Autoblog de la La quadrature du nethttp://www.laquadrature.net/http://www.laquadrature.net/ Health Data Hub : du fantasme de l’intelligence artificielle à la privatisation de nos données de santéhttps://www.laquadrature.net/?p=17042http://streisand.me.thican.net/laquadrature.net/index.php?20210317_131846_Health_Data_Hub____du_fantasme_de_l___intelligence_artificielle_a_la_privatisation_de_nos_donnees_de_santeWed, 17 Mar 2021 12:18:46 +0000Projet central du « Plan national pour l’intelligence artificielle » (surnommé « AI for humanity« ), le « Health Data Hub » (HDH) est un projet visant à centraliser l’ensemble des données de santé de la population française. Il est prévu que le HDH regroupe, entre autres, les données de la médecine de ville, des pharmacies, du système hospitalier, des laboratoires de biologie médicale, du dossier médical partagé, de la médecine du travail, des EHPAD ou encore les données des programmes de séquençage de l’ADN [1].

Le HDH se substitue à une structure existante, le Système National de Données de Santé, avec deux principales modifications : un large élargissement des données collectées et un accès facilité, en particulier pour le secteur privé (GAFAM, « medtechs », startup, assureurs…), à ces dernières. A noter que les décrets officialisant les critères de sélection des projets ayant accès aux données ne sont toujours pas parus. Son objectif est donc, via leur centralisation, de faciliter l’utilisation de nos données de santé par le plus grand nombre d’acteurs de manière à, selon ses promoteurs-rices, « faire de la France un pays leader de l’intelligence artificielle » [2].

Ce projet, mené sans réelle concertation publique, est au centre de nombreuses controverses. Le choix du gouvernement de confier son hébergement à Microsoft, dans l’opacité la plus totale et malgré un avis particulièrement sévère de la CNIL, a soulevé de nombreuses protestations. Alors même que les critiques s’intensifiaient, le gouvernement a profité de l’état d’urgence sanitaire pour accélérer son développement, décision qui fut attaquée en justice par le collectif Interhop. Edward Snowden lui-même a pris position contre ce projet en dénonçant une capitulation du gouvernement devant « le cartel du Cloud ».

Sans remettre en question le droit à l’accès aux données médicales à des fins de recherche publique, ce texte se propose d’interroger les ressorts idéologiques du HDH et la vision du système de santé qu’il traduit, en l’inscrivant dans le contexte plus large de l’utilisation grandissante des techniques d’Intelligence Artificielle (IA) dans notre société. En effet, du système éducatif et social à la justice, en passant par la police, l’agriculture ou la santé, aucun domaine n’est aujourd’hui épargné. Alors que l’introduction de cette technologie est présentée comme inéluctable, et le recours à celle-ci comme intrinsèquement un progrès, les risques associés à son recours à outrance dans nos sociétés sont nombreux : déshumanisation [3], perte d’autonomie [4], usage contre les intérêts des patients, et, comme souvent lors de la création de nouvelles bases de données, une surveillance accrue [5]…

Aux origines du HDH : le rapport Villani ou l’IA fantasmée

La création du HDH fut initialement proposée dans le rapport Villani, publié en 2018. C’est sur la base de ce dernier que s’est construite la stratégie gouvernementale en matière d’IA.

Sa lecture permet d’appréhender la vision que se fait l’État des enjeux posés par l’IA, son positionnement par rapport à ces derniers et les risques que cette politique implique en terme de protection des données personnelles, tout particulièrement dans le domaine de la santé.

L’IA : « Une chance inouïe d’accélérer le calcul réservé à Dieu »

C’est en ces termes[6] qu’Emmanuel Macron, évoquant la philosophie de Leibniz[7], introduit le discours qu’il prononce à l’occasion de la publication du rapport Villani. L’IA, ajoute-t-il, « nous donnerait la capacité de réaliser nous-mêmes » le calcul du « meilleur des mondes possibles » que le philosophe réserve à Dieu. Selon lui, grâce à cette technique, nous serons bientôt en mesure de « parcourir beaucoup plus rapidement les chemins du malheur pour choisir le bon chemin […] plus tôt et […] plus rapidement » [6].

On retrouve ici toute la fascination exercée par les technologies, et l’informatique en particulier, sur nos dirigeant-e-s. Pour Jacques Ellul [8], ce sont d’ailleurs les politiques qui « paraissent plus que tous autres fascinés par cet instrument fabuleux », parce qu’ils-elles se trouvent « enfin maître(s) d’un instrument d’une puissance absolue » grâce auquel « tout va devenir possible ».

Après l’informatique, c’est donc à l’IA d’entretenir le mythe d’une technologie révolutionnaire et salvatrice. Comme l’écrivait André Vitalis en 1981 [9], l’IA et l’informatique sont des domaines si vastes que « dès lors, toutes les spéculations sont possibles, et à la place d’une appréciation raisonnée des possibilités de la machine, on est en présence d’une croyance à priori, en un pouvoir assez général ». Il ajoute à ce sujet que « ceci définit parfaitement une croyance magique ».

Une politique au service de finalités impensées

Cette fascination de nos dirigeant-e-s pour l’IA les empêche de prendre le recul nécessaire pour penser l’intégration de cette technique au sein d’un projet politique. Le rôle de l’Etat se limite à mettre tous les moyens à sa disposition pour préparer la France à « la révolution promise par l’IA », la faciliter, et ce, sans jamais questionner ni ses finalités ni ses moyens.

Ainsi, le rapport Villani plaide pour une véritable « transformation de l’Etat » et préconise d’adapter tant la commande publique que nos lois ou l’organisation de nos systèmes de santé et éducatif afin de lever les « freins » au développement de l’IA, « libérer la donnée » et « faire émerger une culture commune de l’innovation » [10]. Le cœur du rapport s’attache uniquement à préciser les actions à réaliser pour que la société s’adapte aux besoins techniques de l’IA.

Dans le même temps, la question de la limitation et de l’encadrement des usages de cette technologie y est quasi absente, tout comme la définition d’objectifs précis auxquels pourraient répondre une politique publique centrée autour de quelques grands projets de recherche publique. Ceux affichés par le « plan national pour l’IA » sont au contraire très vagues : permettre à la France de trouver une place parmi les « leaders » de ce domaine, ou encore « construire la véritable renaissance dont l’Europe a besoin » [6]

Il s’agit dès lors pour le pouvoir, non pas de questionner l’IA, mais de trouver de quels avantages dispose la France pour concurrencer les puissances dominantes (GAFAM, États-Unis, Chine) dans ce domaine. En se plaçant dans une logique concurrentielle, l’État embrasse implicitement le modèle défini par ces dernières et soustrait au débat public le choix de nos orientations technologiques.

Nos données de santé : un « avantage compétitif »

Les implications de ce choix vis-à-vis du HDH apparaissent rapidement. Comme Cédric Villani le précise [10] : « La situation actuelle est caractérisée par une asymétrie critique entre les acteurs de premier plan – les GAFAM […] – qui ont fait de la collecte et de la valorisation des données la raison de leur prééminence ; et les autres – entreprises et administrations – dont la survie à terme est menacée » .

Dans cette course à l’IA, l’État semble aujourd’hui dépassé par les GAFAM et les prodigieuses quantités de données qu’elles ont accumulé. A un tel point que Cédric Villani juge son existence mise en péril…

Toutefois, le rapport Villani se veut rassurant : si « le premier acte de la bataille de l’IA portait sur les données à caractère personnel » , et a été « remportée par les grandes plateformes » , le second acte va porter sur les « données sectorielles », dont le secteur de la santé est un parfait exemple. Or « c’est sur celles-ci que la France et l’Europe peuvent se différencier ».

Comment ? Grâce aux données à disposition de l’Etat français : celles collectées pour le développement de la sécurité sociale [11]. Comme l’explique clairement Emmanuel Macron : « Nous avons un véritable avantage, c’est que nous possédons un système de santé […] très centralisé, avec des bases de données d’une richesse exceptionnelle, notamment celle de l’Assurance-maladie et des hôpitaux ».

Tout est dit : pour que la France trouve sa place sur le marché de l’IA, l’État doit brader nos données de santé.

Un système de santé déshumanisé

Si le HDH est donc présenté comme un moyen de permettre à notre industrie nationale de « jouer un rôle de premier plan au niveau mondial et concurrencer les géants extra-européens » [10], il s’inscrit dans une vision plus globale d’un système de santé toujours plus quantifié et automatisé. Le rapport Villani permet en effet d’en cerner les contours : un système médical transformé pour être mis au service de l’IA, le recul des rapports humains, une médecine personnalisée basée sur l’exploitation à outrance de données personnelles et le transfert de la gestion de nouveaux pans de notre vie à des algorithmes opaques et privés.

« Hospital as a Platform » : Le corps médical au service de l’IA

L’ « Hospital as a Platform »[10], c’est ainsi que l’hôpital est désigné par le rapport Villani. Les lieux de soins y sont perçus comme de simples plateformes de données, des fournisseurs de matières premières pour les algorithmes des « medtechs ». Au delà de la violence d’une telle vision de notre système de soin, « producteur de données » [10], cela entraîne des conséquences directes tant pour le corps médical que pour la pratique de la médecine.

Puisque « les données cliniques renseignées par les médecins sont des sources d’apprentissage permanentes des IA », il devient « nécessaire que les professionnels de santé soient sensibilisés et formés pour encoder ces informations de manière à les rendre lisibles et réutilisables par la machine » [10].

Ainsi, jusqu’à présent, les soignants produisaient majoritairement des informations destinées à d’autres soignant-e-s et/ou patient-e-s. La quantification de chaque soin, introduite par la réforme de la T2A (tarification à l’activité) en 2003, avait déjà radicalement changé le rapport du soignant-e à la patient-e, tout en impactant les décisions médicales. Mais aujourd’hui c’est désormais l’ensemble de la production du personnel médical qui sera destiné à la machine. En inscrivant les relations patient-e/soignant-e dans des processus de rationalisation et de normalisation informatique, c’est le système lui-même que l’on déshumanise.

On renforce par ailleurs la charge de travail et les contraintes bureaucratiques du personnel médical, transformé à son tour en « travailleur-se du clic » pour reprendre l’expression d’Antonio Casilli [16], deux préoccupations au centre des récents mouvements de protestations [13] dans les milieux hospitaliers.

Marchandisation des données de santé

La stratégie gouvernementale prévoit la mise en place d’incitations fortes de manière à ce que le corps médical accepte ce changement de paradigme. Plusieurs pistes sont avancées :

Le rapport de préfiguration du HDH [14] indique par exemple que « les financements publics devraient être systématiquement conditionnés à la reconnaissance et au respect du principe de partage ». Un établissement médical refusant de partager les données de ses patient-e-s avec le HDH pourrait ainsi se voir ainsi privé de fonds.

Mais le coeur de la stratégie se veut plus doux. Il repose sur la rémunération des producteurs de données (hôpitaux, Ehpad, laboratoires…) par les utilisateurs-rices du HDH. Car comme le précise la mission de préfiguration, nos données de santé ont « un fort potentiel de valorisation économique » qui « se concentre principalement autour des industriels de santé, laboratoires pharmaceutiques et medtech » [14]. Ce que propose ainsi le rapport de préfiguration du HDH n’est rien de moins qu’une marchandisation de nos données de santé.

La mission de préfiguration rappelle par ailleurs qu’il sera nécessaire de « procéder à la large diffusion d’une culture de la donnée », afin de lever les freins culturels au développement de la technologie. Cette culture devra être infusée tant au niveau des responsables médicaux que des patients eux-mêmes. Et d’ajouter : « N’attendons pas d’être souffrants pour épouser cet état d’esprit » [14] …

Aujourd’hui pourtant, cette « culture de la donnée » française et européenne repose sur plusieurs textes tels la loi informatique et libertés de 1978 ou le RGPD (2018), qui visent au contraire à protéger cette donnée, et particulièrement la donnée de santé, dite « sensible » au même titre que l’orientation politique ou sexuelle. Maintenant que le contexte technique permet une analyse extrêmement pointue de ces données, il faudrait donc cesser de la protéger ?

« Deep Patient » : Du smartphone aux laboratoires d’analyses médicales

Pour Cédric Villani, les capteurs individuels de santé permettraient de participer à l’amélioration des outils d’IA, glissant vers une médecine individualisée à l’extrême, se basant sur la collecte d’une quantité toujours plus importante de données personnelles. Une médecine dans laquelle, selon lui, « le recueil des symptômes ne se fait plus seulement lors de la consultation de son médecin, mais à travers un ensemble de capteurs intégrés à l’individu (objets de « quantified self », apps de santé sur le smartphone, véritable « laboratoire d’analyses médicales distribuées ») ou à son environnement » [10].

Ce qu’évoque ici le rapport Villani, c’est le rêve d’une mesure de chaque aspect de notre vie (sommeil, alimentation, activité physique…), idéologie portée par le mouvement né aux Etats-Unis dit du « quantified self » [15]. Rêve accessible grâce à ces smartphones à qui incombe la responsabilité de collecte des données. Il est ainsi précisé que le « suivi en temps réel du patient et des traces qu’il produit » permet de « retracer une image précise du patient », constituant ce que le rapport désigne par l’expression de « deep patient » [10].

Le modèle proposé est donc celui de la délégation de notre système de santé à des applications se basant sur des algorithmes développés par le secteur privé, grâce aux données du HDH. La consultation de FAQ remplace petit à petit les consultations médicales, trop onéreuses et inefficientes, pendant qu’un avatar électronique remplace la médecin de famille.

Aucun recul n’est pris par rapport aux risques qu’engendre une privatisation croissante de notre système de santé. Aucune critique n’est faite du modèle économique des GAFAM basé sur la prédation des données personnelles. Il s’agit au contraire pour l’état d’accentuer le mouvement initié par ces derniers, de les concurrencer.

Se dessine alors une médecine personnalisée à l’extrême, atomisée, où la machine est reine et les interactions avec le corps médical marginalisées. Une médecine dans laquelle les questions collectives sont poussées en arrière plan et dans laquelle des pans entiers de notre système de santé sont délégués au secteur du numérique.

Conclusion

Nous refusons que nos données de santé soient utilisées pour la construction d’une médecine déshumanisée et individualisée à l’extrême. Nous refusons qu’elles servent à l’enrichissement de quelques structures privées ou à l’apparition de GAFAM français du domaine de la santé. Nous refusons qu’elles participent à l’avènement d’une société du « Quantified Self » dans laquelle la collecte de données personnelles de santé serait favorisée et valorisée. Nous refusons enfin une société où notre système de soin deviendrait un auxiliaire au service de technologies dont la place n’a pas fait l’objet d’un débat public.

Nous demandons donc :

– L’arrêt du développement du HDH, dans l’attente d’une remise à plat de ses objectifs et son fonctionnement ;
– L’arrêt du contrat d’hébergement conclu avec Microsoft ;
– Un changement de paradigme faisant de l’accès aux données de santé de la population française par le secteur privé l’exception plutôt que la norme.

[1]: Pour une liste exhaustive, se reporter à la Partie 5 « Patrimoine de Données » du Rapport de la mission de préfiguration du HDH : https://solidarites-sante.gouv.fr/IMG/pdf/181012_-_rapport_health_data_hub.pdf
[2]: https://www.aiforhumanity.fr/
[3]: Les films « Moi, Daniel Blake » ou « Effacer l’historique » offrent une belle, et triste, illustration d’un système social informatisé et bureaucratisé jusqu’à en perdre toute humanité
[4]: Voir à ce sujet « La liberté dans le coma » du Groupe Marcuse/ Sushana Zuboff
[5]: Voir à ce sujet le projet Technopolice: www.technopolice.fr
[6]: Discours prononcé le 29 mars 2018 par Emmanuel Macron à l’occasion de la publication du rapport Villani accessible ici
[7]: Macron évoque ici les réflexions de Leibnitz, philosophe du dix-septième siècle autour de la question suivante: « Si Dieu est omnibénévolent, omnipotent et omniscient, comment pouvons-nous rendre compte de la souffrance et de l’injustice qui existent dans le monde? » (citation wikipedia)
[8]: Lire à ce sujet le chapitre préliminaire du livre ‘Informatique, Pouvoir et Libertés’ d’André Vitalis et sa préface écrite par Jacques Ellul
[9]: « Pouvoir et Libertés », André Vitalis, Chapitre préliminaire,
[10]: Rapport Villani, accessible ici p.196
[11]: Sur le développement conjoint, et les besoins en matière de collecte de données, de l’état policier et de l’état providence, voir « La liberté dans le Coma », p57-75
[12]: Sur le concept de « travailleurs du clic », voir le livre « En attendant les robots. Enquête sur le travail du clic » d’Antonio Casili.
[13]: Voir par exemple cet article de Libération ici
[14]: Mission de préfiguration du HDH. Rapport disponible ici
[15]: Pour plus de détail sur ce mouvement, voir la page wikipedia ainsi que le chapitre 7 du livre « To Save Everything, Click Here: The Folly of Technological Solutionism » d’Evgeny Morozov.
[16]: Voir « En attendant les robots. Enquête sur le travail du clic. » d’Antonio A. Casilli.

]]>
Le Sénat doit s’opposer à la reconnaissance faciale des masqueshttps://www.laquadrature.net/?p=17023http://streisand.me.thican.net/laquadrature.net/index.php?20210315_144844_Le_Senat_doit_s___opposer_a_la_reconnaissance_faciale_des_masquesMon, 15 Mar 2021 13:48:44 +0000Le 10 mars 2021, le ministre des transports M. Djebbari a autorisé par décret les gestionnaires de gares, de métro et de bus à déployer sur leurs caméras de surveillance des logiciels de détection de masque, prétextant un besoin statistique dans la lutte contre le Covid.

Ce décret est illégal : d’abord, seul le Parlement aurait le pouvoir d’autoriser un tel traitement, par exemple dans la loi Sécurité Globale actuellement débattue. Surtout, un débat démocratique aurait fait apparaître que cette surveillance, en plus d’être une atteinte supplémentaire à nos libertés, est inutile et donc injustifiable.

Le gouvernement a préféré contourner le Parlement et la loi en passant par décret, remettant entièrement en cause l’autorité du pouvoir législatif. Le Sénat doit contenir cette offensive anti-démocratique en adoptant l’amendement de la loi Sécurité globale qui propose un moratoire de 2 ans pour tout système d’analyse d’image automatisée.

Nous manifesterons pour cela devant le Sénat mardi 16 mars à 16h, square Poulenc à Paris, le jour où commenceront les débats en séance publique sur cette loi.

Un décret pour une start-up

Le 6 mai 2020, profitant de la panique sanitaire, la start-up française Datakalab avait tenté un coup d’éclat médiatique en offrant à la RATP, l’exploitant des transports parisiens, un logiciel de détection de masque déployé dans la station de métro Châtelet. Si l’opération avait réussi à faire parler de Datakalab, elle avait aussi attiré la CNIL qui fit savoir que ce dispositif était illégal pour défaut d’encadrement juridique. Dans ces conditions, avoir déployé ce logiciel constituait un délit puni de 5 ans de prison. Le logiciel a donc été remballé le 12 juin (le tout sans qu’aucune poursuite pénale ne soit engagée).

Ensuite, la RATP et Datakalab ont manifestement cherché du soutien auprès du gouvernement afin de bricoler ce « cadre juridique » qui leur permettrait de poursuivre leur expérimentation. C’est ainsi que M. Djebbari a adopté le décret du 10 mars 2021, tout en saluant publiquement Datakalab, pour qui ce décret était clairement pris. En retour, Datakalab remerciait le ministre dans une franchise symptomatique des sociétés autoritaires.

Difficile de savoir exactement pourquoi M. Djebbari souhaite autoriser l’activité illégale d’une start-up, mais on peut au moins constater une chose : cela renforce la stratégie globale du gouvernement visant à éroder la large opposition populaire contre la surveillance biométrique en rendant celle-ci de plus en plus présente dans nos vies.

Le contenu du décret

Dans les grandes lignes, le décret se contente de décrire l’expérience menée illégalement par Datakalab en mai 2020, puis de l’autoriser. Désormais, les gestionnaires de gares, de métro et de bus peuvent installer sur leurs caméras de surveillance un logiciel qui comptera deux choses : le nombre de personnes filmées et le nombre parmi celles-ci qui portent un masque. Un pourcentage est donné pour des tranches d’au moins 20 minutes et le décret prétend pour l’instant que le logiciel ne pourra servir qu’à faire des statistiques en ne visant ni à punir ni à identifier les personnes ne portant pas de masque.

En pratique, c’est le visage de l’ensemble des personnes filmées qui sera évalué par un logiciel d’analyse automatisée. De façon assez classique en matière de surveillance, le consentement ne sera pas demandé et les personnes ne pourront pas s’y opposer.

Difficile de savoir si la RATP souhaitera retenter son aventure avec une start-up délinquante. On peut le supposer. Mais Datakalab pourra aussi prospecter d’autres villes, notamment Cannes où elle avait commencé à déployer ses premières démonstrations de force dans la vidéosurveillance automatisée. Dans tous les cas, la start-up gagnera en réputation et améliorera son dispositif en l’entraînant sur nos corps mis gratuitement à sa disposition, et il faut redouter que d’autres start-up ne lui emboitent le pas.

L’illégalité du décret

Deux arguments juridiques suffisent à comprendre que ce décret est illégal.

Premièrement, la loi (l’article L251-2 du code de la sécurité intérieure) liste de façon limitée les objectifs que les caméras de surveillance peuvent poursuivre (lutte contre les vols, les incendies, les agressions, etc). La loi ne liste pas l’objectif statistique poursuivi par le décret, qui est donc contraire au droit. Pour être légal, le décret aurait du être précédé par une modification de la loi pour y ajouter cette finalité statistique.

Ensuite, l’article 4 de la loi de 1978 et l’article 5 du RGPD, ainsi que la Constitution, exigent que toute mesure de surveillance soit « nécessaire » à la finalité qu’elle poursuit. Elle ne peut être autorisée que si l’objectif poursuivi ne peut pas être atteint par une mesure moins dangereuse pour les libertés. Dans notre cas, il n’est absolument pas nécessaire d’analyser constamment le visage de l’ensemble de la population afin de faire des statistiques. Un comptage réalisé par des humains et sur la base d’échantillons est un procédé aussi facile que fiable.

Surtout, à écouter M. Djebbari lui-même, un tel comptage, qu’il soit réalisé par des machines ou des humains, est largement inutile pour lutter contre le Covid puisque selon lui : « les transports en commun ne sont pas un lieu de contamination particulier », notamment car « le port du masque est totalement respecté dans ces lieux ». La nécessité de l’installation de caméras d’analyse de visages, autre critère juridique fondamental, fait donc clairement défaut.

Le Parlement contourné

On comprend que c’est précisément car cette mesure de surveillance est inutile pour lutter contre le Covid que le gouvernement a préféré passer par décret. En effet, il aurait eu bien du mal à convaincre le Parlement d’autoriser une mesure aussi inutile qu’impopulaire. Et pour cause, sous la pression populaire, le Sénat lui-même a déjà commencé à repousser ce type de surveillance.

Dans sa position adoptée le 3 mars, la commission des lois du Sénat a précisé que les drones ne devaient pas servir à faire de la reconnaissance faciale, a limité la façon dont les agents de sécurité des transports peuvent accéder aux caméras de surveillance et a rejeté un amendement visant à généraliser la reconnaissance faciale sur les caméras de surveillance.

Si ces trois positions sont bien en-deçà de ce que le Sénat devrait faire pour corriger la loi Sécurité Globale dans son ensemble (voir nos critiques), elles se révèlent suffisantes pour dissuader le gouvernement d’essayer d’obtenir l’autorisation du Parlement afin de déployer des logiciels de reconnaissance de masques. Il a donc acté de le contourner, afin de décider seul par décret. Le message est clair : le gouvernement n’a besoin ni de loi, ni de Parlement ni de la moindre légitimité démocratique pour repousser chaque fois davantage les frontières de la Technopolice.

Contenir l’offensive autoritaire

Le gouvernement a en effet pris l’habitude de se passer de l’autorisation du Parlement pour déployer sa Technopolice : autorisation de la reconnaissance faciale massive en 2012 dans le fichier TAJ, centralisation des visages de toute la population dans le fichier TES, déploiement de caméras par hélicoptères et par drones, fichage politique des militants dans les fichiers PASP et GIPASP… 

Certes, aujourd’hui, suite à notre victoire au Conseil d’État, le gouvernement se retrouve obligé de demander au Parlement d’autoriser les caméras mouvantes dans la loi Sécurité Globale. Mais pour le reste, il a continué d’usurper le pouvoir législatif en autorisant des mesures de surveillance qui auraient du faire l’objet d’un débat démocratique puis être soumises au vote du Parlement, qui aurait probablement conclu au rejet de ces mesures injustifiables. Tant que personne ne l’arrêtera, le gouvernement continuera encore et encore à s’accaparer le pouvoir législatif tant les ambitions sécuritaires qu’il s’est fixé pour les Jeux Olympiques de 2024 sont immenses.

Le devoir du Parlement est d’obliger fermement le gouvernement à revenir devant lui chaque fois qu’il souhaitera étendre ses appareils de surveillance. Au Sénat, la gauche a proposé un amendement qui irait précisément dans ce sens en suspendant par principe et pendant 2 ans toute nouvelle extension des systèmes de vidéosurveillance. 


Sauf à renoncer à son rôle démocratique, le Sénat doit impérativement adopter cet amendement. S’il n’en fait rien, nous devrons probablement pallier la démission du Parlement en attaquant nous-même ce décret devant le Conseil d’État. Et puisque le Parlement n’a pas encore envisagé de léguer son budget aux nombreuses associations qui reprennent son rôle de contre-pouvoir, n’oubliez pas de nous soutenir si vous le pouvez !

]]>
Une vidéosurveillance peut en cacher une autrehttps://www.laquadrature.net/?p=17016http://streisand.me.thican.net/laquadrature.net/index.php?20210312_134305_Une_videosurveillance_peut_en_cacher_une_autreFri, 12 Mar 2021 12:43:05 +0000Ce serait enfoncer une porte ouverte que de dire que la vidéosurveillance est partout. Alors que la Cour des comptes critique l’absence totale d’efficacité de ces dispositifs, celle-ci est sans cesse promue comme une solution magique à des problèmes que l’on ne veut pas regarder en face. Pourtant, derrière l’effrayante banalité de la vidéosurveillance peut se cacher l’effarante illégalité de la vidéosurveillance automatisée, ou algorithmique.

C’est l’histoire d’une banale histoire de vidéosurveillance

L’AN2V, le lobby de la vidéosurveillance, faisait la promotion, dans l’édition 2020 de son guide annuel, de la vidéosurveillance automatisée (VSA). Véritable démonstration des possibilités sécuritaires, ce document regroupe des articles sur l’analyse algorithmique de nos vies et rêve de futurs toujours plus sombres. Mais ce « Pixel 2020 », comme il se fait appeler, donne également la parole aux revendeurs d’un des logiciels les plus utilisés dans le domaine de la VSA : Briefcam.

Quelle ne fut pas notre surprise en découvrant dans ce guide qu’un petit bourg d’à peine 7000 habitant·es, Moirans, pas très loin de Grenoble, utilise le logiciel Briefcam pour faire de l’analyse algorithmique à partir des images captées par les caméras de vidéosurveillance. Il est de notoriété publique que beaucoup de collectivités locales de tailles importantes utilisent ce logiciel, mais nous découvrions ici qu’un petit village peut également se l’offrir.

En 2016, la mairie de Moirans, sous l’impulsion d’un maire « divers droite » et profitant d’un fait divers récupéré par le Premier ministre et le ministre de l’Intérieur de l’époque pour faire la promotion du solutionnisme technologique qu’est la vidéosurveillance, décida de s’équiper d’une soixantaine de caméras. Heureusement que l’État était là, puisqu’une subvention de 80 % du coût total par le Fonds Interministériel de Prévention de la Délinquance (FIPD), les plus de 400 000 € du projet ne furent que relativement peu supportés par le budget communal. Mais jusque là, personne n’avait encore entendu parler de Briefcam à Moirans…

Un Briefcam sauvage apparaît !

Après quelques invectives en conseil municipal, la ville de Moirans décida de s’équiper de vidéosurveillance et passa un marché public pour cela. Comme pour tout marché public, elle rédigea un cahier des clauses techniques particulières (CCTP). Celui-ci était assez classique : des caméras de haute résolution, la possibilité de lire une plaque minéralogique jusqu’à une vitesse de 90 km/h (alors même que la configuration du centre-ville rend périlleuses les vitesses au-delà des 30), des poteaux, des fibres, des écrans pour consulter les images et des serveurs pour les enregistrer, etc. Jusque-ici, aucune trace d’analyse algorithmique.

C’est finalement en lisant les rapports de suivi des travaux que nous découvrîmes le pot aux roses. Au moment de l’exécution du marché public, l’entreprise qui avait obtenu le projet proposa d’inclure le logiciel Briefcam, alors même que les fonctionnalités de VSA n’étaient pas demandées par la ville dans le CCTP. Une démonstration fut organisée par l’entreprise qui avait obtenu le marché public, le budget fut modifié pour tenir compte de cet ajout, et depuis 2019 Briefcam surveille. Emballé, c’est pesé.

Quelles leçons en tirer ?

Jusqu’alors nous cherchions la VSA là où elle s’affiche, comme à Marseille et son CCTP dédié à la VSA, mais nous nous sommes rendu compte qu’une simple vidéosurveillance, aussi classique soit-elle, peut cacher de la vidéosurveillance automatisée. Bien entendu, le journal municipal de Moirans se garde bien d’annoncer que la ville est équipée d’un logiciel capable de faire de l’analyse biométrique des personnes (ce qui n’empêche pas le journal municipal de vanter les bienfaits supposés de la vidéosurveillance « classique »). La CNIL n’a également jamais entendu parlé d’une quelconque étude d’impact à Moirans, étape pourtant obligatoire à la mise en place d’un traitement de données — a fortiori ici de données sensibles que sont les données biométriques. La première leçon à tirer est donc qu’il est vital de documenter le moindre projet de vidéosurveillance, même celui qui semble le plus classique. Bonne nouvelle, nous avons mis à jour nos guides pour vous aider à le faire dans votre ville !

La deuxième leçon à tirer est que Briefcam se cache là où on ne l’attend pas. L’entreprise qui a décroché le marché public à Moirans et a refourgué du Briefcam sous le manteau s’appelle SPIE. Il s’agit d’un industriel du BTP, qui a pignon sur rue mais qui n’est pas un fabricant de logiciel de VSA. En réalité, SPIE a sous-traité la VSA à Moirans à une autre entreprise, nommée Nomadys, qui elle-même revend Briefcam, logiciel développé par l’entreprise du même nom.

Que la chasse à Briefcam soit ouverte !

Fin janvier, nous avons identifié une douzaine d’administrations ayant passé un marché public de vidéosurveillance avec l’entreprise SPIE. Le Bulletin officiel des annonces de marché public (BOAMP) permet d’obtenir facilement une telle liste (certes très incomplète). Nous leur avons envoyé à chacune une demande CADA réclamant la communication des documents relatifs à ces marchés publics. Très peu ont répondu, et les quelques réponses reçues, lorsqu’elles ne sont pas caviardées à outrance, restent silencieuses sur les logiciels revendus par SPIE et utilisés. En particulier, aucune n’a accepté de nous communiquer les manuels d’utilisation des logiciels utilisés, en prétextant un soi-disant secret industriel. Si l’article L. 311-5 du code des relations entre le public et l’administration permet en effet à une administration de refuser de communiquer un document qui contiendrait un secret protégé par la loi, comme un secret industriel ou commercial, les manuels d’utilisation que nous demandions n’indiquent pas comment fonctionnent ces logiciels, mais ce qu’ils sont capables de faire. Ce type de document est par ailleurs communicable aux États-Unis en application de règles légales similaires à celles servant en France à faire des demande CADA. Il nous reste encore à analyser en détails les réponses, et nous saisirons ensuite la CADA sur ces refus. Et peut-être que nous irons plus loin, qui sait ?

Vous aussi de votre côté vous pouvez nous rejoindre dans cette chasse à Briefcam ! Nous avons mis à jour nos guides pour faire des demandes CADA et vous pouvez nous rejoindre sur le forum Technopolice pour partager vos découvertes. Et, comme toujours, vous pouvez aussi nous aider en nous faisant un don.

]]>
Technopolice: les bailleurs sociaux en première lignehttps://www.laquadrature.net/?p=17012http://streisand.me.thican.net/laquadrature.net/index.php?20210310_162900_Technopolice__les_bailleurs_sociaux_en_premiere_ligneWed, 10 Mar 2021 15:29:00 +0000On sait que les quartiers les plus défavorisés sont des lieux privilégiés d’expérimentation de la technopolice et de la répression policière. Caméras-piétons, LBD, drones : autant d’exemples de techniques largement déployées sur les populations les plus précaires avant d’être généralisées.

Le rapport annuel 2021 de l’Association Nationale de la Vidéoprotection, le grand lobby national de la vidéosurveillance, apporte de nouveaux éléments sur les rapports entretenus entre la Technopolice et les quartiers populaires.

Plusieurs pages sont dédiées aux sombres pratiques du plus grand bailleur de logements sociaux en France, le Groupe 3F . Y sont en particulier décrits trois exemples d’utilisation de la vidéosurveillance par le groupe. Tous concernent des « Quartiers de reconquête républicaine » (QRR) et portent des noms de code militaires, tels « Opération JULIETT » ou encore « Opération ALPHA ».

L’utilisation de caméras cachées

Le premier cas concerne l’installation de caméras de vidéosurveillance dans le 19e arrondissement de Paris, dans le quartier de Crimée. Il s’agissait de lutter contre des regroupements de personnes répondant à « des logiques de trafic [..] ou ethniques » (sic).

On apprend que la reconquête du parking « Jumeau » a ainsi impliqué l’installation de caméras « anti-vandales » mais aussi de caméras factices et de caméras « pin-hole ».

Ces dernières sont conçues pour être quasiment indétectables à l’œil nu et sont normalement utilisées pour espionner une ou plusieurs personnes à leur insu. Elles peuvent par exemple être installées dans de faux détecteurs anti-incendies, de faux détecteurs de mouvement ou simplement dans de fausses vis ! En voici deux exemplaires trouvés sur internet :

Une caméra dans un détecteur de fumée :

Une caméra dans une prise électrique :

La retransmission en temps réel aux services de police

La deuxième spécificité des systèmes de vidéosurveillance mis en place par le bailleur social est la transmission des images en temps réel aux Centres de Supervision Urbaine (CSU) des forces de l’ordre.

Si ce déport vidéo est autorisé, il faut toutefois préciser que cette pratique est strictement encadrée par la loi LOPPSI 2. Elle n’est en particulier autorisée qu’en cas « de circonstances faisant redouter la commission imminente d’une atteinte grave » et limitée au « temps nécessaire à l’intervention des services de la police ou de la gendarmerie ».

Notons d’ailleurs que dans le cadre de la loi « Sécurité Globale », le gouvernement cherche à faciliter ce déport en le permettant dès lors qu’il y a « occupation par des personnes qui entravent l’accès et la libre circulation des locataires (…)». L’article 20 bis du projet de loi de Sécurité Globale voté par l’Assemblée Nationale prévoit de supprimer le critère d' »atteinte grave » et de le remplacer par « en cas d’occupation par des personnes qui entravent l’accès et la libre circulation des locataires ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux » (voir notre billet à ce sujet). Cet article a été supprimé par le Sénat mais devrait malheureusement revenir au moment des débats en commission mixte paritaire.

Mais à Aulnay, dans le cadre de l’opération « ALPHA », Immobilière 3F ne semble pas faire grand cas de cet encadrement. Il est ainsi prévu que le déport vidéo vers le CSU d’Aulnay puisse être activé à la demande des policiers. Rien ne permet de comprendre comment le cadre législatif sera respecté.

Opération « Chicha »

Dernière illustration de la banalisation de l’utilisation de la vidéosurveillance des habitants de logements sociaux ? Le bailleur social se vante d’utiliser des caméras nomades pour lutter contre… les fumeurs de chicha.

Tout cela ne fait que souligner la surveillance permanente, et pernicieuse, des populations défavorisées. Comme les migrants aux frontières, elles sont les premières à souffrir de la fuite en avant technopolicière de notre société.

Une fuite en avant

Ces expérimentations donnent, de nouveau, à voir l’infiltration permanente de la surveillance dans notre société : aux caméras-fixes dans la rue, se superpose une surveillance par les airs (drones), à hauteur d’hommes (caméras-piétons), surveillance qui nous poursuit désormais jusque dans les halls d’immeubles. A quand nos portes d’entrée ou nos chambres ?

La possibilité de transmettre ces vidéos dans des centres de commandement, centralisant et analysant l’ensemble de ces flux, est désormais facilitée et encouragée alors même qu’elle était initialement strictement encadrée.

Que dire enfin des caméras de type « pin-hole » ? Alors que la législation mettait au cœur de l’équilibre du système l’information des personnes sur l’existence des caméras (qui devaient être visibles pour tout le monde), on constate le développement de caméras discrètes, cachées, invisibles. Une surveillance qui ne s’assume plus, qui se veut invisible, pernicieuse et incontestable…

]]>
MaDada : exigeons les documents de la Technopolicehttps://www.laquadrature.net/?p=17001http://streisand.me.thican.net/laquadrature.net/index.php?20210308_132539_MaDada____exigeons_les_documents_de_la_TechnopoliceMon, 08 Mar 2021 12:25:39 +0000MaDada.fr est une plateforme web citoyenne, ouverte à tous, qui facilite et permet à tout un chacun de faire des demandes d’accès aux documents administratifs. Demandons les documents de la Technopolice partout autour de nous, exigeons la transparence, afin de mieux lutter contre ces dispositifs.

La campagne Technopolice vise à analyser et documenter les dispositifs de surveillance policière qui se propagent dans nos villes et nos vies, afin de mieux les contrer. Ce travail de veille et de recherche d’information, nous l’effectuons ensemble, de façon décentralisée, le forum Technopolice, ouvert à tous, nous servant de lieu où nous nous retrouvons, et où toutes ces informations se croisent, s’échangent et sont analysées collectivement. Le site data.technopolice.fr est lui un lieu de sauvegarde et d’organisation des documents issus de nos recherches.

Ces recherches et analyses nourrissent nos actions pour contrer la surveillance : elles nous aident à porter et appuyer des contentieux, à organiser des actions collaboratives (carte de la Technopolice, lettre ouverte pour les municipales) ou des actions de sensibilisation (expositions et ateliers Technopolice à Avignon, Marseille ou Nice ). Lire notre boîte à outils pour en savoir plus sur nos outils et modes d’actions.

Une source très importante d’informations pour la campagne Technopolice sont les « demandes d’accès aux documents administratifs », (parfois appelées « demandes CADA » par abus de langage, du nom de l’autorité chargée de rendre des avis sur la communicabilité des documents administratifs). La Technopolice avance vite, se répand et évolue en permanence, mais elle avance masquée, sans études préliminaires, sans débat ni concertation citoyennes et dans un manque profond de transparence et de démocratie. C’est à travers des informations recueillies par des demandes CADA que nous avons pu attaquer et faire interdire les portiques de reconnaissance faciale à Marseille et Nice, ou bien que l’écoute sonore à Saint-Étienne est apparue délirante.

Faisons valoir notre droit d’accès aux informations publiques

L’article 15 de la Déclaration des droits de l’homme et du citoyen de 1789 mentionne que « La société a le droit de demander des comptes à tout Agent public de son administration ». Le droit d’accès aux informations publiques est donc un droit constitutionnel. Ce droit est précisé et garanti par la loi n° 78-753 du 17 juillet 1978, codifiée au livre III du code des relations entre le public et l’administration (CRPA), qui institue le principe de la liberté d’accès aux documents administratifs à toute personne qui en fait la demande.

Notre Guide de demandes CADA vous propose un modèle de lettre et donne des indications détaillées sur la rédaction des demandes de documents administratifs.

MaDada.fr : une plateforme collaborative qui facilite les demandes

Une fois que l’on a identifié la demande à faire, les documents à demander et l’administration à laquelle l’adresser, on peut passer par Ma Dada. Il s’agit d’une plateforme web citoyenne, initiative de l’association Open Knowledge Foundation France, qui permet d’acheminer les demandes en maintenant à jour l’annuaire des administrations, d’y recevoir les réponses éventuelles, de recevoir des notifications en cas de dépassement des délais légaux de réponse et d’effectuer les rappels et les recours amiables dans ce cas. Elle permet le suivi des demandes, la duplication de celles-ci et l’envoi de demandes en série à plusieurs administrations à la fois (demandes par paquets de la fonctionnalité avancée MaDada++). En cas de non réponse après le délai légal d’un mois, afin de faciliter la saisine de la Commission d’accès aux documents administratifs (CADA), elle permet d’avoir accès à l’échange complet de la demande via son lien web public, ou d’en exporter une copie dans un fichier PDF.

Par défaut, les demandes sur Ma Dada sont publiques, leur réponses également. La plateforme joue ainsi le rôle d’une base de connaissances ouverte collective, un document demandé par un utilisateur profitant à tous les autres. Certaines peuvent néanmoins être rendues privées (fonctionnalités avancées MaDada++) pour les besoins d’une enquête ou d’analyse avant publication, ou pour celles et ceux qui ne souhaitent pas s’exposer.

Une demande d’accès aux documents administratifs doit obligatoirement comporter l’identité de la personne qui en fait la demande ou, pour une association, le nom de l’association et son numéro RNA. Ainsi, si dans le cadre de la campagne Technopolice vous souhaitez faire des demandes tout en restant anonyme, n’hésitez pas à nous l’indiquer sur le forum Technopolice. Ma Dada peut également, sur demande ou signalisation, censurer des informations personnelles qui paraissent sur le site.

Mettons à nue la Technopolice

Pour la Technopolice, nous avons commencé à utiliser Ma Dada. Il est ainsi possible s’inspirer de demandes existantes : en voici par exemple une qui demande tous les documents relatifs à l’audit du système de surveillance à Marseille ; ou encore une autre concernant la sécurité des grands événements et des JO de Paris 2024 . Voici également cette demande par paquets adressée à chacune des villes de la Technocarte pour y obtenir les arrêtés préfectoraux d’autorisation des emplacements des caméras de surveillance.

Restez connectés, nous publierons dans les jours qui viennent différents exemples et résultats d’analyses de demandes CADA qui nous ont été utiles dans la campagne Technopolice !

]]>
La police en hélicoptère, ou la surveillance militaire des citoyenshttps://www.laquadrature.net/?p=16993http://streisand.me.thican.net/laquadrature.net/index.php?20210305_120525_La_police_en_helicoptere__ou_la_surveillance_militaire_des_citoyensFri, 05 Mar 2021 11:05:25 +0000Ce article a été d’abord publié sur le blog de notre site de campagne Technopolice.

Depuis plusieurs années, les hélicoptères de la gendarmerie sont régulièrement déployés pour des missions de surveillance de l’espace public, et ce en toute illégalité. Dotés d’un matériel d’abord développé dans un contexte militaire, la police se vante de leur capacité d’espionnage bien supérieure à celles des drones : caméras thermiques avec zoom ultra-puissant, suivi automatisé des suspects, transmission en temps-réel des images à des postes de commandement…

Leur usage n’a pourtant jamais été sanctionné – ni par le juge ni par la Cnil. Le gouvernement veut maintenant les légaliser dans la PPL « Sécurité Globale » – dont les débats ont repris début mars au Sénat.

Difficile de remonter aux premières utilisations d’hélicoptères par la police à des fins de surveillance de l’espace public. En octobre 2000, une question écrite au Sénat laisse déjà deviner une utilisation régulière d’hélicoptères équipés de « caméras vidéo thermiques embarquées » par la police et la gendarmerie.

Aujourd’hui en tous cas, la police et la gendarmerie sont fières de leurs capacités de surveillance. Pendant le confinement, elles vantaient ainsi que l’hélicoptère « ne peut être ni vu ni entendu par les personnes au sol » et est doté de caméras « capables de deviner à des centaines de mètres la présence d’êtres humains ou d’animaux ». En 2018, il était précisé que la caméra pouvait même « identifier un individu à 1,5 km de distance » avec retransmission « en direct et suivi depuis le centre interministériel de crise du ministère de l’Intérieur ».

En 2017, le commandant des « forces aériennes de la gendarmerie nationale » parle d’un « énorme zoom qui permet de lire à 300 mètres d’altitude une plaque d’immatriculation située à un kilomètre, d’identifier une personne à 2 km et un véhicule à 4 km », précisant qu’il peut « demander à la caméra de suivre automatiquement un objectif, quelle que soit la position ou la trajectoire de l’hélicoptère ».

Un matériel militaire pour de la surveillance interne

Plus que le type d’hélicoptère utilisé (apparemment, des « EC-135 » que la gendarmerie prête à la police quand celle-ci en a besoin), c’est le type de caméra qui importe.

Depuis au moins 2010, la gendarmerie utilise un dispositif nommé « Wescam MX-15 » – qui n’est même plus qualifié de « simple caméra » mais de « boule optronique ». C’est cet objet, avec sa caméra thermique et son zoom surpuissant, qui permet à la police de filmer, traquer, identifier (de jour comme de nuit) et de retransmettre en direct le flux vidéo, avec une « qualité d’image comparable à celle que le public connaît pour le Tour de France ».

C’est un appareil clairement militaire, utilisé dans des zones de guerre et répertorié en tant que tel sur des sites d’armement. Il est pourtant déployé depuis plusieurs années au-dessus des villes en France. Comme pour d’autres outils de la Technopolice (drones, vidéosurveillance automatisée…), il y a encore ici cette porosité entre les technologies militaires utilisées dans les pays en guerre, celles expérimentées aux frontières et celles déployées pour la surveillance des villes – soit une militarisation progressive de nos espaces publics.

Pour le futur, les hélicoptères devraient être équipés chez Safran, avec une « boule optronique » dite « Euroflir 410 » : un zoom encore plus puissant, des détecteurs de mouvement, un ordinateur intégré… Bref, un ensemble de technologies que la police ne manquera pas d’utiliser pour nous espionner au plus près. Comme pour les drones, ce type de technologies couplé à de l’analyse logicielle des images concrétise la société fantasmée par le ministère de l’Intérieur dans son


livre blanc publié en novembre dernier : celui d’une surveillance automatisée et totale. L’objectif est que ce nouveau dispositif soit « opérationnel avant les JO de Paris 2024 ».

Surveillance des manifestations et identification des « suspects »

Les utilisations des hélicoptères semblent encore plus larges que celles des drones : surveillance du confinement et des manifestations, surtout pendant celles des gilets-jaunes. En mars 2019, la gendarmerie annonce d’ailleurs avoir effectué 717 heures de vol au-dessus des manifestations, pour un coût total de 1 million d’euros.

En 2010, déjà, la gendarmerie se vantait de sa surveillance des manifestations, car les hélicoptères sont, selon elle, «  les mieux placés pour détecter les débordements, incidents ou intrusions dans les cortèges » avec des « images transmises en direct dans les salles de commandement (…) permettant aux responsables de faire intervenir immédiatement les effectifs au sol ».

Au-delà de le surveillance des machines, c’est aussi sur leur capacité d’intimidation que mise la police quand elle dit « faire du bruit » au dessus des manifestations ou qu’elle multiplie les survols menaçants et continus au-dessus des ZAD.

Illégalité et impunité de la surveillance

Tout ce pouvoir de surveillance n’a jamais été, et n’est toujours pas, encadré par le moindre texte de loi. Il n’existe aucune limite à ce qu’a pu faire et ce que peut faire aujourd’hui la police en termes de surveillance de la voie publique par hélicoptères : durée de conservation des données, types de lieux pouvant être filmés, accès aux images, information sur la captation…

C’est exactement la même illégalité que nous avions soulevé concernant les drones et qui a conduit à leur interdiction en France, par le Conseil d’Etat d’abord, par la Cnil ensuite : l’absence de texte législatif ou réglementaire permettant à la police de capter des données personnelles. Rien de tel malheureusement pour les hélicoptères : malgré leur utilisation régulière, aucune autorité n’est venue rappeler le droit à la police.

Le gouvernement, les parlementaires et la police en sont bien conscients. Ils veulent donc profiter de la proposition de loi « Sécurité globale » pour légaliser le dispositif – plusieurs dizaines d’années plus tard.

La proposition de loi « Sécurité globale » revient en ce moment devant le Sénat. En plus d’intensifier la vidéosurveillance fixe, elle veut légitimer la vidéosurveillance mouvante : les drones, les caméras-piétons, les caméras embarquées et donc, les hélicoptères. Les parlementaires doivent refuser la militarisation de la surveillance de l’espace public.

]]>
La loi Sécurité Globale validée en commission au Sénathttps://www.laquadrature.net/?p=16987http://streisand.me.thican.net/laquadrature.net/index.php?20210303_150312_La_loi_Securite_Globale_validee_en_commission_au_SenatWed, 03 Mar 2021 14:03:12 +0000La commission des lois du Sénat a adopté ce matin sa position sur la proposition de loi Sécurité Globale. Il ne faut pas se laisser abuser par les modifications apportées au texte et dont se vanteront sans doute les rapporteurs, MM Hervé et Daubresse. Le texte adopté ce matin est aussi sécuritaire que celui adopté par l’Assemblée nationale.

Un débat à huis clos

Première mauvaise surprise : le débat en commission des lois s’est déroulé derrière des portes closes (sans retransmission vidéo) et a été d’une rapidité surprenante. Commencé à 8h30, l’examen du texte s’est terminé à 11h30. Il n’aura fallu que trois heures aux sénateurs pour voter leur version de la proposition de loi. Et, en toute opacité donc, réécrire l’article 24, légaliser les drones et les caméras embarquées, intensifier la vidéosurveillance fixe.

Article 24

Comme annoncé, les rapporteurs ont tenté de neutraliser l’article 24 qui, dans sa version initiale, aurait empêché de documenter les violences policières. Désormais, cet article se divise en deux infractions : une première sanctionne « la provocation, dans le but manifeste qu’il soit porté atteinte à son intégrité physique ou psychique, à l’identification » d’un policier ou d’un militaire ; une deuxième infraction sanctionne le fait de réaliser un traitement de données personnelles concernant des fonctionnaires sans respecter le RGPD et la loi informatique et liberté.

Ces nouvelles formules sont si confuses et redondantes avec le droit existant qu’il faut regretter que l’article n’ait pas été entièrement supprimé. On peut toutefois espérer que, ainsi modifié, l’article 24 ne fasse plus diversion et que le débat puisse enfin se recentrer sur les mesures de surveillance au cœur de la proposition de loi.

Vidéosurveillance

Le code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale. Ce matin, le Sénat a validé les articles 20, 20 bis A et 20 ter de la loi Sécurité Globale qui étendraient cet accès aux agents de la police municipale et de la ville de Paris, des communes, des communautés de communes et groupements similaires ainsi que des services de sécurité de la SNCF et de la RATP. Les sénateurs se sont contentés de quelques modifications de façade (ici, ici et ) qui, prétendant suivre l’avis d’une CNIL démissionnaire (relire nos critiques), ne changeront rien à l’extension injustifiable des personnes pouvant accéder aux images de vidéosurveillance.

Il n’y a bien qu’une seule véritable (et maigre) avancée en matière de vidéosurveillance : la commission des lois a supprimé l’article « 20 bis ». Celui-ci prévoyait de faciliter la retransmission en direct des images filmées par les caméras posées dans les halls d’immeubles. Comme nous l’avions souligné dans notre analyse juridique, en plus d’être une mesure de surveillance extrêmement invasive, cette disposition était clairement inconstitutionnelle.

Les rapporteurs ne pouvaient donc que l’enlever. La disposition risque malheureusement de réapparaître en commission mixte paritaire au moment des discussions avec l’Assemblée nationale.

Drones

S’agissant des drones, les rapporteurs ont appliqué une technique éculée en matière de faux-semblants législatifs : réécrire un article pour lui faire dire la même chose avec des mots à peine différents. Si l’amendement adopté semble dense, les différences avec le texte initial sont presque nulles : la police et la gendarmerie pourront tout aussi facilement déployer leurs drones pour maintenir leur politique de surveillance massive et de répressions des libertés par la violence (relire notre analyse).

La seule avancée obtenue ce matin est l’interdiction explicite de l’audiosurveillance et de la reconnaissance faciale par drone. Les rapporteurs prétendent vouloir «  réaffirmer, à ce stade, la prohibition des techniques qui ne sont pas expressément autorisées par le législateur (captation des sons, reconnaissance faciale, interconnexions automatisées de données) ». Bien que cette interdiction explicite ne soit pas nécessaire (le droit interdit déjà ces pratiques), ce positionnement symbolique du Sénat est bienvenu face à des industriels qui invitent déjà les autorités à recourir à ces techniques.

Caméra-piétons

La victoire symbolique obtenue sur les drones doit être largement relativisée : si nous redoutions le déploiement massif de la reconnaissance faciale, ce n’est pas tant sur les drones que sur les caméras-piétons, bientôt largement déployées en France et dont les images seront transmises en temps réel au centre de contrôle en application de la loi Sécurité Globale. Les rapporteurs n’ont rien fait pour contrer ce risque pourtant bien plus actuel et immédiat que celui posé par les drones, plus lointain. Comme si leur souhait de « réaffirmer » l’interdiction de la reconnaissance faciale était limité aux scénarios les plus abstraits mais que, pour les choses que la police réclame concrètement, le législateur devrait baisser les yeux et la laisser faire.

Ici encore, l’amendement adopté ce matin se contente de réécrire sans rien changer, en prétendant suivre l’avis de la CNIL qui, elle même, ne proposait rien de concret ou de juridique.

Reconnaissance faciale

La commission des lois a rejeté les amendements que nous dénoncions hier comme tentant d’instaurer un système de reconnaissance faciale généralisé. La provocation politique était sans doute trop importante. Et pourtant, dans le même temps, les sénateurs ont aussi rejeté l’amendement qui proposait d’interdire pendant deux ans les dispositifs de biométrie policière.

Comment comprendre ces deux positions qui, en apparence, s’opposent ? La situation semble identique à celle constatée à l’Assemblée nationale l’an dernier : la majorité et la droite souhaitent bien que la loi Sécurité Globale renforce le dispositif de reconnaissance faciale autorisé depuis 2012 par décret, mais pas grand monde ne semble prêt à assumer la responsabilité d’autoriser explicitement un tel régime dans la loi. L’hypocrisie est totale quand les rapporteurs prétendent interdire ce dispositif sur les drones mais refusent toute interdiction plus large.

Prochaine étape : la discussion en séance publique qui aura lieu les 16, 17 et 18 mars prochains. Il sera plus que jamais nécessaire de maintenir la pression sur les sénateurs pour qu’ils aillent beaucoup plus loin que les rapporteurs et mettent un coup d’arrêt définitif à ce texte.

]]>
Sécurité Globale : la droite appelle à la reconnaissance facialehttps://www.laquadrature.net/?p=16980http://streisand.me.thican.net/laquadrature.net/index.php?20210302_152440_Securite_Globale____la_droite_appelle_a_la_reconnaissance_facialeTue, 02 Mar 2021 14:24:40 +0000Demain 3 mars, la commission des lois du Sénat examinera la loi Sécurité Globale, déjà adoptée en novembre par l’Assemblée nationale (relire notre réaction). Alors que le texte était déjà largement contraire à la Constitution et au droit européen (relire notre analyse), les sénateurs et sénatrices de droite et du centre souhaitent s’enfoncer encore plus loin dans l’autoritarisme en officialisant un système jusqu’alors implicite dans la loi : instaurer un vaste régime de reconnaissance faciale.

Dans le cadre du vote de la loi Sécurité globale, 68 sénateurs et sénatrices proposent d’inscrire la reconnaissance faciale au livre VIII du code de la sécurité intérieure qui, créé en 2015 par la loi renseignement, avait autorisé la surveillance de masse des communications électroniques (voir notre analyse). Cette surveillance de masse s’étendrait désormais à nos rues : tous les visages filmés par les 75 000 caméras de vidéosurveillance françaises pourraient être analysés sur simple autorisation du Premier ministre, afin de retrouver des personnes recherchées pour terrorisme. Cette apparente limitation aux menaces terroristes ne doit rassurer personne : la police et les services de renseignement qualifient seuls ce qui relève du terrorisme, sans le contrôle préalable d’un juge, ce qui permet déjà de viser des militants politiques (relire notre analyse concernant la censure des mouvements sociaux). Surtout, qu’elle soit soupçonnée ou non de terrorisme, l’ensemble de la population aurait son visage analysé, soumis à un contrôle d’identité invisible et permanent.

Un second amendement, signé par 19 sénateurs, propose déjà d’étendre ce système au-delà des seules menaces terroristes afin d’identifier toutes les personnes fichées dans le FAED (fichier automatisé des empreintes digitales – qui recueille aussi des photos de face des « relevés de signalétiques ») et le fichier des personnes recherchées, pour n’importe quelle finalité.

Ces initiatives n’ont rien de bien nouveau (c’est un classique de la droite la plus dure) et il faut espérer que ces amendements ne survivent pas bien longtemps tant ils sont liberticides et contraires à la Constitution et au droit européen (les signataires de ces amendements ignorent manifestement l’exigence de « nécessité absolue » requise par la directive 2016/680 en matière de biométrie). Hélas, peu importe que ces amendement perdurent ou non, car l’important soutien qu’ils ont reçu suffit à établir un terrible rapport de force : alors que, depuis plusieurs mois, une large partie de la population dénonce le risque que la vidéosurveillance et les caméras-piétons n’aboutissent à un système de reconnaissance faciale généralisée, Les Républicains (et leurs alliés centristes) tentent de s’approprier ce thème autoritaire pour en faire leur horizon politique immédiat.

En contraste, cette offensive autoritaire spectaculaire permet aux rapporteurs du texte, MM. Hervé et Daubresse, de se donner des airs de modérés à peu de frais. Ainsi leurs amendements sur les drones, les caméras-piétons et l’extension de la vidéosurveillance valident les objectifs répressifs de Gérald Darmanin en les saupoudrant de « garde-fous » de façade qui ne changent rien aux critiques politiques et juridiques si nombreuses à faire contre ce texte.

Dans ces conditions, difficile d’espérer un débat législatif capable de prendre en compte nos libertés. Comme trop souvent, il faudra très certainement se tourner vers le Conseil constitutionnel ou d’autres juridictions pour espérer cela, ou rejoindre le niveau européen par la pétition en cours contre la biométrie policière. En attendant, on peut saluer les amendements de la gauche qui, en minorité, propose de retirer l’autorisation des drones et de suspendre pendant 2 ans tous les dispositifs d’analyse biométrique automatisée.

Nous nous retrouverons demain dans la matinée pour suivre et commenter le vote du texte en commission. Comme pour souligner l’ampleur de l’offensive sécuritaire que nous subissons actuellement, ce vote sera suivi par l’audition de Gérald Darmanin, de Marlène Shiappa et d’Éric Dupond-Moretti sur la loi « séparatisme » – l’autre grande loi autoritaire qui vise, entre autres choses, à renforcer les pouvoirs du gouvernement pour dissoudre et entraver les associations militantes (voir notre position).

]]>
Partage de données : les services de renseignement violent la Constitutionhttps://www.laquadrature.net/?p=16970http://streisand.me.thican.net/laquadrature.net/index.php?20210301_135838_Partage_de_donnees____les_services_de_renseignement_violent_la_ConstitutionMon, 01 Mar 2021 12:58:38 +0000La Quadrature du Net vient de demander au Conseil d’État de saisir le Conseil constitutionnel d’une Question prioritaire de constitutionnalité (QPC) contre une disposition de la loi renseignement, l’article L. 863-2 du code de la sécurité intérieure. Comme le révélait le journal Le Monde il y a près de deux ans, un data-center attenant au siège de la DGSE permet aux services de renseignement d’échanger des données collectées dans le cadre de leurs activités de surveillance, et ce en contournant certaines des garanties inscrites dans la loi renseignement, déjà bien maigres. Ces activités illégales posent de nouveau la question de l’impunité des responsables du renseignement français, et des autorités de contrôle qui les couvrent.

En juin 2019, La Quadrature déposait un recours au Conseil d’État contre « l’entrepôt », dont l’existence venait d’être révélée dans la presse. Comme nous l’expliquions alors, « les activités de surveillance relèvent de régimes plus ou moins permissifs », avec des garanties plus ou moins importantes accordées aux droits fondamentaux selon les régimes.

Autant de garanties écartées d’un revers de main dès lors que les données sont versées dans ce pot commun dans lequel peuvent potentiellement venir piocher des dizaines de milliers d’agents, relevant de services aux compétences et aux missions très diverses (TRACFIN, douanes, direction du renseignement de la préfecture de police de Paris, bureau central du renseignement pénitentiaire, ANSSI, service central du renseignement territorial, etc.). En pratique, l’entrepôt permet à un service donné d’accéder à des données qu’il n’aurait légalement pas le droit de collecter et d’exploiter dans le cadre des procédures prévues par la loi.

Ces échanges de données se fondent sur une disposition inscrite en 2015 dans la loi renseignement : l’article L. 863-2 de code de la sécurité intérieure. Or, celui-ci ne fournit aucun encadrement spécifique : le législateur s’était alors défaussé en renvoyant à un décret d’application, mais celui-ci n’est jamais paru. Une source du Monde évoquait pour s’en expliquer un « défaut de base constitutionnelle ». Or, c’est bien à la loi d’encadrer ces pratiques, raison pour laquelle l’article L. 863-2 est tout simplement inconstitutionnel.

Depuis l’introduction de notre recours devant le Conseil d’État, des rapports parlementaires sont venus corroborer les révélation du Monde. Dans le rapport d’activité 2019 publié l’été dernier, la Délégation parlementaire au renseignement note ainsi :

(…) il ressort des travaux conduits par la délégation que l’absence de cadre réglementaire n’a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c’est-à-dire d’extractions et de transcriptions, mais également de renseignements collectés, c’est-à-dire de données brutes recueillies dans le cadre d’une technique de renseignement.

La délégation a ainsi été informée de l’existence d’une procédure dite d’extension, qui permet la communication de transcriptions effectuées au sein du GIC [le Groupement interministériel de contrôle] à un service autre que celui qui a fait la demande initiale de technique de renseignement (…). La délégation regrette de n’avoir pu obtenir, en revanche, d’informations plus précises sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de données brutes.

Dans ce rapport, la Délégation parlementaire au renseignement estimait également « urgent qu’un encadrement précis de ces échanges soit réalisé », notant à juste titre que « le renvoi simple à un décret pourrait se révéler insuffisant et placer le législateur en situation d’incompétence négative ».

Nous espérons que le Conseil d’État acceptera de transmettre notre QPC au Conseil constitutionnel afin de que celui-ci mette fin à cette violation manifeste de la Constitution, malheureusement caractéristique du renseignement français. Un autre exemple flagrant d’illégalité est le partage de données entre les services français et leurs homologues étrangers, qui porte sur des volumes colossaux et n’est nullement encadré par la loi. Pire, celle-ci interdit explicitement à la CNCTR, la commission de contrôle des activités de surveillance des services, de contrôler ces activités.

L’illégalité persistante du renseignement français et l’impunité dont bénéficient ses responsables sont d’autant plus problématiques que l’espionnage politique constitue désormais une priorité assumée des services de renseignement la surveillance des groupes militants ayant vu sa part plus que doubler entre 2017 et 2019 (passant de 6 à 14% du total des mesures de surveillance autorisées).

Téléchargez notre mémoire QPC

]]>
L’Internet des personneshttps://www.laquadrature.net/?p=16570http://streisand.me.thican.net/laquadrature.net/index.php?20210228_101800_L___Internet_des_personnesSun, 28 Feb 2021 09:18:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Monde connecté.

Nous vivons dans un monde connecté. Que nous le voulions ou non, nous vivons dans des sociétés construites par la réduction du coût de connexion entre les personnes, les ressources et les idées. Connecter des choses, c’est établir un lien entre celles-ci afin de transférer de l’information entre elles. Connecter des choses, c’est leur permettre de s’influencer mutuellement via la transmission de cette information. C’est permettre à ces entités de prendre en compte l’autre et d’adapter son comportement aux conditions par l’intermédiaire de boucles de rétroaction. Ces boucles de rétroactions sont des informations sur l’état du système utilisé pour adapter son comportement. Par exemple, un radiateur adapte son comportement en fonction de la consigne de température que lui fournit le thermostat, et, dans le même temps, le thermostat modifie sa consigne en fonction de la température de la pièce dans laquelle il se trouve.

L’étude de ces connexions et de leur fonctionnement est décrite par la cybernétique. Cette science analytique permet de décrire un système non pas par ses composants internes, mais par ses connexions à son environnement. La fonction, et donc la place dans le monde, d’une entité se fait par les connexions de celle-ci aux autres. C’est-à-dire que la fonction est définie par l’ensemble des connexions d’une entité. Il n’est pas possible pour un radiateur de maintenir une température de 19°C sans connexion à un système de mesure de température par exemple, et il ne peut donc pas remplir sa fonction.

Afin de simplifier ces connexions, on utilise des standards formels. Le radiateur sait qu’il n’est pas encore arrivé à température parce qu’il n’a pas reçu un signal très spécifique qui lui est adressé. Et c’est cette description des méthodes de connexion qu’on appelle un protocole. Pour que la connexion s’établisse, il faut que les parties impliquées sachent comment échanger des informations et comment décoder celles qu’elles reçoivent. Le protocole utilisé pour une connexion va donc définir les types d’informations, et la fonction des parties impliquées dans ces échanges.

Ces protocoles sont souvent empilés les uns dans les autres, afin de pouvoir multiplier les niveaux de communication et d’information. Par exemple, pour lire cet article, vous vous êtes connectés avec votre machine, utilisant un système d’affichage et d’écriture — une interface humain·e-machine, pilotée par le système d’exploitation de votre machine et qui alloue différentes ressources (affichage, mémoire interne, etc.) à votre connexion. Il établit également d’autres connexions avec les éléments matériels de votre machine — processeurs, mémoire vive, périphériques de stockages — qui sont ensuite connectés entre eux par d’autres protocoles, etc. De la même façon, votre ordinateur est également connecté par une carte réseau à un point d’accès Internet, en utilisant un protocole — avec ou sans fil (au rang desquels le Wifi, mais aussi la 4G par exemple), cet appareil est lui-même connecté à un répartiteur, connecté à un cœur de réseau, puis à un entrepôt de données, et ainsi de suite, jusqu’à ce que, de connexion en connexion, de protocoles imbriqués les uns dans les autres, vous ayez établi un lien jusqu’à cet article et qu’il puisse s’afficher sur votre écran afin que vous puissiez le lire.

Cette imbrication de protocoles permet à des appareils ayant des fonctions différentes de pouvoir travailler collectivement et former une entité plus grande qu’eux, fournissant une interface plus souple sur laquelle agir. On ne s’occupe que rarement des détails des connexions entre votre carte graphique et votre processeur par exemple, mais on sait qu’il est possible de s’en servir pour afficher n’importe quel texte ou n’importe quelle image, animée ou non, sans se soucier de respecter très strictement un protocole spécifique.

Ce travail collaboratif n’est rendu possible que parce que ces protocoles sont disponibles pour tous. N’importe qui désirant connecter quelque chose à Internet peut le faire, et ce sans demander une certification préalable. Il est même possible de ne pas respecter l’intégralité du protocole défini ou de vouloir s’attaquer à l’intégrité de ce réseau. C’est un bon moyen de ne pas se faire apprécier des autres personnes connectées à Internet, mais il est possible de le faire, car le protocole nécessaire (IP dans sa version 4 ou 6) est ouvert, documenté, standardisé, et suffisamment simple pour faire en sorte que n’importe quelle machine puisse le parler. Ce protocole IP permet de transporter des données entre deux machines connectées entre elles, en ne précisant que peu de choses sur le contenu de la donnée elle-même.

À l’inverse, le protocole HTTP, que vous avez utilisé avec votre navigateur, est un protocole plus complexe, autorisant plus de choses, mais plus sensible aux erreurs. C’est un protocole de type client-serveur, dans lequel un client demande une ressource à un serveur, serveur qui la restitue ensuite au client. HTTP ne s’occupe pas de savoir comment la donnée est transmise, c’est le rôle d’IP (et de son siamois TCP) pas le sien. Ce n’est pas non plus son rôle de mettre en page le contenu, c’est celui du navigateur qui, en utilisant le protocole (x)HTML pourra afficher correctement le texte, et créer des liens entre eux. Le standard (x)HTML a une fonction structurante et se base lui-même sur un autre protocole, appelé XML, et ainsi de suite.

Internet des cultures

Dans notre vie quotidienne, nous utilisons des protocoles de haut niveau, et relativement bien définis, pour communiquer les uns avec les autres. Les conventions sociales et culturelles, par exemple celle de serrer la main ou de s’embrasser, varient d’un endroit à l’autre. Ce sont ces conventions sociales que les parents essayent d’inculquer à leurs enfants, afin que ces derniers puissent comprendre le monde dans lequel ils grandissent. Ce sont aussi ces conventions sociales qui amènent à la structure du langage naturel, des langues que nous utilisons pour parler les uns aux autres et faire société ensemble. Ces protocoles permettent de décrire des choses beaucoup plus complexes et abstraites que ne le peuvent les systèmes numériques, mais décrivent tout autant la personne qui en fait usage. Un des exemples qui me vient en tête est le vouvoiement. C’est un protocole typiquement français que les anglo-saxons, par exemple, ne comprennent pas, et qui les amène à faire de nombreuses erreurs protocolaires, nous poussant parfois à les considérer comme malpolis. Du moins, pour les personnes reconnaissant la pertinence de ce protocole.

Notre pensée et notre langue sont inextricablement liées. Sans nécessairement chercher à résoudre qui de la langue et de la pensée arrive en premier, la langue que l’on utilise reflète notre pensée. Les protocoles que j’utilise au quotidien pour communiquer avec les autres sont définis par une part commune de nos pensées, cette partie qui constitue la culture. La connexion entre nous nous permet de partager partiellement nos pensées, et la dialectique, par exemple, est un des protocoles que l’on peut utiliser pour communiquer de manière structurée avec les autres. Cela nécessite que le champ lexical disponible, la grammaire utilisée, les éléments descriptifs des protocoles donc, limitent les pensées que l’on peut échanger. C’est toute la difficulté de la pédagogie par exemple, il faut transmettre une idée à quelqu’un qui ne la connaît pas, et donc formaliser l’échange. C’est pour cette raison que, dans de nombreux domaines, des jargons apparaissent, transcendant parfois les langues locales des personnes, afin de permettre une transmission de connaissance. C’est aussi la standardisation de la langue qui est, par exemple, au cœur des préoccupations d’Orwell lorsqu’il décrit la novlangue dans 1984. C’est une langue très appauvrie, ne contenant qu’un nombre limité de mots et de fonctions, et qui rend, de fait, coûteuse la discussion sur des sujets politiques. Comment parler de liberté si vous n’avez pas de mots pour décrire ce concept autre que penséecrime ? Il vous faudra l’expliquer avec cette langue commune, contenant peu de mots, lui associant ensuite un mot que seuls vous et votre interlocuteur·rice connaîtrez. Et il faudra recommencer à chaque fois que vous voulez expliquer votre idée à quelqu’un·e d’autre.

Contrôler la langue permet donc de contrôler les échanges entre les personnes, leurs dialogues et leur rapport au monde. La langue française a, par exemple, été ainsi standardisée par l’Académie Nationale au XVII° siècle et est, depuis, au centre de nombreux combats entre conservateurs et réformateurs, notamment sur le rôle de l’académie dans la mise en avant du genre masculin par défaut (contrairement à l’anglais par exemple, ou à de nombreuses langues) ou s’opposant à la modernisation de la langue. Il n’est d’ailleurs pas innocent que cette académie ait été créée par Richelieu afin d’étendre son influence sur la société française de l’époque.

Contrôler les protocoles de communications permet donc de contrôler l’échange d’information entre individus. C’est conscientes de ce pouvoir que les personnes qui ont participé à la création et à l’émergence d’Internet ont fait attention à créer des protocoles agnostiques, c’est à dire dont le comportement ne change pas en fonction du contenu. C’est le principe à la base de la neutralité des réseaux. C’est une neutralité idéologique — le réseau ne prend pas parti pour tel ou tel contenu —, mais pas une neutralité sociale. L’existence de réseaux interconnectés qui utilisent ces protocoles agnostiques rend possible l’échange d’une multitude d’informations, et permet donc de laisser aux personnes le contrôle sur leurs connexions avec leurs pairs. La gestion collective de ce bien commun mondial qu’est ce réseau de réseaux n’est rendue possible que parce que les protocoles utilisés, et leur ouverture, permettent à tout le monde de participer à sa gouvernance. Et le fonctionnement des organes de gouvernance dont s’est doté ce réseau obéissent aussi à des protocoles précis et détaillés, garantissant que leur contrôle ne pourra pas tomber directement entre les mains d’un seul acteur hégémonique.

Émergence des titans

Les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ont cependant, petit à petit, rachat par rachat, infiltré et pris le contrôle partiel de ces organes. Sous couvert d’améliorer la sécurité des personnes, de réduire la pollution ou de lutter contre la contrefaçon, ils ont transformé ces protocoles agnostiques en portail de validation et d’identification. Plus moyen d’envoyer un mail à Google sans avoir au préalable installé des protocoles ayant pour but de montrer patte blanche. Plus moyen de pouvoir poster un message sur Facebook en utilisant une application non officielle. En vendant les mythes de la performance, de la nécessité d’avoir des contenus dans des définitions supérieures à celle que peut détecter notre œil et de l’instantanéité, les GAFAM ont créé des silos étanches, auxquels on ne peut se connecter qu’en utilisant leurs protocoles.

Ces silos — ces plateformes — permettent aux GAFAM de contrôler nos connexions avec les autres, leur permettant non pas de savoir qui nous sommes, mais bel et bien de décider comment l’on pense. Cela se voit aussi bien par la suppression de certains propos politiques, tout en faisant la promotion de contenus de haine, que par l’enfermement des personnes travaillant dans cet écosystème à n’utiliser que des protocoles dont la fonction est de rendre financièrement rentable la captation des utilisateur·rices. Si j’ai un marteau en main, mes problèmes tendent à ressembler à des clous dit-on. Si j’ai en main un protocole de surveillance, de mesure et de contrôle de la pensée, alors tous mes problèmes deviennent des problèmes de quantification et d’analyse de données.

D’un ensemble vivant et évoluant sans cesse, décrit par des protocoles permettant de ne pas hiérarchiser ou classifier le contenu et les idées, nous avons une novlangue protocolaire écrite par les GAFAM et dont le seul but et de promouvoir leurs visions conservatrices et capitalistes1Okhin – La Quadrature du Net, « De la modération », 22 juil. 2019, https://www.laquadrature.net/2019/07/22/de-la-moderation/. Il ne m’est pas possible de quitter Facebook, car j’entretiens des connexions avec des personnes qui y sont, et que, de fait, je suis présent sur Facebook, sans même y avoir de compte. Il n’est pas possible de trouver une plateforme alternative, car l’on se retrouve alors avec le même problème : une plateforme qui va se retrouver en charge de choisir les connexions qu’elle effectue avec le monde, et donc de décider comment les personnes qui utilisent ses services voient le monde et se définissent. Ces plateformes alternatives, utilisant souvent une gouvernance fédérée (partagée entre les participant·es et acteurs de la plateforme), sont un premier pas intéressant, mais qui utilise toujours les outils des GAFAM : des protocoles chargés de trier le bon contenu du mauvais, en rendant obligatoire l’utilisation de contrôle d’accès par exemple, ou en favorisant les contenus largement demandés aux autres et en perpétuant la chasse aux Likes et autres Retweet.

La solution est la suppression des plateformes. Il nous faut réutiliser des protocoles agnostiques, ne requérant pas de certification préalable, permettant à n’importe quelle machine participant au réseau d’être acteur de celui-ci et non un simple consommateur de données. Ces protocoles existent déjà : ce sont tous les protocoles fonctionnant en pair-à-pair. Le protocole BitTorrent, par exemple, permet de s’échanger des fichiers sans passer par un serveur central. Avec l’avantage supplémentaire que, à chaque fois que je veux lire le contenu de ce fichier, je n’ai besoin ni d’être connecté à Internet ni de retélécharger intégralement le fichier (ce qui est le cas des plateformes de streaming par exemple). Le fonctionnement en pair-à-pair permet également de mobiliser l’ensemble des ressources des participant·es du réseau, au lieu du modèle actuel dans lequel nos machines sont passives le plus clair de leur temps.

Effectivement, la surveillance des connexions, sans plateformes par laquelle on peut passer, rend complexe et coûteuse l’observation des groupes sociaux. Mais ces systèmes en pair-à-pair permettent à chacun de pouvoir se déterminer, en fonction des liens qu’il entretient avec le monde, liens qui reviennent partiellement sous son contrôle dans un tel modèle. Cet internet des protocoles permet de pouvoir penser librement, de se définir comme on l’entend, de se documenter sur le monde pour essayer de le comprendre, sans s’inféoder aux décisions politiques et arbitraires d’entités ne rendant de compte à personne d’autre que leurs investisseurs et actionnaires.

References

1 Okhin – La Quadrature du Net, « De la modération », 22 juil. 2019, https://www.laquadrature.net/2019/07/22/de-la-moderation/
]]>
Technopolice : Mise à jour de la Technocartehttps://www.laquadrature.net/?p=16959http://streisand.me.thican.net/laquadrature.net/index.php?20210223_131407_Technopolice____Mise_a_jour_de_la_TechnocarteTue, 23 Feb 2021 12:14:07 +0000Ce article a été d’abord publié sur le blog de notre site de campagne Technopolice.

Ce mois de février, on lance la saison 2 de la campagne Technopolice. Depuis un an et demi que la campagne est lancée, le déploiement de la technopolice sur les territoires gagne toujours plus en intensité et la crise sanitaire n’a fait qu’aggraver les choses.

La semaine dernière, nous avons publié notre argumentaire juridique contre la proposition de loi « Sécurité globale ». En intensifiant la vidéosurveillance fixe, en permettant le déploiement des drones, des « caméras embarquées » et des caméras piétons, en facilitant l’analyse de ces images, cette loi veut inscrire la surveillance automatisée dans notre quotidien.

Aujourd’hui, nous mettons à jour la Technocarte : une nouvelle charte visuelle, et des filtres spécifiques suivant les types de dispositifs que nous avons identifiés : caméras thermiques, caméras parlantes, drones, etc. — bref, toujours des caméras partout et des libertés nulle part. Cet outil est toujours appelé à s’améliorer, n’hésitez pas à nous donner des idées sur le forum.

Dans les semaines à venir, nous détaillerons les autres outils développés et utilisés depuis un an dans notre campagne : nos demandes d’accès aux documents d’abord et notre plateforme de fuite de documents ensuite.

Retrouvez la carte ici !

]]>
La technopolice aux frontièreshttps://www.laquadrature.net/?p=16941http://streisand.me.thican.net/laquadrature.net/index.php?20210222_141630_La_technopolice_aux_frontieresMon, 22 Feb 2021 13:16:30 +0000Comment le business de la sécurité et de la surveillance au sein de l’Union européenne, en plus de bafouer des droits fondamentaux, utilise les personnes exilées comme laboratoire de recherche, et ce sur des fonds publics européens.

On a beaucoup parlé ici ces derniers mois de surveillance des manifestations ou de surveillance de l’espace public dans nos villes, mais la technopolice est avant tout déployée aux frontières – et notamment chez nous, aux frontières de la « forteresse Europe ». Ces dispositifs technopoliciers sont financés, soutenus et expérimentés par l’Union européenne pour les frontières de l’UE d’abord, et ensuite vendus. Cette surveillance des frontières représente un marché colossal et profite grandement de l’échelle communautaire et de ses programmes de recherche et développement (R&D) comme Horizon 2020.

Roborder – des essaims de drones autonomes aux frontières

C’est le cas du projet Roborder – un « jeu de mots » entre robot et border, frontière en anglais. Débuté en 2017, il prévoit de surveiller les frontières par des essaims de drones autonomes, fonctionnant et patrouillant ensemble. L’intelligence artificielle de ces drones leur permettrait de reconnaître les humains et de distinguer si ces derniers commettent des infractions (comme celui de passer une frontière ?) et leur dangerosité pour ensuite prévenir la police aux frontières. Ces drones peuvent se mouvoir dans les airs, sous l’eau, sur l’eau et dans des engins au sol. Dotés de multiples capteurs, en plus de la détection d’activités criminelles, ces drones seraient destinés à repérer des « radio-fréquences non fiables », c’est-à-dire à écouter les communications et également à mesurer la pollution marine.
Pour l’instant, ces essaims de drones autonomes ne seraient pas pourvus d’armes. Roborder est actuellement expérimenté en Grèce, au Portugal et en Hongrie.


Un financement européen pour des usages « civils »

Ce projet est financé à hauteur de 8 millions d’euros par le programme Horizon 2020 (subventionné lui-même par la Cordis, organe de R&D de la Commission européenne). Horizon 2020 représente 50% du financement public total pour la recherche en sécurité de l’UE. Roborder est coordonné par le centre de recherches et technologie de Hellas (le CERTH), en Grèce et comme le montre l’association Homo Digitalis le nombre de projets Horizon 2020 ne fait qu’augmenter en Grèce. En plus du CERTH grec s’ajoutent environ 25 participants venus de tous les pays de l’UE (où on retrouve les services de police d’Irlande du Nord, le ministère de la défense grecque, ou encore des entreprises de drones allemandes, etc.).

L’une des conditions pour le financement de projets de ce genre par Horizon 2020 est que les technologies développées restent dans l’utilisation civile, et ne puissent pas servir à des fins militaires. Cette affirmation pourrait ressembler à un garde-fou, mais en réalité la distinction entre usage civil et militaire est loin d’être clairement établie. Comme le montre Stephen Graham, très souvent les technologies, à la base militaires, sont réinjectées dans la sécurité, particulièrement aux frontières où la migration est criminalisée. Et cette porosité entre la sécurité et le militaire est induite par la nécessité de trouver des débouchés pour rentabiliser la recherche militaire. C’est ce qu’on peut observer avec les drones ou bien le gaz lacrymogène. Ici, il est plutôt question d’une logique inverse : potentiellement le passage d’un usage dit « civil » de la sécurité intérieure à une application militaire, à travers des ventes futures de ces dispositifs. Mais on peut aussi considérer la surveillance, la détection de personnes et la répression aux frontières comme une matérialisation de la militarisation de l’Europe à ses frontières. Dans ce cas-là, Roborder serait un projet à fins militaires.

De plus, dans les faits, comme le montre The Intercept, une fois le projet terminé celui-ci est vendu. Sans qu’on sache trop à qui. Et, toujours selon le journal, beaucoup sont déjà intéressés par Roborder.

IborderCtrl – détection d’émotions aux frontières

Si les essaims de drones sont impressionnants, il existe d’autres projets dans la même veine. On peut citer notamment le projet qui a pour nom IborderCtrl, testé en Grèce, Hongrie et Lettonie.

Il consiste notamment en de l’analyse d’émotions (à côté d’autres projets de reconnaissances biométriques) : les personnes désirant passer une frontière doivent se soumettre à des questions et voient leur visage passer au crible d’un algorithme qui déterminera si elles mentent ou non. Le projet prétend « accélérer le contrôle aux frontières » : si le détecteur de mensonges estime qu’une personne dit la vérité, un code lui est donné pour passer le contrôle facilement ; si l’algorithme considère qu’une personne ment, elle est envoyée dans une seconde file, vers des gardes-frontières qui lui feront passer un interrogatoire. L’analyse d’émotions prétend reposer sur un examen de « 38 micro-mouvements du visage » comme l’angle de la tête ou le mouvement des yeux. Un spectacle de gadgets pseudoscientifiques qui permet surtout de donner l’apparence de la neutralité technologique à des politiques d’exclusion et de déshumanisation.

Ce projet a également été financé par Horizon 2020 à hauteur de 4,5 millions d’euros. S’il semble aujourd’hui avoir été arrêté, l’eurodéputé allemand Patrick Breyer a saisi la Cour de justice de l’Union Européenne pour obtenir plus d’informations sur ce projet, ce qui lui a été refusé pour… atteinte au secret commercial. Ici encore, on voit que le champ « civil » et non « militaire » du projet est loin de représenter un garde-fou.

Conclusion

Ainsi, l’Union européenne participe activement au puissant marché de la surveillance et de la répression. Ici, les frontières et les personnes exilées sont utilisées comme des ressources de laboratoire. Dans une optique de militarisation toujours plus forte des frontières de la forteresse Europe et d’une recherche de profit et de développement des entreprises et centres de recherche européens. Les frontières constituent un nouveau marché et une nouvelle manne financière de la technopolice.

Les chiffres montrent par ailleurs l’explosion du budget de l’agence européenne Frontex (de 137 millions d’euros en 2015 à 322 millions d’euros en 2020, chiffres de la Cour des comptes européenne) et une automatisation toujours plus grande de la surveillance des frontières. Et parallèlement, le ratio entre le nombre de personnes qui tentent de franchir la Méditerranée et le nombre de celles qui y laissent la vie ne fait qu’augmenter. Cette automatisation de la surveillance aux frontières n’est donc qu’une nouvelle façon pour les autorités européennes d’accentuer le drame qui continue de se jouer en Méditerranée, pour une « efficacité » qui finalement ne profite qu’aux industries de la surveillance.

Dans nos rues comme à nos frontières nous devons refuser la Technopolice et la combattre pied à pied !

Cet article a été initialement publié sur le site technopolice

]]>
Contre la surveillance biométrique de masse : signez la pétition européennehttps://www.laquadrature.net/?p=16925http://streisand.me.thican.net/laquadrature.net/index.php?20210217_110754_Contre_la_surveillance_biometrique_de_masse____signez_la_petition_europeenneWed, 17 Feb 2021 10:07:54 +0000Le collectif « Reclaim your Face », lance aujourd’hui sa campagne contre la surveillance biométrique et notamment la reconnaissance faciale. « Reclaim Your Face » est composé de plus de quarante associations de défense des libertés et menée par l’organisation européenne EDRi. Cette campagne prend la forme d’une « initiative citoyenne européenne » : il s’agit d’une pétition institutionnelle visant à recueillir 1 million de signatures au sein de plusieurs pays de l’Union européenne pour demander à la Commission d’interdire les pratiques de surveillance biométrique de masse

Cliquez ici pour signer la pétition

En décembre 2019, l’OLN, accompagnée de 124 organisations, demandait déjà l’interdiction de la reconnaissance faciale sécuritaire. Nous avions souligné les dangers de cette technologie : le risque d’une surveillance permanente et invisible de l’espace public, nous transformant en une société de suspect·es et réduisant nos corps à une fonction de traceurs constants pour abolir l’anonymat dans l’espace public.

La surveillance biométrique ne se limite pas à la reconnaissance faciale. Un an après, notre demande d’interdiction n’a pas abouti et les techniques de surveillance biométrique se sont multipliées, notamment dans le contexte de la crise sanitaire. Alors que la police continue d’utiliser de façon massive la reconnaissance faciale à travers le fichier des Traitements des Antécédents Judiciaires (TAJ), plusieurs villes et administrations ont déployé des dispositifs de contrôle de température, de détection de port du masque ou des projets de vidéosurveillance intelligente pour suivre et tracer les mouvements sociaux.

La France n’est malheureusement pas le seul pays où se développe cette surveillance biométrique. En Italie, en Serbie, en Grèce ou aux Pays-Bas, l’État déploie plusieurs dispositifs qui promettent à l’Europe un avenir de surveillance automatisée permanente.

Des batailles contre la société de contrôle se jouent donc aujourd’hui : dans les mobilisations sociales contre les projets de loi sécuritaires, dans la lutte contre l’opacité qui entoure le déploiement de ces techniques, dans les tribunaux où sont contestées ces expérimentations de surveillance.

Chaque initiative compte. Cette pétition européenne a pour objectif de montrer le refus populaire massif et d’imposer un débat sur l’arrêt du déploiement de ces outils de contrôle, et nous l’espérons permettra d’obtenir un texte protecteur à l’échelle de l’Union européenne.

C’est un combat important contre des futurs où nos corps et nos comportement seraient en permanence scannées.

Demandons donc ensemble l’interdiction formelle de la surveillance biométrique : de la reconnaissance faciale sécuritaire, de l’analyse des émotions et des comportements par la vidéosurveillance, des prédictions automatisées en raison de caractéristiques physiques, de l’analyse automatisée biométrique de nos profils sur les réseaux sociaux, de l’analyse automatique de nos voix et de nos comportements pour nous contrôler.

Pour rejoindre cette lutte, nous vous invitons donc à signer et à relayer cette pétition sur la page de campagne de la Coalition Reclaim Your Face : https://reclaimyourface.eu/fr/

Cliquez ici pour signer la pétition

Organisations signataires relais de la campagne en France

Organisations membres de l’OLN :

La Quadrature du Net (LQDN),
La Ligue des Droits de l’Homme (LDH),
Le Syndicat de la Magistrature (SM).
Le Syndicat des Avocats de France (SAF),
Le CECIL,
Creis-Terminal,
Globenet,

Ainsi que :

Le Mouton Numérique,
Lève les yeux,
Attac,
Sciences Critiques.

Pour aller plus loin :

Le communiqué de lancement d’EDRi traduit en français.

Le texte de l’initiative validé par la Commission européenne et ses annexes disponibles ici en français et reproduit ci-dessous :

« Initiative de la société civile en vue d’une interdiction des pratiques de surveillance biométrique de masse »

Nous exhortons la Commission européenne à réglementer strictement l’utilisation des technologies biométriques afin d’éviter toute atteinte injustifiée aux droits fondamentaux. Nous demandons en particulier à la Commission d’interdire, en droit et en pratique, les utilisations indifférenciées ou arbitrairement ciblées de la biométrie pouvant conduire à une surveillance de masse illégale. Ces systèmes intrusifs ne peuvent être développés, mis en place (même à titre expérimental) ou utilisés par des entités publiques ou privées dans la mesure où ils sont susceptibles d’entraîner une atteinte inutile ou disproportionnée aux droits fondamentaux des personnes.

Il apparaît que certaines utilisations de la surveillance biométrique de masse dans les États membres et par des agences de l’UE ont donné lieu à des violations de la législation de l’UE en matière de protection des données et ont indûment restreint les droits des personnes, y compris le droit au respect de la vie privée, le droit à la liberté d’expression, le droit de manifester et le droit à la non-discrimination. Le recours généralisé à la surveillance biométrique, au profilage et à la prédiction constitue une menace pour l’état de droit et pour nos libertés les plus fondamentales.

Par cette ICE, nous prions donc instamment la Commission de proposer un acte juridique qui s’appuiera sur les interdictions générales prévues par le RGPD et la directive en matière de protection des données dans le domaine répressif et respectera pleinement lesdites interdictions, pour faire en sorte que le droit de l’Union interdise explicitement et spécifiquement la surveillance biométrique de masse.

]]>
Sécurité globale : nos arguments juridiqueshttps://www.laquadrature.net/?p=16891http://streisand.me.thican.net/laquadrature.net/index.php?20210215_163531_Securite_globale____nos_arguments_juridiquesMon, 15 Feb 2021 15:35:31 +0000L’année 2020 s’était finie en apothéose : après une série de manifestations prodigieuses contre la loi sécurité globale, alors adoptée par l’Assemblée nationale, nous obtenions une victoire décisive devant le Conseil d’État contre les drones. Si le début de l’année 2021 est douloureux, entre un hiver sanitaire qui n’en finit plus et le spectacle raciste lancé avec la loi séparatisme (lire aussi nos craintes pour les libertés associatives), il est temps de relancer l’offensive.

Commençons par la loi sécurité globale, examinée en commission par le Sénat le 3 mars. Afin de corriger l’analyse particulièrement bienveillante de la CNIL envers les dérives sécuritaires du gouvernement, nous envoyons aux sénateurs la nôtre, reproduite ci-dessous, centrée sur les sept articles qui renforceront la surveillance policière. Dans les jours suivants, il nous faudra poursuivre notre combat contre la Technopolice toute entière, tant au niveau local que national, pour aujourd’hui comme pour demain (voir notre mobilisation sur les JO 2024), car cette loi n’est que la première étape d’une longue lutte que nous devrons absolument gagner.

Loi Sécurité Globale – Analyse du titre III « Vidéoprotection et captation d’images »

La Quadrature du Net s’oppose à la proposition de loi « Sécurité Globale » et appelle le Sénat à la rejeter. Par la présente analyse, elle entend démontrer le caractère inconstitutionnel et inconventionnel des dispositions :

  • intensifiant la vidéosurveillance fixe (articles 20, 20 bis A, 20 bis et 20 ter) ; et
  • autorisant la vidéosurveillance mouvante (articles 21, 22 et 22 bis).
  • L’ensemble de ces dispositions aura pour effet d’intensifier la reconnaissance faciale.

    Ces modifications sont intrinsèquement contraires à la Constitution et au droit européen. Aucune garantie ni aucun aménagement ne saurait les rendre conformes à ces normes supérieures qui s’imposent au législateur. L’ensemble des articles 20 à 22 bis doivent être supprimés, sans quoi nous les soumettrons à l’examen de toute juridiction utile pour les faire censurer et corriger, une fois de plus en la matière, les erreurs de droit qu’elle comporte.

    I – Vidéosurveillance fixe

    En droit, le Conseil constitutionnel juge que les systèmes de vidéosurveillance affectent la liberté d’aller et venir, le droit à la vie privée ainsi que l’inviolabilité du domicile, protégés par les articles 2 et 4 de la Déclaration des droits de l’Homme et du citoyen de 1789, et ne peuvent donc être conformes à la Constitution qu’en respectant de strictes garanties (Cons. constit., 94-352 DC, 18 janvier 1995, §§ 3 et 4). Il souligne aussi que des mesures de surveillance généralisée sont susceptibles de porter atteinte à la liberté d’expression et de manifestation (Cons. const., 27 décembre 2019, 2019-796 DC, § 83).

    La Cour de justice de l’Union européenne juge que « l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel » (CJUE, C-212/13, 11 décembre 2014, §22) dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (la Charte) et qui, à ce titre aussi, ne peut être traitée que dans de strictes limites, notamment définies par la directive 2016/680 (dite « police-justice »).

    En l’espèce, les articles 20 à 20 ter intensifieraient la vidéosurveillance bien au-delà des limites définies par la Constitution et le droit européen, sur quatre points.

    A – Défaut de nécessité

    En droit, une disposition ne peut porter atteinte aux libertés fondamentales que si cette atteinte est nécessaire à l’objectif qu’elle prétend poursuivre. Il s’agit d’une des garanties exigées par la Constitution en matière de vidéosurveillance. De même, la Cour européenne des droits de l’Homme (CEDH) considère qu’une atteinte au droit à la vie privée n’est justifiée que « si elle est proportionnée au but légitime poursuivi et si les motifs invoqués par les autorités nationales pour la justifier apparaissent « pertinents et suffisants » » (cf. CEDH, 4 décembre 2008, S et Marper c. Royaume-Uni, n°30562/04 et 30566/04, § 101). De même, l’article 4 de la directive police-justice exige que tout traitement de surveillance policière « soit nécessaire et proportionné » à la lutte contre les infractions et les atteintes à la sécurité publique.

    En l’espèce, il faut souligner que, depuis son autorisation en 1995, la nécessité et l’efficacité de la vidéosurveillance contre les infractions et les atteintes à la sécurité publique n’ont jamais été démontrées. Bien au contraire, les seules études concrètes déplorent qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de délinquance commis sur la voie publique » (Cour des comptes, Les polices municipales, octobre 2020).

    En conclusion, la proposition de loi devrait corriger le dispositif actuel de vidéosurveillance pour en réduire largement ou totalement le champ d’application. Or, en l’état actuel du texte, non seulement cette proposition de loi ne réduit pas au strict nécessaire le dispositif existant, mais au contraire elle l’intensifie. Si le dispositif de base est disproportionné, son extension l’est d’autant plus et viole les normes supérieures de ce seul fait.

    B – Surveillance des lieux privés

    En droit, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5). Ainsi, en 2010, le Conseil constitutionnel n’a pas hésité à censurer une disposition qui autorisait la police à accéder aux images de caméras de hall d’immeubles dès lors que surviennent « des événements ou des situations susceptibles de nécessiter l’intervention des services de police ou de la gendarmerie » (Décision 2010-604 du 25 février 2010).

    En l’espèce, une loi de 2011 a réintroduit la disposition censurée en 2010 en tentant de la corriger par une condition un peu plus limitée : la transmission d’image n’est plus permise qu’en présence « de circonstances faisant redouter la commission imminente d’une atteinte grave aux biens ou aux personnes ». Hélas, le Conseil constitutionnel n’a jamais eu l’occasion de trancher si cette modification suffirait pour rendre le dispositif conforme à la Constitution.

    Pourtant, l’article 20 bis de la présente proposition de loi supprimerait cette limitation de 2011 pour revenir à une situation quasi-identique à celle censurée en 2010. Les images pourraient être transmises en cas de simple « occupation par des personnes qui entravent l’accès et la libre circulation des habitants ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux ». La condition de « nuisance à la tranquillité des lieux » est aussi large, et même davantage, que celle de « situations susceptibles de nécessiter l’intervention de la police ». En pratique, cette nouvelle condition permettrait à tout moment à n’importe quel bailleur, ou à la police, de permettre la transmission en direct des images filmées par les caméras.

    En conclusion, une telle disposition reviendrait à autoriser dans des conditions totalement disproportionnées la vidéosurveillance par la police dans les immeubles d’habitation, en contradiction manifeste avec la jurisprudence du Conseil constitutionnel.

    C – Extension des personnes ayant accès aux images

    En droit, la CJUE juge contraire à la Charte une mesure de surveillance qui « ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données » (CJUE, grande chambre, 8 avril 2014, Digital Rights Ireland et autres, C-293/12, C-594/12, § 62). Cette limitation est indispensable dans la mesure où les risques de dérives et d’abus des mesures de surveillance ainsi que la difficulté du contrôle que peut en faire une autorité indépendante sont proportionnels au nombre de personnes pouvant les mettre en œuvre. Dans son avis du 21 décembre 2020, la Défenseure des droits insiste sur le fait que cette limitation est une garantie centrale pour le respect de la vie privée.

    En l’espèce, l’article L252-3 du code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale. La loi sécurité globale étendrait cet accès aux agents :

    • de la police municipale et de la ville de Paris (article 20) ;
    • des communes, des communautés de communes et des groupements similaires (article 20bisA) ;
    • des services de sécurité de la SNCF et de la RATP (article 20 ter).

    Aucun élément matériel ni aucune étude concrète n’a été produite pour démontrer la nécessité d’une extension si importante des personnes accédant aux images de vidéosurveillance pour lutter contre les infractions.

    En conclusion, cette extension multiplie hors de toute proportion justifiée les risques de détournement et d’abus des mesures de surveillance, tout en diminuant les capacités de contrôle des autorités indépendantes.

    D – Délégation à des personnes privées

    En droit, le Conseil constitutionnel juge que la nécessité d’une force publique, inscrite à l’article 12 de la DDHC, interdit de déléguer à des personnes privées des compétences de police administrative générale et de surveillance générale de la voie publique (Conseil constit., décision 2011-625 DC du 10 mars 2011).

    En l’espèce, l’article 20 ter permet aux agents des services internes de la SNCF et de la RATP d’avoir accès aux images de vidéosurveillance de la voie publique. Il s’agit de salariés de droit privé auxquels serait délégué un pouvoir de surveillance de la voie publique. Les encadrements prévus par la loi, comme le contrôle d’un agent de police ou le nombre limité de finalités, n’altèrent en rien la qualification de délégation à une personne privée d’une mission de surveillance.

    En conclusion, la délégation que prévoit l’article 20 ter de la proposition de loi est contraire à la Constitution.

    2. Vidéosurveillance mouvante

    Les articles 21, 22 et 22 bis concernent le déploiement et l’intensification de la vidéosurveillance mouvante : transmission en temps réel et systématisation des images captées par les caméras-piétons, légalisation des caméras aéroportées et des caméras embarquées. Ces trois types de vidéosurveillance seront examinés ensemble, car elles partagent toutes le fait d’être mobiles : cette seule caractéristique suffit à les rendre irréconciliables avec quatre garanties fondamentales exigées par la Constitution et le droit européen.

    A – Défaut de nécessité

    En droit, tel qu’exposé précédemment, une atteinte à la vie privée ou à la protection des données personnelles n’est conforme à la Constitution et au droit européen que si elle est strictement nécessaire à la finalité qu’elle poursuit. Plus spécifiquement, l’article 4 de la directive police-justice exige que le traitement de données personnelles réalisé pour lutter contre les infractions et les atteintes à la sécurité publique « soit nécessaire et proportionné » à cette finalité et que les données soient « adéquates, pertinentes et non excessives » au regard de cette finalité.

    Plus grave, si les images captées sont des données « sensibles », telles que des données biométriques ou des données pouvant révéler les opinions politiques ou religieuses des personnes filmées, l’article 10 de la directive police-justice, transposé à l’article 88 de la loi informatique et libertés, exige que les autorités démontrent la « nécessité absolue » d’une telle surveillance – autrement dit, la police doit démontrer être dans l’impossibilité matérielle de lutter contre les infractions si elle ne peut pas utiliser ces caméras.

    En l’espèce, l’article 21 veut généraliser la captation et la transmission d’images par caméras-piéton. Les articles 22 et 22 bis veulent autoriser les caméras aéroportées (drones) et embarquées (hélicoptères, voitures). Aucune démonstration n’a été réalisée, ni même tentée, quant à la nécessité de déployer de telles caméras pour poursuivre l’une des très nombreuses et larges finalités qu’elles pourraient poursuivre : sécurité des rassemblements de personnes sur la voie publique, constat des infractions, protection des bâtiments…

    C’est même le contraire qui commence à apparaître dans la jurisprudence. Dans sa décision du 22 décembre 2020 (décision n° 446155) qui a interdit les drones policiers à Paris, le Conseil d’État a dénoncé que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement dans les circonstances actuelles, en l’absence de recours à des drones » – c’est-à-dire grâce au 35 000 caméras fixes surveillant déjà l’espace public .

    De même, si l’objectif premier des caméras-piétons était de « prévenir les incidents susceptibles de survenir au cours des interventions [et de] déterminer les circonstances de tels incidents, en permettant l’utilisation des enregistrements à des fins probatoires » (comme l’expliquait la CNIL dans son rapport de 2015), le gouvernement n’a jamais pris la peine d’évaluer si cet objectif avait été atteint. Pourtant, sans attendre une telle évaluation, l’article 21 prévoit d’étendre considérablement le rôle de ce dispositif en autorisant la transmission des images au centre de commandement, en direct et à la libre initiative de la police et de la gendarmerie, dès lors que celles-ci considèrent que « la sécurité des agents […] ou la sécurité des biens et des personnes est menacée ». La nécessité d’une extension si importante est encore moins démontrée que celle du dispositif initial, qui fait pourtant défaut.

    Si la simple « nécessité » des drones est absente, tout autant que celle des caméras par hélicoptère et des caméras-piétons, leur « nécessité absolue » fait entièrement défaut. Pourtant, ces caméras captent régulièrement des données sensibles, ne serait-ce qu’en manifestation où elles ont largement été déployées et où, par définition, toute image captée est susceptible de révéler des opinions politiques.

    Pour toute tentative de justification, la police semble mettre en avant certains faits divers où un drone, ou une caméra piéton, aurait plus ou moins facilité son travail. Non seulement le critère de « nécessité » ou de « nécessité absolue » exige bien davantage qu’un simple gain de temps, d’énergie ou une économie de moyens mais, surtout, la loi ne s’écrit pas sur la base d’anecdotes. En effet, face à chaque fait divers en faveur de telle mesure de surveillance, on pourra toujours en opposer un autre témoignant d’un abus, dans un jeu infini et vain d’étalage de faits divers. Au contraire, la loi se pense par la rigueur d’examens systémiques, que le gouvernement a toujours refusé d’entreprendre ici. Ce ne sont pourtant pas les occasions qui lui ont manqué : ces caméras mouvantes ont été déployées pendant des années, de façon illégale, mais suffisamment large pour en évaluer les effets.

    Expérimenter l’usage de drones, proposition portée par la CNIL dans son avis sur la proposition de loi, est également voué à la même contradiction flagrante aux normes supérieures qui s’imposent. Premièrement, une telle expérimentation s’est faite illégalement avant que le Conseil d’État ne vienne explicitement interdire l’usage de drones en mai 2020 puis décembre 2020, et la nécessité absolue fait toujours défaut. Deuxièmement, les règles impératives de proportionnalité, dont l’exigence de « nécessité absolue », ne peuvent être contournées par l’introduction sur le papier d’une disposition qui serait dite expérimentale. La directive police-justice ne distingue pas les cas de surveillances expérimentales des autres ; en effet, une telle distinction aurait pour conséquence de vider de leur substance les protections requises par le droit européen.

    En conséquence, à défaut d’être nécessaires à la poursuite des finalités qui leur sont associées, et alors qu’ils causent de graves atteintes aux libertés fondamentales tel que démontré ci-après, les dispositifs de caméra mouvante autorisés par la présente proposition de loi ne sauraient l’être sans violer la Constitution et le droit européen, y compris s’ils étaient expérimentaux.

    B – Défaut de contrôle préalable

    En droit, le Conseil constitutionnel juge, en matière de vidéosurveillance, que le législateur « ne peut subordonner à la diligence de l’autorité administrative l’autorisation d’installer de tels systèmes sans priver alors de garanties légales les principes constitutionnels » protégeant la liberté d’aller et venir, la vie privée et l’inviolabilité du domicile. Le Conseil exige que le législateur prévoie un contrôle préalable extérieur, tel que l’avis préalable d’une commission indépendante ayant pu en examiner la nécessité et la proportionnalité du dispositif (Conseil constit., 94-352 DC, 18 janvier 1995, §§ 6 et 12).

    De la même manière, la CJUE exige qu’une mesure de surveillance ne puisse être déployée qu’en faisant l’objet « d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (CJUE, C-511/18, La Quadrature du Net, 6 octobre 2020, §§ 139, 168, 179, 189 et 192).

    Ainsi, avant d’installer chaque caméra, une autorité indépendante doit pouvoir examiner si le lieu filmé est surveillé pour des justifications suffisantes propres à ce lieu – telles que la fréquence des infractions qui y surviennent, leur nature, leur gravité et les difficultés particulières que la police y rencontre. C’est ainsi que l’article L252-1 du code de la sécurité intérieure prévoit qu’un dispositif de vidéosurveillance ne peut être autorisé qu’après l’avis d’une commission départementale de vidéoprotection, présidée par un magistrat.

    En l’espèce, il est impossible de connaître à l’avance les lieux filmés par une caméras-piéton, aéroportée ou embarquée. La police et la gendarmerie décident seules et sur le vif des lieux à surveiller, en réaction à des situations imprévisibles par nature. La proposition de loi ne prévoit aucune forme de contrôle préalable car, en pratique, il semble effectivement improbable qu’une autorité extérieure puisse examiner en temps réel la nécessité pour un agent d’activer sa caméra ou pour un drone de survoler telle ou telle position.

    Cette impossibilité intrinsèque à toute caméra mouvante a des conséquences particulièrement graves : si la police souhaite abuser de ses pouvoirs afin, par exemple, d’envoyer un drone filmer les locaux d’une association, d’un journal ou d’un avocat, ou encore la résidence d’un parlementaire ou d’une personne bénéficiant d’un asile politique, elle pourrait le faire en toute discrétion et en toute autonomie, sans qu’aucune autorité indépendante n’en soit informée. À l’inverse, l’installation de caméra fixe est signalée et examinée par une autorité indépendante à même de dénoncer de telles dérives.

    En conséquence, les mesures de vidéosurveillance mouvante ne pouvant pas être examinées au préalable par une autorité indépendante, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

    C – Défaut d’information

    En droit, pour être conforme à la Constitution, une disposition qui autorise un dispositif de vidéosurveillance doit s’assurer « que le public soit informé de manière claire et permanente de l’existence du système de vidéosurveillance ou de l’autorité et de la personne responsable » (Cons. constit., décision 94-352 DC, 18 janvier 1995, § 5).

    De même, l’article 13 de la directive police-justice exige que le responsable d’une mesure de surveillance fournisse aux personnes concernées plusieurs informations, telles que l’identité du responsable, les finalités du traitement et le droit d’accéder aux données.

    S’agissant des caméras fixes, l’article R252-3 du code de la sécurité intérieure prévoit que chaque dispositif de vidéosurveillance soit accompagné d’une affiche indiquant « le nom ou la qualité et le numéro de téléphone du responsable auprès duquel toute personne intéressée peut s’adresser pour faire valoir le droit d’accès prévu à l’article L. 253-5 ». Seule une information aussi précise et complète permet de garantir le respect des garanties avancées par le Conseil constitutionnel et le droit de l’Union.

    En l’espèce, la proposition de loi prévoit que le public devrait être informé de la surveillance par drone « par tout moyen approprié  » et de la surveillance par caméra embarquée « par une signalétique spécifique de l’équipement du moyen de transport par une caméra ». En pratique, tel qu’il a été facile de constater ces dernières années, cette information sera systématiquement défaillante : un écriteau « vous êtes filmé » accroché à un hélicoptère volant à plus de 100 mètres n’aura aucun effet ; pire, un drone vole trop haut pour transmettre la moindre information visuelle ou sonore, et sa taille est si petite qu’il échappe souvent entièrement à l’attention des personnes surveillées. De même, les caméras-piétons se fondent parfaitement dans l’équipement des agents qui, eux-mêmes, se fondent facilement dans les foules surveillées, qu’ils n’ont aucun moyen visuel ou sonore d’informer de façon réaliste.

    Par ailleurs, la proposition de loi prévoit que les agents peuvent ne pas informer le public d’une surveillance par drone ou par caméra embarquée « lorsque les circonstances l’interdisent ». Cette dérogation est si large qu’elle retire tout effet utile que ces mesures auraient pu avoir. Cette dérogation est d’ailleurs inexistante dans la loi sur la vidéosurveillance fixe de la voie publique.

    En conséquence, les mesures de vidéosurveillance mouvante ne pouvant jamais être portées à la connaissance du public de façon suffisamment efficace, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

    D – Surveillance des lieux privés

    En droit, tel que rappelé ci-dessus, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5).

    Ainsi, les caméras fixes sont orientées de façon à éviter de filmer les immeubles et, quand elles ne le peuvent pas, un système d’obstruction matérielle ou logicielle basique permet de ne pas capter l’image des immeubles (un rectangle noir, typiquement).

    En l’espèce, la vidéosurveillance mouvante filme des lieux qui changent constamment et qui ne peuvent être connus à l’avance. Or, il est techniquement irréaliste d’obstruer en temps réel l’image d’immeubles présents sur des lieux inconnus à l’avance et en mouvement constant – contrairement aux lieux statiques filmés par les caméras fixes. Le caractère mouvant de cette vidéosurveillance est mécaniquement incompatible avec une interdiction de filmer l’intérieur des immeubles.

    Dès lors, l’article 21 sur les caméras-piétons et l’article 22 bis sur les caméras embarquées ne prévoient aucune interdiction de filmer l’intérieur des immeubles – ce qui, en effet, serait irréaliste. Pourtant, ces caméras sont presque toujours en situation de filmer l’intérieur d’immeubles et de lieux privés, ne serait-ce qu’au travers des fenêtres.

    L’article 22 sur les drones prévoit une interdiction de filmer l’intérieur des « domiciles » ou de leurs entrées et non, comme l’exige le Conseil constitutionnel, l’intérieur de tous les « immeubles » en général. La police et la gendarmerie seraient seules à décider quels immeubles sont ou non des domiciles. Cette appréciation se ferait à la volée et en cours d’opération, ce qui semble parfaitement irréaliste – même via des outils d’analyse automatisée, qui ne seraient d’aucune aide s’agissant d’une appréciation aussi sociale et humaine de ce qu’est ou non un « domicile ». Mais ce problème est finalement sans importance dans la mesure où, de toute façon, aucun dispositif technique n’est capable d’obstruer en temps réels l’image mouvante d’immeubles, domiciles ou non.

    Au cours des débats à l’Assemblée nationale, la rapporteure Alice Thourot a reconnu sans ambiguïté, s’agissant des drones, qu’il « n’est matériellement pas possible d’interdire de visualiser les espaces privés » (voir les débats publics de la troisième séance du vendredi 20 novembre 2020 relatifs à l’amendement n° 1164).

    En conséquence, les dispositifs de vidéosurveillance mouvante ne pouvant jamais éviter de filmer l’intérieur des immeubles, les articles 21 à 22 bis, qui intensifient et autorisent leur déploiement, violent la Constitution.

    3 – Reconnaissance faciale

    Le titre III de la proposition de loi vise à intensifier la vidéosurveillance fixe et généraliser la vidéosurveillance par drones, hélicoptères et caméras-piétons. Toutes les nouvelles images captées par ces dispositifs, fixes comme mouvants, seront transmises en temps réel à un poste de commandement.

    Une telle transmission en direct donne aux forces de police et de gendarmerie la capacité d’analyser les images transmises de façon automatisée, notamment en recourant au dispositif de reconnaissance faciale autorisé par le décret du 4 mai 2012 relatif au traitement d’antécédents judiciaires. Cette technique, qui n’a jamais été autorisée par le législateur, est l’exemple typique de traitements de données biométriques qui, au titre de l’article 10 de la directive police-justice et de l’article 88 de la loi informatique et libertés, doivent démonter leur « nécessité absolue » dans la lutte contre les infractions et les menaces pour la sécurité publique. Pourtant, cette nécessité n’a jamais été démontrée et le droit français ne prévoit aucune garantie pour les limiter à ce qui serait absolument nécessaire. Au contraire, le recours à ces techniques semble être devenu systématique et ne reposer sur aucun contrôle de proportionnalité : en 2019, les autorités ont réalisé plus de 375 000 opérations de reconnaissance faciale, soit plus de 1 000 par jour (voir l’avis rendu le 13 octobre 2020 par le député Mazars au nom de la commission des lois de l’Assemblée nationale).

    Il ne fait pourtant aucun doute que l’analyse automatisée d’images de vidéosurveillance est aujourd’hui contraire au droit français et européen, qu’il s’agisse d’ailleurs de reconnaissance faciale comme de tout autre type d’analyse automatisée permettant l’identification et le suivi d’une personne, tel que la CNIL l’a encore dénoncé face au déferlement de caméras dites « intelligentes » au cours de la crise du Covid-19 (Cnil, « Caméras dites « intelligentes » et caméras thermiques », 17 juin 2020).

    Comme vu tout au long de la présente analyse, l’utilité opérationnelle des nouvelles captations et transmissions d’images semble nulle ou très faible. Il en irait peut être autrement si le véritable objectif de ces changements était d’abreuver les dispositifs de reconnaissance faciale d’une immense quantité de nouvelles images. Le gouvernement ne l’a jamais avoué explicitement, et pour cause : cet objectif est frontalement contraire au droit européen et ne saurait donc en rien justifier d’intensifier la vidéosurveillance tel que le propose la présente loi.

    Plutôt que de renforcer des pratiques aussi illégales qu’impopulaires, le rôle du législateur est d’empêcher l’analyse automatisée des images de vidéosurveillance et son renforcement par le titre III de la proposition de loi Sécurité Globale, qui doit donc être supprimé dans son ensemble.

    ]]>
    Faut-il réguler Internet ? (2/2)https://www.laquadrature.net/?p=16566http://streisand.me.thican.net/laquadrature.net/index.php?20210214_100800_Faut-il_reguler_Internet_____2_2_Sun, 14 Feb 2021 09:08:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    Suite et fin de « Faut-il réguler Internet ? »

    Face à tout cela, il semble clair que se contenter de renforcer les obligations des plateformes géantes ne suffira pas, c’est l’ensemble de ce modèle de l’économie de l’attention qu’il faut remettre en question.

    Faire évoluer le droit : différencier petits hébergeurs et grandes plateformes pour aider au développement des alternatives libres et décentralisées aux plateformes géantes

    Qu’appelle-t-on « alternative libre et décentralisée » à La Quadrature du Net ? Un exemple pour illustrer : la Quadrature du Net fournit à plus de 9 000 personnes l’accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n’est que l’un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la collecte massive de données).

    Mais actuellement, et ce depuis 15 ans, le droit freine le développement d’alternatives aux GAFAM et à leur monde. Il impose des obligations lourdes à tous les « hébergeurs » (les personnes qui conservent et diffusent sur Internet des contenus fournis par le public). Si un contenu « manifestement illicite » est signalé à un hébergeur, il doit le censurer « promptement » ou en devient personnellement responsable1Voir l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, transposant l’article 14 de la directive européenne de 2000 sur le commerce électronique.. En pratique, à La Quadrature du Net, nous avons songé à devenir un hébergeur de vidéos (en autorisant tout le monde à mettre en ligne des vidéos sur notre service de streaming Peertube2https://video.lqdn.fr/ . PeerTube est un logiciel libre d’hébergement de vidéo décentralisé grâce à la diffusion en pair à pair, créé en 2015 et soutenu par Framasoft. Il fonctionne sur le principe d’une fédération d’instances hébergées par plusieurs entités différentes. Son objectif est de fournir une solution alternative aux plateformes centralisées telles que YouTube ou Dailymotion.). Ce serait une façon concrète de participer à la construction d’une alternative à Youtube, qui ne tirerait aucun profit des discours conflictuels ou de la surveillance de masse. Mais nous avons dû y renoncer. Nous n’avons pas du tout assez de juristes pour évaluer quelles vidéos seraient « manifestement illicites ». Nous n’avons pas les moyens de supporter des amendes en cas de plaintes. Youtube reste maître.

    Pour que des alternatives aux GAFAM et à leur monde puissent se développer, il faut commencer par changer le droit et par distinguer les « petits » hébergeurs (ceux qui ne tirent aucun profit d’une quelconque mise en avant et hiérarchisation des contenus qu’ils hébergent) des grandes plateformes. Ce sont celles qui régulent les contenus de manière active, pour faire tourner leur modèle économique, et qui exercent sur leurs utilisateur·rices un « pouvoir de contrainte » puisque ces dernier·es ne peuvent quitter la plateforme sans subir de conséquences négatives – perte des liens sociaux tissés sur le réseau dans le cas de Facebook par exemple -. Cela permet à la plateforme d’imposer les règles de son choix, sans que quiconque puisse y réagir. Si l’on souhaite utiliser le droit pour corriger les géants du Web, il faut d’abord trouver un critère objectif pour les identifier. Ensuite, autour de ce critère, le droit pourra poser des obligations spécifiques pour former un « statut juridique » adapté à leur situation. Ce nouveau statut juridique se placerait à mi-chemin entre celui d’hébergeur et d’éditeur : la plateforme porterait une certaine responsabilité sur les contenus qu’elle héberge et promeut, sans toutefois être responsable de l’ensemble des contenus publiés comme le sont les éditeurs. Enfin, il serait nécessaire d’alléger à l’inverse les obligations faites aux petits hébergeurs, en ne leur laissant pas supporter la charge d’évaluer si un contenu est « manifestement illicite » ou non. Seul·e un·e juge doit pouvoir exiger la censure, et donc le retrait d’un contenu. 

    Le cercle vertueux de la régulation décentralisée

    Permettre à une multitude de petits hébergeurs de se développer fait naître l’espoir d’une auto-régulation efficace, placée dans les mains de l’ensemble des personnes utilisatrices.

    Dans le cadre de la loi, chaque hébergeur applique ses propres règles de modération, plus ou moins stricte, et chaque personne choisit l’espace de discussion adapté à ses besoins et à ses envies. La liberté de ce choix est renforcée par le développement des standards de « réseaux sociaux décentralisés », notamment du standard 3On appelle « standard » des règles ou normes techniques de communication partagées entre différents acteurs pour leur permettre d’interagir. ActivityPub 4ActivityPub est un standard ouvert pour réseaux sociaux décentralisés basé sur le format ActivityStreams 2.0. Il fournit une API (interface de programmation d’application, ensemble de fonctions permettant à un logiciel d’offrir des services à un autre logiciel : https://fr.wikipedia.org/wiki/Interface_de_programmation) allant d’un client vers un serveur pour la création, la mise à jour et la suppression de contenu, ainsi qu’une API entre serveurs afin de permettre la fédération de notifications et de contenus. https://fr.wikipedia.org/wiki/ActivityPub publié en janvier 2018 par le World Wide Web Consortium (W3C, à l’origine des standards du Web) et déjà appliqué par Mastodon (alternative à Twitter) ou Peertube (alternative à Youtube). Ces standards permettront à une infinité d’hébergeurs de communiquer entre eux, selon les règles de chacun·e. Ils permettront aussi à chaque personne de passer librement d’un hébergeur à un autre, d’une règle du jeu à un autre (ce que les plateformes géantes font tout pour empêcher aujourd’hui).

    Chaque personne choisira de s’exposer ou non à tel ou tel type de conflit, et chaque hébergeur modérera sa communauté à une échelle humaine (et donc sans mettre en place de filtrage automatique). Cette structure offre l’espoir de diminuer significativement les conflits interpersonnels non-souhaités sur Internet. Ainsi, les juridictions n’auront plus à trancher autant de conflits qu’il en existe sur les plateformes géantes et pourront se recentrer sur les infractions les plus graves.

    Faire cohabiter les petits hébergeurs et les grandes plateformes par l’interopérabilité

    En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n’avons pas d’autre choix que de continuer à les utiliser. C’est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d’autres services : si nous les forçons à nous permettre de continuer de parler avec nos « ami·es Facebook » sans être nous-mêmes encore inscrit·es sur Facebook. 

    Techniquement, cette « interopérabilité » passe par l’application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub (évoqué plus haut) propose un standard pour « réseaux sociaux décentralisés » – et nous y voyons l’espoir concret de l’essor d’un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » (possibilité pour une personne de récupérer tout ou partie de ses données dans un format ouvert et lisible) créé par le RGPD (à l’article 20) et qui, sans interopérabilité entre plateformes, peine pour l’instant à démontrer son utilité.

    Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (tel que par exemple Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature du Net, ou encore l’instance mstdn.fr). Depuis ce nouveau service, nous pourrions continuer de recevoir et d’envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

    Ainsi, dès lors qu’un géant abandonnerait son pouvoir de contrainte, nous pourrions librement échapper au cadre destructeur de sa capitalisation de notre attention. Le « cercle vertueux de la décentralisation » reprenant le pas, le pouvoir de contrainte de ce géant-ci pourrait diminuer, jusqu’au point où, éventuellement, il pourrait revenir dans le statut plus souple des hébergeurs.

    Dans tous les cas, il serait tenu, comme n’importe quel hébergeur, d’afficher clairement et en toute transparence ses règles de hiérarchisation des contenus, nous permettant de nous y soumettre ou non en pleine connaissance de cause. De même, revenir à un cadre d’hébergeur « plus souple » ne signifie en aucun cas alléger les obligations en matière de protection des données personnelles : ces données ne doivent jamais permettre de hiérarchiser les contenus sans le consentement explicite de chaque personne concernée.

    La Quadrature du Net travaille actuellement sur cette question de l’interopérabilité, et est à l’origine d’une lettre ouverte sur le sujet, publié en mai 2019.

    Et pour mieux comprendre cette question de l’interopérabilité, on peut lire cet excellent billet de Stéphane Bortzmeyer sur le Framablog ou encore notre fiche « Nos propositions positives sur l’interopérabilité ».

    References

    1 Voir l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, transposant l’article 14 de la directive européenne de 2000 sur le commerce électronique.
    2 https://video.lqdn.fr/ . PeerTube est un logiciel libre d’hébergement de vidéo décentralisé grâce à la diffusion en pair à pair, créé en 2015 et soutenu par Framasoft. Il fonctionne sur le principe d’une fédération d’instances hébergées par plusieurs entités différentes. Son objectif est de fournir une solution alternative aux plateformes centralisées telles que YouTube ou Dailymotion.
    3 On appelle « standard » des règles ou normes techniques de communication partagées entre différents acteurs pour leur permettre d’interagir.
    4 ActivityPub est un standard ouvert pour réseaux sociaux décentralisés basé sur le format ActivityStreams 2.0. Il fournit une API (interface de programmation d’application, ensemble de fonctions permettant à un logiciel d’offrir des services à un autre logiciel : https://fr.wikipedia.org/wiki/Interface_de_programmation) allant d’un client vers un serveur pour la création, la mise à jour et la suppression de contenu, ainsi qu’une API entre serveurs afin de permettre la fédération de notifications et de contenus. https://fr.wikipedia.org/wiki/ActivityPub
    ]]>
    PPL Sécurité globale : la CNIL au secours de l’État policierhttps://www.laquadrature.net/?p=16884http://streisand.me.thican.net/laquadrature.net/index.php?20210203_154419_PPL_Securite_globale____la_CNIL_au_secours_de_l___Etat_policierWed, 03 Feb 2021 14:44:19 +0000La CNIL vient de rendre son avis sur les drones et caméras de la PPL Sécurité globale. L’époque où la CNIL prétendait se faire l’écho des inquiétudes populaires est bien morte et oubliée. Dans un triste spectacle d’équilibriste déserteur, elle parvient à contourner toutes les questions juridiques qui auraient pu remettre en question le projet sécuritaire du gouvernement.

    Derrière l’apparente critique de la proposition de loi, la CNIL s’emploie en réalité à valider l’objectif sécuritaire du texte. Aucune disposition n’est remise en cause dans son essence même et l’avis de la CNIL, de même que l’audition de sa présidente ce matin devant la commission des lois du Sénat, n’a qu’un seul objectif : donner le mode d’emploi au législateur pour faire passer son texte.

    La CNIL prend ainsi soin de ne surtout rien dire sur la « nécessité absolue » ou le contrôle préalable du déploiement des drones et des caméras-piétons. Et pour cause : ces garanties, exigées tant par la Constitution que le droit européen, sont incompatibles avec le projet du gouvernement et suffiraient à l’invalider.

    De même, elle est parfaitement silencieuse sur le fait qu’en pratique les personnes surveillées par drones ou caméras mobiles ne pourront pas en être véritablement informées, comme l’exigent la Constitution et le droit européen. Alors que l’avis de la CNIL relève que l’usage de drone est intrinsèquement dangereux de part leur miniaturisation et leurs capacités techniques, il n’en tire aucune conséquence sur l’information du public. Silence total aussi sur la reconnaissance faciale associée aux caméras-piétons, débat que la CNIL écarte en affirmant qu’elle serait interdite car non explicitement prévue par le texte alors qu’elle a tant animé le débat public et que cette possibilité est offerte par d’autres pans de l’arsenal répressif de l’État.

    Contorsion absolue : la CNIL propose que les drones soient d’abord expérimentés avant d’être autorisés définitivement dans la loi. Comme si les drones n’avaient pas déjà été largement déployés pendant des années et n’avaient pas déjà eu l’occasion de démontrer encore et encore leur incompatibilité intrinsèque à la Constitution et au droit européen. Même le Conseil d’État a déjà commencé à dénoncer l’inutilité des drones dans le travail de la police, mais la CNIL refuse absolument de contrarier Gérald Darmanin et lui offre un nouveau délai d’expérimentation que rien ne justifie en pratique ni en droit.

    L’avis de la CNIL nous offre également une scène de béatitude totale devant les possibilités de floutage, faisant passer cette rustine inefficace comme la clé du respect de la vie privée. Or, un dispositif de floutage des images prises par drones, en plus d’être désactivable à souhait par la police et techniquement très aléatoire, ne fera que donner un faux sentiment de protection alors que ces dispositifs renforcent le pouvoir de la Technopolice qui pourra filmer tout, tout le temps, et sans contrôle, au mépris de l’ensemble des règles de droit françaises et européennes.

    Car les 12 pages de son avis sont largement dépourvues de droit, tant sur le fond (la CNIL ne vise aucune norme précise mais son seul sentiment) que sur la forme (un contrôle rigoureux de la proportionnalité de chaque disposition l’aurait empêchée d’esquiver les très graves manquements qu’elle passe sous silence).

    Plus que jamais, la CNIL tord le droit et sa propre mission pour venir au secours d’un État policier qu’elle était supposée limiter. Ayant démissionné de son rôle historique, elle est réduite à conseiller l’État sur la meilleure façon de renforcer ses capacités de surveillance tandis que, dans le même temps et paradoxalement, c’est le Conseil d’État lui-même qui apparaît comme dernier contre-pouvoir du gouvernement dans cette affaire.

    Non, contrairement à ce qu’elle affirme dans son avis, la CNIL n’a jamais « mis en lumière […] les questions particulières en matière de vie privée soulevées par l’usage des drones, des caméras embarquées sur des véhicules ou des personnes et des dispositifs dits de « vidéo intelligente » ou de « vidéo assistée » ». C’est même le contraire : après cinq années d’utilisation des drones par la police en toute illégalité, il nous aura fallu tirer la sonnette d’alarme, déposer des recours contentieux à plusieurs reprises pour que ces sujets avancent. Face à cette démobilisation de la CNIL qui ne date pas d’aujourd’hui, nous avons d’autant plus besoin de votre aide pour continuer le travail que devrait faire l’autorité.

    ]]>
    L’arnaque des algorithmes d’aide à la prise de décisionhttps://www.laquadrature.net/?p=16563http://streisand.me.thican.net/laquadrature.net/index.php?20210131_095900_L___arnaque_des_algorithmes_d___aide_a_la_prise_de_decisionSun, 31 Jan 2021 08:59:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    L’administration, au sens public du terme, prend tous les jours un certain nombre de décisions : lorsqu’elle accorde une allocation, lorsqu’elle retire un permis de conduire, lorsqu’elle accepte un·e étudiant·e dans une formation supérieure, lorsqu’elle est chargée d’appliquer une loi, etc. Décider est le quotidien de l’administration et administrer, nous dit le dictionnaire Larousse, signifie « diriger, gérer des affaires publiques ou privées ». La Constitution nous prévient également que « le Gouvernement détermine et conduit la politique de la nation » et « dispose de l’administration » (article 20). Le rôle de l’administration dans la conduite des affaires publiques est donc fondamental. À cette fin, son pouvoir de décision l’est tout autant.

    Décider est donc une fonction intrinsèque à l’administration, mais décider n’est pas toujours le fruit d’un processus entièrement humain. L’administration s’est toujours dotée de règles, de documents, de cadres, pour décider, quand bien même aucune obligation ne le lui imposerait : ce pouvoir discrétionnaire dont jouit très souvent l’administration est limité par elle-même, c’est-à-dire qu’elle va décider que, parmi l’éventail de possibilités dans la prise de décision, elle en choisira une seule.

    De plus, l’arrivée ces derniers temps d’un nouvel outil pour l’administration, l’algorithme, change radicalement la manière dont on peut concevoir la décision administrative. Skip Machine lave plus blanc que blanc ; l’algorithme décide plus efficacement que l’humain. Il en résulte un miracle : la décision administrative algorithmique. Le législateur est intervenu, pour répondre à un certain nombre de craintes. Mais la pratique administrative tend à contourner ces protections grâce à un nouvel outil, l’algorithme d’aide à la prise de décision.

    Avant toute chose, il est nécessaire de s’entendre sur la notion de décision et celle d’algorithme. Nous entendons ici un algorithme (ou son équivalent juridique de « traitement algorithmique ») comme une suite d’opérations mathématiques avec en entrée plusieurs paramètres et en sortie un résultat unique (mais pas forcément reproductible, comme nous le verrons plus tard). Un algorithme n’a donc pas à être compliqué : un rapport sénatorial a ainsi pu comparer une recette de cuisine à un algorithme1Sophie Joissains, Rapport n° 350 (2017-2018) fait au nom de la commission des lois sur le projet de loi relatif à la protection des données personnelles, 14 mars 2018. https://www.senat.fr/rap/l17-350/l17-350.html. Il ne s’agit pas forcément non plus d’un programme informatique ou de lignes de codes exécutables : un algorithme peut également être une séries de formules dans une feuille de calcul2Les algorithmes locaux de Parcoursup (ceux utilisés par les commissions de classement des vœux de chaque université) ne sont d’ailleurs qu’une feuille de calcul dont les pondérations sont laissées à l’appréciation de chaque commission..

    On classera toutefois les algorithmes en deux catégories : les algorithmes auto-apprenants et les autres. Les premiers (on parlera également d’« intelligence artificielle », de « machine learning » ou de « deep learning ») fonctionnent avec une phase d’apprentissage préalable. Dans un premier temps, l’algorithme auto-apprenant s’entraîne sur un jeu de données dont le résultat attendu est connu (par exemple : « cette image est un chaton » ou « cette image n’est pas un chaton ») et s’adapte en comparant ses résultats à ceux attendus. Une fois cette phase terminée, il est utilisé alors que le résultat attendu n’est pas connu (dans notre exemple, il sera censé distinguer les images de chatons des autres). Le résultat d’un algorithme auto-apprenant n’est pas reproductible puisqu’il dépendra de la phase d’apprentissage et de la qualité du jeu de données initial. Les autres algorithmes, ceux qui ne sont pas auto-apprenants, ont un résultat reproductible puisqu’il ne reposent pas sur une phase préalable d’apprentissage.

    Une décision administrative, quant à elle, est un acte administratif (au sens de document émanant d’une administration 3Sans entrer dans les débats de la doctrine administrativiste autour la notion d’acte administratif, notons simplement que cette définition est une approximation et n’est pas partagée pas tou·tes les juristes.) décisoire. Lorsque l’administration constate quelque chose (ce que font beaucoup d’autorités de régulation, par exemple), elle ne fait pas de choix et son acte n’est donc pas une décision.

    Enfin, nous entendrons une décision administrative algorithmique comme un type de décision administrative dans laquelle un algorithme a été utilisé durant le processus de prise de décision. L’algorithme n’a pas à être le seul fondement à la décision pour que celle-ci soit qualifiable de décision administrative algorithmique. Il faut distinguer la décision algorithmique de l’algorithme d’aide à la prise de décision : le premier fonde la décision, le deuxième est utilisé en amont de la décision et ne la fonde alors pas.

    Arrêtons-nous tout d’abord sur ce qui motive l’administration à utiliser des algorithmes (I). Voyons ensuite les barrières prévues par le droit pour les décision algorithmique (II) et comment l’administration les contourne grâce aux algorithmes d’aide à la prise de décision (III). Enfin, étudions les conséquences de ces algorithmes d’aide à la prise de décision sur nos droits fondamentaux (IV).
    I. Un recours aux décisions algorithmiques de plus en plus important

    Il est difficile – pour ne pas dire impossible – de systématiser l’utilisation d’un algorithme. L’administration n’est jamais tenue d’y avoir recours, ce n’est qu’une faculté (explicitement admise par la loi depuis 20164Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 4, créant l’article L. 311-3-1 du code des relations entre le public et l’administration sur les décisions administratives individuelles prises sur le fondement d’un traitement algorithmique.).

    En tout état de cause, lorsqu’elle y a recours, cela peut être pour atteindre deux objectifs. Premièrement, il peut s’agir d’une situation dans laquelle l’administration doit prendre beaucoup de décisions dans un laps de temps restreint. Elle veut alors accélérer la prise de décision. Dans ce cas, l’algorithme est souvent très simple et il s’agit principalement de décisions administratives individuelles (c’est-à-dire dont le destinataire est une personne nommée ou un groupe de personnes individualisées). Le cas des algorithmes locaux de Parcousup illustre parfaitement cette situation : les universités doivent, en quelques semaines, classer des milliers de candidatures en attribuant à chaque candidat un rang précis ; les algorithmes locaux de Parcoursup appliquent à l’ensemble des candidats une même règle pour donner in fine un rang à chaque candidature. Les algorithmes locaux de Parcoursup sont une simple feuille de calcul sur laquelle les commissions de classement ont donné une importance plus ou moins grande à certains critères académiques parmi ceux transmis par la plateforme aux universités (notes, appréciations, lycée d’origine, etc.5Notons déjà d’emblée que les appréciations ne peuvent pas, par une simple feuille de calcul, être évaluées : elles sont donc nécessairement mises de côté par l’algorithme et les commissions de classement ne s’en serviront alors que pour partager deux éventuel·les candidat·es avec exactement le même rang.).

    Deuxièmement, il peut s’agir de détecter ce que l’on estime impossible à trouver par une analyse humaine : il s’agit de la recherche de signaux faibles. Un signal faible est un élément tellement difficile à discriminer de la masse qu’un humain ne peut pas le faire : c’est l’aiguille dans la botte de foin. Dans cette situation, le recours aux algorithmes auto-apprenants est le plus souvent nécessaire. Par exemple, la surveillance algorithmique des réseaux de communication (parfois appelée « boîtes noires ») permises depuis la loi renseignement de 20156Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, article 15, créant l’article L. 851-2 du code de la sécurité intérieure. repose sur des algorithmes auto-apprenants dont le but est de détecter des risques à caractère terroriste qu’on estime indétectable par un analyste du renseignement.
    II. L’algorithme comme fondement de la décision administrative : une protection théorique contre les abus de la décision administrative algorithmique

    Ce panorama étant posé, une peur peut légitimement naître : comment être certain qu’un algorithme a pris la bonne décision ? Il est intellectuellement plus facile de contester une décision prise par un humain que de contester une décision prise par une machine dont l’aléatoire est réputé neutralisé.

    Le droit offre un certain nombre de mesures protectrices – bien qu’insuffisantes en pratique – lorsqu’un traitement algorithmique a été le fondement d’une décision. Autrement dit, lorsque l’administration, pour prendre sa décision, se base sur les résultats d’un algorithme, le droit pose des limites. L’article L. 311-3-1 du code des relations entre le public et l’administration énonce ainsi le droit de se faire communiquer les « règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre »7Ce qui, selon l’article R. 311-3-1-2 du même code, englobe, notamment, « les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé » ainsi que « les opérations effectuées par le traitement ». dans le cas d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique. Ainsi, lorsque l’administration prend une décision individuelle à l’aide d’un algorithme, un droit à se faire communiquer certaines informations sur l’algorithme naît au bénéfice du destinataire de la décision. Une forme de transparence est ainsi posée et d’elle découle une forme de contrôle sur la qualité de l’algorithme, donc de la décision qui en découle.

    Le Conseil constitutionnel est également venu poser un garde-fou important à l’usage d’algorithmes dans les décisions administratives. Il a ainsi précisé que l’administration doit pouvoir expliquer et reproduire ses résultats : les algorithmes auto-apprenants sont donc théoriquement exclus de la prise de décision8Cons. const., 12 juin 2018, Loi relative à la protection des données personnelles, n° 2018-765 DC, point 71..

    Enfin, précisons également que le code source des algorithmes sont des documents administratifs au sens de la loi9Art. L. 300-2 du code des relations entre le public et l’administration.. À ce titre, il est possible, en dehors des cas de décisions administratives individuelles, de se faire communiquer de tels documents10Art. L. 311-1 du code des relations entre le public et l’administration..
    III. L’algorithme comme simple aide : l’absence de toute garantie contre les algorithmes d’aide à la prise de décision

    La pratique administrative tend à exclure de plus en plus les algorithmes de la prise de décision. Si l’algorithme n’est plus considéré comme ayant fondé une décision, alors les limites posées (notamment l’interdiction de recourir à des algorithmes auto-apprenants donc aux résultats non reproductibles) n’existent plus du tout.

    C’est ce qu’il se passe avec le recours des algorithmes dits « d’aide à la prise de décision ». Ces algorithmes sont utilisés bien en amont de la prise de décision : il s’agit de guider l’administration dans son action au quotidien, avant qu’une décision ne soit prise. On retrouve de tels algorithmes par exemple dans la lutte contre la fraude fiscale et douanière, dans la lutte contre le terrorisme, la police prédictive, etc.

    Ces algorithmes d’aide à la prise de décision fonctionnent selon une même logique : une alerte ou une recommandation est levée par l’algorithme. Un·e agent de l’administration reçoit cette alerte ou cette recommandation, puis décide de prendre ou non une décision. Le fondement de la décision n’est donc plus l’algorithme, qui a seulement invité l’agent à s’intéresser à une situation particulière. L’algorithme d’aide à la prise de décision n’est plus au fondement de la décision, il est est détaché.

    Ainsi, l’algorithme Paved (« plateforme d’analyse et de visualisation évolutive de la délinquance ») de la gendarmerie ne fait qu’afficher les zones à risques : il ne détermine pas les zones dans lesquelles les patrouilles seront positionnées. L’agent choisira seul·e de placer ses patrouilles dans les zones à risque ou non. Il en va de même pour les boites noires utilisées par les services de renseignement (cf. supra pour leur présentation) : elles ne lèvent qu’une alerte sur une potentielle menace, libre ensuite à l’analyste du renseignement de procéder ou non à une surveillance plus ciblée. Ce même fonctionnement vaut également pour les algorithmes de Bercy chargés de détecter les potentielles fraudes fiscales : les agents du fisc sont toujours libres de procéder ou non au contrôle fiscal.

    Ces exemples sont réels et l’hypocrisie est flagrante. Si l’administration demande à un algorithme de l’aider, soit en augmentant le nombre de situations traitées, soit en détectant ce qu’un humain ne pourrait pas voir, pourquoi ne pas suivre ses recommandations ? On pourrait répondre que lorsqu’une alerte ou une recommandation est émise, l’agent pourrait refaire le traitement sur la situation spécifique afin de vérifier la qualité du résultat de l’algorithme. Cependant, premièrement, aucune obligation n’impose à l’administration une telle vérification. Deuxièmement, ce serait omettre les résultats négatifs qui impliquent une forme de validation de la situation par l’algorithme : passer à travers le filet ne serait-il pas une approbation donnée par l’algorithme ? Troisièmement, ce serait réduire drastiquement les gains de productivité demandés à ces algorithmes dans certaines situations, Quatrièmement, enfin, certains cas ne se prêtent tout simplement pas à une telle vérification, notamment lorsqu’il est demandé à l’algorithme de repérer les signaux faibles.

    En réalité, lorsque une alerte ou une recommandation est levée par un algorithme d’aide à la prise de décision, l’administration se bornera à vérifier les erreurs grossières pour les cas positifs. Elle ne vérifiera jamais les résultats négatifs. L’humain chargé de réceptionner les alertes ou recommandations n’aura qu’un rôle de vérification a minima, au risque, autrement, d’aller à l’encontre des gains de production demandés. Le doute sera donc nécessairement au détriment de l’administré·e. Éventuellement, il peut être demandé à l’agent d’opérer un classement pour ne prendre en considération qu’un nombre limité de cas. On peut penser qu’un tel choix est fait dans les domaines où un contingentement existe en fait ou en droit (nombre limité de gendarmes mobilisables sur le terrain, quota de mises sous surveillance, etc.). Mais rien n’indique que ce choix ne soit pas dû au hasard (notamment lorsque l’humain n’est pas censé pouvoir apprécier la situation).
    IV. Des conséquences négatives concrètes sur les droits fondamentaux

    Le résultat de tout cela est assez décevant. D’une part, l’usage même de ces algorithmes d’aide à la prise de décision implique un droit à un recours effectif limité. Dès 201611Cour suprême du Wisconsin, State vs. Eric L. Loomis, 13 juillet 2016., la Cour suprême du Wisconsin affirmait qu’il n’est pas possible de contester le résultat d’un algorithme d’aide à la prise de décision puisque seul l’humain a pris la décision : la seule décision attaquable devant un juge est celle prise par un humain, et elle seule, même si un algorithme a aidé à cette prise de décision. Il n’existe donc pas de recours direct contre ces algorithmes puisqu’ils sont passés par le truchement d’un humain avant la prise de décision en tant que telle.

    Mais, même dans le cas des décisions administratives algorithmiques – c’est-à-dire celles dont le fondement est un algorithme, contrairement au cas des algorithmes d’aide à la prise de décision –, les droits fondamentaux sont limités. Dans ces situations, on se heurtera au pouvoir discrétionnaire de l’administration : l’administration, très souvent, a une large possibilité d’action (nous l’avons rappelé en introduction) et le rôle du juge se limite alors à vérifier l’absence d’« erreur manifeste d’appréciation », c’est-à-dire l’absence d’erreur grossière dans la décision. Une décision administrative algorithmique ne sera qu’une décision dans laquelle l’administration a voulu, de son chef, limiter son aléa. Mais la manière de le limiter, les paramétrages de l’algorithme, restent un choix qui n’est pas vraiment contestable puisqu’il entrera très souvent dans le champ du pouvoir discrétionnaire de l’administration. La transparence (lorsqu’elle est applicable) permettra à l’administré·e de vérifier ces erreurs grossières (on peut par exemple penser aux cas de discriminations), mais le doute se fera toujours au bénéfice de l’administration.

    D’autre part, l’usage de tels algorithmes va de pair avec une augmentation du nombre de données traitées. Pour utiliser des algorithmes, encore faut-il avoir des informations pour les nourrir. L’administration est donc incitée à collecter et traiter de plus en plus de données. La récente volonté de Bercy de récolter les données publiques des réseaux sociaux n’est que le dernier exemple d’une liste très longue. Avec cette collecte, ce sont le droit à la vie privée et familiale ou encore le droit à la liberté d’expression et d’information qui se retrouvent limités12Voir, pour une illustration, « Le Parlement doit rejeter le flicage fiscal des réseaux sociaux » , La Quadrature du Net, 5 novembre 2019..

    Le résultat n’est pas réjouissant. L’administration se sert d’algorithmes, mais parfois tellement en amont dans son travail qu’il ne sont pas considérés comme ayant fondé la décision administrative, sapant au passage les garanties posées par le droit. Un problème de taille se pose : la notion de décision administrative, telle qu’elle est conçue aujourd’hui, a-t-elle encore une légitimité à l’heure des algorithmes ? Doit-elle évoluer pour réintégrer dans son champ les algorithmes d’aide à la prise de décision ?

    References

    1 Sophie Joissains, Rapport n° 350 (2017-2018) fait au nom de la commission des lois sur le projet de loi relatif à la protection des données personnelles, 14 mars 2018. https://www.senat.fr/rap/l17-350/l17-350.html
    2 Les algorithmes locaux de Parcoursup (ceux utilisés par les commissions de classement des vœux de chaque université) ne sont d’ailleurs qu’une feuille de calcul dont les pondérations sont laissées à l’appréciation de chaque commission.
    3 Sans entrer dans les débats de la doctrine administrativiste autour la notion d’acte administratif, notons simplement que cette définition est une approximation et n’est pas partagée pas tou·tes les juristes.
    4 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 4, créant l’article L. 311-3-1 du code des relations entre le public et l’administration sur les décisions administratives individuelles prises sur le fondement d’un traitement algorithmique.
    5 Notons déjà d’emblée que les appréciations ne peuvent pas, par une simple feuille de calcul, être évaluées : elles sont donc nécessairement mises de côté par l’algorithme et les commissions de classement ne s’en serviront alors que pour partager deux éventuel·les candidat·es avec exactement le même rang.
    6 Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, article 15, créant l’article L. 851-2 du code de la sécurité intérieure.
    7 Ce qui, selon l’article R. 311-3-1-2 du même code, englobe, notamment, « les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé » ainsi que « les opérations effectuées par le traitement ».
    8 Cons. const., 12 juin 2018, Loi relative à la protection des données personnelles, n° 2018-765 DC, point 71.
    9 Art. L. 300-2 du code des relations entre le public et l’administration.
    10 Art. L. 311-1 du code des relations entre le public et l’administration.
    11 Cour suprême du Wisconsin, State vs. Eric L. Loomis, 13 juillet 2016.
    12 Voir, pour une illustration, « Le Parlement doit rejeter le flicage fiscal des réseaux sociaux » , La Quadrature du Net, 5 novembre 2019.
    ]]>
    Règlement terroriste européen : nous saisissons la Défenseure des droitshttps://www.laquadrature.net/?p=16870http://streisand.me.thican.net/laquadrature.net/index.php?20210120_163304_Reglement_terroriste_europeen____nous_saisissons_la_Defenseure_des_droitsWed, 20 Jan 2021 15:33:04 +0000Le 11 janvier dernier, la commission LIBE du Parlement européen (pour Commission des libertés civiles, de la justice et des affaires intérieures) a voté le règlement sur le retrait des contenus « à caractère terroriste ». C’est la dernière étape avant le vote en plénière au Parlement, peut-être dès le mois d’avril.

    Un silence assourdissant

    Ce texte prévoit que n’importe quelle autorité d’un Etat membre de l’Union européenne puisse imposer à n’importe quel hébergeur sur Internet de retirer en une heure un contenu que cette autorité aura considéré comme étant à « caractère terroriste ». Concrètement, en France, cela permettra à la police de faire censurer en une heure n’importe quel texte ou vidéo sans l’autorisation préalable d’un juge.

    Outre les dangers de surveillance et de censure politique que nous soulignons depuis plusieurs années, cette obligation de retrait en une heure est exactement celle qui, au sein de la loi Avia, a été censurée par le Conseil constitutionnel en juin 2020 dans le cadre de sa décision sur la loi Avia.

    Le vote en commission LIBE de lundi ne donne pourtant lieu qu’à un silence assourdissant. Côté presse, la dernière actualité est celle d’un communiqué de l’AFP intervenu à la suite du compromis trouvé entre le Parlement et le gouvernement européens sur le texte. On y voit le gouvernement français se féliciter de cet accord, sans aucune mention du débat extrêmement vif qu’avait suscité la réplique de ce texte dans la loi Avia ni, évidemment, de la décision du Conseil constitutionnel de juin 2020.

    À part ce communiqué, bien pauvre et partiel… rien. La suppression du compte de Donald Trump était manifestement un sujet plus léger et agréable à discuter que la censure de milliers de militants européens qu’il faudra redouter dès que l’ensemble du Web sera soumis à l’arbitraire de toutes les polices européennes.

    Côté gouvernement par contre, on se félicite de cette situation. Que ce soit Clément Beaune, le secrétaire d’Etat aux affaires européennes, qui parle sans gêne d’une « avancée majeure, portée par la France ». Ou Emmanuel Macron qui se félicite de l’aboutissement d’un processus qu’il a engagé en 2017. Impossible aussi de ne pas mentionner les parlementaires français du Parlement européen qui se sont vantés de cette adoption, telles que Nathalie Loiseau et Fabienne Keller. Comme si tout l’appareil gouvernemental n’avait plus honte à admettre instrumentaliser l’Union européenne pour contourner la Constitution française et violer frontalement nos libertés.

    Une saisine pour préparer le vote final

    Nous avons donc décidé de saisir la Défenseure des droits sur ce sujet. Elle est en effet compétente pour veiller « au respect des droits et libertés par les administrations de l’Etat ». Or, le gouvernement français, et particulièrement le secrétaire d’Etat aux affaires européennes, Clément Beaune, a activement participé à faire avancer le processus d’adoption de dispositions déclarées en juin 2020 comme violant la Constitution.

    Nous espérons également que, devant ce silence médiatique et ces abus anticonstitutionnels du gouvernement, toutes les organisations et journalistes qui étaient montés au créneau contre les dangers de la loi Avia feront de même sur ce dossier.

    ]]>
    Nos données n’appartiennent qu’à notre humanitéhttps://www.laquadrature.net/?p=16558http://streisand.me.thican.net/laquadrature.net/index.php?20210117_094300_Nos_donnees_n___appartiennent_qu___a_notre_humaniteSun, 17 Jan 2021 08:43:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    « – Et que fais-tu de ces étoiles ?
    (…)
    Rien. Je les possède.
    (…)
    Mais j’ai déjà vu un roi qui…
    Les rois ne possèdent pas. Ils « règnent » sur. C’est très différent. »

    Antoine de Saint-Exupéry,
    « Le Petit Prince », Chapitre XIII
    1La référence à ce passage du Petit Prince d’Antoine de Saint-Exupéry pour illustrer la différence entre « régner » et « posséder » et, plus largement, l’existence d’autres liens juridiques que le droit de propriété pour exercer du pouvoir sur une chose, est empruntée à la professeure Valérie-Laure Benabou, qui y recourra magistralement lors d’une conférence-débat coorganisée par le réseau Galatea et l’Ordre des avocats au Conseil d’État et à la Cour de cassation, qui se tint le 26 juin 2018 dans la bibliothèque de l’Ordre. Outre la professeur Valérie-Laure Benabou, les participants à ce débat étaient M. Jean Lessi, M. Gaspard Koenig, Me Emmanuelle Trichet et Me Isabelle Landreau. La vidéo de cette conférence-débat est consultable à cette adresse : https://www.youtube.com/watch?v=bbhr80OvSxI&t=3616s

    Une donnée est une information. Dans l’environnement informatique, la donnée est constituée d’une séquence de chiffres. L’ordonnancement de ces chiffres leur confère un sens particulier. Mais, la donnée subsiste aussi indépendamment de son support informatique. L’information brute existe, indépendamment de tout encodage numérique.

    Lorsque cette information est susceptible d’être reliée, directement ou indirectement, à une personne physique, elle constitue une donnée personnelle2Les textes recourent plutôt au vocable, plus lourd, de « données à caractère personnel »..

    Les débats entourant le droit gouvernant les données personnelles voient régulièrement apparaître des propositions tendant à faire entrer ces données dans le champ du droit de propriété. Les positions les plus extrêmes, issues de cercles ultralibéraux, estiment même opportun de créer un droit de propriété privée sur les données personnelles afin que les individus puissent en négocier l’usage auprès des grands acteurs numériques contre une rémunération. Ces propositions sont présentées comme un moyen plus efficace de lutter contre le « pillage de nos données » que la législation actuelle en vigueur.

    Pour séduisante qu’une telle proposition puisse paraître au premier abord, « l’application du concept de propriété est contestable philosophiquement et juridiquement, et n’apporte pas de réponses adéquates »3CNCDH, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, adopté à l’unanimité par l’Assemblée plénière de la Commission, pt. 32., ainsi que l’a parfaitement résumé la Commission nationale consultative des droits de l’homme (CNCDH).

    Idée contestable (1) et efficacité hasardeuse (2), ce qui explique probablement pourquoi, au-delà de la CNCDH, nos institutions s’étant penchées sur la question ont, dans une rare unanimité – Conseil d’État4Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
    https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ;
    Mme Nicole Belloubet, garde des sceaux, faisait sienne la position du Conseil d’État dans les débats qui se sont tenus au Sénat le 21 mars 2018, sur le projet qui deviendra la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en réponse à un amendement qui visait à insérer un second alinéa à l’article L. 341-1 du code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »
    , CNIL5CNIL, rapport d’activité 2017, p. 52 ; https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf, CNNum6CNNum, rapport sur la « Neutralité des plateformes » (mai 2014), p. 37 ; CNNum, avis sur « La libre circulation des données dans l’Union européenne » (avril 2017). –, rejeté l’idée de faire entrer les données personnelles dans le champ du droit de propriété. Il en va de même de la doctrine la plus éclairée en la matière7Judith Rochfeld. Contre l’hypothèse de la qualification des données personnelles comme des biens, in : Les biens numériques, éd CEPRISCA, 2015, pp.221-23 ; http://www.ceprisca.fr/wp-content/uploads/2016/03/2015-CEPRISCA-BIENS-NUMERIQUES.pdf.

    La Quadrature du Net rejette également la thèse de la patrimonialité des données personnelles. Elle considère que la protection de la vie privée et des données personnelles constitue un droit fondamental8Premier considérant du RGPD. 2) de l’article 1er du RGPD. Voir également, CE, ord. réf., 18 mai 2020, La Quadrature du Net e.a., n° 440442, 440445, pt. 6. et que l’enjeu principal consiste à mettre fin à leur exploitation débridée, et non simplement à organiser une compensation monétaire par des tiers.

    1.- Une idée contestable

    En droit civil, la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements9Article 544 du code civil. . Ses attributs sont classiquement assimilés à l’usus (le droit d’user de la chose), le fructus (le droit de percevoir les fruits de la chose) et l’abusus (le droit de disposer de la chose, notamment par l’aliénation ou la destruction).

    En l’état du droit, il n’existe aucun droit de propriété sur les données brutes10Conseil d’État, « Le numérique et les droits fondamentaux », Étude annuelle 2014, p. 264 ;
    https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf
    . Un droit sui generis est certes reconnu au producteur d’une base de données11Dont la notion juridique est définie à l’article L. 112-3 du code de la propriété intellectuelle. lorsque la constitution, la vérification ou la présentation de son contenu atteste d’un investissement financier, matériel ou humain substantiel12Article L. 341-1 du code de la propriété intellectuelle. sur le plan quantitatif ou qualitatif.

    Mais la donnée en elle-même est insusceptible de faire l’objet d’un droit de propriété. À l’instar des idées, qui sont de libre parcours13Par ex. Civ. 1ère, 5 juillet 2006, n° 04-16.687.], les données ne sont susceptibles de faire l’objet d’un droit de propriété incorporelle que lorsqu’elles constituent en réalité une œuvre de l’esprit, revêtant un caractère original14Article L. 111-1 du code de la propriété intellectuelle.. Elles rentrent alors dans le champ du droit d’auteur.

    Partant, les personnes physiques ne disposent d’aucun droit de propriété sur leurs données personnelles15Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
    https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Pierre Truche, Jean-Paul Faugère, Patrice Flichy, « Administration électronique et protection des données personnelles. Livre blanc. », février 2002]. Cela vaut, a fortiori, pour les personnes morales, s’agissant des données de personnes physiques[[Thibault Verbiest, « Smart cities et données », JT 2019, n° 221, p. 31.
    .

    Il est vrai que certains arrêts récents de la Cour de cassation ont pu faire planer un doute sur la possibilité, pour de simples données, de faire l’objet d’un droit de propriété16Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n’a pas été déclaré auprès de la CNIL, n’est pas dans le commerce, et sa vente a un objet illicite (cf. Com., 25 juin 2013, n° 12-17.037, Bull. civ., IV, n° 108). Le détournement de fichiers informatiques contenant des informations confidentielles peut être constitutif d’un abus de confiance (cf. Crim., 22 octobre 2014, n° 13-82.630). Le téléchargement, effectué sans le consentement de leur propriétaire, de données que le prévenu savait protégées caractérise la soustraction frauduleuse constitutive du vol (cf. Crim., 20 mai 2015, n° 14-81.336, Bull. crim., 2015, n° 119).. Mais si le doute est toujours permis, il est probable que si la juridiction avait souhaité consacrer un changement aussi important de paradigme, en dehors de toute base légale, elle aurait destiné ses décisions à une plus grande publicité – au-delà de la seule publication au Bulletin – et certains auteurs y ont vu plus que ce qu’il fallait y voir.

    Le droit de propriété est une formidable fiction, qui prend ses racines dans des temps immémoriaux et répond à un besoin social. Il s’agit d’une forme d’exercice du pouvoir sur une chose. Mais c’est loin d’être la seule.

    Lorsque les pouvoirs publics lèvent des impôts, ils exercent leur pouvoir sur des individus, des biens et des activités. Pourtant, la nature du droit qui leur permet d’exercer ce pouvoir n’est pas un droit de propriété. Lorsque l’État exige des personnes résidant régulièrement sur son territoire de s’acquitter d’un impôt sur leurs revenus ; des propriétaires de biens immobiliers présents sur son sol, ou même des habitants résidant sur son territoire, de s’acquitter d’un impôt foncier ou local ; ou encore, que des droits de douane lui soient versés pour les marchandises traversant ses frontières, il exerce un droit qui n’est pas un droit de propriété.

    De même, les liens réciproques entre l’État et les personnes disposant de sa nationalité, qui peuvent avoir des effets mutuels très importants – service militaire ou civique, protection consulaire, etc. – ne sont pas constitutifs d’un quelconque droit de propriété.

    La conclusion s’impose rapidement : il existe d’autres droits, outre le droit de propriété, qui permettent d’assurer aussi bien, voire nettement mieux, des finalités variées. C’est ainsi que depuis 1978 – et la loi Informatique et Libertés -, le législateur a fait le choix de protéger les données personnelles en tant qu’élément de la personnalité des individus. Cette approche « personnaliste » imprègne également le RGPD (Réglement général sur la protection des données) adopté au niveau de l’Union européenne, dont les dispositions s’opposent frontalement à l’hypothèse « propriétariste ».
    2.- Une efficacité hasardeuse

    À l’échelle individuelle, les données sont dépourvues d’une valeur économique significative. C’est l’agrégation massive de données, à partir d’une granularité très fine, combinée à un traitement toujours plus rapide, à l’aide d’algorithmes de plus en plus sophistiqués et de machines de plus en plus performantes, qui permet de créer des modèles, d’anticiper et d’influencer les comportements. C’est ce pouvoir d’anticipation et d’influence qui confère une valeur économique aux données. Croire qu’un individu isolé pourrait retirer des revenus importants de la vente de ses seules données constitue donc une illusion et la légitimé économique de l’approche patrimoniale est pour le moins contestable17Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères..

    Le droit à la protection des données personnelles existe pour protéger les personnes dans des rapports asymétriques, notamment dans leur rapport avec les entreprises et avec les administrations. Il existe pour rééquilibrer des rapports de forces par essence très fortement défavorables aux individus.

    Les mécanismes qui engendrent de la valeur à partir de la collecte et du traitement des données personnelles sont, en pratique, bien souvent illégaux et contraires aux droits fondamentaux. En l’état actuel du droit, lorsqu’une personne consent à ce que l’on utilise des données la concernant, elle conserve un certain nombre de droits (accès, rectification, opposition, effacement, etc.), notamment celui de délimiter l’autorisation accordée à une finalité précise. Dans un système où les données seraient « vendues », ces facultés des individus à contrôler seraient affaiblies, puisque la transaction organiserait un transfert de propriété.

    Se placer sur le terrain de la compensation monétaire équivaut donc en réalité à abdiquer ses droits fondamentaux. Doit-on accepter que les droits à la vie privée et à la protection de ses données personnelles soient rétrogradés du rang de droits fondamentaux à de simples biens échangeables sur un marché ?

    Les données personnelles existent à la frontière de l’être et de l’avoir18Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères. . Elles constituent un attribut de la personnalité, une émanation immatérielle de l’individu, une prolongation incorporelle de soi-même.

    Ces données revêtent, en outre, un caractère dual, janusien : elles oscillent entre intimité et sphère sociale. On occulte en effet bien trop souvent la dimension collective des données personnelles. Ou plutôt, leurs dimensions collectives : médiates et plus immédiates.

    La première concerne par exemple nos données génétiques, susceptibles de révéler des informations sur nos parents, mais aussi sur l’humanité tout entière19CNIL, Les données génétiques, 2017, La documentation française, Collection Point CNIL, 216 p. ; https://slate.com/technology/2019/12/gedmatch-verogen-genetic-genealogy-law-enforcement.html.. Au-delà des données génétiques, il s’agit encore de données plus triviales, mais qui, dès lors que massivement agglomérées et traitées, permettent d’établir des « modèles » susceptibles de révéler des informations parfois très intimes sur des tiers.

    La seconde concerne plus largement l’ensemble des données qui permettent d’être reliées, directement, à plusieurs personnes. À titre d’exemple, on pourrait citer un accident de voiture entre deux véhicules ou un rendez-vous entre deux personnes, l’un et l’autre susceptibles de révéler une multitude d’informations, parfois très précises, sur l’ensemble des protagonistes.

    Aussi, contrairement à cette première intuition qui nous anime, les données personnelles ne sont que bien rarement strictement individuelles. Bien souvent, il s’agit en réalité de données collectives, sociales, à même de révéler des informations extrêmement précises et nombreuses, souvent intimes, sur une multitude d’individus. La voie de la patrimonialisation des données personnelles reviendrait à reconnaître un droit de propriété sur une chose qui ne nous appartient pas en propre.

    Nos données personnelles permettent de tracer nos « graphes sociaux »20https://en.wikipedia.org/wiki/Social_graph, d’y entrelacer des nœuds et d’esquisser les liens entre eux. C’est d’ailleurs pour avoir compris l’importance de cette dimension réticulaire des données personnelles que des entreprises comme Google ou Facebook ont pu construire leurs empires grâce à la publicité ciblée. Les données permettent de tisser la trame de nos sociétés et de nouer les points aux carrefours desquels nos relations sociales s’entrecroisent, en sorte qu’il s’agit de véritables « coordonnées sociales »21Lionel Maurel, « Calimaq », https://scinfolex.com/2018/06/28/google-les-donnees-sociales-et-la-caverne-des-habitus/ ; https://scinfolex.com/2018/05/25/rgpd-la-protection-de-nos-vies-numeriques-est-un-enjeu-collectif-tribune-le-monde/.

    Si le droit actuel arrive à saisir les données personnelles dans la relation à l’individu, il reste encore assez largement impuissant à reconnaître et à protéger ce qui en fait la dimension collective. Contrairement à ce que soutient la thèse « patrimonialiste », renforcer encore l’approche individualiste en créant un droit de propriété privée ne constituera pas une solution, mais renforcera encore le problème.

    Céder nos données reviendrait en réalité à vendre les clés permettant de nous emprisonner dans des bulles de filtre, de capter notre attention afin d’influencer notre perception de la réalité et, in fine, d’influer sur notre comportement à des fins marchandes, voire sociales et même politiques22https://fr.wikipedia.org/wiki/Cambridge_Analytica.

    Modéliser des comportements. Les anticiper. Et, surtout, les influencer. D’abord, afin d’engendrer un acte économique : l’achat. Ensuite, un acte social : gommer les comportements sociaux considérés négatifs ou favoriser ceux que l’on considère positifs. Ou enfin, un acte politique : le vote.

    Justifier de telles pratiques pourrait bien saper les fondements mêmes de notre société, de nos démocraties et de nos États de droit23En 2002, M. Michel Gentot écrivait déjà que, dans l’esprit du législateur, le droit à la protection des données personnelles « excédait très largement le seul registre de la protection de la vie privée et touchait aux fondements mêmes de l’État de droit. » (M. Gentot, « La protection des données personnelles à la croisée des chemins », in P. Taraboni (dir.), La protection de la vie privée dans la société de l’information, t. III, PUF, 2002, p. 25 s., spéc. p. 31)..

    Le marketing économique, la publicité marchande, la propagande politique existent certes depuis des temps immémoriaux. Il est probable que ces activités aient toujours existé dans l’ombre de l’humanité. Mais l’ampleur, la puissance, l’efficacité de ces phénomènes n’ont probablement jamais été aussi importantes.

    Face à ces enjeux, l’approche de la Quadrature du Net consiste à rester fidèle à la vision philosophique qui conçoit la protection des données comme un droit fondamental de la personne humaine, tout en ayant conscience de l’importance de nous organiser collectivement pour faire valoir ces droits. C’est la raison pour laquelle l’association, dès l’entrée en vigueur du RGPD, a lancé une série d’actions de groupe, mobilisant plus de 12 000 citoyens pour réclamer le respect de nos droits face aux pratiques des GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

    Ces recours collectifs, qui ont été rendus possibles par le RGPD, sont une manière de faire corps ensemble pour le respect de nos droits, mais ils restent encore davantage une agrégation de demandes individuelles plus qu’une défense de la dimension collective des données. Pour aller plus loin et faire évoluer le droit, il devient de plus en plus urgent de reconnaître un droit à l’interopérabilité, qui permettrait aux internautes de quitter les plateformes dominantes et rejoindre des alternatives plus respectueuses de leurs droits, tout en continuant à communiquer avec leurs contacts. Une telle évolution permettrait de protéger les données, non plus uniquement en tant que relation à soi, mais aussi comme relation aux autres.

    ***

    Nos données personnelles nous définissent. Elles révèlent notre intimité la plus profonde.

    Les effets néfastes de la théorie propriétariste sont légion24Yann Padova, « Notre vie privée n’a pas de prix ! », Les Echos, 28 mars 2019 ; https://www.lesechos.fr/idees-debats/cercle/notre-vie-privee-na-pas-de-prix-1004389..

    Il y a un peu plus de 40 ans, à l’heure où l’informatique en était encore à ses prémisses, le législateur eu la sagesse de proclamer, à l’orée de la première loi relative à l’informatique, aux fichiers et aux libertés, que l’informatique devait être au service de chaque citoyen, sans porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques25Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés..

    Au lieu de s’aventurer avec légèreté sur les terra incognita de la patrimonialisation de nos données personnelles, il serait préférable de s’interroger sur ce qui serait inévitablement défait pour tenter, probablement en vain, de poursuivre des finalités qui peuvent être atteintes par des voies plus sûres.

    References

    1 La référence à ce passage du Petit Prince d’Antoine de Saint-Exupéry pour illustrer la différence entre « régner » et « posséder » et, plus largement, l’existence d’autres liens juridiques que le droit de propriété pour exercer du pouvoir sur une chose, est empruntée à la professeure Valérie-Laure Benabou, qui y recourra magistralement lors d’une conférence-débat coorganisée par le réseau Galatea et l’Ordre des avocats au Conseil d’État et à la Cour de cassation, qui se tint le 26 juin 2018 dans la bibliothèque de l’Ordre. Outre la professeur Valérie-Laure Benabou, les participants à ce débat étaient M. Jean Lessi, M. Gaspard Koenig, Me Emmanuelle Trichet et Me Isabelle Landreau. La vidéo de cette conférence-débat est consultable à cette adresse : https://www.youtube.com/watch?v=bbhr80OvSxI&t=3616s
    2 Les textes recourent plutôt au vocable, plus lourd, de « données à caractère personnel ».
    3 CNCDH, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, adopté à l’unanimité par l’Assemblée plénière de la Commission, pt. 32.
    4 Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
    https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ;
    Mme Nicole Belloubet, garde des sceaux, faisait sienne la position du Conseil d’État dans les débats qui se sont tenus au Sénat le 21 mars 2018, sur le projet qui deviendra la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en réponse à un amendement qui visait à insérer un second alinéa à l’article L. 341-1 du code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »
    5 CNIL, rapport d’activité 2017, p. 52 ; https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf
    6 CNNum, rapport sur la « Neutralité des plateformes » (mai 2014), p. 37 ; CNNum, avis sur « La libre circulation des données dans l’Union européenne » (avril 2017).
    7 Judith Rochfeld. Contre l’hypothèse de la qualification des données personnelles comme des biens, in : Les biens numériques, éd CEPRISCA, 2015, pp.221-23 ; http://www.ceprisca.fr/wp-content/uploads/2016/03/2015-CEPRISCA-BIENS-NUMERIQUES.pdf
    8 Premier considérant du RGPD. 2) de l’article 1er du RGPD. Voir également, CE, ord. réf., 18 mai 2020, La Quadrature du Net e.a., n° 440442, 440445, pt. 6.
    9 Article 544 du code civil.
    10 Conseil d’État, « Le numérique et les droits fondamentaux », Étude annuelle 2014, p. 264 ;
    https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf
    11 Dont la notion juridique est définie à l’article L. 112-3 du code de la propriété intellectuelle.
    12 Article L. 341-1 du code de la propriété intellectuelle.
    13 Par ex. Civ. 1ère, 5 juillet 2006, n° 04-16.687.
    14 Article L. 111-1 du code de la propriété intellectuelle.
    15 Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
    https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Pierre Truche, Jean-Paul Faugère, Patrice Flichy, « Administration électronique et protection des données personnelles. Livre blanc. », février 2002]. Cela vaut, a fortiori, pour les personnes morales, s’agissant des données de personnes physiques[[Thibault Verbiest, « Smart cities et données », JT 2019, n° 221, p. 31.
    16 Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n’a pas été déclaré auprès de la CNIL, n’est pas dans le commerce, et sa vente a un objet illicite (cf. Com., 25 juin 2013, n° 12-17.037, Bull. civ., IV, n° 108). Le détournement de fichiers informatiques contenant des informations confidentielles peut être constitutif d’un abus de confiance (cf. Crim., 22 octobre 2014, n° 13-82.630). Le téléchargement, effectué sans le consentement de leur propriétaire, de données que le prévenu savait protégées caractérise la soustraction frauduleuse constitutive du vol (cf. Crim., 20 mai 2015, n° 14-81.336, Bull. crim., 2015, n° 119).
    17 Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères.
    18 Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères.
    19 CNIL, Les données génétiques, 2017, La documentation française, Collection Point CNIL, 216 p. ; https://slate.com/technology/2019/12/gedmatch-verogen-genetic-genealogy-law-enforcement.html.
    20 https://en.wikipedia.org/wiki/Social_graph
    21 Lionel Maurel, « Calimaq », https://scinfolex.com/2018/06/28/google-les-donnees-sociales-et-la-caverne-des-habitus/ ; https://scinfolex.com/2018/05/25/rgpd-la-protection-de-nos-vies-numeriques-est-un-enjeu-collectif-tribune-le-monde/
    22 https://fr.wikipedia.org/wiki/Cambridge_Analytica
    23 En 2002, M. Michel Gentot écrivait déjà que, dans l’esprit du législateur, le droit à la protection des données personnelles « excédait très largement le seul registre de la protection de la vie privée et touchait aux fondements mêmes de l’État de droit. » (M. Gentot, « La protection des données personnelles à la croisée des chemins », in P. Taraboni (dir.), La protection de la vie privée dans la société de l’information, t. III, PUF, 2002, p. 25 s., spéc. p. 31).
    24 Yann Padova, « Notre vie privée n’a pas de prix ! », Les Echos, 28 mars 2019 ; https://www.lesechos.fr/idees-debats/cercle/notre-vie-privee-na-pas-de-prix-1004389.
    25 Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
    ]]>
    Règlement terroriste : la commission LIBE vote pour la censure sécuritairehttps://www.laquadrature.net/?p=16861http://streisand.me.thican.net/laquadrature.net/index.php?20210112_163944_Reglement_terroriste____la_commission_LIBE_vote_pour_la_censure_securitaireTue, 12 Jan 2021 15:39:44 +0000Lundi, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen a voté le règlement dit « anti-terroriste ». Ce nouveau règlement obligera l’ensemble des acteurs de l’Internet à censurer en une heure n’importe quel contenu signalé comme « terroriste » par la police, et ce sans intervention préalable d’un juge.

    Comme nous le répétons depuis maintenant deux ans :

    • Le délai d’une heure n’est pas réaliste, seules les grosses plateformes seront en mesure de se conformer à une telle obligation;
    • La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook;
    • Ce pouvoir donné à la police, sans contrôle préalable d’un juge pourrait mener à la censure d’opposants politiques et de mouvements sociaux;
    • Le texte permet à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse
    • .

    Surtout, en juin 2020, le Conseil constitutionnel a censuré une disposition (parmi beaucoup d’autres) de la loi Avia qui prévoyait la même obligation de retrait en 1 heure de contenus notifiés comme « terroristes » par la police. Il a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication.

    Les membres de la Commission LIBE ont néanmoins voté le texte. Les députés européens, et spécifiquement les députés français, ont donc voté en toute conscience un texte déclaré anticonstitutionnel en France. Ils devront en porter toute la responsabilité.

    Nous travaillons sur ce texte depuis sa présentation en septembre 2018. Le vote d’hier était une étape importante dans le processus de son adoption, et donc une défaite pour la lutte contre la censure et la surveillance sur Internet. Ce vote a eu lieu sans aucun débat ou vote public (les résultats précis n’ont toujours pas été publiés).

    La prochaine étape sera le vote en plénière au Parlement européen. Nous sommes prêts pour continuer la bataille contre ce texte et demander son rejet.

    ]]>
    Règlement terroriste : le Parlement européen doit s’opposer à la censure sécuritairehttps://www.laquadrature.net/?p=16814http://streisand.me.thican.net/laquadrature.net/index.php?20210108_153642_Reglement_terroriste____le_Parlement_europeen_doit_s___opposer_a_la_censure_securitaireFri, 08 Jan 2021 14:36:42 +0000Lundi 11 janvier, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen va voter sur le règlement dit « antiterroriste ».

    Ce texte (disponible ici en anglais, version non consolidée) vise à soumettre l’ensemble des acteurs de l’Internet à des obligations aussi strictes qu’absurdes.

    La principale obligation sera de permettre aux autorités de n’importe quel État membre de l’Union européenne (que ce soit la police ou un juge) de demander le retrait de n’importe quel contenu qu’elle considère comme « terroriste » à un acteur du Web dans un délai d’une heure.

    La loi Avia prévoyait l’exacte même obligation et le Conseil constitutionnel l’a censuré en juin dernier. Cette victoire nous avait laissé espérer que le texte européen soit profondément modifié. Ce n’est pourtant pas le cas. Après sa défaite nationale, le gouvernement français démontre clairement vouloir utiliser l’Union européenne pour faire passer des textes anticonstitutionnels.

    Introduit en septembre 2018 par la Commission européenne, le règlement antiterroriste a été adopté en décembre 2018 par le Conseil de l’Union européenne puis adopté en première lecture par le parlement européen en avril 2019. Après des négociations en trilogue (entre les trois institutions européennes), il est maintenant de retour devant le Parlement pour un dernier vote (vous pouvez retrouver le bilan de nos actions sur ce texte en avril 2019 ici).

    La Quadrature du Net a envoyé le message suivant aux membres de la Commission LIBE pour leur demander de rejeter ce texte.

    Chers membres de la Commission LIBE,

    Lundi 11 janvier prochain, vous allez voter sur le règlement « relatif à la prévention de la diffusion des contenus à caractère terroriste en ligne ». Nous vous demandons de rejeter ce texte dangereux qui ne pourra que conduire à une surveillance massive de nos communications en ligne et à une censure privée et automatisée de l’information.

    En premier lieu, ce texte imposera à tout acteur du Web de bloquer en une heure n’importe quel contenu signalé comme « terroriste » par un juge ou par la police. Les exceptions prévues dans ce texte sont purement hypothétiques et ne protégeront pas en pratique nos libertés.

    Le délai d’une heure est irréaliste et seule une poignée d’acteurs – les géants du Web – pourront respecter des obligations aussi strictes. La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook.

    En France et dans d’autres pays membres de l’Union européenne, ce pouvoir sera donné à la police, sans contrôle préalable d’un juge. Un tel pouvoir pourrait mener à la censure d’opposants politiques et de mouvements sociaux.

    En France, cette même disposition, obligeant des acteurs de l’Internet à retirer en une heure un contenu considéré comme « terroriste » par la police, a été considérée contraire à la Constitution en juin 2020. Le Conseil Constitutionnel a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication. L’adoption de ce texte serait faite donc en violation de la Constitution française et conduirait à amoindrir considérablement la confiance dans l’Union européenne.

    En second lieu, le texte sur lequel vous devez vous prononcer est bien différent du texte adopté par le Parlement européen en avril 2019. L’article 4 permet ainsi à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse.

    Demander aux membres du Parlement de voter dans un délai aussi court et sur un texte aussi important ne peut que vous encourager à rejeter ce texte et à exiger, sur des questions aussi complexes, un débat véritablement démocratique.

    Les idéologies meurtrières ne peuvent être combattues que par des changements structurels et sociétaux. Ce texte joue sur la peur du terrorisme pour mieux contrôler la liberté d’expression sur Internet et limiter les oppositions politiques.

    La Quadrature du Net vous demande de rejeter ce texte.

    ]]>
    Terrorist Regulation : the EU Parliament must oppose authoritarian censorshiphttps://www.laquadrature.net/?p=16809http://streisand.me.thican.net/laquadrature.net/index.php?20210108_123608_Terrorist_Regulation____the_EU_Parliament_must_oppose_authoritarian_censorshipFri, 08 Jan 2021 11:36:08 +0000On Monday 11 January, the LIBE Committee (Committee on Civil Liberties, Justice and Home Affairs) from the European Parliament will vote on the « anti-terrorism » Regulation.

    This text aims at submitting all of the actors of the Internet to strict and absurd obligations. The main obligation is to allow the authorities of any Member State of the European Union (whether the police or a court) to force a hosting service provider to remove within one hour content that the authority has considered terrorist.

    Introduced in September 2018 by the European Commission, the text was adopted in December 2018 by the EU Council and adopted (with some changes) by the EU Parliament in April 2019. After negotiations in trilogue (between the three institutions), this text is now back in the Parliament for a final vote.

    La Quadrature du Net sends the following message to members of the LIBE Committee urging them to reject this text.

    Dear Member of the LIBE Committee,

    Next Monday, 11 January, you will vote on the Regulation on « preventing the dissemination of terrorist content online ». We urge you to reject this dangerous text which could only lead to mass surveillance of our online communications, to private and automated censorship of information.

    First, this text will force any hosting provider to block within one hour any content reported as “terrorist” by a court or the police. The so-called « exceptions » provided in the text are purely hypothetical and will not protect our freedoms in practice.

    The one hour deadline is unrealistic and only big economic platforms will be capable of complying with such strict obligations. With the threat of heavy fines and because most of them will not be able to comply whithin the removal orders, this Regulation will force Web actors to censor proactively any potentially illegal content upstream, using automated tools of mass surveillance developed by Google and Facebook.

    In France and other Member States, the power to order removal will be given to the police, acting without the prior authorisation of a court. Such a power can easily lead to the censorship of political opponents and social movements.

    In France, the very same obligation to remove within one hour any « terrorist » content notified by the police has been deemed unconstitutional by the Constitutional Court in June 2020. The Court decided that such an obligation was a disproportionate infringement to the freedom of expression. Adopting this EU Regulation would be in violation with the French Constitution and deeply undermine the trust of French citizens in the European Union.

    Secondly, the text that you will vote upon is clearly different from the text adopted by the EU Parliament in April 2019. Article 4 allows an authority from any Member State to order removal in another Member State. Such cross-border removal orders are not only unrealistic but can only worsen the danger of mass political censorship.

    Asking Members of the Parliament to vote on such short notice, on such an important text without the time needed to study in depth the impact of such changes can only encourage you to reject this text and to require a truly democratic debate on such complex matters.

    Murderous ideologies can only be fought through structural and societal changes. This regulation plays on the fear of terrorism to further control freedom of speech on the Internet and limit possible political opposition.

    For these reasons, La Quadrature du Net urges you to reject this text.

    ]]>
    Décrets PASP : première bataille perdue contre le fichage massif des militants politiqueshttps://www.laquadrature.net/?p=16803http://streisand.me.thican.net/laquadrature.net/index.php?20210107_145847_Decrets_PASP____premiere_bataille_perdue_contre_le_fichage_massif_des_militants_politiquesThu, 07 Jan 2021 13:58:47 +0000Le 4 janvier 2021, le Conseil d’Etat a rejeté les recours formés en urgence par plusieurs associations (et dans lesquels nous étions intervenus) contre les trois décrets PASP, GIPASP et EASP (plus d’explications ici).

    Le fichage massif des militantes et militants politiques, de leur entourage, de leurs opinions politiques, de leurs données de santé ne sera donc pas suspendu. Comme il s’agit de fichiers étendus par un texte réglementaire, seul le Conseil d’État avait le pouvoir de freiner les ambitions sécuritaires du gouvernement – ce qu’il vient de refuser de faire, au moins pour l’instant. Ce refus révèle toute la défaillance du système qui prétend encadrer les fichiers de police : le seul contre-pouvoir placé face aux ambitions de la police est un Conseil d’État qui, sur les questions sécuritaires, démontre régulièrement son manque d’indépendance idéologique vis-à-vis du gouvernement et un certaine largesse dans l’application du droit (tel que dans la présente décision, où la démonstration juridique est aussi sommaire que confuse).

    Cette décision marque par ailleurs une nouvelle étape dans la déchéance de la CNIL : outre ses avis bien timides sur les fichiers (avis non contraignants), la CNIL avait néanmoins émis un communiqué pour critiquer le fait qu’elle n’avait pu donner son avis sur le fichage des opinions politiques, convictions religieuses et appartenances syndicales. Le Conseil d’État a balayé cet argument en un paragraphe, sans réelle explication.

    Ce n’est cependant qu’une décision visant le recours en référé-suspension (c’est-à-dire une demande visant à suspendre les décrets le temps que le juge administratif puisse examiner les recours au fond), qui n’augure en rien d’une possible annulation des décrets sur le fond. La bataille n’est donc pas entièrement perdue. Nous avons déposé fin décembre, en même temps que de nombreuses associations, nos trois recours contre ces décrets. Une décision devrait donc être rendue, sur le fond cette fois-ci, dans quelques mois.

    ]]>
    Liberté pour Julian Assangehttps://www.laquadrature.net/?p=16788http://streisand.me.thican.net/laquadrature.net/index.php?20210105_174732_Liberte_pour_Julian_AssangeTue, 05 Jan 2021 16:47:32 +0000Hier, la justice britannique a refusé la demande d’extradition de Julien Assange vers les États-Unis. Nous nous réjouissons de cette décision, qui soulève cependant quelques questions. Car rappelons-le, Julian Assange est aujourd’hui inquiété du fait de son activité de journaliste, qui l’a amené à rendre publics notamment les crimes de guerre commis par l’armée américaine dans le cadre de ses opérations en Irak, mais aussi d’autres dossiers d’intérêt public.


    Nous déplorons que le verdict ne s’appuie que sur les seuls risques qu’une extradition aurait engendrée sur l’état de santé mentale d’Assange. Nous rejoignons ainsi les critiques rappelant que le jugement n’a pas rejeté la demande américaine sur le fond, validant ainsi la pratique de procès politique remettant en question la liberté de la presse et le droit à l’information, principes pourtant au cœur de cette affaire. 

    Nous appelons donc à la libération de Julian Assange dès aujourd’hui, pour lui permettre de continuer d’informer librement, et d’être jugé de manière équitable, sans subir les pressions des États-Unis, qui rappelons-le, ont déjà persécuté de nombreux lanceurs et lanceuses d’alerte telles que Chelsea Manning.


    Afin d’assurer sa protection, l’asile politique lui a été offert par le gouvernement mexicain, ce que nous saluons également. Nous regrettons que des pays dits « démocratiques » ne lui aient pas, eux aussi, offert asile.

    Article de l’EFF sur le sujet : https://www.eff.org/deeplinks/2021/01/eff-statement-british-courts-rejection-trump-administrations-extradition-request
    Notre article précédent en soutien à Assange : https://www.laquadrature.net/2020/09/08/freeassange/

    ]]>
    Technopolice, villes et vies sous surveillancehttps://www.laquadrature.net/?p=16550http://streisand.me.thican.net/laquadrature.net/index.php?20210103_094100_Technopolice__villes_et_vies_sous_surveillanceSun, 03 Jan 2021 08:41:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    Depuis plusieurs années, des projets de « Smart Cities » se développent en France, prétendant se fonder sur les nouvelles technologies du « Big Data » et de l’« Intelligence Artificielle » pour améliorer notre quotidien urbain. Derrière ce vernis de ces villes soi-disant « intelligentes », se cachent des dispositifs souvent dangereusement sécuritaires.

    D’une part, car l’idée de multiplier les capteurs au sein d’une ville, d’interconnecter l’ensemble de ses réseaux et d’en gérer l’entièreté depuis un centre unique et hyper-technologique ne peut qu’entraîner une surveillance accrue de ses habitant·es. Mais d’autre part, car les promoteurs de tels projets ne s’en cachent pas et considèrent que le premier objectif d’une « ville intelligente » doit être la sécurité de ses habitant·es. C’est ainsi que Caroline Pozmentier, l’adjointe au maire de Marseille considère que : « La safe city est la première brique de la smart city », ou, que Marc Darmon, directeur général adjoint de Thales déclare que : « La sécurité est, avec la mobilité, le pilier le plus réaliste de la Smart City. »

    Panorama de la Technopolice en France

    Un ensemble de nouvelles technologies visant à la surveillance totale de l’espace public sont ainsi expérimentées en toute opacité sur le territoire français. C’est le cas de la vidéosurveillance automatisée (dit vidéosurveillance « intelligente ») qui vise à détecter certains comportements considérés comme suspects par ses promoteurs : détection de mouvement de foule, de personnes se mettant subitement à courir, ou suivi de silhouettes ou de démarches… De tels projets sont déjà à l’essai à Valenciennes, Toulouse, Nice et bientôt à Marseille. [1] La reconnaissance faciale est par ailleurs un type de vidéosurveillance automatisée qui connaît un développement inquiétant : au niveau national avec le TAJ (le fichier des « Traitements des Antécédents Judiciaires) qui concerne plusieurs millions de personne mais aussi à Nice, où la technologie a été testée sur la voie publique en 2019 ou dans la région Sud où un projet de portiques de reconnaissance faciale dans des lycées est encore en discussion.

    Les drones font également partie intégrante de ces projets techno-policiers. Ils participent à l’idée de multiplier les flux de vidéo (avec les caméras fixes et les caméras-piétons) pour ne plus laisser aucun espace à l’abri du regard tout-puissant des autorités. L’image ne leur suffit d’ailleurs pas : les dispositifs de détection de sons se multiplient à leur tour. C’est ainsi que le projet « Serenicity » à Saint-Etienne, aujourd’hui abandonné, prévoyait d’installer des microphones dans les rues pour détecter les « bruits suspects » et aider à l’intervention automatisée de la police.

    D’autres projets plus globaux sont en préparation. À Marseille, la ville cherche, à travers son projet d’ « Observatoire de la tranquillité publique », à agréger l’ensemble des données issues des services municipaux pour détecter et prévoir les incidents, dans l’objectif de « façonner la ville quasi-idéale ». À Nice, encore une fois, le projet « Safe City », porté par Thalès, veut « anticiper les incidents et les crises » et « collecter le maximum de données existantes » et « effectuer des corrélations et de rechercher des signaux faibles ».

    Le fantasme d’une ville sécurisée

    Le même objectif se retrouve à chaque fois dans ces différents projets : celui d’une ville totalement sécurisée, surveillée et fluidifiée à l’aide d’outils technologiques soi-disant miraculeux : reconnaissance faciale, vidéosurveillance « intelligente », police prédictive, application mobile de dénonciation citoyenne… Ces outils participent à la transformation de la ville en un espace où le hasard n’a plus sa place, où l’intelligence artificielle servira, comme l’annonçait Gérard Collomb, à « repérer dans la foule des individus au comportement bizarre », où l’on parle de l’« optimisation de la gestion [des] flux » : une ville finalement où l’humain n’a plus sa place mais devient un capteur comme les autres, pour un maire qui se voit maintenant qualifié de « CEO de la ville »…

    Car c’est l’un des pendants du développement de ces projets : la délégation à des entreprises privées de la gestion de la ville. Se retrouvent dans l’administration de nos espaces publics des logiques de marché, de concurrence, de normalisation qui y sont totalement étrangères et qui ne peuvent conduire qu’à des dérives, la première étant d’en faire des terrains d’expérimentations pour ces start-up qui peuvent développer en toute impunité leurs outils de surveillance. Caroline Pozmentier, encore elle, n’hésite ainsi même pas à déclarer que « les villes sont des laboratoires » pour ces outils technologiques de surveillance.

    Un autre pendant de ces projets, c’est la militarisation de notre espace public : les drones sont avant tout un outil militaire dont l’utilisation commence pourtant à se normaliser au cœur de nos villes. Qui était ainsi derrière le projet de « Serenicity » à Saint-Etienne ? L’entreprise Verney Carron, fabricant d’armes et fournisseur de lanceurs de balle de défense Flash-balls pour la police et la gendarmerie nationale.

    Terrorisme et nouveaux marchés industriels

    Pourquoi ces projets sont-ils mis en place ? La première réponse à apporter est devenue une évidence dans le contexte politique des dernières années : la « menace terroriste », érigée en grand ennemi public face auxquels tous les Français·es ont le devoir de se rallier, s’est imposée comme un argument politique imparable. C’est en son nom qu’ont été notamment adoptées la loi Renseignement en 2015 ou la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » en 2017. Ces textes, ainsi que d’autres à venir, nous amputent pourtant chaque fois d’un peu plus de liberté. Au nom de la lutte contre le terrorisme, tout est maintenant acceptable car la lutte contre le terrorisme fait élire.

    Désormais tout ce qui permet aux élu·es de se revendiquer de la « sécurité » vaut le coup. Les caméras de surveillance, qui sont présentes par dizaines de milliers dans nos villes, n’ont jamais réellement fournit la preuve de leur efficacité mais continuent pourtant de se multiplier. Nice est la ville la plus équipée en caméras de France, et elle l’était déjà en juillet 2016 lors de l’attentat sur la promenade des Anglais, sans qu’elle n’ait permis d’éviter quoi que ce soit.

    Qu’importe, les choix d’augmentation des dispositifs de surveillance ne sont jamais faits dans le but d’augmenter de façon effective la sécurité. Si c’était le cas, cet argent serait orienté vers la rénovation des immeubles proches de l’effondrement à Marseille au lieu de l’être dans le projet de l’ « Observatoire de la tranquillité publique ». Le but des élu·es est finalement beaucoup plus clair : augmenter le sentiment de sécurité, et cela dans un objectif purement électoraliste.

    La deuxième réponse est d’ordre économique. Derrière la mise en place de ces technologies se cache l’ouverture de nouveaux marchés : Thalès, Cisco, Huawei et d’autres industriels préparent ces projets depuis longtemps avec la volonté de vendre, clés en main, de nouveaux équipements aux villes qui le souhaiteraient. L’idée est de généraliser ces systèmes au maximum. Thalès a par exemple finalisé en avril le rachat de l’entreprise Gemalto, à l’origine du système PARAFE, qui gère le contrôle d’identité aux frontières dans les aéroports afin de se positionner en leader de la sécurité de la surveillance. Pour s’ouvrir à ce marché des villes sécuritaires, les industriels, les élu·es et les start-ups nous inondent de discours sur la ville intelligente et leur progrès technique inéluctable au service d’une soi-disante sécurité.

    Enfin le dernier argument – le plus inquiétants au regard du respect de nos droits et libertés – est d’ordre politique. Ces technologies ont pour but de rendre l’espace urbain plus contrôlable et prévisible. Pour certain·es élu·es, les technologies de surveillance couplées à l’intelligence artificielle sont les outils parfaits pour l’exécution de leur fantasme sécuritaire. Christian Estrosi déclare ainsi vouloir « suivre, grâce au logiciel de reconnaissance faciale dont est équipé [le] centre de supervision urbain [de Nice], toutes les allées et venues des [fichés S] ». Dans le cadre de mouvements sociaux de plus en plus difficiles à réprimer, les outils de surveillance ont un impact normatif sur la société dont les dirigeant·es sont bien conscient·es : se savoir surveillé·e est en effet bien souvent aussi efficace que la surveillance en elle-même.

    Dans cette atmosphère de progrès technologique fantasmé, les solutions techno-sécuritaires pré-fabriquées proposées par ces différents industriels se présentent comme la solution de facilité pour se faire élire et contenir plus facilement la population. Les argumentaires de lutte contre le terrorisme et de développement économique finissent d’entériner l’idée de contrôle total et massif de l’espace public.

    Technopolice contre surveillance

    La campagne Technopolice, lancée en septembre 2019 par La Quadrature du Net et d’autres associations, a pour objectif de mettre en lumière le développement de ces dispositifs, de partager les informations et de mettre en place la résistance nécessaire face à ces nouveaux outils de surveillance. De telles mobilisations ont déjà porté leurs fruits : les projets de portiques de reconnaissance faciale à Nice et de microphones dans les rues de Saint-Etienne ont été pour l’instant arrêtés en France par la Cnil. Ces projets craignent en effet la lumière, et le débat public peut y mettre un premier frein. Aux États-Unis, des mobilisations semblables ont par exemple conduit de nombreuses villes à prendre des arrêtés interdisant l’utilisation de la reconnaissance faciale.

    Le but de la plateforme Technopolice est ainsi double : documenter de la manière la plus rigoureuse possible le déploiement de ces projets de surveillance à travers le pays, et construire ensemble des outils et des stratégies de mobilisation capables de les tenir en échec. L’enjeu, c’est de parvenir à organiser des résistances locales en les fédérant afin qu’elles puissent se nourrir les unes les autres. Vous pouvez dès à présent nous rejoindre sur forum.technopolice.fr pour participer à l’analyse et à la lutte contre le développement de ces projets sécuritaires.

    Contre cette dystopie que préparent ceux qui prétendent nous gouverner, nous appelons à une résistance systématique.

    ]]>
    Interdiction des drones : victoire totale contre le gouvernementhttps://www.laquadrature.net/?p=16744http://streisand.me.thican.net/laquadrature.net/index.php?20201222_152519_Interdiction_des_drones____victoire_totale_contre_le_gouvernementTue, 22 Dec 2020 14:25:19 +0000Le Conseil d’État vient d’exiger que la préfecture de police de Paris cesse sa surveillance par drones des manifestations (voir sa décision). Allant encore plus loin que son interdiction de mai dernier, la plus haute juridiction administrative est particulièrement virulente contre l’utilisation de drones en manifestation, laissant peu de place au gouvernement pour autoriser ceux-ci dans sa PPL Sécurité Globale. Le rapport de force s’inverse enfin : engouffrons-nous dans la brèche !

    Comme nous le racontions, à la suite de la première interdiction exigée par le Conseil d’État en mai dernier, la préfecture de police de Paris a continué à utiliser les drones pour surveiller, notamment, les manifestations. Nous avons été donc forcé·es de former un nouveau recours contre cette surveillance illégale, recours que nous venons donc de gagner devant le Conseil d’Etat.

    La préfecture de police avait tenté, pour contourner l’interdiction faite par le Conseil d’État d’utiliser des drones, d’ajouter un dispositif de floutage par intelligence artificielle. Aujourd’hui, le Conseil d’État a entièrement rejeté cette tentative grotesque d’esquiver la loi. La préfecture de police est donc enjointe d’arrêter immédiatement le déploiement de drones en manifestation.

    Le Conseil d’État va même plus loin et dénonce le dispositif dans son essence : « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones ».

    En droit des données personnelles, si l’utilité d’un dispositif de surveillance n’est pas clairement démontrée, il ne peut jamais être autorisé (en matière de données sensibles, telles que les opinions politiques captées en manifestation, il faut même que le dispositif soit « absolument nécessaire » au maintien de l’ordre).

    En dénonçant l’absence d’une telle preuve, le Conseil d’État prive donc l’article 22 de la proposition de loi Sécurité Globale de tout fondement. Cette décision du Conseil d’État est une double claque pour le gouvernement : non seulement les drones sont interdits, mais le gouvernement a perdu toute légitimité juridique à vouloir les autoriser dans la loi (à moins d’apporter l’impossible preuve d’une « nécessité absolue »).

    Après de longues semaines douloureuses à subir une série de projets autoritaires et de violences en manifestation, il se pourrait que le rapport de force commence enfin à s’inverser, le camp sécuritaire connaissant sa première défaite majeure. L’année 2021 commencera dans cette optique et, avec vous, nous vaincrons !

    Pour documenter la lutte, nous détaillons ci-dessous l’ensemble du débat juridique contre le gouvernement qui, commençant il y a 6 mois, a conduit à la victoire d’aujourd’hui.

    Premier confinement : le déploiement sauvage de drones déclaré illégal

    En avril 2020, alors que la France connaissait un premier confinement , nous documentions comment les différentes forces de police en profitaient pour mettre à l’essai un usage totalement sauvage et opaque des drones. La tentation sécuritaire derrière cette initiative était très forte et assumée : celle de surveiller tout, tout le temps, par des moyens toujours plus intrusifs. C’est début mai, suite à un article de Mediapart qui avait obtenu des détails sur les drones parisiens, que nous attaquions en urgence cet usage aux côtés de la Ligue des droits de l’Homme dans la ville de Paris. Au-delà de ce cas particulier, le but de ce recours était d’obtenir une décision de justice démontrant l’illégalité de l’ensemble des déploiements de drones.

    Le Conseil d’État nous a donné raison. Par une ordonnance de mai 2020, il enjoignait ainsi à la préfecture de police de Paris de cesser d’utiliser ses drones pour faire respecter les mesures sanitaires. Le juge estimait que les drones, en l’absence de tout encadrement, portaient atteinte aux libertés fondamentales et devaient être interdits. Si la décision de mai ne concernait que les drones utilisés à Paris pour faire respecter les règles propres au confinement, le raisonnement affiché par le Conseil d’Etat pouvait être utilisé de façon plus large et s’appliquer contre tout type d’usage. Ce qui n’a pas empêché le préfet Lallement de l’ignorer de façon délibérée.

    Les manifestations : nouveau terrain de surveillance par drones

    Avec l’assouplissement des mesures sanitaires et la ré-autorisation des manifestations, la préfecture de police ne s’est pas privée d’utiliser les drones pour surveiller ces rassemblements. Cet usage n’était pas nouveau (les manifestations de gilets jaunes ont quelquesfois été surveillées par drones avant le confinement), mais il venait cette fois-ci violer frontalement la décision du Conseil d’État qui venait de déclarer leur utilisation illégale quelques semaines plus tôt.

    C’est grâce à votre aide que nous avons pu documenter cet usage par la préfecture de police : en juin, juillet, septembre, octobre. Lors de la procédure, la préfecture de police n’a jamais contesté cette utilisation systématique des drones en manifestation.

    Surtout, si cette surveillance des manifestations restait illégale, elle questionnait l’usage des drones sous un angle nouveau : les opinions politiques n’ont pas à être surveillées. C’est pour cela que nous avons déposé un nouveau recours en urgence devant le Tribunal administratif de Paris.

    Le floutage des personnes : un artifice dangereux

    Grâce à cette nouvelle procédure, il nous a été révélé que la préfecture de police de Paris a tenté de contourner la première ordonnance de mai en mettant en place un dispositif de floutage par intelligence artificielle : une fois captées, les images des drones étaient transmises à un serveur chargé de flouter les personnes, avant de retransmettre les informations (images floutées et non-floutées) au centre de commandement de la police.

    Mediapart analysait en novembre les documents de la préfecture tentant de justifier et d’expliquer ce procédé. Ce dispositif de floutage, réversible et soumis au seul bon vouloir de la police, était une tentative grossière de la préfecture de police de tromper les juges. Le Conseil d’État, contrairement au tribunal administratif de Paris, n’est pas tombé dans le piège : le rapporteur public1Le rapporteur public est un membre de la formation de jugement
    chargé de donner une première analyse juridique de l’affaire, avant que le Conseil d’État rende sa décision.
    estimait à l’audience que la préfecture de police avait commis une erreur de lecture de l’ordonnance de mai et que le fait de flouter les personnes souligne le problème intrinsèque aux drones : ce genre de dispositif a bien une capacité très importante de surveillance et un floutage a posteriori n’enlève rien à cela.

    La CNIL doit mettre fin à la mauvaise foi de la police

    Cette affaire met en lumière l’incroyable mauvaise foi de la préfecture de police qui, durant toute la procédure, a tenté de sauver son dispositif à l’aide d’indignes pirouettes, faisant ainsi évoluer sa doctrine d’utilisation des drones au gré des débats2Fort heureusement, comme en mai dernier, le Conseil d’État n’a donné aucune valeur à cette doctrine qui n’a aucune portée juridique., ou n’hésitant pas à contredire de manière éhontée ses propres documents quand nous les retournions contre elle pour appuyer l’illégalité du déploiement des drones.

    La préfecture de police est en roue libre et il est fondamental de mettre fin à cette impunité. Le préfet de police a par exemple attendu près de deux mois pour appliquer (faussement vient de dire le Conseil d’État) la décision de mai. Combien de temps lui faudra-t-il cette fois-ci ? La CNIL doit passer à l’action et sanctionner les forces de police nationale et de gendarmerie qui continuent d’utiliser des drones ou des hélicoptères pour surveiller les manifestations ou faire appliquer les règles sanitaires. Nous lui avons mâché le travail, à elle de prendre le relais.

    Cette nouvelle interdiction des drones intervient alors que la proposition de loi Sécurité Globale a déjà été votée en première lecture à l’Assemblée nationale et arrivera à la rentrée devant le Sénat. Après les critiques des rapporteur·es des Nations Unies de la Défenseure des droits et de 188 organisations, et les manifestations qui ont eu lieu partout en France contre ce texte, son rejet est d’autant plus important. Non seulement cette loi légalise les usages policiers de drones et accentue une fois de plus la pression sécuritaire sur les citoyen·nes, mais elle fait également fi de la protection la plus élémentaire des libertés fondamentales.

    References

    1 Le rapporteur public est un membre de la formation de jugement
    chargé de donner une première analyse juridique de l’affaire, avant que le Conseil d’État rende sa décision.
    2 Fort heureusement, comme en mai dernier, le Conseil d’État n’a donné aucune valeur à cette doctrine qui n’a aucune portée juridique.
    ]]>
    Contre la politique de maintien de l’ordre en lignehttps://www.laquadrature.net/?p=16710http://streisand.me.thican.net/laquadrature.net/index.php?20201221_182435_Contre_la_politique_de_maintien_de_l___ordre_en_ligneMon, 21 Dec 2020 17:24:35 +0000Photo by Ralph (Ravi) Kayden on Unsplash

    Depuis un mois nous vous parlons de la loi Sécurité Globale, de fichiers de police étendus, des nouveaux moyens donnés à la police pour réprimer les manifestants et des moyens de dénonciation des violences policières qui leur sont retirés. Aujourd’hui nous abordons les stratégies de maintien de l’ordre en ligne.

    La censure, première arme de maintien de l’ordre sur internet

    Depuis la création d’Internet, il semble que nos gouvernants n’aient eu de cesse de le présenter comme un « espace de non-droit » qu’il faudrait au plus vite « re-civiliser », y rétablir l’ordre. Si l’année 2000 a d’abord vu apparaître un statut européen protecteur des hébergeurs, préservant ces derniers de toute obligation de contrôle actif des contenus publiés sur leurs infrastructures sauf à « retirer promptement un contenu manifestement illicite qui leur aurait été désigné », différentes lois se sont enchaînées depuis pour renforcer la censure d’État.

    La police est ainsi la première entité à bénéficier d’un très fort pouvoir de censure au prétexte de lutter contre le « terrorisme ». Lorsque la police demande à ce qu’un contenu soit censuré, elle s’adresse directement à l’hébergeur. Aucun juge n’intervient alors à ce stade et la police est la seule à décider de la nature d’un contenu qu’elle veut faire censurer, sur la base d’une notion de « terrorisme » particulièrement large, floue et sujette à l’arbitraire. Le seul recours offert est la contestation devant les tribunaux de la demande de censure mais cette possibilité est dérisoire : le juge arrive après la demande de la police, des mois voire des années plus tard. Ce mécanisme, dans lequel le juge n’intervient qu’en cas de contestation, prive les hébergeurs de toute marge de manœuvre quant à ces demandes, et les place dans une position de faiblesse. De l’autre coté, ce système offre à la police de vastes capacités d’abus et de censures politiques1.

    Les géants du Net, bras armé de l’État

    Loi haine, Règlement européen de censure terroriste, loi Fake News, Directive Copyright, toutes les lois de censure de ces dernières années remettent en question la protection du statut d’hébergeur, en leur confiant le rôle de police sur Internet. 1h pour censurer les contenus considérés comme « terroristes », 24h pour censurer les contenus ciblés comme « haineux », la mission confiée ici aux géants du web à travers cette exigence de délais si courts est de créer une police robotisée pour automatiser la censure. Sous couvert de lutte contre la haine ou le terrorisme, ce sont bien souvent les opposants politiques qui sont visés.

    Lire notre article Une loi contre la haine anti-macron ? »

    Les géants, tout à fait enclins à obéir aux États tant qu’ils conservent leur position dominante sur le marché illégal des données personnelles, font même du zèle, appliquant ces lois avant même leurs applications.

    Contre la censure et la surveillance en ligne, la décentralisation

    Depuis quelques jours nous avons vu s’inscrire sur notre instance Mastodon, mamot.fr, plus de mille personnes ayant souffert de la censure politique de Twitter. Beaucoup d’entre eux nous ont demandé quelle était notre politique de conservation des données et de censure. Il y a trois ans nous avons fait l’objet d’une réquisition concernant les données personnelles d’un utilisateur de mamot. Si la loi française « pour la confiance en l’économie numérique » demande aux hébergeurs de conserver les données des utilisateur·ices pendant un an, La Quadrature a choisi de respecter le droit européen et de ne conserver ces données que 14 jours.

    Lire notre article Réquisition de mamot.fr, LQDN s’en tient aux droits fondamentaux

    Qu’il s’agisse de régime de conservation et de communication à la police de données personnelles ou de modération et de filtrage des contenus publiés, nous gagnerons toujours à avoir une diversité d’hébergeurs et à lutter contre la centralisation des contenus et des personnes. C’est pourquoi, même si les nouv·elles venu·es sur mamot.fr sont les bienvenu·es, nous vous encourageons à ne pas vous concentrer sur ce serveur : de nombreuses instances existent et vous pouvez aussi créer les vôtres afin d’utiliser les nombreuses possibilités de modération qu’offre la décentralisation, et surtout créer des espaces dont vous choisissez les règles. Nous envisageons d’ailleurs de clore bientôt les inscriptions sur mamot.fr afin d’éviter qu’elle ne devienne une instance trop grosse.

    Interopérabilité

    Sur tous les réseaux, le poids de l’organisation verticale décidée unilatéralement se fait de plus en plus sentir. Il nous revient à toutses de créer ou de trouver des espaces pour communiquer qui ne soient plus assujettis aux principes économiques des plateformes ou aux principes sécuritaires des États. Mais quitter les plateformes des géants revient souvent à abandonner des liens importants, et nombreux sont ceux qui choisissent de céder un peu de leurs libertés pour préserver ces liens.
    Pour permettre à tout le monde de préserver ses liens sociaux et ses libertés, La Quadrature propose depuis deux ans de contraindre les géants à devenir interopérables. C’est-à-dire, de les forcer à communiquer avec l’extérieur comme c’est le cas pour le mail : peut importe votre hébergeur mail, vous pouvez écrire à n’importe quelle autre adresse email car le protocole est ouvert.
    Pour les réseaux sociaux c’est possible aussi : le protocole ActivityPub permet par exemple aux différentes instances Mastodon de communiquer entre elles. Ce protocole permet même de faire communiquer des réseaux qui ont des activités différentes (publications d’images, de vidéos, de billets de blogs…). Si les plateformes géantes étaient interopérables, il deviendrait possible de supprimer nos compte et de refuser de se soumettre entièrement à leur Conditions Générales d’Utilisation, pour passer sur des services qui respectent nos droits, voire même héberger soi-même son propre compte !

    Lire notre lettre commune Pour l’interopérabilité des géants du web

    Forcer les géants du Net à devenir interopérable est un projet probablement aussi ambitieux que d’imposer la neutralité du Net. L’Union européenne pourrait commencer à se saisir de cet enjeu dans son récent Digital Market Act, qu’il faudra pleinement investir dans les mois à venir.

    Depuis 2008, La Quadrature se bat contre la surveillance et la censure sur Internet, nous dénonçons les lois liberticides et tentons de faire pression sur nos représentant·es pour qu’iels préservent nos droits. Pour que La Quadrature continue ses combats nous avons besoin d’énergie et d’argent. Pour nous aider à lutter contre ces futurs sécuritaires, parlez de nos combats autour de vous et faites un don si vous le pouvez sur laquadrature.net/donner

    References

    1 L’affaire d’IndyMedia Nantes un exemple d’abus assez parlant : la police voulait censurer une revendication de sabotage et la justice, parce que l’hébergeur est allé jusqu’au bout et a tenu, le tribunal administratif a fini par déclarer abusive la demande de la police.
    ]]>
    Combattre le capitalisme identitairehttps://www.laquadrature.net/?p=16546http://streisand.me.thican.net/laquadrature.net/index.php?20201220_101800_Combattre_le_capitalisme_identitaireSun, 20 Dec 2020 09:18:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    Il ne fait désormais plus aucun doute que le marché de la surveillance est en plein essor. Des sociétés vendent aux États des systèmes d’identification des populations, à des fins de contrôle, pour des marchés se comptant en milliards d’euros. En France, de plus en plus de villes mettent en place des systèmes invasifs, qu’il s’agisse d’ériger des portiques de reconnaissance faciale dans les lycées (comme à Nice et Marseille 1), de déployer des drones (en dépit de la faune locale qui ne les apprécie que peu, comme à Paris 2) ou de forcer les habitants à s’identifier sur des services en ligne pour interagir avec leur administration – comme l’illustre notamment le site Technopolice.

    Il y a également un autre marché plus insidieux, que l’on suppose parfois moins nuisible que celui, brutal, de la surveillance par les États. C’est celui de l’économie de l’attention, de la marchandisation de nos comportements et de nos identités. Ne nous trompons pas de sujet, la plupart des multinationales hégémoniques du numérique (Google, Apple, Facebook, Amazon et Microsoft – GAFAM par la suite) parlent3 de vente et d’exploitation de données personnelles et non de comportement, car la donnée est abstraite et omniprésente. Il est difficile de s’opposer à une collecte de données personnelles ou de métadonnées. La donnée est abstraite, une modélisation mathématique, et peut-être isolée, car il est difficile d’en percevoir l’effet au quotidien. Pourtant si l’on parle des comportements que décrivent ces données, alors il devient beaucoup plus évident de s’opposer à cette collecte et à leurs marchandisations.

    Parler de capitalisme des comportements, de capitalisme des identités, de capitalisme identitaire, au lieu de capitalisme de surveillance ou de l’économie de l’attention, permet de rendre concret et palpable ce que font réellement les GAFAM. Ils analysent nos comportements dans le but de nous forcer à nous comporter de certaines façons. De plus, cela permet de mettre en lumière le fait que les pratiques de surveillance des États et ce capitalisme du comportement sont en fait souvent les deux faces d’une même pièce de cette surveillance. D’autant que les acteurs de ces deux formes de surveillance sont, de fait, souvent les mêmes. Palantir, par exemple, la société qui a obtenu un marché d’analyse de grandes quantités de données pour la DGSI4 en France, est fondée par Peter Thiel. Qui est également le fondateur de PayPal, le premier financeur externe de Facebook et qui, via le fonds d’investissement duquel il fait partie, investit également dans Airbnb, Lyft, Space X (le programme spatial d’Elon Musk) et Spotify.

    Palantir est loin d’être le seul exemple. La société Amesys, ancienne filiale du groupe Bull, s’est fait connaître par la vente d’un système de surveillance à Mouammar Kadhafi5. Ou encore Amazon, qui héberge le cloud de la CIA (un petit contrat à 600 millions de dollars tout de même). Ou Google qui, via le projet Maven (officiellement abandonné en 2019 suite à des pressions des employé·es de Google), entraîne les drones à faire de la reconnaissance de cible6. C’est un phénomène global qui touche énormément d’entreprises du numérique, comme le documentent, par exemple, Transparency Toolkit et Privacy International7.

    Ces capitalistes identitaires tirent leur richesse du travail que nous leur fournissons gratuitement en alimentant leurs gigantesques collections de données comportementales. Chaque fois que vous lisez quelque chose en ligne, que vous regardez une vidéo, que vous la repartagez avec d’autres ou non, chaque action minime que vous entreprenez sur Internet, permet à ces ogres gargantuesques de s’enrichir encore plus, d’accumuler encore un peu plus de contrôle tout en évitant de s’y soumettre, renforçant toujours plus l’asymétrie propre aux systèmes capitalistiques. Cela engendre également une forme de prolétariat. Une dépossession des travailleu·ses dans ces systèmes de leurs outils de production, pour ne se voir évaluer qu’en fonction de leur « crédit social ». Qu’il s’agisse du nombre d’étoiles du chauffeur supposé indépendant, mais aliéné à Uber (ou Lyft), ou le nombre de vues de votre profil Facebook ou de contenus sur Instagram, le « score p » de votre chaine Youtube8, votre valeur dans ce système capitaliste est celle que les plateformes de gestion de contenus vous donnent.

    Ce n’est pas la qualité intrinsèque du contenu de ce que vous publiez, ou de ce que vous lisez, qui compte. C’est le score que vous attribue une entreprise de manière arbitraire qui décide de votre valeur, de ce que vous êtes pour la société, de ce à quoi vous aurez accès. Ces gigantesques entrepôts d’information sur les comportements et les identités sont gérés par des entreprises qui cherchent à gagner toujours plus et à n’importe quel prix, au mépris de l’éthique et même des lois. Elles n’hésitent pas à collaborer et à renforcer les systèmes oppressifs existants pour conquérir de nouveaux marchés. Ces entreprises n’ont pas fait exprès, elles sont désolées et promis juré, la prochaine fois elles feront mieux, développant une culture de l’excuse9 et s’exonérant à l’inverse de toute responsabilité.

    Ces entrepôts comportementaux permettent aux États de renforcer encore plus leurs appétits pour obtenir toujours plus de moyens de contrôle des populations dans une forme de « partenariat public privé de la surveillance ». Appétits qui sont ensuite nourris par les nouvelles avancées technologiques proposées par les GAFAM, créant ainsi un cercle vicieux, affaiblissant encore plus les prolétaires au contrôle sur leurs comportements et identités, afin de toujours donner plus aux mêmes et de permettre à cette classe de très riches cyberbourgeois de continuer de bénéficier d’un pouvoir de plus en plus total sur nous.

    Il existe cependant des moyens pour mettre à mal ce capitalisme identitaire. Se saisir des moyens de production apparaît comme l’une des façons les plus efficaces, qu’il s’agisse des machines de productions des ouvriè·res industriel·les ou des systèmes de production et de consommation d’information. De la même manière que le travail à la chaîne a retiré aux ouvrier·es leurs statuts et les ont asservi aux machines en les dépossédant de leurs compétences et connaissances, les systèmes centralisateurs des GAFAM cherchent à nous empêcher de comprendre comment fonctionnent les échanges d’informations pour nous déposséder de notre connaissance.

    Leur force, en plus de l’appétence des États en quête de toujours plus de contrôle, est d’être parvenus à transformer un système géré en communauté – Internet – en un système géré par eux. Pour s’affranchir de leur contrôle, il faut s’affranchir de leurs solutions, de leurs outils. L’Internet des protocoles, par exemple, est un premier pas dans cette direction (voir l’article L’Internet des Protocoles dans ce même dossier). Mais seul, il ne suffit pas. Il faut que nous prenions tou·tes conscience que ce problème s’étend bien au-delà de nos simples espaces en ligne. L’identification systématique requise pour utiliser des services, quels qu’ils soient, en forçant la création (ou l’association) d’un « compte », nous identifiant, de préférence avec un système d’identification centralisée, renforce le pouvoir de ces GAFAM et des États sur nous. Cela nous force également, nous militan·tes, à nous soumettre à leur bon vouloir pour constituer les archives de nos luttes, pour coordonner nos actions ou simplement pour prendre des nouvelles les un·es des autres.

    Requérir d’une personne qu’elle dispose d’un compte Google pour accéder aux discussions internes à un groupe est dangereux et vous coupe des personnes qui refuseraient d’avoir un tel compte. Mais exiger qu’elle ouvre un compte sur une plateforme « sécurisée » quelconque n’est pas forcément une meilleure idée10. Si votre liste de militant·es pour l’environnement est rendue publique, il y a fort à parier que votre mouvement en pâtisse. En France comme ailleurs, les services de renseignements utilisent de plus en plus les médias sociaux comme source de renseignement11. Lorsque votre réseau social privé sera compromis, le fait que les communications soient chiffrées ne vous protégera pas. Utiliser un protocole de chiffrement est un bon premier pas, mais ne suffit pas à lui seul. L’analyse des données comportementales — qui parle à qui et quand — via les métadonnées12 suffit à mettre en danger les personnes. Savoir comment sont chiffrées vos communications, ou qui a accès à tel ou tel élément de la conversation est tout aussi important. Les systèmes de messageries privées mis en place par les GAFAM et les entreprises qu’elles financent, directement ou non (WhatsApp, Messenger, iMessage, etc.) ne permettent pas de répondre à ces questions, même si le logiciel est à code ouvert.

    Car un programme, quel qu’il soit, s’exécute dans un environnement social et technique. Cet environnement est tout aussi important que le code source. Les nombreux échecs de l’utilisation d’algorithmes pour essayer de modérer les discussions13 sont très souvent liés aux biais personnels des personnes développant ces logiciels, ces personnes étant souvent des hommes blancs, relativement aisés, vivants sur la côte ouest des États-Unis. Mais au-delà des problématiques politiques, des limitations matérielles et légales existent. Par exemple, si le système de génération de nombre aléatoire d’un ordinateur est modifié pour ne générer que des nombres prédictibles (par exemple, que des 1), alors tous les algorithmes de chiffrement utilisant cet ordinateur sont instantanément cassés et inefficaces, sans pour autant que l’utilisat·rice du service ne remarque quoi que ce soit. Par ailleurs, il existe des territoires sur lesquels les nations obligent des entreprises à ajouter des faiblesses dans leurs logiciels, via des « portes dérobées » communément appelées backdoors14 ou du « chiffrement responsable »15. Ces pratiques sont de plus souvent tenues secrètes par des procédures bâillons16. De fait, il est malheureusement illusoire de penser que le seul fait que le logiciel soit à code ouvert est une garantie suffisante de protection des communications.

    Il est donc impératif de résister aux sirènes de l’identification systématique sur les pages et services en ligne. La plupart des contenus que vous consultez ne changent pas en fonction de votre identité. Ou ne devrait pas. Que je sois Arthur, Ahmed ou Amélie ne devrait pas changer le contenu d’un journal ou d’un livre que je consulte. Certes, une personne me connaissant pourra me recommander tel ou tel livre en fonction de mes goûts personnels, pour peu que je les partage avec elle, mais il me reste possible de prendre un média au hasard et son contenu sera le même pour moi que pour tous les autres. Ou devrait être le même. Les commentaires, idées, ou autre, que je produis et souhaite rendre publiques ne devraient pas être limités par l’accès aux seul·es membres d’un club privé et restreint, mais rendus disponibles à toute personne voulant les lires, les commenter, les critiquer ou les partager avec ses ami·es.

    Au-delà du simple contenu, la manière dont nos comportements transitent en ligne est aussi importante et est souvent associée à une identité. Les adresses IP, attribuées par des fournisseurs d’accès à Internet, ou les numéros IMEI de vos téléphones portables, très souvent associés à une déclaration d’identité, sont également utilisés pour faire du profilage (par exemple, bon nombre de publicités vous localisent géographiquement relativement précisément17).

    Il est donc fondamental, pour se réapproprier les moyens de production numérique, de se réapproprier nos collectifs et nos identités, de questionner les structures s’occupant de convoyer ces petits bouts de comportements d’un point à l’autre de la planète.

    Au plus bas niveau, cela peut être de créer ou de rejoindre un fournisseur d’accès à Internet associatif, comme l’un de ceux fédérés autour de la FFDN18. À un niveau plus élevé, il peut s’agir d’utiliser d’autres moyens de se connecter à Internet que de passer par la seule ligne fournie par votre fournisseur, en utilisant des protocoles de routage alternatif comme Tor ou GNUNet. Mais il est également de notre responsabilité à tou·tes de documenter nos usages, d’archiver nos luttes, de les partager et de les faire circuler. Sans que tout le monde ne devienne ingénieur·e en systèmes et réseaux, permettre à chacun·e de pouvoir accéder au contenu de la manière qui l·a protège le plus sans qu’iel n’ait à décliner son identité est fondamental.

    Les réflexions sur la gouvernance et l’Internet des protocoles doivent aussi s’inscrire dans une vision politique plus large. Par exemple, les archives de discussions d’il y a cinq ans sont-elles réellement nécessaires ? Et si oui, ne serait-il pas possible de les conserver sous la forme d’un texte de positionnement reprenant les éléments clefs de cette conversation, supprimant le nom des personnes qui ont tenu ces propos il y a cinq ans et permettant aux nouve·lles venu·es d’avoir la réponse à une question qu’iels auraient pu poser et rejouer de nouveau cette discussion ?

    À l’inverse, les conversations quotidiennes, qui font le sel du travail militant, qui nous permettent de tenir le coup, de veiller les un·es sur les autres, n’ont pas nécessité à être mises à disposition du public au-delà de l’intervalle de temps dans lequel elles prennent place. C’est le deuxième point important et nécessaire pour s’affranchir du contrôle des capitalistes identitaires. Il faut se poser la question de ce que l’on garde comme données, comme traces de comportement. Même les inscriptions aux casiers judiciaires sont censées être limitées dans le temps et avoir une date au-delà de laquelle on considère que la personne a suffisamment changé pour ne pas se voir chargée à vie de ses actions passées19. Même à des fins d’observation des comportements à l’échelle de la société, il est souvent bien plus efficace de ne conserver que des données dites consolidées, c’est à dire étant le résultat d’un traitement statistique, et non le détail de chaque donnée. Enfin, dans le cadre d’étude scientifique, notamment médicale, mais aussi sociologique, le consentement des personnes participant·es à cette étude est un préalable à toute forme de travail scientifique, il devrait en être de même pour l’analyse comportementale, expérimentale ou non.

    Distribuer la responsabilité de la gestion au plus grand nombre, se poser la question de la persistance des données et de l’accès à celles-ci sont les moyens par lesquels il devient possible de se réapproprier nos moyens de production culturelle et informationnelle, de reprendre le contrôle sur l’identité que nous voulons afficher auprès des autres. C’est aussi le meilleur moyen d’attaquer les GAFAM là où il sera possible de leur faire le plus de dégâts : le portefeuille. Si un Internet hors des plateformes se développe, alors ces entreprises n’auront plus la possibilité de toujours fournir plus de données aux États, brisant ainsi le cercle vicieux et la course à la plus grande quantité de comportements analysés et disséqués.

    References

    1 La Quadrature du Net, « Reconnaissance faciale au lycée : l’expérimentation avant la généralisation », 19 déc. 2018, https://www.laquadrature.net/2018/12/19/reconnaissance-faciale-au-lycee-lexperimentation-avant-la-generalisation/
    2 Jean-Muchel Décugis, « Paris : les goélands attaquent les drones de la police », 25 juin 2019, http://www.leparisien.fr/faits-divers/les-goelands-attaquent-les-drones-de-la-prefecture-de-police-de-paris-25-06-2019-8102361.php ; voir aussi une vidéo de La Quadrature « Comment lutter contre la surveillance en manif ? », https://video.lqdn.fr/videos/watch/b1f10929-b471-4caf-8fbe-5c8dade9142f
    3 Quand ils n’évitent pas tout bonnement le sujet où n’utilisent des tournures encore plus alambiquées.
    4 Hervé Chambonnière, « Palantir. La « boule de cristal » des services de police et de renseignement », 10 juin 2019 https://www.letelegramme.fr/france/palantir-la-boule-de-cristal-de-la-dgsi-10-06-2019-12307531.php
    5 Olivier Tesquet, « Amesys, cette société française qui aidait Kadhafi à surveiller les Libyens », 17 mars 2016 mis à jour le 1 fév. 2018, https://www.telerama.fr/medias/amesys-cette-societe-francaise-qui-aidait-kadhafi-a-surveiller-les-libiens,139820.php
    6 Nicholas Montegriffo, « Le créateur de l’Oculus Rift se joint au controversé Project Maven », 11 mars 2019 https://www.androidpit.fr/createur-oculus-rift-project-maven
    7 Autour d’un projet visant à établir les entreprises privées du secteur de la surveillance, Surveillance Industry Index, https://sii.transparencytoolkit.org/ et https://www.privacyinternational.org/explainer/1632/global-surveillance-industr
    8 Sylvqin, « P-Score : comment Youtube a noté les chaînes des créateurs (et a oublié de le cacher) », 1 nov. 2019, https://www.youtube.com/watch?v=PYrJq7r90Ao
    9 Benjamin Ferran, « Facebook, Google et la culture de l’excuse permanente », 5 oct. 2017, http://www.lefigaro.fr/secteur/high-tech/2017/10/05/32001-20171005ARTFIG00097-les-geants-de-la-tech-et-la-culture-de-l-excuse-permanente.php voir en ce sens 14 ans d’excuses de Facebook : Geoffrey A. Fowler Chiqui Esteban April, « 14 years of Mark Zuckerberg saying sorry, not sorry », 9 avril 2018, https://www.washingtonpost.com/graphics/2018/business/facebook-zuckerberg-apologies
    10 Comme cela peut être détaillé dans la brochure « Parlons de Signal », 29 juil. 2019, https://iaata.info/Parlons-de-Signal-3517.html
    11 Et ce sans cadre légal spécifique, voir aussi Léa Sanchez, « Après les « gilets jaunes », les services de renseignement veulent mieux anticiper les mouvements sociaux », 18 juil. 2019, https://www.lemonde.fr/societe/article/2019/07/18/les-services-de-renseignement-veulent-mieux-anticiper-les-mouvements-sociaux_5490588_3224.html
    12 Olivier Clairouin et Martin Vidberg, « Comment les métadonnées permettent de vous surveiller (expliqué en patates) », 1 juil. 2015, https://www.lemonde.fr/pixels/video/2015/06/15/comment-les-metadonnees-permettent-de-vous-surveiller-explique-en-patates_4654461_4408996.html
    13 Okhin – La Quadrature du Net, « De la modération », 22 juil. 2019, https://www.laquadrature.net/2019/07/22/de-la-moderation/
    14 Une porte dérobée est une fonctionnalité cachée et inconnue des utilisat·rices d’un outil informatique permettant aux personnes qui l’ont introduite de prendre contrôle de tout ou partie de cet outil souvent au détriment de ses utilisat·rices (par exemple pour les espionner ou pour installer d’autres logiciels sur l’ordinateur), pour plus de détails voir par exemple : la page https://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e ou https://www.panoptinet.com/culture-cybersecurite/cest-quoi-un-backdoor-porte-derobee.html
    15 Qui est en réalité totalement irresponsable, ouvrant une porte dérobée permettant le déchiffrement des contenus sans que la personne ne le souhaite remettant en cause toute la sécurité du dispositif, pour plus d’explications : Yves Grandmontagne, « ‘Chiffrement responsable’ : les irresponsables des backdoors », 20 nov. 2017 https://itsocial.fr/enjeux/securite-dsi/cybersecurite/chiffrement-responsable-irresponsables-backdoors/
    16 Weronika Zarachowicz, « Comprendre les procédures-bâillons : le stade ultime de l’intimidation judiciaire », 16 mai 2017 mis à jour le 1 fév. 2018, https://www.telerama.fr/monde/comprendre-les-procedures-baillons-le-stade-ultime-de-l-intimidation-judiciaire,158229.php
    17 Voir par exemple, Julie rédactrice chez Tactill, « Les meilleurs outils pour une publicité géolocalisée », 5 déc. 2017, https://www.tactill.com/blog/les-meilleurs-outils-pour-une-publicite-geolocalisee/
    18 Fédération des Fournisseurs d’Accès Internet Associatifs, https://www.ffdn.org/
    19 Malheureusement ces délais en plus d’être très longs ne sont pas toujours très bien respectés.
    ]]>
    Contre les technocrates et les oligopoles, démocratiser les télécomshttps://www.laquadrature.net/?p=16644http://streisand.me.thican.net/laquadrature.net/index.php?20201214_135812_Contre_les_technocrates_et_les_oligopoles__democratiser_les_telecomsMon, 14 Dec 2020 12:58:12 +0000Alors que le déploiement de la 5G suscite une large opposition populaire, La Quadrature du Net et la Fédération FDN des fournisseurs d’accès associatifs (FFDN) interpellent aujourd’hui les responsables publics français. L’enjeu ? Œuvrer à la démocratisation des politiques dans le secteur des télécoms. Comment ? En favorisant le développement de réseaux construits et gérés par et pour la population.

    Il y a près de deux ans, La Quadrature se battait aux côtés des opérateurs télécoms associatifs de la Fédération FDN et de nombreux autres « réseaux communautaires » à travers le monde pour porter une revendication simple : démocratiser les télécoms. Et pour ce faire, favoriser le développement d’infrastructures gérées en bien commun par des opérateurs alternatifs plutôt que d’inféoder la régulation des télécoms aux intérêts d’une poignée d’industriels. Nous avons même obtenu quelques avancées, à la fois modestes et historiques, encourageant le développement des réseaux communautaires (dont on pourrait dire, par analogie avec l’agriculture, qu’ils sont un peu les AMAP du numérique). Pourtant, bien qu’inscrites dans le Code des communications électroniques européen adopté fin 2018 au niveau de l’Union européenne, ces dispositions se heurtent aujourd’hui à l’indifférence totale des responsables publics.

    Après le piteux lancement de la 5G, décidé en haut lieu et imposé brutalement en dépit d’oppositions légitimes, il nous a semblé utile de les remettre sur la table. Car si les responsables publics, à l’image du président sortant de l’Arcep Sébastien Soriano, se plaisent à disserter sur les « biens communs » et à dénoncer les dérives du capitalisme numérique, les actes concrets se font cruellement attendre. On se paie de belles paroles, mais en réalité rien ne change. À travers ce « commonswashing », on tente de légitimer des politiques conçues pour servir les intérêts du cartel de multinationales qui domine aujourd’hui le secteur, et redonner un peu de panache à la vision industrielle éculée des quelques technocrates qui pilotent ces dossiers. Mais, en pratique, personne n’est vraiment dupe : c’est business as usual.

    Alors que le gouvernement finalise la transposition du Code des communications électroniques européen par voie d’ordonnance, et tandis que l’Arcep devrait rendre un avis sur ce projet de transposition, nous publions aujourd’hui des lignes directrices favorables au développement d’opérateurs alternatifs – c’est-à-dire opérant sur un modèle coopératif ou, comme la Fédération FDN, sur un mode associatif. Fruit du travail commun de dizaines de réseaux communautaires à travers l’Europe, elles ont été publiées dès 2017 et, pour certaines d’entre elles, reprises par le Parlement européen afin de les inscrire dans le code européen des télécoms. Nous les présentons aujourd’hui dans une version traduite et mise à jour qui prend en compte l’évolution du cadre réglementaire intervenue depuis lors.

    Alors que le Parlement français sera bientôt saisi de l’ordonnance de transposition du code européen des télécoms, et tandis que de nombreux responsables publics – y compris des élus locaux – s’interrogent sur la crise de légitimité qu’affrontent les politiques dans le domaine du numérique, nous entendons ainsi rappeler que des solutions concrètes se construisent « par en bas », et qu’il est grand temps de leur accorder la reconnaissance qu’elles méritent. Et ce d’autant plus que, désormais, le cadre réglementaire européen y oblige.

    Plutôt qu’une course effrénée à l’innovation industrielle, plutôt que la surenchère technologique et la fuite en avant de la surveillance, ces initiatives citoyennes montrent qu’il est possible de construire des réseaux simples et résilients, adaptés aux besoins et aux valeurs de leurs usagers, mais aussi respectueux de leurs droits. Pour ainsi reconstruire une maîtrise démocratique des infrastructures télécoms.

    Télécharger les Lignes directrices pour le développement des réseaux communautaires.

    ]]>
    « Safe City » de Marseille : on retourne à l’attaquehttps://www.laquadrature.net/?p=16607http://streisand.me.thican.net/laquadrature.net/index.php?20201210_095702_____Safe_City_____de_Marseille____on_retourne_a_l___attaqueThu, 10 Dec 2020 08:57:02 +0000MAJ du 11 décembre : Premier bout de victoire, la ville annonce avoir « suspendu » le projet. Nous attendons la résiliation du contrat.

    Nous repartons à l’attaque contre la « Safe City » de Marseille. Le projet de vidéosurveillance automatisée, que nous avions déjà essayé d’attaquer sans succès en janvier dernier, est en effet toujours d’actualité, et ce malgré le changement de majorité à la mairie et les critiques de la CNIL. Nous déposons donc un nouveau recours devant le tribunal administratif de Marseille pour stopper ce projet dangereux et illégal – alors que la loi « Sécurité Globale » discutée au Parlement cherche justement à faciliter l’analyse algorithmique des images de vidéosurveillance. L’enjeu est aussi de créer une jurisprudence capable d’entraver des projets similaires en cours dans d’autres villes françaises, comme à Paris, Toulouse, Nice, Lille ou encore Valenciennes.

    En janvier dernier, dans le cadre de notre campagne Technopolice, nous attaquions le projet de vidéosurveillance automatisée de la ville de Marseille, alors dirigée par Jean-Claude Gaudin épaulé par son adjointe à la sécurité, Caroline Pozmentier.

    En novembre 2018, la ville avait en effet signé avec la société SNEF un contrat pour installer un dispositif de « vidéoprotection intelligente ». Ce dispositif doit, selon eux, permettre de pallier au fait que les opérateurs humains ne peuvent pas visualiser l’ensemble des images issues des caméras et que l’aide d’un logiciel leur serait nécessaire. Une justification qui marche sur la tête : alors que l’utilité de la vidéosurveillance est toujours aussi contestée, on continue pourtant à multiplier les caméras dans nos rues, jusqu’à remplacer les opérateurs humains dépassés par des machines supposément toutes-puissantes.

    Technopolice marseillaise

    Parmi les fonctionnalités envisagées de ce dispositif à Marseille, on trouve la détection automatique de graffitis, de destruction de mobilier urbain, la possibilité de rechercher dans les archives de vidéosurveillance par filtre de photos ou de « description », la détection sonore de coups de feu ou d’explosions, la « reconstitution d’évènements » (comme le parcours d’un individu) ou la détection de « comportements anormaux » (bagarre, maraudage, agression).

    Derrière la technicité des termes utilisés, le projet ressemble parfaitement à ce que l’on voit se multiplier un peu partout en France, discrètement depuis plusieurs années : le déploiement de nouvelles technologies visant à décupler les pouvoirs de surveillance de la police grâce aux avancées de l’analyse algorithmique. Reconnaissance faciale oui, mais pas seulement : « tracking » de personnes, détection de comportements suspects, analyse de foule… Et depuis la crise sanitaire : caméras thermiques, détection du port de masque ou calcul de distance physique.

    Le projet de Marseille est d’ailleurs directement lié aux projets que nous avons dénoncé dans notre campagne. La société SNEF, qui a eu le marché en 2018, admet elle-même sur sa brochure commerciale être liée à d’autres entreprises de surveillance, en premier lieu la société israélienne Briefcam (voir d’ailleurs l’article d’EFF ici), l’entreprise canadienne Genetec ou le français Evitech : des entreprises qui développent toutes des produits illégaux de surveillance à destination des collectivités.

    Ces dispositifs, couplés à l’augmentation du nombre de caméras, permettent une surveillance totale de notre espace urbain et nous réduisent à une société de suspects, traqués et identifiés identifiés en permanence. C’était donc l’objectif de notre premier recours en janvier dernier : lutter contre le développement de cette Technopolice en dénonçant son illégalité.

    Une opacité qui empêche d’agir en justice

    Nous avons néanmoins perdu ce premier contentieux. Non pas pour une raison de fond concernant le système mis en place par Marseille, mais pour une raison purement procédurale. Alors que nous attaquions la décision de la ville de mettre en place le dispositif, le tribunal a rejeté notre requête en considérant que nous aurions dû attaquer le contrat signé entre Marseille et la SNEF. C’est ce que nous faisons donc aujourd’hui en demandant la résiliation de ce marché.

    Cette première défaite en mars est loin d’être anodine : elle révèle la difficulté à contester devant les tribunaux la mise en place des systèmes de vidéosurveillance automatisée. De tels systèmes ne font en effet que très rarement l’objet de décisions administratives publiques (et facilement attaquables) mais sont plutôt organisés autour de décisions non publiées ou de marchés publics moins médiatisés, plus compliqués aussi à attaquer.

    Si nous avons pu avoir connaissance du projet de Marseille, c’est parce qu’il a fait l’objet d’un appel d’offre spécifique. La plupart du temps, ils sont englobés dans d’autres marchés, plus généraux, sur la sécurité publique ou la vidéosurveillance, ou dans des contrats pluriannuels passés avec de grosses entreprises, où aucune publication n’est nécessaire si la ville décide d’installer un jour un logiciel d’analyse algorithmique. Nous avons récemment écrit au ministère de l’Intérieur pour tenter de trouver des solutions face à cette opacité organisée, mais nos demandes et relances sont restées à ce jour sans réponse.

    Gaudin et Rubirola, même combat

    Autre point important : la mairie de Marseille n’est plus dirigée aujourd’hui par la même équipe que celle qui avait signé en 2018 le contrat. Ainsi, on a pu espérer un instant que la liste du Printemps marseillais abandonne le contrat au vu de ses positions sur la défense des libertés. En mars 2020, durant la campagne des municipales, il avait répondu favorablement à notre lettre ouverte demandant un moratoire sur les projets technopoliciers à Marseille. L’équipe de campagne nous avait également contacté pour nous signifier leur intérêt de notre manifeste contre la Technopolice. Dès la victoire aux municipales, en juillet dernier, il avait été question d’un « moratoire » sur la vidéosurveillance. Plus récemment encore, nombre des partis auxquels appartiennent certains cadres de l’administration marseillaise ont signifié leur opposition à la loi « Sécurité Globale » et à ses objectifs d’intensifier la vidéosurveillance sur le territoire. Des élus du Printemps Marseillais se sont également montrés aux côtés des manifestants sur le Vieux-Port le 28 novembre dernier.

    Hélas, comme nous l’avons dénoncé à l’occasion de cette manifestation, cela fait six mois que cette nouvelle liste est au pouvoir et les actes concrets se font toujours attendre. L’idée de « moratoire » semble même avoir disparu. Lors du dernier conseil municipal (voir page 172), il est maintenant fait état d’un « déploiement (…) contenu » des caméras pour atteindre le nombre de 1500 sur le territoire communal. Et même si l’on parle d’un « bilan et une évaluation complète du dispositif », la collectivité a tenu à souligner que pour « assurer la continuité du fonctionnement des équipements actuels, le lancement d’une nouvelle procédure de marché public est nécessaire ». On est bien loin d’un moratoire ou d’un audit citoyen, auxquels le Printemps Marseillais s’était pourtant engagé. Quant à l’arrêt définitif du projet d’observatoire Big Data de la tranquillité publique — un prototype de police prédictive — et de l’expérimentation de la vidéosurveillance automatisée, les nouveaux élus marseillais ne semblent pas même au fait de ces dossiers.

    Ainsi, s’agissant de la vidéosurveillance automatisée fournie par la SNEF, le marché public semble toujours bien en place, comme l’attestent d’ailleurs les documents que nous avons obtenus et qui concernent les échanges entre la mairie et la CNIL. En septembre dernier, l’autorité de protection des données personnelles livrait ainsi une sévère critique de « l’analyse d’impact » réalisée à la va-vite par la ville de Marseille suite à notre recours en référé de l’hiver dernier. La CNIL évoque notamment des finalités imprécises et les justifications insuffisantes avancées par la mairie pour justifier au plan juridique le déploiement de ce nouvel outil de surveillance. Ces critiques n’ont pourtant pas suffit à mettre un coup d’arrêt au projet.

    Tandis que les nouvelles majorités municipales oublient déjà leurs promesses électorales et semblent incapables d’aller à contre-courant des dogmes sécuritaires, nous les attaquons pour les rappeler au strict respect du cadre légal.

    ]]>
    Décrets PASP : fichage massif des militants politiqueshttps://www.laquadrature.net/?p=16593http://streisand.me.thican.net/laquadrature.net/index.php?20201208_171957_Decrets_PASP____fichage_massif_des_militants_politiquesTue, 08 Dec 2020 16:19:57 +0000Après la loi sécurité globale et la loi séparatisme, le gouvernement poursuit son offensive généralisée visant à museler toute opposition politique. Mercredi dernier, les trois fichiers de « sécurité publique » (PASP, GIPASP et EASP) ont été largement étendus par trois décrets (ici, ici et ). Ils permettront le fichage massif de militantes et militants politiques, de leur entourage (notamment de leurs enfants mineurs), de leur santé ou de leurs activités sur les réseaux sociaux. Malgré ses moyens limités, La Quadrature du Net n’entend pas se faire prendre de vitesse par cette offensive généralisée. Elle contestera ces décrets non seulement dans la rue, chaque samedi au sein de la coordination contre la loi sécurité générale, mais aussi en justice, devant le Conseil d’État.

    Historique

    En 2008, la DST et les RG ont été supprimés et leurs missions ont été partagées entre la DCRI (maintenant DGSI, la direction générale de la sécurité intérieure) et la DGPN (direction générale de la police nationale). Les fichiers des anciens services ont été partagés entre la DCRI (qui les a récupérés dans le fichier CRISTINA) et la DGPN (dans un fichier alors nommé EDVIGE). Une mobilisation historique sur l’étendue trop importante des informations contenues dans EDVIGE avait forcé le gouvernement a retirer le décret qui l’autorisait.

    En 2009, le gouvernement revient avec deux fichiers distincts qui tentent de corriger les pires reproches faits à EDVIGE (tel que le fait de ficher les « opinions politiques », des données de santé ou des enfants). Les deux fichiers sont le fichier des enquêtes administratives (EASP) et le fichier de prévention des atteintes à la sécurité publique (le PASP), tous deux gérés par la police. En 2011 est créé le GIPASP, l’équivalent du PASP pour la gendarmerie.

    Un rapport de 2018 permet de bien saisir le fonctionnement de ces fichiers de renseignement : en 2017, le PASP comportait 43 446 notes sur des individus, répartis autour d’une demi-douzaine de thèmes qu’on pourrait résumer ainsi :

    • manifestations illégales ;
    • violences et dégradations liées à des contestations idéologiques ;
    • violence et vandalisme lors de manifestations sportives ;
    • violences liées aux économies souterraines ;
    • discours prônant la haine, agressions, stigmatisations envers certaines communautés ;
    • radicalisation, prosélytisme virulent, velléités de départ à l’étranger en zone de combat ;
    • pressions sectaires.

    Ces notes pouvaient contenir des informations particulièrement détaillées : profession, adresses physiques, email, photographies, activités publiques, comportement, déplacements…

    Fichage généralisé des manifestants

    Jusqu’à présent, les fichiers de renseignement de la police (PASP) et de la gendarmerie (GIPASP) ne concernaient que des personnes physiques considérées comme dangereuses par les autorités. Nouveauté importante : depuis la semaine dernière, les fichiers pourront aussi concerner des personnes morales ou des « groupements ». On imagine qu’il s’agira d’associations, des groupes Facebook, de squats, de ZAD ou même de manifestations.

    Si une fiche est ouverte pour une manifestation, le PASP et le GIPASP permettent aussi de lister les personnes « entretenant ou ayant entretenu des relations directes et non fortuites » avec ce « groupement ». Jusqu’à présent, les fiches du PASP et du GIPASP ne pouvaient lister l’entourage des « personnes dangereuses » que de façon succincte, sur la fiche principale de la personne dangereuse. Désormais, si la police le juge nécessaire, chaque membre de l’entourage pourra avoir une fiche presque aussi complète que celle des personnes dangereuses (activités en ligne, lieux fréquentés, mode de vie, photo…).

    Ces deux évolutions semblent officialiser une pratique (jusqu’alors illégale) qui commençait à apparaître dans le rapport de 2018 précité : « certaines notes se bornent à faire état de faits collectifs, notamment pour les phénomènes de bande ou les manifestations, avec une tendance à inclure dans le traitement toutes les personnes contrôlées ou interpellées alors qu’il n’est fait état dans la note d’aucun fait personnel qui leur est reproché ». C’est ainsi l’ensemble des participants (« ayant entretenu une relation directe et non fortuite ») à une manifestation (« groupement » considéré comme dangereux) qui pourraient se voir attribuer une fiche particulièrement détaillée sur la base d’informations obtenues par la police sur le terrain (vidéo captées par drones et caméra mobile, par exemple) ou sur les réseaux sociaux.

    Fichage automatisé

    Les trois décrets augmentent considérablement la variété et l’ampleur des informations pouvant être enregistrées. Sont visées les « habitudes de vie » et les « activités en ligne ». Dans son avis préalable, la CNIL souligne que « l’ensemble des réseaux sociaux est concerné », « les données sont à ce titre collectées sur des pages ou des comptes ouverts » et « porteront principalement sur les commentaires postés sur les réseaux sociaux et les photos ou illustrations mises en ligne ». Une forme de surveillance devenue monnaie courante à défaut d’être encadrée dans la loi, et d’autant plus dangereuse qu’elle peut facilement être automatisée.

    Inquiète, la CNIL demandait à « exclure explicitement la possibilité d’une collecte automatisée de ces données ». Le gouvernement a refusé d’ajouter une telle réserve, souhaitant manifestement se permettre de telles techniques, qu’il s’est déjà autorisé en d’autres matières (voir notre article en matière de surveillance fiscale).

    Opinions politiques et données de santé

    Les notes individuelles peuvent désormais contenir des informations qui relèvent « des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale » là où, avant, seules pouvaient être enregistrées des informations se rattachant à « des activités politiques, philosophiques, religieuses ou syndicales ».

    S’agissant des personnes considérées comme dangereuses, le fichier pourra désormais recueillir des données de santé supposées « révéler une dangerosité particulière » : « addictions », « troubles psychologiques ou psychiatriques », « comportement auto-agressif ». La CNIL souligne qu’il ne s’agira pas d’une information « fournie par un professionnel de santé [mais] par les proches, la famille ou l’intéressé lui-même ». Difficile de comprendre en quoi la police aurait besoin d’une telle variété de données aussi sensibles, si ce n’est pour faire pression et abuser de la faiblesse de certaines personnes.

    Fichage des victimes et des enfants

    Autre débordement : le PASP et le GIPASP peuvent désormais contenir des fiches détaillées sur les « victimes » des personnes considérées comme dangereuses (sans que cette notion de « victime » ne renvoie à une notion pénale, étant interprétée librement par les agents).

    Encore plus grave : alors que, depuis leur origine, le PASP et le GIPASP interdisaient de ficher des enfants de moins de 13 ans, les nouveaux décrets semblent désormais indiquer que seuls les mineurs considérés comme dangereux bénéficieront de cette protection d’âge. Ainsi, en théorie, plus rien n’empêche la police d’ouvrir une fiche pour un enfant de 5 ans ou de 10 ans se trouvant dans l’entourage d’une personne considérée comme dangereuse ou parce qu’il se trouvait dans une manifestation qui a dégénéré.

    Recoupement de fichiers

    Le rapport de 2018 précité explique que « l’accès à l’application PASP se fait par le portail sécurisé « CHEOPS » qui permet de donner accès, sous une même configuration, à différentes applications de la police nationale [et qui] dispose d’une fonctionnalité originale, en cours d’enrichissement par des développements complémentaires. Il s’agit d’une gestion de liens pertinents entre individus du fichier qui aboutit à élaborer graphiquement des sociogrammes (leader d’un groupe, membres du groupe, antagonistes…) ».

    Cette constitution de graphes sociaux fait directement écho à l’entourage des « groupements » décrit plus haut. Mais ce commentaire renvoie aussi à une autre réalité, décrite par la CNIL dans son avis préalable : de nombreuses catégories d’informations comprises dans les trois fichiers « seront alimentées manuellement par d’autres traitements » – les agents nourriront les fichiers PASP, GIPASP et EASP en allant manuellement chercher des informations dans d’autres fichiers. Pour leur faciliter le travail, les nouveaux décrets prévoient que les notes individuelles mentionneront si la personne concernée est aussi fichée dans l’un des 5 autres grands fichiers de police (TAJ, N-SIS II, fichier des personnes recherchées, FSPRT, fichiers des objets et véhicules volés ou signalés).

    Reconnaissance faciale

    Autre nouveauté facilitant considérablement le recoupement des fichiers : les décrets prévoient que le PASP, le GIPASP et l’EASP participent non seulement à la sécurité publique, mais désormais aussi à la « sûreté de l’État », qui est définie comme recouvrant les « intérêts fondamentaux de la Nation ». Il s’agit d’une notion très large, que la loi renseignement de 2015 a défini comme couvrant des choses aussi variées que « les intérêts économiques et industrielles majeurs de la France », le respect des engagements internationaux pris par la France ou la lutte contre les manifestations non-déclarées et les attroupements. Un des intérêts de cette notion juridique est de donner accès aux photographies contenues dans le fichier TES, destiné à centraliser les photos de tout détenteur de passeport et de carte d’identité. Une fois obtenues, les photographies pourront être ajoutées au PASP ou au GIPASP et, pourquoi pas, aussi au TAJ, où elles pourront être analysées par reconnaissance faciale (dispositif que nous avons déjà attaqué devant les tribunaux).

    D’ailleurs, les décrets de la semaine dernière ont pris le soin de supprimer la mention qui, depuis leur origine, précisait que le PASP comme le GIPASP « ne comporte pas de dispositif de reconnaissance faciale ». En lisant l’avis de la CNIL, on comprend que le projet initial prévoyait carrément d’ajouter un nouveau dispositif de reconnaissance faciale dans le PASP et le GIPASP, afin d’identifier automatiquement les fiches correspondant à la photographie d’une personne : « l’interrogation par la photographie doit constituer une nouvelle possibilité d’interrogation du traitement (à l’instar du nom) […] aux fins de déterminer si la personne dont la photographie est soumise figure déjà dans le traitement ». Ce nouveau système n’apparaît plus dans les décrets publiés, le gouvernement ayant sans doute préféré créer des ponts entre les différents dispositifs existants plutôt que de déployer une nouvelle infrastructure complexe. Ou peut-être a-t-il simplement préféré remettre à plus tard la légalisation de cette fonctionnalité controversée.

    Conclusion

    Alors que la loi sécurité globale autorise des techniques de captation d’informations en masse (drones et caméras piétons), ces trois nouveaux décrets concernent la façon dont ces informations pourront être exploitées et conservées, pendant 10 ans. Si, via la loi sécurité globale, tous les manifestants pourront être filmés en manifestation et que, via le fichier TAJ, une grande partie d’entre eux pourra être identifiée par reconnaissance faciale, le PASP et le GIPASP leur a déjà préparé une fiche complète où centraliser toutes les informations les concernant, sans que cette surveillance ne soit autorisée ni même contrôlée par un juge.

    L’ensemble de ce système, aussi complexe qu’autoritaire, poursuit l’objectif décrit dans le récent livre blanc de la sécurité intérieure : faire passer la surveillance policière à une nouvelle ère technologique avant les JO de 2024. Nous préparons notre recours pour contester la validité de ces décrets devant le Conseil d’État et serons samedi 12 décembre dans la rue, comme tous les samedis désormais, pour lutter contre le fichage généralisé et la surveillance des manifestants.

    ]]>
    Contre les futurs sécuritaires, faites un don à La Quadraturehttps://www.laquadrature.net/?p=16500http://streisand.me.thican.net/laquadrature.net/index.php?20201207_101200_Contre_les_futurs_securitaires__faites_un_don_a_La_QuadratureMon, 07 Dec 2020 09:12:00 +0000

    Futur et sécurité.

    Nos dirigeants et leur armée d’industriels n’ont que ces mots à la bouche. Ils prétendent nous guider tels des prophètes vers ce futur auquel, paraît-il, on n’échappera pas, parce que ce serait pour notre bien. Ce futur qu’ils nous promettent c’est celui de la surveillance biométrique, des drones et des caméras partout.

    « Expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent » déclarait notre secrétaire d’État chargé du numérique. De toute façon, comme toutes les autres technologies de surveillance, « la reconnaissance faciale ne peut être désinventée » ; alors à quoi bon s’y opposer ?

    Prétendre que le futur est tracé de manière immuable et nier son caractère politique, c’est le meilleur moyen de se dédouaner, de s’ôter la culpabilité de transformer nos villes en Technopolice, en laissant nos vies exsangues de libertés.

    La Quadrature du Net refuse ce futur.

    Nous nous battrons pour choisir notre futur. Nous nous battrons pour que les machines et techniques servent les habitants des villes et de la Terre. Qu’elles ne nous soient plus imposées, qu’elle ne servent plus à nous faire taire et à nous contrôler. Rejoignez-nous dans ce combat. Soutenez La Quadrature du Net.

    POURQUOI DONNER À LA QUADRATURE ?

    Pour faire le travail qui est le sien, l’association a une fantastique équipe de membres bénévoles, mais elle a besoin d’une équipe salariée. Elle se finance grâce à vos dons.
    L’association ne touche aucun argent public, mais elle touche des subventions de la part de deux fondations philanthropiques, OSF et FPH, à hauteur de 25 % de son budget.
    Tout le reste provient de la générosité des personnes qui estiment que nos droits et nos libertés doivent être défendues sans relâche.

    COMMENT DONNER ?

    Vous pouvez faire un don par CB, ou bien par chèque, par virement ou en crypto-monnaie.
    Et si vous pouvez faire un don mensuel — même un tout petit ! — n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, les dons mensuels nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
    En plus, le cumul de vos dons vous donne droit à des contreparties (sac, t-shirt, hoodie, etc.)

    DE NOUVEAUX PALIERS POUR LES CONTREPARTIES

    Les paliers qui donnent accès aux contreparties ont changé l’année dernière. Ils ont augmenté (c’est rarement dans l’autre sens…) pour s’adapter aux coûts de la fabrication et de l’expédition.
    Dorénavant, il faudra cumuler 42 € de dons pour recevoir un piplôme, 64 € pour un sac (+piplôme), 128 € pour un t-shirt (+piplôme+sac), et 314 € pour un hoodie (+piplôme+sac+t-shirt).
    Attention, l’envoi n’est pas automatique, il faut faire la demande sur votre page personnelle de donateur.
    Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et parce qu’on fait tout ça nous-mêmes avec nos petites mains. Mais elles finissent toujours par arriver !
    Merci encore pour votre générosité, et merci beaucoup pour votre patience <3

    À QUOI SERVENT VOS DONS ?

    Tout simplement à faire exister l’association. La Quadrature du Net emploie actuellement une équipe de six salarié·es à plein temps. C’est encore trop peu, pour tout le boulot à abattre. Quand on en parle avec nos collègues à l’étranger, l’étonnement est toujours le même : « Vous êtes aussi peu nombreux pour faire tout ça ? ». Oui, on est aussi peu nombreux, même en comptant les membres bénévoles, et non, on n’a pas le temps de s’ennuyer…
    En 2020, vos dons nous ont permis de récolter 217 000 €. Nos dépenses pour l’année se montent à 195 000 €. Pour l’année qui vient, nous nous fixons un objectif de 240 000 € de dons, avec l’espoir de pouvoir embaucher une personne supplémentaire dans l’équipe.
    Les dons recueillis servent principalement à payer les salaires des permanents (79 % des dépenses). Le restant couvre le loyer et l’entretien du local, les déplacements en France et à l’étranger (en train uniquement) et les divers frais matériels de l’activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).
    Quand on ventile toutes les dépenses (salaires inclus) sur nos campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :

    ]]>
    Les couts sociétaux de la publicité en lignehttps://www.laquadrature.net/?p=16252http://streisand.me.thican.net/laquadrature.net/index.php?20201206_100200_Les_couts_societaux_de_la_publicite_en_ligneSun, 06 Dec 2020 09:02:00 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    (Re)définir la publicité

    La page Wikipédia la concernant est éloquente, elle commence ainsi « La publicité est une forme de communication de masse, dont le but est de fixer l’attention d’une cible visée (consommateur, utilisateur, usager, électeur, etc.) afin de l’inciter à adopter un comportement souhaité  : achat d’un produit, élection d’une personnalité politique, incitation à l’économie d’énergie, etc. »1. Elle ne s’éloigne pas des définitions plus classiques où l’on retrouve toujours le fait « d’inciter », de « promouvoir », « d’exercer sur le public une influence, une action psychologique afin de créer en lui des besoins, des désirs »2

    Il est important de poser ces définitions pour sortir des chaussetrappes où la publicité serait entendue, dans son sens étymologique, comme le fait de rendre quelque chose « public », de le faire connaitre et serait assimilée à de la simple communication, voire à de l’information du public. Non, la publicité n’est pas là pour échanger ni pour informer, elle est là pour inciter. Elle agit sur nos schémas cognitifs, nos pensées et nos rêves, sur nos « temps de cerveaux disponibles »3 pour les modifier, majoritairement dans des logiques de consommation commerciale voire de propagande politique.
    Ainsi, une personne qui tire des revenus de la publicité tire des revenus de la modification des processus cognitifs des individus et donc quasi systématiquement de leurs manipulations dans des actes de consommation potentiellement inutiles et néfastes.

    Le deuxième point important à rappeler est que la publicité ne crée pas en soi de valeur et toute l’énergie qui y est investie peut être perçue comme gaspillée. Elle est susceptible de créer des besoins ou peut réorienter des pratiques, mais cela sans faire appel à des choix conscients ou informés. Elle joue sur les désirs, sur les fonctionnements cognitifs, sur nos peurs, etc. 
    À l’échelle sociétale, la publicité est un surcout de paiement. On subit la publicité dans la rue comme sur Internet et on paye ces influences mentales, majoritairement non souhaitées, quand on achète un bien ou un service.
    La publicité est donc payée aussi bien cognitivement que monétairement.

    Une définition sarcastique en creux de la publicité pourrait donc être : le symptôme d’une société malade qui paye une industrie parasite pour se faire manipuler.

    Pour en résumer brièvement quelques-uns, la publicité a pour cout sociétaux :

    • La modification des comportements orientée par des logiques mercantiles et adressée surtout aux personnes qui sont les plus vulnérables à ces influences, et notamment aux enfants ;
    • La création de besoins et les conséquences notamment environnementales et sociales qui les accompagnent, par la surconsommation de biens (nouvel ordiphone, voiture…) ;
    • Des utilisations à des fins de propagande politique et donc de perversion de l’idéal des logiques démocratiques ;
    • Des liens de contrôle des médias, dont les informations seront influencées par ce lien de dépendance4 ;
    • La construction ou la reproduction de normes sociales par des pratiques de communication de masse qui viennent influencer et polluer nos imaginaires.

    Malheureusement, la publicité a trouvé avec Internet un terrain de jeu sans égal qui n’a fait que renforcer ses conséquences.

     

    Le modèle publicitaire, le péché originel d’Internet

    Internet n’a pas été pensé et spécialement conçu pour des pratiques économiques. Facilité de transmission de l’information et de son partage, pratiques décentralisées, numérisation des contenus et une reproduction à cout marginal… En dehors des couts d’accès à Internet qui étaient eux onéreux (matériel informatique et abonnements liés au débit), la navigation en ligne et même les premiers services numériques ne requéraient aucun paiement. Les premiers temps d’Internet témoignent ainsi de nombreuses pratiques bénévoles, amatrices, libres, d’expérimentation, de partage, etc. un certain idéal paradisiaque5 pour nombre des premiè·res internautes. La déclaration d’indépendance du cyberespace6 de John Perry Barlow témoigne de cet enthousiasme et on peut pourtant voir un certain tournant symbolique dans le fait qu’elle ait été réalisée dans le cadre du Forum économique mondial de Davos.
    Les entreprises ont ensuite saisi l’importance de ce nouveau média et ont commencé à l’investir. Elles se sont toutefois confrontées à un problème : un rejet majeur de toute possibilité de paiement en ligne dû aussi bien à des craintes (plutôt justifiées) liées à la sécurité des données bancaires, mais aussi, et surtout, à des pratiques déjà ancrées d’accès gratuit. Pourquoi payer pour une information alors qu’elle est déjà présente en accès libre sur un autre site ? Pourquoi débourser une somme pour un service alors que tel prestataire me l’offre « gratuitement » ?
    Assez naturellement de nombreuses personnes se sont tournées vers la publicité pour obtenir des revenus en ligne, le modèle était connu et malgré quelques premières réticences des annonceurs les audiences étaient en pleine croissance et ils se sont ainsi laissés convaincre.
    Le développement de la publicité sur Internet n’a pas été exempt de tout heurt, le tout premier mail publicitaire (spam) en 1978 a, par exemple, connu une vive réaction d’indignation.7 De la même façon, les bloqueurs de publicité, petits outils qui bloquent techniquement les différents affichages publicitaires sont apparus et ont été rapidement adoptés au moment où la publicité a commencé à inonder de nombreux sites pour maximiser les « impressions publicitaires ». L’invasion publicitaire est devenue trop forte et les internautes avertis se protègent ainsi des multiples « popups », affichages conduisant vers des sites malveillants, renvois et rechargements intempestifs, etc.

    Le déluge publicitaire a envahi ce « paradis » et l’a durablement déséquilibré. La gratuité bénévole et altruiste des débuts a été remplacée par une apparence de gratuité. Rares sont les services en ligne (et très spécifiques) qui réussissent, même aujourd’hui, à obtenir un paiement direct de la part de leurs utilisateurs-clients face à la distorsion de concurrence induite par ce trou noir de la gratuité publicitaire et l’exploitation des biais psychologiques des utilisateurs-produits par la publicité.

    Cela a pu faire dire à Ethan Zuckerman, chercheur sur les questions touchant aux libertés à l’ère du numérique et activiste, mais qui a également participé à la création du popup publicitaire : « L’état de déchéance de notre internet est une conséquence directe, involontaire, de choisir la publicité comme modèle par défaut pour les contenus et services en ligne. »8
    Ce noir constat s’appuie aussi sur les conséquences de la deuxième vague du développement publicitaire en ligne : la publicité « ciblée ».

    Les dérives illégales de la surveillance publicitaire

    Citant Ethan Zuckerman, Hubert Guillaud résume ainsi les conséquences néfastes de la publicité en ligne9 :

    • « La surveillance et le développement de la surveillance (comme le dit Bruce Schneier, la surveillance est le modèle d’affaires d’internet 10 ;
    • Le développement d’une information qui vise à vous faire cliquer, plutôt qu’à vous faire réfléchir ou à vous engager en tant que citoyens ;
    • Le modèle publicitaire favorise la centralisation pour atteindre un public toujours plus large. Et cette centralisation fait que les décisions pour censurer des propos ou des images par les entreprises et plates-formes deviennent aussi puissantes que celles prises par les gouvernements :
    • Enfin, la personnalisation de l’information, notre récompense, nous conduit à l’isolement idéologique, à l’image de la propagande personnalisée […] »

    On en ajoutera quelques-unes, mais la plus importante est désormais bien connue. Pour sortir des logiques inefficaces de matraquage publicitaire, des entreprises ont fait le choix de développer des outils permettant de surveiller les internautes au travers de leurs navigations pour mieux les profiler et ainsi leur fournir des publicités plus « ciblées », au meilleur endroit au meilleur moment pour ainsi essayer de les manipuler le plus efficacement possible dans des actes de consommation.11
    C’est une évolution relativement logique de « l’économie de l’attention », pour éviter la perte d’attention induite par la surmultiplication publicitaire, on a développé des outils pour les rendre beaucoup plus efficaces.

    Ces outils ont toutefois un cout sociétal colossal : ils impliquent une surveillance de masse et quasi constante des internautes dans leurs navigations. La publicité a financé et continue de financer le développement de ces outils de surveillance qui viennent cibler les consommateurs et les traquer. Les deux entreprises championnes de cette surveillance sont incontestablement Google/Alphabet et Facebook12 dont la quasi-totalité des revenus proviennent de la publicité et qui représentent à elles deux désormais bien plus de 50% de tout le secteur de la publicité en ligne. Ce ne sont (malheureusement ?) pas les seuls acteurs de ce système et bien d’autres (géants du numérique, courtiers en données, etc.) cherchent à se partager le reste du gâteau. Le développement de ces nombreuses entreprises s’est ainsi totalement orienté vers la captation de données personnelles par la surveillance et vers la maximisation de l’exploitation des temps de cerveaux disponibles des internautes.

    Ce problème est ainsi résumé par la chercheuse Zeynep Tufekci : « on a créé une infrastructure de surveillance dystopique juste pour que des gens cliquent sur la pub »13. Cette infrastructure est colossale, les outils de surveillance qui ont été développés et le marché de la surveillance publicitaire en ligne sont d’une grande complexité14 et n’hésitent pas à utiliser la moindre faille possible.15 Le système publicitaire a su pleinement tirer profit de l’informatique pour automatiser la surveillance des individus et les manipuler. Il espère même maintenant pouvoir importer cette surveillance dans nos rues avec les panneaux numériques.16 
    Sans insister ici sur ce point, cette surveillance a assez naturellement attiré la convoitise des différents gouvernements qui ne pouvaient rêver d’un tel système de surveillance et ne se privent pas d’essayer d’en bénéficier à des fins de contrôle et de répression dans ce que l’on pourrait appeler un « partenariat public-privé de la surveillance. »17

    Il y a là une atteinte majeure au droit au respect de la vie privée des personnes, une liberté pourtant fondamentale, ainsi qu’à la législation européenne sur la protection des données personnelles. Ainsi, le Règlement général sur la protection des données (RGPD) couplé à la directive e-privacy impose un consentement « libre, éclairé, spécifique et univoque » pour la majorité des opérations de collecte de données personnelles à des fins publicitaires. Or, la quasi-totalité de ces outils de surveillance ne satisfont pas à ces critères qui impliqueraient par défaut que les données ne soient pas collectées. C’est seulement si l’internaute acceptait volontairement et spécifiquement d’être traqué à des fins publicitaires qu’il pourrait l’être. C’est pourquoi La Quadrature du Net a lancé18, dès l’entrée en application du RGPD, des plaintes collectives contre les fameux « GAFAM » pour leurs violations de ces règles. Malheureusement, plus d’un an et demi après ces plaintes, ces pratiques continuent de proliférer et seul Google a été sanctionné d’une timide amende de 50 millions d’euros qui ne s’appuyait malheureusement pas sur tous les griefs. Même aux États-Unis la législation COPPA (Children’s Online Privacy Protection Act), interdit la collecte à des fins publicitaires sur des enfants de moins de 13 ans et n’a fait jusqu’en 201919qu’être assez sciemment contournée face à la manne publicitaire de la manipulation des plus jeunes…
    Malgré l’illégalité flagrante, ces pratiques de surveillance continuent donc de violer chaque jour nos libertés.
    Si les internautes averti·es peuvent configurer certains outils, dont leur bloqueur de publicités, pour limiter ces abus (par exemple en suivant les informations sur https://bloquelapub.net/) c’est encore dans une guerre continue entre l’ingéniosité pervertie20 des ingénieurs publicitaires pour contourner ou bloquer les bloqueurs de pubs et celles des hackeur·ses qui y résistent. Quoi qu’il en soit, la publicité et la surveillance publicitaire demeurent pour la majorité des personnes.

    Une lourde addition des couts sociétaux de la publicité en ligne

    La surveillance publicitaire est la dérive la plus flagrante de la publicité, elle est inacceptable et il est nécessaire de la combattre pour la faire disparaitre si l’on veut caresser l’espoir de retrouver des pratiques commerciales plus saines sur Internet, mais cela semble loin de suffire. La publicité en elle-même est un problème : elle induit une dépendance économique aux annonceurs, mais aussi technique aux systèmes publicitaires.
    Les problématiques liées à la dépendance économique publicitaire sont très claires quand la publicité constitue la seule source de revenus d’un acteur. Cette problématique est aussi mise en valeur avec les vidéastes qui s’appuient sur la plateforme de Google « Youtube » qui sont devenu·es de fait totalement dépendant·es du bon vouloir de celle-ci pour leurs revenus ou encore avec les éditeurs de presse qui ne font depuis plus de 10 ans que de subir des revers pour obtenir les miettes des revenus publicitaires de Google.
    Côté dépendance technique, pour les gestionnaires de site Internet, insérer un système publicitaire revient à laisser une porte ouverte à des acteurs tiers et constitue donc une faille en puissance. Il y a là un réel cout de confiance et de dépendance. L’encart publicitaire peut être utilisé pour faire exécuter des éléments de code d’un prestataire publicitaire ou d’un tiers qui l’aurait compromis, on ne contrôle pas nécessairement le contenu des publicités qui s’afficheront… 
    La publicité est également un surcout énergétique dans l’affichage de la page, qui peut rester faible, mais peut aussi largement alourdir une page si l’on parle par exemple de publicité vidéo21ou de multiplication des traqueurs et dispositifs de contrôle.
    Le gaspillage énergétique, les dépendances multiples des acteurs dont le modèle économique repose sur la publicité, la dystopie de surveillance, l’influence mentale subie des personnes qui voient leurs pensées parasitées pour leur faire consommer plus ou voter autrement… 
    La publicité apparait bien comme une cause majeure de perversion d’Internet vers plus de centralité, plus de contrôle et de surveillance des géants du numérique, plus de contenus piège à clic et de désinformation au lieu de productions de qualité et de partage…
    L’addition des conséquences sociétales de la publicité en ligne est salée comme la mer d’Aral22. La supprimer en même temps que la surveillance publicitaire participerait très largement à résoudre de nombreuses atteintes aux libertés fondamentales et aux équilibres démocratiques.

    Twitter a annoncé fin octobre 201923 supprimer les publicités politiques de son réseau social et en explique les raisons : 
    « Nous avons pris la décision d’arrêter toutes les publicités politiques sur Twitter. Nous pensons que la portée d’un message politique doit se mériter, pas s’acheter. »
    La démarche est louable, mais pour arrêter les publicités politiques sur Twitter ne faut-il pas arrêter la publicité tout court ? Edward Bernays (neveu de Freud, considéré comme le père de la propagande politique et des « relations publiques ») comme Cambridge Analytica24 avaient bien compris que la publicité a les mêmes effets qu’il s’agisse de biens de consommation ou d’idées. Mais au-delà de ça, « tout est politique » : les publicités sexistes ou pour des véhicules polluants, des nouveaux gadgets technologiques, des voyages lointains, de la nourriture de mauvaise qualité… jouent largement sur de grands enjeux politiques25. La publicité est en soi une idéologie politique26, adossée au capitalisme, qu’il soit de surveillance ou non.

    À La Quadrature du Net nous refusons l’exploitation de ces temps de cerveaux disponibles et de profiter de ces revenus publicitaires, même quand ils sont si « gentiment » proposés par des sociétés telles que Lilo, Brave ou Qwant27 qui derrière une vitrine d’« éthique » restent dans cette logique d’exploitation et ne servent qu’à faire accepter ces logiques publicitaires.

    Nous refusons ces manipulations et espérons des pratiques saines où les biens ou des services sont vendus directement pour ce qu’ils valent, nous souhaitons avoir une liberté de réception sur les informations auxquelles nous accédons et que les plus riches ne puissent pas payer pour être plus entendus et modifier nos comportements.

    Nous ne voulons plus que nos cerveaux soient des produits !
    https://bloquelapub.net/

    References

    1 fr.wikipedia.org/wiki/Publicité
    2 Voir la définition du Larousse ou même du Trésor de la langue française.
    3 Selon la formule de 2004 de Patrick Le Lay alors PDG de TF1.
    4 La dépendance de nombreux vidéastes aux revenus de NordVpn en témoigne assez clairement, même quand ceux-ci restent caustiques à ce sujet cela reste très édulcoré, voir par exemple « Pourquoi NordVPN est partout ?! », Un créatif, 30 mai 2019, publié sur https://www.youtube.com/watch?v=9X_2rNC6nKA
    5 Attention, tout était loin d’être parfait sur bien d’autres sujets.
    6 John Perry Barlow, « A declaration of the independance of Cyberspace », 8 fév. 1996, Davos, https://www.eff.org/cyberspace-independence
    7 Brad Templeton, « Reaction to the DEC Spam of 1978 », https://www.templetons.com/brad/spamreact.html
    8 Ethan Zuckerman, « The Internet’s Original Sin », 14 août 2014, https://www.theatlantic.com/technology/archive/2014/08/advertising-is-the-internets-original-sin/376041/, la citation en anglais « The fallen state of our Internet is a direct, if unintentional, consequence of choosing advertising as the default model to support online content and services. »
    9 Hubert Guillaut, « Comment tuer la pub, ce péché originel de l’internet ? », 13 nov. 2014, http://www.internetactu.net/2014/11/13/comment-tuer-la-pub-ce-peche-originel-de-linternet/
    10 Bruche Schneier, « Surveillance as a Business Model », 25 nov. 2013, https://www.schneier.com/blog/archives/2013/11/surveillance_as_1.html
    11 Et oui, la publicité marche sur tout le monde, voir Benjamin Kessler et Steven Sweldens, « Think You’re Immune to Advertising ? Think Again », 30 janv. 2018, https://knowledge.insead.edu/marketing/think-youre-immune-to-advertising-think-again-8286
    12 Voir par ex. Nicole Perrin, « Facebook-Google Duopoly Won’t Crack This Year » , 4 nov. 2019, https://www.emarketer.com/content/facebook-google-duopoly-won-t-crack-this-year et rappelons que les fondateurs de Google ont pourtant pu exprimer certains des réels problèmes de la dépendance publicitaire, Sergei Brin et Lawrence Page, « The Anatomy of a Large-Scale Hypertextual Web Search Engine », 1998, http://infolab.stanford.edu/~backrub/google.html : « To make matters worse, some advertisers attempt to gain people’s attention by taking measures meant to mislead automated search engines. » ou encore : « we expect that advertising funded search engines will be inherently biased towards the advertisers and away from the needs of the consumers. »
    13 Zeynep Tufekci, « We’re building a dystopia just to make people click on ads », sept. 2017 https://www.ted.com/talks/zeynep_tufekci_we_re_building_a_dystopia_just_to_make_people_click_on_ads
    14 L’Avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet de l’Autorité de la concurrence, https://www.autoritedelaconcurrence.fr/sites/default/files/commitments//18a03.pdf en témoigne.
    15 Voir par exemple la technique du « Web Beacon », https://en.wikipedia.org/wiki/Web_beacon
    16 Résistance à l’Agression Publicitaire, « JCDecaux colonise la Défense avec ses mobiliers urbains numériques », sept. 2014, https://antipub.org/jcdecaux-colonise-la-defense-avec-ses-mobiliers-urbains-numeriques/
    17 En témoigne notamment les révélations d’Edward Snowden du programme « PRISM ».
    18 Voir notre site de campagne https://gafam.laquadrature.net/ et par exemple la plainte contre Google https://gafam.laquadrature.net/wp-content/uploads/sites/9/2018/05/google.pdf
    19 Google semble toutefois s’être fait rappelé à l’ordre et a annoncé devoir supprimer les publicités pour les chaines s’adressant à un public enfantin. Sur ce sujet, voir par exemple, « Game Theory : Will Your Favorite Channel Survive 2020 ? (COPPA) », 22 nov. 2019, https://www.youtube.com/watch?v=pd604xskDmU
    20 Les ingénieur-es de Facebook font preuve d’une malice certaine aussi bien pour traquer les internautes que pour les forcer à voir leurs publicités (il suffit de regarder le code source des contenus « sponsorisés » pour en être convaincu…).
    21 Gregor Aisch, Wilson Andrew and Josh Kelleroct « The Cost of Mobile Ads on 50 News Websites », 1 oct. 2015,https://www.nytimes.com/interactive/2015/10/01/business/cost-of-mobile-ads.html
    22 Le parallèle pourrait même être poussé plus loin, voir Professeur Feuillage, « Aral, ta mer est tellement sèche qu’elle mouille du sable », 31 janv. 2018, https://www.youtube.com/watch?v=uajOhmmxYuc&feature=emb_logo&has_verified=1
    23 Par des déclarations de Jack Dorsay son PDG, https://twitter.com/jack/status/1189634360472829952
    24 Edward Bernays, Propaganda : Comment manipuler l’opinion en démocratie, (trad. Oristelle Bonis, préf. Normand Baillargeon), Zones / La Découverte, 2007 (1re éd. 1928) ; concernant Cambridge Analytica, avant que le scandale n’éclate la page d’accueil du site affichait fièrement : « Data drives all we do, Cambridge Analytica uses data to change audience behavior. Visit our Commercial or Political divisions to see how we can help you ».
    25 Voir Emily Atkin, Exxon climate ads aren’t « political, » according to Twitter But a Harvard researcher says Exxon’s ads « epitomize the art » of political advertising, 5 nov. 2019, https://heated.world/p/exxon-climate-ads-arent-political et Résistance à l’agression publicitaire (RAP), En refusant de réglementer la publicité, le gouvernement sacrifie l’écologie, 10 décembre 2019, https://reporterre.net/En-refusant-de-reglementer-la-publicite-le-gouvernement-sacrifie-l-ecologie
    26 Pour en saisir l’ampleur, voir l’ouvrage de Naomi Klein, No Logo : la tyrannie des marques, (trad. Michel Saint-Germain), Actes Sud, 2001, et celui du Groupe Marcuse, De la misère humaine en milieu publicitaire : comment le monde se meurt de notre mode de vie, la Découverte, 2004.
    27 Lilo ne servant que d’emballage de blanchiment aux recherches et aux publicités de Microsoft – Bing en vendant l’image de marque des associations tout en se gardant 50% des revenus publicitaires reversés par Microsoft. S’agissant de Brave, les montants versés directement par les internautes constituent une piste intéressante de financement des contenus et services en ligne, mais les logiques de remplaçement des publicités présentes sur les sites par celles de la régie Brave où « Les publicités sont placées en fonction des opportunités, et les utilisateurs deviennent des partenaires et non des cibles » pour qu’une partie soit reversée à des acteurs tiers est à minima douteuse… C’est la même logique absurde que l’option « Qwant Qoz » qui permet si elle est activée à l’utilisateur-produit de voir deux fois plus de publicités pour que son surplus d’exploitation cérébrale soit reversé à des associations…
    ]]>
    Contre les futurs sécuritaires, faites un don à La Quadraturehttps://www.laquadrature.net/?p=16500http://streisand.me.thican.net/laquadrature.net/index.php?20201126_180106_Contre_les_futurs_securitaires__faites_un_don_a_La_QuadratureThu, 26 Nov 2020 17:01:06 +0000a.btn20{background:url('https://www.laquadrature.net/wp-content/uploads/manege/bouton.png');background-size: 100%;width:12em;display: block;height:3em;margin:auto;}a:hover.btn20{background:url('https://www.laquadrature.net/wp-content/uploads/manege/boutonhover.png');background-size: 100%;}a:active.btn20{background:url('https://www.laquadrature.net/wp-content/uploads/manege/clic.png');background-size: 100%;}.page-template-page-don-19 h1.entry-title{display:none}



    Futur et sécurité.

    Nos dirigeants et leur armée d’industriels n’ont que ces mots à la bouche. Ils prétendent nous guider tels des prophètes vers ce futur auquel, paraît-il, on n’échappera pas, parce que ce serait pour notre bien. Ce futur qu’ils nous promettent c’est celui de la surveillance biométrique, des drones et des caméras partout.

    « Expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent » déclarait notre secrétaire d’État chargé du numérique. De toute façon, comme toutes les autres technologies de surveillance, « la reconnaissance faciale ne peut être désinventée » ; alors à quoi bon s’y opposer ?

    Prétendre que le futur est tracé de manière immuable et nier son caractère politique, c’est le meilleur moyen de se dédouaner, de s’ôter la culpabilité de transformer nos villes en Technopolice, en laissant nos vies exsangues de libertés.

    La Quadrature du Net refuse ce futur.

    Nous nous battrons pour choisir notre futur. Nous nous battrons pour que les machines et techniques servent les habitants des villes et de la Terre. Qu’elles ne nous soient plus imposées, qu’elle ne servent plus à nous faire taire et à nous contrôler. Rejoignez-nous dans ce combat. Soutenez La Quadrature du Net.

    POURQUOI DONNER À LA QUADRATURE ?

    Pour faire le travail qui est le sien, l’association a une fantastique équipe de membres bénévoles, mais elle a besoin d’une équipe salariée. Elle se finance grâce à vos dons.
    L’association ne touche aucun argent public, mais elle touche des subventions de la part de deux fondations philanthropiques, OSF et FPH, à hauteur de 25 % de son budget.
    Tout le reste provient de la générosité des personnes qui estiment que nos droits et nos libertés doivent être défendues sans relâche.

    COMMENT DONNER ?

    Vous pouvez faire un don par CB, ou bien par chèque, par virement ou en crypto-monnaie.
    Et si vous pouvez faire un don mensuel — même un tout petit ! — n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, les dons mensuels nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
    En plus, le cumul de vos dons vous donne droit à des contreparties (sac, t-shirt, hoodie, etc.)

    DE NOUVEAUX PALIERS POUR LES CONTREPARTIES

    Les paliers qui donnent accès aux contreparties ont changé l’année dernière. Ils ont augmenté (c’est rarement dans l’autre sens…) pour s’adapter aux coûts de la fabrication et de l’expédition.
    Dorénavant, il faudra cumuler 42 € de dons pour recevoir un piplôme, 64 € pour un sac (+piplôme), 128 € pour un t-shirt (+piplôme+sac), et 314 € pour un hoodie (+piplôme+sac+t-shirt).
    Attention, l’envoi n’est pas automatique, il faut faire la demande sur votre page personnelle de donateur.
    Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et parce qu’on fait tout ça nous-mêmes avec nos petites mains. Mais elles finissent toujours par arriver !
    Merci encore pour votre générosité, et merci beaucoup pour votre patience <3

    À QUOI SERVENT VOS DONS ?

    Tout simplement à faire exister l’association. La Quadrature du Net emploie actuellement une équipe de six salarié·es à plein temps. C’est encore trop peu, pour tout le boulot à abattre. Quand on en parle avec nos collègues à l’étranger, l’étonnement est toujours le même : « Vous êtes aussi peu nombreux pour faire tout ça ? ». Oui, on est aussi peu nombreux, même en comptant les membres bénévoles, et non, on n’a pas le temps de s’ennuyer…
    En 2020, vos dons nous ont permis de récolter 217 000 €. Nos dépenses pour l’année se montent à 195 000 €. Pour l’année qui vient, nous nous fixons un objectif de 240 000 € de dons, avec l’espoir de pouvoir embaucher une personne supplémentaire dans l’équipe.
    Les dons recueillis servent principalement à payer les salaires des permanents (79 % des dépenses). Le restant couvre le loyer et l’entretien du local, les déplacements en France et à l’étranger (en train uniquement) et les divers frais matériels de l’activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).
    Quand on ventile toutes les dépenses (salaires inclus) sur nos campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :

    ]]>
    « Sécurité globale » : l’Assemblée nationale vote pour la Technopolicehttps://www.laquadrature.net/?p=16479http://streisand.me.thican.net/laquadrature.net/index.php?20201124_180108_____Securite_globale________l___Assemblee_nationale_vote_pour_la_TechnopoliceTue, 24 Nov 2020 17:01:08 +0000L’Assemblée nationale vient de voter la proposition de loi de « Sécurité Globale ». Déposée le 20 octobre dernier, elle a donc été examinée en commission des lois, débattue en séance publique puis votée en à peine un mois, alors que l’agenda parlementaire était déjà surchargé. Outre le caractère liberticide de plusieurs de ses dispositions, le gouvernement et sa majorité viennent de faire adopter un texte très certainement inconstitutionnel. Espérons que le Sénat saura se montrer à la hauteur des enjeux et refusera cette nouvelle atteinte à nos libertés.

    Nous avons dès le début alerté sur plusieurs dispositions particulièrement dangereuses de ce texte. L’article 21, qui autorise la transmission en direct des images filmées par les caméras-piétons de la police et de la gendarmerie à un centre de commandement – et qui facilite ainsi leur analyse automatisée, comme la reconnaissance faciale. L’article 22, qui autorise la police à surveiller nos villes, nos rues et nos manifestations avec des drones. L’article 24, évidemment, qui nous interdit de dénoncer les violences policières.

    Le passage-éclair en commission des lois nous a effrayé encore un peu plus. Nous avons relaté l’ambiance lugubre et fuyante des débats entre des rapporteur·euses aux ordres des syndicats de police, et des député·es de l’opposition insulté·es et méprisé·es. Le texte y a été étoffé de nouvelles dispositions pour que la police puisse avoir plus facilement accès aux caméras dans nos halls d’immeubles et pour étendre, encore un peu, le nombre de personnes pouvant visionner les images de la voie publique (on en parlait ici).

    Nous avons ensuite suivi, mot par mot, les débats en séance publique. Ceux-ci, comme l’attention médiatique, étaient particulièrement concentrés sur l’article 24 et ses conséquences sur la liberté de la presse. À l’issue des débats, cet article n’a d’ailleurs en aucun cas été arrangé mais, au contraire, aggravé, s’étendant à la police municipale. L’article 22, majeur pourtant, a été lui débattu vendredi en pleine nuit et voté à 1h du matin, alors que le ministre de l’intérieur ne prenait même plus la peine de répondre aux parlementaires.

    Il est particulièrement difficile de voir un texte qui aura autant de conséquences sur nos libertés être voté aussi vite et dans des conditions aussi déplorables. Quand on le lit à la lumière du livre blanc de la sécurité intérieure et du schéma national de maintien de l’ordre publiés récemment, on comprend que ce texte veut faire entrer la surveillance dans une nouvelle ère : celle de la multiplication des dispositifs de captations d’images (caméras fixes, caméras sur les uniformes, caméras dans le ciel), de leur croisement afin de couvrir toutes nos villes (espaces publics ou privés) et de leur analyse massive par des algorithmes, avec en tête la reconnaissance faciale. Si en 2019, grâce au fichier TAJ, il y a déjà eu plus de 375 000 traitements de reconnaissance faciale faits par la police en France, combien y en aura-t-il en 2021 quand chaque coin de rue sera filmé et analysé en direct ? Comment croire en l’intérêt d’un encadrement quand un tel pouvoir de surveillance est donné aux gouvernants ? Comment faire confiance à la majorité parlementaire et au gouvernement qui nous assure que la reconnaissance faciale sur les images des drones et caméras-piétons ne sera pas permise par ce texte – ce qui est juridiquement faux –, alors même que tous les amendements visant à écarter explicitement cette possibilité ont été rejetés ?

    Ce texte, que vient donc d’adopter l’Assemblée nationale, c’est celui de la Technopolice. Celle que nous dénonçons depuis deux ans : une dystopie préparée par ceux qui prétendent nous gouverner, la mise sous coupe réglée de nos villes pour en faire une vaste entreprise de surveillance.

    La prochaine étape se jouera au Sénat, pas avant janvier si l’on en croit son calendrier. Nous en sommes réduits à espérer que celui-ci prenne son rôle au sérieux et vienne rappeler à la majorité présidentielle les bases du respect des libertés et de nos droits. Il faudra en tous cas, et quoiqu’il arrive, maintenir la pression sur nos institutions pour que ce texte disparaisse, ne revienne jamais, et que la voix des citoyens et citoyennes – mobilisé·es massivement – soient entendue.

    ]]>
    La Technopolice, moteur de la « sécurité globale »https://www.laquadrature.net/?p=16451http://streisand.me.thican.net/laquadrature.net/index.php?20201119_180040_La_Technopolice__moteur_de_la_____securite_globale____Thu, 19 Nov 2020 17:00:40 +0000L’article 24 de la loi Sécurité Globale ne doit pas devenir l’arbre qui cache la forêt d’une politique de fond, au cœur de ce texte, visant à faire passer la surveillance et le contrôle de la population par la police à une nouvelle ère technologique.

    Quelques jours avant le vote de la loi Sécurité Globale à l’Assemblée Nationale, le ministère de l’Intérieur présentait son Livre blanc. Ce long rapport de prospective révèle la feuille de route du ministère de l’Intérieur pour les années à venir. Comme l’explique Gérard Darmanin devant les députés, la proposition de loi Sécurité Globale n’est que le début de la transposition du Livre dans la législation. Car cette loi, au-delà de l’interdiction de diffusion d’images de la police (article 24), vise surtout à renforcer considérablement les pouvoirs de surveillance des forces de l’ordre, notamment à travers la légalisation des drones (article 22), la diffusion en direct des caméras piétons au centre d’opération (article 21), les nouvelles prérogatives de la police municipale (article 20), la vidéosurveillance dans les hall d’immeubles (article 20bis). Cette loi sera la première pierre d’un vaste chantier qui s’étalera sur plusieurs années.

    Toujours plus de pouvoirs pour la police

    Le Livre blanc du ministère de l’Intérieur envisage d’accroître, à tous les niveaux, les pouvoirs des différentes forces de sécurité (la Police nationale, la police municipale, la gendarmerie et les agents de sécurité privée) : ce qu’ils appellent, dans la novlangue officielle, le « continuum de la sécurité intérieure ». Souhaitant « renforcer la police et la rendre plus efficace », le livre blanc se concentre sur quatre angles principaux :

    • Il ambitionne de (re)créer une confiance de la population en ses forces de sécurité, notamment par une communication renforcée, pour « contribuer à [leur] légitimité », par un embrigadement de la jeunesse – le Service National Universel, ou encore par la création de « journées de cohésion nationale » (page 61). Dans la loi Sécurité Globale, cette volonté s’est déjà illustrée par la possibilité pour les policiers de participer à la « guerre de l’image » en publiant les vidéos prises à l’aide de leurs caméras portatives (article 21).
    • Il prévoit d’augmenter les compétences des maires en terme de sécurité, notamment par un élargissement des compétences de la police municipale : un accès simplifié aux fichiers de police, de nouvelles compétences en terme de lutte contre les incivilités … (page 135). Cette partie-là est déjà en partie présente dans la loi Sécurité Globale (article 20).
    • Il pousse à une professionnalisation de la sécurité privée qui deviendrait ainsi les petites mains de la police, en vu notamment des Jeux olympiques Paris 2024, où le besoin en sécurité privée s’annonce colossal. Et cela passe par l’augmentation de ses compétences : extension de leur armement, possibilité d’intervention sur la voie publique, pouvoir de visionner les caméras, et même le port d’un uniforme spécifique (page 145).
    • Enfin, le dernier grand axe de ce livre concerne l’intégration de nouvelles technologies dans l’arsenal policier. Le titre de cette partie est évocateur, il s’agit de « porter le Ministère de l’Intérieur à la frontière technologique » (la notion de frontière évoque la conquête de l’Ouest aux États-Unis, où il fallait coloniser les terres et les premières nations — la reprise de ce vocable relève d’une esthétique coloniale et viriliste).

    Ce livre prévoit une multitude de projets plus délirants et effrayants les uns que les autres. Il propose une analyse automatisée des réseaux sociaux (page 221), des gilets connectés pour les forces de l’ordre (page 227), ou encore des lunettes ou casques augmentés (page 227). Enfin, le Livre blanc insiste sur l’importance de la biométrie pour la police. Entre proposition d’interconnexion des fichiers biométriques (TAJ, FNAEG, FAED…) (page 256), d’utilisation des empreintes digitales comme outil d’identification lors des contrôles d’identité et l’équipement des tablettes des policiers et gendarmes (NEO et NEOGEND) de lecteur d’empreinte sans contact (page 258), de faire plus de recherche sur la reconnaissance vocale et d’odeur (!) (page 260) ou enfin de presser le législateur pour pouvoir expérimenter la reconnaissance faciale dans l’espace public (page 263).

    Le basculement technologique de la surveillance par drones

    Parmi les nouveaux dispositifs promus par le Livre blanc : les drones de police, ici appelés « drones de sécurité intérieure ». S’ils étaient autorisés par la loi « Sécurité Globale », ils modifieraient radicalement les pouvoirs de la police en lui donnant une capacité de surveillance totale.

    Il est d’ailleurs particulièrement marquant de voir que les rapporteurs de la loi considèrent cette légalisation comme une simple étape sans conséquence, parlant ainsi en une phrase « d’autoriser les services de l’État concourant à la sécurité intérieure et à la défense nationale et les forces de sécurité civile à filmer par voie aérienne (…) ». Cela alors que, du côté de la police et des industriels, les drones représentent une révolution dans le domaine de la sécurité, un acteur privé de premier plan évoquant au sujet des drones leur « potentiel quasiment inépuisable », car « rapides, faciles à opérer, discrets » et « tout simplement parfaits pour des missions de surveillance »

    Dans les discours sécuritaires qui font la promotion de ces dispositifs, il est en effet frappant de voir la frustration sur les capacités « limitées » (selon eux) des caméras fixes et combien ils fantasment sur le « potentiel » de ces drones. C’est le cas du maire LR d’Asnières-sur-Seine qui en 2016 se plaignait qu’on ne puisse matériellement pas « doter chaque coin de rue de vidéoprotection » et que les drones « sont les outils techniques les plus adaptés » pour pallier aux limites de la présence humaine. La police met ainsi elle-même en avant la toute-puissance du robot par le fait, par exemple pour les contrôles routiers, que « la caméra du drone détecte chaque infraction », que « les agents démontrent que plus rien ne leur échappe ». Même chose pour la discrétion de ces outils qui peuvent, « à un coût nettement moindre » qu’un hélicoptère, « opérer des surveillances plus loin sur l’horizon sans être positionné à la verticale au-dessus des suspects ». Du côté des constructeurs, on vante les « zooms puissants », les « caméras thermiques », leur donnant une « vision d’aigle », ainsi que « le décollage possible pratiquement de n’importe où ».

    Tout cela n’est pas que du fantasme. Selon un rapport de l’Assemblée nationale, la police avait, en 2019, par exemple 30 drones « de type Phantom 4 » et « Mavic Pro » (ou « Mavic 2 Enterprise » comme nous l’avons appris lors de notre contentieux contre la préfecture de police de Paris). Il suffit d’aller voir les fiches descriptives du constructeur pour être inondé de termes techniques vantant l’omniscience de son produit : « caméra de nacelle à 3 axes », « vidéos 4K », « photos de 12 mégapixels », « caméra thermique infrarouge », « vitesse de vol maximale à 72 km/h » … Tant de termes qui recoupent les descriptions faites par leurs promoteurs : une machine volante, discrète, avec une capacité de surveiller tout (espace public ou non), et de loin.

    Il ne s’agit donc pas d’améliorer le dispositif de la vidéosurveillance déjà existant, mais d’un passage à l’échelle qui transforme sa nature, engageant une surveillance massive et largement invisible de l’espace public. Et cela bien loin du léger cadre qu’on avait réussi à imposer aux caméras fixes, qui imposait notamment que chaque caméra installée puisse faire la preuve de son utilité et de son intérêt, c’est-à-dire de la nécessité et de la proportionnalité de son installation. Au lieu de cela, la vidéosurveillance demeure une politique publique dispendieuse et pourtant jamais évaluée. Comme le rappelle un récent rapport de la Cour des comptes, « aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de la délinquance commise sur la voie publique, ou encore les taux d’élucidation ». Autre principe fondamental du droit entourant actuellement la vidéosurveillance (et lui aussi déjà largement inappliqué) : chaque personne filmée doit être informée de cette surveillance. Les drones semblent en contradiction avec ces deux principes : leur utilisation s’oppose à toute notion d’information des personnes et de nécessité ou proportionnalité.

    Où serons-nous dans 4 ans ?

    En pratique, c’est un basculement total des pratiques policières (et donc de notre quotidien) que préparent ces évolutions technologiques et législatives. Le Livre blanc fixe une échéance importante à cet égard : « les Jeux olympiques et paralympiques de Paris de 2024 seront un événement aux dimensions hors normes posant des enjeux de sécurité majeurs » (p. 159). Or, « les Jeux olympiques ne seront pas un lieu d’expérimentation : ces technologies devront être déjà éprouvées, notamment à l’occasion de la coupe de monde de Rugby de 2023 » (p. 159).

    En juillet 2019, le rapport parlementaire cité plus haut constatait que la Police nationale disposait de 30 drones et de 23 pilotes. En novembre 2020, le Livre blanc (p. 231) décompte 235 drones et 146 pilotes. En 14 mois, le nombre de drones et pilotes aura été multiplié par 7. Dès avril 2020, le ministère de l’Intérieur a publié un appel d’offre pour acquérir 650 drones de plus. Rappelons-le : ces dotations se sont faites en violation de la loi. Qu’en sera-t-il lorsque les drones seront autorisés par la loi « sécurité globale » ? Avec combien de milliers d’appareils volants devra-t-on bientôt partager nos rues ? Faut-il redouter, au cours des JO de 2024, que des dizaines de drones soient attribués à la surveillance de chaque quartier de la région parisienne, survolant plus ou moins automatiquement chaque rue, sans répit, tout au long de la journée ?

    Les évolutions en matières de reconnaissance faciale invite à des projections encore plus glaçantes et irréelles. Dès 2016, nous dénoncions que le méga-fichier TES, destiné à contenir le visage de l’ensemble de la population, servirait surtout, à terme, à généraliser la reconnaissance faciale à l’ensemble des activités policières : enquêtes, maintien de l’ordre, contrôles d’identité. Avec le port d’une caméra mobile par chaque brigade de police et de gendarmerie, tel que promis par Macron pour 2021, et la retransmission en temps réel permise par la loi « sécurité globale », ce rêve policier sera à portée de main : le gouvernement n’aura plus qu’à modifier unilatéralement son décret TES pour y joindre un système de reconnaissance faciale (exactement comme il avait fait en 2012 pour permettre la reconnaissance faciale à partir du TAJ qui, à lui seul, contient déjà 8 millions de photos). Aux robots dans le ciel s’ajouteraient des humains mutiques, dont le casque de réalité augmentée évoqué par le Livre Blanc, couplé à l’analyse d’image automatisée et aux tablettes numériques NEO, permettrait des contrôles systématiques et silencieux, rompus uniquement par la violence des interventions dirigées discrètement et à distance à travers la myriade de drones et de cyborgs.

    En somme, ce Livre Blanc, dont une large partie est déjà transposée dans la proposition de loi sécurité globale, annonce le passage d’un cap sécuritaire historique : toujours plus de surveillance, plus de moyens et de pouvoirs pour la police et consorts, dans des proportions et à un rythme jamais égalés. De fait, c’est un État autoritaire qui s’affirme et se consolide à grand renfort d’argent public. Le Livre blanc propose ainsi de multiplier par trois le budget dévolu au ministère de l’Intérieur, avec une augmentation de 6,7 milliards € sur 10 ans et de 3 milliards entre 2020 et 2025. Une provocation insupportable qui invite à réfléchir sérieusement au définancement de la police au profit de services publiques dont le délabrement plonge la population dans une insécurité bien plus profonde que celle prétendument gérée par la police.

    ]]>
    Libération de Jeremy Hammond, hacktiviste emprisonné depuis 7 longues années !https://www.laquadrature.net/?p=16438http://streisand.me.thican.net/laquadrature.net/index.php?20201119_112805_Liberation_de_Jeremy_Hammond__hacktiviste_emprisonne_depuis_7_longues_annees___Thu, 19 Nov 2020 10:28:05 +0000La libération de Jeremy Hammond, hacktiviste étatsunien à qui l’on doit la publication des Stratfor Leaks, vient d’être annoncée par son comité de soutien.

    Après avoir passé 7 années de sa vie en prison, il vient d’être libéré.

    Jeremy Hammond fut dénoncé par Sabu, un ex-hacker devenu informateur pour le gouvernement américain.

    En octobre 2019, Hammond refusa de témoigner contre Julian Assange, et ce malgré les menaces du gouvernement d’augmenter sa peine.

    La Quadrature se réjouit de cette nouvelle, et rappelle que d’autres lanceuses et lanceurs d’alertes sont toujours emprisonné·es ou poursuivi·es (Reality Winner, Julian Assange, Ola Bini…).

    ]]>
    Les ordres du sommet : Le programme de l’UE pour démanteler le chiffrement de bout en bouthttps://www.laquadrature.net/?p=16281http://streisand.me.thican.net/laquadrature.net/index.php?20201113_115759_Les_ordres_du_sommet____Le_programme_de_l___UE_pour_demanteler_le_chiffrement_de_bout_en_boutFri, 13 Nov 2020 10:57:59 +0000Ceci est une republication en français de l’article de l’EFF « Orders from the Top: The EU’s Timetable for Dismantling End-to-End Encryption »

    Aux États-Unis, ces derniers mois, un flux continu de propositions de lois, incitées et encouragées par le discours du FBI et du Département de la Justice, est venu prôner un « accès légal » aux services chiffrés de bout en bout. Ce mouvement de lobbying est récemment passé des États-Unis, où le Congrès est complètement paralysé par la polarisation critique de la société, à l’Union Européenne, où le lobby anti-chiffrement espère pouvoir passer plus facilement. Plusieurs documents qui ont fuité des plus hautes instances de l’UE montrent un plan d’action en ce sens, avec l’apparente intention de présenter une loi anti-chiffrement au parlement européen dès l’année prochaine.

    Les premiers signaux de ce retournement de l’Union européenne — qui soutenait jusqu’alors les technologies de protection de la vie privée comme le chiffrement de bout en bout — datent de juin 2020, avec le discours de Ylva Johansson, commissaire européenne aux affaires intérieures.

    Lors d’une conférence en ligne sur la lutte contre la pédophilie et l’exploitation des enfants, Johannsson avait appelé à une « solution technique » à ce qu’elle décrit comme le « problème » du chiffrement et annoncé que son bureau avait réuni « un groupe spécial d’experts issus du monde académique, des gouvernements, de la société civile et des entreprises afin de trouver des manières de détecter et de signaler les contenus pédophiles chiffrés ».

    Le rapport a ensuite été fuité via Politico. Il fournit une liste de procédés inavouables et tortueux pour ateindre cet objectif impossible : permettre aux Etats d’accéder aux données chiffrées, sans pour autant casser le chiffrement.

    En haut de cette liste bancale, on trouve, comme cela fut en effet proposé aux États-Unis, le scan côté client. Nous avons déjà expliqué en quoi le scan côté client est tout bonnement une porte dérobée (ou « backdoor ») qui ne dit pas son nom. Un code informatique inaltérable qui tourne sur votre terminal (ordinateur ou téléphone), et compare en temps réel le contenu de vos messages avec une liste noire de mots (liste dont le contenu est secret et impossible à auditer : voilà qui est en contradiction complète avec l’expression « chiffrement de bout en bout », censée garantir une protection de la vie privée. La même approche est d’ailleurs utilisée par la Chine pour suivre les conversations politiques sur des services comme WeChat. Cette technique n’a pas sa place dans un outil qui prétend protéger la confidentialité des conversations privées.

    Tout gouvernement qui utiliserait cette technique franchirait un pas décisif dans l’intrusion. Pour la première fois en dehors d’un régime autoritaire, l’Europe déclarerait quels programmes de communication par Internet sont légaux et lesquels ne le sont pas. Même si les propositions de loi étaient les meilleures solutions possibles imaginées par les meilleurs chercheurs appliqués à résoudre cette quadrature du cercle, la solution serait toujours trop agressive pour en faire une réglementation applicable politiquement, même avec le soi-disant objectif de lutter contre la pédophilie comme l’assurait Johannsson.

    Le sujet exige une avancée politique concertée, et les instances supérieures de l’Union Européenne se préparent pour la bataille. Fin septembre, Statewatch a publié une note, maintenant diffusée par la présidence allemande de l’UE, intitulée « La sécurité via le chiffrement et la sécurité malgré le chiffrement » qui invite les états membres à se mettre d’accord sur une nouvelle position commune au sujet du chiffrement avant la fin de l’année 2020.

    Tout en concédant que « l’affaiblissement du chiffrement par quelconques moyens (incluant les portes dérobées) n’est pas une option souhaitable », la note de la présidence cite explicitement une note du Coordonnateur du Contre-Terrorisme (CCT) de l’Union Européenne, écrite en mai et divulguée par NetzPolitik.org, site allemand d’actualité et de défense des libertés sur Internet. Cette publication appelle à la création d’une « front-door », c’est-à-dire une solution d’accès dédié, autorisant la lecture légale des données chiffrées par les forces de police, sans imposer toutefois de solutions techniques particulières aux fournisseurs de services.

    Le CCT souligne ce qui serait nécessaire pour légiférer sur ce cadre légal :

    L’UE et ses Etats membres devraient prendre position de manière croissante dans le débat public sur le chiffrement, dans le but de l’orienter selon un angle juridique et policier…
    Cela éviterait un débat à sens unique mené par le secteur privé et les organisations non gouvernementales. Cela pourrait impliquer de s’engager auprès de groupes militants, y compris des associations de victimes qui relateraient les efforts gouvernementaux dans ce domaine. S’engager au parlement européen sera aussi important pour préparer le terrain d’une possible légifération.

    Un discours de la Commissaire Johannsson qui établit un lien entre la remise en cause des messageries sécurisées et la protection des enfants ; une publication appelant à des « solutions techniques » pour tenter de briser le front d’opposition ; et, dans un futur proche, une fois que l’UE aura publié sa nouvelle position commune sur le chiffrement, un lobbying concerté pour inciter les membres du parlement européen à adopter ce nouveau cadre légal ; tout cela correspond parfaitement aux étapes proposées par le Coordonnateur du Contre-Terrorisme.

    Nous en sommes aux toutes premières étapes d’une longue charge anti-chiffrement aux plus hauts niveaux de l’UE, pour forcer la porte des conversations sécurisées des européens. La Grande-Bretagne, l’Australie et les États-Unis suivent la même voie. Si l’Europe veut conserver son statut de juridiction sacralisant la vie privée, il faudra donc se battre.

    ]]>
    187 organisations contre la « sécurité globale »https://www.laquadrature.net/?p=16406http://streisand.me.thican.net/laquadrature.net/index.php?20201112_140226_187_organisations_contre_la_____securite_globale____Thu, 12 Nov 2020 13:02:26 +0000Nous signons aux côtés de 186 organisations la lettre ci-dessous pour nous opposer à la loi de sécurité globale. Si vous êtes une association partageant notre combat, écrivez-nous à contact@laquadrature.net pour signer la lettre (mettez « signature lettre sg » en objet). Si vous êtes un particulier, appelez les députés pour leur demander de rejeter ces dispositions.

    Contre la loi « sécurité globale », défendons la liberté de manifester

    Nous nous opposons à la proposition de loi « sécurité globale ». Parmi les nombreuses propositions dangereuses de ce texte, trois articles risquent de limiter la liberté de manifester dans des proportions injustifiables, liberté déjà fortement restreinte sur le terrain et de nouveau remise en cause par le Schéma national du maintien de l’ordre.

    L’article 21 concerne les caméras portables qui, selon les rapporteurs du texte, devraient équiper « toutes les patrouilles de police et de gendarmerie […] dès juillet 2021 ». S’il est voté, le texte autorisera donc la transmission des flux vidéo au centre de commandement en temps réel. Cela permettra l’analyse automatisée des images, et notamment la reconnaissance faciale des manifestants et des passants, en lien avec les 8 millions de visages déjà enregistrés par la police dans ses divers fichiers.

    Ces nouveaux pouvoirs ne sont justifiés par aucun argument sérieux en matière de protection de la population et ne s’inscrivent aucunement dans une doctrine de gestion pacifiée des foules. L’effet principal sera de faciliter de façon considérable des pratiques constatées depuis plusieurs années en manifestation, visant à harceler des opposants politiques notamment par des placements en « garde à vue préventive », par l’interdiction de rejoindre le cortège ou par des interpellations arbitraires non suivies de poursuites. Ces pratiques illicites seront d’autant plus facilement généralisées que l’identification des militants et des militantes sera automatisée.

    L’article 22 autoriserait la surveillance par drones qui, selon le Conseil d’État, est actuellement interdite. Ici encore, la police n’a produit aucun argument démontrant qu’une telle surveillance protégerait la population. Au contraire, nous avons pu constater en manifestation que les drones sont avant tout utilisés pour diriger des stratégies violentes contraires à la liberté de manifester : nassage, gaz et grenades lacrymogènes notamment. Comme pour les caméras mobiles, la reconnaissance faciale permettra ici aussi d’identifier des militantes et militants politiques.

    En clair, le déploiement massif des caméras mobiles et des drones, couplés aux caméras fixes déjà existantes, entraînerait une capacité de surveillance généralisée de l’espace public, ne laissant plus aucune place à l’anonymat essentiel au respect du droit à la vie privée et ne pouvant avoir qu’un effet coercitif sur la liberté d’expression et de manifestation.

    L’article 24 vise à empêcher la population et les journalistes de diffuser des images du visage ou de tout autre élément d’identification de fonctionnaire de police ou militaire de gendarmerie. Autrement dit, les images des violences commises par les forces de l’ordre ne pourront dés lors plus être diffusées. Le seul effet d’une telle disposition sera d’accroître le sentiment d’impunité des policiers violents et, ainsi, de multiplier les violences commises illégalement contre les manifestantes et manifestants.

    Nous appelons les parlementaires à s’opposer à ces trois dispositions qui réduisent la liberté fondamentale de manifester dans le seul but de faire taire la population et de mieux la surveiller.

    Signataires

    ]]>
    « Sécurité globale » : appelons les députéshttps://www.laquadrature.net/?p=16395http://streisand.me.thican.net/laquadrature.net/index.php?20201110_123047_____Securite_globale________appelons_les_deputesTue, 10 Nov 2020 11:30:47 +0000Défendons notre droit de manifester, opposons nous à la censure et à la surveillance généralisée de nos rues. La proposition de loi sera examinée à partir du mardi 17 novembre par l’ensemble des députés (voir notre première analyse du texte et notre compte rendu de l’examen en commission). Profitons du confinement pour prendre le temps d’appeler les personnes censées nous représenter.

    Au hasard parmi les députés de
    et de


    ()



    Député suivant >

    Malgré le confinement, il y a encore un bon nombre de députés présents à l’Assemblée et qui nous répondrons (ou alors ce sera leurs assistant·es, qui connaissent parfois mieux le dossier, donc prenons le temps de leur parler aussi). Si personne ne répond, écrivons-leur (venez consulter ou proposer vos modèles de messages sur ce document participatif).

    Résumé de nos arguments

    L’article 21 autorisera la transmission en temps réel des vidéos enregistrées par les caméras individuelles de chaque brigade de police et de gendarmerie, ouvrant la voie à la vidéosurveillance automatisée et particulièrement à la reconnaissance faciale généralisée (pour rappel, en 2019, sans même disposer de ces futures vidéos transmises en temps réels, la police a déjà réalisé 375 000 opérations de reconnaissance faciale). La Défenseure des droits considère elle-aussi qu’une telle transmission porterait « une atteinte disproportionnée au droit à la vie privée ».

    L’article 22 autorisera la surveillance de masse de nos rues par drones, ce qui n’augmentera pas la protection de la population mais servira surtout à renforcer des stratégies violentes du maintien de l’ordre, visant notamment à épuiser et dissuader les manifestants d’exercer leur liberté fondamentale d’exprimer leurs opinions politiques. Pour la Défenseure des droits, cette surveillance « ne présente pas les garanties suffisantes pour préserver la vie privée ».

    L’article 24 empêchera la population de diffuser des images de violences policières, et ce dans des conditions si floues et si générales qu’elles conduiront en pratique à empêcher presque toute captation d’images de policiers et de gendarmes, en violation totale de la liberté fondamentale de la population d’être informée des pratiques et dérives des institutions publiques.

    Réponses aux contre-arguments

    « La reconnaissance faciale par transmission de vidéo en temps réel (article 21) ne s’en prendra qu’aux criminels ».

    La reconnaissance faciale est autorisée depuis 2012 dans le fichier de traitement des antécédents judiciaires, le « TAJ » (lire notre analyse). Ce fichier est géré seule par la police, sans contrôle extérieure effectif, de sorte qu’elle peut y inscrire en pratique à peu près qui elle veut, et même des opposants politiques. Le TAJ contiendrait 19 millions de personnes fichées et 8 millions de photos.

    « Les drones (article 22) permettront de limiter les violences en manifestation ».

    Si la police voulait diminuer les violences, elle adopterait une approche de désescalade de la violence fondée sur la communication et l’apaisement. Les drones sont parfaitement inutiles pour une telle approche apaisée. Ils ne sont utiles que pour l’approche confrontationnelle actuellement adoptée par la police, consistant à gérer les manifestants comme des flux dans des stratégies d’épuisement.

    « Il faut bien une loi pour encadrer l’utilisation des drones, c’est ce que demande le Conseil d’État »

    Telle que rédigée aujourd’hui, la proposition de loi n’est pas un encadrement mais un blanc-seing donnée aux forces de l’ordre pour déployer tout type de surveillance dans l’espace public. Une telle capacité de surveillance de masse est en totale opposition avec les exigences de nécessité et de proportionnalité qui sont normalement nécessaires avant le déploiement de chaque nouvelle caméra dans la rue.

    « L’article 24 n’empêchera que les diffusions faites dans le but de nuire physiquement ou psychiquement aux policiers et gendarmes. »

    La dénonciation d’une violence policière se fait forcément avec la conscience et même la volonté de pouvoir nuire au moral des personnes qu’on dénonce : on veut les empêcher d’agir. Quand on fait une telle dénonciation, on souhaite une sanction disciplinaire, ce qui est une attente parfaitement légitime et normale, qu’il serait donc injustifiable de criminaliser. S’agissant des appels à la violence contre les policiers, ils sont déjà interdits comme pour n’importe quelle personne.

    « L’article 24 n’empêchera que la diffusion des images, pas leur captation. »

    Ce sera déjà une atteinte injustifiable au droit fondamental de la population d’être informée de l’usage de la violence réalisée par la police. De plus, en pratique, la police empêche déjà régulièrement les manifestants et les passants de filmer ses interventions, alors que la population est parfaitement autorisée à le faire. Une interdiction aussi floue et générale que celle introduite par l’article 24 ne pourra que renforcer cette interdiction « de fait » imposée par la police de façon complètement arbitraire et très souvent violente.

    ]]>
    Fichage policier : recours contre le détournement du fichier du « Système de contrôle automatisé »https://www.laquadrature.net/?p=16354http://streisand.me.thican.net/laquadrature.net/index.php?20201109_174759_Fichage_policier____recours_contre_le_detournement_du_fichier_du_____Systeme_de_controle_automatise____Mon, 09 Nov 2020 16:47:59 +0000Nous venons de déposer un recours devant le Conseil d’État contre l’extension du fichier du Système de contrôle automatisé (SCA). Depuis avril, ce fichier permet de conserver pendant 5 à 10 ans les informations relatives à une contravention ou un délit conduisant au paiement d’une amende forfaitaire. Nous attaquons cet énième fichier de police.

    Le SCA — ou ADOC, pour « Accès au dossier des contraventions » — est un fichier de police qui permettait, avant avril, de conserver des informations relatives aux délits routiers. En avril, pendant le confinement, le gouvernement a détourné ce fichier pour y inscrire des informations relatives au non-respect du confinement. La police et la gendarmerie l’ont ainsi utilisé pour repérer les récidivistes, afin tout simplement, de les mettre en prison1Le non-respect des règles de confinement, aujourd’hui encore, vous expose à une amende de 135€, mais la récidive peut en effet vous conduire en prison..

    Ce fichier ne permettant pas, à l’époque, de conserver des informations autres que sur les délits routiers, les procédures judiciaires ont depuis été annulées et les personnes relaxées.

    Qu’à cela ne tienne. Puisque les tribunaux reprochaient à la police d’utiliser un fichier sans en avoir le droit, la police — par le biais du ministre de l’intérieur — a changé les règles du jeu. Et voilà que, depuis mi-avril 2020, toute infraction réprimée par une amende forfaitaire sera inscrite dans ce fichier, et cela pour une durée de 5 ans (pour les contraventions) à 10 ans (pour les délits).

    Outre la méthode infâme et indigne d’un État de droit, cette manœuvre accentue de manière inquiétante le fichage de la population. Non seulement les infractions visées sont peu graves2C’est justement parce que ces infractions sont « peu graves » que l’on peut décider de de payer une amende forfaitaire au lieu de passer devant un tribunal., mais elles sont aussi très nombreuses. Vous pourrez donc vous retrouver dans ce fichier de police pour avoir vendu une Tour Eiffel à la sauvette, pour avoir du cannabis sur vous, pour le dépôt d’ordures3Notons à ce propos que la police sanctionne l’affichage militant sauvage par une amende pour dépôt d’ordures sauvage., pour avoir participé à une manifestation interdite sur la voie publique, ou encore, depuis fin octobre, pour ne pas avoir respecté les obligations de confinement. Et cette liste est très loin d’être exhaustive : nous avons relevé dix délits et une trentaine de contraventions qui, seulement parce qu’ils et elles font l’objet du paiement d’une amende, vous inscrira dans un énième fichier de police. Et ce pour une période relativement longue.

    À travers ce fichier, c’est encore une fois l’impunité policière qui doit être dénoncée. Le gouvernement fait fi des règles d’un l’État de droit pour arriver à ses fins : mettre les gens sous surveillance, les envoyer en prison et réprimer toujours plus durement. Il est pourtant établi qu’un fichage policier conduit toujours à des abus — le TAJ ou les drones ne sont que deux exemples dans un océan d’arbitraire.

    References

    1 Le non-respect des règles de confinement, aujourd’hui encore, vous expose à une amende de 135€, mais la récidive peut en effet vous conduire en prison.
    2 C’est justement parce que ces infractions sont « peu graves » que l’on peut décider de de payer une amende forfaitaire au lieu de passer devant un tribunal.
    3 Notons à ce propos que la police sanctionne l’affichage militant sauvage par une amende pour dépôt d’ordures sauvage.
    ]]>
    Sécurité globale : la police fait la loihttps://www.laquadrature.net/?p=16344http://streisand.me.thican.net/laquadrature.net/index.php?20201106_192204_Securite_globale____la_police_fait_la_loiFri, 06 Nov 2020 18:22:04 +0000La loi « sécurité globale » a été adoptée hier en commission des lois de l’Assemblée nationale (relire notre première analyse de la loi). Un premier constat s’impose aux personnes qui ont suivi l’examen du texte : une ambiance singulière, lugubre et fuyante. Un silence de plomb rompu seulement par divers éclats de rires du groupe LREM, incongrus et parfaitement indécents compte tenu de la gravité du texte examiné. Certains diront qu’il faut écrire la loi d’une main tremblante. Alors tremblons.

    Le RAID dans l’Assemblée

    Cette loi illustre la méthode législative propre aux États policiers : la police écrit elle-même les règles qui définissent ses pouvoirs.

    D’abord, littéralement, l’auteur principal du texte, Jean‑Michel Fauvergue (LREM), est l’ancien chef du RAID, de 2013 à 2017. Il est l’un des deux rapporteurs du texte. À travers lui et, depuis son pupitre en commission des lois, la police a pu imposer son autorité.

    Quand la députée Danièle Obono (LFI) s’inquiète pour nos libertés fondamentales, Fauvergue lui reproche de « déverser [son] fiel sur la société française » – car, comprenez-vous, critiquer la police, c’est critiquer « la France ». Voyant Obono insister, il lui intime même : « Allez prendre vos gouttes ! ». Sans doute voit-il le « débat parlementaire » comme un champ de bataille où il est exclu de négocier avec l’ennemi, tout en se permettant de reprocher à Obono de « voir la société de façon binaire entre les « gentils » et les « méchants »».

    Pensées interdites

    Cette négociation impossible s’est aussi traduite dans l’attitude de l’autre rapporteure du texte, Alice Thourot. Chaque fois qu’un amendement proposait de limiter ne serait-ce qu’un tant soit peu les nouveaux pouvoirs de la police, elle restait cloîtrée dans une unique et lancinante réponse, se résumant à : « Cette disposition a été demandée par la police, il faut l’adopter telle quelle ».

    Elle n’est sortie de ce mutisme intellectuel que pour demander aux députés d’arrêter d’envisager des hypothèses où la police abuserait de ses nouveaux pouvoirs, car de telles pensées seraient insultantes pour la police. Entre ces « crimepensées » et le slogan choisi par Thourot pour cette loi, « protéger ceux qui nous protègent », 1984 est à l’honneur.

    Trois député·es

    Ne laissons ici aucun doute : le rôle historique du Parlement et du droit est précisément d’envisager des hypothèses où les institutions abuseraient de leur pouvoir afin d’en limiter les risques. Mais il n’y avait plus hier qu’une poignée de députés pour s’en souvenir. Saluons-les pour leur étrange baroud d’honneur. Danièle Obono, déjà citée, l’ancien marcheur Paul Molac et le centriste Philippe Latombe qui, devant les barrières dressées par la police au sein même de l’Assemblée nationale, a fait tomber les masques, rempli d’amertume, avouant que « les députés ne servent à rien ». Et en effet, ils n’auront servi à rien.

    Alors que le sujet de cette loi, dont le processus d’adoption est – rappelons le – d’une rapidité exceptionnelle, touche à nos libertés publiques et nécessiterait une discussion solennelle et sérieuse de la part des parlementaires, nous avons à l’inverse pu observer une absence criante de la mesure de la gravité des enjeux, chaque augmentation de pouvoir de la police étant votée comme une simple formalité administrative.

    La police autonome

    Ce débat, tant sur sa forme que sur son fond, aura démontré que la police est une institution politique autonome, avec son agenda et ses idéologies propres qu’elle entend défendre elle-même. Les discussions sur l’article 21 sur les « caméras-piétons » l’ont parfaitement illustré.

    Les députés de droite ont martelé qu’il fallait que cet article 21 permette aux policiers de publier les vidéos prises par leur caméra portative afin de « rétablir la vérité », ou plus exactement d’établir « leur vérité » dans la « guerre des images », et de justifier les violences policières filmées par les journalistes et la population. La police n’est donc plus uniquement chargée de protéger la population contre les infractions. Elle est aussi destinée à faire de la communication politique au même titre qu’un parti politique ou qu’un journal militant – les armes et les hélicoptères en plus.

    Un chien-fou en liberté

    Le gouvernement et sa majorité parlementaire ont toujours dû laisser à la police certaines libertés en contrepartie de la protection armée offerte contre les débordements populaires. Mais ce rapport de force semble largement déraper. Sur la forme, on pourrait se demander ce qu’il reste de l’indépendance du pouvoir législatif, soumis de fait à la police et à ses lobbyistes élus.

    Sur le fond du texte aussi, le rapport de force semble basculer brutalement en faveur de la police. L’article 24 de la loi, qui conduira en pratique à empêcher la population et les journalistes de filmer et de diffuser les images de violences policières, fera disparaître un contre-pouvoir fondamental dans l’équilibre des institutions. Car la documentation des abus policier dans les médias, par la presse et la population, permettait de les contenir un minimum, ce qui arrangeait bien les autres pouvoirs. Si le contre-pouvoir de la presse devait sauter, plus grand-chose n’empêcherait la police de verser dans l’arbitraire le plus total.

    Les amendements de la police

    Hier, l’agenda a bel et bien été dicté par la police. Les seuls amendements sérieux à avoir été adoptés sont ceux qui accroissent les pouvoirs de la police.

    Sur les articles qui nous intéressent, un premier amendement « vise à étendre aux polices municipales les avancées permises par le présent article en matière de caméras individuelles » (notamment la transmission en temps réel au centre de commandement, où les images pourront être analysées automatiquement). Un deuxième ensemble d’amendements allonge la liste des finalités permettant la surveillance par drones (lutte contre les rodéos urbains et les petits dealers notamment).

    Enfin, la seule modification apportée à l’article 24 sur la diffusion d’images policières sonne comme une provocation : l’article 24, qui interdit toujours la diffusion du visage et d’autres éléments d’identification des policiers, permet désormais de diffuser des images illustrant leur matricule – ce fameux RIO dont l’absence est justement si souvent déplorée… Réagissant aux vives oppositions, notamment celle de la défenseure des droits, contre l’atteinte à la liberté d’informer constituée par cet article, l’ancien chef du RAID a été définitif : « nous voulons que les agents ne soient plus identifiables du grand public ».

    La suite

    Le texte sera examiné par l’ensemble des députés à partir du 17 novembre. Vous pouvez appeler ou écrire aux élus d’ici là via l’outil ci-dessous.

    Nos espoirs principaux seront peut-être à placer dans le Sénat et le Conseil constitutionnel, qui ont une place singulière dans les rapports de force entre les institutions et sont récemment parvenus à réduire à néant les initiatives du gouvernement, notamment en s’opposant à la loi Avia.

    Au hasard parmi les députés de
    et de


    ()



    Député suivant >

    ]]>
    Identité numérique et reconnaissance faciale : défaite au Conseil d’Etat, le combat continue !https://www.laquadrature.net/?p=16337http://streisand.me.thican.net/laquadrature.net/index.php?20201106_134409_Identite_numerique_et_reconnaissance_faciale____defaite_au_Conseil_d___Etat__le_combat_continue___Fri, 06 Nov 2020 12:44:09 +0000En juillet 2019, nous avions attaqué l’application pour smartphone « ALICEM » devant le Conseil d’Etat. Cette application, développée par l’Agence des Titres Sécurisés (ANTS), visait à développer une identité numérique gouvernementale, soi-disant « sécurisée », conditionnée à un traitement de reconnaissance faciale obligatoire. Soit une manière détournée de commencer à imposer à l’ensemble de la société française la reconnaissance faciale à des fins d’identification. La CNIL s’était, pour une fois, autorisée à contredire frontalement le gouvernement en soulignant dans son avis qu’un tel dispositif était contraire au droit européen. Le gouvernement n’avait pas suivi son avis et avait publié, sans le modifier, le décret permettant la création de cette application.

    Outre cette violation du droit européen sur la protection des données, nous avions souligné de notre côté le risque de normalisation de la reconnaissance faciale : à force de l’utiliser volontairement comme outil d’authentification, nous risquerions de nous y accoutumer, au point de ne plus nous indigner de ce mode de contrôle social particulièrement insidieux et dangereux pour les libertés publiques. Notre recours était également concomitant à un rapport signé par l’ancien ministre de l’Intérieur, Christophe Castaner, où ce dernier faisait d’inquiétants liens entre Alicem, la haine en ligne et son désir de mettre fin à l’anonymat. Enfin, nous avions attaqué la disproportion des données traitées pour l’application Alicem : pour créer cette identité, l’application traite en effet 32 données différentes (nom, prénom, taille, date de délivrance du passeport…).

    Hier, le Conseil d’Etat a rendu sa décision. Elle est choquante : plus d’un an après le dépôt de notre recours. Il rejette ce dernier en trois paragraphes. Il reprend notamment l’argumentation du ministère de l’Intérieur en considérant que la CNIL s’est trompée : le droit européen serait selon lui respecté car les personnes ne voulant pas utiliser l’application (du fait de la reconnaissance faciale) ne subiraient pas de préjudice. Elles pourraient en effet utiliser d’autres moyens d’identification pour accéder aux services publics en ligne (par exemple via un identifiant et un mot de passe via France Connect). Cette interprétation de la notion de « consentement libre et éclairé » méconnaît non seulement celle de la CNIL mais aussi celle du comité européen de la protection des données. Sur la question de l’étendue des données, il considère tout simplement que le traitement est « adéquat et proportionné ». Sans plus de détails. Une conclusion aucunement argumentée, qui résume à elle seule tout l’arbitraire de cette décision. Un seul lot de consolation  : le Conseil d’État y reconnaît donc que conditionner l’accès à un service public en ligne à la reconnaissance faciale ne respecte pas le droit des données personnelles (il faut toujours qu’une alternative soit proposée, et Alicem risque donc de ne jamais sortir de sa phase d’expérimentation).

    Cette décision marque une bataille perdue contre la surveillance biométrique, contre son utilisation dans le cadre d’une identité numérique, et surtout contre sa normalisation. Notre recours aura néanmoins rempli un de ses objectifs : celui de mettre la lumière sur ce projet du gouvernement et de lancer le débat sur la reconnaissance faciale en France. De montrer aussi à ses promoteurs que chaque initiative, chaque tentative de leur part de nous imposer cette surveillance sera combattue. C’est dans cette même idée que nous avons déposé il y a quelques mois un recours contre la reconnaissance faciale dans le TAJ. C’est aussi dans cette idée que nous suivrons de près le prochain sujet de la carte d’identité numérique, où la biométrie sera, encore une fois, au cœur des débats.

    ]]>
    Faut-il réguler Internet ? (1/2)https://www.laquadrature.net/?p=16242http://streisand.me.thican.net/laquadrature.net/index.php?20201101_100013_Faut-il_reguler_Internet_____1_2_Sun, 01 Nov 2020 09:00:13 +0000Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

    Le modèle de l’économie de l’attention

    Si le rêve initial d’Internet était celui du partage, force est de constater qu’aujourd’hui les « Géants du Web » ont acquis un quasi-monopole sur de très nombreux aspects de nos activités en ligne : nos recherches sur le Net (Google Search possède par exemple 91 % des parts de marché en France), nos téléphones mobiles (le système Android est installé sur la plupart des portables, près de 8 sur 10 en France, et si l’on ajoute Apple et son système iOS, on couvre la quasi-totalité des portables), nos communications via les réseaux sociaux (qui passent en grande majorité par Facebook et Twitter) et les liens sociaux tissés par la même occasion…

    Et ces entreprises n’ont pas développé ces activités dans un but philanthropique : elles sont là pour faire de l’argent, et leur modèle économique est essentiellement basé sur l’affichage publicitaire (cela représente par exemple 85 % du chiffre d’affaires de Google et même 98 % de celui de Facebook). Pour augmenter leur chiffre d’affaires et leurs bénéfices, ils font donc tout ce qu’ils peuvent pour mieux nous cibler et nous garder le plus longtemps possible sur leurs sites ou leurs applications. C’est ce qu’on appelle « l’économie de l’attention » : l’idée est de nous garder le plus longtemps possible « captif·ves », à la fois pour récupérer un maximum de données nous concernant, mais surtout pour bénéficier de plus de « temps de cerveau disponible » et mieux vendre leurs espaces publicitaires aux annonceurs.

    Prenons l’exemple du réseau social Facebook. L’entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l’entreprise pour qu’elle diffuse ce message à ce public, dans les meilleures conditions.

    Afin de cibler correctement ces publics, Facebook analyse donc les contenus produits par ses utilisat·rices : contenus publics, messages privés, interactions diverses, contenus consultés, appareils utilisés pour se connecter, temps de visionnage d’un message, etc. Ces contenus ne se résument pas à ce qu’on publie consciemment, mais à l’ensemble nos activités, qui dévoilent nos caractéristiques sociales, économiques… Pour voir à quel point cette analyse peut s’avérer redoutable, on peut évoquer une étude conduite par l’université de Cambridge en 2013 : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j’aime » laissés sur Facebook. En repartant de leurs seuls « j’aime », l’université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s’ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %).

    Ces données récoltées et traitées (sans forcément que les utilisateur·rices en soient averti·es ou conscient·es) permettent ensuite à Facebook de proposer des messages publicitaires « adaptés », aux moments et aux formats les plus opportuns pour fonctionner sur les personnes ciblées et les influencer dans leurs choix. Mais cela ne s’arrête pas là, Facebook collabore aussi avec des tiers pour pister des personnes n’ayant même pas de compte chez eux, via les cookies (petits fichiers stockés sur nos appareils, initialement faits pour faciliter la navigation, mais qui sont susceptibles d’être utilisés pour traquer les personnes), les boutons « j’aime » sur des pages de sites Internet (si une personne voit un de ces boutons s’afficher sur la page qu’elle consulte, des données la concernant – telle que son adresse IP par exemple – sont envoyées à Facebook et ce même si elle n’a pas de compte auprès de ce service), le Facebook login (bouton qui permet de se connecter sur un site via son compte Facebook, et qui renvoie lui aussi un certain nombre d’informations à Facebook)…

    Mais il est aussi nécessaire de capter le plus longtemps possible l’attention des utilisat·rices dans le cadre de cette « économie de l’attention ». Prenons cette fois l’exemple de Youtube, la plus grosse plateforme vidéo d’Internet, propriété de Google et l’un des sites les plus visités au monde. Youtube ne se contente pas seulement d’héberger des vidéos : il s’agit d’un véritable média social de contenus multimédias, qui met en relation des individus et régule ces relations : lorsqu’une vidéo est visionnée sur Youtube, dans 70 % des cas l’utilisateur·rice a été amené·e à cliquer sur cette vidéo via l’algorithme de recommandation de Youtube. Et le but de cet algorithme n’est pas de servir l’utilisat·rice mais de faire en sorte que l’on reste le plus longtemps possible sur la plateforme, devant les publicités. Cet algorithme ne se pose certes pas la question du contenu, mais en pratique l’ancien employé de Google Guillaume Chaslot [dans un entretien dans le numéro 5 de la revue Vraiment, paru le 18 avril 2018] constate que les contenus les plus mis en avant se trouvent être les contenus agressifs, diffamants, choquants ou complotistes. Il compare : « C’est comme une bagarre dans la rue, les gens s’arrêtent pour regarder ».

    Youtube, désirant ne pas perdre une seconde de visionnage de ses utilisat·rices, ne prend pas le risque de leur recommander des contenus trop extravagants. L’ancien employé déclare qu’ils ont refusé plusieurs fois de modifier l’algorithme de façon à ce que celui-ci ouvre l’utilisat·rice à des contenus inhabituels. Dans ces conditions, le débat public est entièrement déformé, les discussions les plus subtiles ou précises, jugées peu rentables, s’exposent à une censure par enterrement.

    En tant qu’hébergeur de contenu, Youtube est tenu de retirer un contenu « manifestement illicite » si celui-ci lui a été notifié. Compte tenu de la quantité de contenus que brasse la plateforme, elle a décidé d’automatiser la censure des contenus « potentiellement illicites », portant atteinte au droit de certains auteurs, au moyen de son RobotCopyright appelé « ContentID » (système d’empreinte numérique qui permet de comparer tout nouveau contenu déposé sur la plateforme à une base de données préexistante, alimentée par les titulaires de droit d’auteur). Pour être reconnu auteur·e sur la plateforme, il faut répondre à des critères fixés par Youtube. Une fois qu’un contenu est protégé par ce droit attribué par Youtube (en pratique, il s’agit en majorité de contenus issus de grosses chaînes de télévision ou de grands labels), la plateforme se permet de démonétiser1Nombreux sont les Youtubeur·ses qui vivent en partie des revenus publicitaires liés à leurs vidéos. Démonétiser une vidéo revient à supprimer les revenus publicitaires liés à cette vidéo et donc la rémunération de son auteur·rice, en cessant de mettre cette vidéo en avant ou en cessant de l’associer à des publicités. ou supprimer les vidéos réutilisant le contenu protégé à la demande des titulaires de droit. Ce ContentID est un moyen de censure de plus qui démontre que Youtube ne souhaite pas permettre à chacun·e de s’exprimer (contrairement à son slogan « Broadcast yourself ») mais cherche simplement à administrer l’espace de débat public avec pour but de favoriser la centralisation et le contrôle de l’information. Et pour cause, cette censure et cet enfermement dans un espace de confort est le meilleur moyen d’emprisonner les utilisat·rices dans son écosystème au service de la publicité.

    De la nécessité de réguler

    Nous avons donc des entreprises qui récoltent nos données personnelles et en font la base de leur modèle économique, le plus souvent de manière illégale : en effet, depuis mai 2018, le RGPD prévoit que notre consentement à la collecte et au traitement de nos données personnelles n’est pas considéré comme valide s’il n’est pas librement donné, et notamment si l’on n’a pas d’autre choix que d’accepter pour pouvoir accéder au service (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l’article 292https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes et https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 – référence en anglais). Or pour avoir un compte Facebook ou pour consulter des vidéos sur Youtube nous n’avons actuellement pas d’autre choix que d’accepter que nos données soient collectées par leurs outils de pistage/ciblage.

    Et ces mêmes entreprises sont aussi celles qui mettent en avant des contenus polémiques, violents, racistes ou discriminatoires en partant de l’idée que ce sont ceux qui nous feront rester sur leur plateforme. Le rapport visant à « renforcer la lutte contre le racisme et l’antisémitisme sur Internet », commandé par le Premier ministre français et publié en septembre 2018, l’explique très bien. Il dénonce « un lien pervers entre propos haineux et impact publicitaire : les personnes tenant des propos choquants ou extrémistes sont celles qui « rapportent » le plus, car l’une d’entre elles peut en provoquer cinquante ou cent autres. Sous cet angle, l’intérêt des réseaux sociaux est d’en héberger le plus possible ». Plus généralement, le rapport regrette la « règle selon laquelle un propos choquant fera davantage de « buzz » qu’un propos consensuel, alimentant de façon plus sûre le modèle économique des plateformes ».

    References

    1 Nombreux sont les Youtubeur·ses qui vivent en partie des revenus publicitaires liés à leurs vidéos. Démonétiser une vidéo revient à supprimer les revenus publicitaires liés à cette vidéo et donc la rémunération de son auteur·rice, en cessant de mettre cette vidéo en avant ou en cessant de l’associer à des publicités.
    2 https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes et https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 – référence en anglais
    ]]>
    Lettre aux parlementaires : Supprimez les boites noires, ne violez pas le droit européenhttps://www.laquadrature.net/?p=16321http://streisand.me.thican.net/laquadrature.net/index.php?20201030_161428_Lettre_aux_parlementaires____Supprimez_les_boites_noires__ne_violez_pas_le_droit_europeenFri, 30 Oct 2020 15:14:28 +0000Mercredi 4 novembre, l’Assemblée nationale examinera pour la seconde fois le projet de loi visant à prolonger encore une fois les « boites noires ». Introduites par la loi de renseignement de 2015, les « boites noires » sont des dispositifs analysant de façon automatisée l’ensemble des communications circulant sur un point du réseau de télécommunications afin, soi-disant, de « révéler des menaces terroristes ». Une de nos plus importantes affaires, récemment tranchée par la Cour de justice de l’Union européenne, vient de déclarer ces « boites noires » contraires au droit de l’Union.

    Nous venons d’écrire aux députés pour qu’ils rejettent la tentative du gouvernement de violer le droit européen.

    Objet : Supprimez les boites noires, ne violez pas le droit européen

    Mesdames, Messieurs les membres de la commission des lois,

    Le 4 novembre, vous examinerez le projet de loi relatif à la prorogation de diverses dispositions du code de la sécurité intérieure.

    Le 8 juillet, vous aviez rendu un avis favorable à ces prorogations, notamment à celle de la mesure prévue à l’article L851-3 de ce code, jusqu’au 31 juillet 2021. Toutefois, depuis cet examen, un événement majeur est survenu et devrait vous convaincre d’adopter une position diamétralement opposée.

    Le 6 octobre, au terme de cinq années de procédure, la Cour de justice de l’Union européenne a rendu un arrêt « La Quadrature du Net » dont les conséquences sur les activités de renseignement françaises seront d’une importance sans précédent. Cet arrêt dense et complexe affecte de très nombreux aspects du droit. Néanmoins, il y a un point sur lequel le Cour est limpide : la mesure décrite à l’article L851-3 du code de la sécurité intérieur, telle qu’elle est actuellement autorisée en droit français, est contraire au droit de l’Union et à ses traités.

    La Cour considère que cette mesure est une « analyse automatisée [qui] s’applique de manière globale à l’ensemble des personnes faisant usage des moyens de communications électroniques » et que « les données faisant l’objet de l’analyse automatisée sont susceptibles de révéler la nature des informations consultées en ligne ». La Cour exige ainsi que cette « ingérence particulièrement grave » ne puisse être admise qu’à titre exceptionnel « face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » et ce « pendant une période strictement limitée ». Enfin, la mise en œuvre d’une telle mesure doit faire « l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant ».

    Le droit français ne respecte aucune de ces garanties. L’article L851-3 du code de la sécurité intérieure autorise cette mesure de façon générale et par principe, sans être conditionnée à la moindre « menace réelle et actuelle ». Le droit français n’encadre cette mesure dans aucune « période strictement limitée », mais autorise au contraire ces boites noires depuis cinq ans de façon ininterrompue. Enfin, le contrôle de cette mesure a été confié à la CNCTR qui, en droit, n’a aucun pouvoir contraignant.

    Le gouvernement a annoncé qu’il corrigerait ces graves manquements dans une prochaine loi sur le renseignement, sans aucune garantie quant au délai ou à la pertinence des ces corrections. Pourtant, les services de renseignement ne cachent pas l’intérêt stratégique particulièrement limité de cette mesure. Dès lors, proroger l’autorisation de cette mesure ne pourrait être compris et décrit que d’une seule façon : la volonté active du législateur de renoncer aux princes de hiérarchie des normes et d’État de droit en matière de surveillance.

    ]]>
    Loi sécurité globale : surveillance généralisée des manifestationshttps://www.laquadrature.net/?p=16315http://streisand.me.thican.net/laquadrature.net/index.php?20201029_164322_Loi_securite_globale____surveillance_generalisee_des_manifestationsThu, 29 Oct 2020 15:43:22 +0000Le 20 octobre, les députés de la majorité LREM ont déposé une proposition de loi de « sécurité globale ». Elle sera débattue par l’Assemblée nationale le 4 novembre, dans une urgence inouïe que rien ne justifie. Son article 21 veut déréguler l’utilisation des caméras mobiles portées par les forces de l’ordre. Son article 22 veut légaliser la surveillance par drone. Son article 24 veut interdire au public de diffuser l’image de policiers.

    Nous exigeons le rejet de ces trois mesures, ne serait-ce qu’en raison de l’atteinte inadmissible qu’elles portent au droit fondamental d’exprimer nos opinions en manifestation. Ce n’est pas la seule critique à faire contre ce texte, mais c’est la critique que nous développerons dans cette première analyse.

    L’approche confrontationnelle du maintien de l’ordre

    Pour bien comprendre les dangers posés par cette proposition de loi, il faut la resituer dans la pratique générale du maintien de l’ordre en manifestation. Deux approches s’y opposent.

    Une première approche « d’accompagnement », telle qu’elle serait enseignée au centre de formation de la gendarmerie ou telle qu’elle existe en Allemagne, en Suède ou en Suisse, se concentre sur la protection des manifestants, le dialogue et la désescalade de la violence.

    Une deuxième approche « confrontationnelle », telle qu’elle s’illustre vivement depuis 2015 et telle qu’elle est fermement dénoncée depuis (voir par exemple le rapport du défenseur des droits de 2018), vise avant tout à dissuader la population de participer à des manifestations, que ce soit par épuisement psychologique des participants (pratique de la nasse, blocage ou filtrage des entrées et sorties du parcours, gazage, fouilles au corps, comportements injurieux) ou par des violences physiques (LBD, grenades, charges). Cette seconde approche ne traite plus les manifestantes et les manifestants comme des individus à protéger mais comme des « flux » déshumanisés qu’il s’agit uniquement de canaliser, de dévier, de retenir ou d’écouler.

    L’approche « d’accompagnement » est théoriquement compatible avec notre droit fondamental de manifester. Au contraire, l’approche confrontationnelle est frontalement opposée à ce droit, par essence. C’est cette approche que la loi « sécurité globale » tente de renforcer, en donnant à la police trois moyens technologiques nouveaux pour s’y enfoncer davantage.

    Surveillance de masse au sol

    Une loi de 2016 a autorisé les policiers et les gendarmes à filmer leurs interventions par des « caméra mobiles ». Une condition était toutefois posée : que l’agent portant la caméra ne puisse pas accéder aux images, celles-ci ne pouvant être exploitées qu’a posteriori, lorsqu’un événement particulier survenu pendant l’intervention le justifiait. Cette condition, d’après l’avis de la CNIL, constituait une des « garanties essentielles » capables de rendre le dispositif acceptable.

    L’article 21 de la loi « sécurité globale » propose de supprimer cette garantie. Non seulement l’agent pourra accéder aux images qu’il a enregistrées mais, plus grave, les images ne seront plus seulement exploitées à posteriori : elles pourront aussi être « transmises en temps réel au poste de commandement ». Quel est le but de cette transmission en temps réel ? Il ne s’agit manifestement pas d’informer le centre de commandement du déroulé de l’intervention, puisqu’une communication orale y suffit largement depuis des décennies. À notre sens, un des intérêts principaux serait de permettre l’analyse automatisée et en temps réel des images. Pour rappel, la police est autorisée depuis 2012 à utiliser des logiciels de reconnaissance faciale pour identifier une des 8 millions de photos déjà enregistrées dans le fichier de traitement des antécédents judiciaire (TAJ) sur n’importe quelle image dont elle dispose (qu’elle vienne de caméras fixe ou mobile, de vidéo publiée en ligne, etc.)

    En manifestation, la reconnaissance faciale en temps réel permettra au centre de commandement de renseigner en direct les agents de terrain sur l’identité des nombreux militants et militantes qu’ils croiseront, déjà fichées à tort ou à raison dans le TAJ, fichier que la police gère seule sans contrôle indépendant effectif. Ce nouvel outil permettra à la police de multiplier certains abus ciblés contre des personnes déjà identifiées : gardes à vue « préventives », accès au cortège empêché, interpellations non-suivies de poursuite, fouilles au corps, confiscation de matériel, comportement injurieux…

    Il ne s’agirait pas d’une simple accentuation mais d’un véritable changement de paradigme : actuellement, la police ne peut malmener qu’une poignée de personnes, plutôt célèbres, dont le visage peut être effectivement retenu par les policiers humains. Cette limite cognitive disparaît entièrement avec la reconnaissance faciale en temps réel, qui pourra toucher n’importe quel militant politique ou presque. Cette évolution est parfaitement étrangère à l’approche protectrice du maintien de l’ordre, mais s’inscrit parfaitement dans l’approche confrontationnelle.

    Surveillance de masse aérienne

    L’article 22 de la loi « sécurité globale » propose d’autoriser une pratique qui s’est répandue en violation de la loi au cours des derniers mois : le déploiement de drones pour surveiller les manifestations (pratique que nous venons d’attaquer à Paris).

    Une telle surveillance aérienne est parfaitement inutile dans l’approche non-confrontationnelle du maintien de l’ordre : les drones ne sont pas des outils de dialogue ou d’apaisement mais, au contraire, distancient certains policiers et gendarmes des manifestants, qui ne peuvent même plus les voir. À l’inverse, la surveillance de masse par drones s’inscrit parfaitement dans l’approche confrontationnelle, et ce de deux façons.

    En premier lieu, tout comme pour les caméras mobiles, les images captées par drones peuvent être analysées par reconnaissance faciale en temps réel, facilitant les actions ciblées de la police contre des militants préalablement identifiés. La surveillance par drones permet aussi, plus simplement, de suivre à la trace n’importe quel individu « dérangeant » repéré au cours d’une manifestation, afin de diriger les forces aux sols pour le malmener. Mediapart en a récemment donné un exemple saisissant : le témoignage de militantes qui, pour défendre l’hopital public, ont lâché une banderole flottante pendant un discours d’Emmanuel Macron et que la police a interpellées dans un domicile privé en expliquant avoir suivi leur trace par drone – avant de les relâcher après quatre heures, sans qu’elles ne soient poursuivies. Gérard Darmanin l’explique sans gêne dans le nouveau « schéma national du maintien de l’ordre » : les drones « sont utiles tant dans la conduite des opérations que dans la capacité d’identification des fauteurs de troubles ».

    En second lieu, à ces attaques ciblées s’ajoute une approche plus collective. Le drone est l’outil idéal pour la gestion de flux déshumanisés propre à l’approche confrontationnelle. La position aérienne donne à voir concrètement ces « flux » et « liquides » que nous sommes devenus. Elle fait clairement apparaître les robinets et les écluses que la police peut actionner pour retenir, dévier ou faire écouler les flux humains : nasses, barricades, filtres, grenades, gaz. La stratégie d’épuisement des foules est bien délicate à mener sans vision d’ensemble, et c’est l’intérêt principal des drones que d’offrir cette vision.

    Pire, avec une vision si haute et lointaine, les ordres du centre de commandement ne peuvent qu’être déconnectés des considérations humaines les plus élémentaires : bien souvent, les manifestants et les manifestantes ne sont plus que des points vus du dessus, dont la souffrance et la peur sont imperceptibles. Les conditions idéales sont réunies pour éviter que les donneurs d’ordre ne soient distraits par quelque empathie ou considération morale, pour que plus rien ne retienne la violence illégitime qui dissuadera les manifestants de revenir exercer leurs droits.

    Interdiction de documenter l’action de la police

    L’article 24 de la loi « sécurité globale » propose d’interdire au public de diffuser « l’image du visage ou tout autre élément d’identification d’un fonctionnaire de la police nationale ou d’un militaire de la gendarmerie nationale lorsqu’il agit dans le cadre d’une opération de police » et lorsque cette diffusion est faite « dans le but qu’il soit porté atteinte à son intégrité physique ou psychique ». Cette dernière précision vise à rassurer, mais ne soyons pas dupes : la police empêche déjà très régulièrement des personnes de la filmer alors qu’elles en ont parfaitement le droit. Cette nouvelle disposition ne pourra que rendre l’opposition de la police encore plus systématique et violente, peu importe le sens exact de la loi. De même, cette disposition sera à coup sûr instrumentalisée par la police pour exiger que les réseaux sociaux, petits ou grands, censurent toute image d’abus policiers, d’autant que le droit français rend ces plateformes responsables des images « manifestement illicites » qu’elles ne censureraient pas après signalement.

    Il faut bien comprendre, ici encore, que si le maintien de l’ordre se faisait dans une approche de protection et d’apaisement, cette mesure serait parfaitement inutile. La population ne dénoncerait pas de policiers et n’en diffuserait pas l’image si la stratégie de maintien de l’ordre ne reposait pas sur la violence. Le seul objectif de cette disposition est de permettre à cette violence de perdurer tout en la rendant pratiquement incontestable.

    Conclusion

    Aucune de ces trois mesures ne serait utile dans une approche non-violente du maintien de l’ordre, dont l’objectif ne consisterait pas à combattre l’exercice légitime d’une liberté fondamentale mais bien de l’accompagner. A fortiori, ces mesures donneraient un pouvoir nouveau, dans un contexte où la contestation contre les violences policières grandit et où se fait criant le besoin de mécanismes démocratiques de contre-pouvoirs et de régulation du maintien de l’ordre.

    Ce fourvoiement des députés LREM, avec la complicité du gouvernement et de leurs alliés de circonstance du centre traduit une déconnexion de certain·es parlementaires. Nous demandons à l’Assemblée nationale de supprimer ces articles et d’exiger — c’est aussi son rôle — du ministère de l’intérieur un changement radical de modèle dans le maintien de l’ordre.

    ]]>
    Drones en manifestation : La Quadrature contre-attaquehttps://www.laquadrature.net/?p=16307http://streisand.me.thican.net/laquadrature.net/index.php?20201026_120640_Drones_en_manifestation____La_Quadrature_contre-attaqueMon, 26 Oct 2020 11:06:40 +0000Nous venons de déposer un nouveau recours devant le tribunal administratif de Paris, en urgence, pour que la préfecture de police cesse sa surveillance par drones des manifestations. Alors que le Conseil d’État était clair en mai dernier et déclarait illégale l’utilisation des drones par la police parisienne, celle-ci fait depuis mine de ne rien voir et continue aujourd’hui de déployer, à chaque manifestation, son arsenal de surveillance par drones. Il est temps d’y mettre fin, à nouveau.

    En mai dernier, le Conseil d’État donnait raison à La Quadrature du Net en estimant que la surveillance par drones est interdite pour faire respecter les mesures restrictives du confinement. Bien au-delà de cas particuliers, ce sont des principes forts, s’appuyant sur un raisonnement général en matière de droit à la vie privée et de droit à la protection des données personnelles, qui ont été dégagés. Le Conseil d’État a ainsi estimé que l’usage de drones porte une atteinte particulière aux droits et libertés et que, en l’absence d’encadrement réglementaire, leur usage reste interdit.

    Cette décision de justice n’a nullement gêné la préfecture de police. Grâce à votre aide précieuse, nous avons pu documenter l’usage policier actuel des drones pour surveiller les manifestations parisiennes tout au long de ces derniers mois et présenter photos et vidéos qui attestent que la police nationale et la gendarmerie utilisent de manière systématique les drones pour surveiller les manifestations.

    Pourtant, la surveillance des manifestations est d’autant plus grave qu’il s’agit de moments d’expressions politiques. Comme nous l’analysions en 2019, la surveillance des manifestant·es à l’aide de technologies de reconnaissance faciale est également aujourd’hui déjà possible, depuis 2012. Le gouvernement, par la voix du ministre de l’intérieur Gérald Darmanin, ne se cache d’ailleurs pas que l’objectif de ces drones n’est pas seulement le maintien de l’ordre, mais bel et bien, in fine, d’identifier les personnes qui manifestent. Et le récent « Schéma national du maintien de l’ordre » ne fait que le confirmer.

    Notre premier recours contre les drones avait été rendu possible grâce à un article de Mediapart dans lequel la préfecture de police détaillait fièrement son usage des drones. Depuis, cette dernière refuse systématiquement de répondre aux journalistes. Ce silence en dit long sur le malaise du côté de la police qui sait que son activité de surveillance est aujourd’hui purement illégale.

    Il est important de relever un autre silence : celui de la CNIL. L’autorité affirmait pourtant en mai, pour sauver les apparences, s’intéresser à la question des drones alors que le Conseil d’État constatait déjà leur illégalité. Aujourd’hui, plus de cinq mois après ce commentaire, rien ne semble bouger du côté de l’autorité chargée de faire respecter le droit en matière de vie privée…

    En parallèle, la détermination politique de renforcer le pouvoir de la police est plus que jamais présente : la récente proposition de loi « relative à la sécurité globale » prévoit déjà d’autoriser, de façon extrêmement large, les drones pour surveiller les manifestations et identifier les manifestant·es. Nous reviendrons dessus bientôt, mais espérons déjà qu’une nouvelle victoire devant les juges permettra de freiner le blanc-seing que le groupe LREM à l’Assemblée nationale veut donner à la police, et mettra fin à l’utilisation de ce dispositif de surveillance de masse.

    ]]>
    Menace de dissolution du CCIF : une inacceptable atteinte aux libertés associatives et à l’égalité des droitshttps://www.laquadrature.net/?p=16286http://streisand.me.thican.net/laquadrature.net/index.php?20201021_120518_Menace_de_dissolution_du_CCIF____une_inacceptable_atteinte_aux_libertes_associatives_et_a_l___egalite_des_droitsWed, 21 Oct 2020 10:05:18 +0000Dès 2015, La Quadrature du Net a eu l’occasion de travailler avec une poignée d’associations militantes, dont le CCIF, contre l’État d’urgence et ses nombreuses dérives. Elle signe aujourd’hui cet appel, rappelant le danger que fait peser sur les libertés – dans l’espace numériques et au-delà – la dissolution arbitraire d’organisations de la société civile.


    Associations, collectifs, avocat·es, universitaires et membres de la société civile, signataires de ce texte, bouleversé.e.s et choqué.e.s par l’assassinat de Samuel Paty, expriment leur consternation et leur colère à la suite des déclarations du ministre de l’Intérieur, M. Gérald Darmanin, annonçant la volonté du gouvernement de dissoudre plusieurs associations, dont le Collectif Contre l’Islamophobie en France – CCIF, une structure avec laquelle nous collaborons régulièrement.

    La contribution du CCIF au débat public sur la question des discriminations est incontestable. Le racisme et la stigmatisation des personnes musulmanes, ou considérées comme telles, est une réalité en France depuis des décennies. S’attaquer à une association de défense des droits de la minorité musulmane met en péril un combat plus que jamais nécessaire dans une société à la cohésion sociale fragilisée.

    Le CCIF participe aux démarches inter-associatives de défense et de promotion des libertés et droit fondamentaux, comme c’est le cas dans le cadre du réseau « Anti-terrorisme, droits et libertés » dont il est membre ainsi que plusieurs signataires de ce texte. Le CCIF s’est également associé à plusieurs initiatives de la société civile mettant en garde contre les dérives de la mise en œuvre de l’état d’urgence sanitaire. Tout aussi légitime et essentielle est l’action que ce collectif mène au plan judiciaire pour lutter contre la banalisation des discours d’incitation à la haine raciale dans le débat public.
    La dissolution administrative des associations par décret en Conseil des ministres, mesure qui existe en droit français depuis 1936, ne peut intervenir que lorsque de strictes conditions sont remplies, des conditions que le CCIF ne remplit pas. Sa dissolution s’apparenterait à une attaque politique contre une association dont l’action est essentiellement centrée autour de la lutte contre le racisme subi au quotidien par les musulman-es. L’action du CCIF dérange parce qu’elle révèle, ici et là, la manière dont notre société discrimine les personnes musulmanes. En cela, l’action du CCIF rejoint celle de toutes les associations de lutte contre les discriminations (origine, handicap, genre, orientation sexuelle, pauvreté…) dont l’action tend fatalement à remettre en cause les structures, règles et dispositifs majoritaires à raison des inégalités qu’ils créent.

    La stratégie de stigmatisation choisie par le ministre de l’Intérieur est dangereuse puisqu’elle vise des personnes et des associations en raison de leur appartenance religieuse, réelle ou supposée, alors qu’elles n’ont aucun lien avec le terrorisme ou les discours haineux. Cette posture autoritaire bat en brèche des principes essentiels de l’État de droit, qui protègent contre les accusations collectives, les procédures abusives et non fondées sur des faits précis.

    La dissolution arbitraire d’associations n’est une manière ni juste, ni efficace de défendre la liberté d’expression ou la sécurité collective. Seuls les fanatiques religieux et l’extrême droite ont quelque chose à gagner à cette dissolution ; l’État de droit a tout à y perdre.

    Nous demandons au gouvernement de renoncer à la dissolution du CCIF, de respecter la liberté d’association et la liberté d’expression, inscrites dans la Constitution de notre République.

    Signataires :

    Associations : Action Droits des musulmans*, APPUII, Collectif « Les citoyens en alerte », La Quadrature du Net*, REAJI, Tous Migrants, VoxPublic*

    Avocat.es : Me Asif Arif, Me Nabil Boudi*, Me Emmanuel Daoud*, Me Adelaïde Jacquin*, Me Jérôme Karsenti*, Me Raphaël Kempf*, Me Myriame Matari, Me Lucie Simon*, Me Stephen Suffern, Me Flor Tercero*

    Universitaires : Marie-Laure Basilien-Gainche (Univ. Jean Moulin Lyon 3, membre honoraire de l’Institut Universitaire de France)*, Vanessa Codaccioni (Univ. Paris 8)*, Stéphanie Hennette-Vauchez (Univ. Paris Nanterre)*, Olga Mamoudy (Univ. Valenciennes)*, Sébastien Milleville (Univ. Grenoble-Alpes) Stéphanie Renard (Univ. Bretagne Sud), Julien Talpin (CNRS)

    * = membres du Réseau antiterrorisme, droits et libertés.

    ]]>
    Dossier : Faire d’Internet un monde meilleurhttps://www.laquadrature.net/?p=16240http://streisand.me.thican.net/laquadrature.net/index.php?20201018_100014_Dossier____Faire_d___Internet_un_monde_meilleurSun, 18 Oct 2020 08:00:14 +0000L’an dernier, l’association Ritimo a proposé à La Quadrature du Net de rédiger un dossier de fond sur un sujet de notre choix. Le dossier complet est déjà disponible sur le site de Ritimo. De notre côté, nous allons publier progressivement chacun des articles du dossier dans les semaines à venir. On commence ici avec l’introduction.

    Au commencement, Internet était un espace d’expérimentation sans chef, nous étions libres de nous déplacer, de nous exprimer, d’inventer et de créer. Dans les années 2000, la sphère marchande s’est mise à y prendre de plus en plus de place. La publicité s’y est développée et s’est présentée comme un moyen de financer des services en ligne. Grâce aux données sur les utilisateurs de ces services, les méthodes de ciblage publicitaire ont évolué et ont séduit de plus en plus d’annonceurs. Ce nouveau marché de la publicité en ligne était bien trop obnubilé par sa rentabilité pour se préoccuper des droits des personnes vivant derrière ces données.

    Dans le même temps, Internet restait un espace d’expression et prenait de plus en plus de place dans la société. Les États se sont inquiétés de cet espace grandissant sur lequel ils n’exerçaient pas un contrôle assez fort et ont commencé à chercher à mettre en place des mesures pour surveiller et réguler Internet. Lutte contre le partage d’œuvres couvertes par le droit d’auteur, lutte contre le terrorisme, la pédopornographie, les fausses informations, la « haine »… Tout est devenu prétexte à surveiller et à censurer ce qui circule sur Internet. Finalement, les technologies qui semblaient si émancipatrices à leurs débuts se sont trouvées être un parfait allié de la surveillance d’État. L’apprentissage statistique, cette méthode utilisée par l’industrie publicitaire consistant à rassembler de très grandes quantités de données pour établir des corrélations et cibler les personnes susceptibles d’être réceptives à une publicité, devient un outil fabuleux pour repérer des comportements inhabituels dans une foule, par exemple.

    C’est ainsi que pour des motivations bien différentes, les États et les grosses entreprises du numérique ont trouvé dans les technologies développées ces vingt dernières années les leviers nécessaires pour augmenter leur emprise sur leurs citoyens ou leurs clients.

    Le présent dossier proposé par La Quadrature du Net s’intéresse dans un premier temps aux mécanismes qui motivent les États et les entreprises à surveiller, censurer, voire manipuler la population. Les premiers articles détaillent l’impact de ces réductions de libertés, sur la société et sur les personnes, d’un point de vue politique et philosophique. Ils décrivent la mise en silo de la société à différents niveaux : de l’enfermement imposé par les géants du numérique à la stérilisation de nos rues et espaces publics imposée par l’accroissement de la surveillance.

    Pour lutter contre cette mise sous surveillance de nos vies, La Quadrature entend remettre en question les réflexes de solutionnisme technologique vers lesquels les décideurs politiques tendent de plus en plus sans réflexions préalables. Pour construire un Internet plus respectueux des libertés, La Quadrature développe des alternatives politiques et présente les initiatives existantes. Construire cet Internet libre et émancipateur demande de remettre en question certains principes qui ont été imposés par les géants du web : des espaces clos, des règles pour limiter et contrôler le partage de la connaissance et de la création, etc.

    C’est à ces perspectives optimistes qu’est consacrée la deuxième partie de ce dossier. Elle se veut aussi être un appel à imaginer cet « autre monde »…

    ]]>
    Le Sénat autorise Darmanin à nous surveiller en violation du droit européenhttps://www.laquadrature.net/?p=16262http://streisand.me.thican.net/laquadrature.net/index.php?20201015_122803_Le_Senat_autorise_Darmanin_a_nous_surveiller_en_violation_du_droit_europeenThu, 15 Oct 2020 10:28:03 +0000Hier, sur demande du ministère de l’Intérieur, le Sénat a autorisé les services de renseignement à conserver leurs « boites noires », alors même que ces dispositifs venaient d’être dénoncés par la Cour de justice de l’Union européenne.

    Introduites par la loi de renseignement de 2015, les « boites noires » sont des dispositifs analysant de façon automatisée l’ensemble des communications circulant sur un point du réseau de télécommunications afin, soi-disant, de « révéler des menaces terroristes ». Cette surveillance de masse n’avait été initialement permise qu’à titre expérimental jusqu’à la fin de l’année 2018. Cette expérimentation avait été prolongée jusqu’à la fin de l’année 2020 par la loi antiterroriste de 2017.

    Voyant la fin d’année arriver, le ministère de l’Intérieur a souhaité prolonger ses pouvoirs d’encore un an, par un projet de loi déposé le 17 juin dernier et que nous dénoncions déjà (le texte prolonge aussi les mesures de l’état d’urgence intégrées dans le droit commun par la loi SILT de 2017). Le 21 juillet, l’Assemblée nationale a adopté le projet de loi, et c’était au tour du Sénat de se prononcer.

    Le 6 octobre, entre temps, un évènement majeur est intervenu et aurait dû entrainer la disparition immédiate de ce texte. La Cour de justice de l’Union européenne s’est prononcée sur la loi renseignement et nous a donné raison sur de nombreux points, notamment sur les boites noires.

    La Cour a constaté que, en droit français, une « telle analyse automatisée s’applique de manière globale à l’ensemble des personnes faisant usage des moyens de communications électroniques » et que « les données faisant l’objet de l’analyse automatisée sont susceptibles de révéler la nature des informations consultées en ligne » (le gouvernement ayant avoué au cours de l’instruction que les boites noires analysent l’URL des sites visités). D’après la Cour, cette « ingérence particulièrement grave » ne saurait être admise qu’à titre exceptionnel « face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », « pendant une période strictement limitée ». Enfin, les boites noires doivent faire « l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant ».

    Les exigences de la Cour sont beaucoup moins strictes que celles que nous espérions obtenir en allant devant elle – nous voulions l’interdiction pure et simple de toute surveillance de masse. Il n’empêche que ses exigences sont bien plus strictes que celles du droit français. L’article L851-3 du code de la sécurité intérieure autorise les boites noires de façon générale et par principe, sans être conditionnée à la moindre « menace réelle et actuelle » – menace qu’on ne saurait identifier aujourd’hui, d’ailleurs. Le droit français n’encadre ces mesures dans aucune « période strictement limitée » mais les autorise au contraire depuis cinq ans de façon ininterrompue. Enfin, le contrôle des boites noires a été confié à la CNCTR qui, en droit, n’a aucun pouvoir contraignant.

    Le droit français viole clairement le droit européen. La Cour de justice l’a déclaré sans ambigüité. En réaction, les sénateurs auraient dû refuser immédiatement et automatiquement la prolongation demandée par le ministère de l’intérieur. Ses boites noires sont illégales et, s’il tient vraiment à les maintenir, il n’a qu’à corriger sa loi.

    Qu’ont fait les sénateurs ? Ils ont prolongé les boites noires pour une année entière au lieu des sept mois votés par l’Assemblée (sur les dispositifs de la loi SILT, les sénateurs ont carrément décidé de les pérenniser sans débat). Sinon, rien. Les pleins pouvoirs ont été reconduits dans les mains de Darmanin. Tant pis pour l’État de droit.

    Le texte, examiné en lecture accélérée, va maintenant passer en commission mixte paritaire où l’Assemblée et le Sénat chercheront un compromis – qui ne s’annonce pas vraiment en faveur de nos libertés. Ensuite, tel que le ministre de l’intérieur l’a rappelé au Sénat, il proposera bientôt une nouvelle loi renseignement qui, entre autres choses, entend bien autoriser de façon pérenne les boites noires. La bataille sera ardue : commençons-la dès maintenant.

    ]]>
    « S’opposer à la 5G pour dire notre refus de l’informatique dominante »https://www.laquadrature.net/?p=16199http://streisand.me.thican.net/laquadrature.net/index.php?20201010_110010_____S___opposer_a_la_5G_pour_dire_notre_refus_de_l___informatique_dominante____Sat, 10 Oct 2020 09:00:10 +0000Tandis que La Quadrature du Net vient de publier sa position commune sur la 5G, nous entamons la publication d’une série de points de vue plus personnels. Suite à sa participation à une journée d’action anti-5G le 19 septembre dernier, Félix Tréguer, membre du collectif, a réagi aux critiques qui s’étaient fait jour sur notre liste de discussion. Nous publions ici une version légèrement remaniée de ce texte partagé le le 24 septembre dernier.

    Ma participation comme représentant de La Quadrature du Net à une journée de mobilisation contre la 5G à Lyon, samedi 19 septembre, a suscité des réactions nombreuses et pour le moins contrastées.

    Parmi elles, des réactions assez hostiles, rageuses ou moqueuses, qui ont fait suite aux quelques éléments partagés sur les réseaux sociaux pour expliquer le sens ma participation. En prenant part à une table ronde et à un atelier organisés dans le cadre de cette journée, j’aurais donné – et La Quadrature du Net à travers moi – du crédit aux « obscurantistes », « dingos anti-ondes » et autres adeptes de la « fake science ». Or, s’il est vrai qu’on trouvait des textes relevant clairement de la désinformation scientifique sur certains des sites associés à cette journée, il serait trompeur et dangereux de la réduire à cela.

    L’événement était organisé par plusieurs collectifs locaux (anti-5G, anti-Linky, anti-surinformatisation, écologistes) et couvrait les trois grandes catégories de critiques adressées à la 5G : aspects sanitaires, coût écologique et celle dont on parle beaucoup moins et pour laquelle nous étions justement invités, à savoir l’accentuation de la surveillance numérique. L’invitation à y intervenir m’a été faite par des gens du collectif stéphanois « Halte au contrôle numérique » qui ont pris une part active dans l’organisation de cette journée.

    Nous nous sommes rencontrés l’hiver dernier dans le cadre d’une conférence organisée à Saint Étienne où j’étais venu parler de notre campagne Technopolice. Au sein de La Quadrature, on était plusieurs à avoir auparavant pu échanger avec des membres du collectif, et nous étions vraiment enthousiastes quant à leurs actions de terrain : chiffro-fêtes, projections et débats publics autours de documentaires, déambulations festives contre l’« atelier Google », travail d’information et de résistance au projet de capteurs sonores « intelligents » dans un quartier populaire du centre-ville de Saint Étienne, happening contre la réunion organisée (finalement annulée) par le député Jean-Michel Mis sur la reconnaissance faciale (où les participants étaient venus affublés d’un masque à son effigie). Bref, des militants aux parcours divers qui inventent des choses ensemble et obtiennent de belles victoires, et en qui l’on a spontanément confiance.

    Alors certes, il y a dans la mouvance anti-Linky/anti-5G, des gens peu crédibles, en particulier parmi celles et ceux qui se mobilisent autour des risques associés aux champs électro-magnétiques (les « anti-ondes »). C’est regrettable, mais c’est un peu le problème inhérents aux espaces horizontaux dans des collectifs militants qui tâchent de s’ouvrir – un point de faiblesse classique des mouvements décentralisés comme l’est la mouvance anti-Linky (un autre exemple serait celui des Gilets Jaunes). Peut-on pour autant caricaturer l’ensemble du mouvement, voire même sa seule composante « anti-ondes », en le réduisant à ces gens-là ? Je ne crois pas.

    Quand j’ai discuté de ma participation avec les autres membres de La Quadrature, le risque de s’associer à des groupes récusant les règles de la controverse scientifique et du débat de société a tout de suite été identifié. Mon avis, c’était qu’il fallait refuser cette caricature du mouvement dans son ensemble. Je trouvais vraiment dommage que, à quelques jours du lancement de la vente aux enchères des fréquences 5G, on s’interdise – au nom de la pureté militante et par peur des raccourcis, au prétexte qu’une des franges du mouvement serait « infréquentable » – d’exprimer notre solidarité. Alors même qu’on tombait d’accord au sein de La Quadrature sur la nécessité de nourrir nous aussi une critique de la 5G, je pensais qu’à partir de notre point de vue spécifique, nous pouvions revendiquer un objectif commun au sein d’une coalition ouverte et par nature hétérogène.

    D’ailleurs, des alliances hétérogènes, La Quadrature en fait très régulièrement avec d’autres ONG inscrites dans notre champ, des partis politiques, des entreprises : on signe des lettres ouvertes écrites par d’autres malgré des nuances qui nous semblent parfois manquer, on assiste à des événements organisés par des gens que l’on n’apprécie guère, en rappelant souvent que notre participation ne vaut pas soutien (et avec comme ligne rouge de ne jamais laisser le moindre doute quant au fait que nous sommes un collectif anti-raciste, anti-sexiste, anti-homophobie, anti-transphobie, anti-fasciste…). Après tout, les âneries pseudo-scientifiques et les mensonges, on en entend également plein dans la bouche des promoteurs très en vue de la 5G sans que ça n’émeuve grand monde, et il y a là un regrettable deux poids, deux mesures.

    Je ne veux vraiment pas m’attarder sur ce sujet, mais je trouve aussi qu’il y a quelque chose d’assez malsain dans l’agressivité opposée aux « anti-ondes ». Quand l’ANSES estime à 5% la part de personnes électro-sensibles, et quand bien même les scientifiques n’arrivent pas à établir de lien probant entre les ondes présentes dans notre environnement quotidien et ces symptômes, on ne peut pas, à mon sens, se moquer de la posture anti-ondes comme si « La Science » avait tranché ce débat une fois pour toutes. Certes, on ne doit pas nécessairement donner le bénéfice du doute aux anti-ondes, mais on sait aussi que la science n’est pour une grande part qu’une série de postulats que l’on n’a pas encore réussi à infirmer. On ne sait pas tout, et dès lors qu’il y a des choses non-élucidées sur des pathologies très largement observées, le doute scientifique et un sens élémentaire de l’empathie devraient nous inviter à une humilité compréhensive vis-à-vis de la souffrance de ces personnes, et à une écoute attentive lorsqu’elles expriment leur défiance vis-à-vis du fonctionnement des agences sanitaires et qu’elles documentent les conflits d’intérêt qui les entourent.

    Mais bref. Je n’étais pas à Lyon pour ça. J’étais à Lyon pour dire que, depuis son positionnement spécifique, sans être d’accord sur tout ce qui s’était dit dans la journée, La Quadrature était solidaire de l’objectif affiché, à savoir faire obstacle au déploiement de la 5G. Avec nos raisons à nous, que j’ai personnellement résumé en ces termes sur les réseaux sociaux (ce qui, j’en conviens, n’était pas l’endroit adapté) :

    • Parce que, tout en constatant les affres de l’informatisation et l’échec global de nos luttes pour un Internet libre, on peut continuer à penser que le numérique pourrait avoir un visage bien différent, et que
      manifestement la #5G nous éloigne toujours plus de cet horizon …
    • Parce que, à les lire, le futur que les promoteurs zélés de la #5G nous préparent, c’est l’accélération de presque tout ce qui déraille déjà dans la société numérique : société « sans contact », automatisation, déshumanisation.
    • Parce que la #5G, toujours à lire les industriels qui planchent dessus, c’est notamment la fuite en avant programmée de la société de surveillance : vidéosurveillance et autre gadgets de la #Technopolice, #IoT spywares, etc.
    • Parce que les discours des défenseurs de la #5G contribuent dores et déjà à instituer le monde-machine qu’ils fantasment, à le banaliser, à le rendre incontournable et désirable, à orienter les investissements et la R&D. Que, hélas, leur science fiction transforme notre réalité.
    • Parce que la #5G est une technologie technocratique et coûteuse, qu’elle est imposée par « en haut » en raison d’intérêts économiques et politiques dans lesquels nous ne nous retrouvons pas. Et qu’en dépit de tout cela, le pouvoir a l’audace de la présenter comme incontestable.

    Je voudrais revenir un instant sur « l’échec global de nos luttes » que j’évoquais. Je crois en effet que l’activisme numérique – celui des logiciels libres, des réseaux libres, de la lutte contre la surveillance et la censure d’Internet – doit, tout en gardant l’expertise technique et juridique qui a fait sa force, se renouveler et s’ouvrir. Cela passe notamment par le fait de sortir de notre zone de confort pour nous ouvrir aux questionnements technocritiques et écologistes, de nous livrer à des alliances nouvelles capables de faire grossir nos luttes, de les rendre plus populaires, plus disséminées, en expérimentant de nouveaux modes d’action. C’est en substance ce qu’on expliquait il y a trois ans dans notre « revue stratégique » et c’est bien ce qu’on essaie de faire à notre petite échelle, par exemple avec la campagne Technopolice. Or, c’est aussi cela que permet l’opposition à la 5G.

    Alors oui, on est d’accord : il n’y a rien d’intrinsèque ni même de très spécifique à la 5G dans les arguments évoqués ci-dessus. Ces problèmes, ce sont pour l’essentiel ceux du processus d’informatisation dans son ensemble, et ceux des technosciences en général. La 5G n’est qu’une couche de plus sur un substrat déjà bien moisi. Mais – et c’est là que je veux en venir – s’opposer à son déploiement, c’est aussi une manière de tenter de se ménager des marges de manœuvre dans nos luttes, en tâchant d’éviter que la situation ne s’empire. En conclusion de la contre-histoire d’Internet que j’ai publié l’an dernier, j’avais résumé les choses comme ça :

    Près de quarante ans [après le début du processus d’informatisation], tandis que la « gouvernance par les données » sert de nouveau mode de gouvernement, que les protections juridiques associées à l’État de droit sont tendanciellement dépassées, la technologie informatique continue sa « marche en avant » au service du pouvoir. Un tel constat doit nous interroger : et si, en nous en tenant aujourd’hui à des approches éthiques, juridiques, technologiques ou organisationnelles pour tenter de corriger les pires aspects des technologies modernes, nous ne faisions qu’acter notre propre impuissance ? Cette  interrogation fait directement écho à Foucault, et à la question stratégique centrale évoquée dans ses écrits sur les liens entre pouvoir et « capacités » (où il mentionne expressément les capacités [technologiques] associées aux « techniques de communication ») : « Comment déconnecter la croissance des capacités et l’intensification des relations de pouvoir ? » (…).

    Malgré les espoirs des premiers hackers et autres pionniers quant aux possibilités ouvertes par la micro-­informatique, ce découplage entre pouvoir et technologie se fait toujours grandement désirer. L’informatique prolifère désormais dans nos foyers, sur nos corps, et dans l’espace public urbain où notre capacité à nous rassembler a historiquement constitué une des modalités de contestation les plus efficaces. À l’heure où le Big Data et l’intelligence artificielle s’accompagnent d’une recentralisation phénoménale des capacités de calcul, un tel découplage entre pouvoir et informatique paraît moins probable que jamais. Et si l’on admet qu’il n’adviendra pas dans un futur proche, alors il est urgent d’articuler les stratégies classiques à un refus plus radical opposé à l’informatisation du monde.

    Il se trouve que, dans notre société, le refus collectif d’une technologie, c’est presque de l’ordre du blasphème. Sébastien Soriano, le président de l’Arcep, a beau dire « #Parlons5G », il est lui aussi très clair sur le fait que la 5G se fera (ou, pour le citer, que « la France ouvrira pourtant la voie à la 5G »). Ou l’art de la concision pour illustrer la profonde inanité de la « démocratie technique » que les institutions prétendent mettre en œuvre, que ce soit d’ailleurs sur la 5G, la reconnaissance faciale ou l’intelligence artificielle : des pseudo-consultations où le principal objectif pour le pouvoir est d’assurer « l’acceptabilité sociale » de ces technologies.

    Cela fait plus de dix ans que je participe à La Quadrature du Net et je peux vous dire qu’on en a fait des débats, des rapports, des réponses à des consultations, des communiqués pour dénoncer ou proposer. On en a déposé beaucoup, des amendements et des recours pour tenter de promouvoir une informatique à échelle humaine, qui ne soit pas toute entière construite contre nos droits. Et même si je continue de penser que le travail que nous faisons est utile et nécessaire, nos quelques victoires ne changent rien au fait que l’on perd chaque jour du terrain ; que l’informatique dominante surveille, domine, automatise, déshumanise ; qu’elle est très coûteuse en ressources. Quant aux artisans de l’Internet décentralisé et émancipateur, ils tiennent bon, mais les politiques publiques les relèguent toujours plus loin aux marges de l’économie numérique.

    La Quadrature est d’autant plus fondée à s’opposer aujourd’hui à la 5G que, depuis dix ans, une partie de notre action – souvent restée inaperçue il faut bien le dire – a porté sur les politiques du secteur télécom, notamment s’agissant du spectre radio-électrique. En mai 2011, nous revendiquions la libération de l’accès aux fréquences pour favoriser le développement de réseaux télécoms suivant la logique des biens communs – soit l’exact inverse des mises aux enchères prisées dans le secteur depuis les années 1990. L’année suivante, nous avions dénoncé la vente par l’État des fréquences dévolues à la 4G. Plus récemment, en lien avec le projet de recherche européen netCommons, La Quadrature s’est aussi battue aux côtés des opérateurs télécoms associatifs de la Fédération FDN et de nombreux autres réseaux communautaires à travers le monde pour porter une revendication simple : démocratiser les télécoms. Nous avons même obtenu quelques avancées, à la fois modestes et historiques. Inscrites dans le code européen des télécommunications adopté fin 2018, elles se heurtent aujourd’hui à l’indifférence totale des responsables publics.

    Convenons au moins de ça : le déploiement de la 5G ne nous rapprochera pas d’un iota de nos objectifs. Les gains en puissance de calcul, en capacités de stockage, ou comme en l’espèce en vitesses de transmission et de latence, ont essentiellement pour effet de renforcer l’informatique de contrôle que l’on est censés combattre. La 5G présente des risques importants pour la neutralité du Net. Il est très clair qu’elle ne bénéficiera nullement aux hébergeurs alternatifs comme Framasoft et ses CHATONS, ni aux opérateurs de la Fédération FDN. Tout porte à croire qu’elle fera en revanche les choux gras des multinationales qui dominent déjà le secteur – de Google à Netflix en passant par Thales – et des alliances public-privé formées pour nous surveiller et nous administrer.

    Affirmer collectivement notre refus de l’informatique dominante, c’est aussi ça le sens de l’opposition à la 5G. Alors soit : notre opposition ne porte pas tant sur un protocole que sur la logique qui le produit et qu’il reproduit, à savoir l’informatisation de tout au travers de choix arbitrés technocratiquement, au mépris des droits et de la démocratie. La 5G n’est qu’un des symptômes d’un problème bien plus large. Mais en attendant que le monde change, en attendant qu’il produise des techniques en accord avec nos valeurs politiques, elle est un très bon moyen de contester l’innovation technologique en revendiquant le droit d’appuyer sur la touche « STOP ».

    Tout ça pour vous dire que je n’ai aucun regret à être allé à cette journée.

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    ]]>
    Brisons le totem de la 5Ghttps://www.laquadrature.net/?p=16188http://streisand.me.thican.net/laquadrature.net/index.php?20201009_170537_Brisons_le_totem_de_la_5GFri, 09 Oct 2020 15:05:37 +0000La Quadrature du Net refuse le futur promis par les promoteurs de la 5G.

    Nous refusons le rêve d’Ericsson pour qui la 5G ouvrira à la « smart surveillance » un marché de 47 milliards de dollars d’ici 2026. Nous refusons que la vidéosurveillance puisse représenter le marché le plus important des objets connectés permis par la 5G, estimé à 70% en 2020, puis 32% en 2023. Nous refusons le fantasme sécuritaire dans lequel « l’obtention d’image d’une très haute qualité ouvre la voie à l’analyse intelligente de la vidéo via l’IA ». Nous refusons l’ambition de l’ancien employé de Safran, Cédric O, de procéder au déploiement de la 5G quoi qu’il en coûte.

    Peu importe que ces promesses soient crédibles ou non, nous mettons en garde contre ce qu’elles représentent. Elles sont le rappel, fait par une industrie techno-sécuritaire qui n’existe que pour elle-même et impose partout son agenda, que nous n’avons jamais eu notre mot à dire sur ces grands programmes industriels ; que cette industrie et ses relais au sein de l’État s’arrogent le droit de nous contrôler au travers de leurs innombrables gadgets, quitte à participer à la ruine de ce monde ; quitte à risquer ce qu’il nous reste d’humanité.

    Si l’industrie de la surveillance a fait de la 5G le totem de son monde fantasmé, il nous faut briser ce totem. Nous l’affirmons avec d’autant plus de détermination que nous savons que les politiques en matière de télécoms pourraient avoir un visage bien différent, que les réseaux télécoms pourraient être faits pour les gens et par les gens. Partout en Europe et dans le monde, des alternatives existent. Elles se heurtent malheureusement à l’indifférence coupable et intéressée des gouvernants.

    À La Quadrature, les débats sur la 5G ont commencé il y a déjà quelques temps et sont parfois très animés. Au delà de la position commune affichée ici, nous prévoyons de publier différentes tribunes qui seront recensées ci-dessous afin de donner à voir les nuances dans nos positionnements.

     

     

     

    ]]>
    La censure de l’art pour banaliser la surveillancehttp://streisand.me.thican.net/laquadrature.net/index.php?20201008_185003_La_censure_de_l___art_pour_banaliser_la_surveillanceThu, 08 Oct 2020 16:50:03 +0000La Quadrature du Net s’inquiète de la censure par le Studio national d’arts contemporains Le Fresnoy, à Tourcoing, de l’artiste Paolo Cirio, suite à une intervention du ministre de l’intérieur Gérald Darmanin, et de syndicats de policiers, qui demandait dans un tweet la déprogrammation de son exposition « Capture », au motif que celle-ci serait une « mise au pilori » des policiers. En France, l’expression est libre, et le fait que l’art questionne de manière tout à fait légale l’arrivée de la reconnaissance faciale dans la société européenne ne devrait en aucun cas devenir une raison de censurer une telle exposition.

    Le 1er octobre, Paolo Cirio, artiste contemporain, lançait un site web, capture-police.com pour annoncer une une exposition au Fresnoy à partir du 15 octobre, portant sur l’importance du débat européen sur la reconnaissance faciale. « L’exposition Capture est constituée de visages d’officiers de police français. L’artiste a collecté 1000 images publiques de policiers prises durant des manifestations en France. Capture commente l’usage et le mésusage potentiel de technologies d’intelligence artificielle et de reconnaissance faciale en questionnant les jeux d’asymétrie du pouvoir. Le manque de règles de respect de la vie privée de ce type de technologie finit par se retourner contre les mêmes autorités qui invitaient à son utilisation » L’exposition ainsi que le site web sont donc tout à fait licites de notre point de vue, la zone de saisie d’un nom sous chacun image de policier étant en réalité inactive, et ne collectant donc aucune données. L’exposition pose pourtant de manière originale et forte la question de l’arrivée de technologies de reconnaissance faciale dans la société.

    Le même jour, le ministre de l’intérieur s’offusquait publiquement et menaçait l’artiste de poursuites. Le lendemain, le syndicat de police Synergie publiait une lettre du studio d’arts contemporain Le Fresnoy annonçant l’annulation de l’exposition, annulation dont l’artiste n’était à cette heure pas encore prévenu ! La pression à la fois du ministre de l’intérieur et d’un syndicat de police sur une exposition d’art contemporain démontre l’asymétrie des pouvoirs que l’exposition comptait précisément mettre en lumière : le gouvernement ne défend la vie privée que de la police, tandis que cette même police a déjà enregistré la photo de 8 millions de personnes dans le fichier de traitement des antécédents judiciaires (voir notre analyse) et se permet d’analyser illégalement ces images par reconnaissance faciale (nous avons contesté ce pouvoir en justice).

    « Nous demandons depuis longtemps l’interdiction des technologies de reconnaissance faciale dans l’espace public tant au niveau du droit français que du droit européen. Gérald Darmanin montre à nouveau ses ambitions autoritaires et son mépris des principes démocratiques, faisant pression sur un artiste, qui ne souhaitait qu’apporter dans l’espace public un débat légitime : faut-il autoriser des technologies liberticides dans l’espace public ? » réagit Benjamin Sonntag, membre de la Quadrature du Net.

    ]]>
    Surveillance : une défaite victorieusehttps://www.laquadrature.net/?p=16157http://streisand.me.thican.net/laquadrature.net/index.php?20201006_153420_Surveillance____une_defaite_victorieuseTue, 06 Oct 2020 13:34:20 +0000Premier communiqué de presse à chaud

    La Cour de justice de l’Union européenne (CJUE) vient de rendre une décision très attendue en matière de surveillance. Depuis près de quinze ans, l’État français imposait aux fournisseurs d’accès à Internet et de téléphonie de conserver les données de connexion de l’ensemble de la population (qui parle à qui, quand, d’où). La Quadrature du Net, aux côtés de FDN, FFDN et Igwan.net, contestait devant les juridictions de l’UE la légalité du droit français en la matière.

    Une première lecture rapide nous laisse penser qu’il s’agit d’une défaite victorieuse. En effet, si la Cour affirme que la France ne peut plus imposer cette conservation généralisée des données de connexion, elle fait apparaître un certain nombre de régimes d’exception importants. Cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus, que nous détaillerons plus tard.

    Cependant, aussi décevant soit-il, l’arrêt de ce matin dessine un cadre juridique qui est beaucoup plus protecteur des libertés et de la vie privée que l’état actuel du droit français. Par exemple, si l’État peut toujours obliger les fournisseurs d’accès à Internet à conserver les adresses IP de toute la population, ces adresses ne peuvent plus être utilisées que dans le cadre des enquêtes sur la criminalité grave ou dans les affaires de sécurité nationale (notamment, de terrorisme). Autre victoire importante, les hébergeurs de sites web ne peuvent plus être contraints par la loi à surveiller pour le compte de l’État l’ensemble de leurs utilisateurs, en gardant en mémoire qui publie quoi, avec quelle adresse IP, quand, etc.

    Le droit français se retrouve ainsi en contradiction flagrante avec la décision de la CJUE : le principe de conservation généralisée est refusé par la Cour alors qu’il est la règle en droit français. La Cour acte que les mécanismes français de contrôle des services de renseignement ne sont pas suffisants, et nous veillerons lors de la réforme annoncée du droit français à ce que les garde-fous nécessaires soient renforcés.

    Cet arrêt, de 85 pages, nécessitera une longue et minutieuse analyse dans les semaines et les mois à venir.

    ]]>
    Le déguisement des trackers par Cnamehttps://www.laquadrature.net/?p=16142http://streisand.me.thican.net/laquadrature.net/index.php?20201005_093828_Le_deguisement_des_trackers_par_CnameMon, 05 Oct 2020 07:38:28 +0000

    Aujourd’hui, nous allons vous expliquer comment marche, à quoi sert, et quelles sont les conséquences du « Cname Cloaking » ou « déguisement par Cname », une technique désormais utilisée par les sociétés de publicité, marketing et surveillance ou suivi des internautes pour outrepasser la protection des systèmes anti pub ou anti tracking comme uBlock origin, Adblock et autres

    Le tracking / suivi des internautes, c’est quoi ?

    Les sites de media les plus visités (par exemple lemonde.fr, lefigaro.fr, mais aussi des sites comme marmiton.org ou leboncoin.fr) faisant beaucoup de visites, ils veulent pouvoir monétiser le fait que de nombreux internautes viennent sur leur pages web, et en profiter pour afficher de la publicité autour des contenus qu’ils publient, ce qui permet de financer tout ou partie de leur entreprise.
    Ces sites ont donc peu à peu ajouté plein de contenus externes à leur page web, des contenus venant d’autres entreprises, soit pour afficher de la publicité, pour collecter des statistiques de visite, ou pour suivre des internautes d’un site à l’autre et ainsi créer des profiles précis, permettant de leur afficher des publicités plus ciblées, donc supposément plus efficaces, donc qui rapporteraient plus.
    On appellera donc « tracking » tout contenu d’un site web qui n’est pas géré par la boite produisant ce site, mais qui vient d’un tiers, et dont le but est une de ces 3 finalités : statistiques, affichage publicitaire, création de profil consommateur. Notez que parfois un contenu tiers rentre dans plusieurs de ces catégories en même temps.
    Prenons un exemple. Si je vais sur lefigaro.fr, mon navigateur reçoit une page web qui est constituée d’un document principal (la page web), ainsi que des fichiers supplémentaires, fournis par lefigaro (ou parfois par un tiers pour des questions d’optimisation) qui permettent d’afficher des images, des animations, une police de caractère, une jolie mise en page etc.
    Ensuite, tout un tas de trackers sont chargés, servis par divers tiers, ici on trouve du criteo, du brightcove, appnexus, taboola. On les voit en rouge dans cette vidéo, car mon bloqueur de pub, uBlock Origin, empêche leur chargement dans la page.
    On voit qu’une fois la page chargée, mon navigateur a fait 94 requêtes pour un total de 1.2 méga-octets transférés. Si on charge la même page sans bloqueur de pub, on voit mon navigateur faire pas moins de 650 requêtes pour un total de 10.5 méga-octets ! On comprend donc facilement pourquoi les internautes veulent utiliser un adblocker : cela fait économiser beaucoup de temps, de puissance machine pour télécharger, décoder et afficher ces éléments inutiles, ainsi que de bande passante (Dans la consommation de ressource du numérique, je n’ai jamais vu d’étude sérieuse prenant en compte cette surcharge du fait de la surveillance, du suivi, de la pub, des statistiques… alors qu’on le voit, cela pèse parfois très lourd !)
    Ce que l’on a donc appris, c’est qu’il y a de nombreuses entreprises tierces chargées d’afficher de la publicité, fournir des statistiques ou suivre les internautes d’un site à l’autre pour tenter de les profiler et vendre la publicité plus cher. Ce que l’on voit aussi, c’est que ces éléments de pages sont sur des noms de domaine distincts, les rendant facilement identifiable par un bloqueur de pub, ce qui permet leur blocage.

    Le Cname Cloaking, c’est quoi ?

    Afin de contrer la présence de plus en plus importante de logiciel de blocage de publicité, les entreprises de tracking ont trouvé une manière détournée de pouvoir nous suivre quand même : le Cname Cloaking. Le principe technique est assez simple : au lieu de fournir les outils de tracking via une adresse située sur un nom de domaine identifiable (comme criteo.com ou eulerian.com), le site web souhaitant surveiller l’utilisateur crée un sous-domaine de son domaine principal, qui pointe chez le fournisseur de tracking.
    Petit point technique : sur Internet, on utilise un service, nommé le DNS, qui permet de savoir où est situé sur Internet un nom de domaine donné. Par exemple, utilisant le DNS, je peux savoir que sonntag.fr est à l’adresse IP (qui est l’équivalent sur Internet des adresses postales) 91.194.60.2. Ainsi chaque éditeur de site ou fournisseur a une ou plusieurs Adresses IP où il héberge ses infrastructures.
    On va prendre pour notre exemple le domaine 01net.com, qui utilise le Cname Cloaking à ce jour.
    Si je me rends sur 01net.com, je constate l’utilisation d’un sous-domaine « 5ijo.01net.com » qui pointe vers l’adresse IP 109.232.197.179 appartenant non pas à 01net, mais à Eulerian !
    La méthode proposée est malgré tout peu pratique parce que l’adresse IP du fournisseur de tracking est susceptible de changer, le propriétaire du site web ne crée donc pas un pointage DNS direct depuis son nom (ici 5ijo.01net.com) vers l’adresse IP de son prestataire tracker, mais crée un sous-domaine de type Cname, appelé aussi Alias en français, qui pointe vers un autre domaine, qui lui pourra enfin pointer vers l’adresse IP finale.
    Si je regarde en détail où pointe notre exemple sur Internet, je constate que 5ijo.01net.com est un Cname ou alias vers 01net.eulerian.net. Qui est lui-meme un alias vers atc.eulerian.net, qui enfin pointe vers l’adresse IP que notre navigateur devrait joindre.
    Ainsi, Eulerian peut choisir de changer l’adresse IP cible en toute autonomie. Et 01net.com trompe les internautes en leur faisant croire qu’ils téléchargent un contenu du site 01net.com, alors que leur navigateur est en train de télécharger un script de tracking chez Eulerian… Cette technique, utilisant un Cname DNS pour cacher le nom du véritable fournisseur de tracking est donc nommée « Cname Cloaking » ou « Déguisement par Cname ».
    Ce faisant, et pendant quelques mois, les outils de protection contre le pistage comme uBlock Origin ont été trompé et laissaient passer ces appels à Eulerian qui pouvaient donc nous traquer en toute discrétion. Je vous rassure, c’est corrigé depuis, et uBlock empêche bien ce genre d’usage.
    On peut donc déjà affirmer que cette technique est en soi une rupture de confiance entre l’internaute qui vient visiter un site, et le site éditeur. Mais pire, cela peut poser, et pose, un problème grave de sécurité !

    Quel problème de sécurité pose le Cname Cloaking ?

    Disposer d’un sous-domaine de son domaine pointant chez un tiers est un gros problème de sécurité. Pourquoi ? Parce que les cookies, ces petits blocs de données échangés entre un éditeur de site web et votre navigateur, peuvent être partagés au sein d’un même nom de domaine. 
    Un cookie est une donnée envoyée par un site web à un navigateur, qui est ensuite renvoyée par le navigateur au site web pour toutes les pages suivantes consultées par le même navigateur sur le même nom de domaine. Cela permet par exemple de rester authentifié dans un espace privé, pour l’abonnementà un site restreint, l’accès à une messagerie etc.
    Ainsi, si 01net.com envoie à mon navigateur un cookie, ce dernier sera renvoyé par le navigateur pour toute page située sur www.01net.com, mais aussi sur 5ijo.01net.com !
    Or, ces cookies sont souvent liés à des informations personnelles : identifiant unique d’un internaute, accès à son compte dans un espace privé, gestion d’abonnement etc.
    Pire : les journalistes de 01net se connectent probablement au site pour en modifier le contenu via le nom de domaine 01net.com lui-même. Dans ce cas, leur cookie, qui les identifie en tant que journaliste autorisé à publier sur le site, est partagé avec Eulerian ! Il faut donc une confiance très forte dans les tiers concernés par les pages utilisant le Cname Cloaking ! Et pire qu’une confiance dans ces tiers, il faut une totale confiance dans la sécurité des sites de ces tiers, ainsi qu’une confiance dans l’ensemble des salariés et prestataires travaillant pour ces tiers et disposant d’accès aux serveurs.
    En clair, l’utilisation du Cname Cloaking peut s’avérer devenir une véritable faille de sécurité qui pourrait permettre des fuites de cookie liés à des informations personnelles soit d’internautes connectés au site, soit des propriétaires et éditeurs du site lui-même !

    Conclusion ?

    On a donc découvert comment le Cname Cloaking permet à des éditeurs de site web de vous traquer sans vous le dire, et de la manière la plus discrète possible, au risque de faire fuiter de nombreuses données personnelles, tant des internautes que des employés ou journalistes du site web concerné ! Cette technologie a été très utilisée il y a quelques années mais semble l’être moins aujourd’hui (par exemple, libération l’utilisait il y a quelques mois, avec le sous-domaine f7ds.liberation.fr, encore visible dans le DNS, mais je n’ai pas trouvé trace sur leur site de l’utilisation de ce sous-domaine à ce jour.)
    Cependant, je ne pense pas que l’utilisation d’une telle bidouille soit en soi un problème juridique, c’est plutôt à mon avis le manque flagrant de respect du consentement des internautes obtenu librement, qui devrait donner lieu à de lourdes sanctions. Les sites que nous avions pu voir utiliser ce type de technologie par le passé étant encore, à ce jour, dans une totale illégalité dans leur respect du RGPD, règlement européen censé protéger les internautes contre l’usage abusif et non consenti de leurs données personnelles, règlement pour lequel la CNIL n’a à ce jour, puni personne de manière significative.
    En conclusion, je me contenterai de vous préconiser d’installer, si ce n’est pas déjà fait, un bloqueur de publicité et de tracking sur votre navigateur web. Personnellement je recommande uBlock Origin pour Firefox, (ou pour chrome) qui a toujours été de confiance et d’excellente qualité. Mieux : si vous utilisez déjà un bloqueur de pub, invitez vos familles et amis à faire de même, assurez-vous que toutes et tous soient ainsi bien protégés !
    De plus, uBlock origin s’installe très bien sur un navigateur Firefox pour mobile. Sur mon Android, j’ai ainsi pu installer Firefox Mobile, et y ai ajouté uBlock origin pour me protéger du gros des publicités et économiser beaucoup de batterie et de bande passante sur mon forfait 4G ! Rendez-vous sur  https://bloquelapub.net/ pour en savoir plus

    Pour en savoir plus :

    Criteo, société française de tracking, dépouillée par PixelDeTracking https://www.pixeldetracking.com/fr/criteo-geant-marketing-surveillance-francais
    Une étude très complète sur le Cname Cloaking, en anglais sur le site de l’APNIC (organisme international chargé des adresses IP pour l’asie / pacifique) https://blog.apnic.net/2020/08/04/characterizing-cname-cloaking-based-tracking/

    ]]>
    [Franceinter.Fr] La reconnaissance faciale se met en place à bas bruithttps://www.laquadrature.net/2020/10/04/franceinter-fr-la-reconnaissance-faciale-se-met-en-place-a-bas-bruit/http://streisand.me.thican.net/laquadrature.net/index.php?20201004_192225__Franceinter.Fr__La_reconnaissance_faciale_se_met_en_place_a_bas_bruitSun, 04 Oct 2020 17:22:25 +0000Interdite sur la voie publique en France, la reconnaissance faciale en temps réel fait malgré tout son chemin. Plusieurs municipalités testent des dispositifs qui s’en rapprochent, avant sa possible autorisation pour les Jeux olympiques de Paris en 2024. […]

    À Marseille (Bouches-du-Rhône), la Cannebière est équipée d’une cinquantaine de caméras intelligentes. Elles ne reconnaissent pas formellement les gens, mais identifient des situations bien précises. « Ce projet a été mis en place 2019, détaille Felix Treguer, membre fondateur de l’association La Quadrature du net. Un algorithme d’analyse automatisée reconnaît des comportements et des événements suspects, et déclenche automatiquement des alertes et des suivis dans le centre de supervision. »

    Concrètement, il s’agit de repérer des objets abandonnés, des individus au sol, des taggeurs ou de la destruction de mobilier urbain. « Une fois que les caméras ont filmé et que les vidéos sont archivées, la police peut utiliser des filtres, complète Martin Drago, juriste pour La Quadrature du net, c’est-à-dire repérer des visages ou des silhouettes, pour identifier les personnes. » […]

    https://www.franceinter.fr/emissions/secrets-d-info/secrets-d-info-05-septembre-2020

    NDLRP – Le teaser vidéo de cette enquête radiophonique et écrite est à retrouver aussi sur le Peertube de La Quadrature du Net :

    ]]>
    La loi Avia revient par la porte de l’UEhttps://www.laquadrature.net/?p=16118http://streisand.me.thican.net/laquadrature.net/index.php?20200922_155455_La_loi_Avia_revient_par_la_porte_de_l___UETue, 22 Sep 2020 13:54:55 +0000Le 25 juin, une semaine après que la loi Avia a été sévèrement censurée par le Conseil constitutionnel, le gouvernement français a demandé à la Commission européenne de faire adopter au niveau européen ce que la Constitution l’empêchait d’adopter en France.

    Contre la « haine »

    Le gouvernement français demande une nouvelle loi européenne pour « contraindre les plateformes à retirer promptement les contenus manifestement illicites » via « des obligations de moyens sous le contrôle d’un régulateur indépendant qui définirait des recommandations contraignantes relatives à ces obligations et sanctionnerait les éventuels manquements ». Cette demande est le strict reflet de la loi Avia : son délai de 24h, ses pleins pouvoirs donnés au CSA. La France demande de faire censurer « non seulement les contenus illicites, mais aussi d’autres types de contenus tels que les contenus préjudiciables non illicites […] par exemple, les contenus pornographiques [ou] les contenus de désinformation ».

    Cette demande intervient dans le cadre du débat législatif à venir sur le Digital Service Act dont vous nous parlions il y a peu : ce futur texte européen pourrait permettre à la France d’imposer au niveau européen une censure qu’elle a échoué à faire adopter au niveau national. Cette séquence législative ne débutera néanmoins pas immédiatement et ne portera que sur une partie de la loi Avia – la partie qui prétendait lutter contre les « contenus haineux ».

    Contre le « terrorisme »

    Il ne faut pas oublier que la loi Avia prévoyait dans une seconde partie, à côté de celle prévue pour les contenus haineux, un autre type de censure, plus grave encore : confier à la police le pouvoir de censurer en une heure tout contenu qu’elle qualifierait seule – sans juge – de terroriste. Comme nous l’avons déjà expliqué, nous y voyons le risque d’un large dévoiement contre les opposants politiques du gouvernement. Heureusement, en juin dernier, le Conseil constitutionnel n’a pas hésité à censurer un pouvoir si dangereux. Là encore, ce que Macron n’a pu imposer en France, il tente de l’imposer par la porte de l’UE. Et il le fait avec bien plus d’empressement que pour la censure en matière de lutte contre la « haine ».

    Depuis deux ans déjà, le gouvernement défend un règlement de « lutte contre les contenus terroristes » pour imposer cette censure en une heure et sans juge, partout dans l’UE. Néanmoins, cette idée rencontre, en Europe aussi, de nombreuses oppositions (voir notre bilan des débats au Parlement européen), de sorte que le texte était en train de s’embourber depuis des mois dans des négociations indécises entre le Parlement européen et les États membres. Toutefois, après sa défaite au Conseil constitutionnel, le gouvernement français est revenu de plus bel : ce règlement pourrait bien être sa dernière carte à jouer pour placer sa police en contrôleur du Web français et européen.

    Nous opposerons contre ce projet la même force que nous avons déjà déployée, et ce autant de fois qu’il le faudra.

    ]]>
    Nous soutenons la pétition pour bannir la reconnaissance faciale en Europehttps://www.laquadrature.net/?p=16111http://streisand.me.thican.net/laquadrature.net/index.php?20200922_112930_Nous_soutenons_la_petition_pour_bannir_la_reconnaissance_faciale_en_EuropeTue, 22 Sep 2020 09:29:30 +0000Nous republions ici le texte de la pétition rédigée par l’artiste et militant Paolo Cirio et appelant à l’interdiction permanente de la reconnaissance faciale utilisée pour l’identification et le profilage dans toute l’Europe. Le site de la pétition est disponible ici.

    La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

    La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous. Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent.

    Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics.

    Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cette opinion avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

    Rejoignez la lutte contre la technologie de reconnaissance faciale :

    Signez la pétition, rejoignez la campagne, agissez, restez informé et partagez cet appel.

    Pour notre campagne et notre pétition, utilisez notre hashtag #BanFacialRecognitionEU

    Le site officiel Ban-Facial-Recognition.EU et notre Twitter @BanFacialRecEU

    Pour les demandes de presse et les partenariats, écrivez à info@Ban-Facial-Recognition.EU.

    À propos de l’interdiction de la reconnaissance faciale en Europe

    La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

    La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous et un énorme danger pour les libertés démocratiques, les libertés civiles et la liberté d’expression pour toute la société.

    Actuellement, les services de police et les services de sécurité des différents États européens, de concert avec l’industrie de la technologie, font pression contre les institutions européennes pour l’utilisation de la technologie de reconnaissance faciale. En réponse, cette pétition vise à contester les objections formulées par des États membres individuels sur l’interdiction de la reconnaissance faciale et demande à la Commission européenne d’engager des procédures d’infraction contre les États membres qui enfreignent déjà les lois de l’UE en utilisant la reconnaissance faciale.

    Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics. Pendant ce temps, aux États-Unis, la reconnaissance faciale a été interdite dans plusieurs villes et a même été récemment limitée par de grandes entreprises technologiques telles qu’Amazon, IBM et Microsoft à partir de juin 2020.

    L’Europe doit s’aligner sur une interdiction définitive de la reconnaissance faciale pour son leadership en matière de droits de l’homme. Cependant, en janvier 2020, il a été révélé qu’une Commission européenne avait retiré son projet d’interdire la technologie de reconnaissance faciale pendant cinq ans, un plan qui a probablement été rejeté par les programmes de police des États membres de l’UE. Cela prouve à quel point l’Union européenne est peu fiable et vague sur ces questions juridiques et de droits de l’homme critiques concernant la technologie de reconnaissance faciale.

    Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent. Leurs promoteurs ont une foi aveugle en cette technologie et poussent souvent à accélérer sa prolifération quelles que soient les conséquences inévitables pour nos libertés.

    L’Europe doit redresser ses lois sur la protection de la vie privée et lutter radicalement contre la reconnaissance faciale en interdisant totalement son utilisation abusive. Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cet avis avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

    Pourquoi la reconnaissance faciale est trop dangereuse

    Il existe plusieurs technologies très envahissantes pour la vie privée, en particulier avec la biométrie. Parmi eux, la reconnaissance faciale est particulièrement violente et biaisée. Les visages ont des significations sociales et ils sont difficiles à cacher car ils sont notre principal moyen de communication. Les visages sont les parties les plus publiques des humains et leurs traits servent de métriques pour le jugement social. Nous considérons la reconnaissance faciale trop dangereuse pour les citoyens, car elle peut transformer l’un de nos principaux moyens de socialité contre nous, transformant nos visages en dispositifs de suivi plutôt qu’en composant essentiel de nous-mêmes.

    Au-delà du contrôle social, de la discrimination et de la surveillance, il s’agit de la vie privée de chacun. Tout le monde est en danger lorsqu’un tel instrument est autorisé sans règles. Il ne s’agit pas seulement de la police ou des entreprises qui utilisent la reconnaissance faciale pour la sécurité ou l’exploration des données, mais c’est ainsi que cette technologie devient culturellement omniprésente et normalisée, provoquant finalement la peur dans la vie de tous. Cela crée un faux sentiment qu’être observé et analysé à tout moment est acceptable et crée des sociétés remplies de suspicion, d’abus et de méfiance.

    La technologie de reconnaissance faciale est également aggravée par la «prédiction comportementale» qui prétend pouvoir classer les émotions ou les intentions d’une personne, mais qui menace fondamentalement la dignité et l’autonomie humaines. La reconnaissance faciale associée à une soi-disant intelligence artificielle sous la forme d’algorithmes d’apprentissage automatique augmente les déséquilibres de pouvoir, la discrimination, le racisme, les inégalités et le contrôle social autoritaire. Il y a trop de risques élevés pour les prétendus «avantages» que l’utilisation de ces technologies pourrait éventuellement apporter.

    Partout en Europe, les gouvernements, les entreprises privées et aussi les civils cherchent à utiliser la reconnaissance faciale. Nous avons déjà vu son utilisation dans les lieux de travail, les espaces publics, les écoles, les aéroports, les maisons et dans nos propres téléphones personnels. Ces mises en œuvre de la reconnaissance faciale vont souvent au-delà de notre consentement, ou nous sommes souvent obligés de consentir, tandis que les conséquences à long terme du stockage des données biométriques et de la formation de l’intelligence artificielle pour analyser nos visages peuvent dépasser notre contrôle et les institutions en qui nous avons confiance.

    Aucun argument ne peut justifier le déploiement de telles technologies. L’utilisation civile, commerciale et gouvernementale des dispositifs de reconnaissance faciale pour l’identification et la catégorisation des individus doit être strictement interdite. Toute technologie de reconnaissance faciale vendue dans le commerce ou développée et utilisée à titre privé pour cette portée doit être arrêtée.

    La reconnaissance faciale doit être interdite, pas seulement réglementée

    Les réglementations ne suffisent pas et elles échoueraient à s’attaquer à cette technologie en raison de l’ampleur de son danger.

    La reconnaissance faciale porte atteinte au droit à la dignité car elle utilise les qualités, les comportements, les émotions ou les caractéristiques des individus contre eux de manière non justifiée ou proportionnée aux droits fondamentaux de l’UE ou aux lois nationales individuelles. Par exemple, les réglementations européennes actuelles telles que le RGPD couvrent principalement la vie privée des citoyens dans le secteur commercial à quelques exceptions près, mais elles ne traitent pas suffisamment les droits de l’homme qui sont en péril avec la reconnaissance faciale tels que le droit à la dignité et à l’égalité.

    Tout comme les armes nucléaires ou chimiques, la reconnaissance faciale constitue une grande menace pour l’humanité. Son utilisation pour l’identification et le profilage est certainement trop dangereuse pour être utilisée. Elle devrait être interdite non seulement par l’Union européenne mais aussi au niveau mondial par les Nations Unies.

    Il existe de fausses croyances sur l’efficacité et l’utilité de la reconnaissance faciale qui justifient son utilisation dans le cadre de la réglementation. Cependant, même pour la sécurité, il existe de sérieux doutes quant à savoir si la police en a vraiment besoin ou si elle contribue à fournir de meilleurs services. Les acteurs privés acquièrent un pouvoir disproportionné sur la technologie qui a souvent été développée sans responsabilité ni transparence. Souvent, ces technologies sont vendues aux autorités publiques et aux forces de l’ordre avec peu ou pas de responsabilité pour leurs actions.

    Au-delà de la surveillance du gouvernement et des entreprises, il existe désormais d’énormes quantités de données publiques sur les sites Internet, les plateformes de médias sociaux et les ensembles de données ouverts que tout le monde peut récolter ou acheter. En outre, les infrastructures des appareils qui capturent des images de visages sont déjà omniprésentes avec les caméras CCTV, les smartphones et les scanners vidéo dans nos vies publiques et privées. Ces conditions rendent la reconnaissance faciale particulièrement dangereuse parmi d’autres technologies qui peuvent identifier, suivre et juger les personnes.

    Aujourd’hui, la reconnaissance faciale est déjà présente dans nos smartphones, les contrôles des passeports dans les aéroports et les espaces publics. Utiliser la reconnaissance faciale pour l’authentification faciale locale pour déverrouiller un smartphone ou pour accéder à un service semble beaucoup moins intrusif que d’identifier un individu parmi de nombreuses personnes dans un lieu public.

    Cependant, le développement de la technologie elle-même, la formation d’algorithmes et le stockage des données biométriques détenues par des entreprises privées pourraient, à l’avenir, être utilisés au-delà du cadre initial. Même lorsque nous donnons votre consentement ou utilisons la reconnaissance faciale en privé, nous risquons que ces données puissent entraîner des conséquences involontaires futures telles que des fuites de données biométriques, leur vente à des tiers ou la formation d’algorithmes sur nos traits personnels.

    Par conséquent, nous rejetons les deux exceptions d’utilisation de la reconnaissance faciale en ce qui concerne l’innovation pour l’industrie technologique et la sécurité publique. Nous appelons à une interdiction totale de tous les cas de technologies de reconnaissance faciale concernant leur utilisation pour toute forme d’identification, de corrélation et de discrimination qui permettrait une surveillance de masse, des crimes de haine, des traques omniprésents et des violations de la dignité personnelle. Il serait toujours possible à des fins de recherche, de médecine et de divertissement à condition qu’aucune donnée biométrique ne soit stockée ou utilisée pour identifier ou classer des individus.

    Nous soutenons que la reconnaissance faciale est déjà illégale en vertu du droit de l’UE et doit être interdite dans la pratique. Quatre instruments européens interdisent déjà la surveillance de masse biométrique: dans le sens le plus large, la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE, et plus précisément la Convention sur la protection des données du Conseil de l’Europe, le RGPD, et son instrument frère, le LED . Cependant, les autorités nationales de protection des données (APD) ont été insuffisamment financées et politiquement démunies par leurs États membres, ce qui signifie que leurs efforts pour faire appliquer les réglementations ont souffert et que les acteurs en violation de la loi ont été peu incités à se conformer.

    C’est la raison pour laquelle nous avons besoin de nouvelles lois pour imposer une interdiction de la reconnaissance faciale et pas seulement de réglementations faibles qui peuvent être interprétées et non appliquées par l’UE à ses États membres et à leurs députés.

    L’identification et la classification par reconnaissance faciale sont trop dangereuses pour ne jamais être nécessaires et proportionnées puisque les utilisations bénéfiques potentielles ne sont pas justifiées.

    Ce dont nous avons besoin pour interdire la reconnaissance faciale dans l’UE

    Nous devons prendre des mesures au Parlement européen pour attirer l’attention sur cette question dans ses États membres, ainsi que pour faire pression sur la Commission européenne pour qu’elle prenne des mesures coercitives contre les États qui violent actuellement les droits fondamentaux de l’UE et les lois sur la protection de la vie privée. L’interdiction totale de l’identification et du profilage via la technologie de reconnaissance faciale ne doit pas être simplement une directive, mais elle doit être une interdiction rigide pour être applicable dans toute l’Europe sans exceptions ni expiration.

    Dans l’Union européenne, il existe déjà des lois qui interdisent la surveillance biométrique de masse, mais elles ne sont pas appliquées. Les protestations, pétitions et litiges stratégiques peuvent potentiellement être très efficaces pour appliquer ces lois existantes et introduire une interdiction à l’échelle de l’UE.

    Dans les rues et en ligne, à travers des manifestations et d’autres formes d’action, les citoyens et les collectifs du monde entier font équipe pour arrêter la propagation fatidique de la reconnaissance faciale. Ensemble, nous faisons partie d’un vaste mouvement résistant à l’avènement de la reconnaissance faciale dans toute l’Europe et dans le monde.

    Interpellez-nous et dites-nous si vous voyez la reconnaissance faciale utilisée dans les écoles, les communautés fermées et les bâtiments, les identifiants et badges, les services publics, les dispositifs de verrouillage, les applications mobiles, les plates-formes Internet, et même si c’est pour le divertissement ou un usage personnel ou s’il est utilisé par la police, le contrôle des frontières, les forces de l’ordre et les enquêteurs.

    Nous demandons à la Commission européenne et à la Cour européenne de justice d’évaluer les cas que nous avons rassemblés concernant les programmes de reconnaissance faciale en Europe pour avoir rendu ces utilisations actuelles et futures illégales. Si la Commission européenne, soutenue par le Parlement européen, ne prend pas les mesures d’application et législatives appropriées pour interdire une telle technologie, nous prévoyons de porter les affaires devant la Cour européenne de justice sur la base des directives LED actuelles, des règlements GDPR, du Conseil de la Convention européenne sur la protection des données et les lois nationales sur la protection des données, y compris la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE.

    Aujourd’hui, nous exprimons notre refus collectif de ces outils de contrôle social en exhortant les décideurs à les interdire une fois pour toutes.

    Cas et détails – Reconnaissance faciale en Europe

    En mai 2020, au moins 15 pays européens ont expérimenté des technologies biométriques telles que la reconnaissance faciale dans les espaces publics. Au minimum, il y a des activités en République tchèque, au Danemark, en France, en Allemagne, en Grèce, en Hongrie, en Italie, aux Pays-Bas, en Pologne, en Roumanie, en Serbie, en Slovénie, en Suède, en Suisse et au Royaume-Uni.

    La liste suivante de cas sur les utilisations de la reconnaissance faciale en Europe a été compilée par Paolo Cirio avec ses recherches et avec l’aide d’experts en politique de confidentialité et d’organisations telles que La Quadrature du Net, et à travers le document de recherche EDRi pour l’interdiction de la surveillance biométrique.

    Cette liste montre comment l’absence d’une législation cohérente entourant la reconnaissance faciale pousse les États membres de l’UE à prendre des initiatives individuelles, à exercer une surveillance laxiste et à faire un usage réel de ces technologies dangereuses.

    Nous exigeons une plus grande transparence publique et une plus grande responsabilité à l’égard des parties – qu’elles soient publiques, privées ou en collaboration entre les deux – qui déploient des traitements biométriques, ainsi que des échanges de données entre les forces de l’ordre, la sécurité aux frontières, d’autres agences de sécurité publique, y compris la santé, et les autorités nationales. agences de sécurité.

    FRANCE

    À partir de 2020

    La police française utilise déjà la reconnaissance faciale pour identifier les personnes dans les espaces publics. Ils utilisent des photos de personnes stockées dans la base de données des antécédents judiciaires TAJ. Il y a plus de 18 millions d’enregistrements d’individus dans cette base de données avec plus de 8 millions de photos. L’utilisation de la reconnaissance faciale dans cette base de données en France est autorisée depuis 2012 et est actuellement contestée devant les juridictions nationales.

    Octobre 2019

    La France est en passe de devenir le premier pays européen à utiliser la technologie de reconnaissance faciale pour donner aux citoyens une identité numérique – qu’ils le veuillent ou non. Dire qu’il veut rendre l’État plus efficace, le président Emmanuel Macron fait passer des plans pour déployer un programme d’identification basé sur la reconnaissance faciale appelé Alicem dans le cadre de son gouvernement.

    Juillet 2019

    L’autorité régionale Provence-Alpes-Côte d’Azur (PACA) a demandé à la CNIL l’autorisation d’utiliser un système de reconnaissance faciale pour gérer l’entrée au lycée Ampère à Marseille. Cet «essai» se voulait une expérience d’un an et a également été réalisé dans une autre école de la même région (le Lycée les Eucalyptus de Nice). Cette utilisation a été conçue pour augmenter la sécurité des étudiants et du personnel et pour accélérer le temps nécessaire aux étudiants pour entrer dans les locaux de l’école. Ces tentatives d’utilisation de la reconnaissance faciale dans les deux écoles françaises ont été stoppées par un procès en 2020.

    Depuis 2012

    «PARAFE» est un programme de portails automatisés aux frontières déjà installés dans différentes gares et aéroports en France. Les portes utilisent la technologie de reconnaissance faciale pour vérifier l’identité de l’utilisateur par rapport aux données stockées dans la puce de son passeport biométrique. Le programme a été développé par la société française Thales.

    Plus d’infos sur le dispositif de Thales

    ALLEMAGNE

    Janvier 2020

    Le ministre allemand de l’Intérieur, Horst Seehofer, prévoit d’utiliser la reconnaissance faciale automatique dans 134 gares et 14 aéroports, selon un reportage publié le 3 janvier 2020. Le ministère de l’Intérieur a testé des caméras de reconnaissance faciale dès 2018 à la gare de Berlin-Südkreuz. Le résultat a été que 80% des personnes étaient correctement identifiées. Après les tests de 2018, le ministre de l’Intérieur Seehofer a déclaré que les systèmes de reconnaissance faciale «rendraient le travail de la police encore plus efficace, améliorant ainsi la sécurité des citoyens».

    En savoir plus sur euractiv.com

    POLOGNE

    Mars 2020

    L’application obligatoire basée sur la reconnaissance faciale de la Pologne a été utilisée pour appliquer la quarantaine. Il a envoyé la police au domicile de toute personne qui ne partage pas un selfie sur l’application dans les 20 minutes suivant une alerte.

    En savoir plus sur politico.eu

    ÉCOSSE

    Février 2020

    La police écossaise a déclaré qu’elle espérait utiliser un logiciel de reconnaissance faciale en direct d’ici 2026, mais a ensuite suspendu ses plans. La technologie peut scanner des foules de gens et croiser les visages avec les bases de données de la police.

    En savoir plus sur bbc.com

    SUÈDE

    Août 2019

    La reconnaissance faciale était utilisée par les élèves du secondaire en Suède pour suivre la fréquentation dans la municipalité de Skelleftea. Le procès, qui s’est déroulé à l’automne 2018, a été un tel succès que la collectivité envisage de le prolonger. Cependant, les juges suédois et les autorités de protection des données ont bloqué l’expérimentation de la reconnaissance faciale dans les écoles.

    FRONTIÈRES EUROPÉENNES

    Le SPIRIT est un projet financé par l’Europe pour racler des images de visages sur les réseaux sociaux afin de créer une base de données pour l’analyse de la reconnaissance faciale. Cinq parties prenantes liées aux forces de l’ordre participent à ce projet de recherche: la police hellénique (GR), la police des West Midlands (Royaume-Uni), la police et le commissaire au crime de Thames Valley (Royaume-Uni), le ministère serbe de l’Intérieur (RS) et le Académie de police de Szczytno (PL). Selon le site Web clairsemé et non transparent, le projet vise à utiliser des outils, tels que l’extraction et la mise en correspondance de visages, pour corréler des informations à partir de données de médias sociaux similaires au modèle de la société américaine Clearview AI. Selon les demandes d’accès à l’information, des essais étaient prévus pour 2020 et 2021.

    L’iBorderCtrl est un projet de recherche financé par l’Europe sur les frontières hongroise, grecque et lettone. Le projet prévoyait d’utiliser l’analyse automatisée des données biométriques pour prédire les preuves de tromperie parmi ceux qui cherchent à entrer dans l’Union européenne en tant que «détecteurs de mensonge» pour les réfugiés. Le projet a pris fin en août 2019.

    En savoir plus sur edri.org

    Le système Prum est une initiative à l’échelle de l’UE reliant les bases de données ADN, d’empreintes digitales et d’enregistrement des véhicules pour une recherche mutuelle. Dix États membres européens, dirigés par l’Autriche, appellent à étendre le système Prum et à créer un réseau de bases de données nationales de reconnaissance faciale de la police et à interconnecter ces bases de données à chaque membre de l’État avec des réseaux de bases de données faciales de la police couvrant toute l’Europe et les États-Unis.

    En savoir plus sur theintercept.com

    Le «complexe industriel-sécurité de l’UE» conduit à la promotion, à la défense et à l’utilisation de technologies de «titrisation». Les agences Europol et Frontex utilisent déjà une technologie biométrique avancée pour étudier les frontières et profiler les voyageurs.

    En savoir plus sur edri.org

    Pays étrangers et entreprises en Europe

    Le raclage des médias sociaux et le courtage d’ensembles de données dépassent les frontières, les entreprises et les acteurs étatiques étant intéressés par la collecte, la numérisation d’images et la constitution de bases de données de données biométriques de citoyens européens.

    C’est déjà le cas avec Clearview AI, une société américaine qui extrait des images des réseaux sociaux, et avec FindFace, une technologie de reconnaissance faciale développée par la société russe NtechLab.

    En savoir plus sur nytimes.com
    En savoir plus sur forbes.com

    L’utilisation de ces outils dépasse l’Europe avec des entités étrangères autorisées à utiliser la technologie de reconnaissance faciale sur les citoyens européens. Amazon, Facebook, Google et Apple rassemblent également d’énormes bases de données de données faciales biométriques de citoyens européens et les utilisent pour former leur intelligence artificielle sans transparence et sans responsabilité. Les produits tels que Ring of Amazon, Apple Face ID, Google Lens et les fonctionnalités de reconnaissance faciale Facebook devraient être interdits à tous les citoyens européens.

    ]]>
    USA, lettre ouverte contre la censure de média anarchisteshttps://www.laquadrature.net/?p=16103http://streisand.me.thican.net/laquadrature.net/index.php?20200915_141827_USA__lettre_ouverte_contre_la_censure_de_media_anarchistesTue, 15 Sep 2020 12:18:27 +0000Nous constatons depuis plusieurs années que la différence entre censure d’état et censure privée sur Internet s’efface, les gouvernements encourageant une centralisation toujours plus importante d’Internet entre les mains de quelques géants tel Facebook, Amazon ou Google.

    La Quadrature dénonce depuis plusieurs années cette stratégie des états consistant à pousser l’ensemble de la population à utiliser des solutions centralisées pour ensuite pouvoir user de la capacité de censure de celles-ci, comme si elle était sienne, par le biais d’incitations, de loi ou de sous couvert de simple « bonne intelligence ». Ces politiques de modération sont inconstantes, arbitraires et se font à un coût humain important, les personnes employées pour la modération de ces gigantesques plateformes étant exposées à des images et textes traumatisants, peu soutenues psychologiquement et mal payées. Pire : cette réalité, intrinsèque à la taille de ces plateformes, dépassées par leur échelle nécessairement inhumaine, est donc inévitable.

    La Quadrature du Net signe aujourd’hui une lettre ouverte reproduite ci-dessous contre un blocage arbitraire par Facebook dirigée contre deux importants média anarchistes anglophones (It’s going down et CrimethInc), nouvelle preuve – si elle était nécessaire ?– de la convergence de la censure sur Internet et appelle les citoyens à continuer à se saisir de solutions de communication décentralisée, chiffrées et libres.

    Solidarité avec les médias anarchistes bannis par Facebook

    Refusons l’argumentaire de Facebook qui, prétextant l’impartialité, s’aligne sur l’administration du gouvernement Trump pour supprimer les voix de militant·es et de médias associé·es aux mouvements contestataires de gauche.

    En tant qu’éditeur·trices, auteur·trices, éducateur·trices, militant·es et médias, nous sommes très inquiet·es de la décision de Facebook de bloquer itsgoingdown.org, crimethinc.com et plusieurs autres éditeur·trices, auteur·trices et militant·es en raison de leur association avec l’anarchisme. Cette décision est explicitement motivée par des raisons politiques. Facebook étouffe leurs voix en raison de leurs convictions, et parce qu’ils offrent un lieu de rencontre et d’échanges pour les militant·es des mouvements sociaux de gauche.

    Dans une déclaration justifiant les fermetures de pages, Facebook a reconnu que ces groupes n’ont aucun rôle dans l’organisation d’actions violentes, mais leur reproche de manière abstraite d’avoir « célébré des actes violents », et d’être « associés à la violence » ou « d’avoir des membres avec des modèles (statistiques) de comportements violents » – une description si large qu’elle pourrait désigner d’innombrables pages pourtant toujours actives sur Facebook. Les éditeur·trices et les auteur·trices anarchistes ciblé·es le sont en définitive en raison de leurs convictions politiques, et non à cause d’une quelconque violence. Si cette décision n’est pas contestée, elle créera un précédent qui sera utilisé encore et encore pour censurer toute parole dissidente.

    Dans sa déclaration, Facebook classe les anarchistes dans la catégorie des milices d’extrême droite soutiens de l’administration Trump, liant ainsi deux groupes pourtant fondamentalement différents et opposés. Cela fait écho à la décision du procureur général William Barr de créer une unité opérationnelle du Ministère de la Justice dédiée à la répression des « extrémistes anti-gouvernementaux », qui cible aussi bien les fascistes auto-proclamés que les antifascistes, établissant une fausse équivalence entre les suprémacistes blancs qui orchestrent les attaques et celles et ceux qui s’organisent pour protéger leurs communautés contre ces attaques.

    À une époque où les manifestations ont joué un rôle essentiel dans la création d’un dialogue, partout aux États-Unis sur le racisme, la violence et l’oppression, nous devons replacer ce blocage par facebook des pages et sites anarchistes dans le contexte des efforts continus de l’administration Trump pour réprimer les manifestations. Pendant des mois, Donald Trump a explicitement blâmé les anarchistes pour la vague mondiale de protestations provoquée par la violence policière permanente aux États-Unis. Il y a dix ans, les représentants de Facebook avaient fièrement vanté leur rôle dans les mouvements sociaux horizontaux qui ont renversé des tyrans en Égypte et ailleurs. Aujourd’hui, leur décision de bloquer les médias qui fournissent des lieux et des outils aux participant·tes des mouvements sociaux montre qu’ils se basent sur les signaux reçus du sommet des structures de pouvoir pour déterminer ce qui constitue ou pas un discours acceptable.

    La décision de Facebook s’inscrit dans un schéma qui ira beaucoup plus loin si nous ne réagissons pas. Les lecteur·trices méritent de pouvoir entendre les voix de personnes impliquées dans les mouvements de protestation contre les violences policières et le racisme, y compris des voix controversées. Les auteur·trices et les éditeur·trices ne doivent pas être réprimé·es pour avoir promu la solidarité et l’autodétermination.

    Nous vous invitons toutes et tous à vous joindre à nous pour condamner ces blocages et défendre la légitimité des voix des anarchistes en particulier, et des manifestant·es des mouvements sociaux en général.

    Version originale

    Stand with Anarchist Publishers Banned by Facebook

    Oppose Facebook’s « both sides » narrative as they align with the Trump administration to suppress the voices of activists and media producers associated with left protest movements.

    As publishers, authors, educators, activists, and media producers, we are deeply troubled by Facebook’s decision to ban itsgoingdown.org, crimethinc.com, and several other publishers, authors, and activists on account of their association with anarchism. This decision is explicitly politically motivated. Facebook is suppressing their voices because of their beliefs, and because they provide a venue for the perspectives of participants in left social movements.

    In a statement justifying the bans, Facebook acknowledged that these groups have no role in organizing violence, but abstractly alleges that they « celebrated violent acts, » and are “tied to violence” or “have individual followers with patterns of violent behavior”—a description so broad that it could designate countless pages that remain active on Facebook. The anarchist publishers and authors in question are being targeted for reasons that are ultimately about political beliefs, not « violence. » If this decision goes unchallenged, it will set a precedent that will be used again and again to target dissent.

    In their statement, Facebook categorizes anarchists with far-right militias that support the Trump administration, linking two groups that are fundamentally dissimilar and opposed. This echoes Attorney General William Barr’s decision to create a Department of Justice task force focused on “anti-government extremists” that targets self-proclaimed fascists and anti-fascists alike, drawing a false equivalence between those who orchestrate white supremacist attacks and those who organize to protect their communities against them.
    At a time when demonstrations have played an essential role in creating a nationwide dialogue about racism, violence, and oppression, we must see Facebook’s ban on anarchist publishers in the context of the Trump administration’s ongoing efforts to clamp down on protest. For months, Donald Trump has explicitly blamed anarchists for the worldwide wave of protests precipitated by persistent police violence in the United States. A decade ago, Facebook representatives proudly touted their role in the horizontal social movements that toppled tyrants in Egypt and elsewhere. Today, their decision to ban publishers who provide venues and platforms for participants in protests shows that they are taking their cues about what should constitute acceptable speech from those at the top of the power structure.

    Facebook’s decision is part of a pattern that will go much further if we don’t respond. Readers deserve to be able to hear voices from within protest movements against police brutality and racism, even controversial ones. Authors and publishers should not be suppressed for promoting solidarity and self-determination.

    We call on everyone to join us in condemning this ban, and defending the legitimacy of the voices of anarchists specifically and protesters generally.

    Signed,

    Agency [anarchistagency.com]

    ]]>
    L’Union européenne doit imposer l’interopérabilité aux géants du Webhttps://www.laquadrature.net/?p=16093http://streisand.me.thican.net/laquadrature.net/index.php?20200908_174212_L___Union_europeenne_doit_imposer_l___interoperabilite_aux_geants_du_WebTue, 08 Sep 2020 15:42:12 +0000La Commission européenne s’apprête à lancer un nouveau débat législatif sur les hébergeurs Web. Depuis 2000, ces hébergeurs sont protégés par la directive e-commerce, adoptée alors qu’Internet posait sans doute moins de problèmes juridiques qu’aujourd’hui. Les règles étaient simples : un hébergeur n’est pas responsable des informations qu’il stocke s’il reste « passif » – s’il ne fait rien d’autre que stocker des informations fournies par ses utilisateurs.

    Depuis 2000, de nouveaux acteurs sont apparus, Facebook et Google en tête, soulevant de nouveaux enjeux tant juridiques que politiques. Ces nouvelles plateformes sont-elles vraiment « passives » ? Sont-elles devenues trop grosses ? Doivent-elles être corrigées, détruites ou encore quittées ?

    La Commission européenne souhaite recueillir l’avis d’une multitude d’acteurs à ce sujet. Il semble bien difficile d’anticiper ce sur quoi débouchera ce processus. Mais les enjeux sont si complexes et larges que ce débat pourrait bien aboutir à l’une des lois européennes dont les conséquences seront parmi les plus lourdes. Notre réponse à la consultation de la Commission est courte et simple.

    Réponse à la consultation publique sur le Digital Service Act

    S’il faut remettre en cause le régime des hébergeurs Web, la question centrale concernera les plateformes géantes, telles que Facebook, Youtube ou Twitter, qui jouent un rôle de plus en plus actif et nuisible dans la hiérarchisation des informations qu’elles diffusent. Leur « économie de l’attention » semble favoriser les échanges les plus virulents et polémistes au détriment des discussions argumentées et d’entre-aide.

    En appliquant strictement la directive e-commerce, ces plateformes géantes pourraient être responsables de la quasi-totalité des informations qu’elles diffusent. Dans ces conditions, il est difficile d’imaginer que ces entreprises pourraient continuer d’opérer en Europe. Si cette conclusion serait bénéfique sur le long terme, il serait dangereux d’y arriver brusquement : des millions d’utilisateurs se retrouveraient soudainement privés de leurs moyens principaux de communication.

    L’urgence est de permettre à ces utilisateurs de quitter dans les meilleures conditions ces plateformes géantes qui les maintiennent actuellement captifs et dont le modèle économique est fondamentalement contraire au droit et aux valeurs européennes, que ce soit en matière de données personnelles ou de liberté d’expression.

    Obligation d’interopérabilité

    Tout service d’hébergement, tel que défini à l’article 14 de la directive 2000/31, qui est fourni à des fins lucratives et dont le nombre d’utilisateurs est d’une grandeur significative doit être interopérable.

    Un service est interopérable si, par l’application de standards techniques adéquats, il permet à ses utilisateurs d’échanger des informations avec les utilisateurs de services tiers qui appliquent ces mêmes standards.

    Des standards techniques sont adéquats s’ils sont documentés, stables et conformes à l’état de l’art et qu’ils ne peuvent être modifiés de façon unilatérale.

    Les utilisateurs d’un service interopérable peuvent échanger des informations de la même façon et aussi simplement avec les utilisateurs de ce même service qu’avec ceux des services tiers qui appliquent les mêmes standards.

    Le respect de cette obligation est assuré par l’autorité visée à l’article 5 du code des communications électroniques européen, qui peut prononcer à cette fin amendes, astreintes et injonctions.

    Explications

    Plus de liberté

    Cette obligation permettra aux internautes de quitter les plateformes géantes sans payer le coût social, souvent prohibitif, de perdre contact avec leur famille, amis, collègues ou réseaux d’entre-aide. Les internautes pourront rejoindre d’autres plateformes équivalentes depuis lesquelles ils et elles pourront continuer de communiquer avec leurs contacts restés sur les plateformes géantes.

    Une fois partis, ces internautes n’auront plus de relation contractuelle avec la plateforme quittée, ce qui leur permettra de mettre fin aux conditions imposées contre leur libre consentement en matière de traitement de données personnelles ou de censure d’informations légitimes.

    Cette liberté permettra aux internautes de rejoindre les services tiers dont les règles de modération répondent au mieux à leurs attentes, tandis que les plateformes géantes apparaissent aujourd’hui incapables de protéger leurs utilisateurs, notamment à cause de leur taille bien trop grande.

    Standards techniques

    Les plateformes géantes n’auront pas à être interopérables avec n’importe quel service, mais seulement avec les services qui appliqueront les mêmes standards techniques qu’elles.

    Ces standards ne devront pas pouvoir être modifiés régulièrement et unilatéralement par une plateforme géante, sans quoi celle-ci pourrait rendre l’interopérabilité irréalisable en pratique.

    Les standards devront correspondre à l’état de l’art tel que reconnu par l’autorité de contrôle. Actuellement, le standard ActivityPub apparaît comme la base de travail la plus évidente et la plus simple. Toutefois, en théorie, rien n’empêchera les plateformes géantes de proposer leurs propres standards à l’autorité de contrôle.

    Plus de maitrise

    L’interconnexion entre une plateforme géante et un service tiers ne sera pas automatique mais se fera à la demande et dans les conditions de chaque utilisateur, qui sélectionnera les utilisateurs et services tiers avec qui communiquer.

    Ainsi, les utilisateurs des plateformes géantes ne seront pas mis en difficulté par l’interopérabilité mais garderont tout le contrôle des personnes avec qui elles communiquent – si un utilisateur décide de ne pas bénéficier des possibilités permises par l’interopérabilité, alors celle-ci n’aura aucune conséquence pour lui.

    De même, l’interopérabilité n’impliquera aucune obligation de modération supplémentaire pour les plateformes géantes dans la mesure où elles ne sauraient être tenues responsables d’informations partagées par des tiers avec lesquels elles n’ont aucune relation contractuelle ni d’aucune nature. Rien n’empêche toutefois les plateformes de modérer les messages d’utilisateurs tiers si elles souhaitent fournir ce service.

    Un principe au cœur du Net

    Le principe d’interopérabilité n’est pas nouveau mais, au contraire, aux sources même d’Internet, décentralisé, avant que de grandes plateformes ne s’imposent et ne deviennent si difficile à vivre.

    Le principe du courrier électronique est un des plus anciens exemples d’interopérabilité : il ne serait aujourd’hui pas concevable de ne pas pouvoir communiquer avec une personne dont le courrier électronique n’est pas géré par le même fournisseur.

    Ainsi, l’interopérabilité imposée aux plateformes géantes viendra parfaitement compléter l’interopérabilité déjà prévue en matière de communications interpersonnelles par l’article 61, §2, c, du code des communications électroniques européen.

    État du débat en France

    Notre proposition est défendue par une large partie de la sphère politique française. Le gouvernement la soutient, son secrétaire d’État au numérique, Cédric O, ayant déclaré à l’Assemblée nationale, lors de débat sur les règles de modération des grands réseaux sociaux, que « l’interopérabilité est une des solutions […] C’est à l’Europe d’imposer des règles en matière d’interopérabilité, comme elle l’a fait pour la protection des données ». Dans le même débat parlementaire, plus de 60 députés de droite comme de gauche ont déposé sept amendements visant à imposer et favoriser l’interopérabilité des grandes plateformes. En parallèle, le Sénat adoptait une proposition de loi « visant à garantir le libre choix du consommateur dans le cyberespace », notamment en imposant des obligations d’interopérabilité.

    Ces initiatives législatives font suites à différentes positions de l’administration, telle que l’ARCEP, moteur dans ces avancées, ou la direction générale du trésor invite proposant des « obligations de développer des standards techniques facilitant l’interopérabilité des services et les possibilités de migration des utilisateurs […] lorsque des problèmes concurrentiels associés à une plateforme apparaissent structurels et durables et appellent donc une intervention continue pour être réglés ». Ces initiatives faisaient elles-même suite à une position commune de mai 2019 signée par 75 organisations françaises afin d’imposer l’interopérabilité aux géants du Web.

    ]]>
    #FreeAssangehttps://www.laquadrature.net/?p=16084http://streisand.me.thican.net/laquadrature.net/index.php?20200908_135330__FreeAssangeTue, 08 Sep 2020 11:53:30 +0000Alors qu’a repris ce lundi 7 septembre le procès relatif à l’extradition de Julien Assange, nous republions ici l’appel de la Maison des lanceurs d’alerte en faveur de sa libération immédiate, l’abandon des charges pesant contre lui, et l’octroi à Julian Assange de l’asile constitutionnel par la France.

    Défendre Assange et WikiLeaks aujourd’hui, c’est défendre l’horizon démocratique. C’est dénoncer les faux-semblants de la transparence et ne pas s’y résigner. C’est revendiquer l’héritage des combats contre la raison d’État et son arbitraire, contre l’opacité bureaucratique et l’infantilisation qu’elle génère. C’est non seulement encourager la systématisation des divulgations d’intérêt public, mais aussi se montrer solidaires de toutes celles et ceux qui essuient la violence d’État parce qu’elles ont eu l’audace de la percer à jour.

    Durant le mois qui vient, diverses mobilisations et actions festives seront organisées en soutien à Assange. Plus d’informations ici.

    Procès de Julian Assange : la Maison des Lanceurs d’Alerte réitère sa demande d’asile pour le fondateur de WikiLeaks

    Le 7 septembre 2020 s’ouvrira à nouveau le procès en extradition de Julian Assange, fondateur de WikiLeaks. Ce dernier risque d’être extradé vers les États-Unis, pays dans lequel un grand jury de l’état de Virginie a engagé le 23 mai 2019, des poursuites sur le fondement de l’« Espionage Act » de 1917. Les 18 charges que ce grand jury a retenues contre lui l’exposent à une peine de 175 ans de prison. En outre, le 23 juin 2020, les États-Unis ont renforcé leurs accusations contre Julian Assange, qui est désormais accusé d’avoir conspiré avec des pirates informatiques pour hacker les serveurs de l’Organisation du Traité de l’Atlantique Nord (OTAN).

    Comme l’a rappelé la Maison des Lanceurs d’Alerte aux côtés de 16 autres organisations le 19 février 2020, il s’agit d’une attaque inédite contre les libertés fondamentales, portant atteinte au droit à la vie de Julian Assange, et à la liberté de la presse. En conséquence, la Maison des Lanceurs d’Alerte avait demandé aux côtés de 9 autres organisations, le 27 février 2020, que la France accorde à Julian Assange l’asile politique pour des raisons humanitaires, compte tenu des dangers qui le menacent et des attaches familiales qui le lient à la France d’une part, et d’autre part pour la sauvegarde de la liberté d’informer, la liberté de la presse et des valeurs démocratiques.

    L’enfermement que Julian Assange a subi pendant près de 7 ans au sein de l’ambassade d’Équateur à Londres, suivi d’une détention de presque un an dans une prison de haute sécurité, a considérablement fragilisé l’état de santé de ce dernier. Dans ces conditions, un renvoi vers les États-Unis, où il est menacé d’une peine de 175 ans de prison sans avoir la pleine capacité de se défendre de manière équitable, l’exposerait à des traitements inhumains et dégradants au sens de l’article 3 de la Convention Européenne des Droits de l’Homme.

    Au-delà, les charges contre Julian Assange reposent quasi exclusivement sur des activités que mènent au quotidien tous les journalistes d’investigation, à savoir la publication d’informations auparavant tenues secrètes. Au-delà du sort réservé au fondateur de Wikileaks, une telle inculpation porterait donc une atteinte grave au droit fondamental à la liberté d’expression, de nature à réduire à néant la protection dont bénéficient les journalistes dans toute l’Europe.

    En conséquence, la Maison des Lanceurs d’Alerte demande la libération immédiate de Julian Assange et l’abandon des charges pesant contre ce dernier. En outre, elle réitère sa demande auprès des autorités Françaises d’accorder sans délai au fondateur de Wikileaks l’asile constitutionnel en France.

    ]]>
    Nous attaquons la reconnaissance faciale dans le TAJhttps://www.laquadrature.net/?p=16069http://streisand.me.thican.net/laquadrature.net/index.php?20200807_090753_Nous_attaquons_la_reconnaissance_faciale_dans_le_TAJFri, 07 Aug 2020 07:07:53 +0000Nous venons de déposer un recours devant le Conseil d’Etat contre les dispositions du code de procédure pénale qui autorisent la police à utiliser la reconnaissance faciale pour identifier les personnes fichées dans le TAJ (pour « Traitement des Antécédents Judiciaires »). Ce fichier comporte 19 millions de fiches et plus de 8 millions de photos. Il permet déjà à la police, et depuis plusieurs années, d’utiliser de façon massive la reconnaissance faciale en France sur la voie publique, sans aucune justification ni aucun cadre juridique. Il est temps d’y mettre fin.

    Nous en parlions déjà l’année dernière : alors que le gouvernement essaie de faire croire qu’il souhaite un débat public avant de déployer la reconnaissance faciale en France, celle-ci est déjà en réalité bien en place. Expérimentée sur la voie publique à Nice l’année dernière, elle est aussi présente dans plusieurs aéroports et gares avec les portiques « Parafe » et sera au cœur de la prochaine application d’identité numérique « Alicem ».

    C’est surtout avec le fichier du « Traitement des antécédents judiciaires » que ce déploiement est le plus évident (nous en parlions ici). Ce fichier contient, en plus d’un très grand nombre d’informations, les photographies des visages de toute personne « mise en cause » lors d’une enquête de police. C’est-à-dire non seulement les personnes condamnées, mais aussi celles innocentées par la suite lors de l’enquête et dont les photos sont très souvent conservées malgré elles dans ce fichier. Le TAJ contient aujourd’hui, selon un rapport parlementaire et la CNIL, 19 millions de fiches et 8 millions de photographies de visage.

    Le code de procédure pénale, dans son article R40-26, permet explicitement à la police et à la gendarmerie d’utiliser la reconnaissance faciale sur ces millions de photographies. Comme la CNIL l’expliquait dès 2011, ce système permet « de comparer à la base des photographies signalétiques du traitement, les images du visage de personnes impliquées dans la commission d’infractions captées via des dispositifs de vidéoprotection », c’est-à-dire comparer par exemple le visage d’une personne filmée dans la rue par une caméra aux photographies stockées dans le fichier pour l’identifier. Cette technique est d’ores et déjà utilisée pour des affaires courantes et, récemment avec le confinement, de forts soupçons de détournements de ce fichier pèsent sur certaines amendes adressées à des personnes « connues des services de police ».

    La création du fichier TES, résultant de la fusion des fichiers des cartes d’identités et du TES passeport, accentue fortement ce risque. En effet, ce fichier, dont l’accès par la police a été grandement étendu suite à la loi Renseignement, regroupera les photographies présentes sur les passeports et cartes d’identité de l’ensemble de la population français. Ces développements pourraient permettre à la police d’aller beaucoup plus loin dans son utilisation de la reconnaissance faciale et de procéder ainsi à une réelle surveillance biométrique de masse. Une analyse détaillée est disponible ici.

    La nécessité d’une action contentieuse

    La surveillance biométrique est exceptionnellement invasive et déshumanisante. Elle permet un contrôle invisible, permanent et généralisé de l’espace public. Elle fait de nous une société de suspect·es. Elle attribue à notre corps une fonction de traceur constant, le réduisant à un objet technique d’identification. Elle abolit l’anonymat.

    C’est pourquoi nous attaquons aujourd’hui ces dispositions du code de procédure pénale sur le TAJ : pour ne laisser aucune place, ni répit, à cette surveillance biométrique. Tout comme nous avons attaqué (et gagné) contre les portiques de reconnaissance faciale dans les lycées de la région Sud. De même contre l’application Alicem. Ou contre la vidéosurveillance automatisée de Marseille. Ou comme lorsque nous avons demandé avec une centaine d’associations l’interdiction de la reconnaissance faciale.

    Nous fondons principalement notre recours juridique sur la notion de « nécessité absolue » qui est au cœur de la directive européenne dite « police – justice » (la version « policière » du RGPD). En effet, l’article 10 de cette directive indique que tout traitement de données biométriques (dont le visage fait évidemment partie) et qui est réalisé afin d’identifier une personne n’est possible qu’en cas de « nécessité absolue » et « sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ».

    Or, ce n’est évidemment pas le cas pour le TAJ : aucune « nécessité absolue » n’est susceptible de venir justifier un tel dispositif, et rien n’a d’ailleurs été jamais avancé dans ce sens par le gouvernement. Au contraire, quand la ministre de la Justice répond à notre courrier de demande d’abrogation de ces dispositions, elle le qualifie seulement d’ « aide technique » (bien loin donc de toute « nécessité absolue »). Par ailleurs, il n’existe évidemment aucune « garantie appropriée » à ce type de dispositif. Les dispositions qui permettent la reconnaissance faciale à partir des photos du TAJ apparaissent donc en contradiction flagrante avec le droit européen et la loi française qui a transposé directement ces différents principes.

    La reconnaissance faciale dans le TAJ est une des pierres angulaires de la surveillance biométrique en France, et c’est pourquoi nous l’attaquons aujourd’hui. Et nous continuerons de dénoncer et d’attaquer les autres déploiement de cette surveillance : non seulement la reconnaissance faciale, mais aussi l’ensemble des autres techniques de surveillance qui continuent de se répandre à travers la Technopolice.

    ]]>
    Il est temps d’arrêter les prolongations sécuritaireshttps://www.laquadrature.net/?p=16032http://streisand.me.thican.net/laquadrature.net/index.php?20200717_111550_Il_est_temps_d___arreter_les_prolongations_securitairesFri, 17 Jul 2020 09:15:50 +0000Lettre ouverte de l’Observatoire des libertés et du numérique (OLN), Paris, le 17 juillet 2020

    L’Observatoire des Libertés et du Numérique et d’autres associations (1) interpellent les parlementaires afin qu’ils rejettent le projet de loi prorogeant la loi SILT et les « boites noires » de renseignement (« relatif à la prorogation des chapitres VI à X du titre II du livre II et de l’article L. 851-3 du code de la sécurité intérieure »).

    Ce projet de loi vise à prolonger, pour ensuite les pérenniser et les renforcer – comme l’affiche sans complexe le gouvernement – un ensemble de mesures sécuritaires adoptées avec des limites temporelles en raison de leur caractère liberticide. Elles sont prolongées alors que leur nécessité, leur efficacité et leur proportionnalité n’ont pas été démontrées.

    Il s’agit des mesures prévues par la loi n° 2017‑1510 du 30 octobre 2017 « renforçant la sécurité intérieure et la lutte contre le terrorisme » dite « SILT » : les mesures individuelles de contrôle administratif et de surveillance (MICAS), les périmètres de protection (zone de contrôle), les visites et saisies domiciliaires (perquisitions administratives), les fermetures de lieux de culte, ainsi que les algorithmes – ou boites noires – de renseignement adoptés avec la loi n° 2015‑912 du 24 juillet 2015 relative au renseignement.

    Ces dispositifs avaient, pour répondre aux nombreuses contestations soulevées lors de l’examen de ces textes, fait l’objet d’un délai maximal d’expérimentation en raison des atteintes aux libertés fondamentales qu’ils recèlent. Cette période devait par ailleurs donner lieu de la part du gouvernement et du Parlement, à des évaluations, lesquelles sont pour partie manquantes. En effet, la mission de contrôle de la loi SILT de l’Assemblée nationale n’a pas rendu de rapport d’évaluation. L’exigence d’une évaluation a pourtant été maintes fois rappelée que ce soit par la CNCDH ou encore récemment par la Rapporteuse spéciale des Nations Unies sur la promotion et la protection des droits de l’homme dans la lutte anti-terroriste(2). S’agissant des boites noires, prolongées une première fois alors qu’elles auraient dû initialement s’achever le 31 décembre 2017, elles devaient faire l’objet d’un rapport d’évaluation du gouvernement au 30 juin 2020, date limite dépassée. Pire encore, le gouvernement a fait fi de ce que la Commission Nationale de Contrôle des Techniques de Renseignement avait demandé que ce rapport soit réalisé peu après la première année de leur mise en service (soit vers la fin de l’année 2018). Si l’on a récemment appris que le gouvernement aurait finalement réalisé une évaluation – toujours confidentielle jusqu’ici – de cette surveillance algorithmique, l’intérêt de ces mesures semble très discutable alors que leurs conséquences sur les libertés sont particulièrement conséquentes (3).

    Prétextant la crise sanitaire, le gouvernement entend repousser encore d’un an ces « expérimentations » et par la même occasion les évaluations s’y attachant. Alors que ce projet de loi vise à être adopté dans le cadre d’une procédure accélérée sans aucun débat (notre demande d’audition auprès du rapporteur du texte et de la commission des lois étant notamment restée lettre morte), l’objectif poursuivi par le gouvernement est limpide : « Dans le délai ouvert par cette prorogation, un projet de loi viendra pérenniser ces dispositions, mais également compléter ou modifier ces deux lois, afin de tenir compte des nécessaires évolutions induites par les besoins opérationnels ».

    Les intentions de l’Exécutif sont affichées : proroger uniquement pour lui laisser le temps de pérenniser et aggraver ces dispositifs liberticides.

    Si lors des débats du mercredi 8 juillet, la commission des lois de l’Assemblée nationale a proposé de réduire le report des mesures en question à 6 mois, il n’en demeure pas moins que la représentation nationale devrait s’opposer purement et simplement à cette prorogation.

    Un tel projet de prorogation est un nouveau témoin de la dérive sécuritaire des autorités françaises. L’absence de toute remise en question de ces dispositifs de surveillance et de contrôle n’est qu’une preuve une fois de plus de l’effet « cliquet » de ces dispositifs sécuritaires qui, une fois votés avec la promesse de leur caractère provisoire, sont en réalité constamment prorogés et aggravés.

    Afin, dans les mots du nouveau ministre de la Justice de « quitter un peu les rives du sécuritaire en permanence », nous appelons donc les parlementaires à rejeter ce projet de loi pour, a minima, forcer la tenue d’une évaluation et d’un débat sérieux sur ces dispositifs ou les laisser enfin disparaitre.

    (1)Signataires :

    Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

    Autres associations : Action Droits des Musulmans (ADM) ; Le Collectif des Associations Citoyennes (CAC)

    (2) Ainsi Fionnuala Ni Aolain, le 24 juin 2020, regrette « que les MICAS n’aient été évaluées comme le prévoient les clauses d’extinction (ou clause ‘sunset’) prévues par la loi SILT, et qu’elle soit donc un moyen de contourner l’obligation de vérifier l’efficacité, la proportionnalité, la nécessité et l’aspect non- discriminatoire de ces mesures »

    (3) Pour un rappel des enjeux de ces textes, nous vous renvoyons notamment vers ces ressources :

    Le numérique assigné à l’état d’urgence permanent, communiqué de l’OLN du 3 oct. 2017 : https://www.ldh-france.org/numerique-assigne-letat-durgence-permanent/

    France / Loi SILT. Amnesty International France demande une évaluation indépendante prenant en compte les droits humains, 12 février 2020 : https://www.amnesty.fr/presse/france–loi-silt.-amnesty-international-france

    Un an de mise en oeuvre de la loi SILT – Rapport 2018, Réseau Antiterrorisme, droits et Libertés : https://antiterrorisme-droits-libertes.org/IMG/pdf/silt_analyse_juridique_mise_en_oeuvre_et_contenieux_annee_i_-2017_2018-3.pdf

    Renseignement : derrière le brouillard juridique, la légalisation du Deep Packet Inspection, Félix Tréguer, 15 nov. 2017 : https://www.laquadrature.net/2017/11/15/renseignement_legalisation_dpi/

    ]]>
    Accès aux contenus pornographiques : le Parlement doit retirer l’article 11 !https://www.laquadrature.net/?p=15998http://streisand.me.thican.net/laquadrature.net/index.php?20200703_093755_Acces_aux_contenus_pornographiques____le_Parlement_doit_retirer_l___article_11___Fri, 03 Jul 2020 07:37:55 +0000MAJ : Le Parlement a définitivement adopté cette proposition de loi le 21 juillet 2020.

    Le Parlement s’apprête à voter un nouveau dispositif de surveillance et de censure de l’Internet. Il s’agit des articles 11 et 11 bis A de la loi sur la protection des victimes des violences conjugales, tels que votés par le Sénat le 9 juin. Ces articles imposent aux sites qui hébergent des contenus pornographiques de recourir à des dispositifs de vérification d’âge pour empêcher que les mineur·es y aient accès. De telles obligations, nourries des volontés gouvernementales de nous identifier partout et tout le temps, ne peuvent qu’entraîner de nouvelles et multiples atteintes à nos libertés. Elles risquent aussi de parasiter, en les déshumanisant, les questionnements autour de l’accompagnement des enfants dans la découverte d’Internet, qui devraient pourtant être au cœur des réflexions. Le Parlement a encore une chance de rejeter une partie de cette idée : il doit la saisir.

    Tout commence avec l’article 227-24 du code pénal. Depuis 1994, celui-ci prévoit que le fait « de diffuser (…) un message à caractère violent, incitant au terrorisme, pornographique (…) est puni de trois ans d’emprisonnement et de 75 000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur ». Quand cet article a été adopté, l’objectif avancé par le législateur était de « poursuivre les minitels roses qui sont aisément accessibles à des mineurs ». Aujourd’hui, cet article sert de prétexte pour interdire tout site internet qui permet à des mineur·es de consulter des contenus pornographiques.

    Il s’avère qu’une telle interdiction, assez peu réaliste en l’état, n’est aujourd’hui pas mise en œuvre. Néanmoins, depuis sa création, cet article du code pénal est utilisé pour pousser différentes idées de contrôle et de surveillance d’Internet : obligation d’utiliser une carte d’identité numérique « qui permettrait au visiteur de justifier de sa majorité sur Internet », filtrage par défaut par les fournisseurs d’accès ou blocage administratif des sites… Tant de mesures qui, sur ce sujet, étaient pour l’instant restées au stade d’idées et n’avaient pas été mises en place.

    Le gouvernement d’Emmanuel Macron en a néanmoins fait une de ses priorités. Ce dernier l’annonce lui-même en 2019 : « On va maintenant, enfin, préciser dans notre code pénal que le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante contre l’accès à la pornographie des mineurs ». Et de revenir aussi sur l’idée d’une généralisation des « dispositifs de vérificateur d’âge efficaces ».

    Marc Dorcel et le Parlement

    Comme pour la loi Avia, c’est une députée LREM qui s’est retrouvée avec la mission de retranscrire dans une loi les directives d’Emmanuel Macron : Bérangère Couillard. En décembre 2019, elle dépose une proposition de loi « visant à protéger les victimes des violences conjugales », avec un article 11 qui propose d’indiquer explicitement à l’article 227-24 du code pénal que « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs ». Et dès l’examen en
    commission
    , elle relève que cela ne sera pas suffisant et qu’il faudrait aller encore plus loin : « la seule menace réellement dissuasive à l’encontre des conglomérats dont le modèle économique repose sur la captation du trafic le plus important possible consiste dans le blocage des sites internet depuis la France ».

    Cette idée du blocage s’est concrétisée plus tard quand le texte arrive au Sénat, et qu’un amendement est proposé en séance publique : la sénatrice Marie Mercier (groupe Les Républicains) propose ainsi de mettre le CSA dans le jeu : lorsque celui constate qu’un site ne respecte pas l’article 227-24 du code pénal, il peut ainsi le mettre en demeure de « prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé ». Dans le cas où le site n’obtempère pas, le CSA peut saisir le juge des référés, c’est-à-dire le juge de l’urgence, afin de mettre « fin à l’accès à ce service » : autrement dit, d’en faire bloquer l’accès par les fournisseurs d’accès à Internet. La justice peut déjà prononcer ce type de blocage, mais il s’agit ici de donner toute la légitimité au CSA pour le demander en urgence, et donc de lui accorder un pouvoir de pression supplémentaire.

    D’après le gouvernement, l’amendement est poussé par la société Dorcel – qui produit et diffuse des contenus pornographiques –, lui permettant au passage de mettre en difficulté ses concurrents dont le modèle, gratuit, n’entraîne pas l’authentification des utilisateurs par leur carte bancaire, contrairement au sien. L’amendement est adopté par le Sénat et le texte en son entier est voté le 9 juin 2020.

    Des parlementaires qui n’ont toujours rien compris à Internet

    Où commencer la critique sur un aussi mauvais projet ?

    Les parlementaires reprennent une idée poussée pendant plusieurs années au Royaume-Uni. Cette idée a fini par être abandonnée après que plusieurs associations ont souligné les dangers des dispositifs de vérification d’âge pour la vie privée des utilisatrices et utilisateurs. Manifestement, le gouvernement français n’apprend pas des erreurs de ses voisins et pense pouvoir faire mieux tout en recopiant le système britannique- sans faire autre chose. Une certaine logique Shadok.

    Ensuite, le gouvernement s’obstine à mettre le CSA au centre de sa vision d’Internet, une autorité créée et pensée pour la télévision. Et cela alors même que le Conseil constitutionnel vient de jeter à la poubelle toutes les idées du gouvernement pour faire du CSA l’autorité en charge de la « haine sur Internet ». Ici, le but est d’en faire l’autorité en charge de la régulation sur Internet des contenus pornographiques. Or, face à une notion si mal définie en droit français, le CSA va se retrouver avec le pouvoir de décider de ce qui relève ou non de la pornographie, avec la menace derrière de saisine du juge des référés et de blocage.

    Par ailleurs, comme l’avait fait le Royaume-Uni, les parlementaires ne détaillent pas dans la loi le dispositif de vérification d’âge : ils laissent aux sites et au CSA le soin de les décider entre eux. Mais un rapide passage en revue des solutions envisagées ne peut que faire craindre une surveillance inadmissible sur Internet.

    S’agira-t-il, comme en parle Marie Mercier, d’utiliser France Connect, le service d’identité numérique de l’État ? Au-delà de l’énorme jeu de données traitées par ce dispositif (voir à ce titre l’arrêté qui les détaille), va-t-on vraiment demander à des personnes d’utiliser le même identifiant pour les impôts, la sécurité sociale et la consultation de sites avec contenus pornographiques ? Même si Cédric O semble avoir rejeté cette idée, il parlait pourtant bien en juillet 2019 d’une idée assez proche d’identité numérique et de passer sa carte d’identité sur un lecteur pour vérifier sa majorité.

    Ou alors s’agira-t-il d’imposer l’utilisation d’une carte bancaire, comme l’espère Dorcel ? Les effets rebonds possibles d’une telle mesure sont problématiques, imposer la carte bancaire, c’est, notamment, risquer que les données récoltées sur la consultation du site puissent être collectées par d’autres personnes, par exemple celles ayant accès au relevé du compte bancaire… Sans compter que, comme cela a déjà été relevé, la Cnil n’a jamais reconnu la preuve de la majorité comme finalité possible pour l’utilisation d’une carte de paiement.

    En réalité, quelle que soit la solution, elle implique le traitement de données profondément intimes avec le risque permanent et terrible d’une faille de sécurité et d’une fuite des données d’une large partie de la population.

    Enfin, faut-il rappeler encore aux parlementaires que, quel que soit le dispositif choisi, il est fort possible qu’il traite de données « sensibles », au sens du droit européen (car pouvant révéler « l’orientation sexuelle d’une personne physique »). Or, tout traitement de ce type de données est interdit, et ne peut être autorisé que pour certaines exceptions précises.

    Centralisation et déshumanisation

    D’autres critiques doivent évidemment être faites à une telle proposition, et le STRASS, syndicat du travail sexuel, les répète depuis le dépôt de cette proposition de loi : du fait des dispositifs de contrôle d’âge qui deviendraient obligatoires à mettre en œuvre pour l’ensemble des sites pouvant proposer des contenus considérés comme « pornographiques », « la conséquence probable de cet article sera la censure massive de contenu pornographique voire érotique légal, artisanal, amateur et indépendant tout en favorisant de facto les grands distributeurs ». De même : « on peut aussi s’attendre à ce que cette loi entraîne le blocage des sites d’annonces d’escort et de webcam érotique basés à l’étranger ainsi que les sites Web de travailleurSEs du sexe indépendantEs, fragilisant d’autant une communauté déjà marginalisée par la définition très large du proxénétisme et la pénalisation du client ». En renforçant la pornographie industrielle aux détriments des indépendantes, ce sont les pratiques de cette première qui sont promues, avec ses clichés les plus sexistes et ses conditions de travail les plus abjectes. Il ne restera alors rien de l’objectif que s’était donné la loi, celui de « protéger les victimes de violences conjugales ».

    Identification permanente, surveillance de notre intimité, censure, contrôle du CSA sur Internet… Autant de raisons qui devraient conduire les parlementaires à abandonner cette idée. D’autant plus qu’elle conduit, enfin et surtout, à déshumaniser la question autour de la découverte d’Internet, à faire penser qu’une machine s’occupe de poser des limites à cette découverte, que la question ne nous concerne plus. C’est encore une fois vouloir régler par un outil technique magique une question éminemment humaine.

    Le texte devrait passer dans les prochaines semaines en commission mixte paritaire pour que l’Assemblée Nationale et le Sénat se mettent d’accord. Si le passage sur « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs » semble définitivement adopté, l’article 11 bis A sur les pouvoirs du CSA peut encore être retiré. Le Parlement doit se saisir de cette occasion pour retirer sa dangereuse proposition.

    ]]>
    Racisme policier : les géants du Net font mine d’arrêter la reconnaissance facialehttps://www.laquadrature.net/?p=15991http://streisand.me.thican.net/laquadrature.net/index.php?20200622_160230_Racisme_policier____les_geants_du_Net_font_mine_d___arreter_la_reconnaissance_facialeMon, 22 Jun 2020 14:02:30 +0000À un moment où l’institution policière est remise en question, les multinationales de la sécurité tentent de se racheter une image par des effets d’annonce : elles arrêteraient la reconnaissance faciale car la technologie ne serait pas tout à fait au point et la police l’utiliserait à mauvais escient.

    Arrêter la reconnaissance faciale ?

    Plusieurs entreprises ont annoncé arrêter (temporairement ou non) la reconnaissance faciale. C’est d’abord IBM qui a ouvert le bal : l’entreprise a déclaré publiquement qu’elle arrêtait de vendre la reconnaissance faciale à « usage général » et appelle le Congrès américain à établir un « dialogue national » sur la question. Le même jour, une employée de Google dénonce les biais des algorithmes et la dangerosité de cette technologie. Le lendemain, Amazon affirme interdire l’utilisation par la police de son logiciel de reconnaissance faciale Rekognition pendant un an. Enfin, Microsoft dit vouloir arrêter de vendre de tels services tant qu’il n’y aura pas de cadre législatif plus précis.
    Ce sont donc les entreprises à l’origine même de l’invention et de la mise au point de la reconnaissance faciale qui la dénoncent. Culotté.
    Comme le montre bien Privacy International, IBM est une des premières entreprises à s’être lancée dans la reconnaissance faciale et à en avoir fait son fonds de commerce. Elle a carrément inventé le terme même de « Smart City » pour vendre toujours plus de systèmes de vidéosurveillance à travers le monde. Et, on y reviendra plus tard, la reconnaissance faciale n’est qu’une fraction des algorithmes vendus par IBM. Selon l’association britannique, IBM prend les devants pour éviter d’être accusée de racisme, comme ce fut le cas lorsque qu’il est apparu qu’elle vendait sa technologie aux Nazis pendant la Seconde guerre mondiale. En outre, c’est peut-être un moyen pour l’entreprise de se retirer d’un marché concurrentiel où elle ne fait pas office de leader, comme à Toulouse, où la mairie de J.-L. Moudenc a conclu un contrat avec IBM pour équiper une trentaine de caméras de VSA, sans succès apparent.

    À travers ces déclarations, ces entreprises tentent d’orienter nos réponses à cette question classique qui se pose pour nombre de nouvelles technologies : la reconnaissance faciale est-elle mauvaise en soi ou est-elle seulement mal utilisée ? La réponse à cette question de la part d’entreprises qui font des bénéfices grâce à ces technologies est toujours la même : les outils ne seraient ni bons ni mauvais, c’est la façon dont on les utilise qui importerait.

    C’est ainsi qu’une annonce qui s’apparente à un rétropédalage sur le déploiement de la reconnaissance faciale est en réalité la validation de l’utilité de cette technologie. Une fois que l’État aura établi un cadre clair d’utilisation de la reconnaissance faciale, les entreprises auront le champ libre pour déployer leurs outils.

    Instrumentaliser les combats antiracistes pour se refaire une image

    Que ce soit Google, Microsoft ou Amazon, les géants du numérique qui utilisent de l’intelligence artificielle ont déjà été épinglés pour les biais racistes ou sexistes de leurs algorithmes. Ces révélations, dans un contexte où de plus en plus de monde se soulève contre le racisme, au sein de la police notamment aux États-Unis, affectent de plus en plus l’image de ces entreprises déjà connues pour avoir peu de respect pour nos droits. Mais les géants du numérique ont plus d’un tour dans leur sac et maîtrisent les codes de la communication et gèrent avec attention leur image publique . Le débat autour des biais algorithmiques concentre l’attention, alors que pendant ce temps les questions de respect des données personnelles sont passées sous silence.
    En annonçant mettre en pause l’utilisation de leurs outils de reconnaissance faciale tant qu’ils auront des biais racistes, Microsoft, IBM et Google font coup double : ils redorent leur image en se faisant passer pour des antiracistes alors qu’ils font leur business sur ces outils depuis des années et qu’ils imposent publiquement un débat dans lequel l’interdiction totale de la reconnaissance faciale n’est même pas envisagée.
    Amazon fait encore plus fort, en prétendant interdire au gouvernement de se servir de Rekognition, son logiciel de reconnaissance faciale. Ainsi le message de l’entreprise est clair : ce n’est pas la reconnaissance faciale qui est dangereuse mais l’État.
    Cette volte-face des géants du numérique rappelle leur énorme poids politique : après avoir passé des années à convaincre les autorités publiques qu’il fallait se servir de ces outils technologiques pour faire régner l’ordre, ils ont le luxe de dénoncer leur utilisation pour redorer leur blason. C’est le cas d’IBM, qui fait la promotion de la reconnaissance faciale depuis au moins 2012, en fournissant à la ville d’Atlanta, aux États-Unis, un programme de police prédictive avec les photos des criminels à haut risque. Et qui en 2020, dénonce son utilisation par la police, de peur que cela ne lui retombe dessus.

    La reconnaissance faciale, un épouvantail qui rend la VSA acceptable

    Ce qui est complètement passé sous silence dans ces annonces, c’est le fait que la reconnaissance faciale n’est qu’un outil parmi d’autres dans l’arsenal de surveillance développé par les géants du numérique. Comme elle touche au visage, la plus emblématique des données biométriques, elle attire toute la lumière mais elle n’est en réalité que la partie émergée de l’iceberg. En parallèle sont développés des outils de « vidéosurveillance automatisée » (reconnaissance de tenues vestimentaires, de démarches, de comportements, etc.) qui sont discrètement installés dans nos rues, nos transports en commun, nos écoles. En acceptant de faire de la reconnaissance faciale un outil à prendre avec des pincettes, les GAFAM cherchent à rendre acceptable la vidéosurveillance automatisée, et cherchent à rendre impossible le débat sur son interdiction.
    Or, il est fondamental d’affirmer notre refus collectif de ces outils de surveillance. Car sous couvert « d’aide à la prise de décision », ces entreprises et leurs partenaires publics instaurent et réglementent les espaces publics. Quand une entreprise décide que c’est un comportement anormal de ne pas bouger pendant 5 minutes ou quand on se sait scruté par les caméras pour savoir si l’on porte un masque ou non, alors on modifie nos comportements pour entrer dans la norme définie par ces entreprises.

    Les grandes entreprises de la sécurité ne sont pas des défenseuses des libertés ou encore des contre-pouvoirs antiracistes. Elles ont peur d’être aujourd’hui associées dans la dénonciation des abus de la police et de son racisme structurel. Leurs annonces correspondent à une stratégie commerciale bien comprise : faire profil bas sur certains outils pour mieux continuer à vendre leurs autres technologies de surveillance. En passant pour des « multinationales morales et éthiques » — si tant est que cela puisse exister — ces entreprises ne prennent que très peu de risques. Car ne soyons pas dupes : ni IBM, ni Microsoft et encore moins Amazon ne vont arrêter la reconnaissance faciale. Ces boîtes ne font que temporiser, à l’image de Google qui, en réponse aux dénonciations d’employé·es avait laissé entendre en 2018 que l’entreprise se tiendrait à distance du Pentagone, et qui a depuis lors repris ses collaborations avec l’armée américaine. Et, ce faisant, elles font d’une pierre deux coups : en focalisant le débat sur la reconnaissance faciale, les géants du numérique tentent non seulement de redorer leur image mais laissent aussi la porte grande ouverte pour déployer d’autres dispositifs de surveillance fondés sur l’intelligence artificielle et tout aussi intrusifs.

    ]]>
    Loi haine : le Conseil constitutionnel refuse la censure sans jugehttps://www.laquadrature.net/?p=15976http://streisand.me.thican.net/laquadrature.net/index.php?20200618_193026_Loi_haine____le_Conseil_constitutionnel_refuse_la_censure_sans_jugeThu, 18 Jun 2020 17:30:26 +0000Victoire ! Après une longue année de lutte, le Conseil constitutionnel vient de déclarer contraire à la Constitution la quasi-intégralité de la loi de lutte contre la haine en ligne. Au-delà de sa décision, le Conseil constitutionnel refuse le principe d’une censure sans juge dans un délai imposé d’une heure ou de vingt-quatre heures.

    En prétendant lutter contre la haine, la loi organisait en réalité une censure abusive d’Internet : la police pouvait exiger la censure de contenus à caractère terroriste en une heure ; les grandes plateformes devaient censurer tout contenu qui pourrait être haineux en vingt-quatre heures. Le Conseil constitutionnel a rendu une décision claire : ce principe de censure dans un délai fixe, que le Conseil critique violemment, est contraire à la Constitution. Comme nous le relevions dans nos observations envoyées au Conseil constitutionnel, un tel délai fixe, pour tout type de contenu, aggrave considérablement les risques de censures abusives, voire de censure politique. Le Conseil souligne que seuls les contenus manifestement illicites peuvent être retirés sans passer par un juge ; or, reconnaître qu’un contenu est manifestement illicite demande un minimum d’analyse, impossible en si peu de temps.

    Notre victoire d’aujourd’hui est une lourde défaite pour le gouvernement. Il paie le prix d’une méthode irréfléchie et lourde de conséquences néfastes : alors que Facebook se vantait de lutter « efficacement » contre la haine en employant des armées de personnes et de machines pour censurer les contenus sur sa plateforme, le gouvernement a lancé une « mission Facebook » pour s’en inspirer. Il a ensuite chargé Madame Avia d’une loi pour imposer à l’ensemble de l’Internet le modèle de censure toxique et algorithmique de Facebook. Cette tentative aura été aussi inutile que dangereuse et inconstitutionnelle.

    Mais, surtout, le gouvernement est intervenu au dernier moment pour faire « adopter à l’avance » en France le règlement européen contre la propagande terroriste, qui prévoit lui aussi une censure sans juge en une heure (lire notre analyse du texte). Alors que les débats européens sur ce sujet sont loin d’être terminés et qu’aucun compromis ne se dégage, la France a voulu mettre le législateur européen devant le fait accompli en tentant ce tour de force risqué. Son pari est entièrement perdu. Si le débat sur le règlement européen se poursuit, la France y aura perdu l’essentiel de sa crédibilité pour porter une proposition qu’elle est presque la seule, avec l’Allemagne, à vouloir imposer.

    Pour lutter contre la haine en ligne, une autre stratégie, respectueuse des libertés fondamentales et d’un Internet libre, était possible : celle de l’interopérabilité. Cette voie, reprise par de nombreux amendements à droite comme à gauche durant l’examen de la loi haine, avait été repoussée par un gouvernement incapable de s’opposer véritablement aux géants du Net. En effet, le problème de la haine en ligne est accentué par le modèle économique des grandes plateformes qui ont un intérêt à mettre en avant des contenus conflictuels, voire haineux, qui feront réagir et rester sur leurs plateformes. Le législateur a refusé cette possibilité, se fourvoyant dans sa volonté de censure. Il faut désormais qu’il tire les conséquences de ce désaveu du Conseil constitutionnel.

    Cette victoire est pour nous l’achèvement d’une longue année de lutte, à vos côtés, à tenter de convaincre les parlementaires que cette loi était contraire à la Constitution. Le Conseil constitutionnel sanctionne lourdement l’amateurisme du gouvernement et des député·es En Marche ayant renoncé à tout travail législatif sérieux.

    ]]>
    La Technopolice progresse, la Cnil moulinehttps://www.laquadrature.net/?p=15970http://streisand.me.thican.net/laquadrature.net/index.php?20200603_133549_La_Technopolice_progresse__la_Cnil_moulineWed, 03 Jun 2020 11:35:49 +0000Depuis la crise sanitaire, la vidéosurveillance automatisée s’ancre un peu plus dans l’espace public : détection automatique du port de masque, de la température corporelle, des distances physiques… Ces dispositifs participent à la normalisation de la surveillance algorithmique et portent de nouvelles atteintes à nos libertés. Ils sont installés sans qu’aucune preuve de leur utilité n’ait été apportée, et souvent dans la plus complète opacité. La Cnil, en ne réagissant pas publiquement à ces dérives, participe à leur banalisation et à celle de toute la Technopolice.

    Cela fait plus d’un an que nous combattons à travers la campagne Technopolice le déploiement de la vidéosurveillance automatisée. Elle s’est en quelques mois répandue dans de multiples villes en France (voir celles – très nombreuses – répertoriées sur le forum et le carré Technopolice). La crise sanitaire a, comme dans d’autres domaines, amplifié le phénomène. Ainsi, pendant que d’un côté la police a déployé illégalement ses drones pour démultiplier son pouvoir de surveillance sur le territoire, plusieurs collectivités ont passé des contrats avec des entreprises pour implémenter de nouvelles technologies de surveillance.

    À Cannes et dans le métro parisien, la société Datakalab a fait installer son logiciel de détection de port de masque. Plusieurs mairies et écoles ont de leur côté déjà mis en place dans leurs locaux des caméras pour mesurer la température des personnes, avec pour objectif de les renvoyer chez elles en cas de température trop élevée – une expérimentation du même type est d’ailleurs en cours à Roissy. Quant à la mesure des distances physiques, elle est déjà en cours dans les transports à Cannes, et pas de doute qu’avec les propositions de plusieurs start-up, d’autres villes réfléchissent déjà à ces dispositifs.

    Normalisation et opacité de la surveillance

    La multiplication de ces dispositifs en crise sanitaire participe évidemment à la normalisation de la surveillance algorithmique. Derrière leurs apparences parfois inoffensives, ces technologies en banalisent d’autres, notamment la détection de « comportements suspects » ou le suivi automatique de personne selon un signe distinctif (démarches, vêtements…). Alors même que leur déploiement est programmé depuis plusieurs années, comment croire un seul instant que ces dispositifs seront retirés une fois la crise finie ? Au contraire, s’ils ne sont pas vigoureusement contestés et battus en brèche dès aujourd’hui, ils viendront simplement s’ajouter à l’arsenal toujours plus important de moyens de contrôle de la population. Le maire qui fait installer des caméras thermiques dans son école ne les considère-t-il pas lui-même comme « un investissement à long terme [pouvant] resservir au moment des épidémies de grippe et de gastro-entérite » ?

    D’ailleurs, à Paris, l’expérimentation de détection de masque par la RATP dans la station de métro de Châtelet s’inscrit « dans le cadre du programme intelligence artificielle du groupe et du LAB’IA ». Nous dénoncions en février ce programme qui consiste pour la RATP à permettre aux industriels sécuritaires d’utiliser les usagères et usagers du métro comme des cobayes pour leurs algorithmes de détection automatique. Quelles entreprises y participent ? Quels algorithmes y sont testés ? Impossible de le savoir précisément. Car c’est l’autre caractéristique de ces expérimentations : leur opacité. Impossible de savoir quelles données traite le dispositif de Datakalab et de quelle manière, ou ce que captent, enregistrent et déduisent exactement les caméras thermiques d’Aéroports de Paris, ou les algorithmes de détection des distances à Cannes. À part une maigre communication dans la presse, les conventions conclues n’ont pas été publiées. Le seul moyen pour y avoir accès est d’adresser aux différents organismes concernés des demandes CADA (voir notre guide) et se plier à leur bon vouloir sur ce qu’ils souhaitent ou non communiquer.

    Des dispositifs probablement illégaux

    Au-delà de la normalisation et de l’opacité, plusieurs questions juridiques se posent.

    On peut déjà critiquer la nécessité et la proportionnalité de tels outils : l’article 5 du RGPD impose que les données personnelles traitées doivent toujours être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Autrement dit, et comme le dit la Cnil elle-même : « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs ». Un tel questionnement semble totalement absent de la vidéosurveillance automatisée. N’y a-t-il vraiment aucun autre moyen de voir si des personnes portent un masque ou respectent des distances physiques que de les soumettre à une caméra et son algorithme ? N’importe quel humain semble pourtant capable de réaliser ces tâches. L’Humanité s’est très bien passée d’algorithme jusqu’à aujourd’hui.

    Et quelle base légale pour ces dispositifs ? Par exemple, pour les caméras thermiques qui traitent des données dites « sensibles » (comme les données de santé) et dont le traitement est par principe interdit ? Il n’est autorisé que dans certaines conditions (article 9 du RGPD). Parmi ces exceptions, on trouve bien des motifs de « médecine du travail » ou de « santé publique » mais à chaque fois, de tels traitements doivent être basés sur le « droit de l’Union ou [le] droit de l’État membre ». Ce droit n’existe pas : il n’existe aucun cadre juridique spécifique à la vidéosurveillance automatisée. La Cnil dit d’ailleurs de nouveau elle-même : « En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs (…) les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques ».

    De tels questionnements rejoignent ceux que nous posons constamment sur la vidéosurveillance automatisée et que nous avons soulevés lors d’un contentieux (aujourd’hui perdu) à Marseille. Comment ne pas s’étonner alors que la Cnil laisse se répandre cette Technopolice ?

    Le silence coupable de la Cnil

    Cela fait maintenant presque deux ans que nous avons rencontré des membres de la Cnil pour échanger sur ces sujets et depuis… rien. Ou presque : un avis sur les portiques de reconnaissance faciale et un avertissement sur un projet de capteurs sonores à Saint-Étienne (sur lesquels elle a volontairement communiqué). Et encore, seulement après que nous les ayons publiquement dénoncés et attaqués.

    Depuis le début de la crise sanitaire, il semble bien qu’il y ait eu des échanges entre la Cnil et les entreprises ou autorités responsables sur les nouvelles expérimentations. C’est notamment le cas de celle à Cannes et dans le métro parisien, mais aussi pour l’expérimentation dans les aéroports. Or, là encore, aucune publicité n’a été faite sur ces échanges. Ils sont souvent pourtant d’un grand intérêt pour comprendre les velléités sécuritaires des autorités, des entreprises et pour mesurer les faiblesses des contrôles de la Cnil. C’était d’ailleurs le cas pour les portiques de reconnaissance faciale dans les lycées de la Région Sud où la Cnil avait rendu un avis non-public, que nous avons dû nous-même lui demander. La mollesse de la CNIL nous avait forcées d’agir de notre côté devant le tribunal administratif (où nous avons obtenu gain de cause quelques mois plus tard).

    En dehors de ces quelques cas, l’action de la CNIL contre la Technopolice semble largement insuffisante. Son action se limite à émietter quelques principes théoriques dans ses communications (comme vu plus haut) mais n’en tire aucune conséquence concrète. Ou alors elle fait secrètement des contrôles dont nous ne sommes informés qu’après avoir attaqué nous-même le dispositif devant la justice. Ou alors elle ne veut rien faire. Rien sur les analyses d’émotions et la détection d’évènements violents en expérimentation à Nice, rien sur les logiciels de la société Briefcam installés dans plusieurs dizaines de villes en France, rien sur les capteurs sonores de Strasbourg, rien sur les logiciels de Huawei à Valenciennes.

    Il est même extrêmement étonnant de voir être proposés et installés des outils de détection de température alors que la Cnil les a expressément interdits… On en vient presque à oublier qu’elle a le pouvoir d’ester en justice et de sanctionner (lourdement) le non-respect des textes [1]. Comme pour les drones, ce rôle semble quelquefois reposer sur les capacités contentieuses des associations.

    Ce silence coupable participe à la prolifération des dispositifs sur le territoire français. Ces derniers, comme la reconnaissance faciale, doivent être combattus. Ils accroissent considérablement la capacité des autorités à nous identifier et à nous surveiller dans l’espace public, démultipliant les risques d’abus, et participent au déploiement d’une société de surveillance. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible, indolore et profondément déshumanisant.

    [1] La critique de cette inaction de la Cnil pourrait d’ailleurs se faire de manière plus générale pour le peu de sanctions qu’elle rend au titre du RGPD, voir notamment 2 ans de RGPD : comparaison de l’application du règlement par les pays européens

    ]]>
    Crise du Covid-19 : la technopolice profite de la stratégie du chochttps://www.laquadrature.net/?p=15957http://streisand.me.thican.net/laquadrature.net/index.php?20200602_172101_Crise_du_Covid-19____la_technopolice_profite_de_la_strategie_du_chocTue, 02 Jun 2020 15:21:01 +0000Ce texte a été publié au sein de l’œuvre collective « Résistons ensemble, pour que renaissent des jours heureux », (Télécharger au format epub et PDF) qui vise à faire le point sur la situation politique actuelle et à mettre en avant des propositions pour une société plus juste. Benoît Piédallu, membre de La Quadrature du Net, y tente une analyse de l’avancée des technologies de surveillance durant la crise du Covid19, dans un texte que nous reproduisons donc ci-dessous.

    En février ou début mars 2020, voyant arriver la lame de fond de la pandémie, personne à La Quadrature du Net n’avait imaginé à quel point elle nous forcerait à mobiliser nos forces. Mobilisé·es à l’époque par la loi Avia (qui transfère des responsabilités de censure aux grandes plateformes), par la promotion de l’interopérabilité (qui imposerait ces mêmes grandes plateformes à se connecter à d’autres outils), ou encore à forcer la main à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur la législation des cookies, comment aurions-nous pu penser qu’un événement sanitaire allait bousculer à ce point notre agenda ?

    Et pourtant, les premiers sujets sont vite arrivés. Quelques jours après le début du confinement officiel (le 17 mars), Orange a informé les médias que 17 % des Parisien·ne·s avaient quitté la capitale au début du confinement, ce que l’opérateur n’avait pu savoir qu’en utilisant des données de bornage de téléphones mobiles, pourtant non prévues à cette fin. Puis c’est la mise en place d’un système de traçage total de la population dont il a très vite été question. La police, décidant seule de qui avait le droit de se trouver dans les rues ou pas, en profita pour utiliser de manière massive ses drones, de la prévention à la verbalisation, à l’image de ces vidéos venant de Chine dont tout le monde se moquait pourtant quelques semaines plus tôt. Profitant de cette situation d’urgence, les élus locaux se trouvant sommés d’agir alors qu’ils se trouvaient dans un entre-deux-tours sans fin, de nombreuses entreprises se mirent à proposer, au vu et au su de tous, leurs technologies de surveillance, même gracieusement, sous prétexte de lutte contre la pandémie.

    La surveillance de la population est un sujet de lutte depuis bien longtemps entre les associations de défense des droits fondamentaux d’une part, et les entreprises privées et les autorités d’autre part. Passées de paranos à tout juste réalistes à l’occasion de la parution des révélations Snowden en 2013, ces associations ont bénéficié d’une très courte fenêtre de tir avant qu’entreprises spécialisées et politiques pro-surveillance ne reprennent la main. C’est le RGPD, Règlement général sur la protection des données européen, qui en aura bénéficié dans sa rédaction. Mais, dans le fond, jamais le gouvernement français n’aura cessé d’ajouter des réglementations pour installer de nouveaux outils de surveillance de sa population, quand ce ne sont pas des technologies de surveillance mises en œuvre illégalement par différents services, et rendues légales une fois le législateur mis devant le fait accompli.

    « Technopolice » est une campagne lancée par la Quadrature en septembre 2019, qui liste, dénonce – et lutte contre – les outils de surveillance urbaine. Qu’il s’agisse de la reconnaissance biométrique, de détection d’événement, d’usage de drones, de croisement et d’analyse algorithmique branchée sur les données urbaines, ils sont, depuis quelques années, déployés en catimini par des collectivités locales, majoritairement sous couvert d’expérimentation. Ce principe est un paravent qui leur permet souvent d’éviter le lancement d’appels d’offres, mais aussi de rassurer la population : en présentant à ses administré·e·s un projet comme « temporaire », un·e responsable politique peut plus facilement, sans avoir à prouver l’efficacité d’un système, le déployer dans l’espace public.

    C’est aussi une technique utilisée au niveau national : à l’occasion de la loi de finances 2020, un article prévoyait la mise en place d’une expérimentation de trois ans (sic) par laquelle le ministère des Finances se voyait autorisé à capter des données sur divers services en ligne (leboncoin, eBay…), puis à leur appliquer des algorithmes à des fins de lutte contre la fraude fiscale. Et Cédric O demandait encore, fin décembre 2019, la mise en place d’une expérimentation nationale de la technologie de reconnaissance faciale, dont nous demandons de notre côté l’interdiction totale.

    Pour chaque déploiement, il existe dans le monde une démonstration de détournement par l’administration : la reconnaissance faciale en Inde, présentée initialement pour retrouver les enfants perdus ? Utilisée pour lister les manifestant·e·s. L’utilisation du big data pour lutter contre la fraude fiscale ? Détournée aux Pays-Bas pour discriminer les populations les plus pauvres.

    La crise que nous traversons a changé la donne : ces entreprises sécuritaires ne se cachent plus et vont démarcher les collectivités, organismes ou établissements de santé pour leur proposer des outils de surveillance et de contrôle de la population.
    La police avoue utiliser ses drones sans base légale. Et en profite pour plus que doubler sa flotte à travers un contrat de quatre millions d’euros. Même des entreprises sans activité militaire ou de sécurité s’y mettent, à l’image de Sigfox dont le patron propose, comme solution alternative à l’application de traçage StopCovid, de fournir à la population des bracelets électroniques.

    C’est la stratégie du choc qui est à l’œuvre. Profitant du traumatisme des bilans quotidiens de morts par milliers et du confinement imposé à une société animée par le lien social, les profiteurs de crise avancent leurs pions pour ouvrir une place durable à leurs marchés sécuritaires.
    Pour certains, leurs noms sont connus de toutes et tous : ainsi Orange vend-il à des clients professionnels des statistiques basées sur les déplacements de ses abonnés, sans l’accord de ces derniers. Son nom se retrouve aussi lié à Dassault Système et Capgemini dans le développement de StopCovid, l’application de traçage de la population.

    Tout est mis en œuvre dans l’idée que l’ennemi est le peuple. On lui ment, on le surveille, on le trace, on le verbalise s’il sort de chez lui. On rend responsables les malades, car ce sont certainement ceux qui n’ont pas respecté le confinement. On rend le peuple responsable individuellement en lui faisant porter le poids de la mort des autres. Pas une fois le pouvoir politique, durant cette crise, ne fera amende honorable sur ses manquements. Non : pour les gouvernants, dont les administrations détruisaient encore des masques courant mars, les solutions sont des outils de contrôle (température, port du masque), de surveillance (StopCovid, drones, patrouilles dans les rues), de nouvelles bases de données (extension de ADOC, pour les verbalisations routières, Contact Covid et SIDEP pour le traçage manuel des « brigades Covid »), ou encore le contrôle de l’information (Désinfox Coronavirus)…

    Cet état d’urgence sanitaire, qui impose le confinement et ouvre de nouvelles bases de données de la population, devrait se finir au plus tard au 10 juillet 2020. Mais l’histoire récente montre qu’un état d’urgence temporaire peut aisément être reconduit plusieurs fois, jusqu’à entrer dans le droit commun. Et, même sans une reconduction législative perpétuelle, c’est l’entrée dans les habitudes qui est à craindre.

    Le risque, c’est l’effet cliquet : une fois une technologie déployée, l’effort pour la supprimer sera largement supérieur à celui nécessaire pour empêcher son installation. Côté politique, par volonté de rentabiliser un investissement ou par peur de se voir reprocher par son électorat d’avoir réduit l’illusoire protection. Côté population, supprimer une technologie à laquelle les habitants se seront accoutumés demandera un effort considérable. Le déploiement, durant des mois, d’outils de contrôle tend à les faire se fondre dans le décor. Qui ira demander l’abandon d’outils acquis à grands frais (8 000 € la caméra thermique fixe) une fois la pandémie passée ? Et comment décidera-t-on de la fin de cette pandémie : par l’arrivée d’un vaccin ? Tout comme l’état d’urgence contre le terrorisme a été intégré dans le droit commun, il est possible que l’hypothèse d’un retour du danger sanitaire autorise les autorités à conserver les dispositions prévues pour le Covid-19.

    Mais la lutte contre un danger sanitaire est l’objet d’un plan de gestion des risques, pas d’un système de surveillance généralisé et permanent. Un plan qui prévoirait la mise à disposition continue d’un nombre suffisant de masques, et un système hospitalier adapté.

    Alors quoi ? Quels outils politiques pour éviter la prolongation d’un état d’exception et cette tentation permanente de fliquer la population ?

    Les élus, l’administration, le pouvoir, sont les moteurs, depuis plusieurs dizaines d’années, de cette inflation sécuritaire qui alimente quantité de discours et sert les idéologies politiques. Il faut donc dès maintenant informer l’opinion publique sur les risques qu’il y a à continuer dans cette voie, et la mobiliser pour la mise en place ou le renforcement de garde-fous. Nous proposons quelques pistes pour aller dans ce sens.

    • La CNIL est en France l’autorité dont la mission est de veiller au respect des données personnelles, que ce soit par l’État ou les entreprises privées. Avant 2004, toute création de traitement devait passer par une autorisation de la CNIL. Elle n’est, depuis, qu’une autorité consultative dont le pouvoir a été limité aux sanctions contre les entreprises privées. Il est nécessaire que son autorité à l’encontre du législateur soit restaurée, ce qui implique d’améliorer son indépendance, par une augmentation de son budget, un changement du processus de nomination des commissaires, en développant la place de la société civile en son sein ainsi qu’en restituant son pouvoir de blocage réglementaire.

    • L’utilisation de l’outil informatique par l’État doit être transparente. Les algorithmes utilisés pour prendre des décisions administratives doivent être publiés dès leur mise en œuvre.

    • Afin de garantir une indépendance technique de ces mêmes administrations, il est nécessaire qu’elles utilisent des logiciels libres, que ce soit pour le système d’exploitation ou les logiciels courants.

    • Les décisions politiques autour de l’usage de technologies ne doivent pas se faire sans la population. Il est nécessaire pour cela de prévoir à l’école et par la suite une formation suffisante au numérique, à ses conséquences techniques, sociales et politiques.

    • L’installation d’outils de contrôle dans l’espace public doit être interdite tant qu’une alternative non automatisée est possible, ce qui exclut la quasi-totalité des outils déployés durant cette crise.

    • Une limitation drastique des champs du renseignement (et l’arrêt de l’expérimentation sine die des boîtes noires), et un développement de ses contre-pouvoirs.

    • Une limitation immédiate de la collecte et de la conservation des données de connexion, en conformité avec la jurisprudence européenne.

    • Des sanctions rapides et drastiques contre le secteur du traçage publicitaire en ligne pour faire cesser rapidement les illégalités au regard du RGPD.

    • Le développement d’un contre-pouvoir sérieux face aux abus de la police.

    ]]>
    Loi Avia, nos observations devant le Conseil constitutionnelhttps://www.laquadrature.net/?p=15944http://streisand.me.thican.net/laquadrature.net/index.php?20200526_161150_Loi_Avia__nos_observations_devant_le_Conseil_constitutionnelTue, 26 May 2020 14:11:50 +0000Lundi dernier, les sénateurs Républicains ont saisi le Conseil constitutionnel contre la loi Avia, qui avait été définitivement adoptée le 13 mai. Le Conseil devrait se prononcer dans les semaines à venir. Pour l’y aider, nous nous joignons à Franciliens.net pour envoyer au Conseil notre contribution extérieure (accessible en PDF, 7 pages, ou ci-dessous). Notre objectif principal est de démontrer que le nouveau délai d’une heure prévu en matière de censure anti-terroriste est contraire à la Constitution.

    Objet : Contribution extérieure des associations La Quadrature du Net et Franciliens.net sur la loi visant à lutter contre les contenus haineux sur internet (affaire n° 2020-801 DC)

    Monsieur le président,

    Mesdames et Messieurs les membres du Conseil constitutionnel,

    La Quadrature du Net est une association qui œuvre à la défense des libertés à l’ère du numérique. Franciliens.net est un fournisseur d’accès à Internet. À ce titre, les deux associations ont, durant les débats parlementaires de la proposition de loi visant à lutter contre les contenus haineux sur internet, attiré l’attention du public et des parlementaires notamment sur les articles 1er et 6 du texte, qui, pour plusieurs raisons, nous semblent contraires à la Constitution. Nous avons ainsi l’honneur de vous adresser cette présente contribution extérieure au nom des associations La Quadrature du Net et Franciliens.net afin de démontrer l’inconstitutionnalité de ces deux articles.

    I. Sur le délai d’une heure en matière de censure antiterroriste

    Le I de l’article 1er de la loi qui vous est déférée modifie le régime de censure administrative du Web, dont il faut brièvement rappeler l’historique.

    L’article 4 de la loi n° 2011-267 du 14 mars 2011 a ajouté un cinquième alinéa au 7 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Cette disposition a donné à l’administration un pouvoir jusqu’ici réservé à l’autorité judiciaire : exiger que les fournisseurs d’accès à Internet bloquent les sites qu’elle désigne comme diffusant des images d’abus d’enfant. Dans la limite de la lutte contre de telles images, le Conseil constitutionnel avait reconnu cette disposition conforme à la Constitution dans sa décision n° 2011-625 DC du 10 mars 2011.

    Trois ans plus tard, l’article 12 de la loi n° 2014-1353 du 13 novembre 2014 a déplacé cette disposition à l’article 6-1 de la LCEN en y apportant d’importantes modifications. La principale modification a été d’étendre cette censure aux sites que l’administration considère comme relevant du terrorisme – et ce toujours sans appréciation préalable d’un juge. Le Conseil constitutionnel n’a jamais examiné la constitutionnalité d’une telle extension.

    Six ans plus tard, aujourd’hui, le I de l’article 1er de la loi déférée modifie encore cette disposition. La principale modification est de réduire à une heure le délai, jusqu’alors de 24 heures, dont disposent les sites et hébergeurs Web pour retirer un contenu signalé par l’administration avant d’être bloqués par les fournisseurs d’accès à Internet et moteurs de recherche.

    C’est la réduction de ce délai que le Conseil constitutionnel examine aujourd’hui. Il ne fait pas débat que le dispositif de censure administrative et, par là-même, la réduction du délai de ce dispositif, porte atteinte à la liberté d’expression. S’il est de jurisprudence constante que le droit à la liberté d’expression est un droit fondamental protégé par le Conseil constitutionnel, il sera démontré ci-dessous que l’atteinte portée par la loi qui vous est déférée est disproportionnée et contraire à la Constitution.

    Sur le défaut d’adéquation

    En droit, la jurisprudence du Conseil constitutionnel exige que « toute mesure restreignant un droit fondamental […] doit être adéquate, c’est-à-dire appropriée, ce qui suppose qu’elle soit a priori susceptible de permettre ou de faciliter la réalisation du but recherché par son auteur »1« Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel.

    En l’espèce, aucun site ou hébergeur Web n’est techniquement capable de supprimer en une heure l’ensemble des contenus que l’administration est susceptible de lui signaler. L’exemple le plus flagrant est celui de la vidéo de la tuerie de Christchurch du 15 mars 2019. Facebook a expliqué2« Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand que, au cours des 24 heures suivant la publication de la vidéo sur sa plateforme, ses services de modération ont supprimé 1,2 million de copies de la vidéo, mais ont échoué à en bloquer 300 000 autres copies. Si Facebook, avec ses milliers de modérateurs et ses algorithmes de pointe, a échoué à retirer entièrement cette vidéo en 24 heures, il est certain que la vaste majorité des hébergeurs seront parfaitement incapables de le faire en seulement une heure.

    De façon plus triviale, mais tout aussi probante, les très nombreux sites ou hébergeurs Web, dont les administrateurs techniques ne travaillent ni la nuit ni le week-end, seront dans l’impossibilité de retirer en une heure les contenus signalés par la police au cours de ces périodes. Il en va ainsi par exemple de La Quadrature du Net, qui héberge 24 000 utilisateurs sur son réseau social mamot.fr, et dont les administrateurs techniques, bénévoles, ne travaillent ni la nuit ni le week-end.

    En conclusion, le nouveau délai ne correspondant à aucune réalité technique, il n’est manifestement pas adéquat.

    Sur le défaut de nécessité

    En droit, une mesure restreignant un droit fondamental n’est conforme à la Constitution que si elle « n’excède pas ce qui est nécessaire à la réalisation de l’objectif poursuivi »3Valérie Goesel-Le Bihan,op. cit..

    En l’espèce, le gouvernement n’a jamais produit la moindre étude ou analyse pour expliquer en quoi les contenus terroristes devraient systématiquement être censurés en moins d’une heure. La recherche scientifique est pourtant riche à ce sujet, et va plutôt dans un sens contraire. En 2017, l’UNESCO publiait un rapport4Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841 analysant 550 études concernant la radicalisation des jeunes sur Internet. Le rapport conclut que « les données dont on dispose actuellement sur les liens entre l’Internet, les médias sociaux et la radicalisation violente sont très limitées et ne permettent pas encore de tirer des conclusions définitives » et que « les données sont insuffisantes pour que l’on puisse conclure à l’existence d’un lien de cause à effet entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour prévenir la radicalisation violente des jeunes sur l’Internet n’ont pas fait la preuve de leur efficacité, alors qu’il est clair qu’elles peuvent porter atteinte aux libertés en ligne, en particulier la liberté d’expression ». La radicalisation semble avant tout résulter d’interactions interpersonnelles et non de propagande en ligne – par exemple, Mohammed Merah, Mehdi Nemmouche, Amedy Coulibably et les frères Kouachi n’avaient pas d’activité en ligne5Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html en lien avec le terrorisme.

    Puisque, dans la majorité des cas, il semble peu utile de censurer la propagande terroriste en ligne, il n’est manifestement pas nécessaire de la censurer systématiquement en moins d’une heure. Dans les cas où la censure rapide d’un contenu particulièrement dangereux serait requise, il suffirait de déterminer au cas par cas l’urgence nécessaire pour ce faire. C’est la solution qui a toujours résulté de l’application de la LCEN depuis 2004. Par exemple, en 2012, un hébergeur Web a été définitivement condamné6Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429 par la cour d’appel de Bordeaux pour ne pas avoir retiré en moins de 24 heures un contenu particulièrement sensible – des écoutes téléphoniques réalisées au cours de l’enquête judiciaire sur l’affaire AZF.

    En conclusion, il n’est pas nécessaire d’exiger que les contenus terroristes soient systématiquement retirés en une heure dans la mesure où le droit antérieur suffit largement pour atteindre l’objectif poursuivi.

    Sur le défaut de proportionnalité

    En droit, « toute mesure restreignant un droit fondamental […] doit enfin être proportionnée au sens strict : elle ne doit pas, par les charges qu’elle crée, être hors de proportion avec le résultat recherché »7Valérie Goesel-Le Bihan, op. cit..

    En l’espèce, le délai d’une heure est si court qu’il accroît hors de toute proportion acceptable les risques d’erreurs et d’abus.

    Premièrement, l’urgence imposée par ce nouveau délai conduira à une multitude d’erreurs techniques et à retirer davantage de contenus que nécessaire. Ces erreurs seront d’autant plus probables que la plupart des hébergeurs n’auront jamais les moyens organisationnels de grandes plateformes comme Google ou Facebook. Trop souvent, dans l’urgence et sans organisation dédiée pour ce faire, la meilleure façon de retirer une image ou une vidéo en moins d’une heure sera de bloquer l’accès à l’ensemble d’un service. Ce type de dysfonctionnement n’est ni rare ni limité aux petites structures : en octobre 2016, en tentant d’appliquer l’article 6-1 de la LCEN, Orange avait bloqué par erreur8Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange l’accès à Google, Wikipédia et OVH pour l’ensemble de ses utilisateurs.

    Deuxièmement, ce nouveau délai intervient dans un contexte juridique qui était déjà particulièrement flou. Les « actes de terrorisme » visés à l’article 421-2-5 du Code pénal, auquel l’article 6-1 de la LCEN renvoie, ne sont pas explicitement définis par la loi française. Il faut se référer à l’article 3 de la directive 2017/541, relative à la lutte contre le terrorisme, pour en avoir une définition textuelle. Il s’agit notamment du fait, ou de la tentative, de « causer des destructions massives […] à un lieu public ou une propriété privée », quand bien même aucun humain n’aurait été mis en danger et que le risque se limiterait à des « pertes économiques ». Pour relever du terrorisme, il suffit que l’acte vise à « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque ».

    Ainsi, même s’il peut sembler évident de qualifier de terroriste une vidéo revendiquant un attentat meurtrier, cette qualification est beaucoup moins évidente s’agissant de propos politiques bien plus triviaux qui, d’une façon ou d’une autre, peuvent être liés à des destructions matérielles. Il peut s’agir par exemple d’appels vigoureux à aller manifester, ou encore de l’éloge de mouvements insurrectionnels historiques (prise de la Bastille, propagande par le fait, sabotage luddite…). Les hébergeurs n’auront plus qu’une heure pour apprécier des situations qui, d’un point de vue juridique, sont tout sauf univoques. Devant la menace d’importantes sanctions, les hébergeurs risquent de censurer quasi-automatiquement la plupart des contenus signalés par l’administration, sans la moindre vérification sérieuse.

    Troisièmement, l’article 6-1 de la LCEN échoue à compenser le défaut de contrôle judiciaire préalable en prévoyant qu’une personnalité qualifiée de la CNIL, informée de toutes les demandes de censure émises par l’administration, puisse contester celles-ci devant les juridictions administratives. Dans les faits et depuis 2015, cette personnalité qualifiée est Alexandre Linden, qui n’a eu de cesse de dénoncer l’absence d’effectivité de sa mission. Il concluait ainsi son dernier rapport de 20199Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf, quant aux façons d’améliorer les conditions d’exercice de sa mission : « On peut une nouvelle fois légitimement s’interroger sur l’utilité de formuler des préconisations à l’issue de cette quatrième année d’activité, lorsque l’on constate que les préconisations mentionnées dans les trois premiers rapports d’activité n’ont pas été prises en compte par les autorités publiques […]. Cette situation compromet l’effectivité de son contrôle sur l’ensemble des demandes de retrait de contenus, de blocage ou de déréférencement ». Ne pouvant mener correctement cette mission, la CNIL a demandé au gouvernement qu’elle lui soit retirée – ce que l’article 7, IV, 3°, de la loi déférée a réalisé en confiant désormais cette mission au CSA.

    Quatrièmement, à défaut d’intervention préalable de l’autorité judiciaire, cette nouvelle urgence permettra à l’administration d’abuser plus facilement de son pouvoir, tel qu’elle a déjà pu le faire. En septembre et octobre 2017, par exemple, la police nationale a invoqué l’article 6-1 de la LCEN pour exiger aux hébergeurs Indymedia Nantes et Indymedia Grenoble de retirer quatre tribunes anarchistes faisant l’apologie d’incendies de véhicules de le police et de la gendarmerie. La personnalité qualifiée de la CNIL, informée de ces demandes de censure, en a contesté la légalité devant le tribunal administratif de Cergy-Pontoise. Il a fallu attendre le 4 février 2019 pour que ce dernier reconnaisse10TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352 que la police avait abusé de ses pouvoirs dans l’ensemble des quatre demandes. Ainsi, l’administration a pu contourner la justice pendant un an et demi afin de censurer des opposants politiques. Réduire à une heure le délai laissé aux hébergeurs pour évaluer un contenu signalé par la police ne fera qu’accroître les risques que celle-ci abuse de son pouvoir.

    En conclusion, le nouveau délai d’une heure aggrave hors de toute proportion acceptable les risques d’erreurs techniques ou juridiques propres au dispositif de censure administrative, ainsi que les risques d’abus de la part d’une administration qui échappe à tout contre-pouvoir effectif.

    Il est utile de souligner que, si le projet de règlement européen visant à lutter contre les contenus terroristes en ligne prévoit aussi un délai d’une heure pour retirer les contenus signalés, ce délai est le principal point de désaccord du débat législatif concernant ce texte, et ce débat est loin d’être achevé. Au cours du dernier examen du Parlement européen, un amendement11Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf de Mme Eva Joly a proposé de remplacer le « délai d’une heure » par « les plus brefs délais » : cet amendement n’a été rejeté qu’à 297 voix favorables contre 300 voix défavorables12Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR, et ce alors même que le texte prévoit davantage de garanties que le droit français, en exigeant notamment que l’injonction de retrait ne puisse être émise que par « une autorité judiciaire ou une autorité administrative fonctionnellement indépendante »13Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html.

    II. Sur le nouveau régime de censure en 24 heures

    Le II de l’article 1er de la loi qui vous est déférée ajoute un article 6-2 à la LCEN, qui crée un nouveau régime de responsabilité spécifique à certains intermédiaires techniques et à certaines infractions. Ce nouveau régime est contraire à la Constitution en raison de l’atteinte disproportionnée à la liberté d’expression qu’elle entraîne, au moins de deux façons.

    Sur les plateformes concernées

    L’objectif de ce nouveau régime est de contenir la diffusion des discours de haine et de harcèlement sur les grandes plateformes commerciales, en premier titre desquelles Facebook, Youtube et Twitter, en leur imposant des obligations spécifiques. Toutefois, cette obligation ne pèse pas seulement sur les grandes plateformes commerciales, à l’origine du problème, mais sur tout « opérateur » visé à l’article L. 111-7 du code de la consommation et dont le nombre d’utilisateurs dépasse un seuil fixé par décret (que l’on nous annonce à 2 millions). En pratique, des sites sans activité commerciale, tel que Wikipédia, seront aussi concernés.

    Pourtant, le modèle de modération de ces plateformes non-commerciales, qui repose sur une communauté bénévole et investie, a pu se montrer plus efficace pour limiter la diffusion de la haine et du harcèlement que les grandes plateformes commerciales. Ce constat n’est remis en cause ni par la rapporteure de la loi déférée ni par le gouvernement. Tout en restant perfectibles, les plateformes non-commerciales satisfont déjà largement l’objectif poursuivi par la loi déférée. Il n’est pas nécessaire de leur imposer de nouvelles obligations qui nuiront à leur développement et à la liberté de communication de leurs utilisateurs.

    En conséquence, ce nouveau régime porte une atteinte disproportionnée au droit à la liberté d’expression. À titre subsidiaire, ce nouveau régime ne pourrait être conforme à la Constitution qu’à la condition que son champ d’application soit interprété de façon à exclure les plateformes non-lucratives, par exemple tel que le prévoit l’actuel projet de loi relatif à la communication audiovisuelle14http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16 dont l’article 16, qui crée un nouveau régime de responsabilité en matière de droit d’auteur, ne s’applique qu’aux opérateurs qui organisent et promeuvent les contenus hébergés en vue d’un tirer un profit, direct ou indirect.

    Sur le délai de 24 heures

    Le nouveau régime impose un délai de 24 heures pour retirer les contenus signalés. La disproportion de ce nouveau délai résulte des mêmes constats déjà détaillés pour le nouveau délai d’une heure imposé en matière de terrorisme.

    Le délai de 24 heures n’est pas adéquat, car il ne sera techniquement pas réaliste – même Facebook échoue à supprimer en 24 heures les pires vidéos terroristes. Le délai de 24 heures n’est pas nécessaire, car le droit actuel suffit largement pour fixer au cas par cas, en fonction de la gravité de chaque contenu, la célérité requise pour le retirer. Le délai de 24 heures n’est pas proportionné, car il aggravera les risques d’abus par la police, qui pourra plus facilement faire exécuter des demandes de censure excessives que les hébergeurs avaient, jusqu’alors, le temps d’analyser et de refuser.

    En conséquence, le II de l’article 1er de la loi déférée porte une atteinte manifestement disproportionnée au droit à la liberté d’expression.

    III. Sur l’augmentation des sanctions pénales

    L’article 6 de la loi déférée fait passer de 75 000 euros à 250 000 euros le montant de l’amende prévue au 1 du VI de l’article 6 de la LCEN et qui sanctionne les fournisseurs d’accès à Internet et les hébergeurs qui ne conservent pas pendant un an les données de connexion de l’ensemble de leurs utilisateurs.

    Aucun élément n’a été avancé pour justifier une telle augmentation. Au contraire, l’actualité jurisprudentielle européenne aurait dû entraîner la disparition de cette sanction. Comme La Quadrature du Net a déjà eu l’occasion de l’exposer au Conseil constitutionnel, la Cour de justice de l’Union européenne a, dans son arrêt Tele2 du 21 décembre 2016, déclaré qu’une telle mesure de conservation généralisée est contraire à la Charte des droits fondamentaux de l’Union.

    En conséquence, l’article 6 de la loi déférée est contraire à la Constitution en ce qu’il augmente le montant d’une amende pénale sans que cette augmentation ne soit nécessaire à la poursuite d’aucun objectif légitime.

    **

    Pour ces motifs, les associations La Quadrature du Net et Franciliens.net estiment que les articles 1er et 6 de la loi visant à lutter contre les contenus haineux sur internet sont contraires à la Constitution.

    Nous vous prions de croire, Monsieur le président, Mesdames et Messieurs les membres du Conseil constitutionnel, l’assurance de notre plus haute et respectueuse considération.

    References   [ + ]

    1. « Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel
    2. « Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand
    3. Valérie Goesel-Le Bihan,op. cit.
    4. Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841
    5. Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html
    6. Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429
    7. Valérie Goesel-Le Bihan, op. cit.
    8. Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange
    9. Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf
    10. TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352
    11. Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf
    12. Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR
    13. Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html
    14. http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16
    ]]>
    Hadopi, une victoire de façade ?https://www.laquadrature.net/?p=15925http://streisand.me.thican.net/laquadrature.net/index.php?20200520_160221_Hadopi__une_victoire_de_fa__ade___Wed, 20 May 2020 14:02:21 +0000Mise à jour, 20 mai 20h : Avec le recul de l’analyse juridique minutieuse – incompatible avec la pression de l’urgence médiatique – cette décision pourrait constituer une victoire nettement plus modeste.

    La censure prononcée par le Conseil constitutionnel nous a conduit à penser, dans le feu de l’action, à une victoire décisive que l’on espérait. Toutefois, malgré la restriction du champ des données de connexion accessibles à la HADOPI – qui reste une victoire -, une lecture plus attentive nous amène à penser que demeure une interprétation selon laquelle son activité devrait pouvoir persister. C’est cette interprétation possible que nous avons échoué à déceler dans l’urgence – nous remercions les personnes qui ont pu nous la signaler.

    Ce recours devant le Conseil constitutionnel venait se greffer sur un contentieux au temps plus long, dont une autre partie est actuellement en cours notamment devant le Conseil d’État. D’autres aspects du dispositif de riposte graduée demeurent très critiquables. Nous allons désormais nous y attaquer.

    Nous présentons nos sincères excuses à celles et ceux qui se sont réjouis trop vite à la lecture de notre communiqué enthousiaste. Nous avons lu la décision sous le prisme de notre préjugé et l’enthousiasme a limité notre regard critique sur ses détails. Nous présentons nos excuses pour cette fausse joie, il y a bien une censure de morceaux du dispositif, mais nous avons encore certains doutes parmi nous sur l’enchevêtrement de différents éléments du dispositifs et allons avoir besoin d’un temps de recul pour fournir une analyse finale de cette décision. Nous allons prendre le temps de faire cela correctement. Le débat consiste à savoir quelle portée a l’alinéa 3, censuré, de l’article L. 331-21 du code de la propriété intellectuelle. À lire l’exposé des motifs de la loi Hadopi de la loi Hadopi en 2008, plusieurs lectures paraissent possibles. On reviendra vers vous pour donner notre lecture en présentant à nouveau nos excuses pour cet enthousiasme prématuré et nous allons tâcher de redoubler d’efforts pour obtenir vraiment cette victoire.

    Le Conseil constitutionnel vient de répondre à la question prioritaire de constitutionnalité transmise le 12 février 2020 par La Quadrature du Net, FDN, FFDN et Franciliens.net (lire la décision). Il déclare contraire à la Constitution les pouvoirs que la loi a donné à la HADOPI pour identifier les personnes qui partagent des œuvres sur Internet, par exemple en identifiant les adresses IP connectées à divers flux BitTorrent. Ces pouvoirs prendront fin à la fin de l’année

    La décision d’aujourd’hui n’a rien de surprenant : elle s’inscrit dans la continuité d’une jurisprudence déployée depuis cinq ans par le Conseil constitutionnel, en parallèle de la Cour de justice de l’Union européenne (relire l’explication détaillée de notre action). Cette jurisprudence tend à replacer l’autorité judiciaire dans son rôle de contrôle préalable de l’administration, notamment quand il s’agit de lever l’anonymat des internautes. Or, la raison d’être de la HADOPI était précisément de contourner la justice afin de surveiller le plus plus grand nombre d’internautes et de les dissuader de partager des œuvres en ligne. Puisqu’il lui est enfin imposée de passer par la justice, la raison d’être de la HADOPI disparait. Nul doute que son budget annuel de 10 millions d’euros sera utile ailleurs.

    Le projet de loi audiovisuelle, débattu depuis quelques mois par le Parlement, prévoyait déjà de supprimer la HADOPI. Mais il prévoit aussi de transmettre ses missions au CSA. La stratégie de notre action contentieuse consistait à attendre ce moment pour inciter le Parlement, au moment de supprimer la HADOPI, à ne pas perpétuer des missions dont l’incompatibilité à la Constitution a été aujourd’hui reconnue.

    Il s’agit de l’aboutissement de 10 ans de lutte pour La Quadrature du Net. Si nous avons été nombreuses à nous moquer, avant son adoption, de l’inutilité de la HADOPI, il ne faut pas minimiser la nocivité qu’aura eu son action en 10 années. Elle aura vivement dissuadé la population de recourir à la pratique vertueuse, libre et décentralisée qu’est le partage d’œuvres de pair à pair. Au contraire, la HADOPI aura forcé nombre d’internautes dans les bras d’une poignée de méga-plateformes, licites ou non, qui auront centralisé les échanges culturels en quelques points dominants. Cette centralisation aura surtout permis à ces méga-plateformes d’imposer leurs conditions aux artistes. Au final, à part ces plateformes, tout le monde – internautes, artistes, etc. – aura perdu au change.

    Nous espérons que la victoire d’aujourd’hui sera un pas de plus vers la décentralisation du Net et le libre partage de la culture, accessible à toutes et à tous sans condition de richesse.

    ]]>
    Les goélands abattent leur premier dronehttps://www.laquadrature.net/?p=15917http://streisand.me.thican.net/laquadrature.net/index.php?20200518_123331_Les_goelands_abattent_leur_premier_droneMon, 18 May 2020 10:33:31 +0000Suite à notre recours, l’ordonnance du Conseil d’État est une victoire historique contre la surveillance par drone. La décision reconnaît l’illégalité de tout drone qui, volant suffisamment bas et étant équipé de caméra, permet à la police de détecter des individus, que ce soit par leurs habits ou un signe distinctif.

    D’après le Conseil d’État, cette illégalité ne saurait être corrigée que par un arrêté ministériel pris après avis de la CNIL. Dans l’attente d’un tel arrêté, que nous recevrons de pied ferme, la police devra maintenir au sol la grande majorité de ses drones dans l’ensemble du pays. En effet, l’ordonnance d’aujourd’hui concerne le déploiement de drones pour lutter contre le virus et on peut douter que les autres drones de la police soient déployés pour un motif plus impérieux — qui permettraient de se passer d’un arrêté.

    D’autres outils de la Technopolice restent sans cadre juridique et continuent pourtant de se déployer : vidéosurveillance automatisée, capteurs sonores, police prédictive… Une telle décision nous encourage à continuer nos combats.

    ]]>
    EDRi demande l’interdiction de la surveillance biométriquehttps://www.laquadrature.net/?p=15901http://streisand.me.thican.net/laquadrature.net/index.php?20200514_174046_EDRi_demande_l___interdiction_de_la_surveillance_biometriqueThu, 14 May 2020 15:40:46 +0000L’association internationale EDRi, soutenue par La Quadrature du Net, lance une campagne européenne pour faire interdire la reconnaissance faciale et plus généralement la surveillance de masse biométrique. Nous publions la traduction du communiqué de lancement.

    À travers toute l’Europe, des technologies de reconnaissance faciale et d’identification biométrique, intrusives et violant les droits, se répandent discrètement dans les espaces publics. Comme la Commission européenne consulte le public à ce sujet, EDRI appelle les États membres de l’UE à garantir que de telles technologies soient totalement interdites, à la fois dans la loi et dans la pratique.

    Circulez, y a rien à voir…

    À la fin de l’année 2019, au moins 15 pays européens ont expérimenté des technologies de surveillance de masse utilisant l’identification biométrique, comme la reconnaissance faciale. Ces technologies sont conçues pour surveiller, suivre et analyser les individus, pour les noter et les juger dans leur vie quotidienne.
    Pire, plusieurs gouvernements l’ont fait en collaboration avec des entreprises technologiques secrètes, en l’absence de débat public et sans avoir démontré que ces systèmes respectent les critères les plus élémentaires de responsabilité, de nécessité, de proportionnalité, de légitimité, de légalité ou de sécurité.

    Quelques milliers de caméras pour les gouverner tous

    Sans la vie privée, vous n’avez plus de conversations privées avec vos ami·es, votre famille, votre supérieur ou même votre docteur. Votre militantisme et votreengagement pour sauver la planète sont connus de tous et toutes. Si vous lancez l’alerte pour dénoncer un fait d’exploitation ou de corruption, ou si vous assistez à une manifestation politique qui déplaît à votre gouvernement, on peut vous retrouver. Vous perdez de fait le droit d’assister à une cérémonie religieuse ou à une réunion syndicale sans qu’on garde un œil sur vous, le droit d’étreindre votre partenaire sans que quelqu’un vous regarde, le droit de flâner librement sans que quelqu’un puisse trouver ça louche.

    La surveillance de masse permanente supprime le droit d’être réellement seul et instaure l’obligation d’être constamment surveillé et contrôlé.

    COVID-1984 ?

    Les débats autour de la pandémie de coronavirus ont vu naître des idées d’applications et d’autres propositions pour étendre rapidement les systèmes de surveillance, sous couvert de santé publique. Le risque est considérable que les dégâts causés par cet élargissement des mesures de surveillance survivent à l’épidémie. On peut se demander, par exemple, si les employeurs enlèveront les caméras thermiques des bureaux une fois la pandémie passée.

    Les systèmes de surveillance biométriques exacerbent les inégalités structurelles, accélèrent la création de fichiers et de « profilages » illégaux, ont un effet intimidant sur les libertés d’expression et de réunion, et limitent les capacités de chacun·e à participer à des activités sociales publiques.

    Fanny Hidvegi, responsable de la politique européenne à Access Now, insiste sur ce point :

    « Les droits humains s’appliquent en temps de crise et d’urgence. On ne doit pas avoir à choisir entre la vie privée et la santé : protéger les droits numériques favorise la santé publique. La suspension des droits à la protection des données en Hongrie est la preuve que l’UE doit renforcer la protection des droits fondamentaux. »

    La surveillance biométrique : une architecture d’oppression

    Se présentant comme une « architecture d’oppression », la capture et le traitement non ciblé de données biométriques sensibles permet aux gouvernements et aux entreprises d’enregistrer en permanence et en détail qui vous rencontrez, où vous allez, ce que vous faites. Cela leur permet aussi d’utiliser ces informations contre vous — que ce soit par les pouvoirs publics pour faire appliquer la loi ou à des fins commerciales. Une fois ces enregistrements reliés à nos visages et corps, il n’y a plus de retour possible, nous sommes marqués au fer rouge. Il ne peut y avoir de place pour de telles pratiques dans une société démocratique.

    Ioannis Kouvakas, juriste chez Privacy International (PI), membre d’EDRi met en garde :

    « L’introduction de la reconnaissance faciale dans les villes est une idée extrémiste et dystopique qui menace explicitement nos libertés et pose des questions fondamentales sur le type de société dans laquelle nous voulons vivre. En tant que technique de surveillance très intrusive, elle offre aux autorités de nouvelles opportunités de s’en prendre à la démocratie sous prétexte de la défendre. Nous devons interdire son déploiement dès maintenant et de manière définitive avant qu’il ne soit trop tard. »

    EDRi demande donc une interdiction immédiate et permanente de la surveillance de masse biométrique dans l’Union européenne.

    La surveillance de masse biométrique est illégale

    Cette interdiction est fondée sur les droits et protections consacrés par la Charte des droits fondamentaux de l’Union européenne, le Règlement général sur la protection des données (RGPD) et la Directive Police Justice. Ensemble, ces textes garantissent aux résidents de l’UE de vivre sans la crainte d’un traitement arbitraire ou d’un abus de pouvoir, et le respect de leur autonomie. La surveillance de masse biométrique constitue une violation de l’essence de ces textes et une violation du cœur même des droits fondamentaux de l’UE.

    Une fois que des systèmes qui normalisent et légitiment la surveillance constante de tout le monde sont en place, nos sociétés glissent vers l’autoritarisme. L’UE doit donc veiller, par des moyens notamment législatifs, à ce que la surveillance de masse biométrique soit totalement interdite en droit et en pratique. Lotte Houwing, conseillère politique chez Bits of Freedom (BoF), membre d’EDRi, déclare :

    « Les mesures que nous prenons aujourd’hui façonnent le monde de demain. Il est de la plus haute importance que nous gardions cela à l’esprit et que nous ne laissions pas la crise du COVID-19 nous faire sombrer dans un état de surveillance (de masse). La surveillance n’est pas un médicament. »

    L’UE réglemente tout, des médicaments aux jouets pour enfants. Il est inimaginable qu’un médicament dont l’efficacité n’a pas été prouvée ou un jouet présentant des risques importants pour la santé des enfants soient autorisés sur le marché. Cependant, en ce qui concerne la captation et le traitement des données biométriques, en particulier à la volée dans les espaces publics, l’UE a été un foyer pour les expérimentations illégales. D’après une étude de 2020, plus de 80% des Européens sont pourtant opposés aux partages de leurs données faciales avec les autorités.

    EDRi appelle la Commission européenne, le Parlement européen et les États membres à respecter leurs valeurs et à protéger nos sociétés en interdisant la surveillance de masse biométrique. S’ils s’y refusent, nous augmentons nos chances de voir naître une dystopie numérique incontrôlable.

    ]]>
    Vote final de la « loi haine »https://www.laquadrature.net/?p=15890http://streisand.me.thican.net/laquadrature.net/index.php?20200511_143847_Vote_final_de_la_____loi_haine____Mon, 11 May 2020 12:38:47 +0000Mise à jour : tel que redouté, la loi a été adoptée dans sa pire version.

    L’urgence de LREM est de donner à la police de nouveaux pouvoirs pour lutter contre le « terrorisme » sur Internet. L’Assemblée nationale votera le 13 mai 2020 la proposition de loi de Laetitia Avia qui, initialement présentée comme une loi « contre la haine », s’est transformée en janvier dernier en une loi « antiterroriste », telle qu’on en connait depuis des années, de plus en plus éloignée du principe de séparation des pouvoirs. Mercredi sera la dernière chance pour les député·es de rejeter cette dérive inadmissible.

    Pour rappel, la proposition de loi initiale demandait aux très grandes plateformes (Facebook, Youtube, Twitter…) de censurer en 24h certains contenus illicites, tels que des contenus « haineux » signalés par le public ou la police. Pour une large partie, ces obligations seront inapplicables et inutiles, Laetitia Avia ayant systématiquement refusé de s’en prendre à la racine du problème – le modèle économique des géants du Web – en dépit de nos propositions, reprises par tous les bords du Parlement.

    L’histoire aurait pu en rester à ce coup d’épée dans l’eau si le gouvernement n’avait pas saisi l’occasion pour pousser sa politique sécuritaire. Le 21 janvier, alors que la loi était examinée une deuxième fois par une Assemblée presque vide, le gouvernement a fait adopter un amendement de dernier minute renversant toute la situation.

    Une nouvelle obligation vient éclipser le reste de la loi, ajoutée au paragraphe I de son article 1. Elle exige que tous les sites Web (pas uniquement les plateformes géantes) censurent en 1h (pas en 24h) les contenus signalés par la police comme relevant du « terrorisme » (sans que cette qualification ne soit donnée par un juge, mais par la police seule). Si le site ne censure par le contenu (par exemple car le signalement est envoyé un week-end ou pendant la nuit) la police peut exiger son blocage partout en France par les fournisseurs d’accès à Internet (Orange, SFR…).

    La séparation des pouvoirs est entièrement écartée : c’est la police qui décide des critères pour censurer un site (en droit, la notion de « terrorisme » est suffisamment large pour lui donner un large pouvoir discrétionnaire, par exemple contre des manifestants) ; c’est la police qui juge si un site doit être censuré ; c’est la police qui exécute la sanction contre le site. Le juge est entièrement absent de toute la chaîne qui mène à la censure du site.

    Le 26 février, le Sénat avait supprimé cette nouvelle disposition. Le texte revient mercredi pour une toute dernière lecture par l’Assemblée nationale, qui aura le dernier mot. Il est indispensable que les député·es suppriment l’article 1, paragraphe I de cette loi, qui permet à la police d’abuser de son pouvoir pour censurer le Web à des fins politiques – en cherchant à censurer les attaques contre le Président ou contre la police, comme elle le fait déjà.

    Appelons les député·es sur cette page pour qu’ils rejettent ce texte.

    ]]>
    Nous attaquons les drones de la police parisiennehttps://www.laquadrature.net/?p=15875http://streisand.me.thican.net/laquadrature.net/index.php?20200504_105606_Nous_attaquons_les_drones_de_la_police_parisienneMon, 04 May 2020 08:56:06 +0000Mise à jour du 5 mai à 21h : dans une première décision, le tribunal administratif de Paris rejette notre recours. Il n’aborde aucun de nos arguments, se contentant d’un débat hors-propos sur la présence ou non de données personnelles. La Quadrature du Net a décidé de faire appel pour obtenir dans les prochains jours une décision du Conseil d’État avec qui nous espérons avoir un débat plus constructif.

    La Quadrature du Net et la Ligue des Droits de l’Homme viennent de déposer un recours en urgence contre le déploiement de drones par la préfecture de police de Paris. Depuis le début du confinement et un peu partout en France, la police prétend se faire assister de drones pour lutter contre les infractions. Pourtant, puisqu’ils sont déployés en l’absence de tout cadre légal spécifique et adapté, ce sont eux qui violent la loi et nos libertés. Nous espérons qu’une victoire à Paris aura des effets dans tout le pays..

    Depuis le début du confinement, la police et la gendarmerie utilisent de façon massive et inédite les drones pour surveiller la population et faire appliquer les règles du confinement : diffusion des consignes par haut-parleurs ainsi que surveillance par vidéo pour repérer les contrevenants, guider les patrouilles au sol et filmer les personnes échappant à la police pour mieux les sanctionner après.

    Le déploiement de ces drones, déjà utilisés notamment pour la surveillance des manifestations, ne fait que s’amplifier avec la crise sanitaire. En avril, le ministère de l’Intérieur a par ailleurs publié un appel d’offres portant sur l’acquisition de plus de 650 nouveaux drones pour plus que doubler sa flotte. Selon un rapport sénatorial, entre le 24 mars et le 24 avril, la police nationale a déclenché 535 vols de drones dont 251 de surveillance.

    Ce déploiement, en plus d’augmenter de manière inédite les capacités de surveillance de la police, se fait en l’absence de tout cadre légal spécifique quant à l’utilisation des images filmées. Aucun texte ne prévoit un délai de suppression pour ces images ou n’en limite l’accès aux seuls agents de la préfecture pour une mission de police identifiée. D’ailleurs, dans un premier temps, cette absence de texte nous a empêchés d’attaquer les drones.

    Heureusement, la publication par Mediapart le 25 avril dernier, dans un article de Clément Le Foll et Clément Pouré, de deux documents issus du service de communication de la préfecture de police de Paris a apporté plusieurs éléments concrets nous permettant d’agir en justice. La préfecture y reconnait notamment qu’il n’existe aucun cadre juridique spécifique pour les images captées par les drones, et cela alors qu’ils sont équipés de caméras haute-résolution permettant « la captation, la transmission et l’enregistrement des images » ainsi que « l’identification d’un individu ».

    Nous avons déposé samedi un référé-liberté devant le tribunal administratif de Paris pour lui demander de faire cesser immédiatement ce dispositif illégal. Notre recours est notamment fondé sur l’absence de cadre légal spécifique, qui implique de multiples atteintes au droit à la vie privée (absence d’information des personnes filmées ou de délai de conservation de ces images…), et la disproportion de ce dispositif. Il est enfin évident qu’en cas de victoire, les principes d’une telle décision devront être respectés par l’ensemble de la police et de la gendarmerie, partout en France, et pas seulement par la préfecture de police de Paris.

    Si la police comptait profiter de la crise sanitaire pour tester ses nouveaux gadgets, elle s’est trompée. Nous sommes là pour la ramener à la froide réalité des choses : ce n’est pas elle qui fait la loi.

    ]]>
    Crise sanitaire : la Technopolice envahit l’universitéhttps://www.laquadrature.net/?p=15869http://streisand.me.thican.net/laquadrature.net/index.php?20200430_104137_Crise_sanitaire____la_Technopolice_envahit_l___universiteThu, 30 Apr 2020 08:41:37 +0000Dans le contexte de la pandémie, le gouvernement recommande officiellement aux établissements d’enseignement supérieur la télésurveillance des examens à l’aide de dispositifs invasifs, discriminants et manifestement illégaux : reconnaissance faciale, vidéosurveillance par webcam et smartphone, détection de bruits suspects… Ou quand la Technopolice envahit l’enseignement. Ces dispositifs doivent être rejetés dès maintenant

    En mars 2020, le ministère de l’Enseignement supérieur a publié un « plan de continuité pédagogique » composé de plusieurs fiches visant à accompagner les établissements dans le contexte de la pandémie (et depuis régulièrement mis à jour). La fiche n°6 « Évaluer et surveiller à distance » indique que « les examens écrits nécessitent une télé-surveillance particulière qui permet de vérifier l’identité de l’étudiant et d’éviter les fraudes. Ils nécessitent donc un recours à des services de télésurveillance ». Le document recommande ensuite aux établissements une liste de fournisseurs de services « qui ont l’habitude de travailler avec des établissements d’enseignement supérieur ».

    Cette liste, qui est donc une recommandation officielle du gouvernement, fait la promotion d’outils de surveillance extrêmement invasifs, dangereux et profondément discriminants. Au programme : reconnaissance faciale, vidéosurveillance continue avec analyse comportementale (par utilisation simultanée de la webcam et du smartphone), voire détection sonore de bruits suspects.

    Enseignement technopolisé

    Commençons par une rapide présentation des pires solutions envisagées :

    Managexam propose des solutions de surveillance audio et vidéo, avec « prise de photos fréquentes, régulières ou aléatoires » ou « vidéo captée en continue ». Sur son site, l’entreprise promet de repérer « automatiquement les anomalies pouvant survenir dans la session d’évaluation grâce à une recherche et une classification visuelle de l’environnement des candidats » ;

    – C’est le cas également pour Proctorexam, qui propose une « technologie avec deux prises de vues simultanées sur l’étudiant (webcam+appli smartphone) » et Evalbox, qui propose « des algorithmes d’analyse comportementale pour détecter les comportements suspicieux » ;

    TestWe, solution qui revient souvent dans les média, offre un système de photographie de la carte d’étudiant ou d’identité par webcam « pour vérifier que la bonne personne est en face de l’écran ». Son PDG, Benoît Sillard, se vante également de mettre « en place actuellement un système à double caméras, celle de l’ordinateur qui filme par l’avant, et celle de votre smartphone qui filme l’ensemble de la pièce, pour vérifier qu’il n’y a pas un deuxième ordinateur ou quelqu’un en train de vous souffler » ;

    – et enfin Smowl qui « utilise un algorithme de reconnaissance automatique des visages pour vérifier l’identité de l’utilisateur en ligne et un système qui détecte les comportements incorrects ».

    Ces services ne sont malheureusement pas nouveaux et sont déjà utilisés par plusieurs établissements. Selon le document du ministère, c’est notamment le cas de l’Université de Caen-Normandie depuis 2017 et de Sorbonne Université (même s’il est difficile de connaître exactement la solution mise en place). Le contexte de la pandémie provoque une démultiplication leur utilisation et plus de 50 universités et écoles seraient en train d’envisager ce type de procédés.

    Surveillance et discrimination

    Ces dispositifs sont pourtant profondément intrusifs : ces logiciels bloquent les ordinateur des étudiant.es, déclenchent une double surveillance obligatoire de la webcam et de la caméra du téléphone et nécessitent quelquefois un enregistrement sonore. Mais il est également nécessaire de prendre en compte les profondes discriminations que ces outils risquent d’entraîner, notamment pour les étudiant·es n’ayant pas l’équipement adapté, ou un environnement propice à ce genre d’examens (la surveillance visuelle et sonore nécessite un lieu à soi, sans bruits, etc.).

    Ce sont bien ces mêmes arguments qui ont déjà été soulevés par le journal Le Poing (à ne pas confondre avec Le Point) qui souligne le « protocole aussi kafkaïen qu’orwellien, intrusif pour sa vie privée, et lourd de contrainte, en particulier pour les étudiants précaires » et le SNESUP-FSU (syndicat d’enseignement supérieur) qui dénonce ces dispositifs en considérant justement que « la plus grande liberté laissée aux établissements d’une dématérialisation complète des examens pouvant faire appel à de la télésurveillance, outre qu’elle se heurte à des problèmes techniques souvent insurmontables, facilite la réalisation par les établissements d’un suivi individualisé des enseignant·es, au mépris de leur liberté pédagogique, et accentue potentiellement l’inégalité des étudiant·es ».

    Illégalités manifestes

    Il est encore plus étonnant de voir le gouvernement recommander des solutions aussi manifestement illégales. Car en ce qui concerne le système de reconnaissance faciale ou d’enregistrement sonore d’une voix en particulier, l’article 9 du règlement général sur la protection des données (RGPD) interdit tout traitement de données biométriques « aux fins d’identifier une personne physique de manière unique » – ce qui est bien le cas ici. Et si cette interdiction de principe souffre quelques exceptions, aucune d’elle ne permet d’autoriser ce type d’outils (et sûrement pas le « consentement » de l’élève, qui doit être libre, c’est-à-dire non contraint…).

    De manière générale, outre que personne ne devrait être forcé à une surveillance constante par sa webcam ou son téléphone, les solutions décrites ci-dessus ne sont en aucun cas « adéquates, pertinentes et limitées à ce qui est nécessaire » comme le recommande pourtant le RGPD (article 5) – Nous ne voyons pas ici quel objectif rendrait licite une surveillance d’une telle intensité. Ce qui rend la plupart de ces dispositifs simplement illégaux.

    Voir le gouvernement recommander de telles solutions illustre sa fuite systématique vers la surveillance numérique. Fuite que nous appelons les établissements d’enseignement à ne pas suivre en renonçant à ces dispositifs invasifs

    Recommander ces méthodes est d’autant plus dommageable que des alternatives existent, comme l’annulation ou le report des examens, ou plus simplement le passage d’une évaluation en contrôle terminal à une évaluation en contrôle continu. Mieux encore : cette situation inédite peut être l’occasion de préférer de véritables innovations pédagogiques à de pseudo-innovations techniques. Plutôt que de fonder l’évaluation sur la crainte de la triche, il serait ainsi possible d’évaluer élèves et étudiant·e·s sur leurs compétences, d’aménager individuellement les évaluations, ou de recourir à l’auto-évaluation supervisée.

    ]]>
    Que penser du protocole de traçage des GAFAM ?https://www.laquadrature.net/?p=15843http://streisand.me.thican.net/laquadrature.net/index.php?20200429_175840_Que_penser_du_protocole_de_tra__age_des_GAFAM___Wed, 29 Apr 2020 15:58:40 +0000Tribune de Guinness, doctorante en informatique et membre de La Quadrature du Net

    À l’heure où toutes les puissances de la planète se mettent à réfléchir à des solutions de traçage de contact (contact tracing), les GAFAM sautent sur l’occasion et Apple et Google proposent leur propre protocole.
    On peut donc se poser quelques minutes et regarder, analyser, chercher, et trouver les avantages et les inconvénients de ce protocole par rapport à ses deux grands concurrents, NTC et DP-3T, qui sont similaires.

    Commençons par résumer le fonctionnement de ce protocole. Je me base sur les documents publiés sur le site de la grande pomme. Comme ses concurrents, il utilise le Bluetooth ainsi qu’un serveur dont le rôle est de recevoir les signalements de personnes infecté·es, et de communiquer aux utilisateurices de l’application les listes des personnes infectées par SARS-Cov2 qu’elles auraient pu croiser.

    Mais commençons par le début.

    Le protocole utilisant de nombreux protocoles et fonctions cryptographiques, et étant assez long, je ne vais pas l’expliquer en détail, et si vous voulez plus d’informations, vous pouvez vous référer à la note en bas de page.1L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
    Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
    Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours.
    Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
    L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
    Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.

    Pour faire simple, on génère initialement une clef (Tracing Key ou TK), qu’on utilise chaque jour pour calculer une nouvelle clef (Daily Tracing Key ou DTK), qu’on utilise elle-même toutes les 15 minutes pour calculer une troisième clef (Rolling Proximity Identifier ou RPI), qu’on va appeler la «clef roulante de proximité», qui sera diffusée avec le Bluetooth.
    Ce qu’il faut retenir, c’est que l’identifiant qui est diffusé via le Bluetooth change toutes les 15 minutes, et qu’il est impossible en pratique de déduire l’identité d’une personne en ne connaissant que cet identifiant ou plusieurs de ces identifiants.

    Par ailleurs, si on se déclare comme malade, on envoie au serveur central la liste des paires (DTK, jour de création de la DTK) des 14 derniers jours, et de même pendant les 14 jours suivants. Cet ensemble forme ce qu’on appelle la clef de diagnostic.

    Cryptographie

    D’un point de vue cryptographique, tous les spécialistes du domaine (Anne Canteaut, Leo Colisson et d’autres personnes, chercheureuses au LIP6, Sorbonne Université) avec lesquels j’ai eu l’occasion de parler sont d’accord : les algorithmes utilisés sont bien connus et éprouvés. Pour les spécialistes du domaine, la documentation sur la partie cryptographique explique l’utilisation des méthodes HMAC et HKDF avec l’algorithme de hashage SHA256. Les clefs sont toutes de taille suffisante pour qu’on ne puisse pas toutes les générer en les pré-calculant en créant une table de correspondance également appelée « Rainbow table » qui permettrait de remonter aux Tracing Keys . L’attaque envisagée ici consiste à générer le plus de TK possibles, leurs DTK correspondantes et lorsque des DTK sont révélées sur quelques jours, utiliser la table de correspondance pré-calculée pour remonter à la TK.

    On peut faire un gros reproche cependant : la non-utilisation de sel (une chaîne de caractères aléatoires, différente pour chaque personne et définie une fois pour toutes, qu’on ajoute aux données qu’on hashe) lors de l’appel à HMAC pour générer les DTK, ce qui est une aberration, et pire encore, aucune justification n’est donnée par Apple et Google.

    Respect de la vie privée et traçage

    Quand on écrit un protocole cryptographique, selon Apple et Google « with user privacy and security central to the design » (Traduction : « avec le respect de la vie privée de l’utilisateurice et la sécurité au centre de la conception »), on est en droit de chercher tous les moyens possibles de récupérer un peu d’information, de tracer les utilisateurices, de savoir qui iels sont.

    Premier problème : La quantité de calcul demandée aux clients

    À chaque fois que le téléphone du client récupère la liste des clefs de diagnostic des personnes déclarées malades, il doit calculer tous les RPI (96 par jour, faites moi confiance c’est dans le protocole, 96 * 15 min = 24 h) de toutes les clefs pour tous les jours. On peut imaginer ne récupérer que les nouvelles données chaque jour, mais ce n’est pas spécifié dans le protocole. Ainsi, au vu de la quantité de personnes infectées chaque jour, on va vite se retrouver à court de puissance de calcul dans le téléphone. On peut même s’imaginer faire des attaques par DoS (déni de service) en insérant de très nombreuses clefs de diagnostic dans le serveur pour bloquer les téléphones des utilisateurices.

    En effet, quand on se déclare positif, il n’y a pas d’information ajoutée, pas d’autorité qui assure que la personne a bien été infectée, ce qui permet à tout le monde de se déclarer positif, en faisant l’hypothèse que la population jouera le jeu et ne se déclarera positive que si elle l’est vraiment.

    Deuxième problème : Le serveur principal

    Un design utilisant un serveur centralisé (possédé ici par Apple et Google), qui a donc accès aux adresses IP et d’autres informations de la part du client gagne beaucoup d’informations : il sait retrouver quel client est infecté, avoir son nom, ses informations personnelles, c’est-à-dire connaître parfaitement la personne infectée, quitte à revendre les données ou de l’espace publicitaire ciblé pour cette personne. Comment cela se passe-t-il ? Avec ses pisteurs embarqués dans plus de 45% des applications testées par Exodus Privacy, pisteurs qui partagent des informations privées, et qui vont utiliser la même adresse IP, Google va pouvoir par exemple recouper toutes ces informations avec l’adresse IP pour savoir à qui appartient quelle adresse IP à ce moment.

    Troisième problème : Traçage et publicité

    Lorsqu’on est infecté⋅e, on révèle ses DTK, donc tous les RPI passés. On peut donc corréler les partages de RPI passés avec d’autres informations qu’on a.

    Pour aller plus loin, nous avons besoin d’introduire deux notions : celle d’adversaire actif, et celle d’adversaire passif. L’adversaire actif tente de gagner activement de l’information, en essayant de casser de la cryptographie, de récupérer des clefs, des identifiants. Nous avons vu précédemment qu’il a fort peu de chance d’y arriver.
    L’adversaire passif quant à lui se contente de récupérer des RPIs, des adresses physiques de puces Bluetooth, et d’essayer de corréler ces informations.

    Ce dernier type d’adversaire a existé et existe encore . Par exemple, la ville de Londres a longtemps équipé ses poubelles de puces WiFi, permettant de suivre à la trace les smartphones dans la ville. En France, l’entreprise Retency, ou encore les Aéroports de Paris font la même chose avec le Bluetooth. Ces entreprises ont donc des réseaux de capture de données, et se révéler comme positif à SARS-Cov2 permet alors à ces entreprises, qui auront capté les RPIs envoyés, de pister la personne, de corréler avec les données de la publicité ciblée afin d’identifier les personnes infectées et donc revendre des listes de personnes infectées.
    On peut aussi imaginer des implémentations du protocole qui stockent des données en plus de celles demandées par le protocole, telles que la localisation GPS, ou qui envoient des données sensibles à un serveur tiers.

    D’autres attaques existent, dans le cadre d’un adversaire malveillant, mais nous ne nous attarderons pas dessus ; un article publié il y a quelques jours (en anglais) les décrit très bien : https://eprint.iacr.org/2020/399.pdf.

    Nous pouvons ainsi voir que, même si le protocole est annoncé comme ayant la sécurité et le respect de la vie privée en son centre, il n’est pas exempt de défauts, et il y a même, à mon avis, des choix techniques qui ont été faits qui peuvent permettre le traçage publicitaire même si on ne peut en prouver la volonté. Alors même que tous les pays du monde sont en crise, et devraient investir dans du matériel médical, dans du personnel, dans les hôpitaux, dans la recherche de traitements contre SARS-Cov2, ils préfèrent se tourner vers un solutionnisme technologique qui non seulement n’a aucune assurance de fonctionner, mais qui également demande que plus de 60 % de la population utilise l’application pour être efficace (voir cet article pour plus d’informations).
    D’autant plus qu’une telle application ne peut être efficace qu’avec un dépistage massif de la population, ce que le gouvernement n’est actuellement pas en état de fournir (à raison de 700k tests par semaine, tel qu’annoncé par Édouard Philippe dans son allocution du 28 avril, il faudrait environ 2 ans pour dépister toute la population).

    Pour plus d’informations sur les possibles attaques des protocoles de contact tracing, en particulier par des adversaires malveillants, je vous conseille l’excellent site risques-tracage.fr écrit par des chercheureuses INRIA spécialistes du domaine.

    References   [ + ]

    1. L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
    Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
    Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours.
    Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
    L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
    Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.
    ]]>
    La CNIL s’arrête à mi-chemin contre StopCovidhttps://www.laquadrature.net/?p=15839http://streisand.me.thican.net/laquadrature.net/index.php?20200427_155813_La_CNIL_s___arrete_a_mi-chemin_contre_StopCovidMon, 27 Apr 2020 13:58:13 +0000L’application StopCovid ne fera finalement pas l’objet d’un vote à l’Assemblée nationale, le gouvernement se refusant à tout risque de vote contraire à sa volonté. Pourtant, les prises de position s’accumulent contre elle et son avenir semble chaque jour plus incertain.

    Hier, la CNIL a rendu son avis à son sujet. Contrairement au Conseil national du numérique (CNNum) qui s’est prononcé vendredi en faveur de l’application, la CNIL n’a pas entièrement fui le débat : elle exige que le gouvernement démontre l’utilité concrète de StopCovid, ce qu’aucune étude ou analyse ne soutient actuellement. Hélas, alors que la CNIL aurait dû s’arrêter à ce simple constat pour demander l’arrêt de ce dangereux et inutile projet, elle s’est égarée dans le faux-débat tendu par le gouvernement : rechercher des « garanties », forcément illusoires, pour encadrer l’application.

    Une nécessité non démontrée

    L’idée au cœur du droit des libertés fondamentales est que, par principe, il est interdit de limiter nos libertés. Elles ne peuvent l’être que par exception, et uniquement en démontrant qu’une telle limitation est utile à un intérêt supérieur, telle que la santé publique dans notre cas. Hier, la CNIL a rappelé ce principe cardinal, qu’elle applique naturellement de longue date. Par exemple, dans son avis sur les portiques de reconnaissance faciale dans des lycées de la région Sud, elle avait bien rappelé qu’il revenait au responsable de traitement de données« d’évaluer la nécessité et la proportionnalité du traitement envisagé ». Un tel raisonnement l’avait conduit à considérer que le projet de reconnaissance faciale était contraire au RGPD, car la région n’avait pas démontré cette nécessité.

    Il ne fait pas de doute que StopCovid est une mesure limitant les libertés fondamentales, ce que la CNIL reconnaît facilement : risques d’attaques malveillantes, de discriminations, d’accoutumance à la surveillance constante, de dévoiement par le gouvernement. La CNIL exige donc que les prétendus bienfaits sanitaires de l’application soient démontrés avant que celle-ci ne soit déployée, ce qui fait jusqu’ici défaut. La rigueur du raisonnement de la CNIL tranche nettement avec l’avis du CNNum, qui conclut en faveur de StopCovid hors de toute méthode d’analyse sérieuse.

    Toutefois, il faut regretter que la CNIL se soit arrêtée là, sans conclure et répondre elle-même à la question qu’elle a si justement posée. Si aucun élément factuel ne prouve l’efficacité d’une technique qu’elle reconnaît pourtant comme attentatoire aux libertés fondamentales, la mission de la CNIL est de déclarer celle-ci illégale. Déclarer illégaux des traitements de données injustifiés est une des missions centrales qui justifient l’existence de la CNIL.

    Mais, refusant de tenir son rôle, la CNIL s’est ensuite perdue dans le débat vain souhaité par le gouvernement : chercher à tâtons les garanties pouvant encadrer cette pratique. Pourtant, les conditions pour que StopCovid respecte nos libertés sont impossibles à remplir. L’essence même du « traçage de contact », automatique comme manuel, rend impossible l’anonymat, et le contexte de crise sanitaire rend irréaliste la garantie d’un consentement libre.

    Un anonymat impossible

    Cédric O affirme que les données traitées par StopCovid « seraient anonymes ». De même, Bruno Sportisse, directeur de l’INRIA chargé du protocole ROBERT sur lequel reposera l’application, affirme que celle-ci serait « totalement anonyme ».

    En pratique, une application anonyme n’aurait aucun intérêt : l’application doit envoyer à des personnes ciblées des alertes du type « vous avez été au contact de personnes malades, mettez-vous en quarantaine ». Du moment que chaque alerte est envoyée à des personnes ciblées, le système n’est plus anonyme : trivialement, il suffit qu’un tiers (un patron, un conjoint, etc.) puisse consulter votre téléphone pour constater que vous avez reçu une alerte. Des chercheu·ses de l’INRIA ont produit une excellente liste de quinze scénarios de ce type, démontrant à quel point il était simple de lever ce prétendu « anonymat ».

    Hélas, le CNNum s’enfonce dans le déni de réalité et continue de prétendre que « les utilisateurs de l’application ne peuvent pas se réidentifier entre eux ». Dans une étrange note de bas de page, l’avis du CNNum admet que cette affirmation est peut-être fausse puis renvoie vers les scénarios de l’INRIA. Voilà la triste posture du CNNum : mentir dans le corps du texte et s’excuser en pied de page, en petits caractères.

    De son côté, heureusement, la CNIL est plus honnête et ne cache pas ces failles : les données traitées par StopCovid sont des pseudonymes ré-identifiables. Mais elle refuse d’en tirer la moindre conséquence effective. Après avoir exigé quelques mesures de sécurité nécessaires qui ne changeront pas le fond du problème, elle semble se bercer dans l’illusion que le droit serait une garantie suffisante pour empêcher que ce pseudonymat si fragile ne soit levé. Au final, sa seule « garantie » n’est rien d’autre que ce cher RGPD que la CNIL échoue à faire respecter depuis deux ans, quand elle ne s’y refuse pas carrément (lire notre article sur les cookies publicitaires).

    Un consentement impossible

    Tout comme l’utilisation faussée de la notion de données « anonymes », le gouvernement fonde la création de StopCovid sur le fait que l’application serait installée « volontairement ». Une telle présentation est encore mensongère : matériellement, l’État ne pourra pas s’assurer que l’application ne soit pas imposée par des tiers.

    Si des employeurs, des restaurants ou des centres d’hébergement exigent que leurs salariés ou usagers utilisent StopCovid, que va faire Cédric O ? Leur envoyer la police pour forcer le passage ? Si la pression vient de la famille ou des amis, que va faire la CNIL ? Leur imposer des amendes en violation du RGPD – qu’encore une fois elle ne fait déjà pas respecter avec énormément de sites internet ?

    L’urgence est partout ailleurs

    Comme nous ne cessons de le répéter, il est urgent que ce débat prenne fin, par le rejet de ce projet. L’attention du public, du Parlement et de la recherche doit se rediriger vers les nombreuses autres solutions proposées : production de masques, de tests, traçage de contacts réalisé par des humains, sans avoir à réinventer la roue. Leur efficacité semble tellement moins hasardeuse. Surtout, contrairement à StopCovid, ces solutions ne risquent pas de légitimer sur le long terme l’ensemble de la Technopolice, qui cherche depuis des années à rendre acceptable la surveillance constante de nos corps dans l’espace public par la reconnaissance faciale, les drones ou la vidéo automatisée.

    Les 28 et 29 avril, dans le cadre des mesures de déconfinement, l’Assemblée nationale débattra de StopCovid, sans toutefois voter spécifiquement à son sujet. L’Assemblée doit exiger la fin de cette application. Rendez-vous sur cette page pour contacter les député·es.

    ]]>
    « StopCovid est un projet désastreux piloté par des apprentis sorciers »https://www.laquadrature.net/?p=15820http://streisand.me.thican.net/laquadrature.net/index.php?20200425_184742_____StopCovid_est_un_projet_desastreux_pilote_par_des_apprentis_sorciers____Sat, 25 Apr 2020 16:47:42 +0000Nous reproduisons, avec l’accord de leurs auteurs, la tribune parue aujourd’hui dans le quotidien Le Monde concernant l’application StopCovid, écrite par Antonio Casilli, Paul-Olivier Dehaye, Jean-Baptiste Soufron, et signée par UGICT-CGT et La Quadrature du Net. Le débat au parlement se déroulera le 28 avril et nous vous invitons à contacter votre député⋅e pour lui faire part de votre opposition au projet et de lui demander de voter contre.

    Tribune. Le mardi 28 avril, les parlementaires français seront amenés à voter sur StopCovid, l’application mobile de traçage des individus imposée par l’exécutif. Nous souhaitons que, par leur vote, ils convainquent ce dernier de renoncer à cette idée tant qu’il est encore temps. Non pas de l’améliorer, mais d’y renoncer tout court. En fait, même si toutes les garanties légales et techniques étaient mises en place (anonymisation des données, open source, technologies Bluetooth, consentement des utilisateurs, protocole décentralisé, etc.), StopCovid serait exposée au plus grand des dangers : celui de se transformer sous peu en « StopCovid Analytica », une nouvelle version du scandale Cambridge Analytica [siphonnage des données privées de dizaines de millions de comptes Facebook].

    L’application StopCovid a été imaginée comme un outil pour permettre de sortir la population française de la situation de restriction des libertés publiques provoquée par le Covid-19. En réalité, cette « solution » technologique ne serait qu’une continuation du confinement par d’autres moyens. Si, avec ce dernier, nous avons fait l’expérience d’une assignation à résidence collective, les applications mobiles de surveillance risquent de banaliser le port du bracelet électronique.

    Tous les citoyens, malades ou non

    Le terme n’est pas exagéré : c’est déjà le cas à Hong-Kong, qui impose un capteur au poignet des personnes en quarantaine, et c’est l’objet de tests en Corée du Sud et au Liechtenstein pour certaines catégories de citoyens à risque. StopCovid, elle, a vocation à être installée dans les smartphones, mais elle concerne tous les citoyens, malades ou non. Malgré le fait que son installation soit présentée comme facultative dans d’autres pays, tels l’Italie, on assiste à la transformation de cette démarche volontaire en obligation.

    L’affaire Cambridge Analytica, révélée au grand jour en 2018, avait comme point de départ les travaux de chercheurs de l’université anglaise. Une application appelée « Thisisyourdigitallife », présentée comme un simple quiz psychologique, avait d’abord été proposée à des utilisateurs de la plate-forme de microtravail Amazon Mechanical Turk. Ensuite, ces derniers avaient été amenés à donner accès au profil Facebook de tous leurs contacts. C’était, en quelque sorte, du traçage numérique des contacts avant la lettre.

    A aucun moment ces sujets n’avaient consenti à la réutilisation de leurs informations dans le cadre de la campagne du Brexit ou dans l’élection présidentielle de Donald Trump. Cela est arrivé ensuite, lorsque les chercheurs ont voulu monétiser les données, initialement collectées dans un but théoriquement désintéressé, par le biais de l’entreprise Cambridge Analytica. En principe, cette démarche respectait les lois des différents pays et les règles de ces grandes plates-formes. Néanmoins, de puissants algorithmes ont été mis au service des intérêts personnels et de la soif de pouvoir d’hommes politiques sans scrupule.

    Les mêmes ingrédients sont réunis ici : des scientifiques « de bonne volonté », des géants de la « tech », des intérêts politiques. Dans le cas de StopCovid, c’est le consortium universitaire européen Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), qui a vu le jour à la suite de la pandémie. Ces scientifiques se sont attelés à la tâche de concevoir dans l’urgence le capteur de contacts le plus puissant, dans le respect des lois. Cela s’articule avec les intérêts économiques d’acteurs privés, tels les grands groupes industriels nationaux, le secteur automobile et les banques en Italie, les télécoms et les professionnels de l’hébergement informatique en France. Mais surtout les GAFA, les géants américains du numérique, se sont emparés du sujet.

    Cette fois, ce ne sont pas Facebook et Amazon, mais Google et Apple, qui ont tout de suite proposé de fournir une nouvelle structure pour diffuser les applications de suivi de contacts sur leurs plates-formes. La menace qui plane au-delà de tous ces acteurs vient des ambitions de certains milieux politiques européens d’afficher leur détermination dans la lutte contre le Covid19, en se targuant d’une solution technique à grande échelle, utilisant les données personnelles pour la « campagne du déconfinement ».

    Une myopie sur les dimensions sociales des données

    Le projet StopCovid n’offre aucune garantie sur les finalités exactes de la collecte de ces données. L’exécutif français ne s’autorise pas à réfléchir à la phase qui suit la collecte, c’est-à-dire au traitement qui sera fait de ces informations sensibles. Quels algorithmes les analyseront ? Avec quelles autres données seront-elles croisées sur le moyen et le court terme ? Son court-termisme s’accompagne d’une myopie sur les dimensions sociales des données.

    Que se passerait-il si, comme plusieurs scientifiques de l’Inria, du CNRS et d’Informatics Europe s’époumonent à nous le dire, malgré une collecte initiale de données réduite au minimum, des entreprises ou des puissances étrangères décidaient de créer des « applications parasites » qui, comme Cambridge Analytica, croiseraient les données anonymisées de StopCovid avec d’autres bases de données nominatives ? Que se passerait-il, par exemple, si une plate-forme de livraison à domicile décidait (cela s’est passé récemment en Chine) de donner des informations en temps réel sur la santé de ses coursiers ? Comment pourrait-on empêcher un employeur ou un donneur d’ordres de profiter dans le futur des données sur l’état de santé et les habitudes sociales des travailleurs ?

    L’affaire Cambridge Analytica nous a permis de comprendre que les jeux de pouvoir violents et partisans autour de la maîtrise de nos données personnelles ont des conséquences directes sur l’ensemble de la vie réelle. Il ne s’agit pas d’une lubie abstraite. Le cas de StopCovid est tout aussi marquant. En focalisant des ressources, l’attention du public et celle des parlementaires sur une solution technique probablement inefficace, le gouvernement nous détourne des urgences les plus criantes : la pénurie de masques, de tests et de médicaments, ou les inégalités d’exposition au risque d’infection.

    Une malheureuse diversion

    Cette malheureuse diversion n’aurait pas lieu si le gouvernement n’imposait pas ses stratégies numériques, verticalement, n’étant plus guidé que par l’urgence de faire semblant d’agir. Face à ces enjeux, il faudrait au contraire impliquer activement et à parts égales les citoyens, les institutions, les organisations et les territoires pour repenser notre rapport à la technologie. Le modèle de gouvernance qui accompagnera StopCovid sera manifestement centré dans les mains d’une poignée d’acteurs étatiques et marchands. Une telle verticalité n’offre aucune garantie contre l’évolution rapide de l’application en un outil coercitif, imposé à tout le monde.

    Ce dispositif entraînerait un recul fondamental en matière de libertés, à la fois symbolique et concret : tant sur la liberté de déplacement, notamment entre les pays qui refuseraient d’avoir des systèmes de traçage ou qui prendront ce prétexte pour renforcer leur forteresse, que sur la liberté de travailler, de se réunir ou sur la vie privée. Les pouvoirs publics, les entreprises et les chercheurs qui dans le courant des dernières semaines sont allés de l’avant avec cette proposition désastreuse, ressemblent à des apprentis sorciers qui manient des outils dont la puissance destructrice leur échappe. Et, comme dans le poème de Goethe, quand l’apprenti sorcier n’arrive plus à retenir les forces qu’il a invoquées, il finit par implorer une figure d’autorité, une puissance supérieure qui remette de l’ordre. Sauf que, comme le poète nous l’apprend, ce « maître habile » ne reprend ces outils « que pour les faire servir à ses desseins ».

    Antonio Casilli, sociologue.
    Paul-Olivier Dehaye, mathématicien.
    Jean-Baptiste Soufron, avocat.
    Cosignataires : Sophie Binet et Marie-José Kotlicki, cosecrétaires généraux de l’UGICT-CGT ; Raquel Radaut, membre de La Quadrature du Net.

    ]]>
    Rejetons StopCovid – Contactons les députéshttps://www.laquadrature.net/?page_id=15792http://streisand.me.thican.net/laquadrature.net/index.php?20200424_151627_Rejetons_StopCovid_____Contactons_les_deputesFri, 24 Apr 2020 13:16:27 +0000Le 28 avril 2020, l’Assemblée nationale débattra pour rendre son avis sur le projet d’application StopCovid du gouvernement. Cette application risque d’être inefficace d’un point de vue sanitaire (voire contre-productive) tout en créant de graves risques pour nos libertés : discriminations de certaines personnes et légitimation de la surveillance de nos corps dans l’espace public (reconnaissance faciale, drone et toute la Technopolice).

    Quelques textes à lire pour bien comprendre le sujet :

    Contactons les député·es pour leur demander de mettre fin à ce débat inutile et dangereux.

    Au hasard parmi les députés de
    et de


    ()



    Député suivant >

    ]]>
    Parcoursup : fin partielle de l’omerta sur les algorithmes locauxhttps://www.laquadrature.net/?p=15777http://streisand.me.thican.net/laquadrature.net/index.php?20200417_142132_Parcoursup____fin_partielle_de_l___omerta_sur_les_algorithmes_locauxFri, 17 Apr 2020 12:21:32 +0000Dans sa décision QPC du 3 avril dernier, le Conseil constitutionnel a estimé que les algorithmes locaux, utilisés par les Universités pour sélectionner les étudiant·es dans le cadre de la procédure Parcoursup, doivent faire l’objet d’une publication après la procédure. Cette affaire, initiée par l’UNEF et dans laquelle La Quadrature du Net est intervenue, permet de lever – en partie – le voile sur l’opacité dangereuse des algorithmes qui sont utilisés de manière démesurée par l’État et ses administrations.

    Parcoursup est une plateforme développée par le gouvernement et qui a pour objectif de gérer les vœux d’affectation des futur·es étudiant·es de l’enseignement supérieur. À ce titre, chaque établissement peut s’aider d’algorithmes (appelés « algorithmes locaux », car propres à chaque établissement) pour se faciliter le travail de comparaison entre les candidat·es. En pratique, il s’agit de simples feuilles de calcul. Les critères de ces algorithmes et leurs pondérations ne sont pas connu·es, et des soupçons de pratiques discriminatoires, notamment fondées sur le lycée d’origine des candidat·es, ont été émis par le Défenseur des droits. L’UNEF, syndicat étudiant, a alors demandé la communication de ces algorithmes locaux et, face au refus des Universités, s’est retrouvé devant le Conseil constitutionnel. La Quadrature du Net s’est jointe à l’affaire, et nous avons soutenu l’impératif de transparence.

    En effet, jusqu’à présent, les juges administratifs et le Conseil d’État interprétaient la loi comme interdisant toute publication de ces algorithmes locaux, c’est-à-dire les critères utilisés et leurs pondérations. Le secret des délibérations était brandi pour refuser la transparence, empêchant ainsi de contrôler leur usage et la présence éventuelle de pratiques discriminatoires.

    Dans sa décision, si le Conseil constitutionnel a considéré que la loi attaquée est conforme à la Constitution, il y a rajouté une réserve d’interprétation1Une réserve d’interprétation est une clarification par le Conseil constitutionnel du sens de la loi, dans l’hypothèse où plusieurs lectures du texte auraient été possibles. La réserve d’interprétation permet de « sauver » un texte de loi en ne retenant qu’une interprétation conforme à la Constitution et en écartant toute autre lecture. : la liste exhaustive des critères utilisés par les Universités devra être publiée a posteriori. Cette réserve d’interprétation change radicalement le sens de la loi et c’est un début de victoire : elle crée une obligation de publication de l’ensemble des critères utilisés par les Universités, une fois la procédure de sélection terminée. En revanche, il est extrêmement regrettable que les pondérations appliquées à chaque critère ne soient pas couvertes par cette communication.

    Autre point important, pour arriver à cette conclusion, le Conseil constitutionnel a dégagé un droit général de communication des documents administratifs, notion recouvrant les algorithmes2Pour rappel, c’est ce droit de communication que nous utilisons dans notre campagne Technopolice pour obtenir des documents sur les dispositifs de surveillance déployés par les communes.. Il a ainsi estimé que seul un intérêt général peut limiter ce droit à communication, et à condition que cette limitation soit proportionnée. C’est ainsi que, pour la procédure Parcoursup attaquée, il a estimé que ce droit serait bafoué s’il n’y avait pas communication des critères de sélection une fois la procédure de sélection terminée.

    Cette décision pose un cadre constitutionnel clair en matière de communication des algorithmes : la transparence est la règle, l’opacité l’exception. Le Conseil constitutionnel a écarté les menaces de fin du monde brandies par le gouvernement et les instances dirigeantes du monde universitaire qui défendaient bec et ongles leur secret. S’il est déplorable que l’usage même de ces algorithmes pour fonder des décisions administratives n’ait pas été une seule fois questionné par le Conseil, ni les pondérations appliquées aux critères dans Parcoursup incluses dans l’obligation de communication, une nouvelle voie s’ouvre toutefois à nous pour attaquer certaines pratiques du renseignement, autre domaine où la transparence n’est pas encore acquise.

    References   [ + ]

    1. Une réserve d’interprétation est une clarification par le Conseil constitutionnel du sens de la loi, dans l’hypothèse où plusieurs lectures du texte auraient été possibles. La réserve d’interprétation permet de « sauver » un texte de loi en ne retenant qu’une interprétation conforme à la Constitution et en écartant toute autre lecture.
    2. Pour rappel, c’est ce droit de communication que nous utilisons dans notre campagne Technopolice pour obtenir des documents sur les dispositifs de surveillance déployés par les communes.
    ]]>
    Nos arguments pour rejeter StopCovidhttps://www.laquadrature.net/?p=15746http://streisand.me.thican.net/laquadrature.net/index.php?20200414_164759_Nos_arguments_pour_rejeter_StopCovidTue, 14 Apr 2020 14:47:59 +0000MAJ : Mardi 28 avril, l’Assemblée Nationale commence son débat sur StopCovid. On vous a préparé une petite page pour contacter les député.es (par mail, Twitter) et lister quelques textes à lire sur le sujet. C’est ici !

    Hier, Emmanuel Macron a invité le Parlement à débattre de l’éventuelle application StopCovid développée par son gouvernement. Nous venons d’envoyer aux parlementaires le résumé de nos arguments (PDF, 1 page), tel que repris ci-dessous.

    L’application StopCovid serait inutile, dangereuse pour nos libertés et pourrait même aggraver la situation sanitaire. L’administration et le Parlement doivent cesser d’investir toute ressource humaine ou économique dans ce projet vain et dangereux. L’urgence est partout ailleurs.

    Une efficacité hasardeuse

    Utilisation trop faible

    • de premières approximations évaluent que plus de 60%1Le taux d’utilisation de 60% nécessaire pour une efficacité est très repris dans la presse française en s’appuyant sur cette étude, cela nous semble être une déduction assez vague de la figure 3 de l’étude, déjà nécessairement simplifiée par rapport à la réalité. Reste que pour espérer la moindre efficacité, il faudrait que l’application soit extrêmement performante pour identifier les contacts susceptibles d’avoir entraîné une contamination, la quarantaine successive très bien suivie, et également qu’il y ait un taux d’installation colossal de l’application., voire plutôt 80% ou 100% de la population devrait utiliser l’application pour que celle-ci soit efficace, à condition encore qu’elle produise des données fiables ;
    • seulement 77% de la population française a un smartphone et cette proportion baisse à 44% pour les personnes de plus de 70 ans, alors qu’elles sont parmi les plus vulnérables ;
    • beaucoup de personnes ne savent pas forcément activer le Bluetooth et certaines refusent de le maintenir activé en permanence pour des raisons pratiques (batterie) ou pour se protéger d’usages malveillants2Une grande partie des smartphones en utilisation ne sont pas équipés des dernières mises à jour de sécurité, or des failles dans le protocole Bluetooth ont été découvertes ces dernières années. ;
    • 16% de la population de Singapour a utilisé l’application équivalente – ce qui n’a pas empêché de devoir finalement recourir au confinement.

    Résultats trop vagues

    • il faut redouter que la population n’ait pas accès à des tests de façon assez régulière pour se signaler de façon suffisamment fiable (et se reposer uniquement sur l’auto-diagnostic risquerait de faire exploser le nombre de faux-positifs) ;
    • il ne semble n’y avoir aucun consensus quant à la durée et la distance de proximité justifiant d’alerter une personne entrée en « contact » avec une autre personne contaminée ;
    • à certains endroits très densément peuplés (certains quartiers, grandes surfaces, grandes entreprises) on assisterait à une explosion des faux positifs, ce qui rendrait l’application inutile ;
    • le champ de détection du Bluetooth semble beaucoup trop varier d’un appareil à un autre et sa précision n’est pas forcément suffisante pour offrir des résultats fiables3Selon l’analyse de l’ACLU : « Other open questions include whether Bluetooth is precise enough to distinguish close contacts given that its range, while typically around 10 meters, can in theory reach up to 400 meters, and that its signal strength varies widely by chips et, battery, and antenna design » (« D’autres questions restent ouvertes, par exemple celle de savoir si le Bluetooth est assez précis pour différencier les contacts proches, étant donné que sa portée, qui tourne en pratique autour de 10 m, peut atteindre en théorie 400 m et que la puissance du signal dépend beaucoup de la puce, de la batterie, et de l’antenne utilisées »)..

    Contre-efficacité sanitaire

    • en créant un faux sentiment de sécurité sanitaire, l’application pourrait inciter à réduire les gestes barrières, tout en échouant à lancer des alertes suffisamment fiables ;
    • son développement requiert une énergie et un coût qui ne sont pas investis dans des solutions plus efficaces, comme la production de masques, le dépistage de la population ou la promotion des gestes barrières… ;
    • le déploiement de systèmes de surveillance augmenterait le sentiment de défiance déjà important d’une partie de la population à l’égard de l’État. Ne sachant pas s’ils peuvent faire confiance au système mis en place, les potentiels malades pourraient se trouver incités à cacher leurs symptômes aux services de santé par peur de conséquences négatives.

    Des libertés inutilement sacrifiées

    Discriminations

    • que ce soit en la rendant obligatoire, ou par une pression sociale trop importante, les personnes n’utilisant pas l’application risqueraient de ne plus pouvoir travailler ou accéder à certains lieux publics librement (voir déjà un exemple en Italie), rendant leur consentement non-libre et donc nul ;
    • une hypothèse de discrimination particulièrement grave serait de faciliter l’accès aux tests sérologiques pour les personnes utilisant l’application.

    Surveillance

    • dans le cas où l’application serait adoptée par une partie de la population, il faut redouter que le gouvernement puisse l’imposer plus facilement au reste de la population, contre sa volonté ; nous constatons que toutes mesures sécuritaires et liberticides prises dans les temps « d’urgence » n’ont jamais été remises en cause – c’est l’effet cliquet qui participe à la défiance justifiée contre ces solutions de contrôle ;
    • l’objectif de l’application (alerter des personnes ciblées) est par essence incompatible avec la notion juridique d’anonymat – il s’agit au mieux d’un pseudonymat, qui ne protège pas contre tout type de surveillance individuelle ;
    • la publication du code de l’application sous une licence libre, ainsi que l’utilisation de méthodes de compilation reproductibles, seraient des exigences indispensables contre ces abus, mais elles-mêmes insuffisantes.

    Acclimatation sécuritaire

    • personne n’est capable de dire à l’avance pendant combien de temps l’application serait déployée ;
    • une fois l’application déployée, il sera plus facile pour le gouvernement de lui ajouter des fonctions coercitives (contrôle individuel du confinement) ;
    • l’application incite à soumettre son corps à une surveillance constante, ce qui renforcera l’acceptabilité sociale d’autres technologies, comme la reconnaissance faciale ou la vidéo surveillance automatisée, qui sont actuellement largement rejetées ;
    • solutionnisme technologique : l’application renforce la croyance aveugle dans la technologie et la surveillance comme principales réponses aux crises sanitaires, écologiques ou économiques, alors qu’elles détournent au contraire l’attention des solutions : recherche scientifique, financement du service public…

    L’utilisation d’une application dont les objectifs, les techniques et les conditions mêmes d’usage portent des risques conséquents pour notre société et nos libertés, pour des résultats probablement médiocres (voire contre-productifs), ne saurait être considérée comme acceptable pour nous – tout comme pour beaucoup de Français·es. Le temps médiatique, politique et les budgets alloués à cette fin seraient mieux utilisés à informer et protéger la population (et les soignant·es) par des méthodes à l’efficacité prouvée, telles que la mise à disposition de masques, de matériel médical et de tests.

    References   [ + ]

    1. Le taux d’utilisation de 60% nécessaire pour une efficacité est très repris dans la presse française en s’appuyant sur cette étude, cela nous semble être une déduction assez vague de la figure 3 de l’étude, déjà nécessairement simplifiée par rapport à la réalité. Reste que pour espérer la moindre efficacité, il faudrait que l’application soit extrêmement performante pour identifier les contacts susceptibles d’avoir entraîné une contamination, la quarantaine successive très bien suivie, et également qu’il y ait un taux d’installation colossal de l’application.
    2. Une grande partie des smartphones en utilisation ne sont pas équipés des dernières mises à jour de sécurité, or des failles dans le protocole Bluetooth ont été découvertes ces dernières années.
    3. Selon l’analyse de l’ACLU : « Other open questions include whether Bluetooth is precise enough to distinguish close contacts given that its range, while typically around 10 meters, can in theory reach up to 400 meters, and that its signal strength varies widely by chips et, battery, and antenna design » (« D’autres questions restent ouvertes, par exemple celle de savoir si le Bluetooth est assez précis pour différencier les contacts proches, étant donné que sa portée, qui tourne en pratique autour de 10 m, peut atteindre en théorie 400 m et que la puissance du signal dépend beaucoup de la puce, de la batterie, et de l’antenne utilisées »).
    ]]>
    La crise sanitaire ne justifie pas d’imposer les technologies de surveillancehttps://www.laquadrature.net/?p=15734http://streisand.me.thican.net/laquadrature.net/index.php?20200408_124359_La_crise_sanitaire_ne_justifie_pas_d___imposer_les_technologies_de_surveillanceWed, 08 Apr 2020 10:43:59 +0000Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 8 avril 2020,

    Chacune des crises qui a marqué le 21e siècle ont été l’occasion d’une régression des libertés publiques. Les attentats terroristes du 11 septembre 2001 ont vu l’Europe adopter la Directive sur la rétention des données de connexions électroniques et l’obligation faite aux opérateurs de stocker celles de tous leurs clients. Les attentats terroristes qui ont touché la France en 2015 ont permis le vote sans débat de la loi renseignement. Ils ont aussi entraîné la mise en place de l’état d’urgence dont des mesures liberticides ont été introduites dans le droit commun en 2017.

    La pandémie de Covid-19 menace d’entraîner de nouvelles régressions : discriminations, atteintes aux libertés, à la protection des données personnelles et à la vie privée…

    Pour surveiller l’évolution de la pandémie, tenter d’y mettre fin et organiser la fin du confinement, les gouvernements de plusieurs pays européens proposent d’utiliser des outils numériques basés sur l’utilisation des données des téléphones portables en prenant exemple sur plusieurs pays d’Asie qui ont subi l’épidémie avant l’Europe (Chine, Corée du Sud, Taïwan, Singapour).

    Deux logiques sont en œuvre : géolocaliser les populations et vérifier qu’elles respectent le confinement ; signaler aux personnes qu’elles ont pu être en contact avec des malades de la Covid-19.

    En France, le 8 avril, le gouvernement a indiqué travailler sur une application pour téléphone portable, téléchargeable à titre volontaire, permettant que « lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique » [1].

    Pistage des contacts (contact/backtracking)

    Il est envisagé d’utiliser pour cela le Bluetooth, qui permet à deux appareils comme des téléphones portables, de se connecter lorsqu’ils sont à proximité[2]. Une application à installer (volontairement ou pas) permet aux porteurs de la Covid-19 de se signaler pour que les personnes ayant été à leur proximité soient informées sur leur téléphone portable qu’elles ont peut-être été en contact avec un porteur du virus, et qu’elles devront à leur tour rester confinées pour limiter la chaîne de contamination.

    Quels sont les risques et les garanties nécessaires ?

    Le Président de la République ayant déclaré que nous étions en guerre contre le virus, les mesures de restrictions des libertés nous sont présentées comme autant d’armes légitimes contre la pandémie.

    Néanmoins, les utilisations envisagées de nos données personnelles (applications utilisant le Bluetooth pour le suivi des contacts) ou déjà mises en œuvre (géolocalisation) constituent une grave atteinte à nos libertés et ne sauraient être autorisées, ni utilisées sans notre consentement.

    Pour que des données aussi sensibles puissent être utilisées légalement, nous devrions être informés du moment où ces données sont anonymisées, notre consentement devrait nous être demandé, des informations faciles à lire et à comprendre devraient nous être fournies pour permettre un consentement libre spécifique et éclairé. Des garanties devraient également être fournies sur les techniques utilisées pour rendre impossible leur ré-identification.

    Concernant les applications de suivi des contacts, elle sont présentées comme peu dangereuses pour la confidentialité des données personnelles puisqu’il y aurait peu de collecte de données, mais essentiellement des connexions par Bluetooth d’un téléphone à un autre. C’est oublier que la notion de consentement libre, au cœur des règles de la protection des données, est incompatible avec la pression patronale ou sociale qui pourrait exister avec une telle application, éventuellement imposée pour continuer de travailler ou pour accéder à certains lieux publics. Ou que l’activation de ce moyen de connexion présente un risque de piratage du téléphone. Il est par ailleurs bien évident que l’efficacité de cette méthode dépend du nombre d’installations (volontaires) par les personnes, à condition bien sûr que le plus grand nombre ait été dépisté. Si pour être efficaces ces applications devaient être rendues obligatoires, « le gouvernement devrait légiférer » selon la présidente de la CNIL[3]. Mais on imagine mal un débat parlementaire sérieux dans la période, un décret ferait bien l’affaire ! Et qui descendra manifester dans la rue pour protester ?

    L’atteinte au secret médical, à la confidentialité des données de santé, est aussi mis en cause, car ces applications offrent une possibilité d’identifier les malades et de les stigmatiser. Et qu’en sera-t-il de toutes les personnes qui n’auront pas installé l’application, seront-elles soupçonnées d’avoir voulu cacher des informations ?

    Quant à celles qui ne possèdent pas de téléphone portable, elles risquent de subir une discrimination supplémentaire. Selon le CREDOC, seulement 44 % des « plus de 70 ans » possèdent un téléphone portable tandis que 14 % des Français ont des difficultés pour passer des appels ou envoyer des SMS[4]. De là à installer une application et en comprendre les alertes… Faudra-t-il les équiper d’un bracelet ou autre appareil électronique ?
    Dès lors, l’atteinte au respect de la vie privée et au secret médical est susceptible d’être disproportionnée compte-tenu de l’inefficacité de la mesure en matière de santé publique.

    En matière de lutte contre la pandémie et notamment de fin de confinement, il semble que le gouvernement tente de masquer ses manques et ses erreurs avec des outils technologiques présentés comme des solutions miracles. Et alors que leur efficacité n’a pas été démontrée, les dangers pour nos libertés sont eux bien réels.

    Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

    [1] https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
    [2]Technologie de réseaux sans fils d’une faible portée (10 à 100 mètres…) permettant de relier des appareils entre eux sans liaison filaire. Ils sont capables de se détecter sans intervention humaine s’ils sont à portée l’un de l’autre.
    [3] Interview par l’AFP de la présidente de la CNIL, Marie-Laure Denis le 4 avril 2020
    Question: Le gouvernement a-t-il la possibilité d’imposer ce type d’app, ou d’autres app visant à imposer le respect du confinement ?
    Réponse: En France, les pouvoirs publics ont exclu à ce jour l’éventualité d’un recours à un dispositif obligatoire.
    S’il devait en aller autrement, il serait nécessaire d’adopter un texte législatif pour mettre en œuvre ces dispositifs qui devraient en tout état de cause démontrer leur nécessité pour répondre à la crise sanitaire ainsi que leur proportionnalité par un respect des principes de la protection des données personnelles: la minimisation des données collectées, des finalités qui doivent être explicitées et précises, un caractère provisoire…
    [4]https://www.credoc.fr/publications/barometre-du-numerique-2019

    ]]>
    Devenir des robots pour échapper au virus ?https://www.laquadrature.net/?p=15722http://streisand.me.thican.net/laquadrature.net/index.php?20200406_104944_Devenir_des_robots_pour_echapper_au_virus___Mon, 06 Apr 2020 08:49:44 +0000Tribune d’Arthur, juriste à La Quadrature du Net.

    Les projets de traçage numérique contre le virus se précisent. Ferons-nous reposer la santé de la population sur notre « robotisation » ou, au contraire, sur notre humanité ?

    Sonder son entourage

    Mercredi dernier, le gouvernement a annoncé son projet de logiciel pour lutter contre le coronavirus après le confinement. L’idée semble très proche de ce qui a été expérimenté à Singapour : un logiciel pour smartphone vous permettrait de garder une trace des personnes croisées dans la journée et qui utilisent aussi l’application. La détection des personnes se ferait probablement par Bluetooth, sans avoir à enregistrer le lieu où vous les aurez croisées. Plus tard, si vous réalisez que vous êtes malade, le logiciel vous permettrait d’informer ces personnes pour les inviter à se mettre en quarantaine.

    En théorie, ce modèle peut se passer de l’intervention d’une administration centrale, en ne reposant que sur la coopération volontaire entre individus. Il s’agit d’une des principales vertus mises en avant par ses promoteurs, en Asie comme en Europe. Ainsi, dans l’hypothèse où le gouvernement prendrait cette voie, on pourrait déjà se réjouir qu’il n’ait pas pris celle proposée par Orange, avec l’assentiment de la CNIL, visant à se passer entièrement de notre consentement.

    Toutefois, si le modèle décrit ci-dessus semble simple en théorie, nous ignorons encore tout de la façon dont il sera déployé. Derrière les promesses d’une application décentralisée et autonome, il faut toujours redouter les terribles habitudes de l’État en matière de centralisation et de surveillance. La publication immédiate sous licence libre du code de l’application serait une garantie indispensable contre un tel dévoiement. Nous ne pouvons qu’être prudent en constatant que les autorités de Singapour, qui en avaient pourtant fait la promesse, n’ont toujours pas publié le code de leur application.

    Cette application soulève d’autres difficultés juridiques mais le cœur du débat, politique, interroge l’évolution culturelle de notre société et son rapport à la technologie.

    Un accord libre ?

    Si l’application ne faisait rien sans notre accord et si son code était libre, serait-elle légale ? Le RGPD prévoit que le consentement n’est valide que s’il est « librement donné ». Ce n’est pas le cas si une personne « n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

    Dans ces conditions, l’hypothèse suivante ne serait pas conforme au RGPD : les personnes utilisant l’application sont autorisées à se déplacer librement, mais celles ne l’utilisant pas restent contraintes de rédiger une attestation de déplacement et de la soumettre au contrôle policier. Dans une telle hypothèse, le consentement ne serait pas donné librement, mais répondrait à la menace d’amendes lourdes et imprévisibles tant la police fait preuve d’arbitraire et de discriminations dans ces contrôles.

    Si le gouvernement veut proposer une application licite, il devra entièrement rejeter cette hypothèse – hypothèse qui, heureusement, n’a pour l’heure pas été avancée. Enfin, même en rejetant cette hypothèse, y aurait-il encore à débattre de légalité de l’application ? Difficile de suivre un raisonnement uniquement juridique sans l’articuler à une réflexion politique : serons-nous socialement libres de refuser l’application ?

    Une contrainte sociale

    Les injonctions sanitaires ne viennent pas que du gouvernement, mais aussi d’une large partie de la population. Difficile de critiquer les injonctions actuelles qui invitent au confinement, mais que penser des injonctions futures, qui viendront après, lorsque la fin du confinement sera amorcée ?

    Dans un monde déjà hyper-connecté, mis sous tension par la crise sanitaire, comment seront accueillies les personnes qui refuseront d’utiliser l’application ? Et celles qui, pour des raisons économiques, politiques ou en raison de handicap, n’ont tout simplement pas de smartphone ? Pourra-t-on aller travailler ou faire nos courses sans pouvoir attester de la bonne santé de nos fréquentations ? Nous laissera-t-on entrer dans tous les restaurants, centres d’accueil, bars, hôtels de jeunesse, boites de nuit, lieux de prière ou cinémas ?

    De ces tensions sociales, il faut redouter un basculement culturel en faveur d’une surveillance massive de nos comportements hors-ligne. Il faut redouter l’exclusion sociale de celles et ceux qui refuseront de céder leur sociabilité et leur corps au contrôle et à l’efficacité biologique. De celles et ceux qui refuseront de devenir semblables à des machines, traçables et auditables en tout lieu.

    Hélas, une telle évolution ne serait pas que sociale : l’industrie la prépare déjà depuis des années en déployant la reconnaissance faciale et la vidéo-surveillance automatisée dans nos villes. La Technopolice pourrait trouver dans cette crise sanitaire l’assise culturelle qui lui manquait tant.

    Encore une fois, notre peur naturelle de mourir serait instrumentalisée, non plus seulement contre le terrorisme, mais désormais aussi contre la maladie. Nous sommes habitués à ces faux-chantages et ne sommes pas dupes. Dans le futur, notre société pourrait connaître des crises bien pires que celles en cours et, quelles que soient les menaces, la mort nous fera toujours moins peur que leurs futurs dystopiques — qu’une vie sans liberté.

    Dans tous les cas, ce choix n’a pas lieu d’être aujourd’hui. La défense des libertés ne s’oppose pas à notre santé. Au contraire, elles vont de pair.

    L’humanité, meilleure soignante que la technopolice

    Les logiciels proposés aujourd’hui ne sont que l’éternelle réitération du « solutionnisme technologique » que l’industrie techno-sécuritaire redéploie à chaque crise. Sauf que, aujourd’hui, ce serpent de mer autoritaire constitue aussi une menace sanitaire.

    Les enjeux de santé publique exigent de maintenir la confiance de la population, que celle-ci continue d’interagir activement avec les services de santé pour se soigner et partager des informations sur la propagation du virus. Les technologies de surveillance, telle que l’application envisagée par le gouvernement, risquent de rompre cette confiance, d’autant plus profondément qu’elles seront vécues comme imposées.

    Face à l’éventuelle crainte de perdre leurs emplois ou d’être exclues de lieux publics, une telle défiance pourrait conduire de nombreuses personnes à mentir, à cacher leurs symptômes ou ceux de leurs proches. La « surveillance » nous aura privé d’informations précieuses.

    Pour éviter une telle situation, plutôt que de prendre la voie des robots — tracés et gérés comme du bétail —, nous devons reprendre la voie des humains – solidaires et respectueux. Tisser et promouvoir des réseaux de solidarité avec les livreurs, les étrangers, les sans-abris, les soignants, augmenter le nombre de lits à l’hôpital, de masques pour le public, de tests pour permettre aux personnes malades de savoir qu’elles sont malades, de prendre soin d’elles-mêmes et de leur entourage, en nous faisant confiance les-unes les-autres – voilà une stratégie humaine et efficace.

    ]]>
    Urgence partout, État nulle parthttps://www.laquadrature.net/?p=15713http://streisand.me.thican.net/laquadrature.net/index.php?20200404_120556_Urgence_partout__Etat_nulle_partSat, 04 Apr 2020 10:05:56 +0000Tribune de Noémie, membre de La Quadrature du Net.

    Nous traversons une crise inédite tant par rapport à son origine, une pandémie mondiale, qu’à ses conséquences, une paralysie mondiale. En France, le gouvernement y a répondu en déclarant l’état d’urgence sanitaire, une notion créée pour l’occasion. Dedans, il y a « état d’urgence ». Et pourtant, la gravité qui accompagne d’ordinaire ce terme semble résonner dans le vide.

    L’état d’urgence c’est un état d’exception, un espace où l’ordre juridique construit depuis des dizaines d’années est écarté pour laisser la priorité à l’efficacité, une séquence où les gouvernants s’arrogent de nouveaux pouvoirs dérogatoires sans aucun contrôle. Un moment dangereux pour les libertés, alimenté par la peur.

    Alors qu’on devrait redoubler de vigilance envers l’action de l’État, que des garde-fous devraient être mis en place, que la critique devrait être partout, une grande partie d’entre nous baissons la garde. Serait-ce l’adjectif « sanitaire » accolé à l’état d’urgence qui fait diversion ? Ou plutôt une stratégie d’opportunité du gouvernement ? Tentons une explication.

    L’urgence invisible

    Il faut déjà se souvenir que la France a été en état d’urgence de 2015 à 2017, de quoi accoutumer la population à ce concept et le vider de sa signification, aussi bien en théorie qu’en pratique. Avec l’état d’urgence permanent, le message transmis est que le danger n’est plus exceptionnel, il est constant, il est partout. C’est cette justification qui a été utilisée pour transposer ces mesures soit disant « exceptionnelles » dans la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » (ou loi « SILT »).

    Mais ce n’est sûrement pas l’unique raison de cette difficile prise de conscience. En 2015, les évènements tragiques du 13 novembre ont constitué le point de départ de l’état d’urgence, dont la mise en place était censée répondre rapidement aux maux l’ayant causé.

    Aujourd’hui la temporalité semble différente. Le gouvernement n’a pas attendu l’état d’urgence pour prendre la mesure exceptionnelle et inédite que constitue le confinement. Cette fois-ci, il existe bien un évènement traumatisant qui justifierait l’exception, mais il n’est pas derrière nous. Il est devant.

    Qu’attendons-nous exactement ? La fin de l’épidémie ? La fin du confinement ? D’être malade à notre tour ? Et qu’entendons-nous par « crise » sanitaire ? Le nombre de décès ? De malades ? L’aspect inédit du virus ? Les retombées économiques et sociales pour la France ?

    On le voit, les circonstances justifiant l’état d’urgence sont autour de nous mais demeurent impalpables, difficiles à circonscrire, et les évènements auxquels il prétend répondre s’inscrivent dans une chronologie mouvante. En réponse, toutes les mesures d’exception qui seront prises dans le cadre de cet état d’urgence auront pour but de limiter un phénomène dont les contours ne sont pas réellement tracés, le tout couplé à un rythme effréné, comme une course contre la montre face à une menace invisible.

    Nous l’attendons et dans cette attente cumulée à la peur, les critiques provenant des militant·es, citoyen·nes ou politiques sont alors inaudibles ou bien rendues illégitimes.

    Cette absence de contours de ce que nous somme censés « combattre » pourrait être une explication à pourquoi ce nouvel état d’urgence échappe à une majorité de la population, à pourquoi les nouvelles mesures liberticides que nous subissons peuvent tant se confondre avec un quotidien déjà exceptionnel où nos libertés de déplacement sont contrôlées. Mais surtout, cela donne au gouvernement un blanc-seing afin de prendre des mesures aux contours tout aussi flous, dès lors qu’elles seront prises au nom de la lutte contre la pandémie. Et lorsque le gouvernement prend un nombre record d’ordonnances en l’espace de quelques jours, il nous fait plutôt regarder des courbes et des chiffres. Cela relève moins du hasard que de la stratégie.

    La diversion des chiffres

    En 2015, les militaires Sentinelles qui tournaient dans les rues étaient censés rassurer les citoyens face à la menace terroriste, sans pour autant que leur efficacité concrète en cas d’attaque soit réellement avérée. Cette illusion servait surtout à nous rappeler que nous devions avoir peur et ainsi l’état d’urgence pouvait passer pour légitime. Aujourd’hui, ce sont les chiffres qui jouent ce rôle. De malades, de décès, de cas, de probabilité, de seuil, ils sont là pour informer en permanence sur les raisons de cet état d’exception, tenter de nous rassurer (mais est-ce vraiment rassurant ?) tout en nous faisant suffisamment peur pour que l’état d’urgence suive son cours sans heurt ni critiques. Mais sont-ils réellement utiles ?

    En réalité, les chiffres apparaissent comme le seul outil permettant de donner un corps à ce phénomène invisible. Les chiffres deviennent ainsi le seul levier pour le gouvernement, avec la police (dont les dérives et violences habituelles sont d’autant plus visibles quand on lui donne un joujou de plus pour être arbitraire) pour maîtriser la situation, ou plutôt, de prétendre la maîtriser. Toute forme de données, de statistiques lui sont utiles pour sa communication, pour le rapport de force.

    On nous martèle alors que les producteurs de données c’est nous, nos comportements, nos téléphones, nos déplacements. La tendance actuelle présente la collecte de nos données comme le recours ultime contre la pandémie, alors que leur efficacité n’est en rien certaine. Cette volonté de nous identifier comme des acteurs potentiels de cette crise, alors que nous sommes les sujets qui en subissent les mesures liberticides, est une pure fiction.

    En quoi les statistiques seront-elles plus efficaces que les médecins, les infirmier·es., les aide-soignant·es, les étudiant·es, les ambulancier·es qui s’épuisent, jour et nuit, à sauver les personnes infectées ? En quoi le fait de se géolocaliser résoudra-t-il la pénurie de masques, de tests et de médicaments ? Pourquoi une application nous sauverait-elle plus que la solidarité humaine et les mesures de confinement ?

    Les mesures de surveillance, via nos usages des technologies, que suggèrent nos gouvernants relèvent en réalité d’une stratégie pour détourner notre attention de la cause réelle du problème que constitue l’abandon de l’hôpital public. Ils tablent sur la culpabilisation des citoyens désireux d’agir pour faire adopter des outils toujours plus intrusifs et évitent soigneusement de mettre en lumière les multiples réseaux de solidarité qui se forment, les besoins criants des associations pour aider les plus précaires, les multiples critiques de notre mode de vie qui émergent même des plus libéraux. Plutôt que d’assumer les conséquences désastreuses d’une politique de santé défaillante, leur diversion consiste à inverser les rôles, à nous faire passer, nous, pour ceux qui refuseront d’aider les autres. Comme si nous devions être coupable de vouloir protéger notre vie privée, d’exprimer notre colère, ou simplement de suggérer des alternatives.

    Une fois ces manœuvres identifiées, il appartient à chacun de percevoir cette crise selon son propre prisme, de décider de sa propre manière d’agir ou d’aider. Nous la vivons toutes et tous de manière différente et la solidarité n’impose pas de se ranger derrière la seule action de l’État comme il le laisse entendre. Au contraire, les expériences que nous traversons sont inquantifiables et multiples, souvent difficiles, mais probablement très fortes dans ce qu’elles font de notre rapport aux autres et à la société, une richesse qu’il nous faudra cultiver une fois ce moment douloureux passé.

    ]]>
    Covid-19 : l’attaque des droneshttps://www.laquadrature.net/?p=15692http://streisand.me.thican.net/laquadrature.net/index.php?20200401_174503_Covid-19____l___attaque_des_dronesWed, 01 Apr 2020 15:45:03 +0000À l’heure de la crise sanitaire, la France bascule dans un État policier. Et c’est l’occasion pour les forces de sécurité de déployer massivement leurs derniers gadgets sécuritaires. À travers le pays, la police déploie des drones pour contrôler l’application du confinement. Non seulement pour diffuser par haut-parleurs les directives du gouvernement, mais aussi pour surveiller la population, en orientant les patrouilles au sol et même en filmant celles et ceux qui leur échapperaient pour mieux les sanctionner après.

    Ce déploiement inédit ressemble à une gigantesque opération de communication des autorités, qui mettent ainsi en avant leur arsenal technologique. Cette crise est instrumentalisée pour banaliser l’utilisation d’un outil de surveillance pourtant extrêmement attentatoire à nos libertés. Et le tout dans un cadre juridique flou, voire inexistant. L’État profite ainsi de l’état de sidération pour imposer ses technologies policières.

    Christophe Castaner a la mémoire courte. C’est sans doute la raison pour laquelle il n’a pas hésité, la semaine dernière, à expliquer que, si le gouvernement français s’était pour l’heure abstenu de se livrer à une surenchère en matière de surveillance numérique au cours de cette crise sanitaire, c’était parce que le traçage des données « n’est pas dans la culture française ». Oubliés les bons et loyaux services de l’opérateur télécom Orange qui propose de surveiller illégalement ses abonnés pour le compte des autorités ? Oubliés aussi, les programmes de surveillance massifs des services de renseignement français ? Oubliés, le fichier TAJ ou les ventes d’armes numériques aux dictatures ?

    Si, pour l’heure, le « traçage numérique » n’est pas la priorité du gouvernement pour lutter contre l’épidémie, reste le flicage tout court. Et dans cette matière, le ministère de l’Intérieur nous fait ces jours-ci une démonstration magistrale de son savoir-faire, n’hésitant pas à étaler ses dernières technologies sécuritaires. Il y a encore quelques semaines, les vidéos de drones qui survolaient des villes en Chine afin de faire respecter les consignes de gouvernement provoquaient en France incrédulité et inquiétude concernant les dangers de ce nouvel « arsenal technologique » pour les « libertés individuelles ». D’aucuns étaient tenté d’y voir une spécificité chinoise, le signe d’un État autoritaire. Moins de deux mois plus tard, tandis que chaque sortie de nos domiciles est conditionnée à une déclaration préalable, que nos déplacements font l’objet de contrôles systématiques, la police française déploie à son tour ces mêmes engins sur tout le territoire.

    Il ne s’agit pourtant pas d’un outil anodin : robo-militarisation de l’espace public et aérien, pollution sonore, coût énergétique, danger pour les biens et personnes en cas de défaillance, accès non autorisé aux espaces privés, l’usage policier des drones démultiplie la surveillance.

    Tour de France du déploiement des drones et de leurs usages

    De rapides recherches donnent pourtant à voir plus d’une quinzaine d’exemples où les drones sont utilisés pour imposer le confinement décidé par le gouvernement et intimider la population. Et il ne s’agit pas seulement d’y brancher un haut-parleur pour diffuser les consignes des autorités, mais bien, à l’aide des caméras, de surveiller la population, de repérer les attroupements, de mieux verbaliser les contrevenants, d’orienter les patrouilles au sol et même, dans certains cas, de filmer les personnes échappant à la police pour mieux les sanctionner après. Petit tour de France de ce déploiement inédit :

    A Paris, la préfecture a déployé plusieurs drones pour diffuser des messages incitant au confinement, le tout au sein d’un « dispositif complet de surveillance et de contrôle de l’espace public dans le cadre des mesures de confinement destinées à protéger la population de la transmission du coronavirus » ;

    A Ajaccio, la police survole les plages avec un drone pour « prévenir, voire même verbaliser, ceux qui avaient oublié les consignes de confinement » ;

    A Nice, un drone « muni d’une caméra et d’un haut-parleur accompagne (…) des patrouilles de la Police nationale » et devrait bientôt être déployé à Cannes ;

    En Haute-Garonne, les gendarmes (…) | « peuvent désormais utiliser un drone pour s’assurer que les règles de confinement sont respectées par tous ». La gendarmerie « basée à Muret a pu contrôler 75 personnes et réaliser 10 procès-verbaux en trois opérations avec ce drone équipée d’une caméra avec zoom dont l’image est envoyée sur une tablette » ;

    En Moselle-Sud, les drones permettent « de couvrir une zone étendue en quelques minutes et de pouvoir contrôler des endroits difficiles d’accès »

    A Metz, c’est avec un drone que « les policiers du commissariat de Metz ont repéré les contrevenants qui ont, ensuite, été verbalisés ;

    A Limoges, un drone a été prêté à titre gracieux à la police par les pompiers « afin de surveiller que les mesures de confinement sont respectées ». Ce drone leur « permet effectivement de voir si les gens respectent bien le confinement, s’ils respectent aussi l’espace entre eux (…) de concentrer les patrouilles et les contrôles dans les endroits où il y a des attroupements injustifiés » ;

    A Nantes, la police utilise un drone avec caméra et haut-parleur « pour détecter d’éventuels contrevenants » et « faire une capture d’image si un individu venait par exemple à prendre la fuite » ;

    A Montpellier, les drones servent « à faire des reconnaissances dans les quartiers sensibles à Montpellier où des délinquants ne respectent pas le confinement », leur but étant de « d’opérer une reconnaissance pour savoir si on a des points de fixation aux abords de certaines cités sensibles pour éviter des embuscades et envoyer les moyens adéquats » ;

    A Rennes, où un droneavec caméra « informe, par radio, de la position des contrevenants au confinement à ses collègues patrouillant» ;

    Dans le Grand Est, où un drone avec haut-parleur et caméra est utilisé pour faire respecter le confinement, et où la région dit disposer de « 18 drones de gendarmerie opérés par 30 télépilotes [qui] seront mis à contribution en fin de semaine ».

    Et la liste s’allonge de jour en jour : dans le Val-d’Oise ou les Côtes-d’Armor, avec haut-parleur et caméra pour orienter les patrouilles, mais aussi à Marseille, Amiens, Lille, Granville, Saint-Malo…. Et un tel déploiement n’est évidemment pas exclusif à la France – il a malheureusement lieu en ce moment partout en Europe (c’est le cas au Royaume-Uni, en Espagne, au Portugal…).

    Démultiplication des pouvoirs de la police

    C’est un déploiement massif, d’une ampleur inédite, qui décuple le pouvoir de surveillance et de sanction de la police. L’autre conséquence est évidemment la banalisation et la normalisation d’un tel outil, déjà largement utilisé pour la surveillance des migrants et des manifestations. Une banalisation qui pousse chaque personne à s’habituer au survol des espaces publics par des machines. Les agents de police, quant à eux, découvrent un nouveau gadget dans leur arsenal et l’expérimentent comme bon leur semble. Un outil qui, pour les industries du secteur, n’a aujourd’hui plus rien d’ « exotique ».

    Car les industriels de la sécurité ne sont évidemment jamais bien loin. Comme pour tout dispositif technopolicier, les autorités délèguent et confient une partie de leur pouvoir de police à des sociétés privés. À Nice, c’est en effet une start-up locale, « Drone 06 » qui fait patrouiller ses drones pour la police (en promettant de ne pas filmer elle-même). Et à Paris, c’est l’entreprise Flying Eye qui loue ses machines à la préfecture de police à travers un accord-cadre, son dirigeant indiquant même qu’il reçoit en ce moment « toutes les deux heures un appel pour me commander du matériel ». Alors que les services de santé sont exsangues, la police et ses partenaires privés profitent de la crise pour multiplier les investissements dans ce coûteux matériel.

    Vide juridique

    Il n’existe aujourd’hui aucun cadre juridique spécifique pour l’utilisation des drones par la police. Cela avait déjà été souligné en 2015, réaffirmé depuis, et c’est encore et toujours le cas aujourd’hui. En réalité, le seul cadre existant semble constitué de deux arrêtés du 17 décembre 2015, l’un portant sur les normes de conception des drones, et l’autre sur leur utilisation. Les règles fixées par ces deux arrêtés (autorisation préalable, hauteur de vol…) concernent aussi bien les drones à usage civil que ceux de la police. Néanmoins, l’arrêté sur l’utilisation des drones permet, pour des activités de police, de déroger totalement aux règles édictées : « Les aéronefs qui circulent sans personne à bord appartenant à l’État, affrétés ou loués par lui et utilisés dans le cadre de missions de secours, de sauvetage, de douane, de police ou de sécurité civile peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission et les exigences de l’ordre et de la sécurité publics le justifient »

    Pour résumer, il suffit donc à la police de considérer que sa mission d’ « ordre » et de « sécurité publique » le justifie, pour ne respecter aucune règle quant à l’utilisation de drones dans l’espace public1Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police..

    C’est d’autant plus étonnant que le code de la sécurité intérieure prévoit des dispositions spécifiques pour la vidéosurveillance (« vidéoprotection » dans la novlangue d’État) mais également pour les caméras-piétons. L’encadrement de ces dernières avait d’ailleurs fait suite à la pression de la Cnil, en 2015, qui avait considéré, qu’au vu des nouveaux dangers que posaient les caméras-piétons pour la vie privée, « un encadrement légal, spécifique et adapté à de tels dispositifs, est nécessaire ». Aucun appel semblable n’a été fait pour les drones. En l’état du droit, ces déploiements dignes d’un État policier sont tout simplement inadmissibles.

    À La Quadrature, nous serions évidemment enclins à attaquer en justice ces déploiements pour y mettre un coup d’arrêt. Mais un tel flou juridique rend plus difficile tout contentieux. Il nous est ainsi très difficile de trouver des autorisations, arrêtés ou autres actes administratifs autorisant ces déploiements, et que nous pourrions contester devant les juridictions (or, faute de tels actes, nos recours sont voués à l’échec)2Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.. D’ailleurs, si vous en trouvez, n’hésitez pas à nous le signaler sur le forum de notre campagne Technopolice.

    References   [ + ]

    1. Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police.
    2. Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.
    ]]>
    Orange recycle son service de géolocalisation pour la pandémiehttps://www.laquadrature.net/?p=15671http://streisand.me.thican.net/laquadrature.net/index.php?20200328_114300_Orange_recycle_son_service_de_geolocalisation_pour_la_pandemieSat, 28 Mar 2020 10:43:00 +0000Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au fil la journée). La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

    Flux Vision

    En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance, chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identifier chaque personne, mais elles sont réalisées de façon plus ou moins légale.

    Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion1Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées..

    La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement. Pour des raisons encore obscures2Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes direc