif est développé avec un cadre français, nous pouvons parler aux industriels, gérer en partie leurs actions, les réguler, regarder leur capital. Soyons fiers des entreprises françaises ! »

• L’euphémisation : mettre en avant les usages les moins inquiétants

Les algorithmes utilisés dans la surveillance biométrique ont des applications bien plus larges que l’analyse des seuls corps humains. Si l’on prend l’exemple de la VSA, les algorithmes de « computer vision » peuvent très bien être utilisés sur des images ne contenant pas d’activité d’humaine, et n’utilisant donc pas de données biométriques, comme par exemple pour détecter des produits défectueux au bout d’une chaîne de fabrication.

Une stratégie particulièrement mise en avant par les promoteurs de la surveillance biométrique est alors de la rapprocher d’autres usages qui semblent beaucoup moins problématiques. Ils mettent généralement en avant les situations où l’activité humaine est la moins perceptible : repérer des ordures déposées sur des trottoirs ou des bagages abandonnés par exemple. Étant donné que l’objet de la détection n’est pas humain, il est facile de prétendre qu’il s’agit là d’une détection similaire à la détection d’anomalie dans une chaîne de production et de faire fi du fait que, pour aboutir à cette détection, l’algorithme sonde continuellement les flux vidéo de la rue, ou de l’espace public ou se retrouve déposé l’objet. Avec cette technique, les entreprises se gardent bien de faire comprendre que, même pour repérer un objet, les humains sont analysés en permanence.

Ainsi, pour justifier le bon usage de la VSA, l’AN2V mentionne des traitements ne « disposant d’aucun algorithme permettant de détecter des personnes : détection d’animal errant, mesure des traversées d’animaux, ouverture automatique d’une borne sur une rue piétonne sur détection d’un véhicule d’urgence, affichage d’un message ou commande d’un dispositif (feu rouge, borne) sur mesure de vitesse, etc. ». Pour la RATP, « l’amélioration de la puissance d’analyse d’un système de vidéoprotection ne dénature ni ne change la portée de la vidéo [exploitée] depuis de nombreuses années » car dans tous les cas, « que la détection soit d’origine humaine ou algorithmique », l’action des service de police ou de la RATP, serait « identique ».

Autre exemple, quand le maire de Nice laissait croire l’année dernière que le système de VSA qu’il souhaitait mettre en place ne traitait que des données « générales » et non biométriques (ce qui est faux), afin de minimiser ce que faisait réellement l’algorithme.

Les entreprises ont aussi recours à des jeux rhétoriques et des périphrases. La ville d’Orléans a par exemple
tenté de faire passer l’audiosurveillance algorithmique implantée dans ses rues par la société Sensivic pour un simple « détecteur de vibration de l’air ». Cette technologie, en réalité basée sur la pose de microphones couplés à un logiciel d’analyse algorithmique, fonctionne comme la VSA et la reconnaissance faciale sur de l’analyse de l’activité humaine afin de repérer des cris ou divers bruits. La ville d’Orléans tentait par cette pirouette de faire oublier que cette surveillance était basée sur de l’analyse de données personnelles, et comptait ainsi échapper au RGPD. De la même manière, l’AN2V mentionne des « détections d’anormalité sonore » ou des « signatures sonores », tant de mots techniques destinés à camoufler que l’on parle de la mise sur écoute des personnes.

• La neutralisation de la technologie

Une autre rhétorique que l’on a beaucoup rencontrée à La Quadrature est, lorsque l’on dénonce l’usage d’une technologie renforçant la surveillance, de s’entendre rétorquer que cet outil aurait un soi-disant caractère neutre et impartial. Les technologies sont alors présentées comme de simples aides techniques, des logiciels sans conséquence.

Concernant la VSA, la stratégie consiste alors à mettre en avant la décision finale de l’humain et à présenter le logiciel comme une simple « aide à la décision » ayant une fonctionnalité de « levée de doute ». Les entreprises insistent alors sur le fait que la véritable décision serait, elle, prise par l’humain au bout de la chaîne, et que la technologie ne serait qu’un outil neutre n’orientant le résultat de la surveillance d’aucune manière.

Par exemple, pour l’ACN, « cette technologie peut aider à la détection de situations pouvant conduire à une infraction, mais ne prend pas, à date, de décision finale automatisée. C’est une simple aide à la décision qui laisse la liberté à l’homme de contrôler/confirmer/infirmer ». Même chose chez l’Agora (un club de directeurs de la sécurité), « ces signalements sont alors validés ou non par une action humaine. La technologie utilisée dans ce cadre intervient donc en amont, en tant que support de l’action humaine » ou l’AN2V : « Seul le regard et l’interprétation humaine envisage ou non une action ou une procédure. On est là dans un cas d’aide à la décision ».

En réalité, ce travail de « détection de situations » réalisé par le logiciel présuppose d’avoir choisi en amont, d’une part, les événements pertinents à relever et, d’autre part, les critères pertinents pour détecter et retrouver ces évènements sur une image. Ainsi, de nombreuses décisions impactantes et révélant des choix politiques et moraux surviennent au cours du processus de construction de ces algorithmes. En effet, de façon identiques à ce que nous dénoncions pour la CAF, les algorithmes fonctionnent en traduisant et imitant des décisions et subjectivités humaines, contenues jusqu’au sein même des jeux de données qui sont fournis aux algorithmes pour l’apprentissage. Rien n’est neutre dans la VSA.

Conclusion

Au final, toutes ces stratégies ont une conséquence : dépolitiser la surveillance, en faire un objet banal et inéluctable, masquer sa véritable nature. On aimerait en rire mais que dire lorsque l’on voit que certaines entreprises comme Veesion ou l’ACN regrettent le caractère « anxiogène » de l’analyse de la CNIL quand elle évoque la versatilité des technologies ou le « changement de nature et de portée » des caméras ? Ou quand la SNCF exige de cette même CNIL qu’elle apporte preuves et études lorsqu’elle ne fait que relever « la dangerosité des technologies de [VSA] » et évoque le « sentiment de surveillance généralisée » ?

Ce déni de ce que représente la surveillance, de ce qu’elle a causé dans l’Histoire, des raisons pour lesquelles on a cherché à la limiter il y a cinquante ans, est vertigineux. La surveillance a été et sera toujours un instrument de pouvoir pour les États. Nier que la collecte, l’organisation et la rationalisation d’informations sur une population est source de contrôle pour qui les détiennent est une manœuvre non seulement cynique mais aussi dangereuse et révélatrice de la perte de repères politiques d’un grand nombre d’acteurs. Car on pourrait ne pas être surpris que ces pratiques éhontées viennent d’entreprises capitalistiques qui n’ont d’autre but que de faire du profit (et encore). Mais que dire lorsque l’on retrouve l’ensemble de ces stratégies et discours des industriels dans la bouche des ministres et des élus censés savoir que dans un État de droit qui se respecte, tout pouvoir étatique doit être contrôlé et limité ?

Nous nous battons depuis des années contre la surveillance abusive et le déploiement du contrôle de masse dans l’espace public. Aujourd’hui nous observons de façon inédite d’un côté la prégnance d’un marché tentaculaire de la sécurité, qui voit dans toute offre commerciale une occasion bonne à prendre, et de l’autre coté des gouvernants qui y répondent sans sourciller même si la demande n’existe pas et que les dangers sont réels. Ces manœuvres doivent être dénoncées. Car à mesure qu’elles s’installent comme des évidence, elles effacent de notre mémoire collective tous les exemples passés et présents de dérives du pouvoir étatique, de surveillance et de répression des populations. Elles participent à saper l’héritage des luttes démocratiques qui nous permettent de lutter contre les abus de pouvoirs et l’autoritarisme.

Luttons contre ce monde de la technopolice, luttons contre l’article 7 !

Notre page de campagne contre la loi JO

Cette pétition s’adresse aux élu·es (conseillers municipaux, départementaux, régionaux, députés, sénateurs). Si possible, merci de nous indiquer votre signature depuis votre adresse mail officielle, afin de nous assurer qu’il s’agit bien de vous en écrivant à petition@technopolice.fr (merci de préciser votre mandat — par exemple « conseillère municipale de Paris (75) — et, le cas échéant, le parti auquel vous êtes rattaché·e). Nous refusons toute signature provenant de l’extrême-droite.

À travers l’article 7 du projet de loi relatif aux Jeux Olympiques 2024, le gouvernement entend légaliser la vidéosurveillance algorithmique (VSA). Il s’agit ainsi de satisfaire aux demandes des industriels et de certains responsables du ministère de l’Intérieur pour permettre, via une simple autorisation préfectorale, le couplage de l’Intelligence artificielle aux caméras de vidéosurveillance disposées dans les lieux publics ou placées sur des drones. Prenant pour prétexte les Jeux olympiques organisés à l’été 2024, l’article 7 autoriserait ces technologies de surveillance massive pour toutes les manifestations « sportives, culturelles ou récréatives », allant des matchs de Ligue 1 aux marchés de Noël en passant par les festivals de musique. Le tout au nom d’une prétendue expérimentation de deux ans devant s’achever en juin 2025, imposant à toutes les personnes qui assisteront à ces événements de devenir à la fois cobayes et victimes de ces algorithmes sécuritaires.

Qu’est-ce au juste que la VSA ? Il s’agit d’un type de logiciels consistant à automatiser l’analyse des flux de vidéosurveillance pour déclencher des alertes à destination des forces de police ou de sécurité dès lors que des « comportements suspects » sont repérés. Il peut par exemple s’agir du fait de rester statique dans l’espace public, de marcher à contre-sens de la foule, de se regrouper à plusieurs dans la rue ou encore d’avoir le visage couvert. Ces logiciels peuvent aussi suivre automatiquement le parcours d’une personne dans un territoire à l’aide d’attributs biométriques tels que la taille, le fait d’être perçu comme homme ou femme, ou encore la couleur de ses vêtements. Demain, il suffira de croiser ces technologies avec divers fichiers pour pratiquer massivement l’identification par reconnaissance faciale — une fonctionnalité que proposent déjà de nombreuses startups et industriels positionnés sur ce marché, à l’image du logiciel Briefcam, dont les logiciels sont déployés dans plus de 200 communes françaises.

Si le gouvernement instrumentalise les Jeux olympiques en prétendant « expérimenter » la VSA, cela fait en réalité des années que des expérimentations ont lieu sur le territoire français, et ce en toute illégalité comme l’a lui-même reconnu le ministre de l’Intérieur. L’État a lui-même directement financé nombre de ces déploiements au travers du Fonds interministériel de prévention de la délinquance, de l’Agence nationale de la recherche ou du programme d’expérimentation lancé par le ministère de l’Intérieur pour Paris 2024 (lequel a par exemple conduit à tester la reconnaissance faciale lors du tournoi de Roland-Garros en 2021).

Quant aux prétendues garanties apportées par le gouvernement aux libertés publiques dans le cadre de ce projet de loi, elles apparaissent tout-à-fait dérisoires au regard des enjeux soulevés par la VSA. Contrairement à ce que prétendent ses promoteurs, ces technologies ne sont pas de simples outils d’« aide à la décision » : l’adoption de l’article 7 du projet de loi Jeux olympiques s’assimilerait à un véritable changement d’échelle et de nature dans la surveillance de la population, installant dans nos sociétés démocratiques des formes de contrôle social qui sont aujourd’hui l’apanage de pays autoritaires comme la Chine. C’est ce qu’explique la CNIL lorsqu’elle écrit que l’article 7 « ne constitue pas une simple évolution technologique de dispositifs vidéo, mais une modification de leur nature », ajoutant qu’un tel déploiement, « même expérimental, (…) constitue un tournant » . La Défenseure des droits met également en garde¹ Réponse de la Défenseure des droits à la consultation de la CNIL contre la VSA : selon elle, « le changement de paradigme » induit par le passage des « caméras de vidéoprotection « classiques » vers des dispositifs aux capacités de détection et d’analyse algorithmiques poussées est extrêmement préoccupant ». Elle insiste sur « les risques considérables que représentent les technologies biométriques d’évaluation pour le respect [des] droits »

Il est aussi particulièrement choquant de constater que, de l’aveu même de ses promoteurs, ce basculement vers la surveillance biométrique de l’espace public est motivé par des considérations économiques. Sous couvert d’expérimentation, la loi prépare la banalisation de ces technologies tout en permettant aux acteurs privés de peaufiner leur algorithmes avant leur généralisation. Lorsqu’on sait que l’achat d’une seule caméra coûte à une collectivité entre 25 et 40 000€ (sans la maintenance ni les logiciels d’analyse), on comprend aisément que la vidéosurveillance et son pendant algorithmique constituent une immense manne financière pour les industriels du secteur : 1,6 milliards d’euros de chiffre d’affaire sur l’année 2020²Pixel 2022, page 96 consultable ici : data technopolice rien qu’en France. Au niveau international, le marché devrait plus que doubler d’ici 2030 pour atteindre près de 110 milliards de dollars. Faisant fi du risque d’erreurs et d’abus en tous genres, certains promoteurs de la VSA expliquent dores et déjà qu’après la détection de « comportements suspects », les pouvoirs publics pourront amortir ces technologies en automatisant la vidéoverbalisation. Il y a donc fort à parier qu’une fois ces technologies achetées au prix fort, une fois des dizaines de milliers d’agent·es formé·es à leur utilisation, il sera pratiquement impossible de faire marche arrière.

Conscient·es du risque que fait peser la vidéosurveillance algorithmique sur la vie démocratique de nos sociétés, nombre d’élu·es de par le monde ont décidé d’interdire son usage. En décembre 2022, suite à l’adoption d’une résolution du Conseil municipal, la ville de Montpellier est devenue la première commune française à interdire la VSA. Elle a ainsi rejoint la liste des municipalités en Europe et aux États-Unis qui ont proscrit une telle surveillance biométrique sur leur territoire. En réponse à une pétition signée par des dizaines de milliers de citoyens à travers le continent, le Parlement européen discute lui aussi d’une interdiction de ces technologies.

Nous, élu·es de la République, refusons à notre tour le recours à la vidéosurveillance automatisée et le projet de société de surveillance qu’elle incarne. C’est pourquoi nous appelons chaque parlementaire à voter en conscience contre l’article 7 de la loi relative aux Jeux olympiques.

Signataires

• Abomangoli Nadège, députée de la 10e circonscription de Seine-Saint-Denis, LFI/NUPES
• Accarion Ombeline, vice-présidente handicap du département de Loire Atlantique, Pays de la Loire, EELV
• Ait-Salah-Lecervoisier, Florence, conseillère municipale d’Orly, LFI
• Alexandre Laurent, député de l’Aveyron, LFI-NUPES
• Alfonsi François, eurodéputé Verts/ALE, Parlement européen, RPS
• Amard Gabriel, député du Rhône, LFI-NUPES
• Amiot Ségolène, députée de Loire-Atlantique, LFI-NUPES
• Amrani Farida, députée d’Essonne, LFI-NUPES
• Aqua Jean-noël, conseiller de Paris, PCF
• Arenas Rodrigo, député de Paris 10ème, LFI-NUPES
• Aubry Martine, conseillère municipale d’opposition, La Queue-en-Brie, LFI
• Autain Clémentine, députée de Seine-Saint-Denis, LFI-NUPES
• Averous Annie, élue municipale à Castanet-Tolosan, Occitanie, Parti Socialiste
• Back Antoine, adjoint au maire de Grenoble, Ensemble!
• Baudonne Anne, conseiller d’arrondissement de la mairie du 20e, communiste
• Barles Sébastien, adjoint au maire de Marseille, conseiller métropolitain à Marseille, PACA, EELV
• Bassani Catherine, adjointe à la maire de Nantes, Pays de la Loire, EELV
• Beltran-Lopez Luis, conseiller municipal délégué de Grenoble, EELV
• Benarroche Guy, sénateur des Bouches-du-Rhône, EELV
• Berland Jean-Louis, conseiller municipal de Saint-Michel-sur-Orge, Île-de-France, LFI/NUPES
• Bernalicis Ugo, député du Nord, LFI-NUPES
• Bernard Grégory, adjoint au maire et conseiller métropolitain, Clermont-Ferrand, Génération.s
• Bex Christophe, député de la Haute-Garonne, LFI-NUPES
• Billouet Simon, conseiller départemental de l’Isère, LFI
• Bilongo Carlos Martens, député du Val d’Oise, LFI-NUPES
• Biteau Benoît, eurodéputé Verts/ALE, Parlement européen, EELV
• Bompard Manuel, député des Bouches du Rhônes, LFI-NUPES
• Bonnet Nicolas, maire-adjoint, Clermont-Ferrand
• Bony Catherine, conseillère régionale Auvergne-Rhône-Alpes, EELV
• Boumertit Idir, député du Rhône, LFI-NUPES
• Boutté Catherine, conseillère municipale d’opposition à Villeneuve-d’Ascq, Nord, LFI
• Bosquillon Christophe, conseiller municipal à Cesson, Île-de-France, LFI
• Boyard Louis, député du Val-de-Marne, LFI-NUPES
• Brobecker Astrid, conseillère départementale Hauts-de-Seine, EELV Bruyère Jérôme, conseiller municipal à Givenchy-en-Gohelle, LFI
• Bu Ludovic, conseiller municipal du Mans, groupe écologiste
• Bub Jerôme, conseiller métropolitain écologiste de la Métropole Grand Lyon, EELV
• Bussière Sophie, porte-parole d’EELV, conseillère régionale Nouvelle-Aquitaine, EELV
• Bui-Xuan Myriam, conseillère municipale de Clapiers, Génération.s
• Bury Thomas, conseiller municipal d’Asnières-sur-Seine, EELV
• Cala Sylvère, conseiller municipal à Massy, Ile-de-France, LFI
• Camara Lamine, conseiller régional Île-de-France, PCF
• Carême Damien, eurodéputé Verts/ALE, Parlement européen, EELV
• Candelier Catherine, conseillère municipale de Sèvres, Île-de-France, EELV
• Caron Aymeric, député de Paris 18ème, LFI-NUPES
• Carrière Sylvain, député de l’Hérault, LFI-NUPES
• Cassé Damien, conseiller municipal, Noisiel, LFI
• Cerezo-Lahiani Louise, conseillère municipale, La Ricamarie, sans étiquette
• Challande Névoret Théo, adjoint au maire de Marseille en charge de la Démocratie et de la Lutte contre les discriminations, Écologiste
• Chapal Arnaud, conseiller municipal de Basville et député suppléant de la Creuse, EELV
• Chauche Florian, député du territoire de Belfort, LFI-NUPES
• Chenevez Odile, élue municipale à Forcalquier, liste citoyenne
• Chesnel-Le Roux Juliette, présidente du groupe des élus écologistes à la mairie de Nice, Écologiste
• Chihi Mohamed, adjoint au maire de Lyon en charge des questions de sécurité, sûreté et tranquillité à Lyon, Auvergne-Rhône-Alpes, Écologiste
• Chikirou Sophia, députée de Paris 6ème, LFI-NUPES
• Citeau Simon, adjoint à la maire de Nantes, Pays de la Loire, EELV
• Clouet Hadrien, député de la Haute-Garonne, LFI-NUPES
• Coiffard Marie, conseillère municipale de Saint Martin d’Hères, en Isère, EELV
• Colomban Nathalie, conseil municipal de Saint-Chamas, PACA, liste d’opposition, LFI
• Coquerel Eric, député de la 1ère circonscription de Seine-Saint-Denis et président de la commission des Finances, LFI
• Corbière Alexis, député de la Seine-Saint-Denis, LFI-NUPES
• Cormand David, eurodéputé écologiste, Parlement européen, EELV
• Coulomme Jean-François, député de la Savoie, LFI-NUPES
• Courtay Murielle, conseillère municipale et d’agglomération à Cholet, Pays de la Loire, EELV
• Couturier Catherine, députée de la Creuse, LFI/NUPES
• Davi Hendrik, député de la 5ème circonscription des Bouches-du-Rhône, LFI-NUPES
• Deglise Cédric, adjoint au maire délégué à la transition écologique, à la démocratie locale et aux associations à Chasse-sur-Rhône, Auvergne-Rhône-Alpes, LFI
• Dageville Bénédicte, adjointe au maire du 11e arrondissement de Paris, PCF
• Dannaud Charles, conseiller municipal de Forcalquier (Alpes-de-Haute-Provence), Forcalquier en commun
• Déjean Pierre, conseiller municipal à Montigny-le-Bretonneux, ïle-de-France, LFI
• Delbos-Corfield Gwendoline, eurodéputée Verts/ALE, Parlement européen, EELV
• Delcambre Philippe, adjoint au maire, Transition écologique, Saint-Egrève, LFI
• Delli Karima, eurodéputée Verts/ALE, Parlement européen, EELV
• Delogu Sébastien, député des Bouches-du-Rhône, LFI-NUPES
• Denes Owen, conseiller départemental d’Ille-et-Vilaine, EELV
• Dossus Thomas, sénateur du Rhône, EELV
• Dufour Alma, députée de Seine Maritime, LFI-NUPES
• Duthoit Rémi, conseiller municipal et communautaire à Forcalquier, liste citoyenne
• Etienne Martine, Meurthe-et-Moselle, LFI-NUPES
• Erodi Karen, députée du Tarn, LFI-NUPES
• Etoundi Zita, conseillère d’arrondissement (8e) Marseille, sans étiquette
• Fardoux Clémentine, conseillère municipale à Aubagne, GES/LFI/NUPES
• Fenasse Delphine, maire adjointe à l’Enfance, à l’activité périscolaire et au Programme de réussite éducative à Fontenay-sous-bois, LFI/Parti de Gauche
• Fernandes Emmanuel, député du Bas-Rhin, LFI-NUPES
• Ferrer Sylvie, députée des Hautes-Pyrénées, LFI-NUPES
• Fiat Caroline, députée de Meurthe-et-Moselle, LFI-NUPES
• Fillol Étienne, adjoint au maire d’Alfortville et conseiller territorial GPSEA, Île-de-France, Génération.s
• Fischer Karine, conseillère régionale du Centre-Val-de-Loire, LFI,
• Gaillard Perceval, député de la Réunion, LFI-NUPES
• Galera Richard, conseiller municipal de Montreuil et vice-président Est-Ensemble, Île-de-France, LFI
• Garrido Raquel, députée de la Seine-Saint-Denis, LFI-NUPES
• Gaspaillard Damien, conseiller départemental des Côtes d’Armor, EELV
• Genty Julien, Conseiller municipal à Esbly, Île-de-France, LFI/NUPES
• Ghedjati Myriam, conseillère municipale, Port Saint Louis du Rhône, LFI
• Girard Cyril, conseiller municipal, conseiller communautaire à Arles, groupe Changeons d’avenir
• Girardot Moitié Chloé, vice-présidente du département de la Loire-Atlantique, Pays de la Loire, EELV
• Gleizes Jérôme, conseiller de Paris 20e arrondissement, EELV
• Gries Aurélie, adjointe du 7e arrondissement de Lyon, LFI
• Grillon-Colledani Marie-Hélène, conseillère Municipale à Duttlenheim, Bas-Rhin, sans étiquette
• Gruffat Claude, eurodéputé Verts/ALE, Parlement européen, EELV
• Guetté Clémence, députée du Val-de-Marne, LFI-NUPES
• Guiraud David, député de la 8e circonscription du Nord, LFI
• Gutierez Grégory, conseiller municipal délégué Numérique et Citoyenneté, à Malakoff, Hauts-de-Seine, EELV
• Hédouin Guillaume, conseiller régional de Normandie, groupe Normandie Écologie
• Helfter-Noah Prune, conseillère 3e secteur de Marseille, conseillère métropolitaine Aix-Marseille-Provence Marseille, PACA, EELV
• Hignet Mathilde, députée d’Ille-et-Vilaine, LFI-NUPES
• Hoffsess Marc, adjoint à la maire de Strasbourg, Ecologiste
• Huguin Angélique, conseillère municipale à Vadelaincourt, Grand Est, sans étiquette
• Hugon Christophe, conseiller municipal Mairie de Marseille Délégué à la transparence, à lʼopen data municipal et au système dʼinformation, au numérique de la ville, au numérique responsable et à la transition numérique, parti pirate
• Jadot Yannick, eurodéputé Verts/ALE, Parlement européen, EELV
• Jamet Delphine, adjointe au maire en charge de l’administration générale, de l’évaluation des politiques publiques et de la stratégie de la donnée à Bordeaux, Aquitaine, EELV
• Janssens Jonathan, conseiller municipal dans le groupe Tourcoing Vert Demain, Haut-de-France, sans étiquettes
• Jourdan Maxime, conseiller municipal délégué de Villeurbanne, Génération.s
• Joyeux Benjamin, conseiller régional de Haute-Savoie et membre des commissions santé, sécurité et relations internationales, Auvergne-Rhône-Alpes, Les Écologistes
• Juquin Sylvie, conseillère métropolitaine pour la ville de Lormont à la métropole de Bordeaux, Écologiste
• Keke Rachel, députée du Val-de-Marne, LFI-NUPES
• Kerbrat Andy, député de Loire-Atlantique, 2e circonscription, commissaire aux lois, délégation aux collectivités territoriales et à la décentralisation, LFI/NUPES
• Klingler Danièle, élue municipale et communautaire à Forcalquier, PACA, Liste citoyenne Forcalquier en commun
• Labertrandie Lydia, conseillère Municipale à Cesson, Île-de-France, EELV
• Lachaud Bastien, député de la Seine-Saint-Denis, LFI-NUPES
• Lafay Franck, adjoint Communication & Services Publics à Saint Sernin du Bois en Saône-et-Loire
• Lagarde Catherine, conseillère métropolitaine de Villeurbanne, membre de la commission éducation, culture, patrimoine et sport, Écologiste
• Lahmer Annie, conseillère régionale écologiste d’Île de France, Île-de-France, Écologiste
• Laïdouni-Denis Myriam, conseillère régionale Auvergne Rhône Alpes, EELV
• Laisney Maxime, député de Seine-et-Marne, LFI-NUPES
• Léaument Antoine, député de l’Essone, LFI-NUPES
• Leboucher Élise, députée de la 4ème circonscription de la Sarthe, LFI/NUPES
• Lecerf Meunier Harmonie, adjointe au maire de Bordeaux en charge de l’accès aux droits et des solidarités Bordeaux, EELV
• Leduc Charlotte, députée de Moselle, LFI-NUPES
• Le Dily Michèle, adjointe à la mairie du 8e arrondissement de Lyon, Lyon en commun
• Lefebvre Stéphane, conseiller municipal délégué à la mobilité et aux différents modes de déplacement Cugnaux, Occitanie, NUPES
• Le Gall Arnaud, député du Val d’Oise, LFI-NUPES
• Legavre Jérôme, député de Seine-Saint-Denis, LFI-NUPES
• Legrain Sarah, députée de Paris 16ème, LFI-NUPES
• Lemaire Mirabelle, conseillère municipale LFI à Le Plessis Trévise, Île-de-France, LFI
• Lepage Geneviève, conseillère municipale d’opposition à Villeneuve-lès-Avignon, LFI
• Lepvraud Murielle, députée des Cotes-d’Armor, LFI-NUPES
• Liévin Mathilde, conseillère municipale à La Madeleine, Liste citoyenne écologique et solidaire
• Loe Mie Brice, conseiller municipal à Puteaux, EELV
• Loiseau Franck, conseiller municipal à Cholet, Pays de la Loire, EELV
• Lynseele Stéphanie, conseillère municipale à Queue-en-Brie, Île-de-France, LFI
• Maes Bertrand, adjoint au maire de Lyon délégué au numérique, Génération Écologie
• Maillebouis Fabienne, conseillère municipale à Rochefort-en-Yvelines, Île-de-France, sans étiquette
• Mailler Sylvain, conseiller municipal à Chevilly-Larue, Île-de-France, Parti de Gauche
• Majerowicz Sébastien, conseiller municipal de la commune de L’Arbresle dans le Rhône, LFI,
• Malaisé Céline, conseillère régionale d’Île-de-France, présidente de la Gauche communiste, écologiste et citoyenne, Île-de-France, PCF
• Marchand Jérôme, conseiller d’arrondissement Paris 14e, EELV
• Marcel Lisa, élue municipale Forcalquier, liste citoyenne
• Mariaud Jean, conseiller municipal d’opposition à Rochefort, EELV
• Marque Sébastien, conseiller délégué à la maire du 12ème arrondissement de Paris, PCF
• Martin Elisa, députée de la 3e circonscription de l’Isère, LFI/NUPES
• Martin Pascale, députée de Dordogne, LFI-NUPEs
• Martin Nicolas, vice-président de Nantes Métropole en charge des mobilités douces et conseiller municipal de Nantes en charge de la restauration scolaire, EELV
• Martinet William, député des Yvelines, LFI-NUPES
• Marszalek Antoine, élu municipal à Villeneuve-d’Ascq, LFI
• Maudet Damien, député d’Haute-Vienne, LFI-NUPES
• Mathieu Frédéric, député d’Ille-et-Vilaine, LFI-NUPES
• Maximi Marianne, députée du Puy-de-Dôme, LFI-NUPES
• Messier Maxime, conseiller municipal de Fontenay-aux-Roses, Île-de-France, EELV
• Meunier Manon, députée de Haute-Vienne, LFI-NUPES
• Michel Cécile, conseillère régionale, région Auvergne-Rhône-Alpes, Les écologistes
• Mignot Didier, conseiller régional PCF d’île-de-France
• Monta Julie, conseillère municipale à Revest-des-Brousses, PACA, sans étiquette
• Montava David, conseiller municipal à Vitry-sur-Seine, Île-de-France, LFI
• Monville Bénédicte, conseillère municipale et communautaire de Melun, Île-de-France, EELV
• Nenner Charlotte, conseillère régionale Île-de-France, EELV
• Neveu Bernard, élu municipal et communautaire de la commune à Castanet-Tolosan, Occitanie, LFI
• Nicolas Julie, conseillère municipale à Lille, EELV
• Nilor Jean-Philippe, député de Martinique, LFI-NUPES
• Normand Xavier, maire de Castanet-Tolosan, Occitanie, EELV
• Obono Danièle, députée de Paris 17ème, LFI-NUPES
• Ouldji Soraya, adjointe à la ville de Strasbourg petite enfance, politique familiale, restauration scolaire, Écologiste
• Oziol Nathalie, députée de l’Hérault, LFI-NUPES
• Pahun Louise, conseillère départementale du canton de Nantes 4, vice-présidente Sports solidaires, responsables, activités de pleine nature, Pays de la Loire, Groupe écologiste
• Panot Mathilde, députée du Val-de-Marne, LFI-NUPES
• Perin Laurent, conseiller départemental du Nord, Génération.s
• Pfeiffer Stéphane, 2e adjoint au maire de Bordeaux, EELV
• Picard Yves, adjoint Vie locale, associative et démocratique de la mairie de Saint-Sulpice-la-Forêt en Bretagne, sans étiquette
• Pilato René, député de Charente, LFI-NUPES
• Piquemal François, député de Haute-Garonne, LFI-NUPES
• Pochon Marie, députée de la Drôme, Auvergne-Rhône-Alpes, Écologiste/NUPES
• Poix Évelyne, conseillère municipale de Vellerot-lès-Vercel dans le Doubs, EELV
• Portes Thomas, député de la 3e circonscription de Seine-Saint-Denis, LFI/NUPES
• Primault Lionel, adjoint au maire, Les Lilas, Seine-Saint-Denis, EELV
• Primet Raphaelle, conseillère de Paris 20e, groupe communiste et citoyen
• Provoost Christine, conseillère municipale, Bévenais, LFI
• Prud’homme Loïc, député de Gironde, LFI-NUPES
• Quintallet Ludivine, conseillère d’Alsace, Strasbourg, EELV
• Rabardel Évelyne, conseillère départementale du Val-de-Marne, PCF
• Rabeau Roland, conseiller municipal de Clamart, Île-de-France, EELV
• Raifaud Sylvain, conseiller municipal et métropolitain de Paris 10e, co-président du groupe Écologiste Social et Citoyen
• Ramdane Abdelkarim, adjoint à la maire de Strasbourg, EELV
• Raux Jean-Claude, député écologiste de Loire-Atlantique, membre de la commission Affaires culturelles et éducation, Pays de la Loire, Ecologiste/NUPES
• Ratenon Jean-Hugues, député de la Réunion, LFI-NUPES
• Regnaud Mathilde, conseillère municipale et communautaire de Belfort, ainsi que suppléante du député (LFI-Nupes) Florian Chauche, NUPES
• Regol Sandra, députée du Bas-Rhin, cheffe de file du groupe écologiste du projet de loi Jeux Olympiques et Paralympiques, Grand Est, EELV
• Rémy-Leleu Raphaëlle, conseillère de Paris, EELV
• Revel Ivan, conseiller municipal, Lyon, EELV
• Reynaud Manu, adjoint au maire délégué à la ville apaisée, respirable et numérique, conseiller métropolitain en charge du numérique et président du groupe des élu·es Choisir l’écologie à Montpellier, EELV
• Rigard Sophie, conseillère municipale à Saint Denis, sans étiquette
• Rispal Yoann, conseiller municipal délégué à Fontenay-sous-Bois, Île-de-France, Gauche Communiste Écologiste et Citoyenne
• Rivasi Michèle, eurodéputée Verts/ALE, Parlement européen, EELV
• Roger Michel, conseiller d’arrondissement délégué au Maire du 20e, groupe communiste et citoyen
• Rome Sébastien, député de l’Hérault, LFI-NUPES
• Romera Sophie, conseillère départementale, canton de Grenoble 1, LFI
• Roose Caroline, eurodéputée Verts/ALE, Parlement européen, EELV
• Rosenblatt Annie, conseillère municipale ville d’Avignon, conseillère communautaire Grand Avignon, EELV
• Rossignol Puech Clément, maire de Bègles et vice-président Bordeaux Métropole, EELV
• Rouanet Dominique, conseillère municipale à Forcalquier, liste d’opposition
• Rouffignac Didier, conseiller municipal à Saint-Molf, Pays de la Loire, EELV
• Roziere Régine, adjointe à l’éducation et adjointe à la vie citoyenne de Sévérac d’Aveyron, LFI/NUPES
• Ruffin François, député de la Somme, LFI-NUPES
• Saintoul Aurélien, député des Hauts-de-Seine, LFI/NUPES
• Sala Michel, député du Gard, LFI-NUPES
• Salliot Julien, conseiller municipal de Bruz
• Salmon Daniel, sénateur d’Ille-et-Vilaine, EELV
• Satouri Mounir, eurodéputé Verts/ALE, Parlement européen, EELV
• Saveret Gilles, élu conseiller municipal et communautaire à Meaux, Île-de-France, LFI
• Senée Ghislaine, présidente du Pôle écologiste à la région Île-de-France, Écologiste
• Simonnet Danielle, députée de Paris 15ème, LFI-NUPES
• Smihi Amine, adjoint au maire délégué à la tranquillité, la sécurité, la prévention et la tenue de l’espace public à Bordeaux, EELV
• Soldeville Jérôme, conseiller municipal, Grenoble, LFI
• Soudais Ersilia, députée de Seine-et-Marne, LFI-NUPES
• Steffen Joël, adjoint à la mairie de Strasbourg, EELV
• Stambach-Terrenoir Anne, députée de Haute-Garonne, LFI-NUPES
• Tain Daniel, conseiller municipal à Novalaise en Savoie
• Taurinya Andrée, députée de la Loire, LFI-NUPES
• Tavel Matthias, député de Loire-Atlantique, LFI-NUPES
• Teisseire Christophe, adjoint à la maire du 12ème arrondissement de Paris, EELV
• Textoris Joanne, conseillère municipale à Avignon, sans étiquette
• Thomas Marie-claire, conseillère régionale Bourgogne-Franche-Comté, EELV
• Tomic Sylvie, adjointe au maire de Lyon, déléguée à l’accueil, l’hospitalité et au tourisme responsable, Génération.s
• Tondelier Marine, secrétaire nationale d’EELV, conseillère régionale des Hauts-de-France, conseillère municipale d’Hénin-Beaumont, EELV
• Toussaint Marie, eurodéputée Verts/ALE, Parlement européen, EELV
• Toutain Frédric, conseiller municipal à Nonant, Normandie, sans étiquette
• Trichet-Allaire Sarah, conseillère municipale de Saint-Nazaire, Pays de la Loire, EELV
• Troadec Luce, conseillère municipale à Valenciennes, LFI
• Trouvé Aurélie, députée de Seine-Saint-Denis, LFI-NUPES
• Vailhé David-Marie, conseiller municipal de la commune de Le Coteau, dans la Loire
• Vannier Paul, député de la 5e circonscription du Val-d’Oise, LFI/NUPES
• Van Thienen Manuel, conseiller municipal à Lafarre, Ardèche, sans étiquette
• Vialard Louise, conseillère métropolitaine déléguée aux mutations économiques, élue de quartier Île de Nantes et conseillère municipale en charge du numérique responsable, e-citoyenneté et de l’open-data à Nantes, Écologiste
• Vigignol Yannick, conseiller municipal délégué à l’Open data et à la vie associative à Clermont-Ferrand, EELV
• Viguer Simon, adjoint au maire chargé des finances, des affaires juridiques et des marchés publics à Castanet-Tolosan, Occitanie, Parti Socialiste
• Vince Jacques, conseiller municipal délégué à Villeurbanne, Les écologistes
• Vivien Emmanuel, conseiller municipal, Lyon, EELV
• Vuylsteker Katy, conseillère régionale Haut-de-France, EELV
• Walter Léo, député de la 2e circonscription des Alpes-de-Haute-Provence, LFI/NUPES
• Watanabe-Vermorel Thomas, adjoint à la maire du 10e arrondissement de Paris, EELV
• Werlen Jean, conseiller municipal et conseiller métropolitain de Strasbourg, EELV
• Zaoui Slimane, conseiller municipal sur la ville d’Esbly en Seine-et-Marne, sans étiquette
• Zika Didier, conseiller Municipal de Sausset-Les-Pins, PACA, LFI/NUPES
• Zorn Caroline, conseillère municipale et vice-présidente de l’Eurométropole de Strasbourg, Strasbourg écologiste et citoyenne

Voulu de longue date par le gouvernement, et fortement poussé par la police et le marché grandissant de la sécurité privée, le texte vise à donner une base légale à une technologie déjà présente dans les villes de France. Il ne s’agit pas d’une simple évolution technique mais d’un véritable changement de paradigme : à travers des algorithmes couplés aux caméras de surveillance, ces logiciels détectent, analysent et classent nos corps et comportements dans l’espace public. Le projet derrière ? Traquer les comportements soi-disant « suspects » et éradiquer de la rue des actions anodines mais perçues par l’État comme nuisibles ou anormales. En effet, ces algorithmes peuvent par exemple repérer le fait de rester statique dans l’espace public, de marcher à contre-sens de la foule, de se regrouper à plusieurs dans la rue ou encore d’avoir le visage couvert.

Ces outils de surveillance biométrique sont intrinsèquement dangereux et ne peuvent être contenus par aucun garde-fou, qu’il soit légal ou technique. Les accepter c’est faire sauter les derniers remparts qui nous préservent d’une société de surveillance totale. Seuls le rejet et l’interdiction de la VSA doivent être envisagés. C’est pour cela que nous lançons une campagne de mobilisation dès aujourd’hui afin de lutter ensemble contre la surveillance biométrique.

Retrouvez ici la page de campagne. Nous vous y proposons plusieurs moyens d’actions pour les prochaines semaines :

1. Appeler sans relâche les député·es pour les convaincre de voter contre l’article 7 et faire pression sur la majorité présidentielle et les élu·es qui pourraient changer le cours du vote. Pour les convaincre, nous avons préparé quelques arguments phares que vous pouvez sélectionner, utiliser, remanier à votre sauce lorsque vous appelez les parlementaires.
2. Leur envoyer des mails, lettres ou tout autre moyen de leur faire parvenir votre avis sur cet article 7.
3. Organiser des réunions publiques pour se mobiliser contre la VSA et cet article 7. Nous publierons très prochainement des tracts, de l’affichage ainsi que des outils pour interpeller les élu·es de votre ville.
4. Lire les articles et analyses et en parler autour de vous et sur les réseaux sociaux. D’ailleurs, restez à l’affût, on va certainement organiser une mobilisation au moment du vote.
5. Enfin, La Quadrature a toujours besoin de soutien financier, si vous avez les moyens, n’hésitez pas à nous faire un don ici

Luttons ensemble pour repousser l’article 7 et la surveillance totale !

Loi J.O. : Refusons la surveillance biométrique !

Sur cette page, vous retrouverez un ensemble de ressources et d’outils pour vous permettre de vous engager contre la VSA et contre l’article 7 du projet de loi Jeux olympiques.

Une frise chronologique des passages à l’Assemblée indiquant les meilleurs jours pour téléphoner aux député·es
Un « Piphone » : un outil qui fournit les numéros des député·es
Un argumentaire pour convaincre les député·es

1 · Frise législative : quel est le meilleur moment pour appeler ?

2 · Piphone : choisir quel·le député·e appeler

Stratégiquement, nous vous conseillons d’appeler les député·es de la majorité (Renaissance, Horizons et Modem) et du PS (qui s’est abstenu au Sénat). Vous pouvez les contacter toute la semaine et si possible les lundi, jeudi et vendredi, lorsqu’ils ne sont pas dans l’hémicycle. C’est probable que vous ayez un·e assistant·e au téléphone et ce n’est pas grave ! N’hésitez surtout pas à lui parler, en lui demandant ensuite de relayer votre opinion auprès de son ou de sa députée.

3 · Argumentaire : convaincre le·a député·e de rejeter l’article 7

Appelons sans relâche les député·es afin de faire pression sur la majorité présidentielle et les élu·es qui pourraient changer le cours du vote.
Pour les convaincre, nous avons préparé quelques arguments phares que vous pouvez sélectionner, utiliser, remanier à votre sauce lorsque vous appelez les parlementaires. D’abord, cinq points d’alarme sur les dangers de la vidéosurveillance algorithmique. Ensuite deux « débunkages » d’arguments que l’on retrouve souvent dans la bouche des adeptes de la surveillance.
La VSA est par essence un outil de surveillance totale :

La VSA n’est pas un simple logiciel : elle analyse des milliers d’heures de vidéos pour catégoriser les comportements suivant ce que les autorités auront qualifié de « suspect » ou « anormal » pour l’appliquer en temps réel sur les caméras de surveillance. Cela crée un gigantesque système de ciblage « d’anomalies » afin d’automatiser le travail de la police. Il s’agit d’un réel changement de dimension de la surveillance et d’industrialisation du travail d’image pour démultiplier les notifications et interpellations, guidées par cette intelligence artificielle.
La VSA existe déjà et est déployée dans l’opacité

Déployée ces dernières années en toute opacité, la VSA est une technologie quasiment inconnue de la population. Développée et vendue discrètement par des entreprises, elle est implantée sans information par les collectivités, empêchant les habitant·es d’avoir facilement accès à ce qui est installé dans leur ville. Ce déploiement ne répond pas à un besoin démocratique mais à des logiques économiques alors qu’aucune preuve d’efficacité n’existe.
Par exemple, le logiciel de l’entreprise Briefcam, déployé en catimini dans plus de 200 municipalités en France, permet de réaliser des recherches par attributs (couleur des vêtements, couvre-chef, sac, type de vêtement et supposé genre de la personne), de faire du suivi de personne à travers toutes les caméras de la ville et possède même l’option « comparaison faciale » qui permet de faire une recherche parmi les flux vidéos du visage identifié. C’est grâce à un long travail de documentation de notre part et d’investigation de journalistes qu’il a été possible de comprendre ce que peut réellement faire ce fameux logiciel de VSA le plus vendu en France.
Cette opacité rend totalement impossible l’expression d’un choix démocratique sur la question.
La VSA n’est pas moins dangereuse que la reconnaissance faciale.

La VSA et la reconnaissance faciale reposent sur les mêmes algorithmes d’analyse d’images et de surveillance biométrique. La seule différence est que la première isole et reconnaît des corps, des mouvements ou des objets, lorsque la seconde détecte un visage. Ce sont généralement les mêmes entreprises qui développent ces deux technologies. Par exemple, la start-up française Two-I s’est d’abord lancé dans la détection d’émotion, a voulu la tester dans les tramways niçois, avant d’expérimenter la reconnaissance faciale sur des supporters de football à Metz. Finalement, l’entreprise semble se concentrer sur la VSA et en vendre à plusieurs communes de France. La VSA est une technologie biométrique intrinsèquement dangereuse, l’accepter c’est ouvrir la voie aux pires outils de surveillance.
La France est la cheffe de file de l’Europe en terme de surveillance

Avec cette loi, la France sera le premier État membre de l’Union européenne à légaliser et autoriser la surveillance biométrique, à l’opposée d’autres positionnements au sein de l’UE. Les discussions actuellement en cours sur le règlement européen sur l’intelligence artificielle envisagent même son interdiction formelle. La France confirmerait sa place de cheffe de file de la surveillance en Europe, s’éloignant toujours plus des idéaux de respect des droits fondamentaux et se rapprochant de la culture de la surveillance d’autres pays plus autoritaires. Les pays qui ont profité d’évènements sportifs pour tester et rendre acceptables des technologies de surveillance sont la Russie, la Chine et le Qatar.
Aucun garde-fous possible pour la VSA

Pour faire des traitements d’images pointus et reconnaître des formes avec précision, les algorithmes de VSA doivent être basés sur une technologie complexe dite de « deep learning » qui fonctionne grâce à des calculs si sophistiqués qu’ils dépassent l’entendement humain. L’algorithme décide lui-même quels paramètres sont pertinents pour détecter un évènement, sans qu’il soit possible de savoir lesquels ont été retenus pour donner le résultat. Il est impossible de garantir que le logiciel n’exploitera pas de données sensibles et de caractéristiques biométriques. Même les concepteurs de ces algorithmes n’ont pas de visibilité sur les données qu’ils exploitent. Ces technologies sont intrinsèquement dangereuses et ne pourront jamais être limitées efficacement sur le plan légal ou technique. Le seul garde-fou envisageable est l’interdiction de leur usage sur des activités humaines filmées dans l’espace public.
Réponses aux contre-arguments
« La VSA sera expérimentée uniquement pour les Jeux Olympiques »

FAUX, les Jeux Olympiques ne sont pas une expérimentation : la VSA est déjà déployée en toute opacité et illégalité et continuera à l’être après. On a retrouvé des traces de contrat entre la ville de Toulouse et IBM pour détecter des comportements anormaux dès 2017, on compte au bas mot deux cent villes en France qui l’emploient et elle s’installe aussi dans les magasins. Il y a donc un projet politique de long terme et les JO ne sont donc qu’un prétexte pour tenter de légaliser cette technologie. Après les Jeux, la vidéosurveillance algorithmique sera généralisée : une fois que des dizaines de milliers d’agents de sécurité et de police sont formés, que la technologie est achetée et mise au point grâce à des fonds publics, il faudra bien la rentabiliser. Son abandon après cette soi-disant expérimentation est donc illusoire.
« La VSA est seulement une aide à la décision »

Faux, la VSA n’est pas une simple aide technique : pour la concevoir, les entreprises doivent prendre une série de décisions morales et subjectives (qu’est-ce qu’un comportement « suspect » ?). Son application est également politique puisque la VSA est un instrument de pouvoir donné à des services coercitifs. La VSA n’est pas un outil neutre mais analyse en permanence les corps et les déplacements, en particulier de celles et ceux qui passent le plus de temps dans la rue. Se cacher derrière une machine, c’est déresponsabiliser les choix des agents de sécurité : « c’est pas nous qui avons ciblé cette personne, c’est l’algorithme ». C’est aussi accepter la déshumanisation du rapport des citoyens avec l’État, qui finira par ne prendre que des décisions automatisées sur sa population comme cela commence à être le cas avec la vidéoverbalisation. La VSA n’est pas une « aide à la décision » mais constitue bien un changement d’échelle dans les capacités de surveillance de l’État.

Nous avons envoyé à l’ensemble des sénatrices et sénateurs un dossier d’analyse de cette technologie, fruit du travail de documentation et d’étude mené depuis plus de trois ans avec l’initiative Technopolice. Ce long document reprend et expose les enjeux techniques, politiques et juridiques de la VSA afin que nos élu·es prennent la mesure du danger engendré par sa mise en place et prennent surtout conscience du contexte dans lequel elle est défendue. Car contrairement à ce que le gouvernement prétend, la VSA ne sauvera pas les Jeux Olympiques de 2024.

Pour démystifier ce discours, les parlementaires doivent connaître la réalité économique et politique dans laquelle ces technologies ont émergé mais également comment leur conception implique un ensemble de choix politiques tout en débouchant sur une application qui sera, elle aussi, un instrument de mise en œuvre d’une politique répressive et de surveillance. Aussi, le Sénat doit prendre le temps d’appréhender le cadre juridique actuel, protecteur des données personnelles et de la vie privée, et qui est est en passe d’être fallacieusement écarté par ce projet de loi pour rendre acceptable la légalisation de la VSA.

Le rapport est accessible ici.

Nous espérons que les parlementaires le liront et arriveront à la seule conclusion possible : la vidéosurveillance automatisée est un outil de surveillance totale, qui analyse et classe la population, et qui ne doit jamais être légalisé. Seule la suppression de l’article 7 est envisageable.

Nous avons d’ailleurs pu prendre le temps de discuter de ce sujet samedi 14 janvier à la Flèche d’Or à Paris, où vous êtes venu·es nombreuses et nombreux écouter et débattre du phénomène des Jeux olympiques comme accélérateur de surveillance. Vous pouvez retrouver la présentation de Technopolice et de la VSA et le débat sur les jeux olympiques sur notre Peertube.

Nous reviendrons vite sur les actions à mener contre la vidéosurveillance automatisée et contre ce projet de société de surveillance que nous devons absolument refuser !

La VSA est déjà déployée illégalement en France

Après avoir voulu intégrer la VSA dans la loi Sécurité Globale, puis dans la LOPMI, le gouvernement utilise les Jeux olympiques comme prétexte pour faire passer des mesures qui visent à accélérer la surveillance de la population.

Depuis 2019, date de lancement de la campagne Technopolice, nous observons que des dizaines de villes en France ont expérimenté, illégalement, la vidéosurveillance algorithmique. Dès 2016, c’est la ville de Toulouse qui a passé un contrat avec IBM pour détecter des « événements anormaux ». Le logiciel de VSA de l’entreprise Briefcam est également déployé dans au moins 35 communes en France (dont Nîmes, Moirans où nous l’avons attaqué devant le tribunal administratif). Depuis 2018, c’est la ville de Marseille, avec la SNEF, qui analyse algorithmiquement les corps de ses habitant·es via les caméras de vidéosurveillance du centre ville.

extrait du programme fonctionnel technique, accompagnant le marché public de la ville de Marseille

Pour se représenter les différentes fonctionnalités de la vidéosurveillance algorithmique voici une vidéo de présentation du logiciel de Briefcam, un des plus répandus en France :

À l’origine de la vidéosurveillance algorithmique : les caméras

1) Une absence criante d’évaluation publique concernant la vidéosurveillance

Depuis la fin des années 90, la vidéosurveillance n’a cessé de se déployer en France. Le dernier recensement des caméras, privées comme publiques, réalisé par la CNIL il y a plus de 10 ans en comptabilisait 800 000 sur le territoire. Depuis, les subventions publiques qui leur sont destinées n’ont cessé de croître, atteignant 15 millions d’euros en 2021. La LOPMI a acté le triplement de ce fonds. S’il existe un tel engouement pour la vidéosurveillance, c’est qu’il doit exister des résultats tangibles, non ? Et pourtant non…

Le projet de loi propose d’expérimenter la vidéosurveillance automatisée alors même qu’aucune évaluation publique des dispositifs actuels de vidéosurveillance n’existe, qu’aucun besoin réel n’a été identifié ni une quelconque utilité scientifiquement démontrée. Le projet du gouvernement est donc de passer à une nouvelle étape de la surveillance de masse, en fondant la légitimité d’une technologie très intrusive sur l’intensification de la surveillance via l’automatisation de l’analyse des images, alors que l’utilité des caméras de vidéosurveillance pour lutter contre la délinquance n’a jamais fait ses preuves. Contrairement au principe qui voudrait que toute politique publique soit périodiquement évaluée, la vidéosurveillance — notamment dans sa nouvelle version automatisée — se développe sur le seul fondement des croyances défendues par les personnes qui en font commerce et qui la déploient. De fait, aucune étude d’impact préalable à l’installation de dispositifs de vidéosurveillance ou de VSA n’est sérieusement menée.

2) De rares études pointent unanimement vers l’inutilité de la vidéosurveillance

Or, les évaluations portant sur la vidéosurveillance soulignent au contraire l’inefficacité et le coût faramineux de tels dispositifs.
Le rapport de la Cour des comptes de 2020 rappelle qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de la délinquance commise sur la voie publique, ou encore les taux d’élucidation ». Quant au laboratoire de recherche de la CNIL, le LINC, il affirme après avoir passé en revue l’état de l’art que « la littérature académique, en France et à l’international […], a démontré que la vidéosurveillance n’a pas d’impact significatif sur la délinquance ».
Plus récemment, les recherches du chercheur Guillaume Gormand, commandées par la gendarmerie, concluent elles aussi à une absence d’effet sur la commission d’infraction et à une utilité résiduelle pour l’élucidation des infractions commises (1,13 % des enquêtes élucidées ont bénéficié des images de caméras sur la voie publique).

3) Le coût faramineux de la vidéosurveillance

En outre, petit à petit, la vidéosurveillance a fait exploser les budgets publics qui lui étaient consacrés. Sur le court terme, ces dispositifs impliquent le développement ou l’achat de logiciels de gestion du parc de caméras (système de gestion vidéo sur IP, ou VMS), l’installation de nouvelles caméras, la transmission de flux, des capacités de stockage des données, des machines assez puissantes pour analyser des quantités de données en un temps très rapide. Sur le temps long, ils nécessitent la maintenance, la mise à niveau, le renouvellement régulier des licences logicielles, l’amélioration du matériel qui devient très vite obsolète et enfin les réparations du matériel endommagé.

À titre d’illustration, le ministère de l’Intérieur évoque pour les Jeux olympiques l’installation de 15 000 nouvelles caméras, pour 44 millions d’euros de financement du Fond interministériel pour la prévention de la délinquance (FIPD).

Une caméra de vidéosurveillance coûte à l’achat aux municipalités entre 25 000 et 40 000 euros l’unité¹D’après cet article de La Dépêche du 13 septembre 2021, sans prendre en compte le coût de l’entretien, du raccordement ou du potentiel coût d’abonnement 4G/5G (autour de 9 000 € par an et par caméra²D’après cet article d’Actu Toulouse du 18 juin 2021).

« Il y aura toujours plus de caméras et toujours plus d’utilisation de l’intelligence artificielle » à Nice, affirme Christian Estrosi, pour « gérer la circulation, les risques de pollution, les risques majeurs, pour lutter contre le trafic de drogues, les rodéos urbains et pour anticiper toutes les menaces  ».

La VSA : une nouvelle étape dans le mythe de l’efficacité de la vidéosurveillance

La vidéosurveillance algorithmique est présentée comme une manière de rendre plus efficace l’exploitation policière de la multitude de caméras installées sur le territoire. Il existerait trop de caméras pour qu’on puisse les utiliser efficacement avec du personnel humain, et l’assistance de l’intelligence artificielle serait inévitable et nécessaire pour faire face à la quantité de flux vidéo ainsi générée.

Cette idée que l’automatisation permettrait de rendre la vidéosurveillance enfin efficace s’inscrit dans une vieille logique du « bluff technologique » de la vidéosurveillance. Depuis des années, les industriels du secteur ne cessent de promettre que l’efficacité de la vidéosurveillance dépend d’un surcroît d’investissement : il faudrait plus de caméras disséminées sur le territoire, il faudrait que celles-ci soit dotées d’une meilleure définition, qu’elles offrent une champ de vision plus large (d’où l’arrivée de caméras 360, pivot, etc). Mais aussi qu’elles soient visionnées « en direct ». Il a donc fallu créer des centres de supervision urbaine (CSU) dans toutes les villes, puis y mettre des gens pour visionner le flux vidéo 24h/24. Il a aussi souvent été dit qu’il fallait davantage d’agents dans les CSU pour scruter les flux vidéo à la recherche d’actes délinquants commis en flagrance. Maintenant, il faut « mutualiser » les CSU au niveau des intercommunalités, ce dont se félicite Dominique Legrand, président du lobby de français de la vidéosurveillance, l’AN2V.

Dominique Legrand, président fondateur de l’AN2V, l’association nationale de la vidéoprotection évoque, à propos de la centralisation de CSU : « L’objectif de la création d’un tel dispositif est de pouvoir assurer le visionnage en temps réel de manière centralisée, en un même lieu (cyber) sécurisé, de l’ensemble des caméras des communes et intercommunalités. […] L’AN2V a déjà évangélisé cette idée sur plusieurs départements et régions ! » (cité dans le guide PIXEL 2023 édité par l’AN2V).

Chaque nouvelle nouvelle étape dans la surveillance promet son efficacité et tente de légitimer les investissements précédents. Au fil des années, ces multiples promesses de la vidéosurveillance n’ont pas été tenues. En l’absence de toute évaluation ou étude préalable, la généralisation de la VSA ne serait qu’une perte de temps et d’argent, en plus de constituer une profonde remise en cause de nos droits et libertés.

LA VSA ne sera pas circonscrite aux Jeux olympiques

Symptomatique d’un marché économique juteux, les industriels ont patiemment attendu que le gouvernement trouve une bonne opportunité pour légaliser cette technologie tout en ménageant « l’acceptabilité » auprès de la population. Si les JO sont le prétexte idéal, ne soyons pas naïfs : comme on l’a vu, la VSA est déjà « expérimentée » depuis plusieurs années dans des communes et fait l’objet de quantité de financements publics pour se perfectionner. De plus, une fois que tous ces algorithmes auront pu être testés pendant deux ans, lors de toutes « manifestations sportives, récréatives ou culturelles » comme le prévoit l’article 7, que les entreprises sécuritaires auront fait la promotion de leurs joujoux devant le monde entier lors des JO, que des dizaines de milliers d’agents auront été formés à l’utilisation de ces algorithmes, il semble peu probable que la VSA soit abandonnée fin 2024.

Des populations-laboratoires

Un autre aspect de la VSA est la tendance croissante à être mis en données. Au-delà de la surveillance de l’espace public et de la normalisation des comportements qu’accentue la VSA, c’est tout un marché économique de la data qui en tire un avantage. Dans le cadre des expérimentations prévues par le projet de loi, dès lors qu’un acteur tiers est en charge du développement du système de surveillance, cela permet aux entreprises privées concernées d’utiliser les espaces publics et les personnes qui les traversent ou y vivent comme des « données sur pattes ». C’est exactement ce que prévoit le titre VIII de l’article 7 puisque les données captées par les caméras dans l’espace public peuvent servir de données d’apprentissage pour perfectionner les algorithmes.

Les industries de la sécurité peuvent donc faire du profit sur les vies et les comportements des habitants d’une ville, améliorer leurs algorithmes de répression et ensuite les vendre sur le marché international. C’est ce que fait notamment la multinationale française Idémia, qui affine ses dispositifs de reconnaissance faciale dans les aéroports français avec les dispositifs PARAFE ou MONA, pour ensuite vendre des équipements de reconnaissance faciale à la Chine et participer à la surveillance de masse, ou encore pour remporter les appels d’offres de l’Union européenne en vue de réaliser de la surveillance biométrique aux frontières de l’Europe. Tel a également été le cas à Suresnes, où l’entreprise XXII a obtenu le droit d’utiliser les caméras de la ville pour entraîner ses algorithmes, les habitantes et habitants de la ville étant transformé·es en cobayes pour le développement commercial d’un produit de surveillance.

L’un des plus importants marchés de la surveillance aujourd’hui porte sur le contrôle des frontières à l’intérieur et à l’extérieur des pays membres de l’Union européenne. L’usage d’algorithmes de détection de comportements est ainsi utilisé sur des drones en Grèce afin de repérer et suivre des personnes aux zones de frontières. Dans ce cas précis, il est impossible de réduire la technologie fournie (et donc conçue et entraînée au préalable) à une seule assistance technique. Au contraire, elle est au service d’une politique répressive et d’une pratique policière dénoncée pour sa brutalité.³De l’aveu même d’une personne faisant partie d’un consortium de recherche ayant développé cet outil : « Le truc, c’est que je ne sais pas ce que les policiers font aux migrants après qu’on les a alertés. Mais qu’est-ce que je peux faire ». Article en anglais

Nous appelons les parlementaires à refuser l’article 7 du projet de loi olympique et continuons à nous mobiliser contre l’imposition de ces technologies liberticides !

Comme cela a déjà été fait à Saint-Étienne, Marseille, Paris ou Moirans, l’objectif est de faire tomber ce nouveau projet de Technopolice. Il s’agit d’un énième dispositif néfaste issu d’une start-up, ici Sensivic, qui utilise comme tremplin marketing l’avidité de certain·es élu·es pour la surveillance totale des populations.

En octobre 2021, nous avions appris que la ville d’Orléans avait signé une convention avec l’entreprise Sensivic pour expérimenter des « capteurs sonores » sur sa population. Dans la droite lignée de ce qui avait été tenté à Saint-Étienne, le projet consiste à déployer des « détecteurs de sons anormaux » (une douce expression pour « mouchards ») sur des caméras de surveillance.

L’idée, selon les termes de la convention, est « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies » et ainsi orienter les caméras ou les agents de police vers la source des bruits considérés comme « anormaux » par le micro. En somme, lier à la surveillance automatique visuelle, déjà déployée en masse dans nos villes, une surveillance sonore. En attendant la surveillance des odeurs, comme cela avait été évoqué en 2020 dans un livre blanc du ministre de l’Intérieur ?

La surveillance sonore ne passera pas

Des caméras, des micros, l’ensemble boosté par une supposée « intelligence artificielle » pour effacer toute trace d’anormalité dans nos villes… Non seulement ce projet est un énième fantasme sécuritaire né d’une start-up prête à tout pour rentabiliser son stand à Milipol (le salon parisien de la sécurité), mais il est aussi purement illégal. C’est ce que nous essayons de faire constater au tribunal administratif d’Orléans depuis désormais plus d’un an.

Pour cela, nous nous appuyons sur un précédent très similaire : la CNIL a en effet déjà considéré comme illégal un projet de surveillance sonore déployé quelques années plus tôt à Saint-Étienne. C’est notamment sur la base de cette analyse de la CNIL que nous avons attaqué l’expérimentation d’Orléans, déposant non seulement un recours devant le tribunal administratif mais aussi une plainte devant la CNIL pour la forcer à prendre position.

Si la procédure devant la CNIL n’a pas encore aboutie, la mairie d’Orléans a, en revanche, communiqué à l’été dernier sa défense devant le juge administratif. Nous venons d’y répondre.

Ne dites pas « microphone » mais « détecteur de vibration de l’air »…

La stratégie d’Orléans est simple : pour ne pas avoir à appliquer les règles protectrices du droit des données personnelles qu’elle sait ne pas respecter, la commune tente de faire passer l’idée que son dispositif de surveillance ne traiterait pas de données personnelles. Et par un tour de magie, de faire disparaître toutes les critiques sur les dangers de cette surveillance.

Le débat ressemble beaucoup à ce que l’on observe depuis que ces dispositifs de surveillance sont documentés dans le cadre de notre campagne Technopolice : des collectivités (mais derrière, en fait, des entreprises qui dictent leurs arguments de défense à la collectivité attaquée) qui refusent de se voir appliquer le droit des données personnelles, ou toute règle protectrice des droits fondamentaux.

Orléans fait figure d’exemple type. Ainsi, la ville refuse de voir le produit de la société Sensivic qualifié de micros et préfère parler de « détecteur de vibration de l’air ». Cela ne s’invente pas. La commune pense ainsi perdre le juge et la CNIL en inventant sa novlangue et en préférant des mots creux qui feraient oublier qu’il s’agit d’une surveillance permanente et totale de l’espace public.

La palme de l’absurdité revient de justesse à l’affirmation de la commune selon laquelle « Il convient de préciser que le traitement numérique s’opère par un code “firmware” c’est-à-dire embarqué dans le processeur électronique, et non pas de code “informatique” utilisé dans des ordinateurs classiques. Il s’agit, donc, d’électronique numérique. » La concurrence dans la course à l’aberration juridico-technique était pourtant rude.

Pire ! Le discours de la ville d’Orléans devant la justice entre en contradiction non seulement avec les termes mêmes de la convention passée (la convention que nous attaquons parle de « capteur sonore ») mais aussi avec la communication officielle de Sensivic, qui explique aux communes sur son site que « vos caméras peuvent maintenant avoir des oreilles affûtées ».

Toute l’analyse juridique de la ville d’Orléans repose en réalité sur deux documents inutiles. Le premier est issu d’un laboratoire « indépendant » et déclare, par un grossier argument d’autorité, que les produits de l’entreprise seraient « conformes au RGPD ». Mais comment croire en l’objectivité d’un laboratoire payé par une entreprise pour lui donner un document venant certifier un produit vis-à-vis des acheteurs potentiels ? Surtout lorsque son avis va frontalement à l’encontre du droit en la matière et des avis précédents de la CNIL ?

Le second est un courrier de la CNIL qui dit l’exact opposé de ce que veut démontrer Sensivic. La CNIL y rappelle justement sa position déjà exprimée sur Saint-Étienne : qu’un tel capteur sonore, couplé à une caméra de vidéosurveillance, est susceptible de porter une atteinte disproportionnée à la vie privée et à la liberté d’expression.

Bref, encore une start-up qui pense avoir trouvé un business fructueux en accentuant la surveillance de la population, au mépris de toute considération politique ou juridique – et qui reçoit pour cela le soutien aussi bien des collectivités publiques que des administrations.

Surveiller les gens, cela rapporte de l’argent

Entre temps, et sans être le moins du monde inquiétée par les autorités (qui l’ont plutôt encouragée), Sensivic, l’entreprise qui travaille avec Orléans sur cette surveillance, a tranquillement prospéré, continuant d’amasser les projets et les financements sur son business de surveillance sonore.

Présentant fièrement ses produits de surveillance au salon Viva Technology, la start-up a bénéficié d’une levée de fonds de plus de 1,6 millions d’euros en 2022 auprès d’un ensemble d’investisseurs, dont la BPI (la Banque Publique d’Investissement), fidèle investisseuse des pires projets de la Technopolice (dont le logiciel de surveillance TestWe, sanctionné il y a quelques semaines par la juridiction administrative).

Sur son site, la startup annonce d’ailleurs 1 542 détecteurs installés en France, Belgique et Suisse, et une équipe de 12 salarié·es, tous·tes dédié·es au déploiement d’une surveillance sonore de nos rues et villes, couplée à la vidéosurveillance déjà existante. 

Tout cela gravite dans un petit monde d’entreprises de surveillance, d’associations de lobbys et de financeurs bien habitués entre eux. Sensivic échange sur Youtube avec une autre start-up à tendance sécuritariste, Two-I (qui vend des solutions d’analyse d’image) en discutant analyse d’émotion, surveillance continue de l’espace et partenariat financier. Les deux sont d’ailleurs membres des mêmes associations de professionnels de la surveillance, dont l’AN2V (pour Association Nationale de Vidéoprotection), et sont toutes les deux soutenues par le « Comité Stratégique Filière Sécurité », sorte de lobby des industries de la sécurité officiellement soutenu et encouragé par l’État. 

Nous espérons bien gagner ce nouveau contentieux, devant la juridiction administrative et devant la CNIL, pour mettre un nouveau coup d’arrêt à l’extension de la Technopolice. Après la victoire contre le logiciel de surveillance des étudiant·es TestWe, cela serait une nouvelle encourageante dans la lutte qui s’annonce contre les Jeux Olympiques 2024.

Pour rappel : la vidéosurveillance automatisée, c’est la surveillance policière massive de l’espace public pour détecter des comportements réputés « anormaux » ; c’est le suivi algorithmique d’individus « suspects » dans la rue ; c’est l’intelligence artificielle pour faire la chasse aux illégalismes populaires ; c’est, à terme, l’identification par reconnaissance faciale en temps réel et la massification de la vidéoverbalisation ; ce sont des dizaines de millions d’euros d’argent public pour des technologies dangereuses déployées sans aucun débat digne de ce nom.

Si nous voulons tenir en échec ce projet de société, il nous faut obtenir coûte que coûte le rejet de ces dispositions. Tenez-vous prêt·es pour la mobilisation !

Cela fait plus de trois ans que nous documentons l’expérimentation illégale de la vidéosurveillance automatisée dans les villes et les villages français, que nous saisissons les tribunaux, dans des grandes villes comme à Marseille ou de petits villages comme à Moirans (Isère), pour dénoncer l’illégalité de ces technologies de surveillance dopées à l’intelligence artificielle. Trois années que, de leur côté, le gouvernement et les industriels se savent dans l’illégalité et qu’ils cherchent à changer la loi pour sécuriser ces déploiements sur le plan juridique. En 2020 déjà, la loi Sécurité Globale avait failli servir de canal législatif. Par peur des oppositions, le gouvernement avait alors préféré temporiser. Mais cette fois, nous y sommes…

L’opportunisme des Jeux olympiques

Le choix des Jeux olympiques et paralympiques de 2024 pour tenter de légaliser ces technologies n’est pas anodin. Les JO sont un « méga-évènement » qui, par leur dimension exceptionnelle, vont permettre la mise en œuvre et l’accélération de politiques tout aussi exceptionnelles. Comme cela a pu être observé lors des précédentes éditions, ces évènements sont l’occasion d’innovations législatives sécuritaires. Les lois accompagnant les Jeux olympiques mettent systématiquement en place un cadre pour un maintien de l’ordre strict, une militarisation de l’espace public ou encore une intensification des mesures de surveillance.

Le chercheur Jules Boykoff compare ce phénomène d’accélération législative à la « théorie du choc », développée par Naomi Klein, selon laquelle les gouvernements utilisent une catastrophe ou un traumatisme social pour faire passer des mesures basées sur la privatisation et la dérégulation. Les Jeux olympiques apparaissent eux aussi comme un accélérateur de politiques exceptionnelles, mais cette fois-ci en prenant appui sur un moment de fête ou de spectacle, par essence extra-ordinaire, où les règles politiques pourraient être temporairement suspendues, pour faire progresser des politiques qu’il aurait été difficile, voire impossible, de mettre en place en temps normal. 

Le gouvernement brésilien a ainsi utilisé les Jeux olympiques de 2016 à Rio pour mener des opérations quasi militaires dans les favelas ou expulser des personnes de leur logement. De la même manière, pour les Jeux olympiques de Tokyo, le gouvernement japonais a fait passer une loi « anti-conspiration » en réalité voulue de longue date pour mater les groupes militants et syndicaux. Les gouvernements précédents avaient tenté sans succès à trois reprises de faire passer une législation analogue. Cette loi a été très critiquée, notamment par les Nations Unies, au regard des atteintes aux libertés qu’elle créait et aux pouvoirs de surveillance qu’elle conférait à l’État. 

De la même manière, les méga-évènements sportifs sont souvent qualifiés de « spectacles de sécurité » ou « vitrines sécuritaires » puisqu’ils permettent à la fois d’être des moments d’expérimentation et des laboratoires des technologies, mais aussi de jouer sur ce moment exceptionnel pour atténuer les mesures de surveillance et les rendre plus acceptables (on vous en parlait notamment déjà ici et là).

Paris dans la course

Le choix du gouvernement français d’introduire les expérimentations de vidéosurveillance automatisée dans la loi sur les JO 2024 répond exactement à ce schéma et cette logique d’instrumentalisation des méga-évènements. Alors qu’aucune étude publique et scientifique n’existe sur ce sujet et qu’aucun besoin n’a été précisément identifié, les mesures concernant la VSA sont présentées par le gouvernement et certains parlementaires comme nécessaires à la sécurité de cet évènement. 

Dans l’analyse d’impact, le gouvernement se contente de prendre comme exemple la détection de colis abandonnés : « Plutôt que d’attendre son signalement par des effectifs de voie publique ou sa localisation par les opérateurs chargés du visionnage de milliers d’images de vidéosurveillance, cette mesure permettrait de gagner un temps précieux » et « seule l’utilisation d’un traitement algorithmique est de nature à signaler en temps réel cette situation à risque et de permettre aux services concernés de l’analyser et d’y donner suite le cas échéant.» Voilà pour la seule justification à l’introduction d’une surveillance algorithmique de l’espace public que le gouvernement entend déjà pérenniser et qui concerne potentiellement des millions de personnes.

Car en réalité, les expérimentations s’insèrent dans un projet politique plus large et satisfont les désirs exprimés depuis plusieurs années par le secteur industriel et les institutions policières d’utiliser massivement ces dispositifs. Il est donc certain que ces outils ne seront pas abandonnés après la fin de la période d’expérimentation, de la même manière que les boites noires des services de renseignement ou les règles dérogatoires de l’état d’urgence de 2015 ont été pérennisées alors qu’elles étaient censées être temporaires et exceptionnelles. D’ailleurs, des parlementaires en vue sur ce dossier, comme Philippe Latombe, évoquent dores et déjà une autre loi, plus généraliste, à venir sur le même sujet dans le courant de l’année 2023.

Un laisser-passer pour le marché de la VSA

Afin de permettre le développement de la VSA, le gouvernement a prévu un article 7 au sein du projet de loi qui propose un processus d’expérimentation découpé en plusieurs étapes jusqu’en juin 2025. Derrière cet apparent formalisme procédurier, l’article 7 constitue en réalité un tremplin pour la vente des logiciels de VSA à l’État et aux collectivités locales par le secteur privé. 

Si la loi est présentée comme concernant les Jeux olympiques, c’est en réalité sur une quantité d’évènements toute autre que les algorithmes vont être déployés pendant la durée prescrite pour les expérimentations : festivals de musique, courses de marathon, spectacles en plein air, marchés de Noël ou encore la coupe du monde de rugby 2023. Autant d’évènements « sportifs », « récréatifs » ou « culturels » qui serviront de terrain de jeux à ces algorithmes. D’ailleurs, le périmètre de ces évènements est également très large puisque les images utilisées iront jusqu’aux abords de ces lieux et aux moyens de transport les desservant (l’intérieur et les voies).

Tout d’abord, les expérimentations sont censées respecter une double condition qui épouse parfaitement le vocable et les offres créés par le marché de la VSA. Premièrement, elles doivent avoir pour finalité « d’assurer la sécurité de manifestations sportives, récréatives ou culturelles, qui, par leur ampleur ou leurs circonstances sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteinte grave à la sécurité des personnes ». Deuxièmement, l’objet des traitements doit être « de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler ces risques et de les signaler en vue de la mise en œuvre des mesures nécessaires » pour une panoplie de services de sécurité (la police et la gendarmerie nationales, la police municipale, les services d’incendie et de secours et les services internes de sécurité de la SNCF et de la RATP). Les images traitées peuvent être celles issues des caméras de surveillance ou des drones, ces derniers étant autorisés depuis l’année dernière.

Comme pour beaucoup de dispositifs de surveillance, le gouvernement se justifie par une logique de prévention de risques. Et, comme souvent, ceux-ci sont si largement définis qu’ils peuvent inclure un nombre très large de situations. On retrouve à travers la fonctionnalité de détection d’évènements le cœur des dispositifs conçus et vendus par le marché de la VSA : deviner et classer les comportements « à risque » dans l’espace public et alerter sur ceux qui nécessiteraient une attention et une intervention de la police. Ainsi, dans la loi, l’« intelligence artificielle » (qui n’est jamais définie dans le texte) permettrait de déceler dans nos manières de vivre, bouger, marcher celles qui doivent déclencher – ou non – une alerte. 

Dans l’étude d’impact, les seuls « impacts sociaux » que le gouvernement relève seraient des avantages : la VSA « renforcerait » la sécurité, garantirait la « préservation de l’anonymat dans l’espace public et l’absence d’atteinte au droit à la vie privée » du fait de l’absence de reconnaissance faciale – carrément ! – et, enfin, les exigences de la loi permettraient la « neutralité de l’outil ». De son coté dans son avis, le Conseil d’État reprend la même logique que celle promue par les entreprises, à savoir que la fonction de l’algorithme se limite à une « levée de doute », minimisant ainsi le rôle du logiciel dans la prise de décision des agents de sécurité qui se déresponsabilisent derrière un outil technique. La CNIL, elle, est aux abonnés absents, se contentant de se féliciter que les « garanties » exigées dans sa précédente position qui appelait à légaliser la VSA aient été reprises dans le projet de loi…

Nous l’avons dénoncé à plusieurs reprises : ces outils sont tout sauf neutres. Dans la pratique actuelle du secteur, ces évènements vont de la « détection de comportement suspect », au « maraudage » (le fait d’être statique dans l’espace public), en passant par le « dépassement d’une ligne virtuelle » (c’est-à-dire l’entrée d’une personne dans une zone), le suivi de personne, la détection d’objets abandonnés, d’une bagarre ou encore d’un vol. Les comportements dits « suspects » ne reflètent aucune réalité tangible mais ne sont que la matérialisation de choix politiques subjectifs et discriminatoires qui se focalisent sur les personnes passant le plus de temps dans la rue : par exemple, sous la fonctionnalité de détection du « maraudage » se cache en réalité une chasse aux personnes mendiant. Qu’elle soit humaine ou algorithmique, l’interprétation des images est toujours dictée par des critères sociaux et moraux, et l’ajout d’une couche logicielle n’y change rien. Au final, elle automatise et massifie la prise de décision de la police pour mieux lui permettre d’augmenter son pouvoir de surveillance et de répression. 

Afin de pousser cette stratégie de minimisation de sa surveillance, le gouvernement affirme également que ces dispositifs ne traiteraient pas de données biométriques (ce qui est faux comme nous l’expliquions ici, et comme l’a récemment rappelé le Défenseur des droits¹Dans son rapport « Technologies biométriques : l’impératif respect des droits fondamentaux » de 2021, le Défenseur des droits considérait déjà les technologies de VSA comme des traitements de données biométriques. En 2022, il rappelait que la VSA consiste à traiter des données biométriques dans son enquête sur la « Perception du développement des technologies biométriques en France ».) et qu’ils ne feront pas de reconnaissance faciale. En s’engageant à renoncer pour l’instant à cette technologie qui a une place bien particulière dans l’imaginaire collectif, il joue ici un jeu politique et stratégique de communication pour donner à la VSA une image moins dangereuse. Le discours consiste à affirmer que la VSA ne reposerait « que » sur une analyse d’images purement technique qui ne se contenterait « que » d’« assister » l’humain. À nouveau, le gouvernement et le Conseil d’État piochent ici directement dans la pile d’arguments des marchands et promoteurs de la VSA. Celle-ci n’est en rien moins dangereuse que la reconnaissance faciale et touche à la même intimité du corps. En d’autres termes, la reconnaissance faciale n’est que l’une des nombreuses applications de la VSA. Et il y a fort à parier que son usage pour identifier des personnes en temps réel sur la voie publique sera à son tour légalisé, à l’occasion d’une prochaine et énième loi sécuritaire. Dès 2018, c’est d’ailleurs cet usage-là que des élus comme Christian Estrosi, le maire Horizons de Nice, mettaient en avant pour légitimer le recours à la vidéosurveillance automatisée dans leurs villes.

L’État aux manettes

Ensuite, le projet de loi prévoit que la confection et le déploiement des algorithmes soient divisé·es en plusieurs étapes, toutes supervisées par le pouvoir exécutif et avec le moins d’obstacles ou de gardes-fous possibles. 

Tout d’abord, à l’instar de la vidéosurveillance classique, les services de l’État ou des collectivités locales devront faire une demande d’autorisation au préfet. Ces demandes d’autorisation devront identifier un évènement précis où l’expérimentation aura lieu (par exemple le marathon de Paris en avril 2023 ou le festival des Vieilles Charrues en juillet) et définir l’algorithme à mettre en œuvre (quel « évènement » détecter, les spécificités de la situation justifiant l’usage de la VSA, qui peut y a voir accès, comment cela est financé…). Une analyse « bénéfices/risques » doit également être jointe à cette demande mais ce type de document est classiquement exigé en droit des données personnelles et il a dores et déjà fait la preuve de son incapacité à protéger les libertés publiques (ces analyses d’impact sont généralement mal rédigées par les demandeurs et n’empêchent presque jamais le déploiement de dispositifs qui pourraient plus tard être jugés illégaux par la justice).

Pour fabriquer le logiciel, l’État et les collectivités auront trois options : le développer eux-mêmes, le faire développer par un tiers, ou bien l’acquérir directement sur le marché. C’est bien entendu ces deux dernières options qui seront très probablement privilégiées puisqu’il est bien moins cher et bien plus rapide de confier la tâche à des entreprises qui le font depuis des années que de créer un service d’ingénieur·es en interne (qui gagneraient d’ailleurs davantage dans le secteur privé). Et du coté des industriels de la VSA – les gros comme Thales ou Idemia, les plus petits comme Briefcam, Aquilae, XXII, Two-I ou Datakalab –, c’est banco  ! Cette loi va leur permettre de démultiplier les déploiements en apportant un cadre juridique qui fait largement défaut jusqu’à présent, en réorientant l’ensemble des développements de leurs technologie de « vision assistée par ordinateur » vers des applications sécuritaires.

Quant aux foules passées au crible de ces systèmes au cours de la multitude d’évènements où auront lieu les tests, elles serviront de cobayes : le projet de loi prévoit en effet que les images de vidéosurveillance « classique » encadrées par le code de sécurité intérieure pourront être utilisées comme données d’apprentissage si leur durée de conservation n’est pas expirée. Or, on apprend dans l’étude d’impact que « si la réutilisation de ces données est nécessaire à la correction des paramètres du traitement, ces dernières peuvent être conservées au-delà de ces durées, dans la limite de la durée de l’expérimentation et pour ce seul usage, afin de parfaire l’apprentissage des algorithmes ». Cela signifie que les entreprises de VSA pourront donc disposer d’un volume conséquent d’images pour entraîner leurs algorithmes. Et les citoyen·nes filmé·es deviendraient tout simplement leurs rats de laboratoire. 

Coté technique, le projet de loi prévoit que le développement du logiciel devra répondre à des exigences qui sont en total décalage avec la réalité de la confection de ce type de logiciels d’analyse d’image. Nous y reviendrons plus longuement dans un prochain article. 

Ces exigences feront l’objet d’une attestation de conformité établie par une autorité administrative qui n’est pas encore définie et selon des critères et des méthodes qui ne sont jamais précisées. On apprend dans l’étude d’impact que l’État demandera probablement de l’aide à un « organisme de certification spécialisée ». Sans doute un autre acteur privé ? En tout cas, la seule chose qui est demandée aux industriels est de « présenter des garanties de compétences et de continuité et fournir une documentation technique complète ». 

Une fois le logiciel prêt, ce seront le préfet du département et, à Paris, le préfet de police qui autoriseraient l’utilisation des algorithmes auprès des services de sécurité qui en feront la demande. Ils seront également les seuls à pouvoir décider d’arrêter son utilisation ou de la renouveler, tous les mois, si les conditions sont remplies. À la fin de tout ça, ce que l’on remarque, c’est l’absence criante de la CNIL. Évincée du processus, ses pouvoirs sont extrêmement limités et jamais contraignants, qu’il s’agisse du décret d’autorisation de l’expérimentation (il s’agit d’un avis uniquement consultatif), dans la décision du représentant de l’État ou du préfet de police de mettre en œuvre le système (cette décision lui est simplement adressée) ou dans le suivi de expérimentation (le préfet la tient au courant « au tant que besoin », c’est-à-dire selon son bon vouloir).

Cette éviction de tout contrôle indépendant n’est pas étonnante et s’inscrit dans la perte de pouvoirs de la CNIL observée depuis le début des années 2000, celle-ci étant mise à distance sur les sujets de surveillance étatique pour se concentrer vers l’accompagnement des entreprises. L’absence de réaction forte de la CNIL face au déploiement de la VSA pour préférer le dialogue complaisant avec ses constructeurs confirme bien sa mue en autorité régulatrice du secteur économique de la surveillance. 

La bataille commence

Le gouvernement avait ce projet dans ses cartons depuis longtemps. Nous ne souhaitons en aucun cas l’améliorer ou rafistoler la loi : nous voulons le rejet pur et simple de cet article 7 pour le projet de société de surveillance qu’il incarne. 

La VSA est un changement de dimension de la surveillance de masse. En autorisant l’État à analyser, classer, évaluer les mouvements et comportements de chaque individu dans l’espace public, en lui donnant des pouvoirs de décision décuplés par l’automatisation de la prise de décision, cette technologie transforme notre rapport à l’espace public et démultiplie les capacités de contrôle et de répression de la police. 

Nous allons nous battre pour que cette première étape de la légalisation de la VSA ne puisse jamais voir le jour. Nous allons avoir besoin de vous afin de montrer l’opposition de la société à ces technologies et interpeller les parlementaires. La bataille commence au Sénat dès le 18 janvier, avant que soit transmis le texte à l’Assemblée. Nous reviendrons rapidement avec de nouvelles analyses et des outils pour vous permettre d’agir avec nous ! En attendant, nous vous invitons à venir nombreuses et nombreux en discuter le 14 janvier à la Flèche d’Or, à Paris. Nous parlerons Technopolice et Jeux olympiques avec des militant·es et chercheur·euses qui travaillent sur le sujet, toutes les infos sont ici !

Suite à notre travail sur l’utilisation d’un algorithme de notations des allocataires utilisé afin de sélectionner celles et ceux qui feront l’objet d’un contrôle (voir ici et ici), nous avons été contacté·es par la cellule investigation de Radio France (voir leur article ici) à propos d’une base de données contenant plus de 10 000 dossiers d’allocataires de la CAF disponible en ligne sans aucune protection et accessible par n’importe qui.

Une fuite majeure : état civil, situation familiale, données médicales et multiples informations sur les enfants

Pour chaque dossier, 181 variables sont disponibles¹Pour l’explication des variables présentes, voir ce dictionnaire. La liste des variables est accessible ici. D’autres données relatives à la navigation internet des allocataires sur le site de la CAF étaient disponibles.. On trouve notamment les informations suivantes sur chaque allocataire :

• État civil : sexe, date de naissance, nationalité (française ou non), adresse (sans le nom de la ville)²Voir SEXE, DTNAIRES, NATIFAM, LILI4ADR..
• Logement : type de logement (propriétaire, locataire, sans domicile fixe, hébergement à titre gracieux, hôtel…), informations sur le loyer ³Voir OCCLOG, MTAIDEL, MTLOYREM..
• Situation personnelle : célibataire/veuf·ve/en couple/divorcé·e, personne sous tutelle ou non (civile, judiciaire, médicale…) ⁴Voir SITFAM, NATTUT..
• Situation médicale : grossesse en cours ou non, « niveau » de handicap⁵Voir TITUAAH, TOPGRO, CINCAAH..
• Situation professionnelle : « activité » (chômeurs·es, salarié·e, retraité·e, étudiant·e, handicapé·e, personne « inactive ») ⁶Voir ACTRESPD0..
• Situation du conjoint : activité (chômeurs·es, activité « normale », retraité·e, étudiant·e, handicapé·e, « inactive »), date de naissance ⁷Voir PRESCONJ, DTNAICONJ, ACTCONJ..
• Situation familiale : nombre de personnes du foyer, nombre d’enfants, existence de pensions alimentaires, de garde alternée, revenus du foyer ⁸Voir SITFAM, PERSCOUV, NBENLEFA, TPA, NBUC, RUC..
• Pour chaque enfant de l’allocataire : date de naissance, sexe, s’il ou elle est orphelin, a été abandonné·e à la naissance, sa « qualité » (« infirme », étudiant·e, stagiaire, salarié·e, apprenti·e), s’il ou elle est à charge ou encore en résidence alternée⁹Voir variables DNAIENF, CATEENF, QUALENF, ENFASFVERS..
• Type et montant des allocations : Allocations familiales, APL, RSA, Prime d’activité, Allocation d’adultes Handicapés ¹⁰Voir toutes les variables en *VERS, TITUAAH..

L’exposition de cette base de données révèle donc énormément d’informations personnelles et sensibles sur plus de 10 000 allocataires. Et ce depuis plus d’un an et demi¹¹Les premiers exercices semblent avoir été publiés en mars 2021., sa date de mise en ligne remontant à mars 2021.

L’authenticité de ces données a été vérifiée par des journalistes de Radio France qui ont contacté plusieurs des allocataires identifiés à partir des informations disponibles.

Des données transférées à un prestataire privé sans aucune justification

Ces données ont été mises en ligne par un prestataire privé à qui la CAF avait demandé de former ses agent·es à la manipulation d’un logiciel de traitement statistique. C’est dans le cadre de cette formation que la CAF a communiqué quelques 10 000 dossiers d’allocataires à ce prestataire. Le but était qu’il puisse créer des exercices portant sur des cas réalistes.

À la vue du niveau très basique des exercices proposés dans la formation (manipulation simple de variables, tri de données, export/import de tables…), rien ne justifie l’utilisation de données personnelles des allocataires. En d’autres termes, les exercices auraient pu être réalisés avec des jeux de données complètement anodins (accessibles publiquement par exemple).

Contacté par Radio France, le prestataire a lui-même dit qu’il pensait que les données envoyées étaient « fictives », ajoutant qu’il n’avait pas demandé de données réelles car cela n’était pas nécessaire…

Ce transfert de données semble donc révéler le peu de cas que la CAF fait de nos données personnelles. Ou plutôt un sentiment de propriété de nos données personnelles de la part de ses responsables, qui semblent trouver cela normal de les transférer sans aucune raison à des prestataires privés… Ou de les utiliser pour développer un algorithme de notation ciblant les plus précaires.

Petit rappel aux responsables de la CAF (1/2) : supprimer les noms et prénoms ne revient pas à anonymiser des données

Certes, la CAF avait pris la « précaution » d’enlever du jeu de données les noms et prénoms des allocataires ainsi que le code postal. Mais une simple recherche à partir du reste de l’adresse (numéro et nom de rue), sur un site comme les Pages jaunes, suffit à identifier de nombreuses personnes.

C’est cette approche qu’a adoptée l’équipe de Radio France pour vérifier l’authenticité des données via l’appel à des allocataires dont la trace a été retrouvée.

Ainsi la CAF semble ignorer les principes de base de l’anonymisation des données personnelles. Une anonymisation correcte nécessite bien plus de traitements de manière à ce qu’il ne soit pas possible d’identifier les individus auxquels sont rattachés les données. Il faut par exemple supprimer, ou a minima modifier, les informations directement identifiantes (date de naissance et adresse par exemple). Nous redirigeons ces responsables vers le guide de la CNIL portant sur ce sujet.

Petit rappel aux responsables de la CAF (2/2) : chiffrer ses données, c’est bien

Pire, la base de données a été publiée sans que son accès n’ait été protégé. On aurait pu imaginer, a minima, que le prestataire les chiffrerait avant de les mettre en ligne pour les élèves de la formation à qui il aurait communiqué le mot de passe protégeant le fichier.

Mais même cette mesure de précaution élémentaire a été écartée. Le fichier contenant les informations a été publié sans la moindre protection. Il était donc accessible à toute personne se rendant sur le site du prestataire.

Le « Centre National d’Appui au Datamining » au centre des controverses

L’analyse des adresses des allocataires présentes dans les fichiers révèle que la plupart se trouvent en région bordelaise. Or c’est à Bordeaux que se trouve le « Centre National d’appui au Datamining » (CNAD)¹²Le centre d’appui au datamining (CNAD) a été créé en 2012 à Bordeaux par la CAF de Gironde. Voir notamment l’article de Mathieu Arzel dans le numéro 58 revue Regards publié en 2020 et disponible ici. de la CAF.

Ce centre a été créé en 2012 pour développer le fameux algorithme de notation des allocataires aujourd’hui vivement contesté (voir ici, ici, ici, ici ou encore ici).

Il est ainsi légitime de se demander si la formation ayant conduit à la fuite de données était à destination des agent·es du CNAD. Peut-être même d’agent·es ayant vocation à travailler sur l’algorithme de notation lui-même ?

La CAF doit rendre des comptes sur ses pratiques numériques

Les révélations sur les pratiques numériques nocives et irrespectueuses des données personnelles des allocataires par la CAF s’accumulent. Face aux questions légitimes qui lui sont posées, la CAF préfère s’enfermer dans l’opacité (voir notre article ici).

Nous n’arrêterons pas pour autant de les documenter.

Image d’illustration : reconstitution d’un extrait de la base de données concernée par la fuite.

Alors que la contestation monte (voir ici, ici, ici ou ici) concernant son algorithme de notation des allocataires à des fins de contrôle social, la CAF choisit de se réfugier dans l’opacité tout en adaptant, maladroitement, sa politique de communication. Suite à son refus de communiquer le code source de son algorithme, nous avons saisi la Commission d’Accès aux Documents Administratifs (CADA).

Comme nous l’expliquions ici, la CAF utilise depuis 2012 un algorithme de profilage attribuant à chaque allocataire une note ou «score de risque». Construite à partir des centaines de données dont la CAF dispose sur chaque allocataire, cette note est ensuite utilisée pour sélectionner celles et ceux qui seront contrôlé·es.

Cet algorithme symbolise l’étendue des dérives de l’utilisation des outils numériques au service de politiques de contrôle social portées par des logiques policières de suspicion généralisée, de tri et d’évaluation continue de chacun de nos faits et gestes.

Ici, comme c’est généralement le cas par ailleurs, ce tri cible les plus précaires. Les rares informations disponibles à ce sujet laissent apparaître que parmi les critères dégradant la note d’un·e allocataire, et augmentant ses chances d’être contrôlé·e, on trouve pêle-mêle : le fait de disposer de faibles revenus, d’habiter dans un quartier défavorisé, d’être une mère célibataire ou encore d’être né·e hors de France.

Pour en avoir le coeur net, nous avons donc demandé à la CAF de nous communiquer le code source de son algorithme¹Voir notre demande CADA ici. Et sa réponse est affligeante²Voir la réponse de la CAF ici et le code source caviardé ici..

Sortir de la précarité pour “tromper l’algorithme”

Si la CAF a bien accepté de nous communiquer le code de l’algorithme… ce n’est qu’après avoir masqué la quasi-totalité des noms des variables comme on peut le voir sur l’illustration de cet article, qui est une photo de ce que la CAF nous a répondu.

En d’autres termes, le fichier fourni nous permet simplement d’apprendre combien de critères sont utilisés pour le calcul de la note des allocataires. Rien de plus. Ce qui n’empêche pas la CAF de préciser dans son courrier qu’elle espère que sa communication nous « permettra de comprendre le modèle »³Voir la réponse de la CAF ici et le code source caviardé ici..

Les responsables de la CAF ont toutefois tenu à justifier le caviardage du fichier. Ces dernier·es précisent que le code source a été « expurgé des mentions qui, si elles étaient communiquées, pourraient donner des indications aux fraudeurs pour tromper l’algorithme»⁴Voir la réponse de la CAF ici et le code source caviardé ici.. Et pour être tout à fait honnête, nous n’étions pas préparé·es à cette réponse.

La CAF croit-elle vraiment que les critères liés à la précarité (situation professionnelle instable, faibles revenus, logement situé dans un quartier défavorisé…) pourraient être modifiés par la seule volonté de l’allocataire? Qu’afin d’augmenter leur note et de « flouer » l’algorithme, des millions d’allocataires pourraient décider, d’un coup, de sortir de la pauvreté?

Ce raisonnement frise l’absurdité. A vrai dire, il est méprisant et insultant pour celles et ceux vivant des situations difficiles.

Pire, le secrétaire général de la CAF entretient publiquement la confusion entre fraudes et erreurs de déclarations involontaires, prenant ainsi le risque de stigmatiser les personnes ciblées par l’algorithme, et ce, dans le seul but de justifier l’opacité de son institution.

En réponse à un journaliste de Radio France⁵Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours. l’interrogeant sur la réponse de la CAF à notre demande, il l’expliquait en disant qu’« il y a un certain nombre de données dont on pense que, si elles sont connues, peuvent nourrir des stratégies de contournement de personnes dont le but c’est de frauder le système ». Et d’ajouter: « Il faut que l’on ait un coup d’avance ».

Faut-il donc lui rappeler que l’algorithme de la CAF n’est pas entraîné à détecter les fraudes mais les erreurs de déclaration, par définition involontaires⁶Voir notre article présentant l’algorithme de notation des allocataires de la CAF disponible ici.. Et que sa réponse pourrait donc être reformulée ainsi : « Nous ne communiquerons pas le code de l’algorithme de peur que les allocataires arrêtent de faire des erreurs ».

De notre point de vue, cette réponse révèle l’ampleur de l’embarras des responsables de la CAF vis-à-vis de leur algorithme. Ils et elles ont peut-être en tête le scandale entourant un algorithme, en tout point similaire, de notation des allocataires ayant été utilisé aux Pays-Bas et dont les suites ont amené à la démission du gouvernement⁷Un algorithme similaire a fait l’object d’un scandale retentissant aux Pays-Bas. Discrimantn. Sur ce sujet, voir notamment le rapport “Xenophobic machines: Discrimination through unregulated use of algorithms in the Dutch childcare benefits scandal” publié en 2021 par Amnesty International et disponible ici.?

Déni de justice

Pire, cette opacité est aussi appliquée, à l’échelle individuelle, aux allocataires ayant été séléctionné·es par l’algorithme pour être controlé·es et qui chercheraient à obtenir des informations sur la raison de ce contrôle. Et ce, alors même que la loi prévoit que tout individu ayant fait l’objet d’une décision prise sur le fondement d’un traitement algorithmique (ici le fait d’être contrôlé) a le droit de connaître les données utilisées ainsi que les paramètres de cet algorithme⁸Voir l’article R-311-3-1-2 du CRPA disponible ici. . Ce qui signifie que les personnes ayant fait l’objet d’un contrôle⁹En tout état de cause, le fait de ne pas avoir été contrôlé est aussi une décision administrative. Le CRPA donne donc des droits étendus à toute personne ayant été notée, qu’elle ait été contrôlée, ou non. sont censées avoir un droit d’accès plus étendu qu’une association comme la Quadrature.

Nous avons pu consulter la réponse à la demande d’informations réalisée par une personne ayant été contrôlée sur la base de sa note. Le courrier, signé par le délégué à la protection des données de la CNAF, se contente de renvoyer l’allocataire à la page “Internet et Libertés” de la CAF.

Sur cette page sont présents deux documents relatifs à l’algorithme de notation : un communiqué de la CAF et l’avis de la CNIL associé¹⁰Le communiqué de la CNAF daté du 27 janvier 2022 et intitulé « Aide à la détermination des dossiers allocataires nécessitant une vérification à l’aide d’un procédé de datamining » est disponible ici. La délibération de la CNIL du 24 mars 2010 est disponible ici. Il est à noter que l’algorithme a à priori grandement évolué depuis la délibération de la CNIL datant de plus de 12 ans. Comme nous l’expliquions ici, la délibération de la CNIl fait notamment référence à un modèle de lutte contre la fraude, alors que l’algorithme est aujourd’hui entraîné pour détecter les erreurs.. Aucun ne fournit d’informations sur les paramètres utilisés par l’algorithme, ni sur leur impact sur le score de risque.

Cette réponse est un déni de justice pour celles et ceux ayant fait l’objet d’un contrôle déclenché algorithmiquement, l’opacité entretenue par la CAF les empếchant de contester juridiquement le bien-fondé du contrôle dont ielles ont fait l’objet.

La discrimination : un savoir-faire à protéger

Nous avions aussi demandé la liste des variables utilisées pour l’entraînement du modèle, c’est à dire sa phase de création. Cette question est importante car elle permet de comprendre l’étendue des données utilisées par l’algorithme. Et donc le degré d’intrusion dans la vie privée des allocataires que la construction d’un tel modèle nécessite.

En effet, en mettant régulièrement en avant dans sa communication que son algorithme n’utilise « que » quelques dizaines de variables¹¹Voir le (faux) Vrai/Faux dans ce document., la CAF fait mine d’ignorer qu’elles sont le fruit d’une sélection qui nécessite l’analyse d’un nombre bien plus grand de variables au préalable¹²Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours..

Et la justification apportée par les responsables de la CAF est, là aussi, déconcertante. Ces dernier·es avancent que la communication de ces variables n’est pas possible car elles constituent un « savoir-faire »¹³Voir la réponse de la CAF ici et le code source caviardé ici.. La CAF souhaiterait-elle monétiser son algorithme et le revendre à d’autres administrations ? Penserait-elle pouvoir équiper les équipes de contrôleurs.ses des institutions sociales du monde entier de son algorithme assimilant les plus précaires à de potentiel·le·s fraudeurs ou fraudeuses?

A défaut de réponse, nous nous en remettons à ce que, techniquement, tout·e data-scientist ferait pour entraîner un modèle le plus « précis » possible. Il suffirait de partir de l’intégralité des variables à sa disposition et, par itérations successives, décider lesquelles garder pour le modèle final. Dans cette hypothèse, ce serait alors la quasi-totalité des variables détenues par la CAF sur chaque allocataire qui serait utilisée pour l’entraînement de son modèle.

Ceci serait cohérent avec un document publié en 2013 dans lequel un statisticien de la CAF que « les statisticiens chargés de la modélisation disposaient d’environ un millier d’informations par allocataire contrôlé » et que « la base d’apprentissage contient toutes les données habituelles des fichiers statistiques »¹⁴Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours..

Vingt ans de développement… et aucun compte-rendu de réunions

Quant à notre demande relative aux documents internes (notes, comptes-rendus, échanges…) concernant le développement de l’algorithme, la CAF nous a tout simplement répondu qu’en presque 20 ans de travail aucune réunion technique n’a fait l’objet de compte-rendu…¹⁵Voir la réponse de la CAF ici et le code source caviardé ici.

Pour être tout à fait honnête, c’est une première dans l’histoire de nos demandes CADA.

Le retour de l’alibi technique

A ceci s’ajoute, depuis le début de l’année, la mise en place de ce qui apparaît comme une véritable communication de crise par l’institution autour de son algorithme. En juin 2022, la CAF a notamment publié un communiqué intitulé « Contrôle et datamining » dans lequel elle tente de répondre aux critiques soulevées par son algorithme¹⁶Le document, publié sur le site de la CAF, est disponible ici..

A sa lecture, on prend toute la mesure du rôle d’alibi technique à une politique de contrôle discriminatoire que joue l’algorithme, ce que nous dénoncions déjà ici.

L’algorithme y est décrit comme étant un objet purement scientifique dont le caractère politique est nié. Il est ainsi expliqué que la note des allocataires est le fruit d’une « démarche scientifique d’étude statistique […] menée par des experts » se fondant sur des critères « scientifiquement pondérés » ayant été sélectionnés « sur seuls critères statistiques ». Le secrétaire général de la CAF ajoute¹⁷Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours. de son côté que cet outil serait un « miroir des situations statistiques » servant à identifier des « environnements de risques ».

Ce faisant, les responsables de la CAF cherchent à nier leur responsabilité (politique) dans la conduite, et la validation, d’une politique de contrôle discriminatoire. Nul part n’apparaît que que si les erreurs se concentrent sur les plus précaires, c’est tout simplement parce qu’au fil des ans se sont multipliées les règles et contraintes encadrant l’accès aux minima sociaux, et ce, dans le seul but de restreindre leur accessibilité¹⁸Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi le rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil, disponible ici..

On mesure enfin l’impact des logiques gestionnaires appliquées aux institutions sociales. Logiques réduisant des millions de vies et d’histoires, à de simples notions statistiques, déshumanisantes, froides et vides de sens.

Communication mensongère

La deuxième partie du document est consacrée à un « Vrai/Faux » portant sur l’algorithme où transpire la malhonnêteté intellectuelle.

A l’affirmation « Les scores de risques les plus élevés concernent toujours les plus pauvres », la CAF répond Faux car « les scores de risques sont calculés pour tous les allocataires ». Ce qui n’a tout simplement aucun sens…

A la question « Les contrôleurs sont payés aux résultats », la CAF répond que ce serait faux, bien qu’elle admette que l’Etat lui fixe bien un objectif à atteindre en termes de détection de fraude. Ici encore, l’institution joue avec les mots. S’il est vrai que les contrôleurs.ses n’ont pas de «prime sur leurs résultats», ils et elles touchent un intéressement, tout comme l’ensemble du personnel de la CAF, dont le montant dépend bien de l’atteinte de ces objectifs de contrôle¹⁹Voir par exemple l’annexe d’intéressement 2021 (ici) de la CAF spécifiant un objectif de fraudes détectées et un objectif de taux de recouvrement des indus non frauduleux. La tenue de ces objectifs impacte directement la prime d’intéressement des employé.e.s de la CAF..

A la question « Plus de 1000 données concernant les allocataires sont utilisées dans le modèle de datamining des CAF », la CAF répond que seules une quarantaine seraient utilisées. Elle détourne ainsi la question puisque – comme expliqué ci-dessus – elle omet de dire que ces quarante variables sont sélectionnées après une phase d’entraînement du modèle qui nécessite l’utilisation, et le traitement, de plus de mille variables par allocataire²⁰Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours..

Enfin, aux questions « Les contrôleurs de la Caf ont accès à toutes les infos qu’ils souhaitent à l’insu des allocataires », et « Les allocations sont suspendues pendant le contrôle », la CAF répond que non car « aucune demande n’est faite à d’autres administrations, sans en avoir averti auparavant l’allocataire, aucune procédure vis-à-vis d’un tiers n’est engagée à l’insu de celui-ci.» Et ajoute que, lors d’un contrôle, « les allocations ne sont pas suspendues ».

Sur ces deux derniers points, nous vous invitons à lire les témoignages collectés par le Défenseur des Droits, les collectifs « Stop Contrôles », « Changer de Cap » et différentes associations de lutte contre la précarité²¹Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici. Voir aussi l’émission de Radio France « Secrets d’info » revenant sur ces questions et disponible ici et l’article l’accompagant ici. qui alertent depuis des années sur les suspensions abusives d’allocations pendant les contrôles et les pratiques invasives (consultation des comptes bancaires, relevés d’électricité, analyse de l’adresse IP etc…) des contrôleurs·ses de la CAF à l’insu des allocataires.

Fraude à enjeux et lutte contre le non-recours : des contre-feux médiatiques

A ceci s’ajoute diverses annonces de la CAF participant à nourrir une stratégie de diversion médiatique autour de son algorithme de notation.

Dans son dernier rapport annuel sur la « lutte contre la fraude », nulle référence n’est faite à l’algorithme alors que celui-ci était mis à l’honneur, en première page, l’année précédente. La CAF précisant au passage qu’il était loué par la Cour des Comptes et l’Assemblée Nationale.

A sa place, la CAF a préféré cette année mettre en avant son équipe de contrôleur.ses dédiée à la « lutte contre la fraude à enjeux »²²Voir notamment ici, ici et ici., c’est à dire des fraudes organisées (usurpation d’identités, faux documents, fraude au RIB) à grande échelle. Soit 30 agentes et agents qui d’après les dires de la CAF sont, ni plus ni moins, chargé·es de « protéger le système de sécurité sociale français des risques de pillage » et qui font rentrer la CAF dans « une nouvelle dimension de la lutte contre la fraude »²³Voir notamment ici, ici et ici..

A titre de comparaison, nous tenons à rappeler que ce sont pas moins de 700 contrôleuses et contrôleurs qui, guidé·es par son algorithme discriminatoire, sont chargé·es de traquer les moindre erreurs de déclaration faites par les plus précaires.

Deuxième angle d’attaque : la mise en avant de l’utilisation d’algorithmes de profilage à des fins de lutte contre le non-recours²⁴Voir notamment ce tweet.. Comme si l’application des techniques de profilage à des fins «positives» pouvait justifier leur application à des fins répressives. Sur ce sujet, la CAF omet pourtant de dire le plus important : depuis maintenant plus de 10 ans, elle a systématiquement favorisé l’application de ces techniques à des fins de contrôle plutôt que de lutte contre le non-recours.

Ses équipes de « data-scientist » regrettaient dès 2013 que les techniques de profilage des allocataires soient uniquement utilisées à des fins de contrôle et non de lutte contre le non recours²⁵Voir l’article de Pierre Collinet “Focus – Le data mining dans les Caf : une réalité, des perspectives” publié en 2013 et disponible ici. Il est expliqué que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude. Il est aussi précisé que les techniques de data-mining pourraient être utilisées à des fins de lutte contre le non recours.. Cette réalité est rappelée dans un rapport de l’Assemblée Nationale daté de 2016 qui précise que « l’extension explicite de l’usage du data mining à d’autres fins, notamment celle de lutte contre le non-recours, était envisageable dès l’origine, mais cette possibilité a été écartée, au moins dans les premières années d’utilisation de cet outil »²⁶Rapport d’information de l’Assemblée Nationale sur l’évaluation des politiques publiques en faveur de l’accès aux droits sociaux, 2016. Disponible ici. Il aura fallu attendre 2017 pour que la CAF commence à mener des expérimentations, et il semblerait qu’aujourd’hui le profilage contre le non-recours est limité à la prime d’activité et l’allocation de soutien familial²⁷Voir le tome 1 du rapport « Garantir un numérique inclusif : les réponses apportées par les opérateurs de la protection sociale » de l’ Inspection Générale des Affaires Sociales écrit en 2019 et disponible ici. Voir aussi le rapport de la DREES « Le non-recours aux prestations sociales » écrit en 2020 et disponibstyle= »pointer-events: none; » le ici et l’émission de Radio France ici ou ici pour l’article correspondant..

Le sociologue Vincent Dubois ajoute que cette situation « interroge sur la réalité des slogans institutionnels “tous les droits rien que les droits” qui en fait est beaucoup plus tournée vers l’identification des indus, frauduleux ou non, que vers les cas de non-recours qui sont en fait beaucoup plus nombreux »²⁸Voir l’émission de Radio France « Secrets d’info » portant sur l’algorithme disponible ici et l’article l’accompagant ici. Sur les déclarations de son secrétaire général, voir notamment à 28:00 pour la justification du refus de communiquer l’algorithme. Voir aussi à 13:40 sur l’aspect “pédagogique” de l’algorithme. Voir 12:30 pour les remarques de Vincent Dubois sur la lutte contre le non-recours..

En tout état de cause, l’histoire politique de l’utilisation par la CAF des techniques de profilage à des fins de lutte contre le non-recours ne semble pas très glorieuse.

Ce dernier point interroge aussi sur le fantasme entretenu autour de l’automatisation de l’état social pour répondre aux problèmes sociaux. A l’heure où le gouvernement lance l’expérimentation d’un « RSA sous conditions », la mise en avant de solutions techniques pour lutter contre le non-recours dépolitise la question de l’accès aux droits. Tout en taisant les problèmes que génèrent, pour des millions de personnes, la dématérialisation des services publics.

Enfin, la CAF a annoncé en grande pompe la nomination d’une médiatrice nationale chargée, entre autres, des questions de données personnelles à la CNAF²⁹Voir le communiqué de nomination de la médiatrice nationale de la CNAF ici. en juin 2022. Parmi ses missions: «la protection des données et de la sécurité des usagers dans le cadre des systèmes d’information.» Et le communiqué accompagnant sa nomination ajoute qu’elle «sera également la référente nationale déontologie». Nous serions plus que ravi·es d’entendre son avis sur l’algorithme de notation de la CAF.

Lutter au-delà de la transparence

La transparence que nous exigeons auprès de la CAF ne doit pas masquer le fond du problème. En un sens, ce que nous savons déjà de l’algorithme de cette institution, sans même avoir eu accès à son code, nous suffit à nous y opposer.

La transparence n’est donc pas une fin en soi : c’est un moyen que nous souhaitons mobiliser pour mettre en lumière, et critiquer, un discours politique cherchant à légitimer la volonté de contrôle d’un appareil étatique via l’entretien d’un discours de suspicion généralisée et la stigmatisation de certaines catégories de la population.

Volonté de contrôle qui, hélas, profite aujourd’hui de la puissance des outils numériques et de l’exploitation de nos données personnelles afin de toujours plus nous évaluer et, ainsi, nous trier.

A l’heure où un nombre toujours plus grand d’institutions, sociales et policières, mettent en place de telles solutions de surveillance algorithmique, nous continuerons de les documenter et de faire ce que nous pouvons, à notre niveau, pour les contrer.

Au côté des collectifs Stop Contrôles, Changer de Cap et de toutes les associations et collectifs de lutte contre la précarité qui font face, depuis des années, aux dérives du tout numérique et au développement sans limite des politiques de contrôle social, nous espérons que vous serez nombreux.ses à nous rejoindre.

Enfin, nous ne doutons pas que ce sentiment d’injustice est partagé par la plupart des employé·es de la CAF. C’est pourquoi nous tenons à encourager celles et ceux qui, révolté·es par ces pratiques, pourraient nous aider à les documenter. Vous pouvez nous contacter par mail, téléphone, en venant nous rendre visite ou déposer de manière anonyme des documents sur notre SecureDrop. A l’heure où les responsables de la CAF font le choix de l’opacité, nous avons plus que jamais besoin de vous.

La société TestWe, qui édite le logiciel du même nom, se vante de développer un outil qui permet de surveiller automatiquement tout·e candidat·e passant une épreuve à distance. Pour résumer, cette surveillance automatisée consiste à analyser algorithmiquement les candidat·es en train de passer une épreuve écrite en dehors des locaux de l’université : l’identité est vérifiée automatiquement au début et pendant l’épreuve, le regard est analysé en permanence, l’environnement immédiat est constamment scruté par analyse vidéo et sonore (voir notre analyse complète du logiciel). Il s’agit donc là d’un traitement de données personnelles, dont un certain nombre de données sensibles.

La procédure introduite par les étudiant·es et dans laquelle La Quadrature est intervenue consistait à demander, en référé (c’est-à-dire en procédure d’urgence), au tribunal administratif de suspendre l’utilisation du logiciel TestWe par l’institut d’études à distance de l’Université Paris 8.

Pour obtenir cette suspension, il fallait faire naître dans l’esprit du juge administratif un « doute sérieux ». C’est-à-dire démontrer qu’il est assez probable que ce logiciel soit illégal, en tout cas suffisamment pour qu’un examen bref de la situation (vu qu’il s’agit d’une procédure très rapide) permette de déceler une atteinte flagrante aux libertés ¹Ce même « doute sérieux » nous permettait, en 2020, d’obtenir la suspension de l’usage de drones par la préfecture de police de Paris.. C’est exactement ce qu’a constaté hier le tribunal administratif de Montreuil : TestWe est un logiciel qui est assez probablement disproportionné et ce doute justifie que son utilisation soit suspendue.

Quels étaient nos arguments juridiques ? Qu’un traitement de données comme TestWe doit respecter un certain nombre de conditions pour être légal. Parmi ces exigences, il y notamment celle que soit prouvées l’existence d’une base légale (c’est-à-dire que le traitement de données doit être autorisé par la loi), d’une finalité (c’est-à-dire l’objectif pour lequel le traitement est mis en œuvre) et d’une proportionnalité (c’est-à-dire que seules les données nécessaires à l’objectif doivent être traitées, ce qui est parfois appelé « principe de minimisation des données »). Dans nos écritures en soutien aux étudiant·es (une requête en intervention, une note en délibéré puis un mémoire en réplique à l’analyse d’impact hallucinante produite par l’Université), nous avons détaillé en quoi le logiciel TestWe ne reposait sur aucune base légale parmi celle prévue par le RGPD et était disproportionné par rapport à la finalité affichée, c’est-à-dire celle de la surveillance d’un examen à distance.

C’est ce deuxième point, la disproportion, qui a retenu l’attention du tribunal administratif. Il a estimé que le « doute sérieux » permettant d’ordonner la suspension de l’usage de TestWe réside dans le fait qu’il est probable que ce logiciel ne respecte pas l’exigence de minimisation des données du RGPD. Et c’est plutôt une bonne nouvelle que le juge soit sensible à cet argument : cela signifie que le périmètre des informations et données sur les étudiant·es que TestWe collecte est bien trop large et démesuré pour l’objectif poursuivi. En somme, ce n’est pas parce que les données existent ou sont disponibles qu’il est légal de les utiliser pour toute finalité. 

Une ordonnance aux différentes conséquences positives

Tout d’abord, réjouissons-nous que la surveillance algorithmique soit écartée de l’Université : en émettant des doutes quant à la légalité de ce genre de dispositif, le tribunal administratif de Montreuil a envoyé un avertissement à toutes les autres universités et écoles.

Également, au-delà de cette affaire, cette ordonnance ouvre surtout une brèche quant à la reconnaissance de la disproportion des dispositifs de surveillance algorithmique. En mai 2020, lorsque nous faisions interdire les drones du préfet Lallement, le Conseil d’État nous donnait raison parce qu’il constatait l’absence de base légale, c’est-à-dire l’absence d’autorisation par la loi. En décembre 2020, lorsque nous obtenions une nouvelle victoire, le Conseil d’État relevait à nouveau l’absence de base légale (il ajoutait aussi quelques considérations dénonçant le principe même de ce genre de dispositif, ce qui nous avait conduit à parler de « victoire totale »). Mais le problème des victoires obtenues grâce à un défaut de base légale est qu’elles ne durent jamais très longtemps : la loi se change et c’est ce que s’est empressé de faire le gouvernement avec la loi Sécurité globale (partiellement censurée par le Conseil constitutionnel) puis la loi de Sécurité intérieure (cette fois-ci validée par le Conseil constitutionnel).

Concernant TestWe, le tribunal administratif de Montreuil estime que le doute quant à la légalité du dispositif vient de sa probable absence de proportionnalité. C’est-à-dire qu’il reconnaît que surveiller les corps et les sons en permanence n’est pas justifié pour des examens à distance.

Or, depuis 2020, nous nous battons contre la vidéosurveillance algorithmique, qu’elle soit dans des grandes villes comme Marseille ou dans de petits bourgs comme à Moirans (en Isère). Nous nous battons également contre la surveillance sonore, face à la ville d’Orléans qui souhaite être pionnière dans ce domaine. Si ce genre de dispositif n’est actuellement pas autorisé par la loi, cette base légale manquante pourrait bien arriver, en tout cas pour la vidéosurveillance algorithmique, par la loi sur les JO 2024 qui se prépare à légaliser ces pratiques de surveillance de masse de l’espace public. Et c’est là tout l’apport de l’ordonnance sur TestWe : la proportionnalité de ce genre de surveillance algorithmique permanente est désormais sérieusement questionnée.

La victoire des étudiant·es devant le tribunal administratif de Montreuil nous permettra également de mieux nous opposer au souhait de la CNIL de rendre ces dispositifs de surveillance des examens légaux. Contrairement à ce que le juge a conclu, la CNIL souhaiterait consacrer un principe de proportionnalité de certaines surveillances vidéos et audio, et encourager l’usage d’algorithmes de détection de comportements.

Une lutte qui continue

Cette victoire en référé ne met pas un terme à la lutte. Le juge n’a pas dit que TestWe est illégal, simplement qu’il y a un doute sérieux quant à sa légalité. Nous poursuivons donc le combat aux côtés des étudiant·es de Paris 8 dans la procédure au fond (c’est à dire la procédure normale, longue et sans condition d’urgence) pour transformer l’essai et faire reconnaître définitivement par le tribunal administratif de Montreuil l’illégalité de TestWe. Cette décision au fond n’arrivera toutefois pas avant de longs mois.

Sur son site internet, l’entreprise TestWe se vante d’avoir pour clientes des institutions comme le CNED, l’ESSEC, le concours SESAME ou encore Grenoble École de Management. Nous appelons donc les étudiant·es de ces établissements, ainsi que ceux dont l’université ou l’école utiliserait un logiciel similaire à TestWe, mais également les professeur·es et enseignant·es, à poursuivre la lutte initiée par la mobilisation à Paris 8 : faites du bruit dans vos facs, réutilisez les arguments juridiques, créez le rapport de force. La victoire d’aujourd’hui n’attend que de se propager pour, in fine, bouter la Technopolice et toutes les idées qu’elle charrie hors des facs.

La Quadrature appelle à soutenir la lutte d’un collectif d’étudiant·es de l’Université Paris 8 contre TestWe, la start-up qui veut technopoliser l’Université. Cette télésurveillance d’examens à distance est déshumanisante, discriminatoire et intrusive, en plus d’être très clairement illégale. À l’appel de ces étudiant⋅es, nous vous donnons rendez-vous le 6 décembre à 14h pour montrer devant le tribunal administratif de Montreuil une opposition massive. La Quadrature est intervenue devant le tribunal administratif pour soutenir cette lutte (lire notre intervention ici).

Si vous êtes aussi victime de telles technologies de surveillance par votre établissement d’enseignement, n’hésitez pas à nous envoyer un mail à contact@technopolice.fr pour nous faire part de votre témoignage.

Il y a deux ans, lors du premier confinement, nous alertions déjà sur la gestion autoritaire des examens à distance par les établissements d’enseignement supérieur.

TestWe, un système discriminatoire, intrusif et déshumanisant

Il est question ici de télésurveillance, c’est-à-dire que les élèves passent leur examens à distance, au même moment, et sous surveillance numérique et automatisée de l’établissement. L’une des entreprises les plus en vue dans ce domaine est TestWe, une start-up française qui étend les outils de surveillance algorithmique déjà déployés dans de nombreuses villes en France à la surveillance des examens.

Initialement, leur logiciel consistait à dématérialiser les épreuves : celles-ci se passaient dans un amphi mais les étudiant·es composaient sur leur ordinateur, fini l’examen papier. Depuis 2019, l’entreprise est passée de la dématérialisation à la surveillance à distance des étudiant.es

TestWe offre une multitude d’outils pour perfectionner cette surveillance : un système de reconnaissance faciale, c’est à dire de photographie de l’étudiant avec sa carte d’identité ou étudiant·e ou d’identité par webcam « pour vérifier que la bonne personne est en face de l’écran ». En complément, une surveillance à 360° de l’environnement de l’élève. Son PDG, Benoît Sillard, se vante ainsi de mettre « en place actuellement un système à double caméras, celle de l’ordinateur qui filme par l’avant, et celle de votre smartphone qui filme l’ensemble de la pièce, pour vérifier qu’il n’y a pas un deuxième ordinateur ou quelqu’un en train de vous souffler ». Les élèves utilisant TestWe se voient par ailleurs obligé·es de céder les droits administrateurs de leur ordinateur au logiciel, de désactiver leur pare-feu, antivirus, VPN. Évidemment, cela nécessite d’être équipé·e avec un ordinateur personnel récent, d’avoir une bonne connexion Internet mais l’exigence va au-delà : disposer d’une pièce (« pas trop éclairée ni trop sombre ») sans bruit et sans autre personne présente, pas même un enfant en bas âge ou un animal de compagnie, par exemple.

Après l’identification, TestWe veut vérifier que les étudiant·es ne puissent pas tricher. Dans sa version classique, les élèves sont photographiés toutes les trois secondes, les images analysées et tout comportement suspect fait l’objet d’un signalement à la plateforme. Avec la version avancée « ProctorWe », les candidat⋅e⋅s doivent aussi filmer la pièce, parfois avec une seconde caméra (et donc être équipé·es d’un smartphone en état de fonctionnement).

Iels ont aussi l’obligation de filmer leur cou ainsi que leurs oreilles, afin de vérifier l’absence d’oreillettes. Cette chasse à la triche n’a pas de limite. Les personnes avec les cheveux longs se voient demander de « dégager leurs oreilles », les personnes qui portent un voile se verraient accuser de fraude, et on ne sait pas ce qu’il est prévu pour les personnes malentendantes… Après identification, l’étudiant⋅e doit respecter une liste aberrante d’interdictions, définissant les comportements suspects et les d’objets qui ne doivent pas être présents dans la pièce.

Et la liste continue : obligation de fixer l’écran, interdiction de manger, d’aller aux toilettes, interdiction de tout bruit « suspect », non prise en compte des handicaps (qui n’ont pas été systématiquement signalés en vue d’un aménagement des conditions d’examen, puisque les étudiants pensaient déjà connaître les modalités auxquelles iels sont déjà habituées)…

C’est donc un véritable matraquage d’interdits bafouant la dignité auxquels devraient faire face les étudiant·es, qui déroge aux conditions d’examen en présentiel (il est quand même toujours possible d’avoir les cheveux détachés, de manger, d’aller aux toilettes, de porter un col roulé lors d’un examen en salle), en plus d’acter une rupture d’égalité entre les élèves (tout le monde ne peut pas posséder le matériel informatique dernier cri, occuper une pièce pendant plusieurs heures sans interruptions possibles). Et à tout cela, s’ajoute évidemment la violation de la vie privée des étudiants et des étudiantes, qu’il s’agisse de leur lieu de vie ou de leur matériel informatique.

Des dispositifs très clairement illégaux

Cette surveillance, constante, intrusive, mêlée de biométrie, et attentatoire aux déplacements ainsi qu’à la vie privée des élèves ne peut en aucun cas remplir les critères de proportionnalité exigés dans le règlement général sur la protection des données ou son application française, la loi Informatique et Libertés.

C’était d’ailleurs en partie le message de la CNIL qui, en pleine période Covid, avait notamment réagi à l’utilisation de TestWe en publiant un premier communiqué rappelant les règles à respecter en matière de vie privée et de surveillance d’examens à distance. Comme souvent, la CNIL semble s’être pour l’instant limitée à une communication sur le sujet et n’a pas, à notre connaissance, sanctionné les entreprises qui continuent à surveiller.
Cependant, dans ce document de 2020, la CNIL semblait condamner l’utilisation de TestWe en soulignant notamment que « n’apparaissent a priori pas proportionnés au regard de la finalité poursuivie :

• les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) ;
• les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam). »

Or, si un système n’est pas proportionné, il devient purement illégal, et c’est clairement le cas ici.
Cependant, la CNIL semble aujourd’hui assouplir sa position. Elle vient ainsi, au moment de la publication de cet article, de publier un projet de recommandation sujet à consultation. Ce projet de recommandation promeut une interprétation très permissive du droit à la vie privée en donnant aux entreprises, et particulièrement à TestWe, le bon chemin pour mettre en place son système de surveillance hyper-intrusif (quelle base légale utiliser, comment justifier la reconnaissance faciale…).
Elle va jusqu’à déclarer quels traitements seraient, a priori et de facto, proportionnés.

Malgré l’illégalité de ces pratiques, TestWe continue pourtant, comme une grande partie des entreprises de la surveillance, à se faire de l’argent sur le dos des étudiant·es et de l’Université en contradiction frontale avec les plus élémentaires dispositions du droit à la vie privée et aux données personnelles.

TestWe, profiteur de crise sanitaire

Autre constat, surveiller les étudiant⋅es cela rapporte, et beaucoup. Si l’on s’en tient au chiffre d’affaires déclaré, TestWe aura plus que triplé son chiffre d’affaires entre 2019 et 2020, année du premier confinement, passant de 285.000 euros en 2019 à plus de 928.000 euros en 2020.

Non seulement cela rapporte en terme de chiffre d’affaires, mais cela aide aussi en terme d’investissement. TestWe ne s’est bien évidemment pas lancée toute seule. En juillet 2017, c’est la Banque Publique d’Investissement qui, avec d’autres acteurs financiers, a décidé d’investir dans la start-up en leur donnant 1,3 million d’euros pour lancer leur business sécuritaire. L’accroche ? Le gain de coût à organiser des examens en ligne, avec des robots, et non en salle avec des humain·es : « Avec la digitalisation, on peut diviser par 5 le nombre de personnes affectées à cette tâche ».

Et le succès ne faiblit malheureusement pas : si on en croit la page Linkedin de l’entreprise, ce sont plusieurs dizaines d »universités et d’écoles en majorité privées qui se mettent à utiliser ce système de surveillance biométrique.

Après quelques recherches cependant, il semblerait qu’une bonne partie des établissements du supérieur présents sur le site internet de TestWe n’utilise pas la télésurveillance de l’entreprise mais ont été des clients de la dématérialisation des examens. Seule trace, c’est l’UCLouvain, qui aurait fait l’expérience de la télésurveillance de TestWe lors d’un examen blanc et qui ne l’a pas retenu, évoquant même un « fiasco ».

De la surveillance au greenwashing

Le greenwashing est à la mode et les entreprises de la Technopolice prennent le train en marche ! En plus d’être discriminatoire, intrusif et déshumanisant, le contrôle imposé par TestWe rendrait « obsolète l’examen en salle dans la majorité des cas […] Les candidats sont de plus en plus réticents au stress et sensibles aux problèmes de transport et d’écologie. ». Mais derrière ce discours, les arguments ne tiennent pas : les questions écologiques seraient incompatibles avec le respect des droits fondamentaux et de la dignité humaine. Il est tout de même aberrant de justifier la surveillance par un argument pseudo-vert, quand on sait les coûts incommensurables que représente le numérique dans la pollution des terres à l’autre bout du monde pour produire les objets technologiques, la quantité d’électricité requise dont la part consacrée au numérique est sans cesse en augmentation et, on imagine, tout ce qu’il est nécessaire pour rendre possible des solutions comme TestWe, les quantités de données, d’heures de vidéos conservées afin de surveiller en direct toutes les étudiant·e⋅s.

La lutte des étudiant⋅es contre l’enseignement technopolisé

C’est désormais à l’Institut d’études à distance de Paris 8 d’imposer ces logiciels invasifs, discriminatoires et illégaux et ce, sans aucun dialogue ni possibilité d’opposition de la part des personnes concernées. En effet, fin octobre, la direction de Paris 8 a annoncé aux étudiant·es à distance qu’iels devraient passer leurs examens de janvier sur TestWe sans donner aucune précision sur les modalités de mise en place de cette plateforme. En réaction, un collectif d’étudiant·es s’est rassemblé, a effectué un important travail de documentation du logiciel, de communication auprès des étudiant.e.s et a même lancé une action en justice. Ainsi, après avoir contacté la CNIL, saisi le Défenseur des droits, signé collectivement une lettre d’inquiétude à la direction, le collectif s’est cotisé pour faire appel à un avocat et a décidé de médiatiser l’affaire. Le Tribunal administratif de Montreuil a été saisi en référé pour faire suspendre les décisions de l’IED et enjoindre l’Université à revenir aux conditions initiales d’examen. Une requête au fond a également été déposée pour obtenir une décision plus pérenne.

La Quadrature a déposé une intervention volontaire dans ces recours et nous leur témoignons tout notre soutien ! Vous trouverez nos écritures là.

Nous relayons des extraits de leur communiqué, expliquant la démarche des étudiants et étudiantes de l’IED. Vous pouvez en trouver la version complète ici.

La menace n’est même pas masquée : si TestWe n’est pas retenu, les examens se feront en présentiel et basculeront d’un système semestriel à un système annuel, privant par là-même les L3 de Droit et de Psychologie de candidature en Master. Ils perdraient donc une année. L’objectif de cette communication était bien évidemment de diviser les étudiants contre ceux qui ont exercé leurs droits, tout en évitant à la direction de remettre en question son fonctionnement illégal et liberticide.
L’objectif de l’action juridique est donc de suspendre les décisions illégales de l’IED et de leur faire injonction de revenir à ce qui était prévu en début d’année, à savoir : la passation des examens 2022-2023 à distance et sur la plateforme Moodle.
Il va également de soi que ces nouvelles conditions matérielles de passation des examens représentent une rupture d’égalité de traitement entre les étudiants, tout le monde ne pouvant pas se procurer le matériel à la dernière minute, ni contrôler la stabilité du réseau internet dont il dispose.
Les modalités d’usage imposées par TestWe constituent une véritable atteinte à la vie privée puisque les étudiants vont devoir se plier à une quarantaine d’interdits ou d’obligations liberticides à implémenter chez eux. Elles représentent également une atteinte à la protection des données, sachant que chacun devra désactiver tout pare-feu et anti-virus, laissant ainsi ses données exposées pendant que TestWe exploite les droits administrateurs. Enfin, elles ne ne se font pas dans le cadre d’un consentement libre : les CGU restent inaccessibles tant que le logiciel n’est pas installé. Les droits fondamentaux des individus sont également en jeu. Les personnes de confessions juives ou musulmanes sont impactées par l’obligation de garder tête, oreilles et cou découverts. Par ailleurs, le fait d’être pris en photo toutes les trois secondes porte directement atteinte au droit de l’image. Enfin, plusieurs interdictions totalement disproportionnées (comme, par exemple, manger, aller aux toilettes ou détourner les yeux de l’ordinateur) ne respectent pas la dignité humaine.
Certains étudiants se retrouvent dans des conditions particulièrement difficiles. Nous sommes notamment sensibles aux difficultés des étudiants en situation de handicap, ainsi qu’à tous les étudiants, largement majoritaires, pour qui l’IED représente leur unique chance de faire ces études.

Ces tentatives de nous imposer une télésurveillance liberticide, non respectueuse de la vie privée, de la protection des données personnelles et des contrats pédagogiques que nous avons signés, sont le reflet de l’absence de considération de l’IED envers ses étudiants. Nous ne nous laisserons pas faire.

Les Jeux Olympiques de 2024 sont un accélérateur de surveillance, un prétexte pour déployer une vitrine sécuritaire des industriels français, qui contribue à renforcer les prérogatives et le nombre des agents de sécurité. Le sécuritarisme qui entoure les JO ne sera pas circonscrit à ces derniers, « l’Héritage » de sécurité des JO est déjà prévu par le Comité d’Organisation des Jeux Olympiques (COJO). Objectif : faire perdurer les investissement déployés pour les JO et la Technopolice qui vient avec. C’est ce qu’on nomme « l’effet cliquet » c’est-à-dire qu’un événement particulier justifie des mesures exceptionnelles qui, ensuite, ne seront plus remises en cause et sans retour en arrière possible.
Après avoir fait un premier état des lieux de cette frénésie sécuritaire, les nombreuses et récentes annonces concernant les Jeux Olympique imposaient une mise à jour des velléités du gouvernement.

Les Jeux olympiques, le prétexte pour légaliser la vidéosurveillance algorithmique

Les grands événements sportifs sont depuis toujours des accélérateurs de surveillance et les Jeux Olympiques de Paris ne sont pas en reste. Quelle meilleure occasion pour tenter de faire rentrer dans la loi des dispositifs aujourd’hui illégaux ? Après avoir envisagé de légaliser la reconnaissance faciale pour l’occasion, c’est la vidéosurveillance algorithmique (VSA) qui semble avoir été choisie par les organisateurs.

Ainsi, comme l’a annoncé le ministre Darmanin lors d’une audition au Sénat, au début de l’année 2023 une « loi sur les Jeux Olympiques » sortira des cartons. L’objectif sera de légaliser la vidéosurveillance algorithmique, c’est-à-dire la détection par logiciel d’événements et de comportements dits « suspects ». Une occasion pour les entreprises françaises de montrer leur savoir-faire en matière de répression, et pour le gouvernement de déployer une technologie encore illégale, mais dont les offres commerciales sont déjà très présentes. En même temps, une mission d’information de l’Assemblée Nationale auditionne des acteurs (entreprises privée comme Datakalab et organismes publics comme la CNIL, ou la Préfecture de police de Paris) sur « les enjeux de l’utilisation d’images de sécurité dans le domaine public dans une finalité de lutte contre l’insécurité ». On sent bien qu’il y a dans l’air une volonté d’accélérer et de de donner une assise légale à l’installation de ces technologies.

Or la VSA est tout aussi dangereuse que la reconnaissance faciale, toutes deux recourant à de l’analyse biométrique, c’est-à-dire à la détection de corps pour repérer ou identifier une personne, comme nous le développions ici ou comme le reconnaît le Défenseur des Droits. La légalisation de la VSA et donc les JO seront surtout l’occasion de déployer toujours plus de caméras de vidéosurveillance. Ainsi aux 4171 caméras de vidéosurveillance déjà déployées par la ville de Paris, l’Intérieur compte en rajouter pas moins de 1000, ainsi que 500 à Saint Denis et 330 à Marseille (où se dérouleront les épreuves nautiques). En tout, ce sont pas moins de 15 000 caméras supplémentaires qui vont être déployées pour les JO et la Coupe du Monde de Rugby, pour 44 millions d’euros via les « plans Zéro Délinquance ». La vidéosurveillance algorithmique et les Jeux sont une nouvelle occasion pour étendre le parc de surveillance de l’espace public.

Les Jeux sont aussi une étape pour travailler l’acceptation par la population de telles technologies. Ainsi, l’état d’exception créé par les Jeux olympiques permet de faire passer des lois sécuritaires qui resteront par la suite, comme l’explique Jules Boykoff. Depuis le début de la campagne Technopolice, des entreprises et villes de France expérimentent illégalement la VSA. L’opportunité que représentent les JO 2024 permet de passer à l’étape suivant : légaliser ces technologies, d’abord pour un grand événement exceptionnel, ensuite pour les généraliser. C’est tout ce travail d’acceptabilité, de réception sociale par la population de ces technologies qui se joue avec les Jeux Olympiques

Les autres projets du ministère de l’intérieur : de la répression pour les habitant·es d’île-de-France

Un centre de renseignement olympique, prévu par la loi olympique de 2018, a été créé courant 2022, regroupant les services de renseignements. Son objectif : « En collaboration avec la police judiciaire, les agences de renseignement vont aussi maintenir la surveillance de tout individu suspect et de groupes qui pourraient représenter une menace pour la sécurité nationale et le bon déroulement des Jeux. » est-il écrit dans le dossier de candidature de la ville.

La menace terroriste est abondamment évoquée pour justifier le déploiement de tout cet arsenal sécuritaire. Darmanin parle des « terroristes islamistes, de l’ultra-droite et de l’ultra-gauche ». Et affirme que les renseignement feront un «  effort » en amont pour « maîtriser » ces personnes au moment des JO. Ce n’est pas sans rappeler la COP21 en 2015, où nombre de militants et militantes écolos s’étaient vus perquisitionnés, arrêtés pour certains et assignés à résidence peu avant le début de l’événement. A cette époque, le gouvernement avait profité de l’État d’Urgence pour mettre en place ces mesures répressives, depuis elles sont rentrées dans le droit commun.

Le ministre de l’Intérieur a par ailleurs annoncé lors de son audition au Sénat qu’il allait bientôt débuter un « plan zéro délinquance  » dont 3500 des 5500 opérations policières prévues se dérouleront en Île-de-France afin de « harceler et nettoyer la délinquance » dixit Darmanin. Comme c’est le cas lors de grands événements, l’État français en profite pour justifier un harcèlement des populations qui ont le malheur de vivre là où vont se dérouler les jeux…

L’enjeu de la sécurité privée pour les Jeux : polices partout

Dans cet article, le journaliste Thomas Jusquiame revient sur la naissance de la sécurité privée au XIXème siècle en France, où la police embauchait des mouchards, sorte d’auxiliaires de police chargés de les renseigner sur les agissements des malfrats parisiens. Et retrace l’institutionnalisation de cette sécurité privée jusqu’à aujourd’hui, où le Livre Blanc de la sécurité intérieure leur offre une consécration à travers le fameux concept de « continuum de la sécurité privée ». « Moralisée, intégrée, contrôlée, protégée, alimentée, organisée, la sécurité privée n’a jamais paru autant en harmonie avec les forces de répression régaliennes. » (ibid)

En ce qui concerne les JO, la peur d’un scénario similaire à celui du Royaume-Uni en 2012 plane. L’entreprise de sécurité privée mandatée par l’État les avait lâchés trois semaines avant le début des Jeux par manque d’agents et le gouvernement britannique avait dû recourir à l’armée. En France, à deux ans des JO et un an de la Coupe du monde de Rugby, les 25 000 à 30 000 agents de sécurité privée demandés par le COJO manquent toujours à l’appel.

La sécurité privée constitue donc un des grands enjeux de l’organisation de ces Jeux Olympiques. Se pose tout d’abord le problème du recrutement : le CNAPS (Conseil national des activités privées de sécurité) tente de rendre ce métier attractif, à travers des formations payées par l’État, des appels personnalisés de tous les chômeurs et chômeuses d’île-de-France pour les convaincre d’entreprendre une formation, un ciblage des étudiants et étudiantes (ils semblent être en demande de personnel « féminin » pour réaliser les fouilles). La peur d’un manque d’agents se fait sentir.

Parce qu’aux difficultés de recrutement s’ajoute celle de la « menace intérieure », c’est-à-dire de personnes qui souhaiteraient intégrer les forces de sécurité pour nuire. A ce titre le SNEAS (Service national des enquêtes administratives de sécurité) prévoit de réaliser pas moins d’un million d’enquêtes administrative en vue des JO, dont la grande majorité concerneront le recrutement d’agents de sécurité privé. Car le COJO a d’ores et déjà annoncé en septembre 2022 avoir refusé entre 100 et 200 personnes fichées S. Une bonne manière de se rendre compte du fichage massif de la population. Darmanin propose même que dans ce projet de loi olympique soit inscrit le fait que les agents de sécurité privée puissent être dotés de caméras piétons.

Les Jeux olympiques confirment la tendance à l’intégration de la sécurité privée en tant que force de police institutionnalisée et bras armé de l’État. L’augmentation de ses effectifs et de ses prérogatives en vue des jeux olympiques s’incarne dans la tendance du tout-sécuritaire de l’espace public.

Des expérimentations aux appels d’offre : le perfectionnement de la souveraineté technopolicière française

Afin d’être sûrs que les technologies employées pour les jeux olympiques de 2024 fonctionnent, les industriels réalisent des expérimentations lors de divers événements sportifs dont la Coupe du Monde de Rugby de 2023, qui sera une sorte de répétition générale. Certaines ont déjà eu lieu mais nombre d’entre elles devraient encore être testées avant la fin de l’année 2022. Elles ont été mises en œuvre par les entreprises ayant répondu aux Appels à Manifestation d’Intérêt (AMI) uivants : « Dans le cadre d’un programme d’expérimentation de technologies par les services de sécurité du ministère de l’Intérieur. Les solutions recherchées portent sur des moyens de commandement, la vidéo dite « intelligente », l’OSINT, la surveillance aéroportée ou encore la cybersécurité », le tout avec un budget de 21,5 millions d’euros, uniquement pour les tests. Au moins 80% de ces « solutions » seront françaises affirme fièrement le préfet Olivier de Mazières, délégué ministériel aux partenariats, aux stratégies et aux industries de sécurité (DPSIS) Déjà plus de 144 expérimentations ont été menées sur une cible finale de 180 expérimentations, et qu’elles ont mobilisé 131 sociétés identifiées comme françaises.
On pense à la reconnaissance faciale testée à Rolland Garros par Thalès, ou encore à la start-up Two-I qui avait voulu identifier les visages des personnes interdites de stade souhaitant rentrer au stade de Metz en 2020 et qui avait reçu un avertissement de la CNIL pour ce projet. Tout comme la coupe du monde au Qatar, le sport et ses supporters semblent être un terrain d’expérimentation privilégié de la technopolice. Coupe du monde où l’on retrouve des grands groupes français comme Thalès chargés de déployer des algorithmes de reconnaissance automatique de comportements anormaux…

Pour Paris 2024, des financements de la recherche, accordés aux expérimentations en amont puis aux tests grandeur nature lors des Jeux, permettent aux industriels de la technopolice de se perfectionner et de devenir plus compétitif au niveau international. Comme le montre Myrtille Picaud, les JO constituent une sorte de catalyseur pour structurer et renforcer la filière des industriels de la sécurité française. L’occasion est trop belle pour ces entreprises, que ce soit des multinationales comme Thalès ou des start-up comme Two-I ou XXII : le marché de la sécurité français leur est offert sur un plateau d’argent. Le champ est libre, du maintien de l’ordre et de la répression policière en France à la vente de ces armes technologiques à l’étranger.

Cette tendance au tout sécuritaire s’inscrit dans une augmentation sans vergogne de tous les budgets ayant trait à la sécurité, et aux technologies de surveillance. Tout comme le ministère de l’Intérieur voit son budget augmenter de pas moins de 15 milliards d’euros, l’inclinaison est similaire pour le budget sécurité des jeux olympiques. D’abord prévu à 182 millions d’euros, celui-ci est passé à 295 millions d’euros et risque de s’accroître encore. Pas de fin de l’abondance pour la surveillance et la répression !

Les JO 2024 apparaissent comme un accélérateur de surveillance et de tendances sécuritaires déjà présentes. Ils représentent une « occasion », un prétexte, comme bien d’autres méga-événements auparavant, afin de justifier le déploiement de mesures présentées comme exceptionnelles. Mais ces choix s’inscrivent en réalité dans une logique de long terme, destructrices de droits mais aussi de mode de vie, d’habitat, d’environnement, comme le démontre depuis plusieurs années maintenant le collectif Saccage 2024.
Ces derniers appellent à un rendez-vous le dimanche 11 décembre, devant le siège du COJO, la veille du conseil d’administration, pour « faire la fête » au Comité d’Organisation des JO et leur montrer notre désaccord autour d’un goûter. Plus d’info ici. Luttons contre les JO et le monde sécuritaire qu’ils amènent avec eux !

Vous êtes déjà énormément sollicité·es, on le sait bien, parce qu’on est comme vous et qu’on donne déjà aux associations qu’on aime (n’oubliez pas Framasoft, Nos Oignons ou Wikipédia par exemple et parmi tant d’autres !). Alors, pourquoi consacrer un peu de temps et d’argent à soutenir La Quadrature du Net ?

Pourquoi des dons ?

La Quadrature a besoin d’argent pour fonctionner : l’association compte 7 salarié·es, elle a un local à Paris, elle doit payer des billets de train et imprimer des affiches, tout cela a un coût. Et nous avons deux boulets aux pieds : d’un côté nous refusons de toucher des subventions publiques, pour des raisons d’indépendance évidentes (notre travail nous amène à critiquer et même à attaquer en justice les pouvoirs publics, tandis que la loi Séparatisme implique pour les associations subventionnées une forme de soumission croissante à l’État) ; de l’autre côté, le ministère des Finances nous a refusé le rescrit fiscal qui vous permettrait de déduire vos dons de vos impôts.
Nous touchons quelques subventions de deux fondations philanthropiques, pour moins de 20 % de nos ressources annuelles. Mais tout le reste vient de vous (c’est expliqué en détail ici).
Chaque année, nous devons donc convaincre assez de donateurs et de donatrices pour vivre une année de plus.

Des dons pour quoi faire ?

Si vous ne connaissez pas l’association et ses missions, vous tombez bien : venez par là, on vous a préparé des vidéos pour expliquer en quelques minutes ce qu’on fait. Vous verrez comment la criminalisation du partage, au moment de la loi Hadopi, a donné naissance à l’association en 2008. Vous comprendrez très vite pourquoi la « neutralité du net » est essentielle pour la fiabilité et la créativité du réseau Internet, et vous prendrez rapidement la mesure des problèmes posés par l’exploitation marchande de nos données personnelles. Ensuite, on vous racontera comment le numérique met, de façon concertée, sa formidable puissance au service de la censure, de la surveillance, du renseignement, et du contrôle de la population. De ce point de vue, la répression des joyeux partageurs de 2008 était un avant-goût de ce qui se déploie aujourd’hui partout, depuis le traçage de nos activités sur le web jusqu’à la surveillance serrée de nos déplacements dans les villes.

Quoi de neuf en 2023 ?

En mars prochain, La Quadrature du Net aura 15 ans. C’est jeune, mais c’est déjà assez pour regarder l’histoire : plusieurs de nos membres ont écrit un livre pour raconter ces quinze années d’engagement et montrer l’évolution naturelle de l’association dans ses moyens et dans ses sujets. Le livre est présenté ici et vous pouvez le commander en ligne. La suite de l’histoire, il nous revient de l’écrire ensemble.

Alors, en 2023, on fait quoi ?

On continue bien sûr de lutter contre Hadopi (ce machin est coriace). On reste sur le qui-vive pour défendre le principe de la neutralité des réseaux partout où l’industrie cherche à le contourner. On continue les actions juridiques, politiques et pratiques contre l’exploitation commerciale des données personnelles par les grands groupes privés qui mettent le web en silos, orientent nos navigations et les transforment en visite guidée publicitaire. Et plus que jamais, on se mobilise contre la transformation des outils numériques en engins de surveillance totale.

C’est sans doute notre dossier le plus important aujourd’hui, rassemblé sous la bannière de notre campagne Technopolice : comme le montrent le livre blanc de la sécurité intérieure de 2020 et le rapport publié en 2022 en annexe de la LOPMI, le ministre de l’Intérieur et le gouvernement sont bien décidés à transformer la police et les autres forces de sécurité, publiques et privées, en « cyberflics » du futur : capteurs, caméras portées, écran intégré au casque, fichiers et flux de données consultés à distance, vidéosurveillance automatisée par des algorithmes, reconnaissance faciale, micros « intelligents » dans les rues, drones… L’arsenal de la surveillance numérique est délirant, mais il attire les investissements par millions, et même la Coupe du Monde de Rugby de 2023 et les Jeux Olympiques de 2024 à Paris sont envisagés comme des vitrines et des laboratoires d’expérimentation pour l’industrie de la surveillance technologique totale « à la française ».

Mais la surveillance numérique, aussi diffuse et généralisée que la souplesse de l’outil le permet, prend aujourd’hui bien d’autres formes que la seule surveillance policière. Nous sommes en particulier très attentifs, depuis plusieurs mois, à la question des algorithmes que l’État utilise pour prendre des décisions administratives. Après une première approche des algorithmes de contrôle de la CAF, nous travaillerons cette année sur les autres applications de ces outils, qui sont l’application de politiques publiques discriminatoires et arbitraires, jamais débattues en public, et dont la place prééminente dans les services publics doit être combattue.

Parce que le monde numérisé grandit chaque jour en étendue et en complexité, parce que les dispositifs de contrôle et de surveillance entrent chaque année plus loin dans l’intimité de nos vies, soutenez l’association qui défend « nos droits et nos libertés à l’ère du numérique » : faites un don à La Quadrature du Net !

Merci et datalove <3

La loi d’orientation et de programmation du ministère de l’Intérieur (la « LOPMI ») a été adoptée au Sénat et sera débattue à l’Assemblée nationale dans les prochaines semaines. Ce texte soulève de sérieuses inquiétudes pour les sujets touchant aux libertés fondamentales dans l’environnement numérique.

L’Observatoire des libertés et du numérique appelle les député·es à rejeter massivement ce texte.

1. Un rapport programmatique inquiétant promouvant une police cyborg

S’agissant d’une loi de programmation, est annexé au projet de texte un rapport sans valeur législative pour décrire les ambitions gouvernementales sur le long terme et même, selon Gérald Darmanin, fixer le cap du « réarmement du ministère de l’Intérieur ». Déjà, en soi, le recours à une sémantique tirée du registre militaire a de quoi inquiéter.  Véritable manifeste politique, ce rapport de 85 pages fait la promotion d’une vision fantasmée et effrayante du métier de policier, où l’agent-cyborg et la gadgétisation technologique sont présentés comme le moyen ultime de faire de la sécurité.

L’avenir serait donc à l’agent « augmenté » grâce à un « exosquelette » alliant tenue « intelligente » et équipements de surveillance. Nouvelles tablettes, nouvelles caméras piéton ou embarquées, promotion de l’exploitation des données par intelligence artificielle, sont tout autant d’outils répressifs et de surveillance que le rapport prévoit d’instaurer ou d’intensifier. Le ministère rêve même de casques de « réalité augmentée » permettant d’interroger des fichiers en intervention. C’est le rêve d’un policier-robot qui serait une sorte de caméra mobile capable de traiter automatiquement un maximum d’information. Ce projet de robotisation aura pour premier effet de rendre plus difficile la communication entre les forces de l’ordre et la population.

Cette projection délirante se poursuit sur d’autres thématiques sécuritaires. Le ministère affiche par exemple la volonté de créer des « frontières connectées » avec contrôles biométriques, drones ou capteurs thermiques. Il confirme également son obsession toujours plus grande de la vidéosurveillance en appelant à en tripler le budget à travers les subventions étatiques du fonds interministériel de prévention de la délinquance (FIPD), malgré l’inutilité démontrée et le coût immense de ces équipements.

Qu’il s’agisse de délire sécuritaire ou de calcul électoraliste, le rapport livre une vision inquiétante du numérique et de la notion de sécurité. Malgré son absence de portée normative, pour le message qu’il porte, l’OLN appelle donc les député·es à voter la suppression de ce rapport et l’article 1 dans son entièreté.

2. Un affaiblissement du cadre procédural des enquêtes policières

Ensuite, le fond des dispositions est guidé par un objectif clair : supprimer tout ce que la procédure pénale compte de garanties contre l’autonomie de la police pour faciliter le métier du policier « du futur ». La LOPMI envisage la procédure pénale uniquement comme une lourdeur administrative inutile et inefficace, détachée du « cœur de métier » du policier, alors qu’il s’agit de règles pensées et construites pour protéger les personnes contre l’arbitraire de l’État et renforcer la qualité des procédures soumises à la justice. On peut d’ailleurs s’étonner que le texte soit principalement porté par le ministère de l’Intérieur alors qu’il s’agit en réalité d’une refonte importante de la procédure pénale semblant plus relever de l’organisation judiciaire.

De manière générale, l’esprit du texte est assumé : banaliser des opérations de surveillance en les rendant accessibles à des agents moins spécialisés et en les soustrayant au contrôle de l’autorité judiciaire. Le texte permet ainsi à de nouvelles personnes (des assistants d’enquête créés par le texte ou des officiers de police judiciaire qui auraient plus facilement accès à ce statut) de faire de nombreux actes d’enquête par essence intrusifs et attentatoires aux libertés.

Par exemple, l’article 11 prévoit que les officiers de police judiciaire peuvent procéder directement à des « constatations et examens techniques » et à l’ouverture des scellés sans réquisition du procureur. Complété par des amendements au Sénat, cet article facilite désormais encore plus les interconnexions et accès aux fichiers policiers (notamment la collecte de photographie et l’utilisation de la reconnaissance faciale dans le fichier TAJ ainsi que l’analyse de l’ADN dans le FNAEG), contribuant à faire davantage tomber les barrières pour transformer le fichage massif en un outil de plus en plus effectif de contrôle des populations.

Ensuite, l’article 12 conduit en pratique à une présomption d’habilitation à consulter des fichiers pendant une enquête ou une instruction. Sous couvert d’une protection contre les nullités de procédure, cette simplification soustrait les policiers à toute contrainte formelle et supprimerait une garantie fondamentale de protection du droit à la vie privée. Cette disposition permettrait un accès total aux fichiers et viderait par ailleurs de leur substance l’ensemble des textes existants visant à limiter l’accès (pourtant déjà très souple), pour chaque fichier, à une liste de personnes habilitées et déterminées. On assiste ainsi à un « effet cliquet »: après avoir multiplié les fichages en prétextant des garanties, on vient ensuite en faciliter les accès et les interconnexions.

3.  L’amende forfaitaire délictuelle : une utilisation du numérique contre les justiciables

Par cette dynamique, le gouvernement fait passer la répression et la surveillance comme l’outil principal du travail policier et affaiblit considérablement le socle de protection de la procédure pénale.

Le projet d’étendre encore un peu plus le champ d’application de l’amende forfaitaire délictuelle (AFD) en est l’une des illustrations les plus éloquentes : cette procédure — dont l’efficacité prétendue n’est mesurée qu’à l’aune du nombre d’amendes prononcées et à la rapidité de la sanction — repose sur un usage de l’outil numérique permettant d’industrialiser et automatiser le fonctionnement de la justice pénale en affaiblissant les garanties contre l’arbitraire, en entravant le débat contradictoire, et en transformant l’autorité judiciaire en simple « contrôleur qualité ». 

Les forces de l’ordre sont ainsi transformés en « radars mobiles » de multiples infractions, le tout sans véritable contrôle judiciaire et en multipliant les obstacles à la contestation pour la personne sanctionnée.

L’évolution vers cette justice-là n’est pas un progrès pour notre société.

Ce projet, s’il est adopté, porterait une atteinte sérieuse au nécessaire équilibre qui doit exister entre, d’une part, la protection des libertés individuelles et collectives et, d’autre part, l’action des policiers. Les député·es doivent donc rejeter ce texte qui affaiblit le contrôle nécessaire de l’activité policière et met en danger les équilibres institutionnels qui fondent la démocratie.

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet,La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM).

« Entre la CAF et vous, il n’y a qu’un clic ». Voilà ce que l’on pouvait lire sur une affiche de la CAF en ce début d’année. Et le sous-titre laisse rêveur : « Accédez à tous les services de la CAF 24h/24 ». Vaine promesse d’un numérique facilitant l’accès aux prestations sociales, et ce, à toute heure du jour et de la nuit. Sinistre slogan masquant la réalité d’une informatisation à outrance, vecteur d’une exclusion sociale calculée.

Alors que la généralisation des démarches en ligne s’accompagne avant tout d’une réduction des capacités d’accueil physique, mode de contact pourtant essentiel pour les personnes en situation de précarité²Voir le rapport du Défenseur des Droits « Dématérialisation des services publics: 3 ans après », disponible ici et l’appel signé par 300 associations/collectifs sur les difficultés engendrées pour les publics en situation de précarité disponible ici., c’est à un algorithme que la CAF laisse le soin de prédire quel·les allocataires seraient « (in)dignes » de confiance et doivent être contrôlé·es³Voir l’avis de la CNIL décrivant l’algorithme comme un « outil permettant de détecter dans les dossiers des allocataires les corrélations existantes entre les dossiers à risque (comportements types des fraudeurs)», disponible ici. Cet avis, positif, est par ailleurs vertigineusement vide de toute critiques portant tant sur le fond du projet et les risques de discrimination qu’il porte que sur le détournement des finalités des données des allocataires collectées initialement pour les besoins de l’état social. Il se borne globalement à recommander un chiffrement de la base de données.. Chargé de donner une note à chaque allocataire, censé représenter le « risque » qu’iel bénéficie indûment d’aides sociales, cet algorithme de scoring sert une politique de harcèlement institutionnel des plus précaires⁴Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. 

L’algorithme de la honte

Nourri des centaines de données dont la CAF dispose sur chaque allocataire⁵Pour des détails techniques sur l’algorithme et son entraînement voir l’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », écrit en 2013 et disponible ici. Il y explique notamment que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude., l’algorithme évalue en continu leur situation afin de les classer, les trier, via l’attribution d’une note (« score de risque »). Cette note, mise à jour mensuellement, est ensuite utilisée par les équipes de contrôleurs·ses de la CAF pour sélectionner celles et ceux devant faire l’objet d’un contrôle approfondi⁶Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés » p.258). Il est à noter que les contrôles sur place peuvent aussi provenir de signalements (police, pôle emploi, conseiller.ère.s…) ou de la définition de cibles-types définies soit localement soit nationalement(contrôles RSA, étudiants…). Ces deux catégories représentaient la plupart des raisons de déclenchement des contrôles avant le recours à l’algorithme..

Les quelques informations disponibles révèlent que l’algorithme discrimine délibérément les précarisé·e·s. Ainsi, parmi les éléments que l’algorithme associe à un risque élevé d’abus, et impactant donc négativement la note d’un·e allocataire, on trouve le fait⁷La CAF entretient une forte opacité autour des critères régissant son fonctionnement. Elle refuse même de donner plus d’informations aux allocataires ayant fait l’objet d’un contrôle suite à une dégradation de leur score. ll n’existe pas de documents présentant l’ensemble des paramètres, et leur pondération, utilisés par l’algorithme dit de « régression logistique ». Les informations présentées ici sont issues des sources suivantes: l’avis de la CNIL portant sur l’algorithme; le livre de Vincent Dubois « Contrôler les assistés »; la Lettre n°23 de la Délégation Nationale à la lutte contre la fraude disponible ici (voir pages 9 à 12); le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. L’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », disponible ici détaille notamment la construction de l’algorithme. : 

– D’avoir des revenus faibles,

– D’être au chômage ou de ne pas avoir de travail stable,

– D’être un parent isolé (80% des parents isolés sont des femmes)⁸Voir la note de l’Insee disponible ici., 

– De dédier une part importante de ses revenus pour se loger,

– D’avoir de nombreux contacts avec la CAF (pour celleux qui oseraient demander de l’aide).

D’autres paramètres comme le lieu de résidence, le type de logement (social…), le mode de contact avec la CAF (téléphone, mail…) ou le fait d’être né·e hors de l’Union Européenne sont utilisés sans que l’on ne sache précisément comment ils affectent cette note⁹Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné.. Mais il est facile d’imaginer le sort réservé à une personne étrangère vivant en banlieue défavorisée. C’est ainsi que, depuis 2011, la CAF organise une véritable chasse numérique aux plus défavorisé·e·s, dont la conséquence est un sur-contrôle massif des personnes pauvres, étrangères et des femmes élevant seules un enfant¹⁰Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. 

Pire, la CAF s’en vante. Son directeur qualifie cet algorithme comme étant partie prenante d’une « politique constante et volontariste de modernisation des outils de lutte contre les fraudeurs et les escrocs ». L’institution, et son algorithme, sont par ailleurs régulièrement présentés au niveau étatique comme un modèle à suivre dans la lutte contre la « fraude sociale », thématique imposée par la droite et l’extrême droite au début des années 2000¹¹Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250..

Comment un dispositif si profondément discriminatoire peut-il être publiquement défendu, qui plus est par une administration sociale ? C’est ici que l’informatisation du contrôle social revêt un caractère particulièrement dangereux, à travers l’alibi technique qu’il offre aux responsables politiques.

Un alibi technique à une politique inique

L’utilisation de l’algorithme permet tout d’abord à la CAF de masquer la réalité sociale du tri organisé par sa politique de contrôle. Exit les références au ciblage des allocataires de minima sociaux dans les  « plans annuels de contrôle ». Ces derniers font désormais état de « cibles datamining », sans que jamais ne soient explicités les critères associés au calcul des « scores de risques ». Comme le dit un contrôleur de la CAF :  « Aujourd’hui c’est vrai que le data nous facilite les choses. Je n’ai pas à dire que je vais sélectionner 500 bénéficiaires RSA. C’est pas moi qui le fais, c’est le système qui le dit ! (Rires). »¹²Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.  

La notion de « score de risque » est par ailleurs mobilisée pour individualiser le processus de ciblage et nier son caractère discriminatoire. Un responsable du contrôle de la CAF déclarait ainsi devant des député·es que « Plus que de populations à risque, nous parlons de profils d’allocataires à risque, en lien avec le data mining »¹³Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé ‘expert de la lutte contre la fraude’. Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout.. En d’autres termes, la CAF avance que son algorithme ne vise pas les pauvres en tant que catégorie sociale mais en tant qu’individus. Une grande partie des « facteurs de risques » utilisés pour cibler les allocataires sont pourtant des critères sociodémographiques associés à des situations de précarité (faibles revenus, situation professionnelle instable…). Ce jeu rhétorique est donc un non-sens statistique comme le rappelle le Défenseur des Droits¹⁴Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné. : « Plus qu’un ciblage sur des « risques présumés », la pratique du data mining contraint à désigner des populations à risque et, ce faisant, conduit à instiller l’idée selon laquelle certaines catégories d’usagers seraient plus enclines à frauder ». 

Enfin, le recours à l’algorithme est utilisé par les dirigeant·es de la CAF pour se défausser de la responsabilité du choix des critères de ciblage des personnes à contrôler. Ielles transforment ce choix en un problème purement technique (prédire quels sont les dossiers les plus susceptibles de présenter des irrégularités) dont la résolution relève de la responsabilité des équipes de statisticien·nes de l’institution. Seule compte alors l’efficacité de la solution proposée (la qualité de la prédiction), le fonctionnement interne de l’algorithme (les critères de ciblage) devenant un simple détail technique ne concernant pas les responsables politiques¹⁵ L’algorithme utilisé, une régression logistique, est un algorithme dit à apprentissage supervisé. A l’image des algorithmes d’analyses d’images, ces algorithmes ‘apprennent’ à détecter certaines choses à partir d’exemples annotés. Ainsi un algorithme de reconnaissance de chats sur des images est, pour le dire schématiquement, simplement entraîné via l’analyse de nombreuses photos annotées chat/pas chat. La tâche de l’algorithme, on parle de phase d’apprentissage, est alors de construire un modèle statistique permettant de reconnaître dans le futur des photos de chat, sans que nul n’ait besoin d’expliciter, à priori, les critères permettant de les identifier. Le recours à un tel algorithme pour la CAF offre donc l’avantage, purement rhétorique, que les critères de ciblage (situation professionnelle, familiale, financière…) semblent ne plus être choisis à priori par la CAF (Voir Vincent Dubois, « Contrôler les assistés » cité précedemment) mais le fruit d’une analyse statistique (corrélations entre ces variables et la probabilité qu’un dossier soit irrégulier).. Un directeur de la CAF peut ainsi dire publiquement: « Nous [la CAF] ne dressons pas le profil type du fraudeur. Avec le datamining, nous ne tirons pas de conclusions », omettant simplement de dire que la CAF délègue cette tâche à son algorithme. 

Un sur-contrôle anticipé des plus précaires

Voilà ce que nous souhaitons répondre aux responsables qui nient le caractère politique de cet algorithme : l’algorithme n’a appris à détecter que ce que vous avez décidé de cibler. Le sur-contrôle des plus précaires n’est ni un hasard, ni le résultat inattendu de complexes opérations statistiques. Il résulte d’un choix politique dont vous connaissiez, avant même le déploiement de l’algorithme, les conséquences pour les précarisé·es.

Ce choix est le suivant¹⁶Pour des détails techniques sur l’algorithme et son entraînement voir l’article de Pierre Collinet « Le datamining dans les caf: une réalité, des perspectives », écrit en 2013 et disponible ici. Il y explique notamment que l’entraînement de l’algorithme mobilise une base contenant plus de 1000 informations par allocataire. Le modèle final, après entraînement et sélection des variables les plus « intéressantes », se base sur quelques dizaines de variables. Y est aussi expliqué le fait que l’algorithme est entraîné pour détecter les indus et non les cas de fraude.. Malgré la communication de la CAF autour de son nouvel outil de « lutte contre la fraude » (voir par exemple ici, ici ou ici), l’algorithme a été conçu non pas pour détecter la fraude, qui revêt un caractère intentionnel, mais les indus (trop-perçus) au sens large¹⁷Il semblerait qu’initialement l’algorithme ait été entraîné sur des dossiers de fraudes avérées, mais qu’il a été très vite décidé de l’utiliser pour détecter les indus au sens large (indépendamment de l’établissement d’un caractère frauduleux). Un ancien directeur du service « contrôle et lutte contre la fraude » déclarait ainsi en 2010: « Nous sommes en train de tester dans dix-sept organismes des modèles plus perfectionnés, mais fondés sur l’observation des indus et non sur celle des indus frauduleux. » devant la commission des affaires sociales de l’assemblée nationale (voir ici)., dont la très grande majorité résulte d’erreurs déclaratives involontaires¹⁸Une directrice du département Maitrise des Risques Lutte contre la Fraude déclarait ainsi dans le cadre d’une mission gouvernementale sur la fraude aux prestations sociales en 2019: « 80 % de nos indus sont liés à des erreurs sur les ressources et les situations professionnelles, majoritairement les ressources »..

Or la CAF savait que le risque d’erreurs est particulièrement élevé pour les personnes en situation de précarité, en raison de la complexité des règles de calcul des prestations sociales les concernant. Ainsi dès 2006¹⁹Ces citations et appréciations sur la part des fraudes dans les indus sont extraits de trois articles écrits par un ancien directeur du service « contrôle et lutte contre la fraude » de la CNAF. Le premier « Du contrôle des pauvres à la maîtrise des risques » a été publié en 2006 et est disponible ici. Le second intitulé « Le contrôle de la fraude dans les CAF », publié en 2005, est disponible ici. Voir aussi un troisième article intitulé « Le paiement à bon droit des prestations sociales des CAF » publié en 2013 et disponible ici. On trouve des analyses similaires dans des articles publiés dès 1997 disponibles ici (1997) et là (2002)., un ancien directeur de la lutte contre la fraude de la CAF expliquait que « les indus s’expliquent […] par la complexité des prestations », ce qui est « d’autant plus vrai pour les prestations liées à la précarité » (entendre les minima sociaux). Il ajoutait que ceci est dû à la prise en compte « de nombreux éléments de la situation de l’usager très variables dans le temps, et donc très instables ». Concernant les femmes isolées, il reconnaissait déjà la « difficulté d’appréhender la notion de « vie maritale » », difficulté à son tour génératrice d’erreurs.

Demander à l’algorithme de prédire le risque d’indu revient donc à lui demander d’apprendre à identifier qui, parmi les allocataires, est tributaire des minima sociaux ou est victime de la conjugalisation²⁰Le fait d’avoir des aides qui dépendent de la situation maritale (en couple/célibataire). des aides sociales. Autrement dit, les responsables de la CAF savaient, dès le début du chantier d’automatisation du ciblage, quels seraient les « profils à risque » que l’algorithme allait identifier. 

Rien n’est donc plus faux que de déclarer, comme cette institution l’a fait en réponse aux critiques du Défenseur des Droits, que « les contrôles à réaliser » sont « sélectionnés par un algorithme neutre » qui n’obéit à « aucun présupposé »²¹La deuxième citation est extraite d’une intervention d’un ancien directeur de la CNAF devant la commission des affaires sociales du sénat en 2017 disponible ici.. Ou encore que « les contrôles […] issus du datamining […] ne laissent pas la place à l’arbitraire ». 

Discriminer pour rentabiliser

Pourquoi favoriser la détection d’erreurs plutôt que celle de la fraude ? Les erreurs étant plus nombreuses et plus faciles à détecter que des situations de fraudes, qui nécessitent l’établissement d’un caractère intentionnel, ceci permet de maximiser les montants récupérés auprès des allocataires et d’augmenter ainsi le « rendement » des contrôles. 

Pour citer une ancienne responsable du département de lutte contre la fraude de la CAF : « Nous CAF, très honnêtement, sur ces très grosses fraudes, nous ne pouvons pas être le chef de file parce que les enjeux nous dépassent, en quelque sorte ». Et de signaler un peu plus loin sa satisfaction à ce que dans la dernière « convention d’objectif et de gestion », contrat liant la CAF à l’État et définissant un certain nombre d’objectifs,²²Les COG sont des contrats entre l’état de les administrations sociales qui « formalisent, dans un document contractuel, les objectifs à atteindre et les moyens à mettre en œuvre pour moderniser et améliorer la performance du système de protection sociale ». Voir par exemple la COG 2018-2022 de la CNAF disponible ici. Pour un peu plus d’horreur, on peut aussi consulter les annexes techniques de ces conventions qui incluent pour la détermination du montant financier des agents de la CAF des objectifs de recouvrement des indus. L’annexe 2021 pour la branche famille est par exemple disponible ici. existe une « distinction entre le taux de recouvrement des indus fraude et des indus non- fraude […] parce que l’efficacité est quand même plus importante sur les indus non-fraudes qui, par définition, sont de moindre importance ».  

Cet algorithme n’est donc qu’un outil servant à augmenter la rentabilité des contrôles réalisés par la CAF afin d’alimenter une politique de communication où, à longueur de rapports d’activité et de communications publiques, le harcèlement des plus précaires devient une preuve de  « bonne gestion » de l’institution²³Comme ici où il est écrit « Pour 1€ engagé, le travail d’un contrôleur rapporte 8 fois plus« . Voir aussi ici ou là.. 

Déshumanisation et mise à nu numérique

Mais le numérique a aussi modifié en profondeur le contrôle lui-même, désormais tourné vers l’analyse des données personnelles des allocataires, dont le droit d’accès donné aux contrôleurs·ses est devenu tentaculaire. Accès aux comptes bancaires, données détenues par les fournisseurs d’énergie, les opérateurs de téléphone, les employeurs·ses, les commerçant·e·s et bien sûr les autres institutions (Pôle emploi, les impôts, les caisses nationales de la sécurité sociale…)²⁴Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.: le contrôle s’est transformé en une véritable mise à nu numérique.

Ces milliers de traces numériques sont mobilisées pour nourrir un contrôle où la charge de la preuve est inversée. Bien plus que l’entretien, les données personnelles constituent désormais la base du jugement des contrôleurs·ses. Comme le dit un contrôleur de la CAF : « Avant, l’entretien, c’était hyper important. […] Maintenant le contrôle des informations en amont de l’entretien prend beaucoup plus d’importance. »²⁵Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.. Ou encore, « un contrôleur quand il prépare son dossier, juste en allant voir les portails partenaires, avant de rencontrer l’allocataire, il a une très bonne idée de ce qu’il va pouvoir trouver ». 

Refuser de se soumettre à cette transparence est interdit sous peine de suspension des allocations. Le « droit au silence numérique » n’existe pas :  l’opposition à une transparence totale est assimilée à de l’obstruction. Et pour les plus réticent·es, la CAF se réserve le droit de demander ces informations directement auprès des tiers qui les détiennent. 

Le contrôle devient alors une séance d’humiliation où chacun.e doit accepter de justifier le moindre détail de sa vie, comme en témoigne cet allocataire : « L’entretien […] avec l’agent de la CAF a été une humiliation. Il avait sous les yeux mes comptes bancaires et épluchait chaque ligne. Avais-je vraiment besoin d’un abonnement Internet ? À quoi avais-je dépensé ces 20 euros tirés en liquide ? »²⁶Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici..

La note attribuée par l’algorithme agit tout particulièrement comme une preuve de culpabilité. Contrairement à ce que veut faire croire la CAF, qui rappelle à qui veut l’entendre que l’algorithme n’est qu’un « outil d’aide à la décision », un score de risque dégradé génère suspicion et sévérité lors des contrôles. C’est à l’allocataire qu’il appartient de répondre du jugement algorithmique. De prouver que l’algorithme a tort. Cette influence de la notation algorithmique sur les équipes de contrôle, fait reconnu et désigné sous le nom de « biais d’automatisation », est ici encore mieux expliquée par un contrôleur : « Compte-tenu du fait qu’on va contrôler une situation fortement scorée, certains me disaient que, bon voilà, y a une sorte de – même inconsciemment – non pas d’obligation de résultats mais de se dire : si je suis là, c’est qu’il y a quelque chose donc il faut que je trouve »²⁷Ces citations sont tirées du rapport « Politique de contrôle et lutte contre la fraude dans la branche Famille » publié en 2016 et écrit par Vincent Dubois, Morgane Paris et Pierre Edouard Weil. Concernant l’extension du droit de communication, voir pages 53-54.. 

Des conséquences humaines dramatiques

Ces pratiques sont d’autant plus révoltantes que les conséquences humaines peuvent être très lourdes. Détresse psychologique, perte de logements, dépressions²⁸Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici.: le contrôle laisse des traces non négligeables dans la vie de tous les contrôlé·e·s. Comme l’explique un directeur de l’action sociale²⁹Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé « expert de la lutte contre la fraude ». Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout. : « Il faut bien s’imaginer que l’indu c’est presque pire que le non recours ». Et d’ajouter : « Vous êtes dans un mécanisme de récupération d’indus et d’administrations qui peuvent décider aussi de vous couper l’ensemble de l’accès aux prestations sociales pendant une période de six mois. Vraiment, vous vous retrouvez dans une situation noire, c’est-à-dire que vous avez fait une erreur mais vous la payez extrêmement chèrement et c’est là que commence une situation de dégradation extrêmement forte qui est très difficile derrière à récupérer ». 

Les demandes de remboursement d’indus peuvent représenter une charge intenable pour les personnes en difficulté financière, en particulier lorsqu’elles sont dues à des erreurs ou des oublis qui couvrent une longue période. À ceci s’ajoute le fait que les trop-perçus peuvent être récupérés via des retenues sur l’ensemble des prestations sociales. 

Pire, les nombreux témoignages³⁰Voir à ce sujet l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits «La lutte contre la fraude aux prestations sociales» disponible ici. La fondation Abbé Pierre, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficulté de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion sans précédent dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici.récoltés par le Défenseur des Droits et les collectifs Stop contrôle et Changer de Cap font état de nombreuses pratiques illégales de la part de la CAF (non respect du contradictoire, difficulté de recours, suspension abusive des aides, non fourniture du rapport d’enquete, non accès aux constats) et de re-qualifications abusives de situations d’erreurs involontaires en fraude. Ces qualifications abusives aboutissent alors au fichage des allocataires identifiés comme fraudeurs·ses³¹Voir la délibération de la CNIL datant du 13 janvier 2011 et disponible ici. Il n’est pas certain que ce fichier existe toujours., fichage renforçant à son tour leur stigmatisation lors de futures interactions avec la CAF et dont les conséquences peuvent s’étendre au-delà de cette institution si cette information est transférée à d’autres administrations.

Numérique, bureaucratie et contrôle social

Certes les technologies numériques ne sont pas la cause profonde des pratiques de la CAF. Versant « social » du contrôle numérique de l’espace public par l’institution policière que nous documentons dans notre campagne Technopolice, elles sont le reflet de politiques centrées autour de logiques de tri, de surveillance et d’administration généralisée de nos vies³²Pour poursuivre au sujet du rôle du numérique et du contrôle social qu’il engendre dans un contexte de gestion de masse des sociétés, voir notamment l’article de Felix Tréguer « Face à l’automatisation des bureaucraties d’État, l’accommodement ou le refus ? » disponible ici et le livre du groupe Marcuse « La liberté dans le Coma ».. 

La pratique du scoring que nous dénonçons à la CAF n’est d’ailleurs pas spécifique à cette institution. Pionnière, la CAF a été la première administration sociale à mettre en place un tel algorithme, elle est désormais devenue le « bon élève », pour reprendre les dires d’une députée LREM³³Voir le rapport « Lutter contre les fraudes aux prestations sociales » disponible ici et surtout le compte rendu des audiences menées dans ce cadre disponible ici. On notera en particulier à la page 85 la retranscription de l’échange avec des employé.e.s des services sociaux de Meurthe et Moselle témoignant de la difficulté dans laquelle les politiques de contrôles mettent les allocataires. Sur un tout autre registre, la première audition est celle d’un autoproclamé ‘expert de la lutte contre la fraude’. Particulièrement dure à lire tant ce personnage manque d’humanité, elle est cependant très instructive sur la façon de penser de celleux qui prônent le contrôle social envers et contre tout., dont doivent s’inspirer les autres administrations. Aujourd’hui ce sont ainsi Pôle emploi, l’assurance maladie, l’assurance vieillesse ou encore les impôts qui, sous l’impulsion de la Cour des comptes et de la Délégation nationale à la lutte contre la fraude³⁴Sur l’utilisation de la nationalité comme facteur de risque, voir le rapport « Lutte contre la fraude au prestations sociales » du Défenseur des Droits disponible ici. Y est cité une circulaire interne de la CAF (n°2012-142 du 31 août 2012) recommandant notamment de « cibl[er] les personnes nées hors de l’Union européenne ». Le rôle de la DNLF dans le développement des outils de scoring y est aussi mentionné., travaillent à développer leurs propres algorithmes de notation.

À l’heure où, comme le dit Vincent Dubois³⁵Vincent Dubois, 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir chapitre 10. Sur l’histoire politique de la ‘lutte contre l’assistanat’, et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250., notre système social tend vers toujours « moins de droits sociaux accordés inconditionnellement […] et davantage d’aides […] conditionnées aux situations individuelles », ce qui appelle « logiquement plus de contrôle », il apparaît légitime de questionner les grands projets d’automatisation d’aide sociale, tel que celui de la « solidarité à la source » proposé par le président de la République. Car cette automatisation ne peut se faire qu’au prix d’une scrutation toujours accrue de la population et nécessitera la mise en place d’infrastructures numériques qui, à leur tour, conféreront toujours plus de pouvoir à l’État et ses administrations.

Lutter

Face à ce constat, nous demandons que soit mis un terme à l’utilisation de l’algorithme de scoring par la CAF. La recherche d’indus, dont la très grande majorité sont de l’ordre de quelques centaines d’euros³⁶Voir le rapport de l’IGF sur les indus disponible ici., ne peut en aucun cas justifier de telles pratiques qui, par nature, ont pour effet de jeter des personnes précarisées dans des situations d’immense détresse.

À la remarque d’un directeur de la CAF avançant qu’il ne pouvait pas « répondre de manière précise quant aux biais » que pourraient contenir son algorithme — sous-entendant ainsi que l’algorithme pourrait être amélioré —, nous répondons que le problème n’est pas technique, mais politique³⁷Les « biais » des algorithmes sont souvent mis en avant comme étant un simple problème technique, comme dans le cas des algorithmes de reconnaissance faciale qui reconnaissent mieux les personnes blanches. Le problème de cette critique, bien réelle au demeurant, est qu’elle élude parfois l’aspect politique des algorithmes en ramenant la problématique à des considérations techniques qu’il serait possible de corriger un jour. Cet algorithme est intéressant de ce point de vue puisqu’il a été entraîné ‘dans les règles de l’art’, voir les références ci-dessus, à partir d’une base de données issue de contrôles aléatoires. Il n’y a donc pas à priori de biais d’échantillonage, comme dans le cas des algorithmes de reconnaissance faciale. Ceci étant dit, l’algorithme répète les biais humains liés au contrôles réalisés sur ces dossiers sélectionnés aléatoirement (sévérité avec les personnes aux minima sociaux, difficulté d’identifier les fraudes complexes…). Mais il reflète surtout, comme expliqué dans l’article, la complexité des règles d’accès aux prestations sociales ce qui est un sujet purement politique que l’algorithme ne fait que révéler.. Puisqu’il ne peut tout simplement pas exister sans induire des pratiques de contrôle discriminatoires, c’est l’algorithme de notation lui-même qui doit être abandonné.

Nous reviendrons bientôt sur les actions que nous souhaitons mener pour lutter, à notre niveau, contre ces politiques. D’ici là, nous continuerons à documenter l’usage des algorithmes de scoring dans l’ensemble des administrations françaises et invitons celles et ceux qui le souhaitent, et le peuvent, à s’organiser et se mobiliser localement, à l’image de la campagne Technopolice qu’anime La Quadrature. A Paris, vous pouvez nous retrouver et venir discuter de cette lutte dans le cadre des assemblées générales du collectif Stop Contrôles, dont nous relayons les communiqués via notre site internet.

Cette lutte ne peut que profiter des échanges avec celles et ceux qui, à la CAF ou ailleurs, ont des informations sur cet algorithme (le détail des critères utilisés, les dissensions internes qu’a pu provoquer sa mise en place…) et veulent nous aider à lutter contre de telles pratiques. Nous encourageons ces personnes à nous contacter à contact@laquadrature.net.Vous pouvez aussi déposer des documents de manière anonyme sur notre SecureDrop (voir notre page d’aide ici).

Pour finir, nous tenons à dénoncer la surveillance policière dont fait l’objet le collectif Stop Contrôles. Prise de contacts téléphoniques de la part des services de renseignement, allusions aux actions du collectif auprès de certains de ses membres dans le cadres d’autres actions militantes et sur-présence policière lors de simples opérations de tractage devant des agences de la CAF : autant de mesures policières visant à l’intimidation et à la répression d’un mouvement social à la fois légitime et nécessaire.

Fin septembre, plus de 15 000 personnes rejoignaient notre plainte collective contre le ministère de l’Intérieur. Dans la plainte, nous dénoncions l’imbrication des différents dispositifs de surveillance mis en place ces dernières années, et notamment le recours croissant à l’intelligence artificielle pour détecter automatiquement des comportements dits « suspects » dans l’espace public urbain. Le dépôt de cette plainte collective devant la CNIL intervient alors que nous avons une autre procédure contentieuse en cours, devant le Tribunal administratif de Marseille.

Fin 2018, la précédente majorité municipale, représentée à l’époque par l’adjointe en charge de la sécurité, Caroline Pozmentier (toujours conseillère régionale en PACA sous l’étiquette « Renaissance ») signait avec la société SNEF un contrat pour installer un dispositif de « vidéoprotection intelligente » (comprendre : vidéosurveillance algorithmique). Parmi les fonctionnalités envisagées se trouvent la détection automatique de graffitis, de destruction de mobilier urbain, la possibilité de rechercher dans les archives de vidéosurveillance par filtre de photos ou de « description », la détection sonore de coups de feu ou d’explosions, la « reconstitution d’évènements » (comme le parcours d’un individu) ou la détection de « comportements anormaux » (bagarre, maraudage, agression).

Après un premier recours introduit en référé début 2020 (et rejeté pour des raisons de procédures), la mairie s’était dépêchée de lancer la rédaction d’une étude d’impact. Consultée, la CNIL avait demandé à la ville de revoir sa copie et, à notre connaissance, cette étude d’impact n’a jamais vu le jour. À ce stade, il nous semblait que l’abandon de ce projet illégal par la nouvelle majorité de gauche plurielle élue à l’été 2020 serait une simple formalité. Mais malgré nos demandes pressantes faites à Yannick Ohanessian, adjoint au maire en charge de la sécurité publique, la ville nous a fait languir. Il a donc fallu déposer un nouveau recours, en décembre 2020.

À ce moment-là, une source à la mairie avait prétendu dans une confidence à l’AFP que le projet était suspendu. Et pourtant, la ville de Marseille a fait le choix d’embaucher un cabinet d’avocats pour défendre la légalité de cette expérimentation devant le tribunal. Dans son mémoire en défense, l’avocat de la ville de Marseille répète ainsi que le déploiement de cette surveillance algorithmique serait suspendu, mais se contredit juste après en affirmant que l’expérimentation continuerait de suivre son cours malgré tout : l’IA tournerait sur « une cinquantaine de caméras fixes nouvellement installées sur le parc, dans le cadre d’une solution […] en test ». Le mémoire de la ville souligne que le flux vidéo dédié à la vidéosurveillance algorithmique est acheminé vers deux postes informatiques « installés dans un local dédié au sein du CSU [Centre de supervision urbain], et accessible uniquement par l’équipe projet », cette dernière étant semble-t-il chargée de recevoir les alertes produites par les algorithmes fournis par le prestataire de la SNEF.

En réponse aux arguments juridiques soulevés par la ville pour défendre ces technologies de surveillance – et pour démontrer une fois pour toute l’illégalité de ces technologies qui sont massivement déployées sur le territoire –, nous avons déposé cet été un mémoire en réplique.

Dans ce document, nous reprenons la position juridique que nous défendons depuis longtemps : ces technologies sont fondées sur des traitements de données biométriques interdits par le droit des données personnelles. En effet, les algorithmes utilisés analysent les caractéristiques physiques, physiologiques ou comportementales des personnes pour les isoler sur les flux d’images. À terme, ils permettront de suivre automatiquement le parcours de personnes suspectées dans la rue, en temps réel ou en faisant remonter toutes les séquences archivées où ces personnes sont reconnues par ces algorithmes. Tout aussi dangereux que la reconnaissance faciale, ces logiciels reposent sur l’analyse des corps et des attributs physiques pour repérer, catégoriser et rendre notre présence dans la ville visible aux yeux de la police.

Nous rappelons aussi une évidence, à savoir que ces technologies sont déployées en l’absence de tout cadre légal, ce qui en soi suffit largement à acter leur totale illégalité. C’est d’ailleurs ce que reconnaît la CNIL dans ses lignes directrices sur la « vidéosurveillance intelligente » – publiées en juillet dernier. Cette position de la CNIL reste scandaleuse, puisque plutôt que de condamner l’ensemble des collectivités déployant ces techniques illégales et de donner voie aux nombreuses demandes d’interdiction de ces technologies discriminatoires et déshumanisantes, l’autorité préfère accompagner leur légalisation et épouser les désirs de leurs constructeurs.

Espérons désormais que le tribunal administratif de Marseille tranchera rapidement ce contentieux, et que nous pourront collectivement faire valoir cette jurisprudence partout en France et au-delà. Et à la suite, tenir en échec toute tentative du gouvernement visant à légaliser ces technologies de surveillance massive, incompatibles avec des formes de vie démocratique.

Dans un contexte d’abandon des politiques publiques pour lutter contre les inégalités ou la pauvreté, les dispositifs sécuritaires et répressifs apparaissent de plus en plus comme la réponse unique et monotone donnée à toutes les questions sociales. La surveillance est sans doute la manière la plus paresseuse et la moins durable de construire une société. Il existe pourtant bel et bien une volonté systématique, de la part de l’État, d’encourager la surveillance généralisée, au moyen de subventions, de consignes données aux préfets et à la hiérarchie policière, et par l’instauration d’un climat politique constamment répressif. C’est donc en attaquant directement le ministre de l’intérieur que nous passons à l’offensive contre la technopolice, en demandant à la CNIL de mettre fin aux caméras innombrables, aux logiciels de vidéosurveillance automatisée, à la reconnaissance faciale et aux méga-fichiers de citoyens.

Les raisons de contester la légalité des dispositifs de surveillance ne manquent pas. Notre droit repose en particulier sur deux conditions fortes : une mesure de surveillance ou de répression n’est légitime en droit, ou légale, qu’à condition d’être absolument nécessaire (on ne peut pas faire autrement) et d’être proportionnée au délit ou au crime qu’elle entend circonvenir (on ne chasse pas une mouche avec un porte-avions). Formellement, nous avons divisé l’attaque en trois plaintes, contre trois systèmes de surveillance disproportionnés qui se complètent et s’alimentent pour maintenir un contrôle permanent de nos activités et déplacements :

• • En premier, le fichier TAJ (traitement des antécédents judiciaires) qui est illégal sur deux plans. Tout d’abord, ce fichier est disproportionné : il rassemble des informations sur toute personne concernée par une enquête (plaignants, témoins, suspects), soit aujourd’hui plus de 20 millions de fiches, mais, en pratique, tout tend à démontrer que ce fichier est alimenté et utilisé en dehors des cadres légaux et qu’énormément de données sont erronées ou conservées bien plus longtemps que la loi ne le prévoit. Ensuite, ce fichier est utilisé par la police et la gendarmerie pour faire de la reconnaissance faciale plusieurs milliers de fois par jour, en dehors de tout cadre légal. Aussi, l’intrusivité et les dangers de cette technologie sont bien plus manifestes avec la vidéosurveillance omniprésente qui multiplie les possibilités d’obtenir des images de nos visages.
    Lire la plainte contre le fichier TAJ
  • La deuxième plainte vise donc cette vidéosurveillance généralisée. Nous démontrons d’abord à la CNIL à quel point l’action de l’État est essentielle et omniprésente dans le déploiement sans limite des caméras dans les villes, et maintenant dans les villages. Qu’il s’agisse de politiques actives de subventions, d’incitation à intégrer des logiciels algorithmiques à ces caméras ou de l’intervention systématique des préfectures dans les actes d’autorisations de ces dispositifs, le ministre de l’Intérieur agit à tant d’étapes de ce phénomène qu’il doit être considéré, légalement, comme responsable. Et justement, les actes préfectoraux qui sont la base légale permettant l’installation de ces caméras ne disent jamais en quoi ces dernières seraient utiles aux finalités prévues par le code de la sécurité intérieure. La vidéosurveillance est alors illégale car disproportionnée et sans justification. Nous attaquons donc le ministre de l’Intérieur qui met en place toutes ces pratiques incitatives gouvernementales qui rendent possible cette disproportion.
    Lire la plainte contre la vidéosurveillance
  • Enfin, la dernière plainte vise le fichier TES (titres électroniques sécurisés). Ce fichier rassemble les photographies de l’ensemble des personnes ayant une carte d’identité ou un passeport, c’est-à-dire à peu près tout le monde, uniquement afin de faciliter le renouvellement et la vérification des titres d’identité. Critiqué depuis sa création en 2016 au regard des énormes dangers que fait peser l’existence même d’une base centralisée de données si sensibles, nous réitérons ces alertes de deux manières. Déjà, nous pointons l’absence de nécessité et de proportionnalité de ce fichier, d’autant que depuis l’année dernière il existe une autre manière, moins intrusive, de parvenir au même objectif de facilitation de la vérification des titres (en l’occurrence, l’accès à ces données peut désormais se faire de façon décentralisée en les mettant directement sur chaque support d’identité dans une puce). Ensuite, nous dénonçons les défaillances de l’État qui a délibérément maintenu ces choix techniques, en parfaite connaissance de l’ensemble des risques posés par cette architecture centralisée sur la possibilité de détourner et utiliser abusivement le fichier (encore plus maintenant avec le perfectionnement de la reconnaissance faciale). Légalement, le ministre de l’intérieur ne remplit pas les obligations de sécurité auquel il est tenu.
    Lire la plainte contre le fichier TES

Nous demandons ainsi que l’ensemble de ces agissements de la police soient contrôlés, qu’il y soit mis fin et que le ministre de l’intérieur soit sanctionné pour avoir incité et laissé faire ces pratiques illégales.

La CNIL doit maintenant prendre en compte la voix des milliers de personnes qui ont rejoint la plainte et montrent leur opposition ferme à cette dynamique de surveillance et au déploiement de ces technologies qui échappent le plus souvent à tout contrôle. À l’heure où un règlement sur l’intelligence artificielle est débattu au niveau européen, où les marchands de la vidéosurveillance algorithmique poussent à une légalisation de leurs outils et où les Jeux olympiques de 2024 sont annoncés comme le prétexte pour l’expérimentation d’une panoplie de technologies toujours plus intrusives sous couvert de contexte sécuritaire, il est urgent d’inverser le rapport de force. Grâce à vous et à l’engouement que cette action collective a suscité, l’offensive est lancée mais la bataille contre la Technopolice ne fait que commencer !

Alors qu’elle fête cette année son quinzième anniversaire, quatre de ses membres viennent de publier un livre, Internet et libertés, revenant sur l’histoire de l’association, ses premiers combats, ses victoires et ses désillusions.

Mediapart a rencontré deux de ses auteurs pour évoquer ces quinze ans de militantisme et son évolution face à un monde numérique totalement transformé. (…)

https://www.mediapart.fr/journal/france/150922/apres-15-ans-de-luttes-la…

Technopolice publie aujourd’hui son premier guide pour lutter contre la vidéosurveillance sur la voie publique. Celui-ci ne se veut en aucun cas exhaustif : il détaille les différentes actions possibles ou déjà employées par des collectifs ou des personnes seules pour lutter contre l’installation de caméras dans nos rues. Il a aussi vocation à être modifié et critiqué. Aidez-nous à l’améliorer en nous envoyant un mail à contact@technopolice.fr ou directement sur le forum Technopolice.

!Télécharger le guide!

Depuis le lancement de la campagne Technopolice, nous avons essayé avec les collectifs mobilisés de documenter, analyser, et quelquefois lutter, contre le déploiement toujours plus rapide, toujours plus mortifère, des nouveaux outils de surveillance. Drones, intelligence artificielle, micros, biométrie… Aidés par la passivité des institutions censées appliquer un droit pourtant protecteur (en premier lieu la CNIL), encouragés par le gouvernement (à travers notamment des financements fléchés), les acteurs de la sécurité nous imposent leur fantasme d’une modernité technologique ultra-sécuritaire et oppressive.

Or, une grande partie de ces technologies repose sur une architecture déjà bien établie et ancrée dans notre quotidien : la vidéosurveillance. Ce sont les caméras déjà posées depuis près de vingt ans dans nos rues, nos villes, nos forêts même, qui sont aujourd’hui utilisées pour y ajouter une couche d’« intelligence articielle » : repérer des « comportements suspects », détecter des sons « anormaux », suivre une foule, reconnaître un visage ou une silhouette, tout cela dépend des dizaines de milliers de caméras installées au fil des années par les industries sécuritaires et certaines collectivités. La vidéosurveillance, c’est un peu la première pierre de la Technopolice.

C’est aussi la première carte du château de cartes que représente l’ensemble de ce dispositif : enlever cette carte, c’est fragiliser, et peut-être même faire tomber tout le reste. C’est pour cette raison que nous rédigeons ce guide, parce que la lutte contre la vidéosurveillance est consubstantielle à la lutte contre la Technopolice.

C’est aussi parce que cette lutte, contrairement à ce que l’on pourrait penser, est toujours bien présente, qu’elle motive encore de nombreux collectifs ou personnes individuelles qui refusent toujours de voir la vidéosurveillance s’installer chez elles. Parce que la vidéosurveillance n’est donc pas acceptée et que sa présence n’est pas oubliée, qu’elle suscite toujours une résistance. C’est ce que nous voyons depuis le début et encore aujourd’hui dans le cadre de Technopolice : une grande partie des messages et échanges que nous avons pu avoir avec d’autres collectifs, que ce soit sur Internet ou lors de rencontres physiques, tournaient autour des modalités de lutte contre les caméras.

Ce guide reprend donc les méthodes utilisées par diverses personnes et collectifs : cartographie des caméras, demande de documentation, pétitions, tracts, contentieux juridiques, plaintes à la CNIL… Il n’y a aucune volonté d’exhaustivité, simplement de faire le point et de passer en revue des méthodes de lutte, surtout celles qui ont été efficaces. Pour que chacune et chacun puisse s’en servir et visibiliser, dénoncer ou empêcher l’installation des caméras.

Pour lire le guide c’est ici : Guide contre la vidéosurveillance (n’hésitez pas à l’imprimer ou le partager autour de vous).

N’hésitez pas à nous faire part de vos retours sur ce guide, de votre expérience sur le sujet ou à proposer d’autres stratégies de lutte contre la vidéosurveillance, soit sur contact@technopolice.fr, soit sur le forum Technopolice

Télécharger ici la version imprimable en livret

Pourquoi cette plainte ?

Alors que les offensives sécuritaires du gouvernement s’enchaînent, avec notamment le nouveau projet de loi du gouvernement pour l’orientation et la programmation du ministère de l’Intérieur (LOPMI) qui arrive bientôt à l’Assemblée, que les industriels de la technopolice mettent au point des technologies de surveillance et de répression toujours plus pernicieuses et que les Jeux Olympiques 2024 et la coupe du monde de rugby l’année prochaine présagent un déploiement sans précédents de policiers, gendarmes, forces de sécurité et de leurs outils numériques de surveillance, nous avons voulu montrer qu’il était temps de mettre un stop à cette entreprise sécuritaire nationale.

La plainte attaque quatre piliers de la répression et surveillance qui se renforcent les uns les autres. Le fichage, à travers les fichiers TAJ et TES qui constituent des bases de données d’une énorme partie de la population. La reconnaissance faciale, qui est utilisée depuis 10 ans par les forces de police. Les caméras de vidéosurveillance qui se déploient de manière exponentielle sur tout le territoire. Et enfin la vidéosurveillance algorithmique, qui tente de pallier l’inefficacité des caméras classiques en automatisant la détection d’infractions. Ces quatre piliers de la Technopolice entraînent une surveillance totale de l’espace public et une répression d’autant plus conséquente qu’elle dote la police d’encore plus de moyens pour réprimer la population.

Rappelons-le, tous ces outils technopoliciers ne participent pas à améliorer notre sécurité. Ils ne font qu’augmenter la surveillance et la répression sans nous octroyer plus de libertés dans nos rues, au contraire.

Faire entendre une voix collective contre la surveillance et la répression

La plainte a pour objectif de visibiliser les luttes contre la surveillance et la répression mais aussi de remettre au centre du débat les argumentaires politiques et scientifiques retraçant le déploiement de la Technopolice et expliquant les intérêts politiques et économiques qu’ils servent. Ce discours est quasiment inaudible au sein d’une scène politique où sécurité rime avec répression et technologie et où le passage à l’échelle technologique n’est pas questionné. Donc nous vous donnons rendez-vous samedi 24 septembre à Marseille pour le dépôt de la plainte. D’ici-là, n’hésitez pas à signer et partager la plainte ici : https://technopolice.fr/plainte/

Des dizaines d’actions, de plaidoiries, d’articles, d’événements publics et de campagnes médiatiques nourrissent les souvenirs et les discussions des fondateurs, bénévoles, membres et salariés depuis la création de l’association au printemps 2008. Cette histoire devait-elle rester dans la seule mémoire de celles et ceux qui l’ont connue ? Quatre membres de l’association ont tenté de la raconter : en trois parties, vingt-deux chapitres et deux cent soixante pages, ils retracent à leur manière ces quinze années de militantisme grave et joyeux.

Le livre Internet et libertés décrit comment une seule ambition, toujours tenue — « défendre les droits et les libertés fondamentales à l’ère du numérique » — a conduit les militants de La Quadrature à défendre le libre partage contre l’épouvantail du « piratage » (loi Hadopi, 2008) ou à mener une lutte juridique incessante contre les dispositifs de surveillance dans les rues (campagne Technopolice, 2020). À ferrailler en France et en Europe contre des lois sécuritaires poussées par des gouvernements toujours plus autoritaires (loi Renseignement en 2015, loi Surveillance en 2016). Ou encore à s’attaquer aux mastodontes planétaires que sont les GAFAM, jusqu’à obtenir des amendes record de plusieurs centaines de millions de dollars contre Google ou Amazon, pour exploitation illégale de nos données personnelles (campagne anti-GAFAM, 2018).

Comment « cinq gus dans un Garage » et des « exégètes amateurs » ont-ils pu mener tous ces combats, et en gagner un certain nombre par-dessus le marché ?

Pour traverser cette histoire apparemment décousue, le livre trace trois lignes, trois grandes séquences à la fois chronologiques et thématiques.

La période de « la défense d’Internet » (2008-2014), c’est l’époque de la lutte contre la loi Hadopi puis le combat victorieux, à l’échelle européenne, contre le traité transatlantique ACTA, qui voulait lui aussi punir les échanges non marchands. C’est la période heureuse de l’association : de jeunes gens enthousiastes, des geeks qui savent de quoi ils parlent, affrontent des États et des gouvernements qui ne comprennent rien au Web ni aux nouvelles technologies, alors que les jeunes militants mobilisent les masses grâce aux nouveaux réseaux.

Mais la période suivante (2014-2018), celle de « l’obsession antiterroriste », est nettement plus sombre : elle montre comment les gouvernements reprennent la main, pourchassent les lanceurs d’alerte et les héros du Web libre (Aaron Swartz, Julian Assange, Chelsea Manning, Edward Snowden, etc.), accumulent les lois répressives pour « civiliser Internet » et veulent soumettre l’ensemble de nos communications à des règles de surveillance et de censure, sous prétexte de lutter en ligne contre un terrorisme qui tue, de façon terriblement réelle, dans les rues des grandes capitales mondiales.

La troisième période, la plus récente (2018-2022), est celle que vous connaissez bien, puisque nous sommes encore dedans : les techniques numériques de surveillance se sont très largement étendues dans l’ensemble de la société, sous des formes parfois anodines et d’autres fois beaucoup plus inquiétantes, depuis le traçage publicitaire sur le Web jusqu’aux algorithmes administratifs qui sanctionnent arbitrairement les bénéficiaires des minima sociaux. Dans le même temps, le vieux fantasme dystopique de la vidéosurveillance permanente, si souvent dépeint dans les œuvres de science-fiction les plus pessimistes, est devenu une réalité quotidienne et tangible avec l’utilisation de drones et de logiciels d’analyse des flux vidéo en direct. Même l’épidémie mondiale de Covid-19, malgré sa gravité médicale et humaine, a été le prétexte complaisant pour mener des expériences sans précédent de surveillance numérique des personnes jusque dans leur intimité.

Voilà comment, sans jamais dévier de sa ligne de défense des droits, de la loi « Hadopi » à la loi « Sécurité globale », La Quadrature du Net a suivi de près tous les bouleversements et les drames de la société française durant ces quinze dernières années.

Cependant, Internet et Libertés n’est ni un livre d’histoire, ni un pamphlet, ni un manifeste.

Ce n’est pas un livre d’histoire : les quatre auteurs assument le côté partiel et partial de leurs témoignages. Ce livre n’est pas une histoire « officielle » de La Quadrature du Net, écrite et revendiquée par l’association. Mais il donne à lire « une histoire de La Quadrature du Net », vue par des personnes qui l’ont vécue de l’intérieur.

Ce n’est pas un pamphlet : le livre n’est pas une longue déploration des défauts du monde, qu’on pourrait corriger avec quelques « il faut » dans un futur nécessaire mais toujours reporté. C’est le récit le plus honnête possible de combats qui ont eu lieu, au nom d’idées qui éclairent le présent et peuvent guider l’action dans les années qui viennent.

Ce n’est pas un manifeste non plus : ce n’est pas un texte dans lequel l’association, en son nom propre, donnerait sa doctrine intégrale.

C’est un récit politique, une histoire commune qui ne cache pas les détours, les erreurs, les difficultés, qui montre comment les idées viennent et comment les luttes s’organisent au gré des envies, des rencontres, de l’imprévu et de la réflexion collective. C’est un livre qui raconte La Quadrature du Net. Et surtout, c’est une histoire qui n’est pas finie. À nous de l’écrire ensemble !

Le livre paraît aux éditions Vuibert ce mardi 13 septembre.

Il est dédié à Philippe Aigrain (1949-2021), ingénieur, écrivain, et membre fondateur de La Quadrature du Net.

Internet et Libertés – 15 ans de combat de la Quadrature du Net
par Mathieu Labonde, Lou Malhuret, Benoît Piédallu et Axel Simon, 268 pages, 19,90€.
https://www.vuibert.fr/ouvrage/9782311624915-internet-et-libertes

La création d’un savoir d’État

La volonté de l’État français d’identifier formellement sa population débute au XVIIIe siècle. Le but d’origine était formellement de « lutter contre la criminalité, la mendicité ou l’errance » en imposant à certaines personnes de s’enregistrer et de détenir des « papiers » contenant leur nom patronymique¹Voir « L’extension des fichiers de sécurité publique » – Pierre Piazza, 2009. Très vite, cette pratique est surtout utilisée dans un cadre judiciaire afin d’identifier les personnes mises en causes qui donneraient de fausses identités, empêchant ainsi la justice de restituer leur parcours criminel. C’est donc la poursuite et la reconnaissance des récidivistes – justification que l’on retrouvera à de nombreuses reprises au cours de l’histoire – qui incite à perfectionner les pratiques d’identification et notamment donner naissance à la police scientifique²Pour plus de détails, lire l’introduction du chapitre « Autour de la photographie par la contrainte » issu du catalogue de l’exposition « Fichés – Photographie et identification 1850-1960 » aux Archives de France.

C’est motivé par cette obsession – juridique et scientifique – de la recherche de l’identité qu’Alphonse Bertillon, agent au service photographique de la préfecture de police de Paris, propose en 1883 une nouvelle technique d’identification : l’anthropométrie. Cette méthode vise à associer à l’identité civile une description d’attributs physiques et corporels spécifiques à une personne afin de la reconnaître. Sont ainsi détaillés méticuleusement dans le signalement le visage – front, profil, oreilles, nez, bouche, menton – les cicatrices, grains de beauté, tatouages ou encore la colorimétrie de l’iris. S’ajoutent quelques années plus tard les empreintes digitales, que la police voit comme une garantie plus « intangible » de l’identité. La photographie, alors en plein essor, est aussitôt utilisée pour faire évoluer ce système d’identification. L’apparition de la technique de l’instantané vers 1880, et la photographie en petit format, permettent ainsi d’alimenter les fiches avec portraits de face et de profil. Le bertillonnage évolue alors vers sa version la plus « sophistiquée », les policiers pouvant se reposer sur une vraie visualisation de la personne plutôt qu’une simple description³ Voir dans le même catalogue d’exposition, le chapitre « La photographie dans l’identité judiciaire. Alphonse Bertillon et le modèle de la préfecture de police » par Pierre Piazza et Ilsen About. Déjà, on observe que la moindre invention technique est aussitôt utilisée par la police pour augmenter ses pouvoirs de coercition et de contrôle, phénomène qui se prolonge encore aujourd’hui avec notamment la captation vidéo ou l’intelligence artificielle. Dans l’opinion publique, des inquiétudes émergent à la fois sur les abus de la police mais aussi, déjà, sur la potentielle application de ce système anthropométrique à l’ensemble de la population. Des dessins et caricatures dénoncent ainsi le fait que toute personne soit perçu en criminel potentiel.

Ce perfectionnement du dispositif d’identification marque le début d’une pratique qui va se renforcer au sein de l’État, et pour les seuls intérêts de l’État, au cours des décennies suivantes. Fondé initialement sur la recherche des criminels, le bertillonnage est surtout à l’origine de la rationalisation des pratiques policières. Cette technique fait ainsi apparaître de nouveaux instruments de classement, telle que la fameuse fiche au format et au contenu standardisé, pour remplacer les signalements qui reposaient uniquement sur la mémoire des agents de police. Cette nouvelle « mémoire d’État » repose sur une organisation précise, et qui fonctionne désormais selon un « système réticulaire », conférant à la police la capacité de dominer visuellement un « matériau humain ». Elle dispose désormais d’un pouvoir facilité d’accéder et croiser des informations, organisé en réseau à travers les régions, alimentant le fantasme qu’aucune information ne puisse lui échapper. Le bertillonnage marque aussi la première étape de la biométrie en France, le corps devenant le principal élément d’identification et de contrôle. En maîtrisant les corps, l’administration peut localiser, inventorier, classer les humains⁴ Denis Vincent,« Une histoire de l’identité. France, 1715-1815», Revue d’histoire moderne & contemporaine », page 229..

Si le bertillonnage a vu le jour à Paris, ces pratiques répressives se diffusent largement dans les administrations coloniales et préfigurent le fichage des juifs cinquante ans plus tard. Ainsi, dès la fin des années 1880, le fichage se perfectionne et s’institutionnalise au sein de l’Empire colonial français. Ce « laboratoire colonial français » dont parle bien Ilsen About dans ce texte permet de mettre en pratique et à grande échelle un processus d’identification administrative homogénéisé, qui rend possible la création de sujets inférieurs et de régimes juridiques distincts. Dépassant la seule recherche des criminels et délinquants, le fichage sera notamment appliquée pour la surveillance de catégories d’individus toujours plus vastes, considérés comme « subversifs », comme les anarchistes⁵Surveiller, sanctionner et prédire les risques : les secrets impénétrables du fichage policier, Virginie Gautron, 2019. . et jouera un rôle crucial dans le contrôle et la répression de certaines populations.

Les fichages étatiques répressifs du XXe siècle

Les « nomades », c’est à dire les personnes n’ayant pas de résidence fixe, ont été le premier groupe social à être ciblé par les nouvelles méthodes de fichage, l’administration voulant à tout prix contrôler qui rentre et sort de son territoire. Créé dès 1907 pour remplacer une liste de « bohémiens », le système mis en place consistait à doter une large catégorie de personnes itinérantes d’un « carnet anthropométrique »⁶L’ensemble de cette partie est tirée du chapitre « Le contrôle des « nomades » par Emmanuel Filhol, Marie-Christine Hubert, Adèle Sutre issu du catalogue d’exposition cité plus haut.. Afin de surveiller et contrôler les déplacements, cette feuille d’identité contenait signalement, profession et photographie. Chaque modification du carnet (par exemple pour la notification d’un trajet, d’un vaccin mais aussi d’une infraction) faisait l’objet d’une notice individuelle, qui, par la suite, sont copiées et centralisées au sein d’un fichier. Ces différentes contraintes ont notamment conduit certaines familles à décider d’abandonner le mode de vie nomade qui pouvait être le leur depuis des siècles.

La surveillance s’intensifia ensuite avec la création d’un registre de visas apposé à l’entrée de chaque commune, classé chronologiquement et alphabétiquement, puis par un régime d’interdiction de déplacement d’abord pour les étrangers puis vis-à-vis de l’ensemble des « nomades » durant la Seconde Guerre mondiale. Facilitée par leur identification préalable à travers les carnets et registres instaurés depuis plusieurs décennies, l’assignation à résidence des personnes « nomades» se met en place, et sera rapidement remplacée par un internement à partir de 1940. Libérées en 1946, elles resteront cependant soumises au carnet jusqu’à son abrogation en 1969⁷Le carnet est remplacé à ce moment là par le livret de circulation dont la suppression n’a été votée par l’Assemblée nationale qu’en 2015. Le déplacement des populations et la connaissance de qui entre et sort dans un territoire reste une des justifications majeures de l’État pour le fichage.

Durant la Seconde Guerre mondiale, le fichage a joué un rôle majeur et continu dans la persécution et le génocide de la population juive. Après la découverte du « fichier juif » par Serge Klarsfeld dans les années 1990, une commission nationale fut chargée d’enquêter sur les pratiques de la police française pendant la guerre. La lecture du rapport est édifiante : y est décrit le savoir faire rigoureux et zélé de la police française, à la fois en zone occupée et au sein du régime de Vichy, pour identifier et réprimer les personnes juives en France.

Déjà, chaque processus de fichage était précédé d’une phase d’identification, par recensement ou à travers la généralisation, à partir de 1940, de l’obligation de disposer d’une carte d’identité sur laquelle était apposée la mention « Juif » . Comme il est énoncé dans le rapport, «le binôme recensement-fichier a presque toujours servi à mieux identifier pour surveiller, contrôler, et au fil des mois, arrêter, interner, voire déporter»⁸ Voir page 61 du rapport.. C’est ainsi qu’en zone occupée, un recensement général a été entrepris dès l’automne 1940 afin de créer un fichier central couvrant Paris et les arrondissements de la Seine, sous la direction d’André Tulard, fonctionnaire de la préfecture de police passé par le service des étrangers et le bureau des passeports et des naturalisations. Un « dossier juif » était alors ouvert pour chaque famille et chaque personne célibataire, puis était ensuite classé méticuleusement selon quatre sous-fichiers : alphabétique (avec la lettre J sur le coin gauche) ; par nationalité (J sur le coin gauche, N sur le coin droite) ; par domicile (par rue et numéro) (J à gauche, D à droite) ; par profession (J à gauche, P à droite). La couleur des fiches permettait également de classer entre juifs français (fiche bleue) et étrangers ou apatrides (fiche orange et beige). La mise en œuvre du fichier « Tulard » impressionna à la fois les occupants allemands et les responsables de Vichy, ce qui poussa ces derniers à imposer aux préfets de la zone Sud un recensement de la population juive. Conçu sur un modèle similaire de couleurs et de catégories (français, étrangers, entreprises), le fichier de Vichy rassembla à la fin plus de 110 000 fiches.

Ces fichiers centraux étaient accompagnés d’une multitude de listes de personnes juives (par exemple, celles qui disposaient d’un appareil de télégraphie, étaient propriétaires d’une bicyclette ou avaient retiré l’étoile juive) tenues par l’administration pour contrôler le respect des lois restrictives et limiter les déplacements. Mais surtout, ils ont été un instrument direct des rafles et de la déportation à partir de 1942. S’il fallait un exemple, le sous-fichier des nationalités du fichier Tulard a permis de planifier les arrestations et internements pendant les rafles des juifs étrangers, les fiches étant extraites avant chaque action⁹Lors de la rafle du Vel’ d’Hiv, Tulard et les hommes de son service en sortirent 25 334 pour Paris intra-muros et 2 027 pour les communes de la proche banlieue, voir page 106 du rapport.. Si le processus de fichage a été multiple et varié au cours de la guerre, en aucun cas il n’a été ponctuel. Fruit du savoir-faire de l’administration française, le fichage était le vecteur d’une véritable politique de surveillance et de persécution des juifs, facilitant directement la déportation voulue par l’occupant allemand.

Dernier exemple de cette pratique d’État, le fichage de la population algérienne en France métropolitaine a démontré la multiplicité des manœuvres mises en place pour contrôler et surveiller des personnes à titre « préventif » en temps de conflit. Si aucun fichier central n’a vu le jour dans ce cas précis, ce n’est que faute de temps et de moyens, car plusieurs initiatives de l’administration et de la préfecture de police de Paris allèrent en ce sens. D’une part, la brigade des agressions et des violences, créée en 1953 sous le prétexte de la lutte contre la délinquance de rue, photographiait et identifiait les nord-africains interpellés à la suite de rafles, afin d’alimenter un fichier. Ensuite, pendant la guerre, une circulaire du 5 août 1957 organisait la création d’un fichier national des individus dangereux ou à surveiller résidant en métropole, appelé le « fichier Z ». Deux autres circulaires de 1957 et 1958 ont ensuite précisé les catégories d’individus à ficher, dont notamment les agents nationalistes que la police souhaitait éliminer, classés dans une sous-rubrique de ce fichier Z¹⁰Informations tirées du chapitre « Le fichage des émigrés d’Algérie (1925-1962) » par Emmanuel Blanchard dans le catalogue d’exposition précité..

D’autre part, l’État français procédait à l’identification généralisée des Français musulmans d’Algérie en métropole. Prenant le prétexte du risque de fraude, il imposait l’obligation de détenir une carte d’identité permettant en réalité de mettre en place un vaste fichier à partir de l’enregistrement des demandes de carte, renforçant la surveillance administrative. Plusieurs rafles ont également eu lieu entre 1958 et 1961 afin d’inciter les Algériens à s’adresser au Service d’assistance technique aux Français musulmans d’Algérie (SAT-FMA). Officiellement créé pour leur apporter une aide, ce service visait en réalité à alimenter le renseignement et créer des dossiers individuels. Jusqu’à 100 000 dossiers ont ainsi été créés en région parisienne et plusieurs projets de grands fichiers mécanographiques et d’enquêtes sociologiques étaient dans les cartons de ce service. Ce fichier francilien a notamment été utilisé jusqu’en juillet 1962, chaque fois qu’un Français musulman d’Algérie était appréhendé par un service de police afin de déterminer s’il avait commis des « actions anti-françaises ».¹¹Semblables et pourtant différents.. La citoyenneté paradoxale des « Français musulmans d’Algérie » en métropole, Alexis Spire, 2003

Ces trois exemples illustrent à quel point les pratiques de fichage ont été omniprésentes dans les processus de répression, mais également comment l’administration les développaient en toute opacité. L’apparition de l’informatique fait passer le fichage à des échelles encore plus préoccupante, précipitant un nécessaire débat public.

Fichage informatisé et échec de la critique politique

Dès les années 1960, l’informatique était perçue comme un instrument de modernisation du pays et l’institution policière a rapidement voulu adopter ces nouveaux outils. Permettant de rationaliser et mettre de l’ordre dans la multitude de fichiers éparpillés, l’informatisation augmentait aussi les capacités de traitement et permettait les croisements entre fichiers là ou la mécanographie ne permettait que de simples tris¹²« Vers une remise en cause de la légalité du FNAEG ? », Ousmane Guey et François Pellegrini . Dans cette dynamique est créée en 1966 une « direction des écoles et techniques » afin de mener les réflexions au sein de l’institution et assurer l’unité de la formation et l’homogénéité des méthodes et techniques de la police. Ces réflexions, associées aux capacités récentes de recouper de façon automatisée un grand nombre d’informations, ont alors nourri un nouveau projet : celui d’attribuer un identifiant unique à chaque personne dans le Système automatisé pour les fichiers administratifs et répertoires des individus (SAFARI)¹³« Le désordre assisté par ordinateur : l’informatisation des fichiers de police en France», Cahiers de la sécurité, Eric Heilmann, 2005 .

Révélé et dénoncé en 1974 par le journal Le Monde dans l’article intitulé « « Safari » ou la chasse aux Français », le projet suscita de fortes réactions. Pour l’auteur de l’article, Philippe Boucher, la base de données donnerait une « puissance sans égal » à celui qui la posséderait, mettant au cœur du débat la question de la détention et de la centralisation par l’État d’informations sur l’ensemble de sa population. Finalement abandonné face à la controverse, le projet SAFARI déboucha sur une commission d’enquête qui donna naissance à la Commission nationale de l’informatique et des libertés (CNIL) et à la loi Informatique et Libertés du 6 janvier 1978, socle de la protection des données personnelles encore en vigueur aujourd’hui. Au-delà de la création d’un encadrement juridique, cet épisode marque une amorce de politisation sur le sujet. Cette réflexion avait d’ailleurs débuté avant ce scandale, le directeur du « service des écoles et techniques » mentionné plus haut écrivait lui-même en 1969 :

« La mise en mémoire d’un certain nombre de données n’est-elle pas attentatoire à la liberté et même à la dignité de l’homme ? Ne présente t-elle pas des dangers si nous connaissons à nouveau comme naguère la férule d’un État totalitaire, le joug d’une police politique orientée non vers le maintien de l’ordre public, la prévention et la répression des crimes, mais vers l’asservissement des citoyens libres, privés par une minorité de leurs moyens d’expression ? Le problème vaut qu’on y réfléchisse longuement et profondément.¹⁴ Cité dans l’article d’Eric Heilmann

Il apparaît alors de plus en plus évident que si une administration peut disposer, organiser, classer des informations sur les personnes, cela n’est pas politiquement neutre. Elle retire de cette connaissance un pouvoir, une possibilité de contrôle qui doit nécessairement être limitée. Cette prise de conscience et la politisation collective des enjeux, assortie d’institutions et d’un encadrement juridique novateurs, auraient pu laisser penser que la problématique du fichage avait été cernée de manière suffisamment forte par la société pour être maîtrisée, afin d’empêcher les dérives. Malheureusement ce ne fut pas le cas, ces pratiques d’identification de surveillance étant probablement bien trop ancrées dans les rouages de l’institution policière.

Dès les années 1980, avec la généralisation des ordinateurs, la police commençait à collecter des informations de façon massive et désordonnée. Plutôt que de limiter ces pratiques, il fut au contraire décidé de rationaliser et d’organiser cette quantité de données au sein de fichiers centralisés pour en tirer une utilité. C’est dans ce contexte qu’est apparue l’idée du fichier STIC (Système de traitement des infractions constatées), visant à intégrer toutes les informations exploitées par les services de police dans une seule et même architecture, accessible à tous les échelons du territoire¹⁵« Défavorablement connus », Jean-Marc Manach, Pouvoirs, 2018. Finalement mis en œuvre et expérimenté dans les années 1990, le fichier STIC cristallisa de nombreuses tensions entre le Ministère de l’Intérieur et la CNIL qui durent négocier pendant plusieurs années afin d’en fixer le cadre légal. Si la CNIL a obtenu des garanties dans un accord à l’arrachée en 1998, cette victoire a paradoxalement signé la fin de son influence et de sa légitimité. En effet, dans les années qui suivirent, toutes les réserves qu’elles avait pu obtenir ont été ostensiblement bafouées. Mais surtout, cette longue bataille qui avait concrètement ralenti et empêché le développement du fichier souhaité par le Ministère poussa le gouvernement à supprimer par la suite le pouvoir d’autorisation attribué à la CNIL afin de ne plus être gêné dans ses projets. C’est pourquoi, en 2004, la modification de la Loi pour la confiance dans l’économie numérique (LCEN) acta la suppression du pouvoir de contrainte de la CNIL pour le transformer en simple avis consultatif. Cela signifie qu’elle ne dispose plus de l’autorité nécessaire pour empêcher ou limiter la création de fichiers de police par le gouvernement. Cette modification législative marque un tournant dans le droit des fichiers et des données personnelles ainsi que dans la pratique policière. Les garde-fous ayant sauté, l’espace politique pour parvenir à une surveillance massive se libère, les limites légales devenant purement cosmétiques.

Malgré l’encadrement légal, le fichage s’emballe

Aujourd’hui, la dérive du fichage est vertigineuse et plusieurs phénomènes peuvent en témoigner. Déjà, l’inflation ahurissante du nombre de fichiers : plus de 70 fichiers créés entre 2004 et 2018¹⁶Chiffre issu du rapport des députés Didier Paris et Pierre Morel-À-L’Huissier, à partir de l’annexe faisant état de 106 fichiers mis à disposition de la police. Ensuite la déconstruction progressive des principes protecteurs de la loi Informatique et Libertés, comme la proportionnalité et la nécessité, a vidé de toute effectivité les contre-pouvoirs censés limiter et encadrer les fichiers. Prenons quelques exemples symptomatiques de cette lente artificialisation du cadre protecteur des libertés.

La première illustration est une pratique législative devenue banale : un fichier est créé pour une finalité très restreinte, liée à des circonstances exceptionnelles, ce qui lui donne une apparence de proportionnalité en termes juridiques. Cependant, des réformes successives vont élargir son objet et son périmètre, transformant sa nature et son échelle La légalité originelle se retrouve alors obsolète et artificielle. L’exemple le plus significatif et affolant est celui du fichier national automatisé des empreintes génétiques (FNAEG). Créé en 1998, suite à l’affaire Guy Georges, ce fichier avait pour vocation d’identifier les personnes récidivistes des infractions sexuelles les plus graves à l’aide de leur ADN, ainsi que les personnes disparues et les corps non identifiés. Mais seulement trois années plus tard, en 2001, la loi pour la sécurité quotidienne élargit la collecte de l’ADN aux crimes graves aux personnes (crimes contre l’humanité, tortures, homicides volontaires,proxénétisme…)¹⁷voir Article 56 de la loi n°001-1062 du 15 novembre 2001 relative à la sécurité quotidienne . C’est ensuite la loi sur la sécurité intérieure de 2003 qui l’étend à de simples délits d’atteinte aux personne et aux biens (tels que les vols ou les tags)¹⁸ La loi n°2003-239 du 18 mars 2003 sur la sécurité intérieure (dite loi Sarkozy), dans son article 29, élargit l’usage du FNAEG à de simples délits (vol, tag, arrachage d’OGM, etc.) et permet aussi d’inclure des personnes simplement soupçonnées d’avoir commis des crimes contre l’humanité, violences volontaires, menaces d’atteintes aux personnes, trafic de stupéfiants, de traite des êtres humains, de proxénétisme, d’exploitation de la mendicité, d’atteintes aux intérêts fondamentaux de la nation, d’actes de terrorisme, de fausse monnaie, d’association de malfaiteurs, mais également de vols, d’extorsions, d’escroqueries, destructions, dégradations, détériorations ou menaces d’atteintes aux biens. et permet aussi d’inclure la collecte de l’ADN des personnes simplement soupçonnées d’avoir commis une de ces infractions. Alors qu’il était conçu pour des situations exceptionnelles, le FNAEG contenait en 2020 les données de 4 868 879 de personnes, soit plus de 7 % de la population française, et en 2015, 76 % de ces profils concernent des personnes non condamnées¹⁹« Vers une remise en cause de la légalité du FNAEG », Ousmane Guey et François Pellegrini, cité plus haut, page 10.. En prenant en compte la parentèle, c’est-à-dire les personnes partageant des éléments non codants d’ADN pouvant révéler des liens familiaux, ce chiffre peut être quintuplé. Conservé jusqu’à 40 ans pour les personnes condamnées, 25 ans pour les mis en causes, l’ADN peut également être partagé au niveau européen dans le cadre de la coopération permise par le Traité Prüm. Aujourd’hui l’ADN est relevé très fréquemment par la police sur toute personne en garde à vue et peut même l’être après condamnation, le refus de le donner pouvant être sanctionné par la loi.

Deuxième méthode pour étendre l’emprise d’un fichier : l’élargissement au cours du temps du nombre de personnes ayant accès au fichier ou de la nature des données collectées. Par exemple, trois fichiers de renseignement administratif (dont vous nous parlions ici) ont récemment été amendés pour que soient ajoutées aux éléments collectés les opinions politiques, l’état psychologique ou encore les informations postées sur les réseaux sociaux. Parallèlement, si les fichiers ne sont pas automatiquement croisés ou interconnectés, des interfaces ou logiciels permettent de favoriser leur lecture simultanée. L’information originellement collectée change nécessairement de nature quand elle peut être recoupée avec une autre recueillie dans un contexte totalement différent. Parmi ces outils, nous pouvons citer le système Accred (Automatisation de la consultation centralisée de renseignements et de données) qui permet la consultation automatique et simultanée de 11 fichiers dits « généraux »,²⁰Plus précisément les fichiers EASP, PASP, GIPASP, FPR, N-SIS II, le FSPRT, le fichier des véhicules volés ou signalés (FoVES), CRISTINA, GESTEREXT, SIREX et le fichier de la DGSE. dans le cadre d’enquêtes administratives (quand on postule à un emploi lié au secteur public) ou pour une demande d’un premier titre de séjour, un renouvellement de titre de séjour ou une demande de nationalité française.

Enfin, le troisième symptôme de cette dérive est la perte de pouvoir et d’influence de la CNIL, déjà évoquée plus haut. Alors qu’elle est tenue dans ses missions officielles de vérifier la « bonne » tenue des fichiers, elle s’est progressivement désinvestie de tout contrôle de leur usage a posteriori par la police. Pourtant, par le passé, la CNIL avait pu effectuer des contrôles généraux et demander l’effacement de presque 20 % des données du fichier STIC en 2007²¹« Défavorablement connus », Jean-Marc Manach, cité plus haut. ou, après avoir constaté les multiples erreurs et inexactitudes des fiches, à exiger une refonte des données avant sa fusion avec le JUDEX dans le TAJ en 2011. Mais aujourd’hui, la Commission a changé ses priorités et semble se consacrer principalement à l’accompagnement des entreprises et non plus au contrôle de l’administration étatique. Les seules vérifications de fichiers font suite à des demandes individuelles reposant sur le droit d’accès indirect des particuliers, soit quelques milliers de cas par an, sur plusieurs millions de fiches (ce que la CNIL commente sommairement dans ses rapports annuels²²Voir par exemple, p48 du rapport annuel 2021 de la CNIL, mai 2022).

Ainsi, en pratique, les contraintes censée empêcher le fichage massif et injustifié sont devenues dérisoires face à la masse d’informations collectées et exploitées au quotidien. À travers notre plainte collective, nous voulons pousser la CNIL à retourner à son rôle originel, à imposer les limites de la surveillance d’État et à s’ériger en véritable contre-pouvoir. Le fichier TAJ — qui contient 20 millions de fiches de personnes ayant eu un contact avec la police — est l’exemple même d’un fichier devenu tentaculaire et démesuré, tout agent de police et de gendarmerie pouvant potentiellement y avoir accès. Le fichier TES, quant à lui, est l’incarnation du rêve d’identification biométrique de Bertillon, puisqu’il contient la photographie de toute personne disposant d’un titre d’identité en France, soit la quasi-totalité de la population. Officiellement créé à des fins d’authentification et de lutte contre la fraude, son modèle centralisé et son échelle constituent à eux seuls des sources de risques²³L’Institut national de recherche en informatique et en automatique (Inria), avait publié une intéressante étude sur le fichier TES et les architectures alternatives qui auraient pu être choisies , ce qui a longtemps justifié qu’il ne soit pas mis en place (alors que sa création était souhaitée depuis des années, comme l’explique Jean-Marc Manach dans cet article). Par son existence même, ce fichier fait naître la possibilité qu’il soit utilisé comme base de données policière à des fins d’identification de la population et c’est pourquoi nous en demandons la suppression (plus d’informations sur ces deux fichiers sont développées sur le site de la plainte collective).

Le fichage, porte d’entrée vers la reconnaissance faciale généralisée

L’évolution du fichage en France conduit à un constat amer : la question de l’identification de la population par l’État a été consciencieusement dépolitisée, laissant toute liberté aux pouvoirs publics pour multiplier la collecte d’informations sur chacun d’entre nous, sous prétexte de prévenir tous les dangers possibles. Les limitations pensées dans les années 1970 sont aujourd’hui balayées. Aucune remise en question des moyens et finalités n’est effectuée et les rares fois où le fichage est questionné, il est systématiquement validé par le Conseil d’État qui ne voit jamais rien à redire.La seule réponse juridique aujourd’hui semble individuelle et consisterait à ce que chacun demande le retrait de son nom dans les fichiers d’État (pour cela, la caisse de solidarité de Lyon a fait un excellent travail de recensement des fichiers de police, vous pouvez lire ici leur brochure et utiliser leurs modèles de courrier afin de demander si vous êtes fichés !).

Avec l’apparition des techniques d’intelligence artificielle, et principalement la reconnaissance faciale, ce système de fichage généralisé fait apparaître de nouvelles menaces. Les deux obsessions qui ont motivé le développement du fichage tout au long du XXe siècle, à savoir la capacité d’identifier les personnes et de contrôler leurs déplacements, pourraient aujourd’hui être satisfaites avec le stade ultime de la biométrie : la reconnaissance faciale. En France, la police est autorisée depuis 10 ans à comparer quotidiennement les visages contenus dans la base de données du fichier TAJ à ceux captés par les flux de vidéosurveillance ou provenant de photos sur les réseaux sociaux. En parallèle, le système européen de contrôle d’entrée/sortie, dit EES, dont la création a été décidée en 2017 dans le cadre du projet « frontières intelligentes » (« smart borders ») et qui devrait être mis en œuvre d’ici la fin de l’année 2022, contient une base de données de visages des personnes arrivant de pays tiers. Il a pour but de de remplacer le cachet sur le passeport et rendre automatique le passage aux frontières via reconnaissance faciale²⁴Voir la description du projet sur le site de Thalès : « La biométrie au service des frontières intelligentes » . Toujours au niveau européen, les projets de réforme des base de données Eurodac (concernant les personnes exilées demandeuses d’asile et qui permet déjà aujourd’hui la comparaison des empreintes digitales) et Prüm II (qui prévoit l’interconnexion des fichiers de police des États membres) ont pour but d’inclure l’image faciale.

La généralisation de cette technologie ne pourrait avoir lieu sans la préexistence de mégafichiers et d’une culture de la collecte d’informations, qui sont désormais toutes deux bien établies. Le fichage généralisé est aujourd’hui la porte d’entrée vers la reconnaissance faciale et l’identification des masses par les États. Au-delà de la capacité de surveillance qu’il confère à la police par l’exploitation et la transmission d’informations, c’est la fin de l’anonymat dans l’espace public et le contrôle total des déplacements individuels qui seront permis par le fichage numérique.

Afin de mettre un coup d’arrêt à ce système de surveillance avant qu’il ne soit trop tard, rejoignez la plainte collective sur plainte.technopolice.fr

Le 13 décembre dernier, le Conseil régional d’Île-de-France ouvrait les financements régionaux à l’équipement en drones des polices municipales. À la clé : 300 000 € à disposition des communes franciliennes qui voudraient équiper leurs polices municipales de drones de surveillance. Mais deux obstacles à cela : premièrement, une région n’est pas compétente pour subventionner l’équipement de police municipale car elle ne dispose d’aucun pouvoir en matière de sécurité ; deuxièmement, l’usage de drones par les forces de police municipale a été censuré par le Conseil Constitutionnel et la loi ne les autorise donc pas.

Si juridiquement cette subvention est entièrement illégale, la méthode politique pour la faire passer n’en est pas moins affolante, puisque la majorité régionale n’hésite pas à mentir, affirmant lors des débats sur le budget que de tels drones seraient légaux (alors qu’il n’en est rien, voir notre article).

Face à ce tour de force contraire aux libertés publiques et individuelles, La Quadrature du Net et le groupe de la Gauche Communiste, Écologiste et Citoyenne ont engagé une démarche commune et porté en début d’année un recours devant le tribunal administratif de Montreuil pour tenter de faire respecter l’État de droit.

La droite régionale divisée entre rétropédalage et maintien de ses mensonges

Plusieurs mois après la dénonciation de cette délibération illégale, l’exécutif régional se retrouve embarrassé. D’un côté, Frédéric Péchenard, le vice-président du Conseil régional chargé de la Sécurité et de l’Aide aux victimes, a admis publiquement en commission permanente que ces drones sont bien illégaux et que la région Île-de-France n’engagerait pas les fonds prévus. Mais, de l’autre côté, Vincent Jeanbrun, maire de L’Haÿ-les-Roses et président du groupe régional majoritaire, maintenait ses mensonges en soutenant que le droit actuel autoriserait l’usage de drones par des polices municipales. Peut-être a-t-il oublié l’interdiction, par deux fois, des drones par le Conseil d’État, bien que les élu·es communistes le lui rappellent systématiquement (voir ici et là)…

Quoiqu’il en soit, cette concession de l’exécutif de la région Île-de-France constitue bien une première victoire contre les projets sécuritaires de la droite régionale, très sensible aux lobbys de la Technopolice.

Nouvelle stratégie de la droite régionale : gagner du temps pour sauver son « bouclier de sécurité »

Derrière le financement des drones par la région Île-de-France se cache une autre bataille : celle du programme sécuritaire régional, le « bouclier de sécurité ». Depuis 2016 et l’arrivée de Mme Pécresse à la tête de la région, le Conseil régional finance massivement les équipements de polices municipales et autres programmes sécuritaires. Le financement des drones que nous avons attaqué n’est qu’un minuscule bout de cette technopolice francilienne : armes létales, vidéosurveillance dans les lycées ou encore centre de supervision XXL des caméras de vidéosurveillance.

Et ce recours dérange la région bien au-delà de la question des drones : nous avons mis en évidence l’incompétence d’une région pour financer des équipements de police municipale. Fin 2020, le tribunal administratif de Marseille avait déjà annulé une partie du budget de la région PACA en raison de cette incompétence. Le tribunal administratif de Montreuil pourrait faire de même et mettre fin au financement technopolicier régional, posant ainsi le principe, pour toutes les régions, qu’elles ne peuvent pas financer la Technopolice.

Le préfet de région ne s’était pas non plus trompé sur ce point : par un recours gracieux (c’est-à-dire adressé à la région et non à un tribunal) contre une autre partie de ce « bouclier de sécurité », il mettait en avant l’incompétence de la région pour financer l’équipement d’une police municipale (voir son recours gracieux).

À ce jour, la région n’a toujours pas défendu l’affaire des drones devant le tribunal administratif, c’est-à-dire qu’elle n’a pas répondu aux critiques que nous lui faisons, alors même qu’elle a déjà fait connaître sa position au préfet de région. Ainsi, la droite régionale gagne du temps, afin de retarder le moment où l’affaire sera jugée. Or, tant que l’incompétence de la région ne sera pas formellement affirmée par la justice, et bien que l’exécutif se soit engagé à ne pas utiliser les fonds alloués aux drones, l’ensemble du « bouclier de sécurité » restera en place.

Voilà le niveau de respect démocratique de la droite régionale : l’exécutif francilien sait que la région a prévu un financement de drones illégaux et l’admet, mais s’abstient de le dire au tribunal administratif pour retarder le moment où ce système sécuritaire devra être arrêté.

Ces dernières années, de plus en plus de pouvoirs sont offerts aux polices municipales, dans une logique toujours plus sécuritaire. Le « continuum de sécurité » théorisé par le ministère de l’Intérieur et dans lequel s’engouffre Mme Pécresse n’est qu’un appel du pied à la Technopolice, qui bénéficie alors de multiples financements. Ce recours contre les subventions de drones par la région Île-de-France aura permis de mettre en lumière des années d’illégalité de ces financements franciliens. Dans quelques semaines, La Quadrature lancera une nouvelle étape de lutte contre ces dérives sécuritaires en déposant, à l’occasion du festival Technopolice à Marseille qui se déroulera du 22 au 24 septembre prochains, une plainte collective contre la vidéosurveillance, le fichage et la reconnaissance faciale. Il est encore temps de signer la plainte et de participer à l’action collective !

Il se déroulera du 22 au 24 septembre à Marseille et consistera en des séances de projections de films sur la surveillance des villes et la lutte contre la Technopolice. Les séances seront suivies de discussions croisées avec des chercheureuses, des réalisateurices, les militants et militantes contre la Technopolice, notamment Technopolice Belgique, Technopolice Paris et la Share Foundation, association serbe, qui se bat contre la reconnaissance faciale dans les rues de Belgrade. Au cours du festival vous pourrez participer à une promenade cartographique pour apprendre à repérer les caméras et discuter avec d’autres militants.
Le 24 septembre à 21h30, nous déposerons ensemble la plainte collective contre la Technopolice lancée le 24 mai dernier. Pensez bien à rejoindre la plainte avant cette date !
Le dépôt de la plainte sera suivi d’un concert du groupe de musique marseillais Technopolice et son garage groovy aux accents surf.

Retrouvez le programme du festival sur technopolice.fr/festival

La dernière étape d’un long combat

Entre 2019 et 2021, aux cotés de nos allié·es européen·nes, nous avons mené campagne contre le règlement de « censure terroriste ». Poussé par l’Allemagne et la France, ce texte affichait l’objectif de la lutte contre le terrorisme pour imposer un régime de censure administrative à l’ensemble des acteurs du Web, y compris les petites infrastructures qui construisent l’internet décentralisé. Adopté rapidement, malgré l’opposition de nombreuses associations, le contenu du règlement doit aujourd’hui rentrer dans le droit national français.

Que prévoit exactement ce texte ? Il donne au pouvoir administratif, et donc à la police, la capacité d’ordonner à tout hébergeur de retirer en une heure un contenu qu’elle aura identifié comme à caractère « terroriste ». Ces demandes pourront concerner une multitude de services en ligne, qu’il s’agisse de plateformes, réseaux sociaux, hébergeurs de vidéos ou de blogs, peu importe leur taille dès lors qu’ils sont localisés dans l’Union européenne. Cette injonction sera directement transmise à ces fournisseurs de services, sans que l’intervention d’un juge ne confirme ou non le bien-fondé de la demande. Si des recours sont possibles, ils n’arrivent qu’a posteriori, une fois la censure demandée et exécutée. Et si un contenu n’est pas retiré, une sanction allant jusqu’à 250 000 € par contenu non-retiré, ou 4% du chiffre d’affaires mondial annuel en cas de récidive, pourra être prononcée en France.

En France, l’autorité en charge d’envoyer ces demandes sera l’OCLCTIC, autorité déjà autorisée à demander le blocage de site en 24h depuis 2014 pour apologie et provocation au terrorisme. De plus, les hébergeurs seront tenus, et pourront être forcés par l’ARCOM (nouvelle institution fusionnant le CSA et la HADOPI), de lutter contre la diffusion de ces contenus à caractère « terroriste » sous peine de sanction de 4% du chiffre d’affaire mondial annuel. L’ARCOM pourra notamment demander de mettre en place des « mesures techniques », et les plateformes pourront utiliser des filtres fondés sur l’intelligence artificielle capables de détecter de façon automatisée certaines images ou certains textes dès leur publication.

Un texte dangereux et liberticide

Nous avons dénoncé depuis longtemps les nombreux dangers que présente ce texte. Non seulement la censure n’est ni le procédé le plus utile ou efficace pour lutter contre le terrorisme, mais sa généralisation aura des dommages collatéraux considérables sur le fonctionnement actuel d’internet. Il est évident qu’imposer une obligation de retrait en une heure à des acteurs de petite taille, ayant peu moyens humains et techniques, est irréaliste. Afin d’échapper aux sanctions, ils n’auront pas d’autre choix que d’avoir recours aux outils de détection et de censure automatisée de contenus développés par les géants du web. Ce nouveau mécanisme aura ainsi pour effet de renforcer la place dominante des grandes plateformes qui sont les seules à pouvoir mettre en place ces mesures techniques aujourd’hui.

Aussi et surtout, l’automatisation et la rapidité exigée de la censure renforceront l’invisibilisation d’expressions politiques contestataires et radicales. En effet, la notion de terrorisme est si largement définie dans le règlement qu’elle pourra servir à justifier la censure de discours radicaux ou de toute expression favorable à des actions politiques offensives ou violentes – tels que le sabotage ou le blocage d’infrastructures. Des exemples concrets ont démontré ces dernières années les abus auxquels pouvait mener une interprétation large du « terrorisme » par la police française. Le régime existant de censure administrative en 24h a ainsi pu conduire à bloquer un site militant (décision annulée par la justice l’année d’après) ou à demander le retrait d’une caricature d’Emmanuel Macron sans que l’on ne sache sur quel fondement cette demande zélée avait été faite .

Plus récemment, différentes demandes du gouvernement de dissolution administrative d’association ont illustré l’instrumentalisation de la notion de terrorisme. Ainsi, en avril dernier, le Conseil d’État a annulé la dissolution de deux associations de soutien à la Palestine voulues par le ministère de l’Intérieur. Les juges ont estimé que la manifestation de soutien à une association palestinienne et à des personnes condamnées pour des faits de terrorisme ne constituait pas des « agissements en vue de provoquer des actes de terrorisme en France ou à l’étranger ».

De façon similaire, si le Conseil d’État a validé la dissolution du CCIF (notamment pour des contenus postés par des tiers sur leurs réseaux sociaux) il a retoqué le gouvernement sur l’invocation du terrorisme comme motif de dissolution. Pour les juges, les faits avancés (tels que liens « avec la mouvance islamiste radicale», la contestation d’une arrestation du président d’une association faisant l’objet d’une dissolution ou le maintien en ligne de commentaires antisémites ou haineux) ne pouvaient constituer des « agissements en vue de provoquer des actes de terrorisme  ». Cette jurisprudence est d’ailleurs citée dans le dernier rapport de la « personnalité qualifiée », c’est-à-dire l’autorité chargée d’évaluer la validité des demandes de retrait envoyées à l’OCLCTIC (d’abord rattachée à la CNIL et maintenant à l’ARCOM), signifiant que cette décision pourra servir de critères pour l’analyse des contenus qui lui sont transmis.

Ces exemples sont la preuve que l’administration, dès qu’on l’autorise à qualifier des actes de terrorisme, interprète cette notion de façon trop large et à des fins politiques. À chaque fois c’est l’intervention d’un juge qui permet de corriger ces abus. Pourquoi en serait-il autrement avec ce nouveau mécanisme de censure ?

Le pouvoir décisif du Conseil constitutionnel

Les dangers de ce nouveau régime sont grands et peuvent encore être contrés par le Conseil constitutionnel. Celui-ci n’a d’ailleurs qu’à s’appuyer sur sa propre jurisprudence pour censurer ce texte. En effet, en 2020, alors que le règlement européen de censure n’était pas encore définitivement adopté, le gouvernement français avait voulu forcer l’arrivée d’un compromis sur ce texte en anticipant son application. Il avait alors introduit au dernier moment dans la loi de lutte contre la « haine en ligne » (ou loi Avia) un régime identique de censure administrative en une heure. Mais ce tour de force s’est avéré être un pari perdu : le Conseil constitutionnel l’a jugé contraire à la liberté d’expression, sans ambiguïté.

Pour fonder sa décision, le Conseil estimait, d’une part, que la détermination du caractère illicite des contenus était soumise à la seule appréciation de l’administration. D’autre part, il constatait que si l’hébergeur voulait contester cette décision devant un tribunal, cela ne pouvait avoir d’effet « suspensif » puisqu’il est impossible qu’un juge se prononce en moins d’une heure. Il a ainsi estimé que le pouvoir de retrait et de blocage confié à l’autorité administrative portait une atteinte disproportionnée à la liberté d’expression et de communication.

Deux ans plus tard, des dispositions ayant les mêmes lacunes (qualification par une administration et absence d’intervention d’un juge avant le retrait) sont de retour devant le Conseil constitutionnel. Logiquement et afin d’être cohérent, il devrait appliquer le même raisonnement pour censurer ce dispositif. Mais, le Conseil constitutionnel refusant de contrôler, en principe, la conformité d’un texte européen à la Constitution, le risque ici est fort qu’il se défausse sur le fait que cette loi est directement issue d’un règlement européen et qu’il ne peut vérifier sa constitutionnalité. Néanmoins, il existe quelques exceptions de droit qui lui permettent de jouer pleinement son rôle : nous espérons donc que le Conseil constitutionnel aura le courage politique de mobiliser ces exceptions.

Le Conseil constitutionnel se doit d’examiner la constitutionnalité de la loi qui lui est soumise et juger, de façon identique à sa décision d’il y a deux ans, que le régime de censure administrative voté par le Parlement est inconstitutionnel. S’il s’y refuse, il acceptera que le gouvernement contourne la Constitution et se moque de l’État de droit.

Petit retour historique

28 octobre 2009 : la loi Hadopi 2 ( « relative à la protection pénale de la propriété littéraire et artistique sur Internet ») vient d’être promulguée. Elle fait suite à la loi « favorisant la diffusion et la protection de la création sur Internet », adoptée quelques mois plus tôt (dite loi Hadopi 1). Ensemble, ces deux lois créent la Hadopi (pour « Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ») et, avec elle, le système de la « riposte graduée ». Au 1^er janvier 2022, la Hadopi a fusionné avec le CSA : leur nom est devenu Arcom, mais le fond reste le même.

Avec ce système, l’objectif affiché par le gouvernement est d’« assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ». Pour nous, il s’agit surtout de mettre en place une surveillance massive d’Internet pour cibler les internautes partageant de la musique ou des films sans autorisation (si vous voulez un aperçu des débats, un historique du dossier et la liste des articles publiés par La Quadrature sur le sujet entre 2008 et 2012, on vous renvoie à cette archive).

La Hadopi, comment ça marche ?

Pour fonctionner, c’est-à-dire avertir puis éventuellement sanctionner les internautes qui partagent des œuvres sans autorisation, la Hadopi a besoin de :

• – l’accès à l’adresse IP des internautes qui partagent les œuvres, telle qu’identifiée par des entreprises privées assermentées par le ministère de la culture et mandatées par les ayants-droit des œuvres concernées ;
• – l’accès, à partir de cette adresse IP, aux données d’état civil des personnes ciblées (nom, prénoms, adresse postale, adresse email), obtenues auprès des fournisseurs d’accès Internet (FAI, qui ont selon la loi française obligation de conserver les données de connexion de leurs client-es pendant un an, et l’identité civile pendant toute la durée du contrat) ;
• – la possibilité de traiter toutes ces informations dans un fichier qui regroupe toutes les adresses IP accusées par les ayants-droit d’avoir partagé un fichier ainsi que l’identité civile de l’internaute derrière chaque adresse.

Sans tout ceci, aucun moyen pour l’autorité de remonter à l’identité de la personne ayant partagé une œuvre. Et donc aucun moyen de la contacter et de lui envoyer les emails d’avertissement.

Juridiquement, ce système se base sur différents textes :

• – un article du code de la propriété intellectuelle, qui autorise les agents de la Hadopi à accéder aux données d’état civil à partir de l’adresse IP d’un·e internaute, auprès de son FAI ;
• – un décret d’application de la loi Hadopi qui autorise la création du fichier relatif à la « riposte graduée ».

2019, La Quadrature contre-attaque

En 2019, La Quadrature repartait au front, aux côtés de la Fédération des fournisseurs d’accès Internet associatifs (FFDN), de French Data Network (FDN) et de Franciliens.net. Ensemble, nous avons déposé un recours devant le Conseil d’État pour demander l’abrogation d’un décret d’application de la Hadopi, celui qui autorise le traitement relatif à la riposte graduée. Ce fameux fichier, géré par la Hadopi elle-même, regroupe les informations obtenues auprès des ayants-droits (les adresses IP) et des FAI (l’identité civile). Notre avis était que si ce décret tombait, la Hadopi ne pourrait alors plus continuer sa répression, et la fameuse « riposte graduée » serait vidée de toute effectivité.

Nous appuyions notre recours sur le fait que la riposte graduée est doublement contraire au droit de l’Union européenne. D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par la Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave.

En outre, ce régime français d’accès aux données de connexion est rendu possible grâce à l’obligation de conservation généralisée des données de connexion qui a cours en France. Celui-ci impose aux FAI et aux hébergeurs de conserver pendant un an les données de connexion de l’ensemble de la population. C’est à partir de ces données, et notamment de l’adresse IP, que la Hadopi peut identifier les internautes « contrevenant·es ».

Or, ce régime de conservation généralisée des données de connexion est tout simplement contraire au droit de l’Union européenne. En effet, la Cour de justice de l’Union européenne a rendu en 2014, en 2016, en 2020 et en 2022 quatre arrêts qui s’opposent clairement à toute conservation généralisée et indifférenciée des données de connexion. En 2021, la CJUE a également rappelé que l’accès à ces données par les autorités ne peut se faire qu’à deux conditions cumulatives : s’il s’agit d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante (pour plus de détails, voici comment nous avions présenté l’affaire début 2020).

Histoire d’enfoncer le clou, nous avions aussi profité de ce recours pour poser une question prioritaire de constitutionnalité relative au régime légal d’accès aux données de connexion (adresse IP et identité civile) par la Hadopi. Le mécanisme de la question prioritaire de constitutionnalité (QPC) permet de demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci est cruciale pour la résolution d’un litige. Ici, le décret de la Hadopi qui crée le fichier servant à collecter des adresses IP et l’identité civile dépend de la légalité de la loi qui autorise une telle collecte. Le Conseil d’État a donc transmis notre QPC au Conseil constitutionnel début 2020.

2020, une censure partielle et boiteuse par le Conseil constitutionnel

En mai 2020, le Conseil constitutionnel rend sa décision suite à notre question prioritaire de constitutionnalité. Et le moins qu’on puisse dire c’est que cette décision est tordue. Accrochez-vous, ça n’est pas simple à comprendre au premier abord…

Au lieu de simplement déclarer notre fameux article de loi « conforme » ou « non conforme » à la Constitution, le Conseil constitutionnel a décidé de le réécrire. Cet article (que vous pouvez aller lire ici si le cœur vous en dit) autorisait en effet dans ses alinéas 3 et 4 la Hadopi à pouvoir accéder à « tous documents » nécessaires à sa mission répressive, avant de préciser dans le dernier alinéa que les agents de la Hadopi « peuvent, notamment, obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné [ciblé] ». Dans sa décision, le Conseil constitutionnel a réécrit cet article en censurant l’alinéa autorisant l’accès à « tous documents » ainsi que le terme « notamment ». À première vue, cela pourrait sembler plutôt cosmétique… mais cela revient en réalité à ne laisser à la Hadopi que l’accès aux données cités juste après le « notamment » censuré, c’est-à-dire l’identité, l’adresse postale, l’adresse mail et le numéro de téléphone de la personne concernée. Lors de la publication de cette décision le 20 mai 2020, nous avions d’abord cru à une victoire franche, avant de réaliser après quelques heures d’analyse et de débats que cette victoire n’était pas forcément immédiate. La décision restreignait certes la liste des données accessibles aux agents de la Hadopi mais elle ne se prononçait pas explicitement sur les conséquences de cette restriction quant à la possibilité ou non pour la Hadopi de continuer à fonctionner.

Petit couac pour la Hadopi : cette liste n’évoque pas l’adresse IP dans les données auxquelles l’autorité est autorisée à accéder. Est-ce à dire que l’accès par la Hadopi aux adresses IP des internautes « contrevenant·es » serait illégal, et que le décret qui permet d’enregistrer ces adresses IP ne reposerait plus sur rien suite à cette censure partielle du Conseil constitutionnel ? C’est ce que nous affirmons aujourd’hui devant les juridictions.

La Hadopi peut-elle encore faire son travail légalement ?

Suite à la décision du Conseil constitutionnel, notre interprétation est qu’en l’état la Hadopi ne peut plus faire légalement son travail, en accédant aux adresses IP alors même que la loi telle que censurée ne le permet plus. Mais ça n’est pas l’avis du gouvernement ni de la Hadopi qui persistent à affirmer que l’article censuré par le Conseil constitutionnel ne concernait pas la collecte par les agents assermentés (les ayants-droit) des adresses IP.

En tout cas, en mai 2021, le Conseil d’État a programmé l’audience de notre recours en catastrophe, ne nous prévenant qu’une semaine à l’avance. Nous avons alors produit, en urgence, un nouveau mémoire, basé sur deux points :

• – la Hadopi n’a selon nous plus de base légale pour traiter les adresses IP depuis la censure par la Conseil constitutionnel ;
• – de toute façon, l’accès aux adresse IP par la Hadopi est disproportionné puisqu’il ne s’agit jamais que de contraventions et non de criminalité grave (seul cas prévu par le droit européen pour accéder à ces données) et qu’il n’y a pas de contrôle indépendant préalable à cet accès ;

Après un premier report d’audience, le Conseil d’État a décidé de botter en touche et de transmettre à la Cour de justice de l’Union européenne une « question préjudicielle » (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation. Par cette démarche, le Conseil d’État demande en réalité à la CJUE d’assouplir sa jurisprudence concernant l’accès à l’identité civile. Cela nous rappelle un triste précédent : en 2018, le Conseil d’État avait également préféré, par une question préjudicielle, demander à la CJUE d’assouplir sa jurisprudence relative à la conservation des données de connexion plutôt que de déclarer le droit français contraire au droit de l’UE, et avait fini, lorsque celle-ci refusa de se plier aux souhaits sécuritaires français, par opter pour un Frexit sécuritaire plutôt que de respecter le droit de l’UE.

L’audience concernant cette question préjudicielle est prévue devant la CJUE aujourd’hui, mardi 5 juillet, et elle revêt pour nous différents enjeux.

D’abord, nous espérons que la CJUE réintégrera dans sa décision les enjeux de la conservation des données de connexion et de l’accès à l’adresse IP des internautes, que le Conseil d’État a mis de côté. Et pour cause : il n’a pas respecté la décision prise par la CJUE sur ce sujet en octobre 2020 ! Nous avons donc besoin que la CJUE profite de cette occasion pour rappeler au Conseil d’État que la conservation généralisée des données de connexion existante en France est contraire au droit de l’Union européenne, et que l’exception créée par la France pour contourner ce point n’a pas lieu d’être.

Nous espérons aussi que cette décision ne laissera pas la possibilité au Conseil d’État de créer une « exception Hadopi » en France. Nous craignons pourtant qu’il veuille contourner l’exigence selon laquelle un accès aux données de connexion (ici l’adresse IP et l’identité civile associée à une communication) n’est possible qu’aux fins de lutter contre la criminalité grave, de même que l’exigence d’un contrôle préalable indépendant à l’accès à ces données.

Si cette affaire a pris une ampleur assez surprenante (en 2019, nous n’imaginions pas forcément arriver devant la CJUE), elle nous offre une opportunité assez exceptionnelle de faire d’une pierre deux coups, et pas des moindres ! Priver notre adversaire originelle de son pouvoir de nuisance puis, en rebondissant vers nos luttes plus récentes, rétablir notre droit à l’anonymat sur l’ensemble du Web (pas uniquement contre la Hadopi mais aussi contre la police et les services de renseignement). Face à une opportunité aussi rare qu’étonnante, ne le cachons pas : l’enthousiasme est au rendez-vous.

Le cas de Putanges-le-lac : une mobilisation contre la vidéosurveillance en milieu rural

En 2022, les habitants et habitantes de cette commune de Normandie ont appris par la presse que la mairie désirait installer 21 caméras pour les quelques 2400 âmes. Le collectif Vivre Ensemble Putanges s’est monté pour alerter la population et lutter contre l’installation de ce système de vidéosurveillance, prévu ici pour surveiller le lac de la commune, les ordures et la conduite de mobylettes, le tout pour 200 000€. S’en est suivi le lancement d’une une pétition, des tractages sur les marchés, une tentative de dialogue avec la municipalité pour signifier l’opposition de nombre d’habitantes et habitants à ce projet et questionner l’utilité d’un tel dispositif, le tout sans grande réponse. Une des solutions trouvées pour tenter de ralentir le projet fut de lancer un recours devant le tribunal administratif de Caen en contestant l’autorisation préfectorale de ces caméras.

Le recours se base sur trois arguments : tout d’abord, la municipalité n’a pas prouvé l’utilité d’un tel déploiement. Ensuite, c’est un dispositif disproportionné en terme de nombre de caméras. Enfin, il existe un soupçon de conflit d’intérêt avec le dirigeant de l’entreprise ayant conseillée la commune pour son projet de vidéosurveillance, qui siège également à la commission saisie par la préfecture avant de valider l’installation de caméras.

Même si, selon le maire de la commune, Sébastien Leroux, « Il n’y a pas à avoir peur d’être surveillé » et malgré les tentatives de discussion du collectif et la mobilisation des putangeois et puteangoises, le projet continue.

Lire le communiqué de presse de Vivre Ensemble Putanges en date du 30 mai 2022

Le cas de Putanges-le-lac est hélas ordinaire : de plus en plus de petites et moyennes communes décident, pour diverses raisons – en cédant à la pression des assurances, des gendarmes ou de la préfecture, pour faire comme les autres, par facilité politique, pour faire plaisir à des entreprises locales, etc – de dépenser des sommes conséquentes pour installer des caméras de vidéosurveillance.

Comment a-t-on pu arriver en 2022 à cette expansion insensée des caméras de vidéosurveillance, et ce, jusqu’aux territoires les moins densément peuplés, pour lutter entre autres contre « le dépôt d’ordure sauvage » ? Comment expliquer qu’il existe, au bas mot, 1 million de caméras surveillant l’espace public si elles ne sont pas efficaces pour veiller à la sécurité des habitants et habitantes des villes et lutter contre ce qui est appelé « délinquance » ?

Retour historique du déploiement de la vidéosurveillance

Les caméras de vidéosurveillance dans l’espace public se sont déployées en France pour la première fois à Levallois Perret en 1991. C’est ensuite quelques années plus tard, au travers de la loi d’orientation et de programmation relative à la sécurité de janvier 1995 (dite « LOPSI »), qu’un premier cadre légal est venu les encadrer. Après un lent développement, c’est sous la présidence de Nicolas Sarkozy qu’un décret de 2007 en promeut l’utilisation et généralise leur installation un peu partout dans les métropoles et villes françaises, en en faisant « le choix prioritaire de la vidéosurveillance » ¹https://www.cairn.info/revue-deviance-et-societe-2016-1-page-25.htm. Depuis lors, les métropoles françaises sont suréquipées et dépensent sans compter pour de nouvelles caméras toujours plus performantes, un réseau toujours plus connecté via la fibre, et un centre de surveillance le plus à la pointe possible, sans compter tous les opérateurs vidéos qui observent les écrans 24h/24 à la recherche d’incivilités, de mouvement de foule ou de petit vols.

En 2011, c’est la promulgation de la loi « LOPPSI 2 qui marque une nouvelle étape – le texte remplace notamment le terme « vidéosurveillance » par le terme « vidéoprotection ». Dans son annexe, la loi entend tripler le nombre de caméras de vidéosurveillance de la voie publique. C’est un texte d’une grande ambition sécuritaire qui, en plus, autorise le blocage de sites web par le ministère de l’Intérieur, prévoie la fusion des fichiers de police et de gendarmerie (STIC et JUDEX) en un méga fichier (qui deviendra le TAJ), tout en appelant à « trouver les solutions innovantes dans des domaines tels que […] la vidéoprotection intelligente [ou] la reconnaissance faciale ». À ce moment, la Cour des comptes évalue à 10 000 le nombre de caméras de vidéosurveillance sur la voie publique.

La vidéosurveillance s’est d’abord développée dans les métropoles, parfois de manière extrêmement rapide, comme à Toulouse : en 2014, la ville comptait une vingtaine de caméras. Elle en compte aujourd’hui plus de 400. Cet accroissement soudain, sous la mandature de Jean-Luc Moudenc, est allé de pair avec une politique sécuritaire et répressive volontaire ²https://www.francebleu.fr/infos/societe/securite-mobilite-equipements-les-objectifs-de-jean-luc-moudenc-pour-mieux-vivre-a-toulouse-1631695380.

Tous les six ans, la Gazette des communes réalise un classement des cinquante villes les plus vidéosurveillées. En 2020, le nombre de caméras dans les communes les plus équipées avait plus que doublé par rapport à 2013. Aujourd’hui, il n’existe pas de chiffre officiel quand au nombre de caméras présentes dans l’espace public, qu’elles soient à l’initiative d’un acteur privé ou bien d’une collectivité. La dernière tentative de comptabilisation a été réalisée en 2012, soit il y a plus de 10 ans, par la CNIL, qui comptait 800 000 caméras présentes dans l’espace public en France ³https://www.lesinrocks.com/actu/les-cinq-chiffres-fous-de-la-videosurveillance-22359-21-06-2012/. Il reste difficile d’estimer leur nombre actuel, mais au vu de l’engouement manifesté par de nombreuses villes et de l’important lobbying des entreprises concernées, on imagine facilement que ce nombre a fortement augmenté. Comment expliquer cet engouement pour la vidéosurveillance ?

Des villes aux campagnes, une surveillance absurde

Aujourd’hui, les caméras sont un moyen d’action totalement accepté et considéré comme légitime dans les politiques publiques, peu importe l’échelle (des collectivités territoriales aux grandes politiques de subventions étatiques de la vidéosurveillance). Et si les questions écologiques, politiques et philosophiques sont totalement écartées du débat public dominant, l’efficacité réelle de la vidéosurveillance l’est aussi. Les rares études⁴ voir le rapport sur les polices municipales, octobre 2020 disponible sur https://www.ccomptes.fr/system/files/2020-11/20201020-rapport-polices-municipales_0.pdf ou encore celle de Guillaume Gormand commandée par le CREOGN https://www.aefinfo.fr/depeche/663759-pour-le-chercheur-guillaume-gormand-critiquer-la-videosurveillance-c-est-s-attaquer-a-une-religion qui analysent l’effet concret – et dérisoire – des caméras ne sont jamais mobilisées par les acteurs qui les mettent en place, tout comme les sommes faramineuses dépensées dans le tout sécuritaire sont passées sous silence.

« La littérature académique, en France et à l’international (Groombridge, 2008 ; Gill et al. 2005), a démontré que la vidéosurveillance n’a pas d’impact significatif sur la délinquance. Elle est plus souvent utilisée pour des raisons différentes que les motifs mis en avant lors de son installation. En effet, elle sert moins à lutter contre les vols et les cambriolages qu’à des fins de gestion urbaine et de vidéoverbalisation comme l’ont pointé notamment Elodie Lemaire ou Laurent Mucchielli. » ⁵ https://linc.cnil.fr/fr/comment-la-videosurveillance-se-developpe-t-elle-dans-les-villages

Pour expliquer ce hiatus, le laboratoire de recherche de la CNIL, le LINC, évoque la construction d’un système de production de croyance en l’efficacité de la vidéosurveillance. Cela signifie que c’est à travers la mobilisation et l’engouement de différents acteurs pour la vidéosurveillance que se construit cette croyance dans son efficacité et son utilité politique : préfets, gendarmes, élus, assurances, presse, entreprises… il existe une concordance de discours qui pointe la vidéosurveillance comme une solution toute trouvée.

Si tout ce monde partage les prétendus bienfaits de la vidéosurveillance, c’est aussi parce que ces acteurs y trouvent leur intérêt :

L’installation de caméras permet aux municipalités de facilement capitaliser sur ces dispositifs : la sécurité est une ressource rentable politiquement, tant comme facteur d’attractivité territoriale pour la commune que comme une mesure de court terme pouvant prétendre répondre à des problématiques sociales. En période d’élections locales notamment, la sécurité est un capital politiquement valorisable car c’est une mesure quantifiable, chiffrable et facilement mise en avant.

Du côté des entreprises de la sécurité, la vidéosurveillance représente un marché très lucratif, le secteur est en constante expansion (10% de croissance par an de prévus) : il représentait 45 milliards d’euros en 2020 et pourrait représenter jusqu’à 75 milliards d’ici 2025.

Et si aujourd’hui les grandes et moyennes villes continuent à s’équiper et à renouveler l’infrastructure de vidéosurveillance, désormais les nouveaux débouchés de ce marché des équipements sécuritaires se trouvent en zones rurales. À peu près n’importe quel fait divers peut servir à justifier l’installation de vidéosurveillance et à la mettre à l’agenda : un vol dans une boulangerie, des poubelles trop remplies, des petits délits routiers. Ici comme dans d’autres domaines, on assiste à une fuite en avant technologique, basée sur la croyance aveugle dans le progrès technique comme solution à tout. Aujourd’hui, cette fuite en avant franchit une nouvelle étape : celle de l’algorithmisation de la surveillance et de la sécurité.

Aujourd’hui en ville : l’automatisation de la sécurité urbaine numérique

Depuis le lancement de la campagne technopolice, nous avons constaté un peu partout en France la présence d’« expérimentations », pour tenter de rendre plus acceptable le déploiement de certaines technologies de surveillance et aussi pour légitimer leur opacité. Aujourd’hui, nous voyons le déploiement de la technopolice se répandre et s’imposer de plus en plus. Et la technopolice repose grandement sur cette infrastructure qu’est la vidéosurveillance.

Dorénavant, n’importe quel fait divers est instrumentalisé pour tenter de rendre acceptable l’idée que la Technopolice serait une solution à des problématiques humaines et sociales. Dernier exemple en date : pour masquer la désorganisation et les violences de la police aux abords du Stade de France dans l’actualité récente, la solution serait, d’après C. Estrosi, de généraliser la reconnaissance faciale à l’entrée des stades.

Cette volonté de généralisation de la technopolice, et notamment de la vidéosurveillance algorithmique, est présentée par ses promoteurs comme une nouvelle étape dans la surveillance. D’après eux, il y aurait trop de caméras pour qu’on soit à même de toutes les regarder. Il peut aussi y avoir des erreurs, des oublis, un manque de concentration de la part des opérateurs humains derrière les caméras. il faudrait maintenant passer au niveau supérieur : des algorithmes pour dire aux opérateurs vidéos quoi regarder et quoi voir sur ces caméras.

Ce discours sert plusieurs intérêts : tout d’abord, il justifie l’achat d’encore plus de caméras, pour mailler le territoire, et pousse à adjoindre une couche algorithmique pour tenter de rendre – enfin – efficaces tous ces objets technologiques qui seraient aujourd’hui inutiles car dénués d’intelligence artificielle. Cette rhétorique est également révélatrice de l’inutilité de cette politique pro-caméras en cours depuis plusieurs dizaines d’années. Et quel espoir laisse penser que les caméras algorithmiques seraient plus efficaces que les précédentes ? Si ce n’est, encore, une croyance aveugle en la technologie comme solution à tout ?
S’il y a vraiment trop de caméras pour qu’on puisse regarder tout ce qu’elles filment, et que sans cette couche d’algorithme elles sont en fait peu utiles, alors enlevons-les !

Peu importe que, politiquement, mettre des caméras soit significatif d’une infantilisation de la population, qu’elles ne fassent que donner plus de pouvoir à une police qui en possède déjà trop, qu’elles coûtent un pognon monstre, qu’elles ne servent à rien, qu’elles s’inscrivent et participent au désastre écologique notamment par les infrastructures qu’elles légitiment à construire… Tout est bon à prendre pour le néolibéralisme autoritaire qui voit dans le numérique et la dématérialisation une nouvelle étape du capitalisme.

Conclusion :

Ce qui se joue à Putanges, comme ailleurs, c’est l’introduction sur un territoire d’un outil technologique présenté comme une solution évidente parce qu’inscrit dans un système de croyances largement alimenté par les acteurs institutionnels et privés. Au-delà de la surveillance impliquée par les caméras, de l’infantilisation et de la délégation à des objets froids du vivre ensemble et de ce qui nous fait commun, c’est tout un système néolibéral et autoritaire que cet outil sert. Le passage à l’échelle technologique en cours tente de justifier l’existence même des caméras de vidéosurveillance, d’où l’importance de lutter et soutenir les collectifs qui combattent ce déploiement sur lequel repose une grande part de l’infrastructure de surveillance de la police : les caméras en elles-mêmes, notamment quand elles sont reliées aux fichiers et aux algorithmes.

Rejoignez la plainte contre le ministère de l’intérieur qui attaque le fichage, la vidéosurveillance, et les algorithmes de la police, dont fait partie la reconnaissance faciale, ici plainte.technopolice.fr

Rejoignez la plainte sur plainte.technopolice.fr. Vous y trouverez le détail de notre argumentaire et de la procédure.

En résumé, il s’agit d’une procédure similaire à celle que nous avions engagée il y a 4 ans devant la CNIL contre les GAFAM. Ces plaintes collectives avaient réuni 12 000 personnes et conduit à quelques belles victoires, telle que l’amende record de 746 millions d’euro contre Amazon (les autres plaintes sont encore en cours de traitement).

Aujourd’hui, nous attaquons l’État français pour demander l’arrêt de quatre dispositifs de surveillance :

• les caméras de surveillance installées depuis plus de 20 ans dans toutes les villes de France, qui n’ont cessé de démontrer leur inutilité (et donc leur illégalité) ;
• les logiciels qui s’ajoutent à ces caméras, dans le but de détecter des comportement « indésirables » (mendicité, maraude, regroupement, tag…) pour aseptiser nos villes et en exclure les personnes les plus vulnérables ou encore les activistes politiques ;
• les fichiers de police enregistrant nos visages, qu’il s’agisse du TAJ (« traitement des antécédents judiciaires »), qui contient 8 millions de photos de personnes connues de la police, ou du TES (« titres électroniques sécurisés »), qui contient la photo de toute personne demandant un passeport ou une carte d’identité ;
• l’utilisation de la reconnaissance faciale par la police (plus de 1 600 fois par jour en 2021) et par les services de renseignement, qui est en train d’abroger l’anonymat dans l’espace public.

Le but de notre action n’est pas uniquement juridique : il s’agit aussi d’imposer un rapport de force politique dans un contexte où ces technologies s’imposent dans l’opacité la plus totale. Unissons-nous massivement pour reprendre notre place dans le débat public et faire savoir que la Technopolice est illégale et doit le rester.

Rejoignez notre plainte collective sur plainte.technopolice.fr.

Naviguer sur un site sécurisé sur Internet est rendu possible grâce à une série d’opérations de vérification et d’audits de sécurité. Ceci permet de s’assurer que le site est bien celui qu’il prétend être et que les informations qui transitent entre le navigateur et le site en question sont chiffrées de manière confidentielle.

Pour cela, le navigateur web vérifie deux choses :
1) que le certificat TLS d’authentification utilisé par le site sécurisé est valide et digne de confiance.
2) que l’Autorité de certification qui a validé et signé ce certificat est digne de confiance.

Si ces conditions ne sont pas réunies, le navigateur vous préviendra que le site est peut-être malveillant. Ce sont les fameux messages que vous avez sans doute déjà rencontrés : « Attention risque probable de sécurité » sur Firefox ou « Votre navigation n’est pas privée » sur Chrome.

Si une Autorité de certification rencontre des défaillances en termes de sécurité, il devient possible pour des acteurs malveillants d’émettre des faux certificats TLS, par exemple pour des sites très fréquentés comme www.google.com. Les attaquants peuvent ensuite consulter le trafic des internautes qui tapent leur requête sur le site malveillant qui se fait passer pour www.google.com. Ce type d’attaque a été conduit par le passé contre de multiples Autorités de certification en raison de failles de sécurité sur leurs systèmes (par exemple DigiNotar CA et Comodo CA en 2011).

Des acteurs étatiques malveillants qui veulent mener des opérations de surveillance de masse dans leur pays peuvent aussi créer et contrôler une Autorité de certification pour contourner les protocoles de sécurité sur Internet. Tous les certificats émis par l’Autorité de certification en question peuvent alors potentiellement être utilisés pour espionner les communications des internautes ciblés.

Pour limiter les risques pour leurs utilisateur·rice·s, les navigateurs web auditent et sélectionnent de manière indépendante les Autorités de certification qui sont jugées dignes de confiance. Les critères de validation sont consultables en ligne, tel le « Root Program » de Mozilla ou celui d’Apple.

En cas de problème de sécurité, les navigateurs peuvent décider de ne pas inclure ou de retirer une Autorité de certification de leurs listes. Par exemple, une Autorité de certification gérée par le gouvernement du Kazakhstan a été bloquée de concert par Google, Apple et Mozilla en 2019. Autre exemple en 2014, lorsque Google avait détecté des faux certificats pour des noms de domaines de Google émis par le centre national d’informatique du gouvernement indien suite à une faille de sécurité : ceux-ci étaient alors inclus dans le « Root Store » de Microsoft, qui a dû les révoquer.
Le processus d’évaluation pour révoquer ou rejeter une Autorité de certification est particulièrement transparent dans le cas des programmes publics à but non lucratif : Mozilla documente ainsi publiquement les audits et les problèmes rencontrés, comme dans le cas de la révocation en 2019 du CA français Certinomis.

Que propose la nouvelle révision du règlement eIDAS ?

La version initiale du règlement eIDAS a été adoptée en 2014 pour fournir « la base des procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE » (dossier de presse).
Concrètement, le règlement a pour ambition de réguler la manière dont les transactions électroniques s’effectuent au sein de l’Union Européenne, en établissant, pour citer l’ANSSI, un « socle commun pour les interactions sécurisées entre les citoyens, les entreprises et les autorités publiques ».

La section 8 du règlement est dédiée à l’ « Authentification de site internet ». L’article 45 présente les « Exigences applicables aux certificats qualifiés d’authentification de site internet » qui sont fixées à l’annexe IV. Ces certificats qualifiés (« Qualified Web Authentication Certificates », ou QWAC en anglais) sont délivrés par des prestataires de service de confiance (« Trust Service Providers » ou TSP) régis par le règlement eIDAS et qui sont des Autorités de certification soutenues par les gouvernements des États membres de l’Union Européenne.

L’article 45.2 de la proposition de révision pose que « Les certificats qualifiés d’authentification de site internet visés au paragraphe 1 sont reconnus par les navigateurs internet. À cette fin, les navigateurs garantissent que les données d’identité fournies au moyen de l’une des méthodes s’affichent de manière conviviale. À l’exception des entreprises considérées comme des micro et petites entreprises au sens de la recommandation 2003/361/CE de la Commission pendant leurs cinq premières années d’activité en tant que prestataires de services de navigation sur internet, les navigateurs acceptent les certificats qualifiés d’authentification de site internet visés au paragraphe 1 et garantissent l’interopérabilité avec ces derniers. »

Ceci implique que les navigateurs webs sont légalement tenus de reconnaître ces certificats qualifiés comme valides, et donc d’intégrer dans leur liste de confiance les prestataires de service de confiance régis par eIDAS.

Quelles sont les conséquences de cette révision pour les internautes ?

Malheureusement, ces certificats qualifiés d’authentification posent plusieurs problèmes de sécurité et d’interopérabilité dans leur modèle d’implémentation. Depuis leur introduction en 2014, ils n’ont donc pas été adoptés dans l’écosystème web. La Common CA Database, une initiative rassemblant plusieurs éditeurs de navigateurs web autour de la gestion des Autorités de certification et gérée par la fondation à but non-lucratif Mozilla, expose en détails les problèmes techniques rencontrés par les navigateurs avec les spécifications proposées pour les certificats qualifiés : notamment son absence de compatibilité avec le fonctionnement technique des navigateurs web et du déploiement de TLS sur les site, ainsi que ses manques en terme de respect de la vie privée des internautes.

Concrètement, l’article 45.2 reviendrait à obliger les navigateurs web à accepter des prestataires de service de confiance régis par eIDAS, même s’ils ne remplissent pas les critères de sécurité exigés habituellement par les navigateurs. Le risque que des certificats soient émis et utilisés à des fins malveillantes par des cybercriminels serait accru. C’est sur quoi alertent trente-cinq experts mondiaux en cybersécurité et en cryptographie dans une lettre ouverte adressée aux membres du Parlement Européen et publiée sur le site de l’organisation à but non lucratif Electronic Frontier Foundation en mars 2022.

Pire, si une Autorité de certification intégrée à la liste de confiance des navigateurs est vulnérable à des problèmes de sécurité, les navigateurs web ne seraient pas légalement en mesure de refuser ou de retirer l’Autorité de certification de leur liste de confiance pour protéger les internautes.

Par ailleurs, les connaissances techniques en sécurité peuvent vite évoluer : la découverte d’une nouvelle faille de sécurité peut requérir une réponse rapide de la part des éditeurs de navigateurs web afin de protéger les internautes, par exemple en retirant une Autorité de certification du « Root Store ». De plus, les règles de gestion des « Root Store » sont mises à jour régulièrement afin de suivre les évolutions technologiques et se protéger contre les tentatives des acteurs malveillants qui tentent de les contourner. Cette réactivité (quelques semaines) n’est malheureusement pas compatible avec les délais requis pour des changements législatifs (un an ou plus).

Enfin, si elle était adoptée, cette proposition de révision du règlement eIDAS créerait un précédent au niveau mondial. Les navigateurs web pourraient dès lors difficilement refuser ou retirer une Autorité de certification racine provenant d’un autre gouvernement qui ne respecterait pas les critères de sécurité requis. Des tentatives précédentes, au Kazakhstan comme mentionné précédemment ou en Iran comme l’explique l’ONG Article19, prouvent qu’il s’agit d’un danger bien réel. Autre exemple plus récent : suite au retrait de plusieurs Autorités de certification en Russie pour sanctionner la guerre qu’elle mène en Ukraine, le gouvernement russe a dû mettre en place une Autorité de certification de remplacement pour assurer le fonctionnement de plusieurs de ses sites web et a demandé aux internautes d’autoriser manuellement cette Autorité au sein de leur navigateur. Si cette opération peut être justifiée par un motif légitime et qu’il n’y pour l’instant aucune preuve qu’elle ait été rendue obligatoire et utilisée à des fins de surveillance, elle a aussi pour conséquence de rendre possible, justement, la surveillance de masse de la population russe comme le souligne l’Electronic Frontier Foundation.

Bien que cela ne soit clairement pas l’intention visée, la proposition du règlement eIDAS risque de normaliser des dispositifs jusque-là largement condamnés au sein de l’Union Européenne et hors de ses frontières.

Par ailleurs, ce n’est pas la première fois que l’Union Européenne cherche à intervenir directement sur les technologies et l’infrastructure d’Internet. Les controverses autour de la nouvelle directive Network and System of Information Security (NIS2), de la proposition d’établissement d’un DNS européen DNS4EU ou même du Digital Service Act témoignent de cette nouvelle volonté d’intervention directe de l’UE sur les technologies/l’infrastructure et de sa légitimation à travers des biais sécuritaires et économiques, mais qui peuvent aussi avoir des conséquences dommageables sur l’interopérabilité des systèmes et la sécurité des internautes.

Nous nous joignons donc à Mozilla et à l’Electronic Frontier Foundation pour alerter sur les dangers introduits par l’article 45.2 de la proposition de révision du règlement eIDAS.
Nous appelons en conséquence le gouvernement et les élus français à demander la modification ou le retrait de l’article 45.2 afin que les navigateurs web restent en mesure de protéger les internautes en appliquant des standards élevés en termes de sécurité et de transparence.

Avant toute chose, il faut considérer quel est votre domaine d’intervention, et la raison de la coupure (pour ça on vous renvoie à notre article précédent). Si c’est une coupure logicielle, une censure, il est possible de la contourner en utilisant un VPN, ou de tenter une connexion via le logiciel Tor. Si vous savez faire, vous pouvez même mettre en place un serveur VPN.

Mais parfois ce sont les câbles qui sont endommagés, comme l’actualité récente nous le rappelle. Et, même si ces câbles sont toujours présents, il se peut que des militant·es ou des résistant·es aient décidé de s’attaquer à des infrastructures contrôlées par le gouvernement, auquel cas il ne faut pas forcément s’attendre à ce que la connexion soit rétablie rapidement.

Alors, en fonction de votre contexte, il faudra décider quelle serait la marche à suivre la plus utile : vous reconnecter à l’Internet mondial directement, ou plutôt créer un réseau de communication Internet local. Créer un réseau de communication local, sous le contrôle de votre communauté, peut être réalisé avant la coupure, pour l’anticiper, et il pourra être raccordé dans un second temps à l’Internet global, si vous vous trouvez dans un contexte ne le permettant pas dans l’immédiat.

Nous allons donc étudier comment nous ferions pour créer un réseau Internet local sous notre contrôle dans un premier temps. Puis nous verrons comment nous raccorder au reste de l’Internet. Au passage, nous verrons des solutions qui nous permettent de nous reconnecter à l’Internet global en urgence, sans avoir besoin de créer un nouveau réseau de toutes pièces.

Pour créer un réseau, le plus utile serait d’interconnecter votre quartier, votre village ou votre immeuble. Vu qu’il est rare d’avoir accès à de la fibre optique et que trouver une quantité de câbles suffisante sera compliqué dans l’urgence, il s’agit plutôt ici d’une tactique à moyen-long terme. Évidemment, faire des stocks au cas où n’est peut-être pas une mauvaise idée.

L’Internet n’étant qu’un assemblage de réseaux (Inter-Net), construire votre partie d’Internet n’est pas si difficile : vous en avez déjà un bout chez vous aujourd’hui. En cas de coupure, vous pouvez jeter un câble par la fenêtre, le brancher chez votre voisin·e, et vous voilà reparti·e.

Une solution possible serait d’aménager des points d’accès dans votre quartier, reliés entre eux par des câbles Ethernet, eux-mêmes reliés par des routeurs, le tout complété par des bornes Wi-Fi et des serveurs pour héberger des services de stockage et d’échange de données. Un bon exemple est la PirateBox, un système que n’importe quel ordinateur peut héberger et qui contient un forum, un tchat en temps réel et un service d’échange de fichiers.

C’est cette solution qui a été mise en place à Cuba, où l’Internet a été posé dans les villes par les habitant·es. Avec des switchs Ethernet, de vieux PCs et des câbles Ethernet courant d’une maison à une autre, les cubain·es ont installé ce qu’iels appelaient le Street-Net.

Et en Europe ?

L’AMAP des Internets

Pour des raisons de rentabilité et à cause de choix de politique industrielle, les quatre gros Fournisseurs d’Accès Internet français laissent de côté certaines personnes, notamment les personnes dont le droit au logement est bafoué. C’est là que les FAI associatifs jouent un rôle essentiel. Les FAI associatifs, en France comme ailleurs dans le monde, fonctionnent sans une logique de profit, mais en répondant aux besoins de leurs adhérent·es. Pour la petite histoire, le plus ancien fournisseur d’accès à Internet en France qui soit encore en activité aujourd’hui est un FAI associatif fondé en 1992 : il s’agit de French Data Network.

En Allemagne, ou en Catalogne, des réseaux similaires existent ; Guifi et Freifunk, qui permettent s’assurer une communication numérique sur des centaines de milliers de foyers même en cas de panne globale d’internet. Un article, écrit par un Jean-Noël Montagné sur son blog en dresse le portrait.

Nous avons rencontré Sacha, membre d’Aquilenet, un Fournisseur d’Accès Internet associatif bordelais. Aquilenet fait partie d’une fédération de FAI, dont FDN fait également partie, ce qui leur permet de partager une partie de leur infrastructure technique. Si un FAI a des soucis, la solidarité entre les membres de la fédération lui permettra de continuer à exister. C’est en contraste total avec la compétition entre FAI commerciaux. Les AMAP (Associations pour le Maintien d’une Agriculture Paysanne) fonctionnent également sur une principe de coopération entre fournisseurs et consommateurs, d’où ce rapprochement.

L’auto-organisation commune des FAI associatifs, des militant·es du logement et des personnes dont les droits au logement ne sont pas respectés, leur permet d’être en ligne malgré tout. Eux vivent au quotidien la coupure que nous redoutons tou·tes, voyons comment iels font face à cette situation.

Tu dis avoir installé l’Internet dans un squat, est-ce que tu pourrais nous dire pourquoi est-ce que des FAI classiques ne pouvaient pas le faire ?
Les FAI classiques peuvent le faire, mais leur procédure ne le permet pas, notamment sur les aspects bancaires. Quand tu es en squat, produire un RIB n’est pas forcément évident. D’autre part beaucoup de FAI imposent un engagement sur une durée assez longue pour qu’ils puissent amortir des frais de mise en service qui sont cachés. Et dans les raisons d’annulation de cet engagement prévues par les FAI il n’y a pas la case « mon squat s’est fait expulser »…

Comment avez-vous fait, techniquement ?
Comme notre FAI associatif fabrique des bouts d’Internet nous avons plusieurs solutions. On peut par exemple demander à des voisin·es s’iels veulent partager leur accès, tout en leur garantissant qu’iels ne prennent aucun risque : le squat passera par un VPN, ce ne sera jamais leur adresse IP qui sera vue. Avec cette technique, on a pu fournir de l’Internet avec un relais wifi directionnel et un « partageur » situé à quelques kilomètres… Pour un autre squat, c’est un particulier qui a payé la fibre pour un an : nous avons pris l’abonnement et fait la desserte locale avec un équipement à nous, pour utiliser une adresse IP de Aquilenet qui nous garantit d’être les premiers avertis en cas de recours judiciaire. Et nous en avons profité pour lancer des ateliers de formation numérique aux exilé·es.

Comment s’est faite l’installation, d’un point de vue organisationnel ?
Souvent nous avons des personnes des squats qui nous sollicitent. Cela nous fait un contact avec qui on peut avancer. Nous savons que le matériel que nous installons peut disparaître en cas d’expulsion, généralement nos contacts le mettent de côté au moment voulu. Sinon nous avons des bénévoles qui participent à la mise en œuvre technique, nous affichons en gros sur un des murs du squat le mot de passe du wifi et c’est tout, nous les laissons en avoir l’usage qu’iels souhaitent.

Est-ce qu’il y a eu des soucis que vous n’avez pas réussi à résoudre ?
Je cherche… mais je ne vois pas. Le plus dur dans le cas des partageurs c’est la peur, souvent liée à la méconnaissance. Mais s’iels sont prêts à écouter nos arguments, on arrive à trouver un terrain d’entente et cela tisse des liens entre squatteureuses et partageureuses. Enfin ce sur quoi on n’arrive pas à avancer, c’est que ces squats soient pérennisés, que l’on traite et accueille décemment des demandeureuses de logement. Nous nous rendons compte qu’après l’eau et l’électricité, Internet est important pour aider à s’organiser dans ces situations difficiles.

Penses-tu que, en dehors d’un squat, ce genre d’installation serait possible, et pourquoi ?
On le fait ailleurs, c’est notre activité de FAI associatif : on est une sorte d’AMAP de l’Internet. On fait de l’hébergement associatif, on a un centre d’hébergement où tu peux venir avec ton ordi et le laisser branché sur Internet, on fournit du VPN, de l’ADSL et maintenant la Fibre. Du coup on aide pas mal de petites structures autour du numérique.

Il est donc possible avec un peu de connaissances techniques, peu de moyens et surtout l’entraide en groupe, de monter une infrastructure Internet utile et fonctionnelle. Merci à Sacha d’avoir répondu à nos questions !

Internet, sans câbles et sans électricité

Vous remarquerez que se faire un petit net est donc possible. Mais évidemment, cela demande de l’électricité. Dans les cas où les catastrophes naturelles font tomber le réseau électrique, c’est intéressant de voir comment faire tourner le nouveau réseau sur des sources d’énergie résilientes. Quitte à reconstruire le réseau, autant lui donner une meilleure résilience…

C’est notamment ce sur quoi travaille Télécoms sans frontière, avec qui nous avons également discuté pour écrire cet article. Vous pouvez lire les articles qu’iels écrivent pour rendre compte de leurs missions et vous inspirer par exemple de leurs actions à Haïti, après un tremblement de terre.

Un moyen sur lequel nous pouvons compter dans certains cas, c’est les connexions par satellite. La connexion à Internet via satellite existe depuis longtemps, mais jusqu’à récemment les prix et les performances de ces systèmes les rendaient peu accessibles au grand public. Et bien que les nouveaux systèmes du style Starlink ne soient pas encore totalement au point, ça peut être une solution pour relier son réseau local au réseau mondial. Si vous avez une telle connexion, n’hésitez pas à la partager avec votre communauté.

À votre échelle, vous pouvez déjà construire vous-même une Piratebox solaire en suivant ce guide. Ou même faire un site web solaire, dans une démarche plus low-tech.

Les énergies renouvelables devraient nous assurer une alimentation résiliente pour nos ordinateurs. Mais pour ce qui est de l’interconnexion entre notre ordinateur et le reste de l’Internet, il reste le problème des câbles. Et le gros souci des câbles, eh bien ce sont les câbles eux-mêmes. Un câble, ça coûte cher, ça pèse son poids, c’est difficile à déplacer et à entretenir. La solution évidente à cela est de ne pas utiliser de câbles. Alors utilisons des ondes radio !

Les réseaux « mesh »

Quand le réseau câblé traditionnel fait faillite, des réseaux ad-hoc passant par ondes radio peuvent prendre le relais pour maintenir un minimum vital de communication. Ils peuvent également exister en parallèle. Les réseaux mesh, de l’anglais mesh – filet/maille -, sont, comme ces derniers, des réseaux tissés de nœuds, en proximité les uns des autres. Utiliser des réseaux radio est efficace, plus facile à déployer et plus difficile à démanteler. C’est sur cette technologie que se base un FAI associatif de New York, NYC Mesh.

Utiliser de la radio nous permet d’avoir une grande portée et donc de couvrir de larges zones sans avoir besoin de relier individuellement chaque personne voulant se connecter à un câble. Et la radio nous permet aussi de traverser des endroits qui seraient sinon difficilement franchissables par câble.

Quand on parle de radio, on peut utiliser autant de la FM traditionnelle, dite radio Très et Ultra Haute Fréquence, que de la Wi-Fi. Mais il existe aussi d’autres types d’ondes radio, comme le LoRaWAN, acronyme de long-range wide-area network (« réseau étendu à longue portée »). Et à plus petite portée le Bluetooth peut faire l’affaire. À chaque fois, c’est un compromis à trouver entre la portée et la quantité de données que l’on peut transmettre.

Un des avantage des réseaux mesh c’est qu’ils peuvent être déployés à petite échelle, avec peu de moyens ! Donc si vous vous retrouvez coupé·e d’Internet et qu’il n’existe pas de réseau sous le contrôle de votre communauté, vous pouvez utiliser votre smartphone pour en créer un rapidement.

Un exemple de communication basé sur un réseau mesh est l’application Firechat, qui a été utilisée à travers le monde, par exemple à Hong Kong en 2014. Mais le développeur n’avait pas prévu son application pour de tels cas d’usage, et après avoir averti ses utilisateurices que leur sécurité n’était pas garantie, l’application ne reçoit désormais plus de mises à jour.

Heureusement, entre-temps, la voie ouverte par Firechat a été suivie de façon plus sérieuse par le projet Briar. Disponible pour le moment sur Android et en bêta pour d’autres plateformes, Briar intègre plusieurs canaux de communications pour être « résilitant » face à la censure, aux coupures, mais aussi à la surveillance.

Selon ses créateurices ;

Briar est une application de messagerie créée pour les activistes, journalistes et toute personne désirant une manière de communiquer qui soit sécurisée, simple et robuste. A contrario des applications classiques, Briar n’a pas besoin de serveurs centralisés – les messages sont synchronisés directement en pair à pair. Si l’Internet est coupé, Briar se synchronise via Bluetooth, Wi-Fi, permettant à l’information de circuler en temps en crise. Si l’Internet est disponible, Briar peut se synchroniser via le réseau Tor, afin de protéger les utilisateurices et leurs relations de la surveillance.

Source

Briar intègre des blogs, des forums et de la messagerie instantanée, le tout dans une seule application.

Avec le LoRa, un service comme Meshtastic vous permet de créer des groupes de discussion, et d’avoir une très haute portée sans avoir besoin d’Internet, là où Briar nécessite une densité élevée d’utilisateurices pour bien fonctionner. L’idéal serait de combiner les deux.

Vous pourriez aussi simplement créer un réseau Wi-Fi ouvert, sans mot de passe, et rediriger toutes les connexions vers un site web, hébergé localement. Et ensuite relier cet ordinateur au reste du réseau via une connexion satellite.

Lors du Printemps Arabe, un réseau de hackeureuses nommé Télécomix s’est organisé en solidarité avec les révolutionnaires pour leur permettre de rester connectés à l’Internet, épisode raconté dans un article de Médiapart. Ils ont notamment utilisé des ponts radio.

C’est un peu l’esprit du Mycelium Mesh Project, projet d’anarchistes étatsuniens, qui visent à pouvoir déployer rapidement des nœuds de communication sur les zones d’insurrection populaire, grâce à des réseaux mesh.

L’Internet des services

Une fois que vous avez remis en route le réseau physique, il faut maintenant qu’il y ait des sites web et des services auxquels accéder. Une chance pour nous, c’est que beaucoup d’efforts ont été faits ces derniers temps pour rendre cela plus facile.

Sans attendre une coupure, pour peu que vous sachiez héberger des sites web, n’hésitez pas à faire des copies miroir de sites web que vous visitez souvent, ou que vous considérez d’importance. C’est un peu ce que fait https://web.archive.org, mais plus on a de copies, mieux on est protégé. On se souvient des milliers de miroirs de The Pirate Bay qui ont émergés spontanément lors des tentatives de censure, ce qui fait que le site est toujours en ligne aujourd’hui.

Si en temps normal, vous utilisez les services des GAFAMs, style Google Drive, sachez qu’il existe des alternatives comme Nextcloud. Quand on fait son propre Internet, on peut installer des service comme Nextcloud et donc avoir notre « Cloud » hébergé par nos soins, ou le confier à notre communauté. Si vous avez un vieux PC, vous pouvez installer Yunohost dessus et héberger votre site web, ainsi qu’une pléthore de services. Le Collectif des Hébergeurs Alternatifs Transparents Ouverts Neutres et Solidaires propose aussi des services en accès libre, pour vous aider à vous dé-Googliser.

Est-ce possible de construire un internet résilient ?

Oui ! Évidemment, si nous vous en parlons c’est parce que ça existe. Est-ce que c’est possible à grande échelle ? Tout dépend de nos besoins, de notre volonté. Mais quand c’est nécessaire, comme à Cuba, c’est possible, et ça se fait. Sachez qu’en France aussi, c’est déjà le cas dans certains endroits. Par exemple, le 19 novembre 2017, quelques bénévoles d’Illyse, un FAI associatif, se sont rendus du côté de Vaugneray pour apporter une connexion Internet en « zone blanche », grâce à un lien établi par des antennes Wi-Fi haute portée.

Maintenant, tout ceci est bien beau, mais ça demande des savoir-faire, ou d’être en contact avec des personnes sachant faire. Alors, ne faudrait-il pas aussi savoir comment faire sans ? Sans Internet ? Ou comment former des groupes pouvant s’organiser sans ? Ce sera le sujet du troisième article. Aidez-nous à l’écrire en nous rejoignant sur nos groupes de discussions.

Surveillance massive et illégale

Il y a deux ans, nous attaquions le décret de 2012 qui avait créé le fichier TAJ en fusionnant le STIC, fichier de police, et le JUDEX, fichier de gendarmerie, relatifs aux enquêtes judiciaires et administratives. Il contient des informations à la fois sur les personnes mises en cause (peu importe qu’elles aient été condamnées ou non), sur les témoins et sur les victimes impliquées dans les enquêtes. Le TAJ est aujourd’hui tentaculaire : 19 millions de fiches sont présentes dans ce méga fichier (chiffres de 2018, dont on redoute qu’ils n’aient pu qu’augmenter depuis).

Surtout, et c’était l’objet de notre recours devant le Conseil d’État, le décret TAJ autorise les policiers à utiliser des logiciels de reconnaissance faciale pour consulter sa base de données. Les policiers peuvent automatiquement comparer une image captée par une caméra de surveillance, un téléphone ou sur Internet aux 8 millions de photographies présentes sur les fiches des personnes mises en cause (chiffres de 2018). Cette comparaison a lieu dans le cadre d’enquêtes comme de simples contrôles d’identité, comme l’expliquait le ministre de l’intérieur en 2021.

Introduit dans le droit en toute discrétion il y a près de 10 ans, à une époque où les outils de reconnaissance faciale n’étaient qu’en gestation, le recours à cette technologie est aujourd’hui généralisé. La police a utilisé le TAJ pour faire de la reconnaissance faciale 375 000 fois en 2019, soit plus de 1 000 traitements par jour partout en France (on en parlait notamment dans notre article récapitulatif sur l’état de la reconnaissance faciale en France, ici). En 2020, ce chiffre montait à 1200 interrogations quotidiennes du TAJ par reconnaissance faciale.

L’utilisation massive de cette technologie est pourtant interdite en application des règles du droit des données personnelles. Seules certaines situations exceptionnelles pourraient autoriser un tel traitement et, même dans ces situations exceptionnelles, la police ne pourrait y recourir qu’en cas de « nécessité absolue » – lorsqu’il n’existe absolument aucun autre moyen de poursuivre l’enquête. Nous avons expliqué au Conseil d’État qu’aucun de ces critères n’était jamais rempli en pratique. Rien ne permet de justifier des moyens aussi intrusifs et dangereux.

La fuite en avant du Conseil d’État

Et pourtant, le Conseil d’État a rejeté nos arguments. Il n’a pas nié les innombrables abus que nous lui pointions, mais nous a invité à les soumettre au cas par cas aux autorités (juges et CNIL) chargées d’en vérifier la légalité, plutôt qu’à lui. Comme si le Conseil d’État pouvait se contenter d’examiner la légalité du TAJ de façon abstraite sans se soucier de sa mise en œuvre pratique. Pourtant, justement, en pratique, le Conseil d’État sait très bien que les abus du TAJ sont si nombreux que la CNIL n’aura jamais les moyens de les détecter et de les stopper un à un. Il lui est matériellement impossible de contrôler a posteriori 1 000 opérations policières par jour. Présenter le contrôle de la CNIL et des juges comme une garantie suffisante pour pallier ces abus est une échappatoire malhonnête pour permettre le maintien de ces pratiques. C’est le propre de la surveillance de masse que d’échapper à tout encadrement crédible, et c’est cette évidence que le Conseil d’État a niée.

Si le Conseil d’État a refusé de prendre en compte dans sa décision les abus concrets du TAJ, il a quand même cherché à justifier la « nécessité absolue » de la reconnaissance faciale. Sa démonstration est si terrible que nous la restituons telle quelle : « eu égard au nombre de personnes mises en cause enregistrées dans [le TAJ], qui s’élève à plusieurs millions, il est matériellement impossible aux agents compétents de procéder manuellement à une telle comparaison » d’images, dont l’automatisation ne peut dès lors que « s’avérer absolument nécessaire à la recherche des auteurs d’infractions et à la prévention des atteintes à l’ordre public ». Autrement dit, le recours à des logiciels d’analyse d’images automatisée serait rendu nécessaire car le TAJ, abandonné à la police depuis 10 ans et sans aucun contrôle externe, est devenu si tentaculaire et absurde qu’il ne peut plus être exploité à son plein potentiel par des humains. Une surveillance de masse (le fichage généralisé) rend nécessaire une autre surveillance de masse (la reconnaissance faciale généralisée).

Un tel raisonnement circulaire permet au Conseil d’État de se détacher de toute considération quant au respect des libertés fondamentales. À aucun moment il ne saisit l’opportunité d’évaluer sérieusement la seule utilisation connue de la reconnaissance faciale en France, pourtant dénoncée depuis plusieurs années partout en Europe pour les graves dangers qu’elle fait peser sur nos libertés. Au contraire, il sort de son rôle pour n’analyser le fichier que du point de vue de sa potentielle utilité pour la police et ne pas corriger les dégâts causés depuis 10 ans. En abandonnant son rôle de gardien des libertés, le Conseil d’État valide et inscrit dans le marbre la croyance selon laquelle il faut toujours plus en connaître sur la population, considérée comme étant suspecte par défaut.

Prochaine étape de notre lutte

Ne nous décourageons pas et, pour préparer la suite de notre lutte, cherchons les leçons à tirer de cette défaite. Premièrement, il semble risqué d’attaquer la reconnaissance faciale en tant que principe théorique sans aussi s’attaquer à ses réalisations concrètes, à défaut de quoi nos adversaires risquent d’esquiver le débat tel que se l’est ici permis le Conseil d’État.

Deuxièmement, il semble risqué d’attaquer la reconnaissance faciale sans s’attaquer en même temps à l’ensemble du système dont elle fait partie et qui la justifie : le fichage généralisé, dont la démesure a servi de prétexte au Conseil d’État, et la vidéosurveillance qui inonde nos villes et dont la démesure, tout autant scandaleuse, sert aussi de prétexte au déploiement de logiciels de détection automatisée sur les caméras déjà installées (voir notre analyse politique de la VSA).

Notre offensive va donc se poursuivre, affinée et ajustée par ces deux leçons. Cette offensive est d’autant plus urgente que l’Union européenne est en passe d’adopter un règlement sur l’IA qui viendrait légitimer les technologies de surveillances biométriques aujourd’hui interdites par le RGPD (revoir notre analyse) et que la France, actuellement présidente du Conseil de l’UE, fait tout pour défendre son industrie et son idéologie technopolicières.

Nous fêterons bientôt les 4 ans de l’entrée en application du RGPD et des règles européennes de protection des données personnelles, le 25 mai. Si ces règles ont été presque inutiles pour nous protéger de la surveillance des GAFAM, elles ont entièrement failli à nous protéger de la surveillance d’État. Peut-être devrions profiter de cet anniversaire pour essayer de renverser la situation.

Nous commençons aujourd’hui une nouvelle série d’articles qui explorent les perturbations du réseau Internet. Alors que l’Internet est de plus en plus régulé, il se retrouve aussi de plus en plus victime de coupures selon une étude de 2011. C’est une tendance qui s’accroît, selon un rapport très complet d’Access Now. Ces coupures peuvent avoir différentes raisons, allant d’une faille technique à une volonté délibérée de la part des États d’empêcher les habitant·es de communiquer, notamment lors de révoltes ou de périodes d’instabilité politique.

Bien que la légende veuille qu’il ait été conçu pour survivre à un hiver atomique dans son ensemble, localement, l’accès à Internet peut être coupé. Le réseau Internet étant construit autour d’un assemblage de réseaux autonomes mais inter-connectés, il se pourrait qu’une partie de ces sous-réseaux tombent, sans que les autres ne soient sévèrement impactés. L’information pourrait continuer à circuler dans le reste du réseau.

Parce qu’il est un outil souvent central dans la contestation d’un pouvoir illégitime, pour venir en aide aux victimes de catastrophes naturelles ou humaines, il est vital d’étudier comment faire pour maintenir les connexions et ainsi pouvoir disséminer des informations. Dans plus de 140 cas, comme nous l’apprend la page 6 du rapport de Access Now, les gouvernements ont justifié leurs coupures par “la Sécurité Nationale” ou le contrôle des “fausses informations”.

Il est souvent évident pour les observateurs qu’en réalité les autorités peuvent redouter la  contestation, et donc coupent l’accès à Internet pour limiter la capacité du peuple à s’organiser et à s’exprimer, que ce soit en ligne ou non. Les données révèlent que, quand les autorités parlent de “fausse information”, rumeurs ou discours de haine, ils sont en réalité contraints d’agir en réaction à des manifestations, des élections, des violences sociales ou des activités militantes, entre autres. En utilisant ces menaces comme excuse, il semble que les gouvernements utilisent les coupures comme moyen de contrôler le débat politique et le flux d’informations.

Access now, The #KEEPITON Report, 2018

Cela démontre sans équivoque l’importance d’un tel outil. Nous allons donc commencer par étudier (dans un premier article) quels sont les différents types de coupures. Puis, dans un second temps, nous verrons comment contourner les censures et rétablir les connexions. Enfin, quand rétablir une connexion n’est pas possible, ou pas souhaitable, nous verrons comment s’organiser sans internet, voire sans ordinateurs.

Qui coupe internet ?

Il faut savoir avant toutes choses qu’Internet à une existence physique, à travers différents types d’infrastructures.

Autant les câbles sont importants, autant il existe aussi les entrepôts de données, les opérateurs transnationaux, et des opérateurs locaux, qui ont tous un rôle à jouer. C’est à travers ce mille-feuilles d’acteurs que nos connexions se font, et plus l’opérateur va être en haut de la hiérarchie des interconnexions, plus il aura de pouvoir sur le réseau.

Parlons donc coupure. Une coupure, c’est une interruption dans votre connexion au réseau Internet. Cette interruption peut être totale – rien ne passe – ou bien partielle – vous arrivez à vous connecter à certaines parties, mais pas à d’autres. Ou bien la connexion est instable, et empêche une utilisation fluide. La réduction de la vitesse de connexion peut parfois produire des effets comparables à une coupure.

Il existe plusieurs moyens de couper la connexion à Internet. Mais en réalité, il n’existe pas une seule connexion, mais des interconnexions, et de nombreuses manières de les réaliser. Et les coupures sont tout aussi variées. Elles peuvent être longues, sur plusieurs mois, comme assez courtes. Elles peuvent avoir plus ou moins de régularité.

Étudions donc quelles pourraient être les causes de ces coupures.

Le climat

Internet, c’est avant tout une interconnexion entre des ordinateurs à l’échelle du monde. Ces interconnexions se font principalement par des câbles, et à travers d’autres ordinateurs, qui sont sensibles au climat. Un incendie peut par exemple sérieusement compromettre le réseau. La crise climatique en cours, qui provoque des inondations, des glissements de terrain, et autant de choses qui peuvent compromettre nos constructions, est une menace extrêmement importante. La Chine, pays où les paiements en ligne sont monnaie courante, a dû se confronter à cette situation lors d’inondations récentes.

Les animaux

Nos infrastructures ne sont pas sensibles qu’au climat, elles le sont aussi aux animaux avec qui nous partageons la terre et la mer. Ainsi, comme les rongeurs qui peuvent grignoter des câbles, les requins peuvent attaquer le réseau, comme ça a été le cas au large du Việt Nam.

“Principal Ocean Cables in 1917” by Eric Fischer is licensed with CC BY 2.0.

(Si vous voulez voir à quoi ressemble la pose des câbles sous-marins aujourd’hui, cette vidéo vous donne une idée.)

Les humains

Nous autres humains avons aussi une certaine capacité à couper le réseau, que ça soit volontairement, comme par exemple lors de vols de câble, mais aussi parfois sans le vouloir : une dame en Géorgie a ainsi coupé l’accès d’un pays entier en cherchant à recycler du métal dans le sol. Parfois, on ne sait même pas vraiment ce qui a causé une cassure…

Les industriels

Une mauvaise gestion des infrastructures peut amener à des coupures. On pourrait parler de la façon dont est géré le déploiement de la fibre, fruit d’une politique économique mortifère, mais French Data Network le fera mieux que nous. Même si le réseau est là, pas sûr qu’il soit utilisable, faute d’entretien, comme à Brooklyn, USA. On se retrouve alors avec des coupures, ou une absence de raccordement à des moments critiques. On peut vous le dire, ça nous est arrivé récemment au Garage. Quand nous avons emménagé dans nos nouveaux locaux (c’est toujours « le Garage » !), notre opérateur a pris plusieurs semaines à nous raccorder. Et une fois que c’était fait, on a subi plusieurs coupures dues à la sous-traitance : les techniciens d’autres opérateurs, trop peu payés pour faire bien leur travail, ont coupé nos fibres pour installer les leurs.

Les gouvernements

Les exemples récents de coupures par des gouvernements ne manquent malheureusement pas. Nous pourrions en faire la liste ici, mais laissons Wikipédia s’en charger. Quelques exemples tout de même : au Myanmar, en Égypte, en Inde, à Cuba, à Cuba encore, en Éthiopie, au Belarus… Il existe aussi un risque d’attaque par un gouvernement hostile, notamment comme les États-Unis en Syrie. Aidés, entre autres, par des entreprises françaises. Les États autour du globe s’équipent de moyens leur permettant de couper, filtrer et censurer Internet. N’oublions pas que le gouvernement français n’est pas un ami d’Internet, comme nous avons pu en prendre acte en 2011. L’usage des coupures de réseau pour faire face à la contestation n’est plus à craindre : il est là. De là à se dire que ces techniques pourraient se généraliser à travers le monde, il n’y a qu’un pas.

Le temps qui passe

Quand toute la bonne volonté de la terre et des humains n’y suffit pas, le temps se chargera de dégrader et de mettre à terre toutes les fibres et les tours téléphoniques. Si vous habitez dans une région du monde où l’investissement dans les réseaux des télécoms est marqué par des politiques racistes, ou une forte ségrégation sociale, le temps entre deux rénovations peut suffire à vous exclure du réseau. N’oublions pas que seulement la moitié de la population mondiale a accès à Internet, et que cela reste très cher dans un certain nombre de régions du monde.

“time” by Katerina Atha is licensed with CC BY-NC-ND 2.0.

Ce tour d’horizon nous permet de voir ce à quoi nous avons affaire. Réseau omniprésent et d’une importance critique, internet n’en n’est pas moins fragile et fluctuant.

Il convient que nous nous attardions un peu plus sur les capacités des institutions à couper internet. C’est sur elles que nous allons diriger notre action, vu la difficulté pour nous à prévenir les catastrophes venues d’ailleurs.

C’est principalement à elles que nous aurons à faire face, dans une forme capitalistique ou étatique, à moins que vous ne songiez sérieusement à vous lancer dans la chasse aux requins. (C’est une mauvaise idée.)

Quant au temps qui passe, ou au manque d’investissement dans les infrastructure, ces sujets ont déjà été traités par d’autres.

Quels genres de coupure?

Voyons techniquement comment s’y prendre pour interrompre certains flux internet.

Le filtrage sur le nom de domaine

En France, la censure de l’Internet est malheureusement monnaie courante. Depuis le début des années 2000, avec notamment les lois LOPPSI et HADOPI, que nous avons combattues, les fournisseurs d’accès à internet (FAI) se trouvent obligés de bloquer des sites, sur demande d’un juge ou de la police. Cette obligation a d’abord été justifiée par le blocage nécessaire des contenus pédopornographiques, et a été utilisée la première fois pour censurer des propos négationnistes, mais a aussi été utilisée pour supprimer des positions et groupes politiques. Son évolution dans le temps est bien documentée. Et dernièrement, la lutte reprend autour de l’accès au porno.

Déjà en 2008, nous avions publié une note sur le blocage des noms de domaine, via le protocole DNS.

Avec cette technique, ce n’est pas le contenu illégal qui est filtré, mais l’intégralité du domaine internet qui l’héberge. […] Les opérations nécessaires au blocage par DNS sont relativement simples, bien que la complexité et la maintenance engendrées, et donc le coût global, dépendent là aussi des configurations actuelles des opérateurs. L’efficacité de cette technique est très limitée. Il suffit d’une manipulation triviale sur l’ordinateur de l’utilisateur pour définitivement passer outre.

La Quadrature Du Net, 2008

En effet, il suffit d’utiliser un autre système de nom de domaine que celui fourni par défaut par votre FAI pour contourner la censure. La procédure est relativement simple, et expliquée dans un article de Numerama. Nous remercions la French Data Network, qui héberge des serveurs DNS accessibles à tous et sans censure ou filtrage.

Censure de services

Parfois, il ne s’agit pas juste de sites web qui sont bloqués, mais aussi de services, comme des applications de messagerie. Ça a été le cas en Russie, où un tribunal a demandé le blocage de Telegram. Vu la façon dont Telegram se connecte à ses serveurs (utilisation des serveurs de Google, et donc de leurs adresses IP), le blocage a eu des conséquences inattendues.

« Alors que le nombre total d’IP bloquées a été fluctuant (bien que majoritairement en hausse) depuis que la Russie a modifié son approche, nous observons quelque chose comme 16 millions d’adresses bloquées en ce moment. Les services concernés incluent Viber, Office 365, les éléments du PlayStation Network, et beaucoup plus. »

Source

En général, les services trouvent des moyens de contourner cette censure, par exemple en utilisant des IP partagées ou par utilisation de VPN notamment. Dans ce cas, la censure a eu pour effet de bloquer plein de services qui n’avaient rien à voir. Par ailleurs, le ban a été levé en 2020 visiblement parce que c’était un bel échec.

Ralentissement de la connexion

Imaginez que vous vous connectiez sur un réseau social pour prendre des nouvelles de la manifestation qui doit avoir lieu dans les prochaines heures. Mais la page semble prendre beaucoup de temps à charger, et quand la page s’affiche, certains éléments ont pris trop de temps à venir et leur chargement a été annulé. En voulant envoyer un message à vos ami·es, vous vous rendez compte que le message prend plus d’une heure à arriver ; difficile de se retrouver dans la foule dans ces conditions.

Ce genre de restrictions est beaucoup plus difficile à répertorier, car plus sournois. Il permet de restreindre l’accès sans toutefois le couper. Il se peut que ce ralentissement ne soit même pas reconnu comme intentionnel, notamment dans les endroits où le service Internet n’est pas très stable de base. Attention, tout ralentissement n’est pas dû à une censure ; on a un bel exemple avec les effets de bords de la panne de Facebook qui a engendré d’autres pannes chez les opérateurs téléphoniques.

Coupure du service 3G/4G

Pour beaucoup d’humains dans le monde, la connexion à Internet se fait d’abord par le service mobile, via des smartphones. Et il apparaît que c’est souvent ce moyen de connexion qui est ciblé, car il est principalement utilisé par les particuliers, alors que les entreprises et services d’État utilisent une connexion filaire. Le rapport d’Access Now cité en début d’article offre un panorama édifiant sur la question.

Censure de protocoles

Parfois, la surveillance et la censure vont de pair. Les protocoles que nous utilisons pour sécuriser notre connexion, comme HTTPS, permettent d’échapper à certaines formes de censure et de surveillance. Alors, il paraît logique de bloquer ces protocoles, comme c’est le cas en Chine, où le gouvernement utilise le Grand Firewall pour bloquer les versions les plus sécurisées de HTTPS. C’est un jeu du chat et de la souris, parce que des méthodes de contournement peuvent être mises en place. Cela dit, pour la majorité des gens, ces blocages peuvent être difficiles à contourner.

Le blocage des VPN est également possible, et courant.

BGP

BGP est le nom du protocole qui permet à Internet de fonctionner en tant que réseau de réseaux. Si l’on regarde une carte de l’Internet, comme celle-ci :

On peut voir les différentes couleurs, qui représentent différents réseaux. Entre ces réseaux, les connexions se font au moyen de BGP, qui est en quelque sorte la glue qui permet à l’Internet d’exister.

Hé bien, cette glue, elle peut être dissoute. Ça peut être suite à une erreur, comme au Pakistan où en 2008 un opérateur a annoncé à l’Internet tout entier que c’était chez lui qu’on pouvait accéder à Youtube le plus rapidement. Youtube a été inaccessible dans le monde entier pendant un petit moment à cause de ça. Mais parfois c’est très intentionnel, comme lors du début de l’insurrection en Syrie. Vous pouvez voir quand BGP subit des interruptions sur Twitter d’ailleurs. Récemment, Facebook a eu un souci similaire.

Des chercheurs ont par ailleurs expliqué qu’il serait possible de casser totalement et de façon grave l’Internet en exploitant des failles du protocole. Bien que compliqué à faire, ça n’en est pas moins possible. Si ça peut vous rassurer, il existe malgré tout des systèmes de surveillance et de contrôle pour éviter que le protocole ne soit abusé, ce qui rend ce genre d’attaques peu susceptibles d’aboutir.

Perquisition

Quand le blocage au niveau du réseau ne suffit pas, il reste encore l’option d’attaquer directement le serveur sur lequel est hébergé le site web. On pense aux attaques contre The Pirate Bay. C’est une  pratique qui est toujours en cours, bien que moins efficace que par le passé. Cette perte d’efficacité est notamment due aux architectures distribuées, type “cloud”, où les sites web sont répartis sur une multitude de serveurs à travers le monde. Au lieu d’être disponibles sur un seul serveur, ils vont profiter d’une redondance globale, permettant à leurs bases de données ou de ressources de ne pas être toutes au même endroit.

Maintenant qu’on voit un peu quelles sont les différentes menaces possibles, je vous invite à lire notre prochaine article, qui explorera comment contourner ces cassures, rétablir des liens, et prendre des nouvelles de la liberté à l’autre bout du fil.

Vous pouvez nous suivre en vous rendant sur la page Nous !

“network cables” by pascal.charest is licensed under CC BY-NC-ND 2.0

Les données biométriques, cœur de la protection

Le droit des données personnelles prévoit une protection particulière pour les données qu’on appelle « sensibles » au vu des informations particulièrement intimes qu’elles révèlent (telles que les orientations politiques ou sexuelles). Parmi ces données sensibles, on trouve la catégorie des données dites « biométriques », qui sont « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique »¹Définitions prévues aux article 4§14 du RGPD et 3§13 de la Directive Police/Justice..

Cette définition peut être dissociée en trois éléments que l’on retrouve systématiquement lorsque l’on parle de VSA.

Tout d’abord, il faut que les données fassent l’objet d’un traitement technique spécifique.

Cela permet d’englober les systèmes de VSA puisqu’ils interviennent en addition du traitement général qui consiste à filmer l’espace public et poursuivent un objectif particulier (voir plus bas) . Aussi, le traitement technique est spécifique en ce qu’il consiste en la mise en oeuvre d’un algorithme ou programme informatique appliqué aux flux vidéos afin d’isoler, caractériser, segmenter ou encore rendre apparente une information relative à une personne physique filmée ou à extraire du flux vidéo, même a posteriori, des données concernant cette personne.

Ensuite, les données doivent se rapporter aux caractéristiques physiques, physiologiques ou comportementales d’une personne.
Toutes ces données sont bien celles que la VSA capte :

• les informations physiques ou physiologiques peuvent se rapporter au corps d’une personne filmée au sens large, tels que des visages, des silhouettes ou toute caractéristique isolée du corps, telle que la couleur des cheveux, la couleur de peau, la couleur des yeux, la forme du visage, la taille, le poids, l’âge ;
• les données comportementales visent toute information relative à l’action du corps dans l’environnement et l’espace. Pourront être qualifiés de biométriques un vêtement ou un accessoire porté par la personne à un instant T, un geste, une expression d’émotion, une direction de déplacement, une position dans l’espace et le temps (assis, debout, statique, allure de la marche…).

Enfin, le traitement doit avoir pour but l’identification unique de la personne. D’après le comité européen de la protection des données (CEPD, l’autorité qui regroupe les CNIL européennes), cette fonction ne se limite pas à révéler l’état civil de la personne mais à individualiser celle-ci au sein d’un environnement pour la reconnaître sur plusieurs images²Voir les lignes directrices sur les vidéos contenant des données personnelles 3/201, version 2.0, point 82 p. 19 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr.

Concernant la VSA, chaque système est programmé pour réunir des éléments spécifiques (silhouette, couleur des habits, position, direction, comportement) pour :

• reconnaître une personne sur plusieurs images ou plusieurs flux vidéos , soit dans le temps, soit dans l’espace, en lui attribuant une empreinte numérique qui permettra de caractériser ses attributs ou son comportement, et l’isoler sur les images. L’exemple le plus typique est le suivi d’une personne dans l’espace public filmé par plusieurs caméras ;
• effectuer une action ciblée sur la personne grâce aux informations sur les caractéristiques physiques ou comportementales obtenues par la VSA. Ces informations pourront être transmises à des agents sur le terrain, elles leur permettront de « reconnaître » de façon unique la personne et d’effectuer une action sur elle (« l’homme au chapeau bleu est dans la rue principale, contrôlez-le »).

Dans les deux cas, la personne est identifiée de façon unique par rapport à son environnement, un groupe de personnes ou une scène.

En conclusion, les fonctionnalités des systèmes de VSA portant sur des personnes impliqueront systématiquement un traitement de données biométriques.

La VSA est toujours disproportionnée

Une fois que l’on a démontré qu’il s’agissait d’un traitement de données biométriques, la protection plus forte accordée aux données sensibles peut s’appliquer. Grâce à ce cadre spécifique, les données sensibles ne peuvent être traitées qu’à condition de respecter une exigence de « nécessité absolue »³Voir article 10 de la Directive Police/Justice..

En pratique, cette exigence signifie que le traitement ne sera considéré comme licite que s’il n’existe aucun autre moyen moins attentatoire aux libertés qui permettrait d’atteindre l’objectif poursuivi. Cette exigence de nécessité absolue n’est pas une nouveauté juridique et a déjà permis de limiter ou interdire les technologies les plus intrusives.

Par exemple, lorsque la région PACA avait tenté de mettre en place une expérimentation de reconnaissance faciale à l’entrée de deux lycées, la CNIL avait jugé que la finalité de sécurisation et de fluidification des entrées au sein des lycées « peut incontestablement être raisonnablement atteinte par d’autres moyens », concluant que le dispositif était disproportionné.

De la même manière, dans un avertissement à la ville de Valenciennes révélé par Mediapart, la CNIL avait jugé que le dispositif de VSA mis en place par la ville était disproportionné, notamment car la nécessité n’avait pas été prouvée et l’absence d’alternative n’avait pas été documentée.

Le Conseil d’État avait fait le même raisonnement lorsque nous avions attaqué, aux cotés de la LDH, l’utilisation des drones par la police lors des manifestations. Pour les juges, le ministère n’apportait « pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones »⁴Conseil d’État, 446155, lecture du 22 décembre 2020, §11..

Enfin, ce mécanisme a aussi été efficacement mobilisé contre la vidéosurveillance dite « classique » – et non biométrique – dans la commune de Ploërmel, la ville ne justifiant, selon la Cour d’appel, d’aucune statistique ou de preuves de risques particuliers qui expliqueraient la nécessité de ce dispositif.

En l’occurrence, concernant la VSA policière, il y aura toujours d’autres moyens d’assurer la sécurité autrement que par une technologie automatisée surveillant le comportement des individus dans la rue. Nous en parlions notamment dans notre article expliquant les raisons politiques de s’opposer à la VSA, la sécurité des personnes ne peut être trouvée que dans l’action humaine et sociale, l’attention aux autres, le soin.

La mise en balance exigée par le contrôle de proportionnalité permet donc de limiter et d’exclure tout dispositif de VSA abusif puisque l’atteinte à la vie privée engendrée par le traitement de données biométriques ne pourra être que très rarement, voire jamais, évaluée comme strictement nécessaire pour atteindre l’objectif poursuivi. Ce critère de nécessité absolue est donc aujourd’hui un mécanisme juridique documenté et
efficace pour interdire l’utilisation abusive des technologies par la police dans l’espace public.

Ne pas changer de paradigme

À travers le projet de règlement sur l’intelligence artificielle ainsi que les velléités affichées des dirigeants de modifier le cadre actuel pour favoriser les intérêts industriels et économiques du secteur, c’est une destruction du socle protecteur de nos droits qui est menée.

Ces acteurs tentent de défendre une approche fondée non plus sur la nécessité comme décrite plus haut mais, désormais, sur les risques : le cadre juridique serait non pas unique comme c’est le cas actuellement mais différent en fonction des objectifs et finalités des technologies. Autrement dit, cela impliquerait d’autoriser plus ou moins largement l’usage de certaines technologies en fonction des risques effectifs qu’elles feraient peser sur les droits et libertés de la population.

Par exemple, dans son projet de règlement, la Commission propose une classification des utilisations de la reconnaissance faciale et de la VSA en fonction des circonstances de leur application (dans l’espace public, en temps réel, à des fins répressives…), peu importe qu’elles soient nécessaires ou non. C’est un renversement total de la façon dont nos droits et libertés sont protégées, comme nous l’expliquions il y a quelques mois. Ce serait aux personnes concernées de démontrer le dommage qui leur est causé et non plus aux pouvoirs publics mettant en œuvre ces technologies de démontrer systématiquement que l’usage n’est pas disproportionné. La charge de la preuve serait renversée, à la défaveur de nos libertés.

Or, il ne suffit pas qu’une technologie soit « peu risquée » pour que celle-ci devienne « nécessaire » ni même souhaitable. Surtout, ces acteurs tentent de justifier cette logique en avançant que des garanties permettraient de limiter ces risques. De tels mécanismes sont illusoires et ne pourraient jamais suffire à pallier un traitement non nécessaire.

Nous le voyons depuis plusieurs années, les garanties ne suffisent jamais à limiter des technologies la plupart du temps déjà déployées, parfois à grande échelle, alors mêmes qu’elles ne sont pas légales. Quand bien même elles seraient contestées, elles auront déjà produit leurs effets illicites et nocifs. Les analyses d’impact, les pouvoirs de contrôle de la CNIL, les soit-disant contre-pouvoirs locaux, les droits d’information du public, aucune de ces garanties n’empêche les autorités de violer la loi.

Si l’approche fondée sur les risques finissait par être adoptée, elle donnerait le signal attendu par l’ensemble des acteurs de la VSA pour déployer massivement et au pas de course l’ensemble de leurs systèmes. Demain comme aujourd’hui, seules les mesures d’interdiction, fondées notamment sur la nécessité, pourront nous protéger. C’est d’ailleurs l’avis de autorités européennes de protection des données (Comité européen pour la protection des données et Contrôleur européen pour la protection des données) sur le projet de règlement sur l’intelligence artificielle, qui appellent toutes deux à interdire complètement les technologies de VSA.

En conclusion, remplacer changer de paradigme en remplaçant l’approche actuelle fondée sur la nécessité par une approche nouvelle fondée sur les risques conduira à présenter comme potentiellement licites des traitements dont l’illégalité ne fait aujourd’hui aucun doute. Ce changement de contexte entraînerait le déploiement massif de systèmes de VSA illicites sans qu’aucune garantie ne puisse en limiter les effets nocifs pour la population. C’est pourquoi nous défendons le maintien du cadre juridique actuel, qui permet l’interdiction de ces pratiques et est à même de protéger la population contre les abus des autorités en matière de surveillance.

Contrôles abusifs des allocataires, suspension des versements, harcèlement des plus précaires… La CAF oublie ses missions initiales de protection et de soutien pour devenir un outil de police numérique. Une tribune du collectif « Changer de cap ».

La numérisation à marche forcée des services publics contribue à faire des Caisses d’allocations familiales (CAF) un instrument de la mise en place d’une société de surveillance et de pénalisation des plus pauvres. Alors que la protection sociale est un droit universel depuis le Conseil national de la Résistance, les CAF développent une politique de plus en plus dure de contrôle des personnes en situation de précarité.

Tous fichés…

Plus de 1 000 données par personne sont collectées pour 13 millions de foyers¹Vincent Dubois, Contrôler les assistés, Raisons d’agir, 2020, p. 257., grâce à l’interconnexion de dizaines de fichiers administratifs (impôts, éducation, police, justice…) Les contrôleurs ont en outre le pouvoir de consulter nos comptes bancaires, nos factures de téléphone et d’énergie… Toutes ces données sont traitées à notre insu.

Chaque allocataire fait l’objet d’un profilage établi par un logiciel, mais selon des variables définies par des décisions humaines. Des algorithmes déterminent des « scores de risque » de fraude, qui débouchent sur un véritable harcèlement des personnes en difficulté. Sont qualifiés de « risque » les variations de revenus, les situations familiales atypiques, la naissance hors de France… Il en résulte un ciblage des contrôles sur les personnes précaires, handicapées ou vulnérables.
Plus de 32 millions de contrôles automatisés ont été réalisés par les CAF en 2020. Les témoignages collectés confirment la concentration de ces contrôles sur les femmes seules avec enfants, les chômeurs, des personnes handicapées, d’origine étrangère…

Des contrôles indignes et illégaux

Les méthodes de contrôle sont tout aussi inacceptables. La plupart de ces contrôles sont déclenchés automatiquement, sans en informer les allocataires et parfois sans notification, ce qui est contraire à la loi. Juridiquement la fraude doit être intentionnelle, mais ici les incompréhensions, les difficultés face au numérique, les erreurs, y compris celles des CAF, sont assimilées à de la fraude²Comme le soulignait le Défenseur des Droits dès 2017 : lutte contre la fraude aux prestations sociales : à quel prix pour les usagers ? Voir ici..
Les procès-verbaux sont remplacés au mieux par des notifications sommaires, qui ne précisent ni les modalités de calcul de l’indu, ni les délais de réponse, ni les voies de recours. Dans de nombreux cas, les allocations sont suspendues pendant toute la durée du contrôle, sans respect du reste à vivre légalement imposé à tous les créanciers. Les contrôleurs sont pourtant dotés de larges pouvoirs juridiques et d’investigation, mais le calcul de leur prime d’intéressement dépend du montant des indus frauduleux détectés.
Ces dérives sont amplifiées par la désorganisation des CAF, suite à la numérisation et aux réductions d’effectifs. Les allocataires connaissent de nombreux retards, des erreurs, des versements à tort, des absences de réponses, l’impossibilité de trouver un interlocuteur. On imagine le mal-être et la dégradation des conditions de travail des agents soucieux de défendre un service public humain.
Les conséquences de telles orientations sont dévastatrices sur le plan social. La Fondation Abbé Pierre montre comment des familles ont été expulsées suite à des recouvrements qui ne tenaient pas compte du reste à vivre³Fondation Abbé Pierre, 2020, Prestations sociales de la CAF et logement. Enquête sur les freins rencontrés 2020. Voir ici.. Rappelons que 10 millions de personnes vivent sous le seuil de pauvreté, que 12 % des Français souffrent de difficultés psychiques. L’action présente de la CAF y contribue, comme le montrent les témoignages recueillis.

Une police et une justice parallèles

Ainsi, à la faveur de la numérisation, une police et une justice numérique parallèles se mettent en place, insensibles à des situations humaines parfois dramatiques. Ces pratiques ne respectent pas les principes fondamentaux du droit, et sont entachées d’illégalité⁴Cabinet DBKM. Incompatibilité des mesures nationales de lutte contre la fraude aux prestations sociales avec le Pacte des droits civils et politiques. Rapport au comité des droits de l’homme des Nations unies. Voir ici.. Elles découlent de la convention d’objectifs et de gestion 2018-2022 de la CNAF qui assimile les CAF à des entreprises et considère les prestations sociales comme des coûts à réduire. Tout en pratiquant en permanence le double langage, le pouvoir politique considère toujours « qu’on met un pognon de dingue dans des minima sociaux »⁵Emmanuel Macron, 12 juin 2018 : « La politique sociale, regardez : on met un pognon de dingue dans des minima sociaux, les gens ils sont quand même pauvres. On n’en sort pas. Les gens qui naissent pauvres, ils restent pauvres. Ceux qui tombent pauvres, ils restent pauvres. On doit avoir un truc qui permette aux gens de s’en sortir ». Source..

Transparence, légalité, solidarité

On ne peut que s’inquiéter de l’intention de l’actuel président, s’il est réélu, de généraliser le versement automatique des aides sociales. S’il s’agit d’étendre ce type de pratiques, ce projet de maltraitance institutionnelle est inacceptable et monstrueux.
C’est pourquoi nous demandons le démantèlement des pratiques illégales qui se sont développées, l’instauration de sanctions contre ceux qui les ordonnent délibérément et un retour aux missions fondatrices de la Sécurité sociale et des services publics, dans une logique de confiance et de solidarité.
Toute la transparence doit être faite sur la récolte et le traitement des données personnelles des allocataires par la CAF, ainsi que sur le rôle des logiciels et des algorithmes dans la prise de décision.
Il est indispensable de remettre les humains au cœur du service public, tout particulièrement dans les CAF, et de faire du numérique un outil pour rendre effectif l’accès de chacun à ses droits sociaux, tout en respectant son intimité.

Vous pouvez vous joindre à cet appel. Voici le lien pour le signer.

Voir les témoignages et le dossier complet en cliquant ici.

Premiers signataires
Isabelle Maurer, Archipel des sans voix, allocataire multi-controlée
Farida Amrani, syndicaliste CGT
Hichem Atkouche, SUD Commerces et Services Ile de France
Geneviève Azam, économiste, essayiste
Miguel Benasayag, philosophe, collectif Malgré tout
La Quadrature du Net
Fathi Bouaroua, AprèsM, ex directeur régional de la fondation Abbé Pierre en PACA
Alima Boumediene-Thiéry, avocate porte parole de Femmes plurielles
Henri Braun, avocat au Barreau de Paris
Dominique Cabrera, réalisatrice
Alexis Corbière, député
Jean-Michel Delarbre, comité national LDH, co-fondateur RESF
Lætitia Dosch, comédienne
José Espinosa, gilet jaune
Txetx Etcheverry, mouvement Alda de défense des habitants des milieux et quartiers populaires au Pays basque
Jacques Gaillot, évêque de Partenia
Marie-Aleth Grard, présidente d’ATD Quart Monde France
Laurent Klajnbaum, vice-président de Changer de cap
François Koltès, auteur
Michèle Leflon, présidente de la Coordination Nationale des Comités de défense des hôpitaux et maternités de proximité
Pierre-Edouard Magnan, délégué Général Mouvement national Chômeurs et précaires (MNCP)
Boris Mellows, SUD Culture Solidaires
Didier Minot, président du Collectif Changer de cap
Francis Peduzzi, directeur de la scène nationale de Calais
Evelyne Perrin, Stop précarité, économiste
Alice Picard, porte parole d’Attac
Nicole Picquart, présidente du Comité national de liaison des régies de quartier
Serge Quadruppani, auteur, traducteur
René Seibel, responsable national AC !
Clément Terrasson, avocat
Roger Winterhalter, Maison de la citoyenneté mondiale
Voir la liste complète.

Comme fil rouge à notre raisonnement, confrontons le discours de nos adversaires qui prétendent chercher le juste équilibre entre la « sécurité » que produirait la VSA et la mesure de « liberté » qu’il faudrait lui sacrifier. En notre sens, il s’agit d’un faux dilemme : la VSA va réduire à la fois nos libertés et notre sécurité. Elle réduira la sécurité d’une large partie de la population tout en échouant à repousser les dangers qu’elle prétend combattre.

Effets négatifs sur la sécurité

La VSA pose trois menaces pour la sécurité de la population : elle met en danger les populations qui sont déjà les plus vulnérables, elle favorise structurellement les comportements violents de la police contre la population, elle offre au pouvoir exécutif une puissance telle qu’aucun contre-pouvoir ne pourra en empêcher les abus.

Mise en danger des populations les plus vulnérables

Comme tout système de surveillance de l’espace public, la VSA surveillera en priorité les personnes qui passent le plus de temps en extérieur – les personnes qui, par manque de ressources, n’ont pas ou peu accès à des lieux privés pour sociabiliser ou pour vivre. De plus, la VSA détecte des comportements d’autant plus efficacement qu’elle a pu s’entraîner à partir d’une grande quantité de séquences d’images représentant une même action. Ainsi, les comportements les plus efficacement détectés seront ceux que l’on rencontre le plus souvent dans la rue et les transports – les comportements typiques des populations qui y passent le plus de temps, peu importe que ces activités soient licites ou illicites.

Ce sont précisément ces comportements que les fournisseurs de VSA mettent en avant¹Par exemple, la RATP a récemment expérimenté dans la salle d’échange du RER des Halles un système pour repérer les personnes statiques pendant plus de 300 secondes. : maraudage, mendicité, réunions statiques. C’est le mode de vie des populations précaires ou populaires qui sera visé en priorité, alors qu’il ne constitue quasiment jamais un délit ou un crime. La VSA jouera le rôle de contrôle au faciès automatisé basé sur des critères sociaux, permettant de multiplier les alarmes sonores ou les contrôles humains et d’exclure une partie de la population de l’espace public, détériorant encore davantage leur sécurité – qu’il s’agisse de dégrader²L’exclusion par la surveillance s’ajoute aux politiques d’urbanisme et d’aménagement urbain déjà déployées contre les populations précaires et populaires. leur cadre de vie ou de les éloigner de l’accès aux soins et aux autres services publics.
81455195
La focalisation de la VSA sur les populations les plus pauvres n’est pas le simple « effet de bord » d’une technologie immature qui aurait encore quelques « biais ». Au contraire, la VSA est précisément vendue comme permettant de lutter contre des comportements définis comme « anormaux » qui, bien qu’étant parfaitement communs et « normaux » pour une large partie de la population, permettent de dénigrer les populations qui adoptent ces comportements. Ainsi, la VSA est autant un outil d’exclusion sociale qu’un outil de propagande politique, dont l’effet sera d’installer le sentiment que certaines populations (choisies arbitrairement par les fournisseurs de VSA et leurs clients) ne sont pas « normales » et doivent être exclues de l’espace public.

Déshumanisation de la population

La VSA renforce la distance qui sépare la police de la population. Cette distance est d’abord physique : l’interaction passe par des écrans et ne se réalise que dans une seule direction. La distance est aussi intellectuelle : les agents n’ont plus à comprendre, à évaluer ou à anticiper l’action des autres humains quand une machine le fait à leur place³Gregoire Chamayou. « Théorie du drone », 2013. L’auteur revient notamment sur la perte d’empathie entraînée par la distance entre le pilote de drone et ses cibles.. Déresponsabilisée, déshumanisée, la police est réduite à un outil d’action mécanique sur les corps, détachée de l’empathie et de la considération sans lesquelles les violences policières ne peuvent qu’exploser. Cette même empathie sans laquelle encore davantage de personnes auraient perdu la vie face aux pires crimes commis par la police (tel que notamment documenté⁴En plus des divers initiatives individuelles de policiers pendant l’occupation, le cas de la rafle manquée de Nancy illustre comment l’empathie d’un groupe de policiers a sauvé des centaines de personnes. pour la période de collaboration nazie).

De façon plus diffuse, cette mise à distance technologique accompagne une politique générale d’austérité. La collectivité assèche ses dépenses d’accompagnement et d’aide aux individus pour ne plus financer que leur gestion disciplinaire. Dans un courrier à la CNIL, la région PACA défendait l’expérimentation de la reconnaissance faciale aux abords de deux lycées en affirmant que ce projet constituait « une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique ». Le personnel encadrant, soucieux et à l’écoute, est remplacé par des machines dont le seul rôle est d’ouvrir et de fermer des accès. Ou encore à Nîmes, où la métropole a ponctionné presque 10 millions d’euros sur le budget d’investissement « eau » pour les dépenser à la place dans l’achat d’un logiciel de Détection Automatique d’Anomalie en temps réel.

La vidéosurveillance algorithmique accentue la déshumanisation du contrôle social qui était déjà une critique faite à la vidéosurveillance dite classique. Cette course sans fin s’inscrit dans la fuite en avant technologique générale qui anime à la fois l’effondrement des services publics et le désastre écologique en cours.

C’est aussi la population qui est déshumanisée : elle est utilisée comme cobaye pour entraîner les algorithmes. Non content de voir les habitants des villes comme une masse de données à rentabiliser pour le compte d’entreprises de mort, les populations permettent malgré elles de rendre le logiciel plus performant et donc de l’exporter sur le marché international de la surveillance. Par exemple, la multinationale Idémia, affine ses dispositifs de reconnaissance faciale aux aéroports français avec les dispositifs PARAFE ou MONA pour ensuite vendre des équipements de reconnaissance faciale à la Chine et participer à la surveillance de masse et le génocide Ouïghour.

Effacement des limites contre les abus de la police

Aujourd’hui, le nombre limité d’agents de police contraint celle-ci à concentrer une large part de ses ressources sur ses missions les plus importantes et les plus légitimes (crimes, violences aux personnes). Elle ne dispose ainsi que d’un temps et de ressources limitées pour poursuivre des activités peu légitimes (contre les populations vulnérables, contre les manifestants) ou qui constituent des abus de son pouvoir (répression d’opposants politiques, persécution de minorités).

Demain, la VSA promet d’effacer cette limite matérielle en décuplant les capacités opérationnelles de la police pour poursuivre les missions de son choix, que ces missions soient peu légitimes ou qu’elles constituent des abus. Par exemple, s’il est aujourd’hui extrêmement coûteux de détecter en manifestation l’ensemble des pancartes critiquant le gouvernement, la VSA promet à terme de rendre la chose triviale (facilitant les interpellations sur place ou, couplée à la reconnaissance faciale, permettant de poursuivre en masse les opposants trop expressifs). De même, si le suivi visuel d’opposants politiques implique aujourd’hui des moyens humains si importants que ces opérations ne peuvent rester qu’exceptionnelles, la VSA rend la chose triviale en permettant de suivre, à coût quasi-nul, une personne sur l’ensemble des caméras d’une ou plusieurs villes.

Ce changement d’échelle transforme considérablement la manière dont les pouvoirs de police sont exercés. D’une action précise répondant à des « besoins » pouvant être débattus démocratiquement, nous assistons à l’apparition d’une police omnisciente disposant de la capacité de surveiller et d’agir sur l’ensemble de la population. Avec la VSA, les 250 000 policiers et gendarmes actuels verraient leur autorité atteindre celle qu’auraient eu des millions d’agents non-équipés de telles technologies. De quoi atteindre le ratio police/population typique des États policiers.

Cette multiplication considérable des capacités de la police ne sera nullement compensée par une multiplication équivalente des capacités de contrôle de ses contre-pouvoirs. Dès aujourd’hui, l’installation des équipements de VSA se fait à un rythme bien trop important pour que la CNIL ou que des associations comme la nôtre puissent en prendre connaissance à temps et avec suffisamment de détails. Demain, la situation sera encore plus dramatique concernant l’utilisation quotidienne de ces systèmes : aucune autorité, aucun juge, aucun parlement ne pourra vérifier que chacune des innombrables détections réalisées chaque jour ne contribue pas à un abus de pouvoir. Personne ne pourra vérifier que la VSA ne permet pas à la police de réduire illégalement les conditions de sécurité de larges parties de la population.

En plus des risques d’abus policiers, ce changement d’échelle dans la surveillance de l’espace public contribue à criminaliser un nombre croissant de comportements. Ainsi, par exemple, la plupart des logiciels de VSA cherchent à détecter des dépôts d’ordure sauvage, le non-port du masque, des personnes qui sont statiques dans l’espace public, sans que ces évolutions aient été actées démocratiquement, résultant principalement d’initiatives d’entreprises privées.

Absence d’effet positif sur la sécurité

Les dégradations dramatiques engendrées par la VSA ne sont compensées par aucun avantage en terme de sécurité. Il s’agit d’un outil inadapté pour lutter contre les violences sur les personnes, que ce soit de par son objet, l’espace public, ou de par son fonctionnement, l’automatisation.

Cette double inadaptation repose sur une vision faussée du concept de « sécurité » qui, dans le discours des promoteurs de la VSA, se limite à un pur argument marketing déconnecté de la façon dont la population pourrait concrètement protéger sa santé physique et mentale, ses conditions de vie, son logement et ses capacités d’épanouissement.

Inadéquation de l’objet surveillé

L’objet de la VSA est l’espace public. Pourtant, pour l’essentiel, ce n’est pas dans l’espace public que se réalisent les violences sur les personnes. Tandis que les agressions sexuelles se déroulent presque toujours dans un contexte privé (91% sont perpétrées par une personne connue de la victime), la grande majorité des homicides, en excluant les conflits entre criminels, interviennent eux aussi en dehors de la voie publique⁵Voir statistiques pour la région parisienne entre 2007 et 2013, graphique 25..

Cette inadéquation entre l’objet surveillé et la finalité poursuivie est au cœur des nombreuses évaluations qui, depuis une décennie, concluent unanimement à l’inefficacité de la vidéosurveillance classique (voir notamment le rapport de la Cour des compte, du LINC et d’autres chercheurs).

Ce décalage est accentué en matière de VSA qui, pour fonctionner, doit s’entraîner sur un grand nombre de séquences vidéos représentant les comportements à détecter. Or, les violences sur les personnes sont beaucoup moins nombreuses dans l’espace public que de simples actes de dégradations, de maraudage ou de mendicité. Dès lors, l’algorithme aura beaucoup moins d’occasions de s’entraîner à détecter des actes de violences sur les personnes et les détectera beaucoup moins efficacement que d’autres actes plus anecdotiques (dont la surveillance, comme vu précédemment, dégradera les conditions de sécurité des populations les plus vulnérables).

Inadéquation de la méthode

La prévention des violences sur les personnes repose sur un travail humain et social : accompagnements personnalisés, soins, enquêtes de terrain, analyses sociologiques, réduction des inégalités ou même simplement présence sur le terrain. Ce travail humain a un coût nécessairement conséquent et déjà largement sous-investi, particulièrement dans les zones du territoire ou la précarité est la plus élevée.

À l’inverse, la VSA, probablement moins chère à court terme, n’est capable que de détecter certaines infractions (et parmi les moins graves), sans être capable d’en traiter les causes plus profondes en amont. Une façon de donner l’illusion de traiter les symptômes, sans rien changer sur le long terme.

C’est sans doute là que se trouve l’un des rares avantages de la VSA : offrir aux élus en manque de projet politique enthousiasmant un discours qui fera illusion à court terme. Ce discours est d’autant plus séduisant pour les élus que l’industrie de la VSA a préparé depuis plusieurs années les bons éléments de langage et l’imaginaire suffisamment confus pour espérer tromper le public. Sont décrits comme « anormaux » des comportements parfaitement banals mais typiques des populations les moins riches. Est présenté comme « sécurité » un objectif qui a bien plus à voir avec la « propreté » de la ville et la « sécurité » des biens qu’avec celle des personnes. Est dite « augmentée » ou « intelligente » une surveillance policière qui, au contraire, sera « réduite » à de pures tâches mécaniques et défaite de toute l’empathie et de toute la considération qui font l’intelligence humaine.

En conclusion, à l’exact opposé de ce que prétendent ses promoteurs, la VSA est une grave menace pour notre sécurité. Elle nuira aux conditions de vie d’une large partie de la population, ouvrira des risques politiques sans précédent, et cela sans même réussir à nous protéger par ailleurs. En plus d’être une grave menace pour notre sécurité, la VSA balaiera du même geste notre liberté d’aller et de venir, de nous rassembler, d’exprimer nos opinions politiques ou d’avoir la vie privée de notre choix. Nous reviendrons en détails sur les atteintes aux libertés causées par la VSA dans un futur article juridique reprenant l’analyse développée dans notre réponse à la consultation de la CNIL.

Que contient Mon Espace Santé ?

Pour commencer, faisons un petit tour plutôt descriptif de ce qui est annoncé en terme de fonctionnalités. Mon Espace Santé (aussi appelé Espace numérique de santé dans la loi et le décret qui le créent) se compose principalement de quatre éléments :

* Un Dossier Médical Partagé (DMP), ou espace de stockage et de partage d’informations médicales : il contient les traitements, les résultats d’examens, les antécédents médicaux, les compte-rendus d’hospitalisation, qui peuvent être partagés avec les professionnel·les de santé. Cet espace de stockage permet également de conserver des documents tels que la synthèse médicale produite par le ou la médecin généraliste, le carnet de vaccination ou l’historique des remboursements alimentés automatiquement par l’Assurance maladie (sources). Le Dossier Médical Partagé existait déjà depuis 2011 (sous le nom de Dossier Médical Personnel jusqu’en 2015) mais n’était ouvert que sur demande ; aujourd’hui, il est ouvert par défaut, en même temps que Mon Espace Santé, pour l’ensemble de la population.

Dans l’absolu, cet espace de partage des informations pourrait être une solution pour faciliter le droit d’accès à son dossier médical. Mais ceci impliquerait une mise en œuvre solide et de confiance qui n’est, à notre avis, pas atteinte avec Mon Espace Santé (voir plus bas la suite de notre analyse).

* Une messagerie sécurisée pour échanger avec des professionnel·les de santé. À la création de Mon Espace Santé, une adresse de messagerie MSSanté (Messagerie Sécurisée de Santé) est automatiquement attribuée à la personne usagère et rattachée à Mon Espace Santé. Cette adresse est constituée à partir du matricule INS de l’usagère et du nom de domaine de l’Opérateur de Mon Espace Santé (selon le Référentiel Socle MSSanté). Les messages échangés sont stockés pendant une durée de dix ans, sauf lorsqu’ils sont supprimés directement par l’utilisateur·ice. Ces adresses existaient déjà pour les professionnel·les de santé.

* Un agenda pour suivre ses rendez-vous médicaux et recevoir des rappels.

* Un catalogue de services numériques de santé : concrètement, la personne usagère pourra autoriser des applications tierces à accéder à son espace santé. Ces applications seront validées et autorisées par le Ministère de la santé. Développées par des acteurs publics et privés de la santé, elles incluront des éditeurs de logiciels et d’applications mobiles, des plateformes de télémédecine, des plateformes de prise de rendez-vous en ligne (qui s’intégreront probablement à l’agenda santé), des portails patients des établissements de santé (ETS) et portails de pré-admission, et même des fabricants d’objets connectés. Cette fonctionnalité nous inquiète particulièrement sur le plan de l’accès aux données personnelles, comme nous l’expliquons plus bas.

Enfin, pour accéder à ces différents services, outre un site web, une application mobile sera également disponible. Le développement technique est réalisé par les entreprises privées Atos, Octo, Accenture et Maincare. La société Worldline traite les données du Dossier Médical Partagé au travers de sa filiale Santeos. Les autres données (messagerie, agenda…) sont traitées par la société Atos.

Un recueil accessoire du consentement des personnes

À la création du compte

Pour chaque personne, la création de Mon Espace Santé se fait automatiquement selon un calendrier régionalisé prévu par l’État. Chaque personne est notifiée par courrier postal ou par courriel de la création prochaine de son espace. Elle dispose alors d’un délai de six semaines pour empêcher la création de l’espace en se connectant sur le site. L’espace est donc créé sans le recueil du consentement préalable et explicite de la personne usagère. L’opposition, elle, doit être explicite.

Dans les premières annonces d’ évaluation de la phase pilote, qui a eu lieu à partir d’octobre 2021 dans trois départements, la Sécurité sociale annonçait que « moins de 0.7% des usagers se sont opposés à [la] création [de leur espace santé]. » Mais plus loin on apprenait que seuls 4.8% des personnes ayant un espace santé l’avaient utilisé. Comment savoir donc si les presque 90% restants ont réellement souhaité en avoir un, ou même s’ils ont reçu le courrier ou mail prévenant de sa création (et des possibilités de s’y opposer) ?

Avant même de se poser la question de l’utilité ou non de Mon Espace Santé, on peut dire que les modalités de sa création sont loin d’être respectueuses des personnes auxquelles il est censé simplifier la vie. Passer outre le consentement des personnes au prétexte de « les aider » est la définition du paternalisme et, selon nous, s’oppose aux véritables pratiques de soin fondées sur l’écoute et la considération.

Certes, il est toujours possible de supprimer son compte. Mais, là encore, la personne usagère devra être attentive et suffisamment informée si elle souhaite demander la fermeture de son compte en cochant la bonne case (ses données seront supprimées 3 mois plus tard, à moins d’être supprimées individuellement au sein du profil médical, des mesures santé ou de la messagerie, auquel cas elles seront effacées immédiatement). Nous avons trop souvent dénoncé ce tour de passe-passe lorsqu’il était réalisé par les GAFAM : la possibilité théorique d’effacement ultérieur ne produit aucun effet significatif concret qui pourrait justifier l’absence de consentement préalable. Ce qui est inadmissible pour les GAFAM l’est encore davantage pour un service public traitant des données extrêmement sensibles soi-disant « pour notre bien ».

Dans le partage des données avec les professionnel·les de santé

Une fois créé, l’espace santé a pour but de partager les informations avec le personnel de santé : la personne usagère devra donc autoriser les soignant·es à accéder à tout ou partie de ses informations. Mais, là encore, le recueil du consentement est problématique, pour ne pas dire quasiment factice : une simple case à cocher par le ou la soignante servira de « preuve » que l’on a donné son accord pour qu’il ou elle y accède. Au niveau du service informatique, il n’y a donc aucune procédure pour vérifier qu’il s’agit bien de la personne patiente qui donne son accord, à qui, et quand.
On peut ainsi imaginer qu’une personne mal-intentionnée ait accès au service en tant que personnel soignant et consulte le dossier de n’importe quelle personne dans la base de données. Il lui suffirait de cocher cette case de manière arbitraire et d’accéder à des informations privées. Ce cas est certes déjà possible actuellement sans Mon Espace Santé, à partir des divers bases de données médicales existantes, mais de manière bien plus cloisonnée. Avec un système aussi centralisé que Mon Espace Santé, la possibilité que ce type de scénarios se produise est accrue. On peut aussi aisément imaginer que nombre de personnes soignantes vont considérer que le fait d’avoir pris rendez-vous équivaut à consentir à ce qu’ils ou elles accèdent au dossier du ou de la patient·e : le respect du consentement est encore malheureusement une question épineuse dans le milieu médical où les maltraitances médicales peuvent être nombreuses.

Enfin, une fois l’espace créé, seuls des « motifs légitimes » peuvent être invoqués pour refuser qu’un·e professionnel·le verse des documents en ligne. C’est ce qu’indique en l’article R. 1111-47 du code de la santé publique et rappelé dans la politique de protection des données personnelles : « Une fois votre profil Mon Espace Santé créé, vous ne pourrez pas, sauf à invoquer un motif légitime, refuser qu’un professionnel autorisé ou que les personnes exerçant sous sa responsabilité déposent dans votre dossier médical partagé les informations qui sont utiles à la prévention, la continuité et la coordination de vos soins (article R. 1111-47 du code de la santé publique) ».

Illustration : la configuration par défaut du compte à sa création

Nous avons passé en revue la configuration des paramètres à la création du compte « Mon Espace Santé », et déjà, nous pouvons noter quelques actions effectuées sans l’accord explicite de la personne usagère :

L’attestation de vaccination Covid-19 est automatiquement versée dans le dossier par l’Assurance maladie. Le document est visible par défaut à l’ensemble des professionnel·les de santé. Il est possible de le masquer, mais pas de le supprimer car il a été ajouté par un·e professionnel·le de santé. Il n’est pas possible de s’opposer au versement de ce document, alors que l’Assurance maladie n’a pas été techniquement autorisée à déposer des documents sur ce compte.

En ce qui concerne la configuration des accès aux professionnel·les en cas d’urgence, l’option est activée par défaut à la création du compte. Pour s’en rendre compte, la personne usagère doit se rendre dans la section « Confidentialité » des paramètres de configuration, puis « Accès en cas d’urgence ». Le personnel du SAMU ainsi que « tout autre professionnel de santé » sont autorisés par défaut à accéder aux documents et aux rubriques « Vaccinations », « Historique de soins », « Entourage et volontés » du profil médical. Mais quels contrôles techniques permettent de définir ce qui est une situation d’urgence et débloque l’accès des documents aux professionnel·les ? Et s’agit-il des professionnel·les qui ont d’ordinaire déjà accès à notre espace ? Les informations que nous avons pu recueillir ne nous permettent pas de répondre actuellement à cette question.

Un cloisonnement des informations insuffisant vis-à-vis du personnel soignant

Le décret s’appliquant à Mon Espace Santé prévoit une matrice d’accès différencié aux informations de la personne usagère selon le type d’activité du ou de la soignante. En pratique, le partage par défaut est très large : votre dentiste aura accès à vos résultats de prélèvements sanguins, votre kiné à votre historique de vaccination, votre sage-femme aux données de remboursement, et ainsi de suite.

Le ou la médecine traitante a, quant à elle, accès à l’ensemble des informations contenues dans l’espace santé de ses patient·es.
S’il est possible de bloquer l’accès à un·e professionnel·le de santé depuis les paramètres de l’espace, que se passe-t-il dans le cas où l’on souhaite changer de médecin·e traitant·e ? Ou que l’on souhaite choisir quelles informations partager ? En effet, certains parcours de santé nécessitent la consultation de divers spécialistes aux opinions divergentes pour obtenir un diagnostic. L’accès à certaines informations sur des opérations ne faisant pas consensus parmi le corps médical peut également générer des biais négatifs chez les professionnel·les de santé (par exemple, le recours à une IVG). Enfin, l’accès est partagé pour le service d’un hôpital : impossible dans de ce cas de savoir qui y a vraiment accès (prêt de carte d’accès au système informatique par exemple).

Cependant, il est important de noter que la personne usagère ou qu’un·e professionnel·le peuvent choisir de masquer un document pour le rendre inaccessible aux autres professionnel·les de santé, à l’exception du ou de la médecine traitante, de la personne ayant mise en ligne le document et du personnel intervenant en cas d’urgence. Si ce n’est pour ces larges exceptions, ceci représente un bon moyen de protéger la confidentialité des données au cas par cas. En revanche, il n’est pas possible de supprimer un document déjà versé par un·e professionnel·le de santé.

Il est possible pour les personnes de vérifier qui a eu accès à leurs données : des journaux d’activité enregistrent qui accède à quel document à une date et une heure donnée. La personne usagère peut recevoir des notifications chaque fois qu’un nouvel accès est détecté. Ces journaux permettent donc de détecter un potentiel mésusage de l’accès aux données. Cependant, cette fonctionnalité ne peut aider à protéger les accès qu’après coup : si on se rend compte qu’une personne soignante a eu accès à un document et que cela ne nous convient pas, on ne pourra que limiter ses accès futurs.

Le système de droit d’accès de Mon Espace Santé n’a pas été pensé pour permettre aux utilisateur·ices de gérer simplement et de manière éclairée l’accès à leurs données. On pourrait par exemple imaginer un système où par défaut seule la personne usagère et la liste de soignant·es qu’elle a désignées auraient accès aux documents la concernant, l’usagère pouvant ensuite choisir de démasquer certains documents à d’autres professionnel·les de santé (en bénéficiant par exemple de conseils de la part des soignant·es pour faire ce choix de manière éclairée). Dans ce cas, c’est la personne usagère qui aurait véritablement la main sur ses données, et non pas les professionnel·les de santé comme c’est le cas avec la conception actuelle de Mon Espace Santé.

Une mise en danger du secret médical pour certains ouvrants droits ?

Dans le cas des enfants et des adolescent·es, les ouvrants droits (c’est-à-dire les assuré·e·s) auront accès aux espace de santé des personnes qui leur sont rattachées. C’est-à-dire que, concrètement, toutes les informations de santé de leurs enfants et adolescent·es, ainsi que les rendez-vous et les courriels passant par la messagerie sécurisée leur seront accessibles.

En théorie, certaines infos peuvent ne pas être versées dans le dossier. Par exemple, dans le cas d’une IVG, le ou la soignant·e est en charge d’expliquer et de proposer à la personne mineure de ne pas ajouter les infos de l’IVG dans le dossier. La personne peut répondre qu’elle ne veut pas que ce soit versé. Aucune donnée de remboursement relatif à cet acte ne sera remontée. Cet exemple fait partie des motifs légitimes que peut invoquer une usagère pour refuser qu’un·e professionel·le verse un document sur l’espace santé.

Ceci implique que les soignant·es pensent à demander, et respectent, le souhait des personnes. Or, avec Mon Espace Santé, la quantité des données versées est multipliée et surtout normalisée : par fatigue ou par oubli à force de répétition, il est probable que le consentement pour verser une information dans Mon Espace Santé ne soit pas récolté à chaque fois. De plus, comme le recueil du consentement est oral et informel (il ne laisse donc aucune trace), la décision pourra difficilement être contestée.

Cet outil multiplie donc malheureusement les chances de mettre en danger le secret médical de ces personnes, et potentiellement la sécurité des personnes au sein de leur foyer ou de leur famille : que se passe-t-il si une enfant/ado ne souhaite pas parler d’un sujet (contraception, dépistage de MSTs, grossesse, avortement, transition) avec la personne à laquelle son compte est rattaché (que cela soit par pudeur ou par crainte de violences en représailles) ?

Le dossier Informatique et Libertés fourni par la Délégation du numérique en santé précise par ailleurs que l’opposition à la création du compte Mon Espace Santé appartient aux représentants légaux. Une personne mineure ne peut donc supprimer ou s’opposer à la création de son espace santé.
En revanche, lorsque la personne devient ayant droit autonome, les accès des représentants légaux sont clôturés par le service. La personne peut gérer son compte, le fermer ou le créer s’il n’existait pas avant si elle le souhaite. Notons qu’une personne peut demander, à partir de 16 ans, de devenir ayant droit autonome auprès de la CPAM de son domicile. On peut imaginer que le scénario de clôture des accès des anciens représentants légaux s’applique également dans ce cas.

Par ailleurs, la notion d’ayant droit existe toujours dans certains régimes tels que la Mutualité sociale agricole (MSA) ou le régime local d’Alsace-Moselle (personnes mariées, pacsées, concubines et enfants jusqu’à 24 ans sans activités). La documentation à laquelle nous avons eu accès ne permet pas de dire si les ouvrants droits auront accès aux espaces santé des ayants-droits majeurs. Nous attirons l’attention sur le fait que si tel était le cas, cela représenterait un danger pour les personnes qui vivent des violences ou des conflits dans leur vie familiale (personnes en instance de divorce par exemple).

Enfin, au delà des soignant·es et des utilisateur·ices, des personnes tierces peuvent avoir accès aux données de santé pour des fonctions de support. Les niveaux 2 et 3 de ce support pourront avoir accès aux données de santé. Ceci implique notamment des agent·es de la CPAM et le personnel de prestataires (Atos/Wordline) et de l’hébergement. L’accès aux informations doit en théorie recueillir le consentement de la personne usagère dans le cadre du support, mais là encore impossible d’assurer que ce consentement sera bien demandé et non forcé techniquement. Concrètement, des personnes qui ne sont pas professionnelles de santé peuvent accéder aux informations médicales personnelles des usagères. Mais cela est-il vraiment nécessaire pour une fonction support ? Ceci pose la question également de savoir si les documents sont stockées de manière chiffrée et lisibles uniquement par les personnes habilitées, ou pas. Difficile de répondre à cette question en l’état de nos connaissances.

Un futur écosystème d’applications aux nombreuses inconnues

La description du catalogue de services numériques de santé à venir implique la possibilité d’ajouter des applications d’entreprises privées au sein de l’espace santé. Ceci pose un grand nombre de questions concernant le partage des données d’activités et des contenus stockés dans l’espace santé. Pour l’instant, nous n’avons pas les réponses à ces questions, et nous soulignons notre inquiétude sur ce sujet : comment l’usagère pourra-t-elle déterminer à quelles données l’application accède, et si cela est légitime ? Pourra-t-on limiter les données auxquelles chaque application a accès (comme sur un smartphone) ? Lors des mises à jour des applications, les changements de permissions ou de fonctionnement seront-ils notifiés et comment ? Et enfin, quels usages de nos données feront les « startups » d’objets connectés et autres grandes entreprises et plateformes de prise de rendez-vous (monétisation, profilage) ? Au-delà de ces problèmes d’implémentation, il faut dénoncer la direction générale animée par cette évolution : le remplacement du soin par la technique industrielle.

Un futur accès plus difficile au service public de santé ?

Mon Espace Santé s’inscrit dans une tradition de numérisation et de centralisation en ligne des données : ceci fait du service une cible idéale pour les piratages de données. Le stockage est géré par une entreprise privée. Le code du service n’est ni public ni accessible, ce qui pose la question de la transparence pour un outil du service public.

Nous nous interrogeons, aujourd’hui comme dans un futur plus ou moins proche, sur l’accès à la santé des personnes ne pouvant ou ne voulant pas utiliser ce service de santé. Et si d’aventure nous nous retrouvions dans une situation où il nous est impossible d’avoir rendez-vous sans passer par cet espace ? Ou que nos remboursements sont rendus difficiles sans l’utilisation de cet espace ?

La fiabilité et la sécurité informatique de ce service doivent aussi être considérées : si la plateforme se retrouve la cible d’un défaut de fonctionnement ou d’un piratage, que deviennent alors nos données ? Souvenons-nous du piratage des services de l’AP-HP en 2021 dans le contexte du Covid-19, suite auquel la réponse apportée par les autorités de santé a été insuffisante, voire nulle. Plus récemment encore, les données d’au moins 510 000 personnes ont été volées à l’Assurance maladie via Amelipro. À vouloir faciliter l’accès à la santé en imposant un outil numérique, n’y a-t-il pas erreur sur la façon de procéder ? Autant de questions auxquelles cet outil numérique ne répond pas tout en persistant dans la même direction.

Conclusion

Mon Espace Santé est un service manipulant des données sensibles qui est déployé à l’ensemble de la population française. Or, sa conception et son déploiement ne sont clairement pas au niveau des services les plus respectueux en matière de protection de la vie privée.

Selon le Ségur du numérique en santé, son ambition est de « généraliser le partage fluide et sécurisé de données de santé entre professionnels et usagers pour mieux soigner et accompagner. »

Mais pour cela, les besoins en terme de consentement et de gestion des données des usagères devraient être au cœur d’une expérience utilisatrice respectueuse, fiable et réaliste, ce qui à notre sens n’est pas le cas avec Mon Espace Santé. Sans oublier que ce service s’inscrit dans un processus de numérisation des services publics qui, trop souvent, ne tient pas compte des difficultés d’accès et d’utilisation d’Internet par de nombreuses personnes.

Pour ces raisons, nous ne pouvons que remercier les nombreuses associations qui ont déjà alerté sur ce sujet et, comme elles, vous proposer des guides pour demander la suppression de votre espace santé.

Définitions

Selon la CNIL, la « vidéo augmentée désigne ici des dispositifs vidéo auxquels sont associés des traitements algorithmiques mis en œuvre par des logiciels, permettant une analyse automatique, en temps réel et en continu, des images captées par la caméra. »

Vidéosurveillance/Vidéoprotection « augmentée » ou « intelligente », comme l’écrivent les institutions et les industriels ou encore vidéosurveillance « algorithmique » ou « automatisée » (VSA) comme nous préférons la nommer. Tous ces termes recouvrent une même réalité aux contours plus ou moins flous et aux promesses plus ou moins concrétisées. Il s’agit de l’ajout d’une couche d’algorithme aux caméras de vidéosurveillance dites « classiques ». Et ce, dans le but de rendre automatique l’analyse des images captées par caméras, jusqu’à présent réalisée par des humains, des opérateurs vidéo au sein de centres de supervision urbains (CSU). Alors pourquoi ces différences de langage ?

Parce que les mots ont un poids fort, nous préférons « automatisation » – ce terme déconstruit la notion d’intelligence qu’apporterait soi-disant la technologie. L’automatisation n’est pas un procédé neutre et en dehors du monde social mais qui transporte¹Florent Castagnino, Rendre « intelligentes » les caméras : déplacement du travail des opérateurs de vidéosurveillance et redéfinition du soupçon, Sciences Po, 2019. avec lui les représentations et normes de celui-ci. Et « algorithmique » pour rendre visible l’ajout de ces logiciels fabriqués par des start-ups et multinationales dont on ne sait pas grand-chose.

Cette surcouche algorithmique vise à faire de l’analyse vidéo, que ce soit en temps réel ou après coup, et à repérer… ce que la police a envie de repérer. Cela va de la « détection de comportement suspect », au « maraudage » (le fait d’être statique dans l’espace public), en passant par le « dépassement d’une ligne », le suivi de personne, la détection d’objet abandonné, d’une bagarre, d’un vol, etc.

Le déploiement de la VSA dans les villes

Que ce soit à Toulouse en 2016 avec IBM (projet abandonné en 2019), à Nîmes depuis 2015 avec Briefcam, à Marseille dès 2018 avec la SNEF, à Paris avec la RATP qui autorise des entreprises à tester leurs algos sur les utilisateur·ices des métros, ou encore avec la municipalité de Suresnes qui met à disposition sa population en tant que cobaye pour la start-up parisienne XXII, la vidéosurveillance algorithmique se déploie un peu partout en France. S’il reste compliqué de quantifier le nombre de villes qui utilisent la VSA, en raison du manque criant de transparence de ces dernières, il est possible d’en repérer au moins une cinquantaine, le vrai nombre devant malheureusement dépasser la centaine, rien qu’en France.

Depuis plusieurs années, nous suivons ce déploiement, souvent très opaque (toutes les municipalités ne sont pas aussi loquaces que celle d’Estrosi). Alors que la VSA faisait l’objet jusqu’il y a peu de très nombreuses expérimentations sauvages, la CNIL a explicitement demandé en janvier 2022 aux industriels du secteur de lui faire des retours sur l’usage de ces technologies « afin d’accompagner leur déploiement », prenant clairement un parti : celui des industriels de la sécurité. La VSA semble en passe d’inonder le marché de la sécurité urbaine numérique.

Et ce marché de la VSA prend forme : si des acteurs comme IBM à Toulouse n’ont pas réussi à rendre efficace leur produit et semblent s’être retirés, l’entreprise israélienne Briefcam (entité du groupe Canon) prétend dominer le marché en France tandis que des villes signent des partenariats avec des start-up ou firmes françaises, soutenues par les décideurs politiques, afin de rendre les industries françaises concurrentielles sur le marché international de la sécurité urbaine numérique.

Les exemples de Briefcam et Two-I

Briefcam est une entreprise qui produit des logiciels de vidéosurveillance algorithmique très bien implantée en France, aux États-Unis et dans une quarantaine de pays. En 2020, déjà plus de 35 villes françaises utilisaient son logiciel, dont voici une démonstration assez révélatrice.

Dans cette vidéo, l’entreprise affirme être capable de condenser des heures de vidéos en quelques minutes, de pouvoir faire du suivi de personnes en fonction d’attributs (femme, homme, sac, chapeaux, couleurs d’habits…). On sait aussi que le logiciel de Briefcam est doté d’une option de reconnaissance faciale, que les élus à la sécurité sont très impatients d’enclencher.

Two-I de son côté est une start-up française, basée du côté de Metz. Ayant d’abord tenté de se faire une place dans la détection d’émotions (notamment l’expérimentation avortée à Nice de détection d’émotions dans les tramways), elle s’est finalement lancée dans la vidéosurveillance algorithmique et la conception de ce que les industriels appellent une « plateforme d’hypervision ». Ces plateformes mettent en carte et traduisent les nombreuses données collectées par les caméras et les algorithmes, dans le but « d’optimiser la gestion de la ville ». En somme, ces plateformes permettent de rendre utilisable la vidéosurveillance algorithmique, via une mise en carte des données et alertes captées par les caméras et algorithmes.

Hyperviseur de Two-I, voir la vidéo de présentation ici.

L’exemple des logiciels de Briefcam ou encore de Two-I (qui ne sont que deux exemples parmi une dizaine d’autres entreprises sécuritaires du même type) est révélateur de ce nouveau marché de la sécurité mais aussi d’un basculement dans le concept de sécurité. Dorénavant, ce sont des entreprises privées qui, concevant les algorithmes vendus aux collectivités territoriales, décident ce qu’il y a derrière une alerte pour « comportement anormal ou suspect ». À travers l’automatisation, les entreprises acquièrent un pouvoir de police et d’édiction des normes et des comportements dans l’espace public, s’inscrivant parfaitement dans l’expansion des politiques sécuritaires.

Les effets de la vidéosurveillance algorithmique

L’ajout d’algorithme à la vidéosurveillance « classique » n’est pas anodin. Cela témoigne d’un changement d’échelle dans la surveillance par les caméras qui, jusqu’à présent, comme le décrit Tanguy Le Goff²Tanguy Le Goff, « Dans les « coulisses » du métier d’opérateur de vidéosurveillance », Criminologie, vol. 46, n°2, 2013, p. 91-108., était un « travail de surveillance […] jugé ennuyeux et monotone » au sein duquel les opérateurs vidéo mettaient en place des stratégies pour réaliser ce travail de manière partielle.

L’automatisation de cette surveillance est censée décupler les yeux derrière l’écran des caméras. Et cela se traduit notamment par la criminalisation de comportements jusqu’alors anodins ou presque comme le dépôt d’ordures sauvage, le non port du masque ou encore les déjections canines. L’automatisation permet à la police d’étendre sa capacité d’action à de nouveaux champs sur lesquels elle a maintenant un pouvoir de répression. La police peut décupler sa capacité à normaliser l’espace public : si le maraudage, c’est-à-dire le fait de rester statique plus de 300 secondes, alerte les forces de l’ordre, on peut craindre pour les personnes qui ne peuvent pas voir la rue comme un « simple endroit de passage », car ils y vivent ou en font un repère social nécessaire. Nous reviendrons dans un prochain article sur le fait que les algorithmes sur les caméras augmentent la répression policière sur les populations déjà particulièrement ciblée par les forces de l’ordre.

Un autre aspect de la VSA est la tendance croissante à être mis en données. Au-delà de la surveillance de l’espace public et de la normalisation des comportements qu’accentue la VSA, c’est tout un marché économique de la data qui se frotte les mains. Le prétendu « encadrement » des dispositifs promis par la CNIL permettrait aux entreprises de la Technopolice d’utiliser les espaces publics et les personnes qui les traversent ou y vivent comme des « données sur pattes ». Et aux industries de la sécurité de se faire de l’argent sur nous, d’améliorer leurs algorithmes de répression et ensuite de les vendre sur le marché international. C’est ce que fait la multinationale française Idémia, qui affine ses dispositifs de reconnaissance faciale aux aéroports français avec les dispositifs PARAFE ou MONA pour ensuite vendre des équipements de reconnaissance faciale à la Chine et ainsi participer à la surveillance de masse et au génocide des Ouïghours, ou encore pour remporter les appels d’offres de l’Union Européenne en vue de réaliser de la biométrie aux frontières de l’UE.

De quoi la VSA est-elle le nom ?

Vidéosurveillance automatisée et Smart City nourrissent la même fiction : celle d’une ville dont les capteurs mettent en données, où les algorithmes trient et détectent et où une plateforme centrale permettrait à la police de gérer la ville à distance.

La vidéosurveillance algorithmique, c’est un marché de la sécurité qui tente de s’accroître en devenant « numérique » c’est-à-dire avec de l’IA et des algorithmes. Et comme le montre Myrtille Picaud³ Myrtille Picaud Peur sur la ville. La sécurité numérique pour l’espace urbain en France [Rapport de recherche] 01/2021, Chaire « Villes et numérique », École urbaine de Sciences Po, 2021., les industriels et décideurs politiques français font pression pour structurer une filière industrielle sécuritaire forte afin d’être concurrentielle sur le marché international, qui représente un marché économique énorme. Les grands événements sportifs comme les Jeux Olympiques de Paris en 2024 ou encore la coupe du monde de Rugby en 2023 représentent une aubaine pour accélérer le développement de technologies sécuritaires, offrir une vitrine aux industriels français et normaliser ces dispositifs.

Pour les industriels, la VSA représente la possibilité de justifier le déploiement de centaines de milliers de caméras en France. Déploiement largement décrié⁴Voir ces trois études : celle de Guillaume Gormand commandée par le CREOGN, l’étude sur la vidéosurveillance dans les villages, novembre 2021 et le rapport sur les polices municipales, d’octobre 2020. même par les institutions publiques, mais qui, par un tour de magie, prendrait tout son sens avec l’ajout d’algorithmes (argument absurde, nous y reviendrons dans un prochain article). La VSA permettrait d’utiliser les caméras à leur plein potentiel et même d’accélérer leur déploiement : il en faudra plus et il faudra aussi remplacer les anciennes qui ne seraient pas d’assez bonne qualité pour les algorithmes ; et surtout s’assurer de poursuivre l’installation démesurée de caméras qui continueront à rapporter beaucoup d’argent aux entreprises du secteur.

En plus de constituer une justification à la multiplication des caméras de vidéosurveillance, la VSA forme une ressource rentable⁵Laurent Mucchielli, Vous êtes filmés, Armand Colin, 2018, page 80. politiquement, expliquant l’engouement immodéré des élus locaux pour la vidéosurveillance. La VSA est une mesure de court terme que les élus locaux peuvent mobiliser pour montrer qu’ils agissent. La sécurité numérique constitue⁶Guillaume Faburel, Les métropoles barbares, Paris, Le passager clandestin, 2020 [2018], page 46. également une source d’attractivité et de distinction dans la concurrence territoriale, dans la recherche de capital symbolique pour attirer tourisme et classe créative.

La vidéosurveillance algorithmique, c’est un renouveau dans la croyance en la « prophétie technologique⁷Ibid. » intégrée dans la Smart City. Cette croyance permet de continuer à déployer des caméras et, surtout, de trouver toujours plus de débouchés économiques.

Pour conclure :

En somme, la vidéosurveillance algorithmique est une technologie en passe d’être largement déployée en France et qui l’est peut être déjà beaucoup plus que ce que nous pouvons en douter, qui sert à justifier l’existence de l’immense parc de vidéosurveillance français, en tentant de le rendre plus performant, via l’automatisation de la détection d’infractions. Cette technologie s’intègre dans la fiction plus large de la Smart City, qui base la gestion de la ville sur l’IA et représente un énorme marché économique. Ces technologies d’automatisation réduisent encore les espaces de liberté dans les rues et sur les places des villes, augmentant la répression sur les populations les plus visées déjà par la police. Nous reviendrons plus en détail sur ce pour quoi nous sommes contre cette technologie et comment il est possible de lutter contre son déploiement.

Depuis sept ans, La Quadrature du Net et d’autres associations se battent contre cette surveillance des réseaux de télécommunications. Celle-ci permet aux services de police, de renseignement et à la Hadopi/Arcom d’accéder, pendant une année, à toutes les traces numériques que nous laissons en utilisant un téléphone ou un ordinateur. Pourtant, l’obligation imposée aux opérateurs et hébergeurs de conserver toutes ces données pour les besoins de la police était jugée illégale et disproportionnée depuis 2014 par la Cour de justice de l’Union européenne.

En sept ans de procédure, nous avons essuyé mépris et échec devant les juridictions françaises. Mépris de l’État de droit, d’abord, mis à mal par le gouvernement. Celui-ci ne veut pas respecter cette jurisprudence européenne confirmée par la victoire obtenue difficilement par La Quadrature, FDN, FFDN et igwan.net devant la Cour de Justice de l’Union européenne en 2020. En invoquant des inepties juridiques, la France demandait au Conseil d’État de ne pas appliquer une décision de justice qui, pourtant, s’impose sans discussion à elle.

Échec, ensuite, parce qu’en 2021, prétextant un état d’urgence permanent qui justifierait les pires mesures de surveillance, le Conseil d’État préféra finalement donner raison aux velléités sécuritaires du gouvernement.

Aujourd’hui, le Conseil constitutionnel vient toutefois de prendre un autre chemin. Il avait à se prononcer sur la question de la constitutionnalité d’une précédente version de la loi encadrant cette obligation de conservation généralisée et indifférenciée. En considérant que celle-ci est disproportionnée, le Conseil constitutionnel s’aligne donc avec la ligne jurisprudentielle européenne que nous défendons depuis le début de cette bataille. Après toute cette résistance de la part du gouvernement et du Conseil d’État, ce sursaut est une bonne nouvelle.

Cette censure arrive toute fois un peu tard. Déjà, le Conseil constitutionnel n’était saisi que de l’ancienne version de l’article L. 34-1 du code des postes et des communications électroniques. Celle-ci constituait la base juridique de l’affaire pénale à l’occasion de laquelle la question avait été posée. Mais, entre-temps, cet article a été réécrit à l’été 2021 par l’adoption de la loi renseignement. Si la conservation des données est toujours prévue par les nouvelles dispositions, la manière dont elle est encadrée est plus complexe et suit l’interprétation opportuniste du Conseil d’État. Nous ne pouvons donc pas affirmer que la décision d’aujourd’hui amène forcément à une inconstitutionnalité de la nouvelle version de cet article.

Ensuite, le Conseil constitutionnel a décidé de se limiter au champ pénal seulement, ce qui veut dire que ni la surveillance à des fins de lutte contre le piratage, ni celle à des fins de renseignement ne sont concernées par la décision d’aujourd’hui. Or, comme on le voit depuis 2015, et plus récemment avec la question du partage de renseignements, le Conseil constitutionnel n’a jamais voulu entraver le travail de ces services de renseignement, quitte à nier les droits fondamentaux.

Nous accueillons donc positivement la décision du Conseil constitutionnel qui permet de poser une nouvelle pierre à l’édifice de protection de la vie privée mais nous devons garder à l’esprit ses limites pratiques. L’effet et le coût politique sont à relativiser : il est facile pour le Conseil constitutionnel de censurer des dispositions qui ne sont plus en vigueur. De fait, cette victoire juridique arrive trop tard puisque les pratiques de surveillance ont été validées par les initiatives du Conseil d’État, du gouvernement et de sa majorité au Parlement. Nous allons suivre de près les suites qui pourraient être données à cette décision, ce travail n’étant possible que grâce à votre aide.

Le contexte est en effet propice à l’automatisation de nombreuses fonctions administratives. Outre la conversion d’une partie des élites politiques et administratives au concept de « gouvernance par les données », l’offre technologique des prestataires privés s’est aussi structurée, grâce notamment au développement rapide des techniques dites d’« intelligence artificielle » (IA). Du côté des « administrés », ce projet rencontre une plus grande acculturation de la population française au numérique ³Près de 10 millions de résidents français ne bénéficient toutefois pas d’accès à Internet (soit parce qu’ils ne disposent pas d’abonnement, soit qu’il ne disposent pas d’équipements adéquats). Voir le baromètre du numérique réalisé par l’Arcep, juillet 2021, p. 308 : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-2021-infographie.pdf. Trois français sur dix s’estiment incompétent pour réaliser des démarches administratives en ligne. Charrel, Marie, et Zeliha Chaffin. 7 septembre 2021. « Illectronisme : les laissés-pour-compte du tout-numérique ». Le Monde. https://www.lemonde.fr/economie/article/2021/09/07/illectronisme-les-laisses-pour-compte-du-tout-numerique_6093657_3234.html. , avec un taux d’équipement important et de nombreux programmes pour la « former » aux outils numériques, que ce soit à l’initiative des pouvoirs publics ou d’entreprises comme Google (entreprise accueillie à bras ouverts par plusieurs villes françaises pour installer ses « ateliers numériques »).

Ces différents facteurs poussent à une multiplication des « assemblages algorithmiques » dans les administrations⁴Sur la notion d’« assemblage algorithmique », voir Ananny, Mike, et Kate Crawford. 2018. « Seeing without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability ». New Media & Society 20(3): 973‑89.. Que ce soit la dématérialisation de nombreuses démarches administratives, l’automatisation partielle de l’affectation post-Bac avec Parcoursup, l’automatisation de l’accompagnement des demandeurs d’emploi avec le projet « Mon Assistant Personnel » expérimenté par Pôle Emploi, l’automatisation de la lutte contre la fraude sociale par les caisses d’allocation familiale ou de la lutte contre la fraude sociale par le fisc, l’automatisation du contrôle d’identité via la reconnaissance faciale des bornes PARAFE installées dans plusieurs aéroports, ou encore l’automatisation des communications ou comportements suspects au sein des services de police ou de renseignement, nombre de pratiques administratives sont aujourd’hui de plus en plus articulées à des algorithmes semi-autonomes.

Face à ce processus, des craintes s’expriment dans certains segments de la société. Sont notamment évoqués les risques pour la vie privée, l’avènement d’une « société de contrôle » appuyée sur l’informatique, l’opacité des assemblages algorithmiques, les formes aggravées de déshumanisation induites par l’automatisation ou encore l’accentuation des inégalités structurelles. Au sein même des bureaucraties concernées par ces transformations, la peur du déclassement de l’humain par la machine, le surcroît de procédures, le risque de bugs techniques ou le phénomène rampant de privatisation suscitent également leur lot de résistances parmi les agents.
Dans le même temps, les avancées dans le domaine de l’IA ont conduit à la multiplication de travaux dédiés aux enjeux sociaux, éthiques et juridiques de ces technologies de plus en plus intégrées au fonctionnement des grandes organisations. L’objectif consiste à poser les règles minimales garantes de l’« acceptabilité sociale » de cette nouvelle étape du processus d’informatisation. Au travers d’un certain nombre de procédures, il s’agit par exemple de formaliser les choix éthiques réalisés dans le cadre du développement d’algorithmes, de garantir leur transparence, leur « explicabilité » ou leur « auditabilité », ou encore de réduire autant que faire se peut les risques pour les droits fondamentaux au travers d’approches dites de « privacy-by-design  » et autres « chartes éthiques ».

L’échec de l’approche procédurale

Ces réflexions ont conduit à la multiplication de rapports, de livres blancs ou de textes de soft-law émanant du secteur privé, d’organismes de protection des données comme la CNIL, d’institutions comme le Parlement européen mais aussi d’organisations internationales comme le Conseil de l’Europe ou le Conseil des droits de l’Homme des Nations Unies. Au niveau international, entre 2016 et 2019, plus de soixante-dix chartes éthiques dédiées à l’intelligence artificielle ont ainsi été publiées par divers organismes, adoptant souvent une approche probabiliste et quantifiable des risques associés à l’IA⁵Renn, Ortwin, Andreas Klinke, et Marjolein van Asselt. 2011. « Coping with Complexity, Uncertainty and Ambiguity in Risk Governance: A Synthesis ». AMBIO 40(2): 231‑46. Budish, Ryan. 2020. « AI & the European Commission’s Risky Business ». Berkman Klein Center for Internet and Society. https://medium.com/berkman-klein-center/ai-the-european-commissions-risky-business-a6b84f3acee0.. Du côté des administrations publiques, ces travaux ont parfois débouché sur des dispositions législatives ou réglementaires ad hoc, à l’image de l’évaluation de l’« incidence algorithmique » désormais imposée aux administrations fédérales canadiennes⁶Voir la présentation de l’« outil d’évaluation de l’incidence algorithmique » sur le site Web du gouvernement canadien, https://archive.md/wip/uJuZ7., mais aussi de la loi française qui, depuis 2016, garantit un principe de transparence des algorithmes publics servant à fonder des décisions administratives individuelles⁷Article 4 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique..

En dépit de l’impression qui domine généralement d’avoir à faire à des défis tout à fait inédits, il est frappant d’observer la similitude des controverses actuelles avec celles ayant marqué le premier cycle d’informatisation de la société, dans les années 1970. Or, qu’il s’agisse des premières lois sur la protection des données personnelles face au fichage informatique ou les progrès de la transparence administrative pour compenser le surcroît d’opacité induite par l’informatisation de l’État, ces aménagements procéduraux ont passablement échoué à atteindre les objectifs qu’on leur avait assignés.

Cet échec s’est produit dans un contexte politique et technologique plutôt favorable : une période où, en réponse aux contestations d’alors, les États adoptaient de grandes législations libérales censées étendre les droits et libertés, et où la mise sur le marché des micro-ordinateurs et l’avènement de réseaux télécoms décentralisés conduisaient de nombreux commentateurs à prédire une avancée historique dans le processus de démocratisation. Quarante ans plus tard, à l’heure où le Big Data ou l’intelligence artificielle s’accompagnent d’une recentralisation phénoménale des capacités de calcul, à l’heure où l’accumulation des crises et des législations d’exception conduit à l’hypertrophie du pouvoir exécutif et à la consolidation d’un contrôle policier de plus en plus polycentrique, un tel découplage entre pouvoir et informatique paraît moins probable que jamais.

Malgré ce contexte peu engageant, les controverses contemporaines continuent de miser sur les mêmes remèdes, faits de garde-fous pour les droits et libertés et d’obligations de transparence. Récemment, l’un des rapporteurs au Parlement de la proposition de loi dite « sécurité globale » résumait bien la situation en évoquant sa conviction qu’en dépit de leurs dangers, l’usage des drones de surveillance par la police pourrait être encadré par des garanties appropriées : « J’essaie de trouver », expliquait-il alors, « des accommodements raisonnables, c’est-à-dire ‘‘oui, mais’’ ». C’est ainsi qu’à chaque débat parlementaire sur l’informatisation bureaucratique, on choisit de « prendre le risque », en tentant d’y parer par l’éternel retour des « accommodements raisonnables ». À tel point qu’on aimerait opposer à la logique du « oui, mais » le vieux dicton latin : « Errare humanum est, perseverare diabolicum » (« l’erreur est humaine, persévérer [dans son erreur] est diabolique »).
L’histoire n’est pourtant pas la seule discipline riche d’enseignement quant à l’inadéquation de ces « accommodements » pour la défense des valeurs démocratiques. Certains travaux en sociologie des sciences et des techniques ont également montré la faible portée pratique de ces approches procédurales, les règles ainsi posées étant souvent inapplicables, contournées, ou privées de leurs effets. Sur le plan juridique enfin, l’expérience montre également que les « gardes-fou » adoptés par le législateur ou les juges s’avèrent très fragiles. Compte tenu des logiques bureaucratiques d’optimisation (fonctionnelle, budgétaire, etc.) des tâches administratives, l’innovation technologique (dans le contrôle d’identité, le placement des bacheliers, etc.) tend systématiquement à créer un besoin, lequel se traduit tôt ou tard par des réformes visant à légaliser des usages qui paraissaient auparavant inenvisageables techniquement ou inacceptables socialement.

Des fonctionnaires dispensables

En réduisant les enjeux à des questions de procédures – donc à des questions souvent techniques sur la manière dont réguler l’usage d’un dispositif – et en se focalisant sur les artefacts technologiques en négligeant leur environnement institutionnel, les controverses actuelles tendent également à éluder certains problèmes politiques soulevés par l’automatisation bureaucratique. Par exemple, il est une question fondamentale dont il est rarement débattu : quelle serait la signification politique d’une bureaucratie presque entièrement automatisée ? La critique des tendances anti-démocratiques du pouvoir bureaucratique a occupé une place importante dans la théorie politique depuis le XIXè siècle. Mais sans minimiser les formes de violences associées aux bureaucraties passées et présentes, il n’en demeure pas moins qu’en pratique, leur potentiel dystopique peut être en partie contenu par les femmes et les hommes en leur sein.

C’est ce que soulignent de nombreux travaux en sociologie politique. Pour Michael Mann par exemple, la critique de Max Weber à l’encontre des bureaucraties exagère l’ampleur du pouvoir qu’elles peuvent imprimer sur la société : selon lui, puisque l’État doit procéder au recrutement massif de fonctionnaires pour garnir les rangs de bureaucraties toujours plus tentaculaires, le « pouvoir infrastructurel » de l’État sur la « société civile » se développe au prix d’une pénétration de ses propres structures administratives par cette même société civile, qui aux travers de ces fonctionnaires toujours plus nombreux est en mesure d’influencer l’État⁸Mann, Michael. 2012. The Sources of Social Power: Volume 2, The Rise of Classes and Nation-States, 1760-1914. Cambridge University Press, p. 59.. Dans une approche qui a le mérite d’éviter une opposition trop binaire entre État et « société civile », Timothy Mitchell évoque lui aussi les formes de résistance internes nourries par des « sujets politiques […] formés au sein de la sphère organisationnelle dénommée État »⁹Mitchell, Timothy. 2018. « Les limites de l’État : Au-delà des approches étatistes et de leurs critiques ». In Etat et société politique : Approches sociologiques et philosophiques, éd. Bruno Karsenti et Dominique Linhardt. Paris: Editions de l’Ecole des Hautes Etudes en Sciences Sociales, p. 372.

De manière plus empirique, la sociologie de l’action publique a largement souligné le rôle joué par les « street-level bureaucrats » – c’est-à-dire les agents placés au contact direct des administrés – dans le travail d’interprétation et d’adaptation des règles aux réalités des publics et des terrains¹⁰Voir par exemple : Dubois, Vincent. 2013. « Le rôle des street-level bureaucrats dans la conduite de l’action publique en France ». In La France et ses administrations. Un état des savoirs, éd. Jean-Michel Eymeri–Douzans et Geert Bouckaert. Bruxelles: Bruylant, 169‑77. Au sein de la discipline, un débat a cours depuis une vingtaine d’années pour élucider les effets de l’introduction des technologies informatiques vis-à-vis de ce travail d’interprétation¹¹Snellen, Ignace. 2002. « Electronic Governance: Implications for Citizens, Politicians and Public Servants ». International Review of Administrative Sciences 68(2): 183‑98. Buffat, Aurélien. 2015. « Street-Level Bureaucracy and e-Government ». Public Management Review 17(1): 149‑61.. Si ces effets apparaissent ambivalents, il reste que, dans un certain nombre de contextes, la technologie rend d’ores et déjà quasiment impossible une telle herméneutique. Et quand bien même davantage d’études de terrain seraient nécessaires pour l’évaluer précisément, on peut s’attendre à ce que l’automatisation croissante de certaines tâches administratives en lien avec les dernières innovations technologiques rognent encore davantage sur les marges de manœuvre laissées aux « street-level bureaucrats ».

Ce pourrait d’ailleurs être là l’un des ressorts tacites du mouvement d’automatisation bureaucratique. Si, comme le suggère l’anthropologue David Graeber, la bureaucratie est « faite, d’abord et avant tout, d’agressions contre ceux qui persistent à défendre d’autres schémas ou des interprétations différentes » ¹²Graeber, David. 2015. Bureaucratie: L’utopie des règles. Les Liens qui libèrent, chapitre 2., il n’est guère surprenant qu’elle appréhende la subjectivité de ses agents comme un aléas dispensable, en abordant le fonctionnaire et ses dilemmes moraux comme un bug à corriger¹³On retrouve ce parti pris dans la doctrine juridique. Voir par exemple Michoud, Léon. 1914. « Étude sur le pouvoir discrétionnaire de l’administration », Rev. gén. adm., sept.-déc. 1914, p. 11 : « En théorie, il n’existe qu’une seule solution exacte ; toute autre repose sur une erreur d’appréciation. Il s’agit seulement de dégager la véritable règle de droit et de l’appliquer à un fait. La divergence possible des solutions a pour cause unique l’insuffisance, l’incertitude des jugements humains ».. Dans une bureaucratie automatisée, aucune désobéissance possible dans l’application de la règle inscrite dans le dispositif, plus aucun lanceur d’alerte dont la conscience pourra être à ce point heurtée par la violence bureaucratique qu’il ou elle se décidera à porter l’affaire à la connaissance du public. En évinçant l’élément humain dans l’application des règles rationnelles et impersonnelles, l’automatisation bureaucratique a le potentiel de faire advenir le gouvernement totalement déshumanisé que décrivait Hannah Arendt au tournant des années 1960 : « dans une bureaucratie pleinement développée, il ne reste plus personne avec qui l’on puisse discuter, à qui l’on puisse présenter des griefs (…) »¹⁴Arendt, Hannah. 2003. Du mensonge à la violence. Paris : Presses Pocket.

Cette analyse conduit à une autre interrogation : le fait d’accepter d’être administré par des machines ne conduit-il par à rompre avec l’horizon politique de l’humanisme, en acceptant de nous concevoir nous-mêmes – personnes administrées – comme des machines, c’est-à-dire comme les objets d’un gouvernement plutôt que des sujets politiques ? Dans un colloque récent auquel je participais et où certains s’inquiétaient de l’impossibilité d’accorder une responsabilité juridique à un dispositif autonome (par exemple une voiture « intelligente »), un directeur de recherche au CNRS, spécialiste de l’aide à la décision, estimait que de telles inquiétudes étaient infondées. Selon lui, on ne peut pas non plus – en tout cas pas toujours – expliquer les motivations, le raisonnement et les décisions d’un individu. Or, cela n’empêche pas, en l’état actuel du droit, de considérer ces mêmes individus comme des sujets de droit. De son point de vue, il n’y aurait donc pas de problème particulier à appréhender un ordinateur comme une personne juridiquement responsable.

Gouvernés comme des machines

Si innocent qu’il puisse paraître, ce genre d’assertion assume en réalité une rupture avec les principes humanistes au fondement du droit libéral¹⁵Delmas-Marty, Mireille. 2010. Libertés et sûretés dans un monde dangereux. Seuil, p. 84 et suivantes.. Ce dernier considère en effet que, même si les motivations et les état mentaux d’autrui ne peuvent pas toujours être sondés, ils sont en fait équivalents aux nôtres. Selon cette conception, autrui est réputé doué des mêmes facultés que nous, animé lui aussi par une volonté et des désirs. C’est ce qui fait de lui un pair devant jouir de droits et d’une dignité égale à la nôtre. Même si le fait d’être administré par des organisations bureaucratiques constitue