Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

Il est temps d’arrêter les prolongations sécuritaires

Fri, 17 Jul 2020 09:15:50 +0000 - (source)

Lettre ouverte de l’Observatoire des libertés et du numérique (OLN), Paris, le 17 juillet 2020

L’Observatoire des Libertés et du Numérique et d’autres associations (1) interpellent les parlementaires afin qu’ils rejettent le projet de loi prorogeant la loi SILT et les « boites noires » de renseignement (« relatif à la prorogation des chapitres VI à X du titre II du livre II et de l’article L. 851-3 du code de la sécurité intérieure »).

Ce projet de loi vise à prolonger, pour ensuite les pérenniser et les renforcer – comme l’affiche sans complexe le gouvernement – un ensemble de mesures sécuritaires adoptées avec des limites temporelles en raison de leur caractère liberticide. Elles sont prolongées alors que leur nécessité, leur efficacité et leur proportionnalité n’ont pas été démontrées.

Il s’agit des mesures prévues par la loi n° 2017‑1510 du 30 octobre 2017 « renforçant la sécurité intérieure et la lutte contre le terrorisme » dite « SILT » : les mesures individuelles de contrôle administratif et de surveillance (MICAS), les périmètres de protection (zone de contrôle), les visites et saisies domiciliaires (perquisitions administratives), les fermetures de lieux de culte, ainsi que les algorithmes – ou boites noires – de renseignement adoptés avec la loi n° 2015‑912 du 24 juillet 2015 relative au renseignement.

Ces dispositifs avaient, pour répondre aux nombreuses contestations soulevées lors de l’examen de ces textes, fait l’objet d’un délai maximal d’expérimentation en raison des atteintes aux libertés fondamentales qu’ils recèlent. Cette période devait par ailleurs donner lieu de la part du gouvernement et du Parlement, à des évaluations, lesquelles sont pour partie manquantes. En effet, la mission de contrôle de la loi SILT de l’Assemblée nationale n’a pas rendu de rapport d’évaluation. L’exigence d’une évaluation a pourtant été maintes fois rappelée que ce soit par la CNCDH ou encore récemment par la Rapporteuse spéciale des Nations Unies sur la promotion et la protection des droits de l’homme dans la lutte anti-terroriste(2). S’agissant des boites noires, prolongées une première fois alors qu’elles auraient dû initialement s’achever le 31 décembre 2017, elles devaient faire l’objet d’un rapport d’évaluation du gouvernement au 30 juin 2020, date limite dépassée. Pire encore, le gouvernement a fait fi de ce que la Commission Nationale de Contrôle des Techniques de Renseignement avait demandé que ce rapport soit réalisé peu après la première année de leur mise en service (soit vers la fin de l’année 2018). Si l’on a récemment appris que le gouvernement aurait finalement réalisé une évaluation – toujours confidentielle jusqu’ici – de cette surveillance algorithmique, l’intérêt de ces mesures semble très discutable alors que leurs conséquences sur les libertés sont particulièrement conséquentes (3).

Prétextant la crise sanitaire, le gouvernement entend repousser encore d’un an ces « expérimentations » et par la même occasion les évaluations s’y attachant. Alors que ce projet de loi vise à être adopté dans le cadre d’une procédure accélérée sans aucun débat (notre demande d’audition auprès du rapporteur du texte et de la commission des lois étant notamment restée lettre morte), l’objectif poursuivi par le gouvernement est limpide : « Dans le délai ouvert par cette prorogation, un projet de loi viendra pérenniser ces dispositions, mais également compléter ou modifier ces deux lois, afin de tenir compte des nécessaires évolutions induites par les besoins opérationnels ».

Les intentions de l’Exécutif sont affichées : proroger uniquement pour lui laisser le temps de pérenniser et aggraver ces dispositifs liberticides.

Si lors des débats du mercredi 8 juillet, la commission des lois de l’Assemblée nationale a proposé de réduire le report des mesures en question à 6 mois, il n’en demeure pas moins que la représentation nationale devrait s’opposer purement et simplement à cette prorogation.

Un tel projet de prorogation est un nouveau témoin de la dérive sécuritaire des autorités françaises. L’absence de toute remise en question de ces dispositifs de surveillance et de contrôle n’est qu’une preuve une fois de plus de l’effet « cliquet » de ces dispositifs sécuritaires qui, une fois votés avec la promesse de leur caractère provisoire, sont en réalité constamment prorogés et aggravés.

Afin, dans les mots du nouveau ministre de la Justice de « quitter un peu les rives du sécuritaire en permanence », nous appelons donc les parlementaires à rejeter ce projet de loi pour, a minima, forcer la tenue d’une évaluation et d’un débat sérieux sur ces dispositifs ou les laisser enfin disparaitre.

(1)Signataires :

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

Autres associations : Action Droits des Musulmans (ADM) ; Le Collectif des Associations Citoyennes (CAC)

(2) Ainsi Fionnuala Ni Aolain, le 24 juin 2020, regrette « que les MICAS n’aient été évaluées comme le prévoient les clauses d’extinction (ou clause ‘sunset’) prévues par la loi SILT, et qu’elle soit donc un moyen de contourner l’obligation de vérifier l’efficacité, la proportionnalité, la nécessité et l’aspect non- discriminatoire de ces mesures »

(3) Pour un rappel des enjeux de ces textes, nous vous renvoyons notamment vers ces ressources :

Le numérique assigné à l’état d’urgence permanent, communiqué de l’OLN du 3 oct. 2017 : https://www.ldh-france.org/numerique-assigne-letat-durgence-permanent/

France / Loi SILT. Amnesty International France demande une évaluation indépendante prenant en compte les droits humains, 12 février 2020 : https://www.amnesty.fr/presse/france–loi-silt.-amnesty-international-france

Un an de mise en oeuvre de la loi SILT – Rapport 2018, Réseau Antiterrorisme, droits et Libertés : https://antiterrorisme-droits-libertes.org/IMG/pdf/silt_analyse_juridique_mise_en_oeuvre_et_contenieux_annee_i_-2017_2018-3.pdf

Renseignement : derrière le brouillard juridique, la légalisation du Deep Packet Inspection, Félix Tréguer, 15 nov. 2017 : https://www.laquadrature.net/2017/11/15/renseignement_legalisation_dpi/


Accès aux contenus pornographiques : le Parlement doit retirer l’article 11 !

Fri, 03 Jul 2020 07:37:55 +0000 - (source)

MAJ : Le Parlement a définitivement adopté cette proposition de loi le 21 juillet 2020.

Le Parlement s’apprête à voter un nouveau dispositif de surveillance et de censure de l’Internet. Il s’agit des articles 11 et 11 bis A de la loi sur la protection des victimes des violences conjugales, tels que votés par le Sénat le 9 juin. Ces articles imposent aux sites qui hébergent des contenus pornographiques de recourir à des dispositifs de vérification d’âge pour empêcher que les mineur·es y aient accès. De telles obligations, nourries des volontés gouvernementales de nous identifier partout et tout le temps, ne peuvent qu’entraîner de nouvelles et multiples atteintes à nos libertés. Elles risquent aussi de parasiter, en les déshumanisant, les questionnements autour de l’accompagnement des enfants dans la découverte d’Internet, qui devraient pourtant être au cœur des réflexions. Le Parlement a encore une chance de rejeter une partie de cette idée : il doit la saisir.

Tout commence avec l’article 227-24 du code pénal. Depuis 1994, celui-ci prévoit que le fait « de diffuser (…) un message à caractère violent, incitant au terrorisme, pornographique (…) est puni de trois ans d’emprisonnement et de 75 000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur ». Quand cet article a été adopté, l’objectif avancé par le législateur était de « poursuivre les minitels roses qui sont aisément accessibles à des mineurs ». Aujourd’hui, cet article sert de prétexte pour interdire tout site internet qui permet à des mineur·es de consulter des contenus pornographiques.

Il s’avère qu’une telle interdiction, assez peu réaliste en l’état, n’est aujourd’hui pas mise en œuvre. Néanmoins, depuis sa création, cet article du code pénal est utilisé pour pousser différentes idées de contrôle et de surveillance d’Internet : obligation d’utiliser une carte d’identité numérique « qui permettrait au visiteur de justifier de sa majorité sur Internet », filtrage par défaut par les fournisseurs d’accès ou blocage administratif des sites… Tant de mesures qui, sur ce sujet, étaient pour l’instant restées au stade d’idées et n’avaient pas été mises en place.

Le gouvernement d’Emmanuel Macron en a néanmoins fait une de ses priorités. Ce dernier l’annonce lui-même en 2019 : « On va maintenant, enfin, préciser dans notre code pénal que le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante contre l’accès à la pornographie des mineurs ». Et de revenir aussi sur l’idée d’une généralisation des « dispositifs de vérificateur d’âge efficaces ».

Marc Dorcel et le Parlement

Comme pour la loi Avia, c’est une députée LREM qui s’est retrouvée avec la mission de retranscrire dans une loi les directives d’Emmanuel Macron : Bérangère Couillard. En décembre 2019, elle dépose une proposition de loi « visant à protéger les victimes des violences conjugales », avec un article 11 qui propose d’indiquer explicitement à l’article 227-24 du code pénal que « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs ». Et dès l’examen en
commission
, elle relève que cela ne sera pas suffisant et qu’il faudrait aller encore plus loin : « la seule menace réellement dissuasive à l’encontre des conglomérats dont le modèle économique repose sur la captation du trafic le plus important possible consiste dans le blocage des sites internet depuis la France ».

Cette idée du blocage s’est concrétisée plus tard quand le texte arrive au Sénat, et qu’un amendement est proposé en séance publique : la sénatrice Marie Mercier (groupe Les Républicains) propose ainsi de mettre le CSA dans le jeu : lorsque celui constate qu’un site ne respecte pas l’article 227-24 du code pénal, il peut ainsi le mettre en demeure de « prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé ». Dans le cas où le site n’obtempère pas, le CSA peut saisir le juge des référés, c’est-à-dire le juge de l’urgence, afin de mettre « fin à l’accès à ce service » : autrement dit, d’en faire bloquer l’accès par les fournisseurs d’accès à Internet. La justice peut déjà prononcer ce type de blocage, mais il s’agit ici de donner toute la légitimité au CSA pour le demander en urgence, et donc de lui accorder un pouvoir de pression supplémentaire.

D’après le gouvernement, l’amendement est poussé par la société Dorcel – qui produit et diffuse des contenus pornographiques –, lui permettant au passage de mettre en difficulté ses concurrents dont le modèle, gratuit, n’entraîne pas l’authentification des utilisateurs par leur carte bancaire, contrairement au sien. L’amendement est adopté par le Sénat et le texte en son entier est voté le 9 juin 2020.

Des parlementaires qui n’ont toujours rien compris à Internet

Où commencer la critique sur un aussi mauvais projet ?

Les parlementaires reprennent une idée poussée pendant plusieurs années au Royaume-Uni. Cette idée a fini par être abandonnée après que plusieurs associations ont souligné les dangers des dispositifs de vérification d’âge pour la vie privée des utilisatrices et utilisateurs. Manifestement, le gouvernement français n’apprend pas des erreurs de ses voisins et pense pouvoir faire mieux tout en recopiant le système britannique- sans faire autre chose. Une certaine logique Shadok.

Ensuite, le gouvernement s’obstine à mettre le CSA au centre de sa vision d’Internet, une autorité créée et pensée pour la télévision. Et cela alors même que le Conseil constitutionnel vient de jeter à la poubelle toutes les idées du gouvernement pour faire du CSA l’autorité en charge de la « haine sur Internet ». Ici, le but est d’en faire l’autorité en charge de la régulation sur Internet des contenus pornographiques. Or, face à une notion si mal définie en droit français, le CSA va se retrouver avec le pouvoir de décider de ce qui relève ou non de la pornographie, avec la menace derrière de saisine du juge des référés et de blocage.

Par ailleurs, comme l’avait fait le Royaume-Uni, les parlementaires ne détaillent pas dans la loi le dispositif de vérification d’âge : ils laissent aux sites et au CSA le soin de les décider entre eux. Mais un rapide passage en revue des solutions envisagées ne peut que faire craindre une surveillance inadmissible sur Internet.

S’agira-t-il, comme en parle Marie Mercier, d’utiliser France Connect, le service d’identité numérique de l’État ? Au-delà de l’énorme jeu de données traitées par ce dispositif (voir à ce titre l’arrêté qui les détaille), va-t-on vraiment demander à des personnes d’utiliser le même identifiant pour les impôts, la sécurité sociale et la consultation de sites avec contenus pornographiques ? Même si Cédric O semble avoir rejeté cette idée, il parlait pourtant bien en juillet 2019 d’une idée assez proche d’identité numérique et de passer sa carte d’identité sur un lecteur pour vérifier sa majorité.

Ou alors s’agira-t-il d’imposer l’utilisation d’une carte bancaire, comme l’espère Dorcel ? Les effets rebonds possibles d’une telle mesure sont problématiques, imposer la carte bancaire, c’est, notamment, risquer que les données récoltées sur la consultation du site puissent être collectées par d’autres personnes, par exemple celles ayant accès au relevé du compte bancaire… Sans compter que, comme cela a déjà été relevé, la Cnil n’a jamais reconnu la preuve de la majorité comme finalité possible pour l’utilisation d’une carte de paiement.

En réalité, quelle que soit la solution, elle implique le traitement de données profondément intimes avec le risque permanent et terrible d’une faille de sécurité et d’une fuite des données d’une large partie de la population.

Enfin, faut-il rappeler encore aux parlementaires que, quel que soit le dispositif choisi, il est fort possible qu’il traite de données « sensibles », au sens du droit européen (car pouvant révéler « l’orientation sexuelle d’une personne physique »). Or, tout traitement de ce type de données est interdit, et ne peut être autorisé que pour certaines exceptions précises.

Centralisation et déshumanisation

D’autres critiques doivent évidemment être faites à une telle proposition, et le STRASS, syndicat du travail sexuel, les répète depuis le dépôt de cette proposition de loi : du fait des dispositifs de contrôle d’âge qui deviendraient obligatoires à mettre en œuvre pour l’ensemble des sites pouvant proposer des contenus considérés comme « pornographiques », « la conséquence probable de cet article sera la censure massive de contenu pornographique voire érotique légal, artisanal, amateur et indépendant tout en favorisant de facto les grands distributeurs ». De même : « on peut aussi s’attendre à ce que cette loi entraîne le blocage des sites d’annonces d’escort et de webcam érotique basés à l’étranger ainsi que les sites Web de travailleurSEs du sexe indépendantEs, fragilisant d’autant une communauté déjà marginalisée par la définition très large du proxénétisme et la pénalisation du client ». En renforçant la pornographie industrielle aux détriments des indépendantes, ce sont les pratiques de cette première qui sont promues, avec ses clichés les plus sexistes et ses conditions de travail les plus abjectes. Il ne restera alors rien de l’objectif que s’était donné la loi, celui de « protéger les victimes de violences conjugales ».

Identification permanente, surveillance de notre intimité, censure, contrôle du CSA sur Internet… Autant de raisons qui devraient conduire les parlementaires à abandonner cette idée. D’autant plus qu’elle conduit, enfin et surtout, à déshumaniser la question autour de la découverte d’Internet, à faire penser qu’une machine s’occupe de poser des limites à cette découverte, que la question ne nous concerne plus. C’est encore une fois vouloir régler par un outil technique magique une question éminemment humaine.

Le texte devrait passer dans les prochaines semaines en commission mixte paritaire pour que l’Assemblée Nationale et le Sénat se mettent d’accord. Si le passage sur « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs » semble définitivement adopté, l’article 11 bis A sur les pouvoirs du CSA peut encore être retiré. Le Parlement doit se saisir de cette occasion pour retirer sa dangereuse proposition.


Racisme policier : les géants du Net font mine d’arrêter la reconnaissance faciale

Mon, 22 Jun 2020 14:02:30 +0000 - (source)

À un moment où l’institution policière est remise en question, les multinationales de la sécurité tentent de se racheter une image par des effets d’annonce : elles arrêteraient la reconnaissance faciale car la technologie ne serait pas tout à fait au point et la police l’utiliserait à mauvais escient.

Arrêter la reconnaissance faciale ?

Plusieurs entreprises ont annoncé arrêter (temporairement ou non) la reconnaissance faciale. C’est d’abord IBM qui a ouvert le bal : l’entreprise a déclaré publiquement qu’elle arrêtait de vendre la reconnaissance faciale à « usage général » et appelle le Congrès américain à établir un « dialogue national » sur la question. Le même jour, une employée de Google dénonce les biais des algorithmes et la dangerosité de cette technologie. Le lendemain, Amazon affirme interdire l’utilisation par la police de son logiciel de reconnaissance faciale Rekognition pendant un an. Enfin, Microsoft dit vouloir arrêter de vendre de tels services tant qu’il n’y aura pas de cadre législatif plus précis.
Ce sont donc les entreprises à l’origine même de l’invention et de la mise au point de la reconnaissance faciale qui la dénoncent. Culotté.
Comme le montre bien Privacy International, IBM est une des premières entreprises à s’être lancée dans la reconnaissance faciale et à en avoir fait son fonds de commerce. Elle a carrément inventé le terme même de « Smart City » pour vendre toujours plus de systèmes de vidéosurveillance à travers le monde. Et, on y reviendra plus tard, la reconnaissance faciale n’est qu’une fraction des algorithmes vendus par IBM. Selon l’association britannique, IBM prend les devants pour éviter d’être accusée de racisme, comme ce fut le cas lorsque qu’il est apparu qu’elle vendait sa technologie aux Nazis pendant la Seconde guerre mondiale. En outre, c’est peut-être un moyen pour l’entreprise de se retirer d’un marché concurrentiel où elle ne fait pas office de leader, comme à Toulouse, où la mairie de J.-L. Moudenc a conclu un contrat avec IBM pour équiper une trentaine de caméras de VSA, sans succès apparent.

À travers ces déclarations, ces entreprises tentent d’orienter nos réponses à cette question classique qui se pose pour nombre de nouvelles technologies : la reconnaissance faciale est-elle mauvaise en soi ou est-elle seulement mal utilisée ? La réponse à cette question de la part d’entreprises qui font des bénéfices grâce à ces technologies est toujours la même : les outils ne seraient ni bons ni mauvais, c’est la façon dont on les utilise qui importerait.

C’est ainsi qu’une annonce qui s’apparente à un rétropédalage sur le déploiement de la reconnaissance faciale est en réalité la validation de l’utilité de cette technologie. Une fois que l’État aura établi un cadre clair d’utilisation de la reconnaissance faciale, les entreprises auront le champ libre pour déployer leurs outils.

Instrumentaliser les combats antiracistes pour se refaire une image

Que ce soit Google, Microsoft ou Amazon, les géants du numérique qui utilisent de l’intelligence artificielle ont déjà été épinglés pour les biais racistes ou sexistes de leurs algorithmes. Ces révélations, dans un contexte où de plus en plus de monde se soulève contre le racisme, au sein de la police notamment aux États-Unis, affectent de plus en plus l’image de ces entreprises déjà connues pour avoir peu de respect pour nos droits. Mais les géants du numérique ont plus d’un tour dans leur sac et maîtrisent les codes de la communication et gèrent avec attention leur image publique . Le débat autour des biais algorithmiques concentre l’attention, alors que pendant ce temps les questions de respect des données personnelles sont passées sous silence.
En annonçant mettre en pause l’utilisation de leurs outils de reconnaissance faciale tant qu’ils auront des biais racistes, Microsoft, IBM et Google font coup double : ils redorent leur image en se faisant passer pour des antiracistes alors qu’ils font leur business sur ces outils depuis des années et qu’ils imposent publiquement un débat dans lequel l’interdiction totale de la reconnaissance faciale n’est même pas envisagée.
Amazon fait encore plus fort, en prétendant interdire au gouvernement de se servir de Rekognition, son logiciel de reconnaissance faciale. Ainsi le message de l’entreprise est clair : ce n’est pas la reconnaissance faciale qui est dangereuse mais l’État.
Cette volte-face des géants du numérique rappelle leur énorme poids politique : après avoir passé des années à convaincre les autorités publiques qu’il fallait se servir de ces outils technologiques pour faire régner l’ordre, ils ont le luxe de dénoncer leur utilisation pour redorer leur blason. C’est le cas d’IBM, qui fait la promotion de la reconnaissance faciale depuis au moins 2012, en fournissant à la ville d’Atlanta, aux États-Unis, un programme de police prédictive avec les photos des criminels à haut risque. Et qui en 2020, dénonce son utilisation par la police, de peur que cela ne lui retombe dessus.

La reconnaissance faciale, un épouvantail qui rend la VSA acceptable

Ce qui est complètement passé sous silence dans ces annonces, c’est le fait que la reconnaissance faciale n’est qu’un outil parmi d’autres dans l’arsenal de surveillance développé par les géants du numérique. Comme elle touche au visage, la plus emblématique des données biométriques, elle attire toute la lumière mais elle n’est en réalité que la partie émergée de l’iceberg. En parallèle sont développés des outils de « vidéosurveillance automatisée » (reconnaissance de tenues vestimentaires, de démarches, de comportements, etc.) qui sont discrètement installés dans nos rues, nos transports en commun, nos écoles. En acceptant de faire de la reconnaissance faciale un outil à prendre avec des pincettes, les GAFAM cherchent à rendre acceptable la vidéosurveillance automatisée, et cherchent à rendre impossible le débat sur son interdiction.
Or, il est fondamental d’affirmer notre refus collectif de ces outils de surveillance. Car sous couvert « d’aide à la prise de décision », ces entreprises et leurs partenaires publics instaurent et réglementent les espaces publics. Quand une entreprise décide que c’est un comportement anormal de ne pas bouger pendant 5 minutes ou quand on se sait scruté par les caméras pour savoir si l’on porte un masque ou non, alors on modifie nos comportements pour entrer dans la norme définie par ces entreprises.

Les grandes entreprises de la sécurité ne sont pas des défenseuses des libertés ou encore des contre-pouvoirs antiracistes. Elles ont peur d’être aujourd’hui associées dans la dénonciation des abus de la police et de son racisme structurel. Leurs annonces correspondent à une stratégie commerciale bien comprise : faire profil bas sur certains outils pour mieux continuer à vendre leurs autres technologies de surveillance. En passant pour des « multinationales morales et éthiques » — si tant est que cela puisse exister — ces entreprises ne prennent que très peu de risques. Car ne soyons pas dupes : ni IBM, ni Microsoft et encore moins Amazon ne vont arrêter la reconnaissance faciale. Ces boîtes ne font que temporiser, à l’image de Google qui, en réponse aux dénonciations d’employé·es avait laissé entendre en 2018 que l’entreprise se tiendrait à distance du Pentagone, et qui a depuis lors repris ses collaborations avec l’armée américaine. Et, ce faisant, elles font d’une pierre deux coups : en focalisant le débat sur la reconnaissance faciale, les géants du numérique tentent non seulement de redorer leur image mais laissent aussi la porte grande ouverte pour déployer d’autres dispositifs de surveillance fondés sur l’intelligence artificielle et tout aussi intrusifs.


Loi haine : le Conseil constitutionnel refuse la censure sans juge

Thu, 18 Jun 2020 17:30:26 +0000 - (source)

Victoire ! Après une longue année de lutte, le Conseil constitutionnel vient de déclarer contraire à la Constitution la quasi-intégralité de la loi de lutte contre la haine en ligne. Au-delà de sa décision, le Conseil constitutionnel refuse le principe d’une censure sans juge dans un délai imposé d’une heure ou de vingt-quatre heures.

En prétendant lutter contre la haine, la loi organisait en réalité une censure abusive d’Internet : la police pouvait exiger la censure de contenus à caractère terroriste en une heure ; les grandes plateformes devaient censurer tout contenu qui pourrait être haineux en vingt-quatre heures. Le Conseil constitutionnel a rendu une décision claire : ce principe de censure dans un délai fixe, que le Conseil critique violemment, est contraire à la Constitution. Comme nous le relevions dans nos observations envoyées au Conseil constitutionnel, un tel délai fixe, pour tout type de contenu, aggrave considérablement les risques de censures abusives, voire de censure politique. Le Conseil souligne que seuls les contenus manifestement illicites peuvent être retirés sans passer par un juge ; or, reconnaître qu’un contenu est manifestement illicite demande un minimum d’analyse, impossible en si peu de temps.

Notre victoire d’aujourd’hui est une lourde défaite pour le gouvernement. Il paie le prix d’une méthode irréfléchie et lourde de conséquences néfastes : alors que Facebook se vantait de lutter « efficacement » contre la haine en employant des armées de personnes et de machines pour censurer les contenus sur sa plateforme, le gouvernement a lancé une « mission Facebook » pour s’en inspirer. Il a ensuite chargé Madame Avia d’une loi pour imposer à l’ensemble de l’Internet le modèle de censure toxique et algorithmique de Facebook. Cette tentative aura été aussi inutile que dangereuse et inconstitutionnelle.

Mais, surtout, le gouvernement est intervenu au dernier moment pour faire « adopter à l’avance » en France le règlement européen contre la propagande terroriste, qui prévoit lui aussi une censure sans juge en une heure (lire notre analyse du texte). Alors que les débats européens sur ce sujet sont loin d’être terminés et qu’aucun compromis ne se dégage, la France a voulu mettre le législateur européen devant le fait accompli en tentant ce tour de force risqué. Son pari est entièrement perdu. Si le débat sur le règlement européen se poursuit, la France y aura perdu l’essentiel de sa crédibilité pour porter une proposition qu’elle est presque la seule, avec l’Allemagne, à vouloir imposer.

Pour lutter contre la haine en ligne, une autre stratégie, respectueuse des libertés fondamentales et d’un Internet libre, était possible : celle de l’interopérabilité. Cette voie, reprise par de nombreux amendements à droite comme à gauche durant l’examen de la loi haine, avait été repoussée par un gouvernement incapable de s’opposer véritablement aux géants du Net. En effet, le problème de la haine en ligne est accentué par le modèle économique des grandes plateformes qui ont un intérêt à mettre en avant des contenus conflictuels, voire haineux, qui feront réagir et rester sur leurs plateformes. Le législateur a refusé cette possibilité, se fourvoyant dans sa volonté de censure. Il faut désormais qu’il tire les conséquences de ce désaveu du Conseil constitutionnel.

Cette victoire est pour nous l’achèvement d’une longue année de lutte, à vos côtés, à tenter de convaincre les parlementaires que cette loi était contraire à la Constitution. Le Conseil constitutionnel sanctionne lourdement l’amateurisme du gouvernement et des député·es En Marche ayant renoncé à tout travail législatif sérieux.


La Technopolice progresse, la Cnil mouline

Wed, 03 Jun 2020 11:35:49 +0000 - (source)

Depuis la crise sanitaire, la vidéosurveillance automatisée s’ancre un peu plus dans l’espace public : détection automatique du port de masque, de la température corporelle, des distances physiques… Ces dispositifs participent à la normalisation de la surveillance algorithmique et portent de nouvelles atteintes à nos libertés. Ils sont installés sans qu’aucune preuve de leur utilité n’ait été apportée, et souvent dans la plus complète opacité. La Cnil, en ne réagissant pas publiquement à ces dérives, participe à leur banalisation et à celle de toute la Technopolice.

Cela fait plus d’un an que nous combattons à travers la campagne Technopolice le déploiement de la vidéosurveillance automatisée. Elle s’est en quelques mois répandue dans de multiples villes en France (voir celles – très nombreuses – répertoriées sur le forum et le carré Technopolice). La crise sanitaire a, comme dans d’autres domaines, amplifié le phénomène. Ainsi, pendant que d’un côté la police a déployé illégalement ses drones pour démultiplier son pouvoir de surveillance sur le territoire, plusieurs collectivités ont passé des contrats avec des entreprises pour implémenter de nouvelles technologies de surveillance.

À Cannes et dans le métro parisien, la société Datakalab a fait installer son logiciel de détection de port de masque. Plusieurs mairies et écoles ont de leur côté déjà mis en place dans leurs locaux des caméras pour mesurer la température des personnes, avec pour objectif de les renvoyer chez elles en cas de température trop élevée – une expérimentation du même type est d’ailleurs en cours à Roissy. Quant à la mesure des distances physiques, elle est déjà en cours dans les transports à Cannes, et pas de doute qu’avec les propositions de plusieurs start-up, d’autres villes réfléchissent déjà à ces dispositifs.

Normalisation et opacité de la surveillance

La multiplication de ces dispositifs en crise sanitaire participe évidemment à la normalisation de la surveillance algorithmique. Derrière leurs apparences parfois inoffensives, ces technologies en banalisent d’autres, notamment la détection de « comportements suspects » ou le suivi automatique de personne selon un signe distinctif (démarches, vêtements…). Alors même que leur déploiement est programmé depuis plusieurs années, comment croire un seul instant que ces dispositifs seront retirés une fois la crise finie ? Au contraire, s’ils ne sont pas vigoureusement contestés et battus en brèche dès aujourd’hui, ils viendront simplement s’ajouter à l’arsenal toujours plus important de moyens de contrôle de la population. Le maire qui fait installer des caméras thermiques dans son école ne les considère-t-il pas lui-même comme « un investissement à long terme [pouvant] resservir au moment des épidémies de grippe et de gastro-entérite » ?

D’ailleurs, à Paris, l’expérimentation de détection de masque par la RATP dans la station de métro de Châtelet s’inscrit « dans le cadre du programme intelligence artificielle du groupe et du LAB’IA ». Nous dénoncions en février ce programme qui consiste pour la RATP à permettre aux industriels sécuritaires d’utiliser les usagères et usagers du métro comme des cobayes pour leurs algorithmes de détection automatique. Quelles entreprises y participent ? Quels algorithmes y sont testés ? Impossible de le savoir précisément. Car c’est l’autre caractéristique de ces expérimentations : leur opacité. Impossible de savoir quelles données traite le dispositif de Datakalab et de quelle manière, ou ce que captent, enregistrent et déduisent exactement les caméras thermiques d’Aéroports de Paris, ou les algorithmes de détection des distances à Cannes. À part une maigre communication dans la presse, les conventions conclues n’ont pas été publiées. Le seul moyen pour y avoir accès est d’adresser aux différents organismes concernés des demandes CADA (voir notre guide) et se plier à leur bon vouloir sur ce qu’ils souhaitent ou non communiquer.

Des dispositifs probablement illégaux

Au-delà de la normalisation et de l’opacité, plusieurs questions juridiques se posent.

On peut déjà critiquer la nécessité et la proportionnalité de tels outils : l’article 5 du RGPD impose que les données personnelles traitées doivent toujours être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Autrement dit, et comme le dit la Cnil elle-même : « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs ». Un tel questionnement semble totalement absent de la vidéosurveillance automatisée. N’y a-t-il vraiment aucun autre moyen de voir si des personnes portent un masque ou respectent des distances physiques que de les soumettre à une caméra et son algorithme ? N’importe quel humain semble pourtant capable de réaliser ces tâches. L’Humanité s’est très bien passée d’algorithme jusqu’à aujourd’hui.

Et quelle base légale pour ces dispositifs ? Par exemple, pour les caméras thermiques qui traitent des données dites « sensibles » (comme les données de santé) et dont le traitement est par principe interdit ? Il n’est autorisé que dans certaines conditions (article 9 du RGPD). Parmi ces exceptions, on trouve bien des motifs de « médecine du travail » ou de « santé publique » mais à chaque fois, de tels traitements doivent être basés sur le « droit de l’Union ou [le] droit de l’État membre ». Ce droit n’existe pas : il n’existe aucun cadre juridique spécifique à la vidéosurveillance automatisée. La Cnil dit d’ailleurs de nouveau elle-même : « En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs (…) les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques ».

De tels questionnements rejoignent ceux que nous posons constamment sur la vidéosurveillance automatisée et que nous avons soulevés lors d’un contentieux (aujourd’hui perdu) à Marseille. Comment ne pas s’étonner alors que la Cnil laisse se répandre cette Technopolice ?

Le silence coupable de la Cnil

Cela fait maintenant presque deux ans que nous avons rencontré des membres de la Cnil pour échanger sur ces sujets et depuis… rien. Ou presque : un avis sur les portiques de reconnaissance faciale et un avertissement sur un projet de capteurs sonores à Saint-Étienne (sur lesquels elle a volontairement communiqué). Et encore, seulement après que nous les ayons publiquement dénoncés et attaqués.

Depuis le début de la crise sanitaire, il semble bien qu’il y ait eu des échanges entre la Cnil et les entreprises ou autorités responsables sur les nouvelles expérimentations. C’est notamment le cas de celle à Cannes et dans le métro parisien, mais aussi pour l’expérimentation dans les aéroports. Or, là encore, aucune publicité n’a été faite sur ces échanges. Ils sont souvent pourtant d’un grand intérêt pour comprendre les velléités sécuritaires des autorités, des entreprises et pour mesurer les faiblesses des contrôles de la Cnil. C’était d’ailleurs le cas pour les portiques de reconnaissance faciale dans les lycées de la Région Sud où la Cnil avait rendu un avis non-public, que nous avons dû nous-même lui demander. La mollesse de la CNIL nous avait forcées d’agir de notre côté devant le tribunal administratif (où nous avons obtenu gain de cause quelques mois plus tard).

En dehors de ces quelques cas, l’action de la CNIL contre la Technopolice semble largement insuffisante. Son action se limite à émietter quelques principes théoriques dans ses communications (comme vu plus haut) mais n’en tire aucune conséquence concrète. Ou alors elle fait secrètement des contrôles dont nous ne sommes informés qu’après avoir attaqué nous-même le dispositif devant la justice. Ou alors elle ne veut rien faire. Rien sur les analyses d’émotions et la détection d’évènements violents en expérimentation à Nice, rien sur les logiciels de la société Briefcam installés dans plusieurs dizaines de villes en France, rien sur les capteurs sonores de Strasbourg, rien sur les logiciels de Huawei à Valenciennes.

Il est même extrêmement étonnant de voir être proposés et installés des outils de détection de température alors que la Cnil les a expressément interdits… On en vient presque à oublier qu’elle a le pouvoir d’ester en justice et de sanctionner (lourdement) le non-respect des textes [1]. Comme pour les drones, ce rôle semble quelquefois reposer sur les capacités contentieuses des associations.

Ce silence coupable participe à la prolifération des dispositifs sur le territoire français. Ces derniers, comme la reconnaissance faciale, doivent être combattus. Ils accroissent considérablement la capacité des autorités à nous identifier et à nous surveiller dans l’espace public, démultipliant les risques d’abus, et participent au déploiement d’une société de surveillance. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible, indolore et profondément déshumanisant.

[1] La critique de cette inaction de la Cnil pourrait d’ailleurs se faire de manière plus générale pour le peu de sanctions qu’elle rend au titre du RGPD, voir notamment 2 ans de RGPD : comparaison de l’application du règlement par les pays européens


Crise du Covid-19 : la technopolice profite de la stratégie du choc

Tue, 02 Jun 2020 15:21:01 +0000 - (source)

Ce texte a été publié au sein de l’œuvre collective « Résistons ensemble, pour que renaissent des jours heureux », (Télécharger au format epub et PDF) qui vise à faire le point sur la situation politique actuelle et à mettre en avant des propositions pour une société plus juste. Benoît Piédallu, membre de La Quadrature du Net, y tente une analyse de l’avancée des technologies de surveillance durant la crise du Covid19, dans un texte que nous reproduisons donc ci-dessous.

En février ou début mars 2020, voyant arriver la lame de fond de la pandémie, personne à La Quadrature du Net n’avait imaginé à quel point elle nous forcerait à mobiliser nos forces. Mobilisé·es à l’époque par la loi Avia (qui transfère des responsabilités de censure aux grandes plateformes), par la promotion de l’interopérabilité (qui imposerait ces mêmes grandes plateformes à se connecter à d’autres outils), ou encore à forcer la main à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur la législation des cookies, comment aurions-nous pu penser qu’un événement sanitaire allait bousculer à ce point notre agenda ?

Et pourtant, les premiers sujets sont vite arrivés. Quelques jours après le début du confinement officiel (le 17 mars), Orange a informé les médias que 17 % des Parisien·ne·s avaient quitté la capitale au début du confinement, ce que l’opérateur n’avait pu savoir qu’en utilisant des données de bornage de téléphones mobiles, pourtant non prévues à cette fin. Puis c’est la mise en place d’un système de traçage total de la population dont il a très vite été question. La police, décidant seule de qui avait le droit de se trouver dans les rues ou pas, en profita pour utiliser de manière massive ses drones, de la prévention à la verbalisation, à l’image de ces vidéos venant de Chine dont tout le monde se moquait pourtant quelques semaines plus tôt. Profitant de cette situation d’urgence, les élus locaux se trouvant sommés d’agir alors qu’ils se trouvaient dans un entre-deux-tours sans fin, de nombreuses entreprises se mirent à proposer, au vu et au su de tous, leurs technologies de surveillance, même gracieusement, sous prétexte de lutte contre la pandémie.

La surveillance de la population est un sujet de lutte depuis bien longtemps entre les associations de défense des droits fondamentaux d’une part, et les entreprises privées et les autorités d’autre part. Passées de paranos à tout juste réalistes à l’occasion de la parution des révélations Snowden en 2013, ces associations ont bénéficié d’une très courte fenêtre de tir avant qu’entreprises spécialisées et politiques pro-surveillance ne reprennent la main. C’est le RGPD, Règlement général sur la protection des données européen, qui en aura bénéficié dans sa rédaction. Mais, dans le fond, jamais le gouvernement français n’aura cessé d’ajouter des réglementations pour installer de nouveaux outils de surveillance de sa population, quand ce ne sont pas des technologies de surveillance mises en œuvre illégalement par différents services, et rendues légales une fois le législateur mis devant le fait accompli.

« Technopolice » est une campagne lancée par la Quadrature en septembre 2019, qui liste, dénonce – et lutte contre – les outils de surveillance urbaine. Qu’il s’agisse de la reconnaissance biométrique, de détection d’événement, d’usage de drones, de croisement et d’analyse algorithmique branchée sur les données urbaines, ils sont, depuis quelques années, déployés en catimini par des collectivités locales, majoritairement sous couvert d’expérimentation. Ce principe est un paravent qui leur permet souvent d’éviter le lancement d’appels d’offres, mais aussi de rassurer la population : en présentant à ses administré·e·s un projet comme « temporaire », un·e responsable politique peut plus facilement, sans avoir à prouver l’efficacité d’un système, le déployer dans l’espace public.

C’est aussi une technique utilisée au niveau national : à l’occasion de la loi de finances 2020, un article prévoyait la mise en place d’une expérimentation de trois ans (sic) par laquelle le ministère des Finances se voyait autorisé à capter des données sur divers services en ligne (leboncoin, eBay…), puis à leur appliquer des algorithmes à des fins de lutte contre la fraude fiscale. Et Cédric O demandait encore, fin décembre 2019, la mise en place d’une expérimentation nationale de la technologie de reconnaissance faciale, dont nous demandons de notre côté l’interdiction totale.

Pour chaque déploiement, il existe dans le monde une démonstration de détournement par l’administration : la reconnaissance faciale en Inde, présentée initialement pour retrouver les enfants perdus ? Utilisée pour lister les manifestant·e·s. L’utilisation du big data pour lutter contre la fraude fiscale ? Détournée aux Pays-Bas pour discriminer les populations les plus pauvres.

La crise que nous traversons a changé la donne : ces entreprises sécuritaires ne se cachent plus et vont démarcher les collectivités, organismes ou établissements de santé pour leur proposer des outils de surveillance et de contrôle de la population.
La police avoue utiliser ses drones sans base légale. Et en profite pour plus que doubler sa flotte à travers un contrat de quatre millions d’euros. Même des entreprises sans activité militaire ou de sécurité s’y mettent, à l’image de Sigfox dont le patron propose, comme solution alternative à l’application de traçage StopCovid, de fournir à la population des bracelets électroniques.

C’est la stratégie du choc qui est à l’œuvre. Profitant du traumatisme des bilans quotidiens de morts par milliers et du confinement imposé à une société animée par le lien social, les profiteurs de crise avancent leurs pions pour ouvrir une place durable à leurs marchés sécuritaires.
Pour certains, leurs noms sont connus de toutes et tous : ainsi Orange vend-il à des clients professionnels des statistiques basées sur les déplacements de ses abonnés, sans l’accord de ces derniers. Son nom se retrouve aussi lié à Dassault Système et Capgemini dans le développement de StopCovid, l’application de traçage de la population.

Tout est mis en œuvre dans l’idée que l’ennemi est le peuple. On lui ment, on le surveille, on le trace, on le verbalise s’il sort de chez lui. On rend responsables les malades, car ce sont certainement ceux qui n’ont pas respecté le confinement. On rend le peuple responsable individuellement en lui faisant porter le poids de la mort des autres. Pas une fois le pouvoir politique, durant cette crise, ne fera amende honorable sur ses manquements. Non : pour les gouvernants, dont les administrations détruisaient encore des masques courant mars, les solutions sont des outils de contrôle (température, port du masque), de surveillance (StopCovid, drones, patrouilles dans les rues), de nouvelles bases de données (extension de ADOC, pour les verbalisations routières, Contact Covid et SIDEP pour le traçage manuel des « brigades Covid »), ou encore le contrôle de l’information (Désinfox Coronavirus)…

Cet état d’urgence sanitaire, qui impose le confinement et ouvre de nouvelles bases de données de la population, devrait se finir au plus tard au 10 juillet 2020. Mais l’histoire récente montre qu’un état d’urgence temporaire peut aisément être reconduit plusieurs fois, jusqu’à entrer dans le droit commun. Et, même sans une reconduction législative perpétuelle, c’est l’entrée dans les habitudes qui est à craindre.

Le risque, c’est l’effet cliquet : une fois une technologie déployée, l’effort pour la supprimer sera largement supérieur à celui nécessaire pour empêcher son installation. Côté politique, par volonté de rentabiliser un investissement ou par peur de se voir reprocher par son électorat d’avoir réduit l’illusoire protection. Côté population, supprimer une technologie à laquelle les habitants se seront accoutumés demandera un effort considérable. Le déploiement, durant des mois, d’outils de contrôle tend à les faire se fondre dans le décor. Qui ira demander l’abandon d’outils acquis à grands frais (8 000 € la caméra thermique fixe) une fois la pandémie passée ? Et comment décidera-t-on de la fin de cette pandémie : par l’arrivée d’un vaccin ? Tout comme l’état d’urgence contre le terrorisme a été intégré dans le droit commun, il est possible que l’hypothèse d’un retour du danger sanitaire autorise les autorités à conserver les dispositions prévues pour le Covid-19.

Mais la lutte contre un danger sanitaire est l’objet d’un plan de gestion des risques, pas d’un système de surveillance généralisé et permanent. Un plan qui prévoirait la mise à disposition continue d’un nombre suffisant de masques, et un système hospitalier adapté.

Alors quoi ? Quels outils politiques pour éviter la prolongation d’un état d’exception et cette tentation permanente de fliquer la population ?

Les élus, l’administration, le pouvoir, sont les moteurs, depuis plusieurs dizaines d’années, de cette inflation sécuritaire qui alimente quantité de discours et sert les idéologies politiques. Il faut donc dès maintenant informer l’opinion publique sur les risques qu’il y a à continuer dans cette voie, et la mobiliser pour la mise en place ou le renforcement de garde-fous. Nous proposons quelques pistes pour aller dans ce sens.

• La CNIL est en France l’autorité dont la mission est de veiller au respect des données personnelles, que ce soit par l’État ou les entreprises privées. Avant 2004, toute création de traitement devait passer par une autorisation de la CNIL. Elle n’est, depuis, qu’une autorité consultative dont le pouvoir a été limité aux sanctions contre les entreprises privées. Il est nécessaire que son autorité à l’encontre du législateur soit restaurée, ce qui implique d’améliorer son indépendance, par une augmentation de son budget, un changement du processus de nomination des commissaires, en développant la place de la société civile en son sein ainsi qu’en restituant son pouvoir de blocage réglementaire.

• L’utilisation de l’outil informatique par l’État doit être transparente. Les algorithmes utilisés pour prendre des décisions administratives doivent être publiés dès leur mise en œuvre.

• Afin de garantir une indépendance technique de ces mêmes administrations, il est nécessaire qu’elles utilisent des logiciels libres, que ce soit pour le système d’exploitation ou les logiciels courants.

• Les décisions politiques autour de l’usage de technologies ne doivent pas se faire sans la population. Il est nécessaire pour cela de prévoir à l’école et par la suite une formation suffisante au numérique, à ses conséquences techniques, sociales et politiques.

• L’installation d’outils de contrôle dans l’espace public doit être interdite tant qu’une alternative non automatisée est possible, ce qui exclut la quasi-totalité des outils déployés durant cette crise.

• Une limitation drastique des champs du renseignement (et l’arrêt de l’expérimentation sine die des boîtes noires), et un développement de ses contre-pouvoirs.

• Une limitation immédiate de la collecte et de la conservation des données de connexion, en conformité avec la jurisprudence européenne.

• Des sanctions rapides et drastiques contre le secteur du traçage publicitaire en ligne pour faire cesser rapidement les illégalités au regard du RGPD.

• Le développement d’un contre-pouvoir sérieux face aux abus de la police.


Loi Avia, nos observations devant le Conseil constitutionnel

Tue, 26 May 2020 14:11:50 +0000 - (source)

Lundi dernier, les sénateurs Républicains ont saisi le Conseil constitutionnel contre la loi Avia, qui avait été définitivement adoptée le 13 mai. Le Conseil devrait se prononcer dans les semaines à venir. Pour l’y aider, nous nous joignons à Franciliens.net pour envoyer au Conseil notre contribution extérieure (accessible en PDF, 7 pages, ou ci-dessous). Notre objectif principal est de démontrer que le nouveau délai d’une heure prévu en matière de censure anti-terroriste est contraire à la Constitution.

Objet : Contribution extérieure des associations La Quadrature du Net et Franciliens.net sur la loi visant à lutter contre les contenus haineux sur internet (affaire n° 2020-801 DC)

Monsieur le président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

La Quadrature du Net est une association qui œuvre à la défense des libertés à l’ère du numérique. Franciliens.net est un fournisseur d’accès à Internet. À ce titre, les deux associations ont, durant les débats parlementaires de la proposition de loi visant à lutter contre les contenus haineux sur internet, attiré l’attention du public et des parlementaires notamment sur les articles 1er et 6 du texte, qui, pour plusieurs raisons, nous semblent contraires à la Constitution. Nous avons ainsi l’honneur de vous adresser cette présente contribution extérieure au nom des associations La Quadrature du Net et Franciliens.net afin de démontrer l’inconstitutionnalité de ces deux articles.

I. Sur le délai d’une heure en matière de censure antiterroriste

Le I de l’article 1er de la loi qui vous est déférée modifie le régime de censure administrative du Web, dont il faut brièvement rappeler l’historique.

L’article 4 de la loi n° 2011-267 du 14 mars 2011 a ajouté un cinquième alinéa au 7 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Cette disposition a donné à l’administration un pouvoir jusqu’ici réservé à l’autorité judiciaire : exiger que les fournisseurs d’accès à Internet bloquent les sites qu’elle désigne comme diffusant des images d’abus d’enfant. Dans la limite de la lutte contre de telles images, le Conseil constitutionnel avait reconnu cette disposition conforme à la Constitution dans sa décision n° 2011-625 DC du 10 mars 2011.

Trois ans plus tard, l’article 12 de la loi n° 2014-1353 du 13 novembre 2014 a déplacé cette disposition à l’article 6-1 de la LCEN en y apportant d’importantes modifications. La principale modification a été d’étendre cette censure aux sites que l’administration considère comme relevant du terrorisme – et ce toujours sans appréciation préalable d’un juge. Le Conseil constitutionnel n’a jamais examiné la constitutionnalité d’une telle extension.

Six ans plus tard, aujourd’hui, le I de l’article 1er de la loi déférée modifie encore cette disposition. La principale modification est de réduire à une heure le délai, jusqu’alors de 24 heures, dont disposent les sites et hébergeurs Web pour retirer un contenu signalé par l’administration avant d’être bloqués par les fournisseurs d’accès à Internet et moteurs de recherche.

C’est la réduction de ce délai que le Conseil constitutionnel examine aujourd’hui. Il ne fait pas débat que le dispositif de censure administrative et, par là-même, la réduction du délai de ce dispositif, porte atteinte à la liberté d’expression. S’il est de jurisprudence constante que le droit à la liberté d’expression est un droit fondamental protégé par le Conseil constitutionnel, il sera démontré ci-dessous que l’atteinte portée par la loi qui vous est déférée est disproportionnée et contraire à la Constitution.

Sur le défaut d’adéquation

En droit, la jurisprudence du Conseil constitutionnel exige que « toute mesure restreignant un droit fondamental […] doit être adéquate, c’est-à-dire appropriée, ce qui suppose qu’elle soit a priori susceptible de permettre ou de faciliter la réalisation du but recherché par son auteur »1« Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel.

En l’espèce, aucun site ou hébergeur Web n’est techniquement capable de supprimer en une heure l’ensemble des contenus que l’administration est susceptible de lui signaler. L’exemple le plus flagrant est celui de la vidéo de la tuerie de Christchurch du 15 mars 2019. Facebook a expliqué2« Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand que, au cours des 24 heures suivant la publication de la vidéo sur sa plateforme, ses services de modération ont supprimé 1,2 million de copies de la vidéo, mais ont échoué à en bloquer 300 000 autres copies. Si Facebook, avec ses milliers de modérateurs et ses algorithmes de pointe, a échoué à retirer entièrement cette vidéo en 24 heures, il est certain que la vaste majorité des hébergeurs seront parfaitement incapables de le faire en seulement une heure.

De façon plus triviale, mais tout aussi probante, les très nombreux sites ou hébergeurs Web, dont les administrateurs techniques ne travaillent ni la nuit ni le week-end, seront dans l’impossibilité de retirer en une heure les contenus signalés par la police au cours de ces périodes. Il en va ainsi par exemple de La Quadrature du Net, qui héberge 24 000 utilisateurs sur son réseau social mamot.fr, et dont les administrateurs techniques, bénévoles, ne travaillent ni la nuit ni le week-end.

En conclusion, le nouveau délai ne correspondant à aucune réalité technique, il n’est manifestement pas adéquat.

Sur le défaut de nécessité

En droit, une mesure restreignant un droit fondamental n’est conforme à la Constitution que si elle « n’excède pas ce qui est nécessaire à la réalisation de l’objectif poursuivi »3Valérie Goesel-Le Bihan,op. cit..

En l’espèce, le gouvernement n’a jamais produit la moindre étude ou analyse pour expliquer en quoi les contenus terroristes devraient systématiquement être censurés en moins d’une heure. La recherche scientifique est pourtant riche à ce sujet, et va plutôt dans un sens contraire. En 2017, l’UNESCO publiait un rapport4Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841 analysant 550 études concernant la radicalisation des jeunes sur Internet. Le rapport conclut que « les données dont on dispose actuellement sur les liens entre l’Internet, les médias sociaux et la radicalisation violente sont très limitées et ne permettent pas encore de tirer des conclusions définitives » et que « les données sont insuffisantes pour que l’on puisse conclure à l’existence d’un lien de cause à effet entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour prévenir la radicalisation violente des jeunes sur l’Internet n’ont pas fait la preuve de leur efficacité, alors qu’il est clair qu’elles peuvent porter atteinte aux libertés en ligne, en particulier la liberté d’expression ». La radicalisation semble avant tout résulter d’interactions interpersonnelles et non de propagande en ligne – par exemple, Mohammed Merah, Mehdi Nemmouche, Amedy Coulibably et les frères Kouachi n’avaient pas d’activité en ligne5Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html en lien avec le terrorisme.

Puisque, dans la majorité des cas, il semble peu utile de censurer la propagande terroriste en ligne, il n’est manifestement pas nécessaire de la censurer systématiquement en moins d’une heure. Dans les cas où la censure rapide d’un contenu particulièrement dangereux serait requise, il suffirait de déterminer au cas par cas l’urgence nécessaire pour ce faire. C’est la solution qui a toujours résulté de l’application de la LCEN depuis 2004. Par exemple, en 2012, un hébergeur Web a été définitivement condamné6Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429 par la cour d’appel de Bordeaux pour ne pas avoir retiré en moins de 24 heures un contenu particulièrement sensible – des écoutes téléphoniques réalisées au cours de l’enquête judiciaire sur l’affaire AZF.

En conclusion, il n’est pas nécessaire d’exiger que les contenus terroristes soient systématiquement retirés en une heure dans la mesure où le droit antérieur suffit largement pour atteindre l’objectif poursuivi.

Sur le défaut de proportionnalité

En droit, « toute mesure restreignant un droit fondamental […] doit enfin être proportionnée au sens strict : elle ne doit pas, par les charges qu’elle crée, être hors de proportion avec le résultat recherché »7Valérie Goesel-Le Bihan, op. cit..

En l’espèce, le délai d’une heure est si court qu’il accroît hors de toute proportion acceptable les risques d’erreurs et d’abus.

Premièrement, l’urgence imposée par ce nouveau délai conduira à une multitude d’erreurs techniques et à retirer davantage de contenus que nécessaire. Ces erreurs seront d’autant plus probables que la plupart des hébergeurs n’auront jamais les moyens organisationnels de grandes plateformes comme Google ou Facebook. Trop souvent, dans l’urgence et sans organisation dédiée pour ce faire, la meilleure façon de retirer une image ou une vidéo en moins d’une heure sera de bloquer l’accès à l’ensemble d’un service. Ce type de dysfonctionnement n’est ni rare ni limité aux petites structures : en octobre 2016, en tentant d’appliquer l’article 6-1 de la LCEN, Orange avait bloqué par erreur8Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange l’accès à Google, Wikipédia et OVH pour l’ensemble de ses utilisateurs.

Deuxièmement, ce nouveau délai intervient dans un contexte juridique qui était déjà particulièrement flou. Les « actes de terrorisme » visés à l’article 421-2-5 du Code pénal, auquel l’article 6-1 de la LCEN renvoie, ne sont pas explicitement définis par la loi française. Il faut se référer à l’article 3 de la directive 2017/541, relative à la lutte contre le terrorisme, pour en avoir une définition textuelle. Il s’agit notamment du fait, ou de la tentative, de « causer des destructions massives […] à un lieu public ou une propriété privée », quand bien même aucun humain n’aurait été mis en danger et que le risque se limiterait à des « pertes économiques ». Pour relever du terrorisme, il suffit que l’acte vise à « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque ».

Ainsi, même s’il peut sembler évident de qualifier de terroriste une vidéo revendiquant un attentat meurtrier, cette qualification est beaucoup moins évidente s’agissant de propos politiques bien plus triviaux qui, d’une façon ou d’une autre, peuvent être liés à des destructions matérielles. Il peut s’agir par exemple d’appels vigoureux à aller manifester, ou encore de l’éloge de mouvements insurrectionnels historiques (prise de la Bastille, propagande par le fait, sabotage luddite…). Les hébergeurs n’auront plus qu’une heure pour apprécier des situations qui, d’un point de vue juridique, sont tout sauf univoques. Devant la menace d’importantes sanctions, les hébergeurs risquent de censurer quasi-automatiquement la plupart des contenus signalés par l’administration, sans la moindre vérification sérieuse.

Troisièmement, l’article 6-1 de la LCEN échoue à compenser le défaut de contrôle judiciaire préalable en prévoyant qu’une personnalité qualifiée de la CNIL, informée de toutes les demandes de censure émises par l’administration, puisse contester celles-ci devant les juridictions administratives. Dans les faits et depuis 2015, cette personnalité qualifiée est Alexandre Linden, qui n’a eu de cesse de dénoncer l’absence d’effectivité de sa mission. Il concluait ainsi son dernier rapport de 20199Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf, quant aux façons d’améliorer les conditions d’exercice de sa mission : « On peut une nouvelle fois légitimement s’interroger sur l’utilité de formuler des préconisations à l’issue de cette quatrième année d’activité, lorsque l’on constate que les préconisations mentionnées dans les trois premiers rapports d’activité n’ont pas été prises en compte par les autorités publiques […]. Cette situation compromet l’effectivité de son contrôle sur l’ensemble des demandes de retrait de contenus, de blocage ou de déréférencement ». Ne pouvant mener correctement cette mission, la CNIL a demandé au gouvernement qu’elle lui soit retirée – ce que l’article 7, IV, 3°, de la loi déférée a réalisé en confiant désormais cette mission au CSA.

Quatrièmement, à défaut d’intervention préalable de l’autorité judiciaire, cette nouvelle urgence permettra à l’administration d’abuser plus facilement de son pouvoir, tel qu’elle a déjà pu le faire. En septembre et octobre 2017, par exemple, la police nationale a invoqué l’article 6-1 de la LCEN pour exiger aux hébergeurs Indymedia Nantes et Indymedia Grenoble de retirer quatre tribunes anarchistes faisant l’apologie d’incendies de véhicules de le police et de la gendarmerie. La personnalité qualifiée de la CNIL, informée de ces demandes de censure, en a contesté la légalité devant le tribunal administratif de Cergy-Pontoise. Il a fallu attendre le 4 février 2019 pour que ce dernier reconnaisse10TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352 que la police avait abusé de ses pouvoirs dans l’ensemble des quatre demandes. Ainsi, l’administration a pu contourner la justice pendant un an et demi afin de censurer des opposants politiques. Réduire à une heure le délai laissé aux hébergeurs pour évaluer un contenu signalé par la police ne fera qu’accroître les risques que celle-ci abuse de son pouvoir.

En conclusion, le nouveau délai d’une heure aggrave hors de toute proportion acceptable les risques d’erreurs techniques ou juridiques propres au dispositif de censure administrative, ainsi que les risques d’abus de la part d’une administration qui échappe à tout contre-pouvoir effectif.

Il est utile de souligner que, si le projet de règlement européen visant à lutter contre les contenus terroristes en ligne prévoit aussi un délai d’une heure pour retirer les contenus signalés, ce délai est le principal point de désaccord du débat législatif concernant ce texte, et ce débat est loin d’être achevé. Au cours du dernier examen du Parlement européen, un amendement11Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf de Mme Eva Joly a proposé de remplacer le « délai d’une heure » par « les plus brefs délais » : cet amendement n’a été rejeté qu’à 297 voix favorables contre 300 voix défavorables12Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR, et ce alors même que le texte prévoit davantage de garanties que le droit français, en exigeant notamment que l’injonction de retrait ne puisse être émise que par « une autorité judiciaire ou une autorité administrative fonctionnellement indépendante »13Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html.

II. Sur le nouveau régime de censure en 24 heures

Le II de l’article 1er de la loi qui vous est déférée ajoute un article 6-2 à la LCEN, qui crée un nouveau régime de responsabilité spécifique à certains intermédiaires techniques et à certaines infractions. Ce nouveau régime est contraire à la Constitution en raison de l’atteinte disproportionnée à la liberté d’expression qu’elle entraîne, au moins de deux façons.

Sur les plateformes concernées

L’objectif de ce nouveau régime est de contenir la diffusion des discours de haine et de harcèlement sur les grandes plateformes commerciales, en premier titre desquelles Facebook, Youtube et Twitter, en leur imposant des obligations spécifiques. Toutefois, cette obligation ne pèse pas seulement sur les grandes plateformes commerciales, à l’origine du problème, mais sur tout « opérateur » visé à l’article L. 111-7 du code de la consommation et dont le nombre d’utilisateurs dépasse un seuil fixé par décret (que l’on nous annonce à 2 millions). En pratique, des sites sans activité commerciale, tel que Wikipédia, seront aussi concernés.

Pourtant, le modèle de modération de ces plateformes non-commerciales, qui repose sur une communauté bénévole et investie, a pu se montrer plus efficace pour limiter la diffusion de la haine et du harcèlement que les grandes plateformes commerciales. Ce constat n’est remis en cause ni par la rapporteure de la loi déférée ni par le gouvernement. Tout en restant perfectibles, les plateformes non-commerciales satisfont déjà largement l’objectif poursuivi par la loi déférée. Il n’est pas nécessaire de leur imposer de nouvelles obligations qui nuiront à leur développement et à la liberté de communication de leurs utilisateurs.

En conséquence, ce nouveau régime porte une atteinte disproportionnée au droit à la liberté d’expression. À titre subsidiaire, ce nouveau régime ne pourrait être conforme à la Constitution qu’à la condition que son champ d’application soit interprété de façon à exclure les plateformes non-lucratives, par exemple tel que le prévoit l’actuel projet de loi relatif à la communication audiovisuelle14http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16 dont l’article 16, qui crée un nouveau régime de responsabilité en matière de droit d’auteur, ne s’applique qu’aux opérateurs qui organisent et promeuvent les contenus hébergés en vue d’un tirer un profit, direct ou indirect.

Sur le délai de 24 heures

Le nouveau régime impose un délai de 24 heures pour retirer les contenus signalés. La disproportion de ce nouveau délai résulte des mêmes constats déjà détaillés pour le nouveau délai d’une heure imposé en matière de terrorisme.

Le délai de 24 heures n’est pas adéquat, car il ne sera techniquement pas réaliste – même Facebook échoue à supprimer en 24 heures les pires vidéos terroristes. Le délai de 24 heures n’est pas nécessaire, car le droit actuel suffit largement pour fixer au cas par cas, en fonction de la gravité de chaque contenu, la célérité requise pour le retirer. Le délai de 24 heures n’est pas proportionné, car il aggravera les risques d’abus par la police, qui pourra plus facilement faire exécuter des demandes de censure excessives que les hébergeurs avaient, jusqu’alors, le temps d’analyser et de refuser.

En conséquence, le II de l’article 1er de la loi déférée porte une atteinte manifestement disproportionnée au droit à la liberté d’expression.

III. Sur l’augmentation des sanctions pénales

L’article 6 de la loi déférée fait passer de 75 000 euros à 250 000 euros le montant de l’amende prévue au 1 du VI de l’article 6 de la LCEN et qui sanctionne les fournisseurs d’accès à Internet et les hébergeurs qui ne conservent pas pendant un an les données de connexion de l’ensemble de leurs utilisateurs.

Aucun élément n’a été avancé pour justifier une telle augmentation. Au contraire, l’actualité jurisprudentielle européenne aurait dû entraîner la disparition de cette sanction. Comme La Quadrature du Net a déjà eu l’occasion de l’exposer au Conseil constitutionnel, la Cour de justice de l’Union européenne a, dans son arrêt Tele2 du 21 décembre 2016, déclaré qu’une telle mesure de conservation généralisée est contraire à la Charte des droits fondamentaux de l’Union.

En conséquence, l’article 6 de la loi déférée est contraire à la Constitution en ce qu’il augmente le montant d’une amende pénale sans que cette augmentation ne soit nécessaire à la poursuite d’aucun objectif légitime.

**

Pour ces motifs, les associations La Quadrature du Net et Franciliens.net estiment que les articles 1er et 6 de la loi visant à lutter contre les contenus haineux sur internet sont contraires à la Constitution.

Nous vous prions de croire, Monsieur le président, Mesdames et Messieurs les membres du Conseil constitutionnel, l’assurance de notre plus haute et respectueuse considération.

References   [ + ]

1. « Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel
2. « Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand
3. Valérie Goesel-Le Bihan,op. cit.
4. Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841
5. Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html
6. Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429
7. Valérie Goesel-Le Bihan, op. cit.
8. Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange
9. Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf
10. TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352
11. Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf
12. Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR
13. Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html
14. http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16

Hadopi, une victoire de façade ?

Wed, 20 May 2020 14:02:21 +0000 - (source)

Mise à jour, 20 mai 20h : Avec le recul de l’analyse juridique minutieuse – incompatible avec la pression de l’urgence médiatique – cette décision pourrait constituer une victoire nettement plus modeste.

La censure prononcée par le Conseil constitutionnel nous a conduit à penser, dans le feu de l’action, à une victoire décisive que l’on espérait. Toutefois, malgré la restriction du champ des données de connexion accessibles à la HADOPI – qui reste une victoire -, une lecture plus attentive nous amène à penser que demeure une interprétation selon laquelle son activité devrait pouvoir persister. C’est cette interprétation possible que nous avons échoué à déceler dans l’urgence – nous remercions les personnes qui ont pu nous la signaler.

Ce recours devant le Conseil constitutionnel venait se greffer sur un contentieux au temps plus long, dont une autre partie est actuellement en cours notamment devant le Conseil d’État. D’autres aspects du dispositif de riposte graduée demeurent très critiquables. Nous allons désormais nous y attaquer.

Nous présentons nos sincères excuses à celles et ceux qui se sont réjouis trop vite à la lecture de notre communiqué enthousiaste. Nous avons lu la décision sous le prisme de notre préjugé et l’enthousiasme a limité notre regard critique sur ses détails. Nous présentons nos excuses pour cette fausse joie, il y a bien une censure de morceaux du dispositif, mais nous avons encore certains doutes parmi nous sur l’enchevêtrement de différents éléments du dispositifs et allons avoir besoin d’un temps de recul pour fournir une analyse finale de cette décision. Nous allons prendre le temps de faire cela correctement. Le débat consiste à savoir quelle portée a l’alinéa 3, censuré, de l’article L. 331-21 du code de la propriété intellectuelle. À lire l’exposé des motifs de la loi Hadopi de la loi Hadopi en 2008, plusieurs lectures paraissent possibles. On reviendra vers vous pour donner notre lecture en présentant à nouveau nos excuses pour cet enthousiasme prématuré et nous allons tâcher de redoubler d’efforts pour obtenir vraiment cette victoire.

Le Conseil constitutionnel vient de répondre à la question prioritaire de constitutionnalité transmise le 12 février 2020 par La Quadrature du Net, FDN, FFDN et Franciliens.net (lire la décision). Il déclare contraire à la Constitution les pouvoirs que la loi a donné à la HADOPI pour identifier les personnes qui partagent des œuvres sur Internet, par exemple en identifiant les adresses IP connectées à divers flux BitTorrent. Ces pouvoirs prendront fin à la fin de l’année

La décision d’aujourd’hui n’a rien de surprenant : elle s’inscrit dans la continuité d’une jurisprudence déployée depuis cinq ans par le Conseil constitutionnel, en parallèle de la Cour de justice de l’Union européenne (relire l’explication détaillée de notre action). Cette jurisprudence tend à replacer l’autorité judiciaire dans son rôle de contrôle préalable de l’administration, notamment quand il s’agit de lever l’anonymat des internautes. Or, la raison d’être de la HADOPI était précisément de contourner la justice afin de surveiller le plus plus grand nombre d’internautes et de les dissuader de partager des œuvres en ligne. Puisqu’il lui est enfin imposée de passer par la justice, la raison d’être de la HADOPI disparait. Nul doute que son budget annuel de 10 millions d’euros sera utile ailleurs.

Le projet de loi audiovisuelle, débattu depuis quelques mois par le Parlement, prévoyait déjà de supprimer la HADOPI. Mais il prévoit aussi de transmettre ses missions au CSA. La stratégie de notre action contentieuse consistait à attendre ce moment pour inciter le Parlement, au moment de supprimer la HADOPI, à ne pas perpétuer des missions dont l’incompatibilité à la Constitution a été aujourd’hui reconnue.

Il s’agit de l’aboutissement de 10 ans de lutte pour La Quadrature du Net. Si nous avons été nombreuses à nous moquer, avant son adoption, de l’inutilité de la HADOPI, il ne faut pas minimiser la nocivité qu’aura eu son action en 10 années. Elle aura vivement dissuadé la population de recourir à la pratique vertueuse, libre et décentralisée qu’est le partage d’œuvres de pair à pair. Au contraire, la HADOPI aura forcé nombre d’internautes dans les bras d’une poignée de méga-plateformes, licites ou non, qui auront centralisé les échanges culturels en quelques points dominants. Cette centralisation aura surtout permis à ces méga-plateformes d’imposer leurs conditions aux artistes. Au final, à part ces plateformes, tout le monde – internautes, artistes, etc. – aura perdu au change.

Nous espérons que la victoire d’aujourd’hui sera un pas de plus vers la décentralisation du Net et le libre partage de la culture, accessible à toutes et à tous sans condition de richesse.


Les goélands abattent leur premier drone

Mon, 18 May 2020 10:33:31 +0000 - (source)

Suite à notre recours, l’ordonnance du Conseil d’État est une victoire historique contre la surveillance par drone. La décision reconnaît l’illégalité de tout drone qui, volant suffisamment bas et étant équipé de caméra, permet à la police de détecter des individus, que ce soit par leurs habits ou un signe distinctif.

D’après le Conseil d’État, cette illégalité ne saurait être corrigée que par un arrêté ministériel pris après avis de la CNIL. Dans l’attente d’un tel arrêté, que nous recevrons de pied ferme, la police devra maintenir au sol la grande majorité de ses drones dans l’ensemble du pays. En effet, l’ordonnance d’aujourd’hui concerne le déploiement de drones pour lutter contre le virus et on peut douter que les autres drones de la police soient déployés pour un motif plus impérieux — qui permettraient de se passer d’un arrêté.

D’autres outils de la Technopolice restent sans cadre juridique et continuent pourtant de se déployer : vidéosurveillance automatisée, capteurs sonores, police prédictive… Une telle décision nous encourage à continuer nos combats.


EDRi demande l’interdiction de la surveillance biométrique

Thu, 14 May 2020 15:40:46 +0000 - (source)

L’association internationale EDRi, soutenue par La Quadrature du Net, lance une campagne européenne pour faire interdire la reconnaissance faciale et plus généralement la surveillance de masse biométrique. Nous publions la traduction du communiqué de lancement.

À travers toute l’Europe, des technologies de reconnaissance faciale et d’identification biométrique, intrusives et violant les droits, se répandent discrètement dans les espaces publics. Comme la Commission européenne consulte le public à ce sujet, EDRI appelle les États membres de l’UE à garantir que de telles technologies soient totalement interdites, à la fois dans la loi et dans la pratique.

Circulez, y a rien à voir…

À la fin de l’année 2019, au moins 15 pays européens ont expérimenté des technologies de surveillance de masse utilisant l’identification biométrique, comme la reconnaissance faciale. Ces technologies sont conçues pour surveiller, suivre et analyser les individus, pour les noter et les juger dans leur vie quotidienne.
Pire, plusieurs gouvernements l’ont fait en collaboration avec des entreprises technologiques secrètes, en l’absence de débat public et sans avoir démontré que ces systèmes respectent les critères les plus élémentaires de responsabilité, de nécessité, de proportionnalité, de légitimité, de légalité ou de sécurité.

Quelques milliers de caméras pour les gouverner tous

Sans la vie privée, vous n’avez plus de conversations privées avec vos ami·es, votre famille, votre supérieur ou même votre docteur. Votre militantisme et votreengagement pour sauver la planète sont connus de tous et toutes. Si vous lancez l’alerte pour dénoncer un fait d’exploitation ou de corruption, ou si vous assistez à une manifestation politique qui déplaît à votre gouvernement, on peut vous retrouver. Vous perdez de fait le droit d’assister à une cérémonie religieuse ou à une réunion syndicale sans qu’on garde un œil sur vous, le droit d’étreindre votre partenaire sans que quelqu’un vous regarde, le droit de flâner librement sans que quelqu’un puisse trouver ça louche.

La surveillance de masse permanente supprime le droit d’être réellement seul et instaure l’obligation d’être constamment surveillé et contrôlé.

COVID-1984 ?

Les débats autour de la pandémie de coronavirus ont vu naître des idées d’applications et d’autres propositions pour étendre rapidement les systèmes de surveillance, sous couvert de santé publique. Le risque est considérable que les dégâts causés par cet élargissement des mesures de surveillance survivent à l’épidémie. On peut se demander, par exemple, si les employeurs enlèveront les caméras thermiques des bureaux une fois la pandémie passée.

Les systèmes de surveillance biométriques exacerbent les inégalités structurelles, accélèrent la création de fichiers et de « profilages » illégaux, ont un effet intimidant sur les libertés d’expression et de réunion, et limitent les capacités de chacun·e à participer à des activités sociales publiques.

Fanny Hidvegi, responsable de la politique européenne à Access Now, insiste sur ce point :

« Les droits humains s’appliquent en temps de crise et d’urgence. On ne doit pas avoir à choisir entre la vie privée et la santé : protéger les droits numériques favorise la santé publique. La suspension des droits à la protection des données en Hongrie est la preuve que l’UE doit renforcer la protection des droits fondamentaux. »

La surveillance biométrique : une architecture d’oppression

Se présentant comme une « architecture d’oppression », la capture et le traitement non ciblé de données biométriques sensibles permet aux gouvernements et aux entreprises d’enregistrer en permanence et en détail qui vous rencontrez, où vous allez, ce que vous faites. Cela leur permet aussi d’utiliser ces informations contre vous — que ce soit par les pouvoirs publics pour faire appliquer la loi ou à des fins commerciales. Une fois ces enregistrements reliés à nos visages et corps, il n’y a plus de retour possible, nous sommes marqués au fer rouge. Il ne peut y avoir de place pour de telles pratiques dans une société démocratique.

Ioannis Kouvakas, juriste chez Privacy International (PI), membre d’EDRi met en garde :

« L’introduction de la reconnaissance faciale dans les villes est une idée extrémiste et dystopique qui menace explicitement nos libertés et pose des questions fondamentales sur le type de société dans laquelle nous voulons vivre. En tant que technique de surveillance très intrusive, elle offre aux autorités de nouvelles opportunités de s’en prendre à la démocratie sous prétexte de la défendre. Nous devons interdire son déploiement dès maintenant et de manière définitive avant qu’il ne soit trop tard. »

EDRi demande donc une interdiction immédiate et permanente de la surveillance de masse biométrique dans l’Union européenne.

La surveillance de masse biométrique est illégale

Cette interdiction est fondée sur les droits et protections consacrés par la Charte des droits fondamentaux de l’Union européenne, le Règlement général sur la protection des données (RGPD) et la Directive Police Justice. Ensemble, ces textes garantissent aux résidents de l’UE de vivre sans la crainte d’un traitement arbitraire ou d’un abus de pouvoir, et le respect de leur autonomie. La surveillance de masse biométrique constitue une violation de l’essence de ces textes et une violation du cœur même des droits fondamentaux de l’UE.

Une fois que des systèmes qui normalisent et légitiment la surveillance constante de tout le monde sont en place, nos sociétés glissent vers l’autoritarisme. L’UE doit donc veiller, par des moyens notamment législatifs, à ce que la surveillance de masse biométrique soit totalement interdite en droit et en pratique. Lotte Houwing, conseillère politique chez Bits of Freedom (BoF), membre d’EDRi, déclare :

« Les mesures que nous prenons aujourd’hui façonnent le monde de demain. Il est de la plus haute importance que nous gardions cela à l’esprit et que nous ne laissions pas la crise du COVID-19 nous faire sombrer dans un état de surveillance (de masse). La surveillance n’est pas un médicament. »

L’UE réglemente tout, des médicaments aux jouets pour enfants. Il est inimaginable qu’un médicament dont l’efficacité n’a pas été prouvée ou un jouet présentant des risques importants pour la santé des enfants soient autorisés sur le marché. Cependant, en ce qui concerne la captation et le traitement des données biométriques, en particulier à la volée dans les espaces publics, l’UE a été un foyer pour les expérimentations illégales. D’après une étude de 2020, plus de 80% des Européens sont pourtant opposés aux partages de leurs données faciales avec les autorités.

EDRi appelle la Commission européenne, le Parlement européen et les États membres à respecter leurs valeurs et à protéger nos sociétés en interdisant la surveillance de masse biométrique. S’ils s’y refusent, nous augmentons nos chances de voir naître une dystopie numérique incontrôlable.


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles