Après plus d’un an de mobilisation contre les pratiques de notation des allocataires de la CAF au côté des collectifs Stop Contrôles et Changer de Cap¹Vous pouvez les contacter à stop.controles@protonmail.com et contact@changerdecap.net.
, et après avoir détaillé le fonctionnement de l’algorithme de la CAF et son cadre politique, nous publions aujourd’hui le code source de cet algorithme de notation. Nous vous invitons aussi à consulter notre page de présentation sur l’utilisation d’algorithmes similaires au sein d’autres administrations.

Les détails techniques de l’algorithme (code, liste de variables et leurs pondérations) et de la méthodologie employée pour la construction de profils-types sont présentés dans cette annexe méthodologique.

Petit à petit, la lumière se fait sur un système de surveillance de masse particulièrement pernicieux²La CAF n’est pas la seule administration à utiliser ce type d’algorithmes, mais elle fut la première à le faire. Nous reviendrons bientôt sur une vision plus globale de l’utilisation de ce type d’algorithmes par les administrations sociales dans leur ensemble.
 : l’utilisation par la CAF d’un algorithme de notation des allocataires visant à prédire quel·les allocataires seraient (in)dignes de confiance et doivent être contrôlé·es.

Pour rappel, cet algorithme, construit à partir de l’analyse des centaines de données que la CAF détient sur chaque allocataire³Si l’algorithme lui-même n’utilise que quelques dizaines de variables pour calculer la note des allocataires, celles-ci sont sélectionnées après une phase dite d’« entraînement » mobilisant plus de 1000 informations par allocataire. Pour des détails techniques voir l’article de Pierre Collinet « Le datamining dans les caf : une réalité, des perspectives », écrit en 2013 et disponible ici.
, assigne un « score de suspicion » à chaque allocataire. Ce score, mis à jour chaque premier du mois, est compris entre zéro et un. Plus il est proche de un, plus l’algorithme juge qu’un·e allocataire est suspect·e : un contrôle est déclenché lorsqu’il se rapproche de sa valeur maximale⁴Les contrôles à la CAF sont de trois types. Les contrôles automatisés sont des procédures de vérification des déclarations des allocataires (revenus, situation professionnelle..), organisés via à l’interconnexion des fichiers administratifs (impôts, pôle emploi…). Ce sont de loin les plus nombreux. Les contrôles sur pièces consistent en la demande de pièces justificatives supplémentaires à l’allocataire. Enfin les contrôles sur place sont les moins nombreux mais les plus intrusifs. Réalisé par un.e contrôleur.se de la CAF, ils consistent en un contrôle approfondi de la situation de l’allocataire. Ce sont ces derniers qui sont aujourd’hui en très grande majorité déclenchés par l’algorithme suite à une dégradation de la note d’un allocataire (Voir Vincent Dubois, « Contrôler les assistés », p.258).
.

Lever l’opacité pour mettre fin à la bataille médiatique

Nos critiques portent tant sur la nature de cette surveillance prédictive aux accents dystopiques que sur le fait que l’algorithme cible délibérément les plus précaires⁵Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250. Voir aussi Dubois V., Paris M., Weill P-Edouard., 2016, Politique de contrôle et lutte contre la fraude dans la branche famille, Cnaf, Dossier d’études, n°183 disponible ici
. Face à la montée de la contestation, les dirigeant·es de la CAF se sont réfugié·es derrière l’opacité entourant l’algorithme pour minimiser tant cet état de fait que leur responsabilité dans l’établissement d’une politique de contrôle délibérément discriminatoire. Un directeur de la CAF est allé jusqu’à avancer que « l’algorithme est neutre » et serait même « l’inverse d’une discrimination » puisque « nul ne peut expliquer pourquoi un dossier est ciblé »⁶Extrait de la réponse d’un directeur de la CAF aux critiques opposées par le Défenseur des Droits à l’utilisation de cet algorithme.
.

C’est pourquoi nous avons bataillé de longs mois pour que la CAF nous donne accès au code source de l’algorithme, c’est à dire la « formule » utilisée par ses dirigeant·es pour noter les allocataires⁷La CAF nous avait initialement communiqué un code source « caviardé » dans lequel la quasi-totalité des noms de variables étaient masqués. Nous avons finalement obtenu le code de deux versions de l’algorithme. La première a été utilisée entre 2010 et 2014. La seconde entre 2014 et 2018. Six variables ont tout de même été occultées du modèle « 2010 » et 3 du modèle « 2014 ».
. Nous espérons que sa publication mette un terme à ces contre-vérités afin, qu’enfin, puisse s’installer un débat autour des dérives politiques ayant amené une institution sociale à recourir à de telles pratiques.

L’algorithme de la honte…

La lecture du code source des deux modèles utilisés entre 2010 et 2018 — la CAF a refusé de nous transmettre la version actuelle de son algorithme — confirme tout d’abord l’ampleur du système de surveillance de détection des allocataires « suspect·es » mis en place par la CAF.

Situation familiale, professionnelle, financière, lieu de résidence, type et montants des prestations reçues, fréquence des connexions à l’espace web, délai depuis le dernier déplacement à l’accueil, nombre de mails échangés, délai depuis le dernier contrôle, nombre et types de déclarations : la liste de la quarantaine de paramètres pris en compte par l’algorithme, disponible ici, révèle le degré d’intrusion de la surveillance à l’oeuvre.

Elle s’attache à la fois aux données déclarées par un·e allocataire, à celles liées à la gestion de son dossier et celles concernant ses interactions, au sens large, avec la CAF. Chaque paramètre est enfin analysé selon un historique dont la durée est variable. Visant tant les allocataires que leurs proches, elle porte sur les plus de 32 millions de personnes, dont 13 millions d’enfants, vivant dans un foyer bénéficiant d’une prestation de la CAF.

Quant à la question du ciblage des plus précaires, la publication du code source vient donner la preuve définitive du caractère discriminant des critères retenus. Ainsi, parmi les variables augmentant le « score de suspicion », on trouve notamment :

• Le fait de disposer de revenus faibles,
• Le fait d’être au chômage,
• Le fait d’être allocataire du RSA,
• Le fait d’habiter dans un quartier « défavorisé »⁸Concernant la variable liée au lieu de résidence, cette dernière fait a priori partie des variables masquées dans le code reçu. Elle est toute fois mentionnées dans la réponse de la CAF à la CADA, ce pourquoi il nous paraît raisonnable de l’inclure ici. Voir notre annexe méthodologique pour une discussion détaillée de la formule.
  ,
• Le fait de consacrer une partie importante de ses revenus à son loyer,
• Le fait de ne pas avoir de travail ou de revenus stables.

Comble du cynisme, l’algorithme vise délibérément les personnes en situation de handicap : le fait de bénéficier de l’Allocation Adulte Handicapé (AAH) tout en travaillant est un des paramètres impactant le plus fortement, et à la hausse, le score d’un·e allocataire.

En un graphique

Bien entendu, ces facteurs sont corrélés et ne peuvent être considérés indépendamment les uns des autres. Il est ainsi probable qu’une personne aux faibles revenus ait connu des périodes de chômage ou bénéficie de minima sociaux etc…

Disposant tant des paramètres que de leurs pondérations, nous avons pu construire différents profils-types d’allocataires pour lesquels nous avons calculé les scores de suspicion⁹Pour ce faire, nous avons simulé les données nécessaires – une trentaine de variables – pour chaque « profil-type » puis utilisé l’algorithme pour calculer leur note. Pour plus de détails, voir notre annexe méthodologique.
. Entre les différents profils-types, nous avons seulement fait varier les paramètres liées à la situation professionnelle, aux revenus, aux prestations reçues, à la situation maritale ou de handicap.

Nous tenons à préciser que pour réaliser ces simulations, nous devons faire de nombreuses hypothèses dont il est parfois difficile de savoir si elles sont justes ou non. Ainsi, les scores simulés ci-dessous sont donnés à titre indicatif seulement. Nos résultats sont toutefois cohérents avec les analyses de Vincent Dubois basées sur des statistiques agrégées¹⁰Le sur-ciblage des personnes en situation de handicap – bénéficiaires de l’AAH – ne concerne que celles disposant d’un travail. C’est ainsi que ces résultats sont compatibles avec les analyses du chapitre 10 du livre Contrôler les assistés de Vincent Dubois qui regroupent l’ensemble des personnes en situation de handicap. Voir notre annexe méthodologique pour une discussion détaillée de ce point.
. Dans un souci de transparence, nous détaillons leur construction — et ses limites — dans une annexe méthodologique¹¹Voir notamment une méthodologie alternative utilisée par LightHouse Reports dans son article sur Rotterdam pour lequel les journalistes disposaient non seulement de la formule mais aussi de données sur les personnes visées. Elle est disponible ici.
.

Les profils-types correspondent tous à des foyers comprenant deux enfants à charge et sont censés correspondre à :

1. Une famille « aisée » aux revenus stables et élevés,
2. Une famille « modeste » dont les deux parents gagnent le SMIC,
3. Un parent isolé gagnant aussi le SMIC,
4. Une famille dont les deux parents sont bénéficiaires des minima sociaux,
5. Une famille dont un des parents est travailleur·se en situation de handicap : pour ce profil, nous simulons le score de la personne bénéficiant de l’AAH trimestrialisée.

Les résultats sont éclairants comme le montre le graphique ci-dessous. Les « scores de suspicion » des foyers les plus aisés sont bien plus faibles que ceux des foyers bénéficiant des minima sociaux ou de l’AAH trimestrialisée.

On observe également le ciblage des familles monoparentales, dont 80% sont des femmes¹²Voir la note de l’Insee disponible ici.
. Nos simulations indiquent que ce ciblage se fait indirectement — la CAF ayant peut-être jugé que l’inclusion d’une variable « mère célibataire » était trop risquée politiquement — en intégrant des variables comme le revenu total du foyer et le nombre de mois en activité cumulés sur un an des responsables du foyer, dont la nature vient mécaniquement défavoriser les foyers ne comprenant pas deux parents¹³A revenus égaux, un parent seul gagne moins que deux parents. Quant au nombre de mois d’activité sur une année, il ne dépassera jamais 12 par an pour une famille monoparentale mais peut aller jusqu’à 24 pour un couple. Ce ciblage est particulièrement fort dans les mois qui suivent une séparation, ce type d’évènement dégradant fortement le score d’un·e allocataire. Voir nos analyses additionnelles en annexe méthodologique.
.

Effets de seuil, discriminations et double peine

Il y a quelques mois, la CAF cherchait à minimiser la stigmatisation des plus précaires engendrée par son algorithme en expliquant que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière »¹⁴C’est ce qu’elle a déjà fait dans son « Vrai/Faux » sur le datamining où elle expliquait que « les scores de risques les plus élevés » ne concernent pas « toujours les personnes les plus pauvres » car « le score de risque n’intègre pas comme seule donnée la situation financière ».
. Nos analyses viennent démontrer à quel point ce raisonnement est fallacieux.

Ce que montre notre graphique c’est justement que les variables socio-économiques ont un poids prépondérant dans le calcul du score, désavantageant structurellement les personnes en situation de précarité. Ainsi, le risque d’être contrôlé suite à un événement considéré comme « facteur de risque » par l’algorithme – déménagement, séparation, décès – se révèle inexistant pour un allocataire aisé puisque son score est initialement proche de zéro. A l’inverse, pour un allocataire du RSA dont le score est déjà particulièrement élevé, le moindre de ces évènements risque de faire basculer son score au-delà du seuil à partir duquel un contrôle est déclenché.

Pire, la plupart des variables non financières sont en fait liées à des situations d’instabilité et d’écart à la norme – séparation récente, déménagements, changements de loyers multiples, modification répétée de l’activité professionnelle, perte de revenus, erreurs déclaratives, faible nombre de connexions web… – dont tout laisse à penser qu’elles sont elles-mêmes liées à des situations de précarité. A l’opposé de ce que veut faire croire la CAF, tout indique que cet algorithme fonctionne plutôt comme une « double peine » : il cible celles et et ceux qui, parmi les plus précaires, traversent une période particulièrement compliquée.

Clore le (faux) débat technique

La CAF ayant refusé de nous communiquer la version la plus récente de son algorithme, nous nous attendons à ce que ses dirigeant·es réagissent en avançant qu’iels disposent d’un nouveau modèle plus « équitable ». En anticipation, nous tenons à clarifier un point fondamental : il ne peut exister de modèle de l’algorithme qui ne cible pas les plus défavorisé·es, et plus largement celles et ceux qui s’écartent de la norme définie par ses concepteurs.

Comme nous l’expliquions ici de manière détaillée, si l’algorithme de la CAF a été promu au nom de la « lutte contre la fraude », il a en réalité été conçu pour détecter les « indus » (trop-perçus). Ce choix a été fait pour des questions de rentabilité : les indus sont plus nombreux et plus faciles à détecter que des cas de fraude dont la caractérisation nécessite, en théorie, de prouver une intention¹⁵Les témoignages collectés par Stop Contrôles ou Changer de Cap montrent que la nécessité de prouver l’intentionnalité pour qualifier un indu de fraude – dont les conséquences pour un•e allocataire sont plus lourdes – est très régulièrement bafouée.
.

Or, ces indus ont pour cause principale des erreurs déclaratives involontaires, dont toutes les études montrent qu’elles se concentrent principalement sur les personnes aux minima sociaux et de manière plus générale sur les allocataires en difficulté. Cette concentration s’explique d’abord par le fait que ces prestations sont encadrées par des règles complexes — fruit des politiques successives de « lutte contre l’assistanat » — multipliant le risque d’erreurs possibles. Pour reprendre les termes d’un directeur de la lutte contre la fraude de la CNAF : « ce sont les prestations sociales elles-mêmes qui génèrent le risque […] ceci est d’autant plus vrai pour les prestations liées à la précarité […], très tributaires de la situation familiale, financière et professionnelle des bénéficiaires. »¹⁶Voir Daniel Buchet. 2006. « Du contrôle des risques à la maitrise des risques ». Disponible ici.
.

Nul besoin donc de connaître le détail de la formule de l’algorithme pour prédire quelles populations seront ciblées car c’est l’objectif politique de l’algorithme — détecter les trop-perçus — qui le détermine. C’est pourquoi laisser s’installer un débat autour de l’inclusion de telle ou telle variable est un jeu de dupes statistiques. La CAF pourra toujours substituer à une variable jugée politiquement « sensible » d’autres critères jugés « acceptables » permettant d’aboutir au même résultat, comme elle semble déjà le faire pour les mères célibataires¹⁷Il serait ainsi relativement facile pour la CAF de supprimer la référence directe aux minima sociaux ou à l’AAH dans son algorithme en se limitant à l’utilisation de la variable « faits générateurs trimestriels ». Cette dernière ne concerne que les allocations nécessitant une déclaration de ressources trimestrielles : AAH trimestrielle, APL, RSA et prime d’activité. S’agissant du ciblage des allocataires du RSA et de l’AAH, la CAF pourrait ainsi prétendre, sans trop perdre de précision, avoir modifié son algorithme en ne retenant dans le calcul que cette variable « faits générateurs trimestriels » tout en continuant à cibler les personnes aux minima sociaux.
.

Logiques policières, logiques gestionnaires

Dire cela, c’est enfin dépasser le débat technique et reconnaître que cet algorithme n’est que le reflet de la diffusion de logiques gestionnaires et policières au sein de nos administrations sociales au nom des politiques de « lutte contre la fraude ».

C’est en transformant les allocataires en « assisté·es », puis en risques pour la survie de notre système social que le discours de « lutte contre l’assistanat » a fait de leur contrôle un impératif de « bonne gestion »¹⁸Voir avant tout le livre de Vincent Dubois publié en 2021. « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur le sur-contrôle des populations les plus précaires, voir le chapitre 10. Sur l’histoire politique de la « lutte contre l’assistanat », et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2. Sur l’évolution des politiques de contrôles, leur centralisation suite à l’introduction de l’algorithme et la définition des cibles, voir pages 177 et 258. Sur la contestation des plans nationaux de ciblages par les directeurs de CAF locales, voir page 250.. Qu’importe que toutes les estimations montrent que la « fraude sociale » est marginale et que c’est au contraire le non-recours aux aides qui se révèle être un phénomène massif.

Devenu objectif institutionnel, le contrôle doit être rationalisé. Le numérique devient alors l’outil privilégié de « la lutte contre la fraude sociale » par la capacité qu’il offre aux dirigeant·es de répondre aux injonctions de résultats tout en offrant un alibi technique quant aux pratiques de discrimination généralisée que leur tenue impose.

Ces logiques sont saillantes dans la réponse écrite par la CAF pour s’opposer à la transmission du code de son algorithme, avant d’y être contrainte par la Commission d’Accès aux Documents Administratifs (CADA). Elle assume ouvertement un discours policier en avançant comme principal argument que cette communication consisterait en une « atteinte à la sécurité publique » car « en identifiant les critères constituant des facteurs de ciblage, des fraudeurs pourraient organiser et monter des dossiers frauduleux ».

Lutter

L’Assurance maladie, l’Assurance vieillesse, les Mutualités Sociales Agricoles ou dans une moindre mesure Pôle Emploi : toutes utilisent ou développent des algorithmes en tout point similaires. À l’heure où ces pratiques de notation se généralisent, il apparaît nécessaire de penser une lutte à grande échelle.

C’est pourquoi nous avons décidé de faire de ces pratiques de contrôle algorithmique une priorité pour l’année à venir. Vous trouverez ici notre page dédiée à ce sujet, que nous alimenterons régulièrement.

Campagne de soutien 2024 : gros plan sur le Chiffrement

Comme bon nombre d’associations, vous le savez, nous avons lancé la semaine dernière notre campagne de soutien pour l’année qui vient. C’est pour nous l’occasion de présenter les grands chantiers qui nous attendent en 2024, principalement la promotion de l’interopérabilité des services Web, la lutte contre les algorithmes de contrôle social dans les administrations, la réflexion nécessaire autour du numérique nécessaire dans le contexte de la crise écologique, et la défense du droit au chiffrement des communications.

Cette semaine, nos publications ont mis l’accent sur la défense du chiffrement. Vous pouvez retrouver l’ensemble de ces « fils » sur nos réseaux sociaux : ici la présentation générale de la problématique, ici la nécessité du chiffrement pour que les réseaux soient structurellement compatibles avec le droit fondamental à la vie privée, ici les risques que le règlement européen CSAR, surnommé « Chat Control », fait peser sur le chiffrement de bout en bout des messageries instantanées, ici le rappel des fantasmes du ministre de l’Intérieur selon qui le chiffrement des communications par les militant·es politiques couvre la prolifération des projets « clandestins » fomentés par « les extrêmes », et enfin ici nous racontons comment le chiffrement, dans la logique de la DGSI, est carrément devenu un élément à charge dans le procès des inculpé·es de l’affaire du « 8 décembre ».

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/
Faire un don pour soutenir La Quadrature : https://don.laquadrature.net/

Censure constitutionnelle des mouchards audio, mais la géolocalisation passe l’épreuve

Le 16 novembre dernier, le Conseil constitutionnel, après avoir examiné la loi de programmation et d’orientation du ministère de la justice (LOPJ), a censuré la disposition qui autorisait les services de renseignement et de police à transformer les objets connectés en « mouchards » en les activant à distance (avec des techniques d’intrusion), pour utiliser leur micro ou leur caméra en toute discrétion dans le cadre de leurs enquêtes.

L’Observatoire des Libertés et du Numérique (OLN), dont La Quadrature du Net fait partie, s’était prononcé contre cette légalisation de l’espionnage policier, mal bordée par des conditions trop faciles à élargir dans l’usage, une fois l’idée rendue acceptable et banalisée.

Aujourd’hui, l’OLN se réjouit donc de la censure des « mouchards » comme micros ou comme caméras à distance, tout en soulignant le gros défaut de cette censure : l’activation à distance des objets connectés pour géo-localiser leur propriétaire reste autorisée par la loi. Si cela paraît moins grave, alors la stratégie du « chiffon rouge » chère au gouvernement aura fonctionné encore une fois : introduire une mesure inacceptable pour camoufler une mesure tout aussi contestable mais moins scandaleuse. Vous ne voulez pas être légalement écouté·es par les services de renseignement ? D’accord, d’accord… Mais vous serez légalement localisé·es.

La réaction de l’OLN : https://www.laquadrature.net/2023/11/23/censure-de-la-surveillance-par-mouchard-loln-ne-crie-pas-victoire/

La Quadrature dans les médias

Reconnaissance faciale et police

• Vidéosurveillance : Gérald Darmanin lance une enquête administrative sur l’utilisation de la reconnaissance faciale — https://www.humanite.fr/societe/disclose/videosurveillance-gerald-darmanin-lance-une-enquete-administrative-sur-lutilisation-de-la-reconnaissance-faciale [L’Humanité]
• La CNIL et le ministère de l’Intérieur vont enquêter sur la reconnaissance faciale à des fins policières — https://next.ink/678/la-cnil-et-ministere-interieur-vont-enqueter-sur-reconnaissance-faciale-a-fins-policieres/ [Next]
• La police accusée d’utiliser illégalement un logiciel de reconnaissance faciale : la CNIL ouvre une enquête ! — https://www.clubic.com/actualite-509302-la-police-accusee-d-utiliser-illegalement-un-logiciel-de-reconnaissance-faciale-la-cnil-ouvre-une-enquete.html [Clubic]
• Les policiers municipaux ont constitué leurs propres fichiers de délinquants dans cette commune azuréenne — https://www.monacomatin.mc/justice/a-saint-laurent-du-var-les-policiers-municipaux-ont-constitue-leurs-propres-fichiers-de-delinquants-886441 [Monaco-Matin]

Agenda

• 30 novembre 2023 : Rencontre autour de Contre-histoire d’Internet — à partir de 19h, La Carmagnole, Montpellier.
• 2 décembre 2023 : le groupe Saccage 2024 appelle à une journée d’action contre les Jeux Olympiques de Paris 2024, notamment en raison des mesures de surveillance numérique prévues par la loi JO. Plus d’informations : https://saccage2024.noblogs.org/archives/2480.
• 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
• 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.
• 14 décembre 2023 : Table ronde au festival OSINT à La Gaité Lyrique – à 11h, à La Gaité Lyrique, 259 rue Saint-Martin 75003 Paris. Plus d’informations sur https://www.gaite-lyrique.net/evenement/festival-osint
• 27-30 décembre 2023 : La Quadrature sera au 37e Chaos Communication Congress à Hambourg : https://events.ccc.de/category/37c3/.

Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 23 novembre 2023.

Le 16 novembre 2023, le Conseil constitutionnel a rendu sa décision sur la loi de programmation de la justice en censurant une disposition relative à l’activation à distance des objets électroniques. Pour les organisations de l’Observatoire des libertés et du numérique (OLN) qui s’étaient fortement opposées à cette mesure, cette décision est plus que bienvenue. Pour autant, elle ne saurait constituer une victoire criante.

Il faut se souvenir des récentes décisions de ce même Conseil constitutionnel faisant peu cas du respect des libertés : validation de la vidéosurveillance algorithmique dans la loi JOP 2024, légalisation des drones, blanc-seing à l’assouplissement de la procédure pénale dans la LOPMI au nom d’une « efficacité opérationnelle »… Si l’on peut saluer le sursaut de la décision de la semaine dernière, il est difficile d’y déceler une volonté de mettre fin à la fuite en avant sécuritaire, tant cette institution l’a accompagnée ces dernières années. Pour caractériser une atteinte au droit à la vie privée, le Conseil retient qu’il existe un risque pour les tierces personnes étant dans le champ d’une éventuelle captation déclenchée par cette activation à distance du micro ou de la caméra. Si nous saluons l’établissement d’une telle limite, qui pourra servir d’argument pour d’autres types de surveillance, nous regrettons que le Conseil ne prenne jamais en compte le changement de paradigme philosophique et politique qu’implique la possibilité de transformation de tout objet numérique en mouchard de la police.

Cette absence dans le raisonnement s’illustre par la validation pure et simple de l’activation à distance des fonctions de géolocalisation de téléphone et autres objets connectés (voiture, balises airtag, montre etc) qui repose exactement sur le même procédé technique que le dispositif censuré : la compromission d’un périphérique, en y accédant directement ou par l’intermédiaire d’un logiciel espion pour en prendre le contrôle à distance. Or, une telle possibilité soulève de graves problèmes en termes de vie privée, de sécurité et d’intégrité des preuves. On le comprend, le caractère intrusif de cette technique, pourtant au cœur des scandales Pegasus et Predator Files, n’intéresse pas le Conseil.

Pour justifier cette nouvelle forme de surveillance, le gouvernement et ses soutiens ont répété que les services de renseignement seraient déjà autorisés à activer à distance les micros ou caméras de terminaux. Pourtant, la lecture de l’article L. 853-2 du code de la sécurité intérieure montre précisément l’inverse : ne peuvent être mis en œuvre par les services de renseignement que des dispositifs qui permettent d’accéder à des données qui « s’affichent sur un écran », telles qu’une personne les « introduit par saisie de caractère » ou « telles qu’elles sont reçues et émises par des périphériques. » Autrement dit, le droit actuel ne permet aux services de renseignement que d’enregistrer l’activité d’une personne sur un téléphone ou un ordinateur, mais en aucun cas d’activer à son insu une fonctionnalité supplémentaire comme un micro ou une caméra. Cette pratique, pourtant avancée pour justifier le bien-fondé de la mesure, semble donc illégale et doit être sérieusement questionnée.

De façon générale, on assiste à un essor toujours plus important des technologies de surveillance et à une banalisation de leurs usages par les services de police et de renseignement alors que, souvent, elles ne répondent à aucun cadre. Ces pratiques illégales se généralisent aussi bien dans les ministères que sur le terrain, et la licéité de ces outils n’est jamais une préoccupation de ceux qui les utilisent. Qu’il s’agisse de logiciels illégaux de surveillance algorithmique et reconnaissance faciale, de fichage sauvage ou ou encore d’exploitation de téléphone en garde à vue, l’impunité se répand, l’illégalité se banalise. Dans ce contexte et avec ces tendances lourdes, la décision du Conseil constitutionnel est salutaire mais nous apparaît malheureusement trop peu engageante pour y voir un avertissement fort contre la surveillance.

Organisations signataires membres de l’OLN : Globenet, Creis-Terminal, la Ligue des droits de l’Homme (LDH), Le Syndicat des Avocats de France (SAF), le Syndicat de la Magistrature (SM), La Quadrature du Net (LQDN).

Campagne 2024 : c’est le moment de soutenir La Quadrature !

Comme chaque fin d’année à l’approche de l’hiver, nous lançons notre campagne de soutien pour financer l’année qui vient. Si vous pouvez faire un don pour nous aider à travailler en 2024, c’est maintenant, et c’est ici !

Pour nous, c’est bien sûr aussi un moment important pour réfléchir aux chantiers qui nous attendent, en plus de ceux qui nous occupent déjà beaucoup. Sans cesse il faut faire des choix, décider où mettre le temps et l’énergie qui ne sont pas illimitées. Alors on se donne une sorte de « feuille de route » pour garder le cap, sans s’interdire bien sûr de se consacrer aux surprises bonnes ou mauvaises de l’actualité quand elles se présenteront. Cette « feuille de route » est ici.

Nous porterons plus haut que jamais l’idée et la nécessité d’obliger les services web à l’interopérabilité, seul moyen de lutter contre la recentralisation du Web et la tyrannie de l’économie de l’attention. Nous lutterons autant que nécessaire contre les algorithmes utilisés par les administrations pour criminaliser et punir les bénéficiaires des services sociaux. Nous défendrons le droit au chiffrement des communications, attaqué de toutes parts par les gouvernements français et européens sous prétexte de lutter contre le terrorisme, au mépris du droit fondamental qu’est le secret des correspondances, vital pour les démocraties. Et enfin, nous réfléchirons à ce que le numérique fait au monde, non seulement selon les points de vues sociaux et politiques qui sont les nôtres depuis toujours, mais aussi du point de vue écologique, dans le contexte bien connu de la destruction de l’écosystème par les activités humaines. Quels usages faut-il promouvoir et lesquels abandonner ? Il nous semble que La Quadrature à quelque chose à en dire : « l’écologie sans la politique, c’est du jardinage », dit le dicton.

Nous aurons donc beaucoup à faire dans l’année qui vient. Alors si vous le pouvez, soutenez-nous ! Tous les dons sont les bienvenus, même les tout petits, et les dons mensuels même minimes auront toujours notre prédilection parce qu’ils nous permettent d’envisager le budget de l’année avec plus de sérénité. Merci pour tout ce que vous pourrez faire, et merci aussi de faire connaître cette campagne de soutien sur vos réseaux sociaux !

Lire notre feuille de route pour 2024 : https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don pour soutenir La Quadrature : https://www.laquadrature.net/donner/

Révélation : la police nationale utilise de manière illégale les logiciels de VSA de la société Briefcam

C’est l’association Disclose qui a publié l’information après une enquête approfondie : la police nationale utilise en toute illégalité et en toute connaissance de cause les logiciels de la société Briefcam, qui appliquent un traitement algorithmique aux photos et aux flux de vidéosurveillance pour analyser les images et identifier des personnes par reconnaissance faciale.

Nous avons documenté depuis quelque temps l’utilisation de ce logiciel ou d’outils similaires par les polices municipales, mais nous n’avions pas de preuves concernant les pratiques de la police nationale. C’est aujourd’hui chose faite>. Nous rappelons dans un article de réaction à cette publication de Disclose les éléments juridiques qui posent l’illégalité du dispositif, et nous en appelons aussi à la CNIL, beaucoup trop conciliante jusqu’à présent avec les usages illégaux de la reconnaissance faciale et de logiciels d’analyse par les forces de police.

Lire l’article de Disclose : https://disclose.ngo/fr/article/la-police-nationale-utilise-illegalement-un-logiciel-israelien-de-reconnaissance-faciale/
Notre réaction : https://www.laquadrature.net/2023/11/14/videosurveillance-algorithmique-a-la-police-nationale-des-revelations-passibles-du-droit-penal/

Une coalition d’associations européennes attaque le Règlement Terro en France

Le 8 novembre denier, six organisations européennes — La Quadrature du Net, Access Now, ARTICLE 19, European Center for Not-for-Profit Law, EDRi et Wikimedia France — ont déposé devant le Conseil d’État un recours contre le décret qui doit adapter dans le droit français les dispositions du « règlement Terro » européen (ou TERREG) adopté en 2021.

Mais en quoi ce contentieux français concerne-t-il nos partenaires européens ? C’est que ce recours en France est pour nous un point d’entrée : nous demandons au Conseil d’État de transmettre à la Cour de justice de l’Union européenne (CJUE) une « question préjudicielle » sur la validité du TERREG. Nous pensons que ce règlement, qui permet aux forces de police d’un pays de l’UE d’ordonner à un site web de bloquer dans un délai d’une heure (oui, une heure) tout contenu supposé être à caractère terroriste, contrevient au regard des droits fondamentaux protégés par le droit de l’UE.

La procédure durera plusieurs mois, avant que le gouvernement français produise sa réponse, et probablement plusieurs années avant que la CJUE ne rende sa décision. Mais comme nous rejetons les dispositions numériques du TERREG depuis sa première ébauche en 2018, on peut dire que La Quadrature a les idées longues. On suit l’affaire et on vous tiendra au courant !

Lire l’article : https://www.laquadrature.net/2023/11/09/une-coalition-de-6-organisations-attaque-en-justice-le-dangereux-reglement-de-lue-sur-les-contenus-terroristes/

La Quadrature dans les médias

Reconnaissance faciale et VSA

• Recours à la reconnaissance faciale par la police : « Une affaire très grave », selon la socialiste Sylvie Robert — https://www.publicsenat.fr/actualites/societe/recours-a-la-reconnaissance-faciale-par-la-police-une-affaire-tres-grave-selon-la-socialiste-sylvie-robert [Public Sénat]
• Logiciel de vidéosurveillance : la Cnil lance une «procédure de contrôle» visant le ministère de l’Intérieur — https://www.lefigaro.fr/conjoncture/logiciel-de-videosurveillance-la-cnil-lance-une-procedure-de-controle-visant-le-ministere-de-l-interieur-20231115 [Le Figaro]
• Vidéosurveillance : la Cnil ouvre une « procédure de contrôle » contre le ministère de l’intérieur — https://www.la-croix.com/france/Videosurveillance-Cnil-ouvre-procedure-controle-contre-ministere-linterieur-2023-11-15-1201290903 [La Croix]
• Reconnaissance faciale : « Ce que propose Laurent Wauquiez est inacceptable en démocratie », juge un expert — https://www.radiofrance.fr/franceinter/reconnaissance-faciale-ce-que-propose-laurent-wauquiez-est-inacceptable-en-democratie-juge-un-expert-6299239 [France Inter]
• Vidéosurveillance : la Cnil lance une « procédure de contrôle » visant le ministère de l’Intérieur — https://rmc.bfmtv.com/actualites/police-justice/videosurveillance-la-cnil-lance-une-procedure-de-controle-visant-le-ministere-de-l-interieur_AD-202311150808.html [BFM/RMC]
• Sensivic, start-up créatrice de détecteurs de sons anormaux à Orléans, a été acquise par une société alsacienne — https://www.larep.fr/orleans-45000/actualites/sensivic-start-up-creatrice-de-detecteurs-de-sons-anormaux-a-orleans-a-ete-acquise-par-une-societe-alsacienne_14404400/ [La République du Centre]
• Hervé Zandrowicz (Sensivic) : « Nous n’écoutons pas les conversations mais nous analysons le paysage sonore de manière anonymisée » — https://www.infoprotection.fr/herve-zandrowicz-sensivic-nous-necoutons-pas-les-conversations-mais-nous-analysons-le-paysage-sonore-de-maniere-anonymisee/ [InfoProtection]

JO et VSA

• « Faisons du 2 décembre une journée de mobilisations contre les ravages des JO » — https://basta.media/2-decembre-journee-mobilisations-contre-ravages-jeux-olympiques-paralympiques-JO-Paris-2024-Alpes-2030 [Basta]
• Loi Jeux olympiques : Big Brother en finale — https://journaloptions.fr/2023/10/13/loi-jeux-olympiques-big-brother-en-finale/ [Options]

Surveillance

• Risque d’attentat en France : la sécurité à quel prix ? — https://video.lqdn.fr/w/uHec8vZhmPFVonwv8hGQA5 [Le Talk/France Info]
• L’activation à distance par la police des appareils électroniques en partie censurée — https://www.mediapart.fr/journal/france/171123/l-activation-distance-par-la-police-des-appareils-electroniques-en-partie-censuree [Mediapart]
• À Orléans, la Cnil dit non au couple vidéosurveillance-captation sonore — https://www.lagazettedescommunes.com/891582/a-orleans-la-cnil-dit-non-au-couple-videosurveillance-captation-sonore/ [La Gazette des Communes]

Recours contre le TERREG

• Lutte contre le terrorisme en ligne : des associations demandent au Conseil d’État de saisir la justice européenne — https://www.humanite.fr/societe/libertes-publiques/lutte-contre-le-terrorisme-en-ligne-des-associations-demandent-au-conseil-detat-de-saisir-la-justice-europeenne [L’Humanité]
• Six organisations, menées par La Quadrature du Net, attaquent en justice le règlement de l’UE sur les contenus terroristes — https://www.zdnet.fr/blogs/l-esprit-libre/six-organisations-menees-par-la-quadrature-du-net-attaquent-en-justice-le-reglement-de-l-ue-sur-les-contenus-terroristes-39962366.htm [ZDNet]
• Six ONG attaquent le règlement de l’UE sur les contenus terroristes en justice — https://www.nextinpact.com/article/72832/six-ong-attaquent-reglement-lue-sur-contenus-terroristes-en-justice [NextINpact]
• Technosurveillance – Le règlement de l’UE sur la gestion des contenus « terroristes » contesté par La Quadrature du Net et cinq autres ONG — https://ewatchers.org/info/2023-11-09-technosurveillance-le-reglement-de-l-ue-sur-la-gestion-des-contenus-terroristes-conteste-par-la-quadrature-du-net-et-cinq-autres-ong-168 [eWatchers.org]
• Le règlement européen sur le retrait des contenus terroristes, un danger pour la protection des données ? — https://www.usine-digitale.fr/article/le-reglement-europeen-sur-le-retrait-des-contenus-terroristes-un-danger-pour-la-protection-des-donnees.N2194103 [L’Usine Digitale]

Loi SREN

• C’est quoi le projet de loi « Sécuriser et Réguler l’Espace Numérique » (SREN) ? — https://www.instagram.com/p/CzOPZvoL2XT/ [Konbini]
• Et une loi de plus pour « réguler et sécuriser » Internet votée à l’Assemblée — https://www.april.org/et-une-loi-de-plus-pour-reguler-et-securiser-internet-votee-a-l-assemblee [April]
• Blocage de l’accès des mineurs aux contenus porno : un casse-tête mondial — https://www.france24.com/fr/%C3%A9co-tech/20231103-blocage-de-l-acc%C3%A8s-des-mineurs-aux-contenus-porno-un-casse-t%C3%AAte-mondial [France24]
• « Ce rapport est une honte » : Des universitaires et professionnels dénoncent un réquisitoire contre la pornographie — https://www.neonmag.fr/societe-politique/ce-rapport-est-une-honte-des-universitaires-et-professionnels-denoncent-un-requisitoire-contre-la-pornographie-561605 [Neon]

Procès du 8 décembre

• Au procès de « l’ultragauche », l’introuvable projet terroriste — https://www.mediapart.fr/journal/france/251023/au-proces-de-l-ultragauche-l-introuvable-projet-terroriste [Mediapart]
• Procès du «8 décembre» : les délires de l’antiterrorisme — https://lanticapitaliste.org/videos/proces-du-8-decembre-les-delires-de-lantiterrorisme [L’Anticapitaliste]
• Au procès de l’ultragauche, les prévenus dénoncent une « criminalisation » de leurs opinions — https://www.sudouest.fr/justice/au-proces-de-l-ultragauche-les-prevenus-denoncent-une-criminalisation-de-leurs-opinions-17154722.php [Sud-Ouest]
• The Fictional Terrorist Conspiracy Being Tried in France — https://www.thenation.com/article/world/france-left-terrorism-affaire-decembre-8/ [The Nation]

Divers

• La (belle) et (terrifiante) « Contre-Histoire d’Internet » — https://www.auposte.fr/la-terrifiante-contre-histoire-dinternet/ [Au Poste]
• La surveillance algorithmique des données de connexion dans le cadre de la lutte contre le terrorisme — https://journals.openedition.org/crdf/8874
• Bruxelles : remise à plat de la proposition de loi sur la surveillance des conversations privées — https://www.macg.co/ailleurs/2023/11/bruxelles-remise-plat-de-la-proposition-de-loi-sur-la-surveillance-des-conversations-privees-140481 [MacGénération]
• IA en France : la Cnil trace des lignes rouges — https://www.zdnet.fr/actualites/ia-en-france-la-cnil-trace-des-lignes-rouges-39961880.htm [ZDNet]
• Quand Gérald Darmanin repart à l’assaut du chiffrement, après l’attentat d’Arras — https://www.01net.com/actualites/quand-gerald-darmanin-repart-a-lassaut-du-chiffrement-apres-lattentat-darras.html [01Net]
• La cartographie comme outil de luttes — https://www.socialter.fr/article/cartographie-lutte-militante [Socialter]
• The Advocate General on how to balance personal data protection and action to combat online copyright infringement — https://www.lexology.com/library/detail.aspx?g=9aad2863-0660-462f-92cc-72388bc1b73e [Lexology]

Agenda

• 18 novembre 2023 : Atelier Technopolice sur la surveillance policière dans les quartiers — à partir de 18h au 152 rue de la Rose, Marseille.
• 30 novembre 2023 : Rencontre autour de Contre-histoire d’Internet — à partir de 19h, La Carmagnole, Montpellier.
• 8 décembre 2023 : Réunion d’information Technopolice à Rouen — à partir de 18h30, Maison des associations et la solidarité, 22 bis rue Dumont d’Urville, Rouen.
• 14 décembre 2023 : Causerie mensuelle du groupe Technopolice Marseille — à partir de 19h, Manifesten, 59 Rue Adolphe Thiers, Marseille.

La Quadrature du Net défend depuis quinze ans les droits et les libertés fondamentales de toutes et tous à l’ère du numérique. Ces quinze années de combat n’auraient pas été possibles sans vous, merci beaucoup ! Et nous avons besoin de vous pour continuer la lutte en 2024 !

Les chantiers que nous suivons depuis quinze ans déjà, vous les connaissez sans doute : contre la criminalisation du partage de la culture depuis la loi Hadopi de 2008, pour la neutralité du Net, contre l’exploitation des données personnelles et la tyrannie de la publicité en ligne, contre la censure et la surveillance du Web par les États, contre la Technopolice, les drones et la vidéosurveillance algorithmique.

Mais de nouvelles questions surgissent, de nouveaux fronts se réactivent, où nous sentons que nous pouvons jouer un rôle utile. On a vu les administrations publiques s’armer d’algorithmes dans la guerre aux pauvres et aux « fraudeurs », avec pour effet l’amplification des discriminations structurelles, le tout sous sous prétexte de modernité caricaturale, de pseudo-efficacité et de « dématérialisation ». On a vu la logique de la surveillance s’immiscer partout et s’étendre à tous les aspects de nos vies publiques et intimes. D’abord pour les besoins d’une surenchère publicitaire qui a transformé le Web en gigantesque galerie marchande, où chacune de nos curiosités, chacun de nos intérêts et chacune de nos relations amoureuse ou amicale devient l’enjeu d’une vente, d’un produit, ou d’un « service » toujours plus inutile et farfelu. Ensuite, et surtout, pour les besoins d’un pouvoir politique et étatique friand de fichage et toujours plus intrusif, beaucoup trop content d’exploiter nos innombrables traces numériques pour mieux nous surveiller, nous connaître, et anticiper nos comportements politiques et sociaux. Face à ces défis, nous voulons amplifier de nouveaux chantiers — sans pour autant oublier ceux sur lesquels nous travaillons déjà.

D’abord, nous continuerons de porter toujours plus loin et toujours plus haut (ça tombe bien, on entre dans une année olympique) l’idée d’un Web interopérable. L’Internet ouvert et horizontal des débuts, qui fut une réalité incontestable, s’est retrouvé ces quinze dernières années mis en « silos » par les grandes plateformes et les réseaux sociaux privés (Facebook, Twitter, Instagram bien sûr, mais aussi YouTube, etc.). Aujourd’hui, quitter un de ces réseaux c’est perdre les relations et les échanges qui sont tout le sel du Web. Alors que si les différents services sont interopérables, on peut déménager sans perdre de vue personne, et choisir l’environnement dans lequel on se sent libre de s’exprimer sans être soumis à l’hostilité qui fait vivre les plateformes et détruit le tissu des sociétés. Nous porterons avec entêtement cette idée simple, qui a déjà une réalité technique (dans le Fédivers par exemple), jusqu’à ce que les lois européennes et françaises en fassent un principe de base du Web et de l’Internet en général.

Nous allons aussi continuer notre travail d’enquête et de lutte contre les algorithmes de contrôle social, jusqu’à leur disparition. Aujourd’hui, des algos de « scoring » ou de profilage traquent les bénéficiaires des minima sociaux, que ce soit à la CAF, à Pôle Emploi ou ailleurs, pour transformer en enfer la vie des personnes les plus précaires, sous prétexte de lutter contre les abus. En réalité, ici comme ailleurs, l’outil numérique n’a servi qu’à introduire une surveillance très fine des vies les plus ordinaires pour contester les droits des personnes et criminaliser les comportements marginaux. Le numérique ne doit pas être l’instrument complaisant d’une politique sociale qui déresponsabilise la société dans son ensemble et déshumanise les personnes. Nous ferons tout pour que ces outils dangereux soient remplacés par une volonté d’humanité et le désir d’une société plus aimante et plus juste.

Ensuite, nous défendrons partout où il le faudra le droit au chiffrement des données et des communications. C’est une vieille lune des États, quels qu’ils soient : accéder aux correspondances des citoyens pour des raisons de police. Le « cabinet noir », c’était autrefois ce lieu secret métaphorique où la police lisait discrètement les lettres des opposants avant de les remettre en circulation. Alors que le numérique menace de rendre tout transparent aux yeux du pouvoir, le chiffrement des données a rétabli un peu de l’équilibre perdu entre le secret des correspondances et la prétention du « cabinet noir » à tout voir. Sans le chiffrement des communications, n’importe qui d’un peu déterminé peut accéder aux photos et aux blagues que vous échangez avec votre famille, aux échanges scientifiques inaboutis des chercheurs, aux discussions des groupes politiques ou syndicaux, etc. Le secret des communications est un des piliers de la démocratie bien tempérée : la transparence totale des opinions aux yeux de l’État est exactement la définition d’un régime policier. Pour mille raisons, dont le fait qu’il s’agit d’un droit fondamental, nous devons donc défendre notre droit au chiffrement et au secret contre tous les sophismes sécuritaires et policiers. Et plus les États voudront forcer ce droit au secret, plus nous aurons de raisons urgentes de le protéger.

Enfin, nous ne pouvons plus longtemps faire l’impasse sur les dangers immédiats et majeurs que notre mode de vie numérique fait collectivement peser sur les conditions de notre survie, et celle d’innombrables autres espèces. L’écosystème dont nous faisons partie craque de toutes parts, on le sait, on le voit, et la surproduction numérique a largement sa part dans ce désastre. Porté par le culte incontesté de la croissance et de la nouveauté permanente, le numérique entraîne avec lui une industrie colossale et polluante, qui détruit des territoires et des vies, pour alimenter notre ivresse d’écrans et de connectivité. Des mines de cobalt et de lithium jusqu’aux entrepôts des géants de la distribution mondiale, de la frénésie consumériste à l’économie de l’attention qui nous retient avec des procédés d’addiction, le numérique est aujourd’hui sans conteste un facteur de destruction autant que d’échanges, de liberté et de savoir. Il faut donc rendre au « digital » le poids de son corps physique, et à la « dématérialisation » sa matérialité, pour réfléchir aux outils et aux usages qui nous paraissent devoir être sauvés, préservés, cultivés ou inventés, et ceux auxquels ils nous faut renoncer.

Vaste programme ! Et on ne s’arrêtera pas à cela. Notre campagne Technopolice va connaître des rebondissements avec l’expérimentation prochaine de la vidéosurveillance algorithmique légalisée par la loi relative aux Jeux Olympiques. Nous voulons aussi participer de manière plus résolue à lutter contre la surveillance numérique croissante à laquelle font face les groupe militants. Enfin, nous envisageons d’ouvrir un front contre l’« intelligence artificielle », qui déferle partout sans qu’une résistance organisée puisse y faire face.

Tout cela pour vous dire à quel point votre soutien et vos dons seront précieux pour cette nouvelle année qui s’annonce !

Faire un don !

L’équipe de La Quadrature du Net

Dans un article publié aujourd’hui, le média d’investigation Disclose révèle que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale a recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui serait, d’après Disclose, « activement utilisée ».

Cela fait désormais près de cinq ans qu’à travers la campagne Technopolice, La Quadrature du Net, en lien avec des collectifs partout dans le pays, documente l’usage illégal de la vidéosurveillance algorithmique (VSA) par les forces de police municipale. De fortes présomptions existaient quant à son utilisation par la police nationale. Nous l’évoquions d’ailleurs dans notre dossier sur la VSA publié lors de la campagne contre la loi sur les jeux olympiques et paralympiques (voir page 20). La confirmation faite aujourd’hui n’en est pas moins choquante. Non seulement compte tenu de l’échelle du déploiement de cette technologie, avec des licences Briefcam couvrant plusieurs départements. Mais aussi en raison des dissimulations dont ce marché public hautement sensible a fait l’objet de la part de hauts fonctionnaires et de responsables politiques.

Il faut se souvenir de Gérald Darmanin qui, l’an dernier en préparation des débats sur l’article 10 de la loi Jeux Olympiques, reconnaissait qu’il n’existait aucune base légale pour l’utilisation policière de ces technologies d’analyse automatisée. L’intelligence artificielle transforme radicalement l’économie politique de la vidéosurveillance, raison pour laquelle nous refusons la VSA. Même dans le cadre d’enquêtes judiciaires, l’État se devrait au minimum de prévoir une base juridique claire pour l’encadrer.

Tout aussi choquant est le sentiment d’impunité généralisé que révèle cette affaire. Les cadres de la Direction Générale de la Police Nationale, de même que les ministres successifs, ont sciemment organisé le secret par peur de la controverse, se sachant hors du droit.

Rappelons-le : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. » (cf. art. 226-18 et -19 du code pénal). Par ailleurs, tout·e fonctionnaire est tenu·e de signaler sur le champ une infraction dont il ou elle aurait connaissance au procureur (article 40 du code de procédure pénale). Enfin, Disclose explique que pour financer le renouvellement des licences Briefcam, « la hiérarchie policière a pioché dans le « fonds concours drogue » ». Ce qui pourrait s’apparenter à du détournement de fonds publics.

Ces faits sont extrêmement graves. L’impuissance chronique à laquelle se condamnent les contre-pouvoirs institutionnels, de la CNIL à l’IGPN, est elle aussi symptomatique d’une crise systémique de l’État de droit. L’actualité donne d’ailleurs une nouvelle et triste illustration de cette coupable inaction : la CNIL s’est contentée d’un « rappel à l’ordre » à l’encontre de deux ministères après le détournement de fichiers et l’envoi au printemps dernier de 2 millions de messages de propagande destinés à manipuler l’opinion au sujet de la réforme des retraites.

Le 8 novembre 2023, une coalition de six organisations – La Quadrature du Net (LQDN), Access Now, ARTICLE 19, European Center for Not-for-Profit Law (ECNL), European Digital Rights (EDRi) et Wikimedia France – a déposé un recours devant la plus haute juridiction administrative française, le Conseil d’État, contre le décret français adaptant le règlement européen relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (également connu sous le nom de « TERREG »).

Elles demandent au Conseil d’État de saisir la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle sur la validité du TERREG au regard des droits fondamentaux protégés par le droit de l’UE.

Ce règlement permet aux forces de police d’un pays de l’UE d’ordonner à un site web, à un réseau social ou à tout fournisseur de services en ligne hébergeant des contenus créés par les utilisateurs de bloquer, dans un délai d’une heure, tout contenu supposé être à caractère terroriste – et cela dans tous les États membres de l’UE. Ces fournisseurs de services peuvent également être contraints de mettre en œuvre des « mesures spécifiques » pour prévenir la publication de contenus terroristes. Ces « mesures spécifiques » – dont la nature reste à la discrétion des fournisseurs de services – peuvent inclure, par exemple, des dispositifs de filtrage automatisé, afin d’analyser l’ensemble des contenus avant leur publication. Ces systèmes automatisés sont incapables de prendre en compte le contexte de la publication et sont notoirement prédisposés à commettre des erreurs, entraînant la censure de contenus protégés tels que le travail de journalistes, la satire, l’art ou les contenus documentant les violations des droits humains. En outre, l’obligation d’adopter des « mesures spécifiques » peut violer l’interdiction d’imposer une obligation générale de surveillance en vertu du règlement sur les services numériques (Digital Services Act, ou DSA).

Depuis que la proposition législative a été publiée par la Commission européenne en 2018, les organisations de la société civile parties au litige – comme beaucoup d’autres – ont dénoncé le risque de violation des droits fondamentaux qu’implique le TERREG. Bien que la lutte contre le terrorisme soit un objectif important, le TERREG menace la liberté d’expression et l’accès à l’information sur internet en donnant aux forces de l’ordre le pouvoir de décider de ce qui peut être dit en ligne, sans contrôle judiciaire indépendant préalable. Le risque d’excès et d’abus des forces de l’ordre en matière de suppression de contenu a été largement décrit, et augmentera inévitablement avec ce règlement. Cette législation renforce également l’hégémonie des plus grandes plateformes en ligne, car seules quelques plateformes sont actuellement en mesure de respecter les obligations prévues par le TERREG.

« La question de la modération des contenus en ligne est grave et la réponse ne peut être une censure policière technosolutionniste, simpliste mais dangereuse », déclare Bastien Le Querrec, juriste à La Quadrature du Net, l’ONG cheffe de file de la coalition.

La défense de l’affaire par le gouvernement français est attendue pour les prochains mois. La décision du Conseil d’État n’est pas attendue avant l’année prochaine.

La Quadrature du Net (LQDN) promeut et défend les libertés fondamentales dans le monde numérique. Par ses activités de plaidoyer et de contentieux, elle lutte contre la censure et la surveillance, s’interroge sur la manière dont le monde numérique et la société s’influencent mutuellement et œuvre en faveur d’un internet libre, décentralisé et émancipateur.

Le European Center for Not-for-Profit Law (ECNL) est une organisation non-gouvernementale qui œuvre à la création d’environnements juridiques et politiques permettant aux individus, aux mouvements et aux organisations d’exercer et de protéger leurs libertés civiques.

Access Now défend et améliore les droits numériques des personnes et des communautés à risque. L’organisation défend une vision de la technologie compatible avec les droits fondamentaux, y compris la liberté d’expression en ligne.

European Digital Rights (EDRi) est le plus grand réseau européen d’ONG, d’expert·es, de militant·es et d’universitaires travaillant à la défense et à la progression des droits humains à l’ère du numérique sur l’ensemble du continent.

ARTICLE 19 œuvre pour un monde où tous les individus, où qu’ils soient, peuvent s’exprimer librement et s’engager activement dans la vie publique sans crainte de discrimination, en travaillant sur deux libertés étroitement liées : la liberté de s’exprimer et la liberté de savoir.

Wikimédia France est la branche française du mouvement Wikimédia. Elle promeut le libre partage de la connaissance, notamment à travers les projets Wikimédia, comme l’encyclopédie en ligne Wikipédia, et contribue à la défense de la liberté d’expression, notamment en ligne.

Filtre anti-arnaques : la censure administrative embarquée dans le navigateur ?

Parmi les mesures contestables et contestées de la loi « visant à sécuriser et réguler l’espace numérique » (SREN), l’obligation des filtres anti-arnaques n’est pas la moindre. L’article 6 du projet de loi oblige les navigateurs web à bloquer les sites identifiés par les autorités administratives (la police) comme étant des arnaques (phishing, mineurs de Bitcoin, usurpation d’identité, etc.).

Aujourd’hui déjà, la police peut exiger que les plateformes et les fournisseurs d’accès à Internet (FAI) censurent les contenus terroristes ou pédocriminels. Dans ce cas, les FAI paramètrent leurs serveurs DNS, chargés de traduire les URL des sites (www.laquadrature.net) en adresses IP (185.34.33.4). Après cette modification, le site n’est plus trouvable à partir de son URL et se trouve donc hors d’atteinte pour la grande majorité des internautes. Sauf si.
Sauf si l’internaute sait choisir son DNS et contourner l’interdiction en passant par un autre serveur. Il est donc tout à fait possible, et pas très difficile à vrai dire, de contourner une censure par DNS. C’est un procédé utilisé lorsque certains États bloquent les DNS nationaux, comme cela s’est vu lors des révoltes du Printemps arabe en 2011 par exemple.

Mais la solution choisie dans le projet de loi pour les « arnaques » implique directement le navigateur web de l’internaute. Les navigateurs incluent déjà des listes de sites ou de pages web malhonnêtes, sur lesquelles les utilisateurs pourraient croiser des virus ou des scripts malveillants. Si le navigateur détecte une tentative de connexion à l’une de ces pages « dangereuses », il prévient l’internaute, qui a le choix de passer outre à ses risques et périls. L’outil est donc envisagé à l’heure actuelle comme un service que les navigateurs choisissent de rendre à l’utilisateur, qui garde la main sur la décision finale.

Avec ce que le projet de loi SREN propose, les listes seraient non seulement tenues par la police, mais s’imposeraient surtout aux navigateurs. Une pratique très différente dans sa philosophie, et qui ouvre la porte à tous les excès possibles, à la censure de sites politiques par exemple, quand le fait sera installé et qu’il suffira de l’étendre pour censurer à discrétion tous les sites « gênants ».
Plus de détails dans notre article paru le 5 octobre dernier, avant le vote de l’article 6 à l’Assemblée ce mercredi 11 octobre.

Lire l’article : https://www.laquadrature.net/2023/10/05/projet-de-loi-sren-et-filtre-anti-arnaque-les-navigateurs-comme-auxiliaires-de-police/

La Quadrature dans les médias

Vidéosurveillance algorithmique

• JO de Paris 2024 : des centaines de nouvelles caméras HD installées dans les gares SNCF d’Île-de-France — https://www.leparisien.fr/info-paris-ile-de-france-oise/transports/jo-de-paris-2024-des-centaines-de-nouvelles-cameras-hd-installees-dans-les-gares-sncf-dile-de-france-12-10-2023-HOIJCCXCLRDLBDS5HCS4ERXFMU.php [Le Parisien]
• Sécuriser les grands événements sportifs : que faut-il attendre des outils technologiques ? — https://theconversation.com/securiser-les-grands-evenements-sportifs-que-faut-il-attendre-des-outils-technologiques-214986 [The Conversation]
• Un logiciel israélien dans la vidéosurveillance de l’Assemblée Nationale — https://www.linforme.com/tech-telecom/article/un-logiciel-israelien-dans-la-videosurveillance-de-l-assemblee-nationale_1062.html [L’Informé]
• Mais au fait, pourquoi a-t-on besoin de sécuriser les Jeux Olympiques ? — https://www.numerama.com/cyberguerre/1517202-mais-au-fait-pourquoi-a-t-on-besoin-de-securiser-les-jeux-olympiques.html [Numerama]
• Loi jeux olympiques : Big Brother en finale… — https://journaloptions.fr/2023/10/13/loi-jeux-olympiques-big-brother-en-finale/ [Options]

Divers

• Mélanie Jaoul : « Ce n’est pas tant le porno qu’il faut réguler, ce sont les plateformes » — https://actu.fr/occitanie/montpellier_34172/melanie-jaoul-ce-n-est-pas-tant-le-porno-qu-il-faut-reguler-ce-sont-les-plateformes_60178741.html [Actu.fr]
• EU: Artificial Intelligence Regulation Should Ban Social Scoring — https://www.hrw.org/news/2023/10/09/eu-artificial-intelligence-regulation-should-ban-social-scoring [Human Rights Watch]

Agenda

• 3-27 octobre : procès de l’affaire du « 8 décembre », audiences publiques les après-midis du mardi au vendredi à partir de 13h30 au tribunal de Paris (porte de Clichy). Les débats sur la question du chiffrement devraient commencer aux alentours du mercredi 18, mais le calendrier des audiences change sans cesse au gré des retards pris dans les auditions.
• 13 octobre : Félix Tréguer sera l’invité de David Dufresne dans « Au Poste », à l’occasion de la publication de son livre « Contre-histoire d’Internet » aux éditions Agone : https://www.auposte.fr/convocation/contre-histoire-de-linternet-avec-felix-treguer/
• 2 novembre : rencontre avec Félix Tréguer à 18h à la librairie L’Hydre aux mille têtes à Marseille (96 rue Saint-Savournin, 13001) dans le cadre de la parution de son livre « Contre-histoire d’Internet » aux éditions Agone.

Sensivic, couic

Voilà déjà deux ans que nous avons attaqué en justice et devant la CNIL l’initiative de la mairie d’Orléans qui voulait installer dans certaines rues les micros de surveillance de l’entreprise Sensivic pour détecter « des sons anormaux ». Des cris de misère, des ventres qui gargouillent, des protestations contre la suppression des services publics ? Non : des bruits de bombe de peinture, de bagarre, de verre brisé ou des éclats de voix. Petit problème : le système implique « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies ». N’allez pas raconter votre dernier secret amoureux dans les rues d’Orléans.

Suite à notre action, Sensivic (aujourd’hui en redressement judiciaire) et la ville d’Orléans ont reçu la visite de la CNIL qui a étudié de près cette surveillance. Finalement, par un courrier du 27 septembre dernier, l’autorité nous a informé qu’elle considère illégal le couple maléfique constitué par les caméras et les micros dans les rues. On détaille dans l’article pourquoi cette position est insatisfaisante à nos oreilles – les micros tout seuls seraient-ils donc plus acceptables ?

Lire l’article : https://www.laquadrature.net/2023/09/30/audiosurveillance-algorithmique-a-orleans-la-cnil-donne-raison-a-la-quadrature-sur-lillegalite-du-dispositif/

Affaire du « 8 décembre » : le chiffrement mis en procès

C’est un sujet grave dont nous parlons depuis le mois de juin dernier. Un groupe de sept personnes est inculpé du chef de terrorisme, pour diverses raisons sans lien apparent, et surtout sans trace d’un projet terroriste avéré. Mais les enquêteurs de la DGSI et le parquet national antiterroriste ne doutent pas de leur intuition et pensent que les intentions terroristes des inculpé·es sont d’autant plus certaines qu’elles sont cachées.

Et ce n’est même pas une blague : pour l’accusation, le fait que les accusé·es utilisaient des messageries chiffrées (Signal par exemple) et des disques durs chiffrés est la marque évidente d’une « culture de la clandestinité ». Encore plus fort : alors qu’elle a saisi tous les appareils électroniques des accusé·es, ordinateurs et téléphones, et qu’elle a pu lire 80 à 90 % de leur contenu, l’accusation prétend que les preuves d’un projet terroriste se cachent forcément dans les 10% restants, qui sont chiffrés. Comme le dit l’un des avocats d’une inculpée, « l’absence de preuve devient une preuve ».

L’histoire serait absurde si elle n’était pas très grave. D’abord, des vies ont été détruites : surveillance, prison, procès, emplois perdus, désastre psychologique. Et pour nous, les prémisses et les conséquences du raisonnement policier et judiciaire concernent tout le monde : tout le monde utilise des messageries chiffrées. Whatsapp par exemple, qui est le moyen de communication utilisé pour un très grand nombre de conversations amicales et familiales, est une messagerie chiffrée. Les journalistes, les lanceur·euses d’alerte, les militant·es politiques et syndicales, les chercheur·euses, les industriel·les, ont besoin de protéger leurs communications. Au quotidien, le secret des correspondances est protégé par le droit, comme principe de base de libertés civiles et du débat démocratique. Le droit à la vie privée est la condition sine qua non à l’exercice d’autres libertés fondamentales.

Si l’utilisation d’outils de chiffrement devenait, lors de ce procès et de son verdict, un élément incriminant ou aggravant, alors nous serions toutes et tous des terroristes, des malfaiteurs ou des comploteurs en puissance. Et si les outils de chiffrement était interdits, alors nos échanges numériques seraient accessibles à toutes les personnes malintentionnées et à toutes les polices. Cela n’est pas envisageable. C’est pourquoi nous suivons de très près ce procès, pour les droits de toutes et tous.

Lire l’article : https://www.laquadrature.net/2023/10/02/affaire-du-8-decembre-le-droit-au-chiffrement-et-a-la-vie-privee-en-proces/

La Quadrature dans les médias

Technopolice (reconnaissance faciale)

• Reconnaissance faciale : « Une opposition entre le Parlement européen et les États membres », explique Bastien Le Querrec, juriste et membre de la Quadrature du Net — https://www.francetvinfo.fr/sciences/high-tech/reconnaissance-faciale-une-opposition-entre-le-parlement-europeen-et-les-etats-membres-explique-bastien-le-querrec-juriste-et-membre-de-la-quadranure-du-net_6095601.html [France Info TV]

Technopolice (audiosurveillance algorithmique)

• Derrière le cas d’Orléans, le procès de la surveillance sonore — https://www.lemonde.fr/pixels/article/2023/09/29/derriere-le-cas-d-orleans-le-proces-de-la-surveillance-sonore_6191636_4408996.html [Le Monde]
• Testée dans les rues d’Orléans, l’audiosurveillance algorithmique jugée illégale par la Cnil—
  https://www.bfmtv.com/tech/actualites/donnees-personnelles/testee-dans-les-rues-d-orleans-l-audiosurveillance-algorithmique-jugee-illegale-par-la-cnil_AV-202310030618.html [BFM TV]
• La Cnil dit non à la vidéosurveillance algorithmique dans les rues d’Orléans — https://www.usine-digitale.fr/article/la-cnil-dit-non-a-la-videosurveillance-algorithmique-dans-les-rues-d-orleans.N2178342 [L’Usine Digitale]
• Vidéosurveillance : la Cnil retoque la captation sonore couplée aux images — https://incyber.org/videosurveillance-cnil-retoque-captation-sonore-couplee-aux-images/ [In Cyber News]
• Les caméras de vidéosurveillance dotées de capteurs de son jugées illégales par la Cnil — https://www.ouest-france.fr/societe/securite/les-cameras-de-videosurveillance-dotees-de-capteurs-de-son-jugees-illegales-par-la-cnil-bc03d738-62a6-11ee-baff-05c4272f4825 [Ouest-France]

Technopolice (police prédictive)

• L’intelligence artificielle est nulle pour prédire les crimes — https://www.ladn.eu/tech-a-suivre/lintelligence-artificielle-est-nulle-pour-predire-les-crimes/ [L’ADN]

Loi SREN (Espace numérique)

• Le climat anti-porno nuit à la santé sexuelle, alertent Act Up-Paris et la Quadrature du Net — https://tetu.com/2023/10/04/tribune-act-up-paris-quadrature-du-net-climat-anti-porno-projet-loi-regulation-numerique/ [Têtu]
• Cyberharcèlement, accès au porno, filtre anti-arnaques… Ce que contient le projet de loi qui veut « sécuriser et réguler l’espace numérique » — https://www.francetvinfo.fr/sciences/high-tech/cyberharcelement-acces-au-porno-filtre-anti-arnaques-ce-que-contient-le-projet-de-loi-qui-veut-securiser-et-reguler-l-espace-numerique_6085515.html [France Info TV]
• SREN : vive opposition et amendement Mozilla sur la table — https://goodtech.info/sren-un-amendement-mozilla-sur-la-table/ [Goodtech.info]

Règlement CSAR (Chat control)

• Le Parlement européen veut-il surveiller nos conversations sur les messageries ? — https://www.nouvelobs.com/opinions/20231005.OBS79069/le-parlement-europeen-veut-il-surveiller-nos-conversations-sur-les-messageries.html [Nouvel Obs]

Chiffrement et « 8 décembre »

• Affaire du « 8 décembre » : antiterrorisme et criminalisation du chiffrement — https://paris-luttes.info/affaire-du-8-decembre-17397 [Paris Luttes Info]

Agenda

• 6 octobre : rencontre avec Félix Tréguer à 19h à la librairie Le Monte-en-l’air à Paris (2 rue de la Mare, 75020) dans le cadre de la parution de son livre Contre-histoire d’Internet aux éditions Agone.
• 6 octobre : Rencontres Radicales d’Alternatiba – Table ronde sur la répression. Césure – 13 rue Santeuil 75005, 19h.
• 3-27 octobre : procès de l’affaire du « 8 décembre », audiences publiques les après-midis du mardi au vendredi à partir de 13h30 au tribunal de Paris (Porte de Clichy).
• 12 octobre : causerie mensuelle Technopolice Marseille, de 19h à 20h, au Manifesten (59 rue Adolphe Thiers, Marseille).

Le projet de loi visant à sécuriser et réguler l’espace numérique (« SREN », parfois appelé projet de loi « Espace numérique »), qui est actuellement débattu en hémicycle à l’Assemblée nationale, comporte un article 6 qui crée une nouvelle excuse pour imposer un mécanisme de censure administrative : la protection contre les « arnaques » en ligne. Cet article ne se contente pas de créer un nouveau prétexte pour faire retirer un contenu : pour la première fois, il exige également que les fournisseurs de navigateurs Internet participent activement à cette censure.

L’article 6 du projet de loi SREN prévoit en effet d’obliger les navigateurs Internet à censurer les sites qui proposeraient des « arnaques ». Cette censure administrative se ferait sur demande de la police (c’est-à-dire sans passer par un juge) si celle-ci estime qu’un contenu en ligne constitue une « arnaque ». Il faut entendre par « arnaque » les contenus qui usurperaient l’identité d’une personne, collecteraient de manière illicite des données personnelles, exploiteraient des failles de sécurité pour s’introduire dans le terminal de l’internaute ou tenteraient de tromper l’internaute par une fausse page de paiement ou de connexion (phishing, ou hameçonnage). Pour comprendre ce texte, présentons d’abord comment la censure se passe aujourd’hui en France.

La faible efficacité de la censure par DNS

Aujourd’hui, lorsqu’une censure d’un site est demandée, soit par un juge, soit par la police, elle passe par un blocage DNS. Pour simplifier, le DNS est le système qui traduit un nom de domaine en une adresse IP (par exemple www.laquadrature.net correspond à l’adresse IP 185.34.33.4). Quand un internaute veut consulter un site Internet, son périphérique interroge un service appelé « serveur DNS » qui effectue cette traduction. Chaque fournisseur d’accès Internet (FAI) fournit des serveurs DNS, de manière transparente pour l’abonné·e, qui n’a pas besoin de configurer quoi que ce soit : les serveurs DNS du FAI sont paramétrés par défaut.

Les injonctions de censure jouent aujourd’hui sur ce paramétrage par défaut : les FAI soumis à une obligation de censurer un site font mentir leur service DNS. Ainsi, au lieu de retourner à l’internaute la bonne adresse IP, le serveur DNS du FAI répondra qu’il ne connaît pas l’adresse IP du site censuré demandé, ou répondra par une adresse IP autre que celle du site censuré (par exemple pour rediriger l’internaute vers les serveurs du ministère de l’intérieur, comme c’est le cas avec la censure des sites terroristes ou des sites pédopornographiques).

La censure par DNS menteur a deux problèmes majeurs. Premièrement, elle est facilement contournable : il suffit à l’internaute de changer de serveur DNS. L’internaute peut même, lorsque sa box Internet le permet, paramétrer des serveurs DNS différents de ceux de son FAI, pour ne pas avoir à faire ce changement sur chaque périphérique connecté à son réseau. Deuxièmement, cette censure n’est pas précise : c’est tout le nom de domaine qui est bloqué. Il n’est ainsi pas possible de bloquer une page web seule. Si un FAI voulait bloquer avec un DNS menteur l’article que vous êtes en train de lire, il bloquerait aussi tous les autres articles sur www.laquadrature.net.

Lorsque le principe de la censure sur Internet a été introduit en droit, les législateurs dans le monde ont tâtonné pour trouver un moyen de la rendre effective. Différentes techniques ont été expérimentées avec la censure par DNS, et toutes posaient de sérieux problèmes (voir notamment l’article de Benjamin Bayart sur le site du FAI associatif French Data Network). Finalement, la censure par DNS menteur, lorsqu’elle ne consiste pas à renvoyer vers les serveurs d’un ministère¹Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée., a l’avantage de ne poser que peu de restrictions aux libertés fondamentales. Et le status quo aujourd’hui est de préférer cette technique de censure peu efficace à d’autres qui poseraient des problèmes techniques ou conduiraient à devoir surveiller tout le trafic.

En France, on n’a pas de pétrole, mais on a des idées

C’est là que le gouvernement français innove avec son idée de censure par les navigateurs Internet. L’article 6 du projet de loi SREN vise à obliger les navigateurs à censurer des sites qui auraient été notifiés par la police parce qu’ils proposeraient des « arnaques ». Pour cela, le gouvernement compte sur une technologie déjà présente dans les principaux navigateurs : les filtres anti-phishing.

Aujourd’hui, les principaux navigateurs protègent leurs internautes en comparant les URL des sites visités avec une liste d’URL connues pour être dangereuses (par exemple, si le site héberge des applications malveillantes ou un faux formulaire de connexion pour tenter de voler des identifiants). Il existe différentes listes d’URL dangereuses, notamment Google Safe Browsing (notamment utilisée par Firefox) ou Microsoft Defender SmartScreen (utilisée par Edge) : le navigateur, à partir d’une copie locale de cette liste, va vérifier que l’internaute n’est pas en train de naviguer vers une URL marquée comme dangereuse. Et si c’est le cas, un message d’avertissement est affiché²Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration..

Mais cette censure n’est pas obligatoire : l’internaute peut passer outre l’avertissement pour un site et il peut désactiver totalement cette censure dans les paramètres de son navigateur. Celle-ci est également transparente : les listes d’URL bloquées sont téléchargées localement, c’est-à-dire qu’elle sont intégralement connues par l’ensemble des internautes (voir, pour Firefox, l’explication du fonctionnement sur le site de Mozilla).

Or, avec ce projet de loi SREN, le législateur entend s’inspirer de ces filtres, mais en changeant leur esprit. Les navigateurs devront obligatoirement intégrer un mécanisme de censure des sites d’« arnaques » et, même si l’internaute pourra passer outre un avertissement, ce mécanisme ne pourra pas être désactivé dans son ensemble.

Certes, le gouvernement voulait initialement aller plus loin : dans la version du texte présentée en juillet au Sénat, il n’était pas question de laisser la possibilité à l’internaute de contourner un blocage. Exit le bouton « J’ai compris » : si la police avait décidé qu’une URL était dangereuse, il n’était pas envisagé que vous puissiez accéder à cette adresse. En commission spéciale à l’Assemblée nationale, des député·es ont modifié le texte issu des travaux du Sénat pour ajouter la possibilité de contourner un blocage exigé d’un navigateur. Leur élément de langage était tout trouvé : ne parlez plus de « censure », il ne s’agit désormais que de « filtrage ». Bon, peut-être n’avaient-ils pas ouvert un dictionnaire : « Filtrage, n.m. […] Censure des informations jugées non conformes à la loi ou aux bonnes mœurs » nous rappelle le Wiktionnaire.

Malgré cette maigre atténuation des dangers de cette censure par rapport à la version du Sénat, le principe de cet article 6 n’a pas été remis en cause par les député·es en commission spéciale : les navigateurs devront toujours, en l’état actuel du projet de loi, censurer les URL notifiées par la police.

Un texte flou qui sapera la confiance dans les navigateurs

Ce nouveau mécanisme de blocage comporte énormément de parts d’ombre. Par exemple, le texte ne précise pas comment les navigateurs devront l’intégrer. Le décret d’application que devra adopter le gouvernement pour préciser la loi pourrait très bien, en raison du flou de la rédaction actuelle, exiger l’utilisation d’une sorte de boîte noire non-libre pour faire cette censure. Cela aurait comme conséquence que les navigateurs Internet aujourd’hui libres, comme Firefox, ne le seraient plus réellement puisqu’ils intégreraient cette brique non-libre du gouvernement.

Par ailleurs, le projet de loi est également flou sur la question de la transparence des URL bloquées. En l’état actuel du texte, les URL censurées ne doivent être rendues publiques que 72h après une injonction de censure. Autrement dit, la police pourrait exiger des navigateurs qu’ils ne dévoilent pas aux internautes quelles URL sont censurées. Dès lors, à défaut de ne pouvoir embarquer la liste complète des URL bloquées, les navigateurs devraient interroger la police (ou un tiers agissant pour son compte) à chaque fois qu’une page web serait demandée par l’internaute pour vérifier si celle-ci n’est pas soumise à une injonction de blocage. Ce faisant, la police (ou ce tiers) connaîtrait l’intégralité de la navigation Internet de tout internaute.

Au-delà du flou entretenu sur cet article 6, les navigateurs deviendront, avec ce texte, des auxiliaires de police. Ils devront opérer pour le compte de la police cette censure. Ils devront assumer à la place de l’État les cas de surcensure qui, vu la quantité de contenus à traiter, arriveront nécessairement³Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.. Ils devront engager leur crédibilité lorsque des abus seront commis par la police. Alors que ce filtre anti-arnaque voulait redonner confiance aux internautes lorsqu’ils ou elles naviguent en ligne, c’est bien l’inverse qui se produira : le gouvernement retourne les navigateurs contre leurs utilisateur·rices, en imposant à ces dernier·es des censures possiblement injustifiées et potentiellement arbitraires. Comment, dans ce cas, faire confiance à un navigateur dont le comportement est en partie dicté par la police ?

Et c’est sans parler de cet effet cliquet qui se met en place à chaque nouvelle mesure sécuritaire. Il est impossible de revenir sur de nouvelles formes de contrôle par l’État : initialement présentées comme limitées, elles finissent inévitablement par être étendues. Avec son texte, le gouvernement envoie un signal fort à sa police et aux autres administrations : une fois l’État capable de faire bloquer sans juge les « arnaques » par les navigateurs, tout le monde pourra avoir sa part du gâteau de la censure par navigateur. Demain, la police voudra-t-elle faire censurer les discours politiques ou d’actions écologistes sous prétexte de lutte contre le terrorisme ? Les parlementaires voudront-ils faire bloquer des contenus haineux comme au temps de la loi Avia ? L’Arcom, qui a récupéré les pouvoirs de l’Hadopi en matière de droit d’auteur, voudra-telle bloquer les sites de streaming ?

Prendre les internautes pour des enfants incapables

Une fois encore, la CNIL est brandie en garde-fou qui permettrait de neutraliser et faire oublier tous les dangers de ce texte. Le projet de loi prévoit ainsi qu’une « personnalité qualifiée » de la CNIL sera notifiée des URL censurées et pourra enjoindre à la police de cesser un blocage abusif.

Or, ce « garde-fou » n’est pas sans rappeler celui, similaire et totalement défaillant, que l’on retrouve en matière de censure des sites terroristes ou pédopornographiques : lorsque la police veut faire censurer un contenu à caractère terroriste ou pédopornographique, une personnalité qualifiée de l’Arcom est chargée de vérifier que la demande est bien légitime. Avant l’Arcom, c’était à une personnalité qualifiée de la CNIL, Alexandre Linden, que revenait cette tâche. En 2018, il dénonçait le manque de moyens humains à sa disposition, ce qui a conduit à l’impossibilité de contrôler l’ensemble des demandes de censure. En 2019, il réitérait son appel et rappelait que les moyens nécessaires à son contrôle n’étaient toujours pas là. En 2020, il alertait sur les obstacles techniques mis en place par le ministère de l’intérieur.

Avec la censure des contenus terroristes ou pédopornographiques, ce sont déjà près de 160 000 contenus qui ont été vérifiés en 2022. Or, ce filtre « anti-arnaque » opèrerait un changement d’échelle : avec environ 1000 nouvelles menaces quotidiennes, il faudrait deux à trois fois plus de vérifications. Autant dire qu’il est illusoire de compter sur un tel garde-fou. Pire ! La police n’aura pas à motiver ses décisions de blocage lorsqu’une « mesure conservatoire » est prise, c’est-à-dire dans les cinq jours suivants la détection de l’arnaque, lorsque la police attend l’explication du site concerné. La personnalité qualifiée devra donc vérifier la véracité des « mesures conservatoires » sans connaître la raison pour laquelle la police a ordonné la censure.

En quoi la protection des internautes justifie-t-elle d’imposer une censure qu’ils ou elles ne pourront que contourner au cas par cas avec un message dont l’objectif est de dissuader de continuer ? Le gouvernement adopte une nouvelle fois une posture paternaliste auprès des internautes qui, pour leur bien, devraient accepter d’être pris·es par la main et de se voir imposer des mesures coercitives.

Reconnaissons un point : ce filtre « anti-arnaques » part d’une bonne intention. Mais l’imposer comme le fait l’article 6 du projet de loi SREN est un non-sens. Ce filtre aurait sa place dans un ensemble de mesures facultatives, mais qui ne relèvent pas de la loi : si le gouvernement est persuadé qu’il peut proposer un filtre « anti-arnaques » complet, fiable et à jour, pourquoi ne confie-t-il pas à la police le soin de maintenir une liste anti-phishing concurrente à celles de Google ou Microsoft ? Si ce filtre est de qualité, les navigateurs seront incités à l’intégrer, de leur plein gré et en laissant la liberté à l’internaute de le désactiver. Non, au contraire, le législateur préfère imposer sa solution, persuadé d’avoir raison et que forcer la main des navigateurs et des internautes serait une bonne chose. Et tant pis si cette censure ne sert à rien puisque, comme pour la censure des sites pornographique, les origines du problème ne sont pas abordées : rien n’est prévu dans ce projet de loi pour éduquer les citoyen·nes aux risques sur Internet, aucun nouveau moyen pour la CNIL ou l’ANSSI et son service cybermalveillance.gouv.fr n’est envisagé.

La vision paternaliste qui se dégage de ce filtre « anti-arnaque » montre bien la philosophie de l’ensemble de ce projet de loi : réguler Internet par l’excès d’autorité. Taper du poing sur la table, montrer que le gouvernement agit même si cela est parfaitement inefficace, et finalement sacrifier les libertés fondamentales sur l’autel du marketing politique en se ménageant de nouveaux moyens de surveillance et de censure. Le législateur ne doit pas tomber dans le piège, tendu par la commission spéciale, d’un « filtrage » qui serait acceptable : ce texte prévoit bel et bien une censure administrative par les navigateurs inacceptable en elle-même. Il est donc fondamental que cet article 6 et, au-delà, l’ensemble du projet de loi soient rejetés. Alors pour nous aider à continuer à défendre un Internet libre, vous pouvez nous faire un don !