Autoblog de la La quadrature du nethttp://www.laquadrature.net/http://www.laquadrature.net/ Drones en manifestation : La Quadrature contre-attaquehttps://www.laquadrature.net/?p=16307http://streisand.me.thican.net/laquadrature.net/index.php?20201026_120640_Drones_en_manifestation____La_Quadrature_contre-attaqueMon, 26 Oct 2020 11:06:40 +0000Nous venons de déposer un nouveau recours devant le tribunal administratif de Paris, en urgence, pour que la préfecture de police cesse sa surveillance par drones des manifestations. Alors que le Conseil d’État était clair en mai dernier et déclarait illégale l’utilisation des drones par la police parisienne, celle-ci fait depuis mine de ne rien voir et continue aujourd’hui de déployer, à chaque manifestation, son arsenal de surveillance par drones. Il est temps d’y mettre fin, à nouveau.

En mai dernier, le Conseil d’État donnait raison à La Quadrature du Net en estimant que la surveillance par drones est interdite pour faire respecter les mesures restrictives du confinement. Bien au-delà de cas particuliers, ce sont des principes forts, s’appuyant sur un raisonnement général en matière de droit à la vie privée et de droit à la protection des données personnelles, qui ont été dégagés. Le Conseil d’État a ainsi estimé que l’usage de drones porte une atteinte particulière aux droits et libertés et que, en l’absence d’encadrement réglementaire, leur usage reste interdit.

Cette décision de justice n’a nullement gêné la préfecture de police. Grâce à votre aide précieuse, nous avons pu documenter l’usage policier actuel des drones pour surveiller les manifestations parisiennes tout au long de ces derniers mois et présenter photos et vidéos qui attestent que la police nationale et la gendarmerie utilisent de manière systématique les drones pour surveiller les manifestations.

Pourtant, la surveillance des manifestations est d’autant plus grave qu’il s’agit de moments d’expressions politiques. Comme nous l’analysions en 2019, la surveillance des manifestant·es à l’aide de technologies de reconnaissance faciale est également aujourd’hui déjà possible, depuis 2012. Le gouvernement, par la voix du ministre de l’intérieur Gérald Darmanin, ne se cache d’ailleurs pas que l’objectif de ces drones n’est pas seulement le maintien de l’ordre, mais bel et bien, in fine, d’identifier les personnes qui manifestent. Et le récent « Schéma national du maintien de l’ordre » ne fait que le confirmer.

Notre premier recours contre les drones avait été rendu possible grâce à un article de Mediapart dans lequel la préfecture de police détaillait fièrement son usage des drones. Depuis, cette dernière refuse systématiquement de répondre aux journalistes. Ce silence en dit long sur le malaise du côté de la police qui sait que son activité de surveillance est aujourd’hui purement illégale.

Il est important de relever un autre silence : celui de la CNIL. L’autorité affirmait pourtant en mai, pour sauver les apparences, s’intéresser à la question des drones alors que le Conseil d’État constatait déjà leur illégalité. Aujourd’hui, plus de cinq mois après ce commentaire, rien ne semble bouger du côté de l’autorité chargée de faire respecter le droit en matière de vie privée…

En parallèle, la détermination politique de renforcer le pouvoir de la police est plus que jamais présente : la récente proposition de loi « relative à la sécurité globale » prévoit déjà d’autoriser, de façon extrêmement large, les drones pour surveiller les manifestations et identifier les manifestant·es. Nous reviendrons dessus bientôt, mais espérons déjà qu’une nouvelle victoire devant les juges permettra de freiner le blanc-seing que le groupe LREM à l’Assemblée nationale veut donner à la police, et mettra fin à l’utilisation de ce dispositif de surveillance de masse.

]]>
Menace de dissolution du CCIF : une inacceptable atteinte aux libertés associatives et à l’égalité des droitshttps://www.laquadrature.net/?p=16286http://streisand.me.thican.net/laquadrature.net/index.php?20201021_120518_Menace_de_dissolution_du_CCIF____une_inacceptable_atteinte_aux_libertes_associatives_et_a_l___egalite_des_droitsWed, 21 Oct 2020 10:05:18 +0000Dès 2015, La Quadrature du Net a eu l’occasion de travailler avec une poignée d’associations militantes, dont le CCIF, contre l’État d’urgence et ses nombreuses dérives. Elle signe aujourd’hui cet appel, rappelant le danger que fait peser sur les libertés – dans l’espace numériques et au-delà – la dissolution arbitraire d’organisations de la société civile.


Associations, collectifs, avocat·es, universitaires et membres de la société civile, signataires de ce texte, bouleversé.e.s et choqué.e.s par l’assassinat de Samuel Paty, expriment leur consternation et leur colère à la suite des déclarations du ministre de l’Intérieur, M. Gérald Darmanin, annonçant la volonté du gouvernement de dissoudre plusieurs associations, dont le Collectif Contre l’Islamophobie en France – CCIF, une structure avec laquelle nous collaborons régulièrement.

La contribution du CCIF au débat public sur la question des discriminations est incontestable. Le racisme et la stigmatisation des personnes musulmanes, ou considérées comme telles, est une réalité en France depuis des décennies. S’attaquer à une association de défense des droits de la minorité musulmane met en péril un combat plus que jamais nécessaire dans une société à la cohésion sociale fragilisée.

Le CCIF participe aux démarches inter-associatives de défense et de promotion des libertés et droit fondamentaux, comme c’est le cas dans le cadre du réseau « Anti-terrorisme, droits et libertés » dont il est membre ainsi que plusieurs signataires de ce texte. Le CCIF s’est également associé à plusieurs initiatives de la société civile mettant en garde contre les dérives de la mise en œuvre de l’état d’urgence sanitaire. Tout aussi légitime et essentielle est l’action que ce collectif mène au plan judiciaire pour lutter contre la banalisation des discours d’incitation à la haine raciale dans le débat public.
La dissolution administrative des associations par décret en Conseil des ministres, mesure qui existe en droit français depuis 1936, ne peut intervenir que lorsque de strictes conditions sont remplies, des conditions que le CCIF ne remplit pas. Sa dissolution s’apparenterait à une attaque politique contre une association dont l’action est essentiellement centrée autour de la lutte contre le racisme subi au quotidien par les musulman-es. L’action du CCIF dérange parce qu’elle révèle, ici et là, la manière dont notre société discrimine les personnes musulmanes. En cela, l’action du CCIF rejoint celle de toutes les associations de lutte contre les discriminations (origine, handicap, genre, orientation sexuelle, pauvreté…) dont l’action tend fatalement à remettre en cause les structures, règles et dispositifs majoritaires à raison des inégalités qu’ils créent.

La stratégie de stigmatisation choisie par le ministre de l’Intérieur est dangereuse puisqu’elle vise des personnes et des associations en raison de leur appartenance religieuse, réelle ou supposée, alors qu’elles n’ont aucun lien avec le terrorisme ou les discours haineux. Cette posture autoritaire bat en brèche des principes essentiels de l’État de droit, qui protègent contre les accusations collectives, les procédures abusives et non fondées sur des faits précis.

La dissolution arbitraire d’associations n’est une manière ni juste, ni efficace de défendre la liberté d’expression ou la sécurité collective. Seuls les fanatiques religieux et l’extrême droite ont quelque chose à gagner à cette dissolution ; l’État de droit a tout à y perdre.

Nous demandons au gouvernement de renoncer à la dissolution du CCIF, de respecter la liberté d’association et la liberté d’expression, inscrites dans la Constitution de notre République.

Signataires :

Associations : Action Droits des musulmans*, APPUII, Collectif « Les citoyens en alerte », La Quadrature du Net*, REAJI, Tous Migrants, VoxPublic*

Avocat.es : Me Asif Arif, Me Nabil Boudi*, Me Emmanuel Daoud*, Me Adelaïde Jacquin*, Me Jérôme Karsenti*, Me Raphaël Kempf*, Me Myriame Matari, Me Lucie Simon*, Me Stephen Suffern, Me Flor Tercero*

Universitaires : Marie-Laure Basilien-Gainche (Univ. Jean Moulin Lyon 3, membre honoraire de l’Institut Universitaire de France)*, Vanessa Codaccioni (Univ. Paris 8)*, Stéphanie Hennette-Vauchez (Univ. Paris Nanterre)*, Olga Mamoudy (Univ. Valenciennes)*, Sébastien Milleville (Univ. Grenoble-Alpes) Stéphanie Renard (Univ. Bretagne Sud), Julien Talpin (CNRS)

* = membres du Réseau antiterrorisme, droits et libertés.

]]>
Dossier : Faire d’Internet un monde meilleurhttps://www.laquadrature.net/?p=16240http://streisand.me.thican.net/laquadrature.net/index.php?20201018_100014_Dossier____Faire_d___Internet_un_monde_meilleurSun, 18 Oct 2020 08:00:14 +0000L’an dernier, l’association Ritimo a proposé à La Quadrature du Net de rédiger un dossier de fond sur un sujet de notre choix. Le dossier complet est déjà disponible sur le site de Ritimo. De notre côté, nous allons publier progressivement chacun des articles du dossier dans les semaines à venir. On commence ici avec l’introduction.

Au commencement, Internet était un espace d’expérimentation sans chef, nous étions libres de nous déplacer, de nous exprimer, d’inventer et de créer. Dans les années 2000, la sphère marchande s’est mise à y prendre de plus en plus de place. La publicité s’y est développée et s’est présentée comme un moyen de financer des services en ligne. Grâce aux données sur les utilisateurs de ces services, les méthodes de ciblage publicitaire ont évolué et ont séduit de plus en plus d’annonceurs. Ce nouveau marché de la publicité en ligne était bien trop obnubilé par sa rentabilité pour se préoccuper des droits des personnes vivant derrière ces données.

Dans le même temps, Internet restait un espace d’expression et prenait de plus en plus de place dans la société. Les États se sont inquiétés de cet espace grandissant sur lequel ils n’exerçaient pas un contrôle assez fort et ont commencé à chercher à mettre en place des mesures pour surveiller et réguler Internet. Lutte contre le partage d’œuvres couvertes par le droit d’auteur, lutte contre le terrorisme, la pédopornographie, les fausses informations, la « haine »… Tout est devenu prétexte à surveiller et à censurer ce qui circule sur Internet. Finalement, les technologies qui semblaient si émancipatrices à leurs débuts se sont trouvées être un parfait allié de la surveillance d’État. L’apprentissage statistique, cette méthode utilisée par l’industrie publicitaire consistant à rassembler de très grandes quantités de données pour établir des corrélations et cibler les personnes susceptibles d’être réceptives à une publicité, devient un outil fabuleux pour repérer des comportements inhabituels dans une foule, par exemple.

C’est ainsi que pour des motivations bien différentes, les États et les grosses entreprises du numérique ont trouvé dans les technologies développées ces vingt dernières années les leviers nécessaires pour augmenter leur emprise sur leurs citoyens ou leurs clients.

Le présent dossier proposé par La Quadrature du Net s’intéresse dans un premier temps aux mécanismes qui motivent les États et les entreprises à surveiller, censurer, voire manipuler la population. Les premiers articles détaillent l’impact de ces réductions de libertés, sur la société et sur les personnes, d’un point de vue politique et philosophique. Ils décrivent la mise en silo de la société à différents niveaux : de l’enfermement imposé par les géants du numérique à la stérilisation de nos rues et espaces publics imposée par l’accroissement de la surveillance.

Pour lutter contre cette mise sous surveillance de nos vies, La Quadrature entend remettre en question les réflexes de solutionnisme technologique vers lesquels les décideurs politiques tendent de plus en plus sans réflexions préalables. Pour construire un Internet plus respectueux des libertés, La Quadrature développe des alternatives politiques et présente les initiatives existantes. Construire cet Internet libre et émancipateur demande de remettre en question certains principes qui ont été imposés par les géants du web : des espaces clos, des règles pour limiter et contrôler le partage de la connaissance et de la création, etc.

C’est à ces perspectives optimistes qu’est consacrée la deuxième partie de ce dossier. Elle se veut aussi être un appel à imaginer cet « autre monde »…

]]>
Le Sénat autorise Darmanin à nous surveiller en violation du droit européenhttps://www.laquadrature.net/?p=16262http://streisand.me.thican.net/laquadrature.net/index.php?20201015_122803_Le_Senat_autorise_Darmanin_a_nous_surveiller_en_violation_du_droit_europeenThu, 15 Oct 2020 10:28:03 +0000Hier, sur demande du ministère de l’Intérieur, le Sénat a autorisé les services de renseignement à conserver leurs « boites noires », alors même que ces dispositifs venaient d’être dénoncés par la Cour de justice de l’Union européenne.

Introduites par la loi de renseignement de 2015, les « boites noires » sont des dispositifs analysant de façon automatisée l’ensemble des communications circulant sur un point du réseau de télécommunications afin, soi-disant, de « révéler des menaces terroristes ». Cette surveillance de masse n’avait été initialement permise qu’à titre expérimental jusqu’à la fin de l’année 2018. Cette expérimentation avait été prolongée jusqu’à la fin de l’année 2020 par la loi antiterroriste de 2017.

Voyant la fin d’année arriver, le ministère de l’Intérieur a souhaité prolonger ses pouvoirs d’encore un an, par un projet de loi déposé le 17 juin dernier et que nous dénoncions déjà (le texte prolonge aussi les mesures de l’état d’urgence intégrées dans le droit commun par la loi SILT de 2017). Le 21 juillet, l’Assemblée nationale a adopté le projet de loi, et c’était au tour du Sénat de se prononcer.

Le 6 octobre, entre temps, un évènement majeur est intervenu et aurait dû entrainer la disparition immédiate de ce texte. La Cour de justice de l’Union européenne s’est prononcée sur la loi renseignement et nous a donné raison sur de nombreux points, notamment sur les boites noires.

La Cour a constaté que, en droit français, une « telle analyse automatisée s’applique de manière globale à l’ensemble des personnes faisant usage des moyens de communications électroniques » et que « les données faisant l’objet de l’analyse automatisée sont susceptibles de révéler la nature des informations consultées en ligne » (le gouvernement ayant avoué au cours de l’instruction que les boites noires analysent l’URL des sites visités). D’après la Cour, cette « ingérence particulièrement grave » ne saurait être admise qu’à titre exceptionnel « face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », « pendant une période strictement limitée ». Enfin, les boites noires doivent faire « l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant ».

Les exigences de la Cour sont beaucoup moins strictes que celles que nous espérions obtenir en allant devant elle – nous voulions l’interdiction pure et simple de toute surveillance de masse. Il n’empêche que ses exigences sont bien plus strictes que celles du droit français. L’article L851-3 du code de la sécurité intérieure autorise les boites noires de façon générale et par principe, sans être conditionnée à la moindre « menace réelle et actuelle » – menace qu’on ne saurait identifier aujourd’hui, d’ailleurs. Le droit français n’encadre ces mesures dans aucune « période strictement limitée » mais les autorise au contraire depuis cinq ans de façon ininterrompue. Enfin, le contrôle des boites noires a été confié à la CNCTR qui, en droit, n’a aucun pouvoir contraignant.

Le droit français viole clairement le droit européen. La Cour de justice l’a déclaré sans ambigüité. En réaction, les sénateurs auraient dû refuser immédiatement et automatiquement la prolongation demandée par le ministère de l’intérieur. Ses boites noires sont illégales et, s’il tient vraiment à les maintenir, il n’a qu’à corriger sa loi.

Qu’ont fait les sénateurs ? Ils ont prolongé les boites noires pour une année entière au lieu des sept mois votés par l’Assemblée (sur les dispositifs de la loi SILT, les sénateurs ont carrément décidé de les pérenniser sans débat). Sinon, rien. Les pleins pouvoirs ont été reconduits dans les mains de Darmanin. Tant pis pour l’État de droit.

Le texte, examiné en lecture accélérée, va maintenant passer en commission mixte paritaire où l’Assemblée et le Sénat chercheront un compromis – qui ne s’annonce pas vraiment en faveur de nos libertés. Ensuite, tel que le ministre de l’intérieur l’a rappelé au Sénat, il proposera bientôt une nouvelle loi renseignement qui, entre autres choses, entend bien autoriser de façon pérenne les boites noires. La bataille sera ardue : commençons-la dès maintenant.

]]>
« S’opposer à la 5G pour dire notre refus de l’informatique dominante »https://www.laquadrature.net/?p=16199http://streisand.me.thican.net/laquadrature.net/index.php?20201010_110010_____S___opposer_a_la_5G_pour_dire_notre_refus_de_l___informatique_dominante____Sat, 10 Oct 2020 09:00:10 +0000Tandis que La Quadrature du Net vient de publier sa position commune sur la 5G, nous entamons la publication d’une série de points de vue plus personnels. Suite à sa participation à une journée d’action anti-5G le 19 septembre dernier, Félix Tréguer, membre du collectif, a réagi aux critiques qui s’étaient fait jour sur notre liste de discussion. Nous publions ici une version légèrement remaniée de ce texte partagé le le 24 septembre dernier.

Ma participation comme représentant de La Quadrature du Net à une journée de mobilisation contre la 5G à Lyon, samedi 19 septembre, a suscité des réactions nombreuses et pour le moins contrastées.

Parmi elles, des réactions assez hostiles, rageuses ou moqueuses, qui ont fait suite aux quelques éléments partagés sur les réseaux sociaux pour expliquer le sens ma participation. En prenant part à une table ronde et à un atelier organisés dans le cadre de cette journée, j’aurais donné – et La Quadrature du Net à travers moi – du crédit aux « obscurantistes », « dingos anti-ondes » et autres adeptes de la « fake science ». Or, s’il est vrai qu’on trouvait des textes relevant clairement de la désinformation scientifique sur certains des sites associés à cette journée, il serait trompeur et dangereux de la réduire à cela.

L’événement était organisé par plusieurs collectifs locaux (anti-5G, anti-Linky, anti-surinformatisation, écologistes) et couvrait les trois grandes catégories de critiques adressées à la 5G : aspects sanitaires, coût écologique et celle dont on parle beaucoup moins et pour laquelle nous étions justement invités, à savoir l’accentuation de la surveillance numérique. L’invitation à y intervenir m’a été faite par des gens du collectif stéphanois « Halte au contrôle numérique » qui ont pris une part active dans l’organisation de cette journée.

Nous nous sommes rencontrés l’hiver dernier dans le cadre d’une conférence organisée à Saint Étienne où j’étais venu parler de notre campagne Technopolice. Au sein de La Quadrature, on était plusieurs à avoir auparavant pu échanger avec des membres du collectif, et nous étions vraiment enthousiastes quant à leurs actions de terrain : chiffro-fêtes, projections et débats publics autours de documentaires, déambulations festives contre l’« atelier Google », travail d’information et de résistance au projet de capteurs sonores « intelligents » dans un quartier populaire du centre-ville de Saint Étienne, happening contre la réunion organisée (finalement annulée) par le député Jean-Michel Mis sur la reconnaissance faciale (où les participants étaient venus affublés d’un masque à son effigie). Bref, des militants aux parcours divers qui inventent des choses ensemble et obtiennent de belles victoires, et en qui l’on a spontanément confiance.

Alors certes, il y a dans la mouvance anti-Linky/anti-5G, des gens peu crédibles, en particulier parmi celles et ceux qui se mobilisent autour des risques associés aux champs électro-magnétiques (les « anti-ondes »). C’est regrettable, mais c’est un peu le problème inhérents aux espaces horizontaux dans des collectifs militants qui tâchent de s’ouvrir – un point de faiblesse classique des mouvements décentralisés comme l’est la mouvance anti-Linky (un autre exemple serait celui des Gilets Jaunes). Peut-on pour autant caricaturer l’ensemble du mouvement, voire même sa seule composante « anti-ondes », en le réduisant à ces gens-là ? Je ne crois pas.

Quand j’ai discuté de ma participation avec les autres membres de La Quadrature, le risque de s’associer à des groupes récusant les règles de la controverse scientifique et du débat de société a tout de suite été identifié. Mon avis, c’était qu’il fallait refuser cette caricature du mouvement dans son ensemble. Je trouvais vraiment dommage que, à quelques jours du lancement de la vente aux enchères des fréquences 5G, on s’interdise – au nom de la pureté militante et par peur des raccourcis, au prétexte qu’une des franges du mouvement serait « infréquentable » – d’exprimer notre solidarité. Alors même qu’on tombait d’accord au sein de La Quadrature sur la nécessité de nourrir nous aussi une critique de la 5G, je pensais qu’à partir de notre point de vue spécifique, nous pouvions revendiquer un objectif commun au sein d’une coalition ouverte et par nature hétérogène.

D’ailleurs, des alliances hétérogènes, La Quadrature en fait très régulièrement avec d’autres ONG inscrites dans notre champ, des partis politiques, des entreprises : on signe des lettres ouvertes écrites par d’autres malgré des nuances qui nous semblent parfois manquer, on assiste à des événements organisés par des gens que l’on n’apprécie guère, en rappelant souvent que notre participation ne vaut pas soutien (et avec comme ligne rouge de ne jamais laisser le moindre doute quant au fait que nous sommes un collectif anti-raciste, anti-sexiste, anti-homophobie, anti-transphobie, anti-fasciste…). Après tout, les âneries pseudo-scientifiques et les mensonges, on en entend également plein dans la bouche des promoteurs très en vue de la 5G sans que ça n’émeuve grand monde, et il y a là un regrettable deux poids, deux mesures.

Je ne veux vraiment pas m’attarder sur ce sujet, mais je trouve aussi qu’il y a quelque chose d’assez malsain dans l’agressivité opposée aux « anti-ondes ». Quand l’ANSES estime à 5% la part de personnes électro-sensibles, et quand bien même les scientifiques n’arrivent pas à établir de lien probant entre les ondes présentes dans notre environnement quotidien et ces symptômes, on ne peut pas, à mon sens, se moquer de la posture anti-ondes comme si « La Science » avait tranché ce débat une fois pour toutes. Certes, on ne doit pas nécessairement donner le bénéfice du doute aux anti-ondes, mais on sait aussi que la science n’est pour une grande part qu’une série de postulats que l’on n’a pas encore réussi à infirmer. On ne sait pas tout, et dès lors qu’il y a des choses non-élucidées sur des pathologies très largement observées, le doute scientifique et un sens élémentaire de l’empathie devraient nous inviter à une humilité compréhensive vis-à-vis de la souffrance de ces personnes, et à une écoute attentive lorsqu’elles expriment leur défiance vis-à-vis du fonctionnement des agences sanitaires et qu’elles documentent les conflits d’intérêt qui les entourent.

Mais bref. Je n’étais pas à Lyon pour ça. J’étais à Lyon pour dire que, depuis son positionnement spécifique, sans être d’accord sur tout ce qui s’était dit dans la journée, La Quadrature était solidaire de l’objectif affiché, à savoir faire obstacle au déploiement de la 5G. Avec nos raisons à nous, que j’ai personnellement résumé en ces termes sur les réseaux sociaux (ce qui, j’en conviens, n’était pas l’endroit adapté) :

  • Parce que, tout en constatant les affres de l’informatisation et l’échec global de nos luttes pour un Internet libre, on peut continuer à penser que le numérique pourrait avoir un visage bien différent, et que
    manifestement la #5G nous éloigne toujours plus de cet horizon …
  • Parce que, à les lire, le futur que les promoteurs zélés de la #5G nous préparent, c’est l’accélération de presque tout ce qui déraille déjà dans la société numérique : société « sans contact », automatisation, déshumanisation.
  • Parce que la #5G, toujours à lire les industriels qui planchent dessus, c’est notamment la fuite en avant programmée de la société de surveillance : vidéosurveillance et autre gadgets de la #Technopolice, #IoT spywares, etc.
  • Parce que les discours des défenseurs de la #5G contribuent dores et déjà à instituer le monde-machine qu’ils fantasment, à le banaliser, à le rendre incontournable et désirable, à orienter les investissements et la R&D. Que, hélas, leur science fiction transforme notre réalité.
  • Parce que la #5G est une technologie technocratique et coûteuse, qu’elle est imposée par « en haut » en raison d’intérêts économiques et politiques dans lesquels nous ne nous retrouvons pas. Et qu’en dépit de tout cela, le pouvoir a l’audace de la présenter comme incontestable.

Je voudrais revenir un instant sur « l’échec global de nos luttes » que j’évoquais. Je crois en effet que l’activisme numérique – celui des logiciels libres, des réseaux libres, de la lutte contre la surveillance et la censure d’Internet – doit, tout en gardant l’expertise technique et juridique qui a fait sa force, se renouveler et s’ouvrir. Cela passe notamment par le fait de sortir de notre zone de confort pour nous ouvrir aux questionnements technocritiques et écologistes, de nous livrer à des alliances nouvelles capables de faire grossir nos luttes, de les rendre plus populaires, plus disséminées, en expérimentant de nouveaux modes d’action. C’est en substance ce qu’on expliquait il y a trois ans dans notre « revue stratégique » et c’est bien ce qu’on essaie de faire à notre petite échelle, par exemple avec la campagne Technopolice. Or, c’est aussi cela que permet l’opposition à la 5G.

Alors oui, on est d’accord : il n’y a rien d’intrinsèque ni même de très spécifique à la 5G dans les arguments évoqués ci-dessus. Ces problèmes, ce sont pour l’essentiel ceux du processus d’informatisation dans son ensemble, et ceux des technosciences en général. La 5G n’est qu’une couche de plus sur un substrat déjà bien moisi. Mais – et c’est là que je veux en venir – s’opposer à son déploiement, c’est aussi une manière de tenter de se ménager des marges de manœuvre dans nos luttes, en tâchant d’éviter que la situation ne s’empire. En conclusion de la contre-histoire d’Internet que j’ai publié l’an dernier, j’avais résumé les choses comme ça :

Près de quarante ans [après le début du processus d’informatisation], tandis que la « gouvernance par les données » sert de nouveau mode de gouvernement, que les protections juridiques associées à l’État de droit sont tendanciellement dépassées, la technologie informatique continue sa « marche en avant » au service du pouvoir. Un tel constat doit nous interroger : et si, en nous en tenant aujourd’hui à des approches éthiques, juridiques, technologiques ou organisationnelles pour tenter de corriger les pires aspects des technologies modernes, nous ne faisions qu’acter notre propre impuissance ? Cette  interrogation fait directement écho à Foucault, et à la question stratégique centrale évoquée dans ses écrits sur les liens entre pouvoir et « capacités » (où il mentionne expressément les capacités [technologiques] associées aux « techniques de communication ») : « Comment déconnecter la croissance des capacités et l’intensification des relations de pouvoir ? » (…).

Malgré les espoirs des premiers hackers et autres pionniers quant aux possibilités ouvertes par la micro-­informatique, ce découplage entre pouvoir et technologie se fait toujours grandement désirer. L’informatique prolifère désormais dans nos foyers, sur nos corps, et dans l’espace public urbain où notre capacité à nous rassembler a historiquement constitué une des modalités de contestation les plus efficaces. À l’heure où le Big Data et l’intelligence artificielle s’accompagnent d’une recentralisation phénoménale des capacités de calcul, un tel découplage entre pouvoir et informatique paraît moins probable que jamais. Et si l’on admet qu’il n’adviendra pas dans un futur proche, alors il est urgent d’articuler les stratégies classiques à un refus plus radical opposé à l’informatisation du monde.

Il se trouve que, dans notre société, le refus collectif d’une technologie, c’est presque de l’ordre du blasphème. Sébastien Soriano, le président de l’Arcep, a beau dire « #Parlons5G », il est lui aussi très clair sur le fait que la 5G se fera (ou, pour le citer, que « la France ouvrira pourtant la voie à la 5G »). Ou l’art de la concision pour illustrer la profonde inanité de la « démocratie technique » que les institutions prétendent mettre en œuvre, que ce soit d’ailleurs sur la 5G, la reconnaissance faciale ou l’intelligence artificielle : des pseudo-consultations où le principal objectif pour le pouvoir est d’assurer « l’acceptabilité sociale » de ces technologies.

Cela fait plus de dix ans que je participe à La Quadrature du Net et je peux vous dire qu’on en a fait des débats, des rapports, des réponses à des consultations, des communiqués pour dénoncer ou proposer. On en a déposé beaucoup, des amendements et des recours pour tenter de promouvoir une informatique à échelle humaine, qui ne soit pas toute entière construite contre nos droits. Et même si je continue de penser que le travail que nous faisons est utile et nécessaire, nos quelques victoires ne changent rien au fait que l’on perd chaque jour du terrain ; que l’informatique dominante surveille, domine, automatise, déshumanise ; qu’elle est très coûteuse en ressources. Quant aux artisans de l’Internet décentralisé et émancipateur, ils tiennent bon, mais les politiques publiques les relèguent toujours plus loin aux marges de l’économie numérique.

La Quadrature est d’autant plus fondée à s’opposer aujourd’hui à la 5G que, depuis dix ans, une partie de notre action – souvent restée inaperçue il faut bien le dire – a porté sur les politiques du secteur télécom, notamment s’agissant du spectre radio-électrique. En mai 2011, nous revendiquions la libération de l’accès aux fréquences pour favoriser le développement de réseaux télécoms suivant la logique des biens communs – soit l’exact inverse des mises aux enchères prisées dans le secteur depuis les années 1990. L’année suivante, nous avions dénoncé la vente par l’État des fréquences dévolues à la 4G. Plus récemment, en lien avec le projet de recherche européen netCommons, La Quadrature s’est aussi battue aux côtés des opérateurs télécoms associatifs de la Fédération FDN et de nombreux autres réseaux communautaires à travers le monde pour porter une revendication simple : démocratiser les télécoms. Nous avons même obtenu quelques avancées, à la fois modestes et historiques. Inscrites dans le code européen des télécommunications adopté fin 2018, elles se heurtent aujourd’hui à l’indifférence totale des responsables publics.

Convenons au moins de ça : le déploiement de la 5G ne nous rapprochera pas d’un iota de nos objectifs. Les gains en puissance de calcul, en capacités de stockage, ou comme en l’espèce en vitesses de transmission et de latence, ont essentiellement pour effet de renforcer l’informatique de contrôle que l’on est censés combattre. La 5G présente des risques importants pour la neutralité du Net. Il est très clair qu’elle ne bénéficiera nullement aux hébergeurs alternatifs comme Framasoft et ses CHATONS, ni aux opérateurs de la Fédération FDN. Tout porte à croire qu’elle fera en revanche les choux gras des multinationales qui dominent déjà le secteur – de Google à Netflix en passant par Thales – et des alliances public-privé formées pour nous surveiller et nous administrer.

Affirmer collectivement notre refus de l’informatique dominante, c’est aussi ça le sens de l’opposition à la 5G. Alors soit : notre opposition ne porte pas tant sur un protocole que sur la logique qui le produit et qu’il reproduit, à savoir l’informatisation de tout au travers de choix arbitrés technocratiquement, au mépris des droits et de la démocratie. La 5G n’est qu’un des symptômes d’un problème bien plus large. Mais en attendant que le monde change, en attendant qu’il produise des techniques en accord avec nos valeurs politiques, elle est un très bon moyen de contester l’innovation technologique en revendiquant le droit d’appuyer sur la touche « STOP ».

Tout ça pour vous dire que je n’ai aucun regret à être allé à cette journée.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

]]>
Brisons le totem de la 5Ghttps://www.laquadrature.net/?p=16188http://streisand.me.thican.net/laquadrature.net/index.php?20201009_170537_Brisons_le_totem_de_la_5GFri, 09 Oct 2020 15:05:37 +0000La Quadrature du Net refuse le futur promis par les promoteurs de la 5G.

Nous refusons le rêve d’Ericsson pour qui la 5G ouvrira à la « smart surveillance » un marché de 47 milliards de dollars d’ici 2026. Nous refusons que la vidéosurveillance puisse représenter le marché le plus important des objets connectés permis par la 5G, estimé à 70% en 2020, puis 32% en 2023. Nous refusons le fantasme sécuritaire dans lequel « l’obtention d’image d’une très haute qualité ouvre la voie à l’analyse intelligente de la vidéo via l’IA ». Nous refusons l’ambition de l’ancien employé de Safran, Cédric O, de procéder au déploiement de la 5G quoi qu’il en coûte.

Peu importe que ces promesses soient crédibles ou non, nous mettons en garde contre ce qu’elles représentent. Elles sont le rappel, fait par une industrie techno-sécuritaire qui n’existe que pour elle-même et impose partout son agenda, que nous n’avons jamais eu notre mot à dire sur ces grands programmes industriels ; que cette industrie et ses relais au sein de l’État s’arrogent le droit de nous contrôler au travers de leurs innombrables gadgets, quitte à participer à la ruine de ce monde ; quitte à risquer ce qu’il nous reste d’humanité.

Si l’industrie de la surveillance a fait de la 5G le totem de son monde fantasmé, il nous faut briser ce totem. Nous l’affirmons avec d’autant plus de détermination que nous savons que les politiques en matière de télécoms pourraient avoir un visage bien différent, que les réseaux télécoms pourraient être faits pour les gens et par les gens. Partout en Europe et dans le monde, des alternatives existent. Elles se heurtent malheureusement à l’indifférence coupable et intéressée des gouvernants.

À La Quadrature, les débats sur la 5G ont commencé il y a déjà quelques temps et sont parfois très animés. Au delà de la position commune affichée ici, nous prévoyons de publier différentes tribunes qui seront recensées ci-dessous afin de donner à voir les nuances dans nos positionnements.

 

 

 

]]>
La censure de l’art pour banaliser la surveillancehttp://streisand.me.thican.net/laquadrature.net/index.php?20201008_185003_La_censure_de_l___art_pour_banaliser_la_surveillanceThu, 08 Oct 2020 16:50:03 +0000La Quadrature du Net s’inquiète de la censure par le Studio national d’arts contemporains Le Fresnoy, à Tourcoing, de l’artiste Paolo Cirio, suite à une intervention du ministre de l’intérieur Gérald Darmanin, et de syndicats de policiers, qui demandait dans un tweet la déprogrammation de son exposition « Capture », au motif que celle-ci serait une « mise au pilori » des policiers. En France, l’expression est libre, et le fait que l’art questionne de manière tout à fait légale l’arrivée de la reconnaissance faciale dans la société européenne ne devrait en aucun cas devenir une raison de censurer une telle exposition.

Le 1er octobre, Paolo Cirio, artiste contemporain, lançait un site web, capture-police.com pour annoncer une une exposition au Fresnoy à partir du 15 octobre, portant sur l’importance du débat européen sur la reconnaissance faciale. « L’exposition Capture est constituée de visages d’officiers de police français. L’artiste a collecté 1000 images publiques de policiers prises durant des manifestations en France. Capture commente l’usage et le mésusage potentiel de technologies d’intelligence artificielle et de reconnaissance faciale en questionnant les jeux d’asymétrie du pouvoir. Le manque de règles de respect de la vie privée de ce type de technologie finit par se retourner contre les mêmes autorités qui invitaient à son utilisation » L’exposition ainsi que le site web sont donc tout à fait licites de notre point de vue, la zone de saisie d’un nom sous chacun image de policier étant en réalité inactive, et ne collectant donc aucune données. L’exposition pose pourtant de manière originale et forte la question de l’arrivée de technologies de reconnaissance faciale dans la société.

Le même jour, le ministre de l’intérieur s’offusquait publiquement et menaçait l’artiste de poursuites. Le lendemain, le syndicat de police Synergie publiait une lettre du studio d’arts contemporain Le Fresnoy annonçant l’annulation de l’exposition, annulation dont l’artiste n’était à cette heure pas encore prévenu ! La pression à la fois du ministre de l’intérieur et d’un syndicat de police sur une exposition d’art contemporain démontre l’asymétrie des pouvoirs que l’exposition comptait précisément mettre en lumière : le gouvernement ne défend la vie privée que de la police, tandis que cette même police a déjà enregistré la photo de 8 millions de personnes dans le fichier de traitement des antécédents judiciaires (voir notre analyse) et se permet d’analyser illégalement ces images par reconnaissance faciale (nous avons contesté ce pouvoir en justice).

« Nous demandons depuis longtemps l’interdiction des technologies de reconnaissance faciale dans l’espace public tant au niveau du droit français que du droit européen. Gérald Darmanin montre à nouveau ses ambitions autoritaires et son mépris des principes démocratiques, faisant pression sur un artiste, qui ne souhaitait qu’apporter dans l’espace public un débat légitime : faut-il autoriser des technologies liberticides dans l’espace public ? » réagit Benjamin Sonntag, membre de la Quadrature du Net.

]]>
Surveillance : une défaite victorieusehttps://www.laquadrature.net/?p=16157http://streisand.me.thican.net/laquadrature.net/index.php?20201006_153420_Surveillance____une_defaite_victorieuseTue, 06 Oct 2020 13:34:20 +0000Premier communiqué de presse à chaud

La Cour de justice de l’Union européenne (CJUE) vient de rendre une décision très attendue en matière de surveillance. Depuis près de quinze ans, l’État français imposait aux fournisseurs d’accès à Internet et de téléphonie de conserver les données de connexion de l’ensemble de la population (qui parle à qui, quand, d’où). La Quadrature du Net, aux côtés de FDN, FFDN et Igwan.net, contestait devant les juridictions de l’UE la légalité du droit français en la matière.

Une première lecture rapide nous laisse penser qu’il s’agit d’une défaite victorieuse. En effet, si la Cour affirme que la France ne peut plus imposer cette conservation généralisée des données de connexion, elle fait apparaître un certain nombre de régimes d’exception importants. Cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus, que nous détaillerons plus tard.

Cependant, aussi décevant soit-il, l’arrêt de ce matin dessine un cadre juridique qui est beaucoup plus protecteur des libertés et de la vie privée que l’état actuel du droit français. Par exemple, si l’État peut toujours obliger les fournisseurs d’accès à Internet à conserver les adresses IP de toute la population, ces adresses ne peuvent plus être utilisées que dans le cadre des enquêtes sur la criminalité grave ou dans les affaires de sécurité nationale (notamment, de terrorisme). Autre victoire importante, les hébergeurs de sites web ne peuvent plus être contraints par la loi à surveiller pour le compte de l’État l’ensemble de leurs utilisateurs, en gardant en mémoire qui publie quoi, avec quelle adresse IP, quand, etc.

Le droit français se retrouve ainsi en contradiction flagrante avec la décision de la CJUE : le principe de conservation généralisée est refusé par la Cour alors qu’il est la règle en droit français. La Cour acte que les mécanismes français de contrôle des services de renseignement ne sont pas suffisants, et nous veillerons lors de la réforme annoncée du droit français à ce que les garde-fous nécessaires soient renforcés.

Cet arrêt, de 85 pages, nécessitera une longue et minutieuse analyse dans les semaines et les mois à venir.

]]>
Le déguisement des trackers par Cnamehttps://www.laquadrature.net/?p=16142http://streisand.me.thican.net/laquadrature.net/index.php?20201005_093828_Le_deguisement_des_trackers_par_CnameMon, 05 Oct 2020 07:38:28 +0000

Aujourd’hui, nous allons vous expliquer comment marche, à quoi sert, et quelles sont les conséquences du « Cname Cloaking » ou « déguisement par Cname », une technique désormais utilisée par les sociétés de publicité, marketing et surveillance ou suivi des internautes pour outrepasser la protection des systèmes anti pub ou anti tracking comme uBlock origin, Adblock et autres

Le tracking / suivi des internautes, c’est quoi ?

Les sites de media les plus visités (par exemple lemonde.fr, lefigaro.fr, mais aussi des sites comme marmiton.org ou leboncoin.fr) faisant beaucoup de visites, ils veulent pouvoir monétiser le fait que de nombreux internautes viennent sur leur pages web, et en profiter pour afficher de la publicité autour des contenus qu’ils publient, ce qui permet de financer tout ou partie de leur entreprise.
Ces sites ont donc peu à peu ajouté plein de contenus externes à leur page web, des contenus venant d’autres entreprises, soit pour afficher de la publicité, pour collecter des statistiques de visite, ou pour suivre des internautes d’un site à l’autre et ainsi créer des profiles précis, permettant de leur afficher des publicités plus ciblées, donc supposément plus efficaces, donc qui rapporteraient plus.
On appellera donc « tracking » tout contenu d’un site web qui n’est pas géré par la boite produisant ce site, mais qui vient d’un tiers, et dont le but est une de ces 3 finalités : statistiques, affichage publicitaire, création de profil consommateur. Notez que parfois un contenu tiers rentre dans plusieurs de ces catégories en même temps.
Prenons un exemple. Si je vais sur lefigaro.fr, mon navigateur reçoit une page web qui est constituée d’un document principal (la page web), ainsi que des fichiers supplémentaires, fournis par lefigaro (ou parfois par un tiers pour des questions d’optimisation) qui permettent d’afficher des images, des animations, une police de caractère, une jolie mise en page etc.
Ensuite, tout un tas de trackers sont chargés, servis par divers tiers, ici on trouve du criteo, du brightcove, appnexus, taboola. On les voit en rouge dans cette vidéo, car mon bloqueur de pub, uBlock Origin, empêche leur chargement dans la page.
On voit qu’une fois la page chargée, mon navigateur a fait 94 requêtes pour un total de 1.2 méga-octets transférés. Si on charge la même page sans bloqueur de pub, on voit mon navigateur faire pas moins de 650 requêtes pour un total de 10.5 méga-octets ! On comprend donc facilement pourquoi les internautes veulent utiliser un adblocker : cela fait économiser beaucoup de temps, de puissance machine pour télécharger, décoder et afficher ces éléments inutiles, ainsi que de bande passante (Dans la consommation de ressource du numérique, je n’ai jamais vu d’étude sérieuse prenant en compte cette surcharge du fait de la surveillance, du suivi, de la pub, des statistiques… alors qu’on le voit, cela pèse parfois très lourd !)
Ce que l’on a donc appris, c’est qu’il y a de nombreuses entreprises tierces chargées d’afficher de la publicité, fournir des statistiques ou suivre les internautes d’un site à l’autre pour tenter de les profiler et vendre la publicité plus cher. Ce que l’on voit aussi, c’est que ces éléments de pages sont sur des noms de domaine distincts, les rendant facilement identifiable par un bloqueur de pub, ce qui permet leur blocage.

Le Cname Cloaking, c’est quoi ?

Afin de contrer la présence de plus en plus importante de logiciel de blocage de publicité, les entreprises de tracking ont trouvé une manière détournée de pouvoir nous suivre quand même : le Cname Cloaking. Le principe technique est assez simple : au lieu de fournir les outils de tracking via une adresse située sur un nom de domaine identifiable (comme criteo.com ou eulerian.com), le site web souhaitant surveiller l’utilisateur crée un sous-domaine de son domaine principal, qui pointe chez le fournisseur de tracking.
Petit point technique : sur Internet, on utilise un service, nommé le DNS, qui permet de savoir où est situé sur Internet un nom de domaine donné. Par exemple, utilisant le DNS, je peux savoir que sonntag.fr est à l’adresse IP (qui est l’équivalent sur Internet des adresses postales) 91.194.60.2. Ainsi chaque éditeur de site ou fournisseur a une ou plusieurs Adresses IP où il héberge ses infrastructures.
On va prendre pour notre exemple le domaine 01net.com, qui utilise le Cname Cloaking à ce jour.
Si je me rends sur 01net.com, je constate l’utilisation d’un sous-domaine « 5ijo.01net.com » qui pointe vers l’adresse IP 109.232.197.179 appartenant non pas à 01net, mais à Eulerian !
La méthode proposée est malgré tout peu pratique parce que l’adresse IP du fournisseur de tracking est susceptible de changer, le propriétaire du site web ne crée donc pas un pointage DNS direct depuis son nom (ici 5ijo.01net.com) vers l’adresse IP de son prestataire tracker, mais crée un sous-domaine de type Cname, appelé aussi Alias en français, qui pointe vers un autre domaine, qui lui pourra enfin pointer vers l’adresse IP finale.
Si je regarde en détail où pointe notre exemple sur Internet, je constate que 5ijo.01net.com est un Cname ou alias vers 01net.eulerian.net. Qui est lui-meme un alias vers atc.eulerian.net, qui enfin pointe vers l’adresse IP que notre navigateur devrait joindre.
Ainsi, Eulerian peut choisir de changer l’adresse IP cible en toute autonomie. Et 01net.com trompe les internautes en leur faisant croire qu’ils téléchargent un contenu du site 01net.com, alors que leur navigateur est en train de télécharger un script de tracking chez Eulerian… Cette technique, utilisant un Cname DNS pour cacher le nom du véritable fournisseur de tracking est donc nommée « Cname Cloaking » ou « Déguisement par Cname ».
Ce faisant, et pendant quelques mois, les outils de protection contre le pistage comme uBlock Origin ont été trompé et laissaient passer ces appels à Eulerian qui pouvaient donc nous traquer en toute discrétion. Je vous rassure, c’est corrigé depuis, et uBlock empêche bien ce genre d’usage.
On peut donc déjà affirmer que cette technique est en soi une rupture de confiance entre l’internaute qui vient visiter un site, et le site éditeur. Mais pire, cela peut poser, et pose, un problème grave de sécurité !

Quel problème de sécurité pose le Cname Cloaking ?

Disposer d’un sous-domaine de son domaine pointant chez un tiers est un gros problème de sécurité. Pourquoi ? Parce que les cookies, ces petits blocs de données échangés entre un éditeur de site web et votre navigateur, peuvent être partagés au sein d’un même nom de domaine. 
Un cookie est une donnée envoyée par un site web à un navigateur, qui est ensuite renvoyée par le navigateur au site web pour toutes les pages suivantes consultées par le même navigateur sur le même nom de domaine. Cela permet par exemple de rester authentifié dans un espace privé, pour l’abonnementà un site restreint, l’accès à une messagerie etc.
Ainsi, si 01net.com envoie à mon navigateur un cookie, ce dernier sera renvoyé par le navigateur pour toute page située sur www.01net.com, mais aussi sur 5ijo.01net.com !
Or, ces cookies sont souvent liés à des informations personnelles : identifiant unique d’un internaute, accès à son compte dans un espace privé, gestion d’abonnement etc.
Pire : les journalistes de 01net se connectent probablement au site pour en modifier le contenu via le nom de domaine 01net.com lui-même. Dans ce cas, leur cookie, qui les identifie en tant que journaliste autorisé à publier sur le site, est partagé avec Eulerian ! Il faut donc une confiance très forte dans les tiers concernés par les pages utilisant le Cname Cloaking ! Et pire qu’une confiance dans ces tiers, il faut une totale confiance dans la sécurité des sites de ces tiers, ainsi qu’une confiance dans l’ensemble des salariés et prestataires travaillant pour ces tiers et disposant d’accès aux serveurs.
En clair, l’utilisation du Cname Cloaking peut s’avérer devenir une véritable faille de sécurité qui pourrait permettre des fuites de cookie liés à des informations personnelles soit d’internautes connectés au site, soit des propriétaires et éditeurs du site lui-même !

Conclusion ?

On a donc découvert comment le Cname Cloaking permet à des éditeurs de site web de vous traquer sans vous le dire, et de la manière la plus discrète possible, au risque de faire fuiter de nombreuses données personnelles, tant des internautes que des employés ou journalistes du site web concerné ! Cette technologie a été très utilisée il y a quelques années mais semble l’être moins aujourd’hui (par exemple, libération l’utilisait il y a quelques mois, avec le sous-domaine f7ds.liberation.fr, encore visible dans le DNS, mais je n’ai pas trouvé trace sur leur site de l’utilisation de ce sous-domaine à ce jour.)
Cependant, je ne pense pas que l’utilisation d’une telle bidouille soit en soi un problème juridique, c’est plutôt à mon avis le manque flagrant de respect du consentement des internautes obtenu librement, qui devrait donner lieu à de lourdes sanctions. Les sites que nous avions pu voir utiliser ce type de technologie par le passé étant encore, à ce jour, dans une totale illégalité dans leur respect du RGPD, règlement européen censé protéger les internautes contre l’usage abusif et non consenti de leurs données personnelles, règlement pour lequel la CNIL n’a à ce jour, puni personne de manière significative.
En conclusion, je me contenterai de vous préconiser d’installer, si ce n’est pas déjà fait, un bloqueur de publicité et de tracking sur votre navigateur web. Personnellement je recommande uBlock Origin pour Firefox, (ou pour chrome) qui a toujours été de confiance et d’excellente qualité. Mieux : si vous utilisez déjà un bloqueur de pub, invitez vos familles et amis à faire de même, assurez-vous que toutes et tous soient ainsi bien protégés !
De plus, uBlock origin s’installe très bien sur un navigateur Firefox pour mobile. Sur mon Android, j’ai ainsi pu installer Firefox Mobile, et y ai ajouté uBlock origin pour me protéger du gros des publicités et économiser beaucoup de batterie et de bande passante sur mon forfait 4G ! Rendez-vous sur  https://bloquelapub.net/ pour en savoir plus

Pour en savoir plus :

Criteo, société française de tracking, dépouillée par PixelDeTracking https://www.pixeldetracking.com/fr/criteo-geant-marketing-surveillance-francais
Une étude très complète sur le Cname Cloaking, en anglais sur le site de l’APNIC (organisme international chargé des adresses IP pour l’asie / pacifique) https://blog.apnic.net/2020/08/04/characterizing-cname-cloaking-based-tracking/

]]>
[Franceinter.Fr] La reconnaissance faciale se met en place à bas bruithttps://www.laquadrature.net/2020/10/04/franceinter-fr-la-reconnaissance-faciale-se-met-en-place-a-bas-bruit/http://streisand.me.thican.net/laquadrature.net/index.php?20201004_192225__Franceinter.Fr__La_reconnaissance_faciale_se_met_en_place_a_bas_bruitSun, 04 Oct 2020 17:22:25 +0000Interdite sur la voie publique en France, la reconnaissance faciale en temps réel fait malgré tout son chemin. Plusieurs municipalités testent des dispositifs qui s’en rapprochent, avant sa possible autorisation pour les Jeux olympiques de Paris en 2024. […]

À Marseille (Bouches-du-Rhône), la Cannebière est équipée d’une cinquantaine de caméras intelligentes. Elles ne reconnaissent pas formellement les gens, mais identifient des situations bien précises. « Ce projet a été mis en place 2019, détaille Felix Treguer, membre fondateur de l’association La Quadrature du net. Un algorithme d’analyse automatisée reconnaît des comportements et des événements suspects, et déclenche automatiquement des alertes et des suivis dans le centre de supervision. »

Concrètement, il s’agit de repérer des objets abandonnés, des individus au sol, des taggeurs ou de la destruction de mobilier urbain. « Une fois que les caméras ont filmé et que les vidéos sont archivées, la police peut utiliser des filtres, complète Martin Drago, juriste pour La Quadrature du net, c’est-à-dire repérer des visages ou des silhouettes, pour identifier les personnes. » […]

https://www.franceinter.fr/emissions/secrets-d-info/secrets-d-info-05-septembre-2020

NDLRP – Le teaser vidéo de cette enquête radiophonique et écrite est à retrouver aussi sur le Peertube de La Quadrature du Net :

]]>
La loi Avia revient par la porte de l’UEhttps://www.laquadrature.net/?p=16118http://streisand.me.thican.net/laquadrature.net/index.php?20200922_155455_La_loi_Avia_revient_par_la_porte_de_l___UETue, 22 Sep 2020 13:54:55 +0000Le 25 juin, une semaine après que la loi Avia a été sévèrement censurée par le Conseil constitutionnel, le gouvernement français a demandé à la Commission européenne de faire adopter au niveau européen ce que la Constitution l’empêchait d’adopter en France.

Contre la « haine »

Le gouvernement français demande une nouvelle loi européenne pour « contraindre les plateformes à retirer promptement les contenus manifestement illicites » via « des obligations de moyens sous le contrôle d’un régulateur indépendant qui définirait des recommandations contraignantes relatives à ces obligations et sanctionnerait les éventuels manquements ». Cette demande est le strict reflet de la loi Avia : son délai de 24h, ses pleins pouvoirs donnés au CSA. La France demande de faire censurer « non seulement les contenus illicites, mais aussi d’autres types de contenus tels que les contenus préjudiciables non illicites […] par exemple, les contenus pornographiques [ou] les contenus de désinformation ».

Cette demande intervient dans le cadre du débat législatif à venir sur le Digital Service Act dont vous nous parlions il y a peu : ce futur texte européen pourrait permettre à la France d’imposer au niveau européen une censure qu’elle a échoué à faire adopter au niveau national. Cette séquence législative ne débutera néanmoins pas immédiatement et ne portera que sur une partie de la loi Avia – la partie qui prétendait lutter contre les « contenus haineux ».

Contre le « terrorisme »

Il ne faut pas oublier que la loi Avia prévoyait dans une seconde partie, à côté de celle prévue pour les contenus haineux, un autre type de censure, plus grave encore : confier à la police le pouvoir de censurer en une heure tout contenu qu’elle qualifierait seule – sans juge – de terroriste. Comme nous l’avons déjà expliqué, nous y voyons le risque d’un large dévoiement contre les opposants politiques du gouvernement. Heureusement, en juin dernier, le Conseil constitutionnel n’a pas hésité à censurer un pouvoir si dangereux. Là encore, ce que Macron n’a pu imposer en France, il tente de l’imposer par la porte de l’UE. Et il le fait avec bien plus d’empressement que pour la censure en matière de lutte contre la « haine ».

Depuis deux ans déjà, le gouvernement défend un règlement de « lutte contre les contenus terroristes » pour imposer cette censure en une heure et sans juge, partout dans l’UE. Néanmoins, cette idée rencontre, en Europe aussi, de nombreuses oppositions (voir notre bilan des débats au Parlement européen), de sorte que le texte était en train de s’embourber depuis des mois dans des négociations indécises entre le Parlement européen et les États membres. Toutefois, après sa défaite au Conseil constitutionnel, le gouvernement français est revenu de plus bel : ce règlement pourrait bien être sa dernière carte à jouer pour placer sa police en contrôleur du Web français et européen.

Nous opposerons contre ce projet la même force que nous avons déjà déployée, et ce autant de fois qu’il le faudra.

]]>
Nous soutenons la pétition pour bannir la reconnaissance faciale en Europehttps://www.laquadrature.net/?p=16111http://streisand.me.thican.net/laquadrature.net/index.php?20200922_112930_Nous_soutenons_la_petition_pour_bannir_la_reconnaissance_faciale_en_EuropeTue, 22 Sep 2020 09:29:30 +0000Nous republions ici le texte de la pétition rédigée par l’artiste et militant Paolo Cirio et appelant à l’interdiction permanente de la reconnaissance faciale utilisée pour l’identification et le profilage dans toute l’Europe. Le site de la pétition est disponible ici.

La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous. Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent.

Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics.

Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cette opinion avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

Rejoignez la lutte contre la technologie de reconnaissance faciale :

Signez la pétition, rejoignez la campagne, agissez, restez informé et partagez cet appel.

Pour notre campagne et notre pétition, utilisez notre hashtag #BanFacialRecognitionEU

Le site officiel Ban-Facial-Recognition.EU et notre Twitter @BanFacialRecEU

Pour les demandes de presse et les partenariats, écrivez à info@Ban-Facial-Recognition.EU.

À propos de l’interdiction de la reconnaissance faciale en Europe

La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous et un énorme danger pour les libertés démocratiques, les libertés civiles et la liberté d’expression pour toute la société.

Actuellement, les services de police et les services de sécurité des différents États européens, de concert avec l’industrie de la technologie, font pression contre les institutions européennes pour l’utilisation de la technologie de reconnaissance faciale. En réponse, cette pétition vise à contester les objections formulées par des États membres individuels sur l’interdiction de la reconnaissance faciale et demande à la Commission européenne d’engager des procédures d’infraction contre les États membres qui enfreignent déjà les lois de l’UE en utilisant la reconnaissance faciale.

Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics. Pendant ce temps, aux États-Unis, la reconnaissance faciale a été interdite dans plusieurs villes et a même été récemment limitée par de grandes entreprises technologiques telles qu’Amazon, IBM et Microsoft à partir de juin 2020.

L’Europe doit s’aligner sur une interdiction définitive de la reconnaissance faciale pour son leadership en matière de droits de l’homme. Cependant, en janvier 2020, il a été révélé qu’une Commission européenne avait retiré son projet d’interdire la technologie de reconnaissance faciale pendant cinq ans, un plan qui a probablement été rejeté par les programmes de police des États membres de l’UE. Cela prouve à quel point l’Union européenne est peu fiable et vague sur ces questions juridiques et de droits de l’homme critiques concernant la technologie de reconnaissance faciale.

Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent. Leurs promoteurs ont une foi aveugle en cette technologie et poussent souvent à accélérer sa prolifération quelles que soient les conséquences inévitables pour nos libertés.

L’Europe doit redresser ses lois sur la protection de la vie privée et lutter radicalement contre la reconnaissance faciale en interdisant totalement son utilisation abusive. Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cet avis avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

Pourquoi la reconnaissance faciale est trop dangereuse

Il existe plusieurs technologies très envahissantes pour la vie privée, en particulier avec la biométrie. Parmi eux, la reconnaissance faciale est particulièrement violente et biaisée. Les visages ont des significations sociales et ils sont difficiles à cacher car ils sont notre principal moyen de communication. Les visages sont les parties les plus publiques des humains et leurs traits servent de métriques pour le jugement social. Nous considérons la reconnaissance faciale trop dangereuse pour les citoyens, car elle peut transformer l’un de nos principaux moyens de socialité contre nous, transformant nos visages en dispositifs de suivi plutôt qu’en composant essentiel de nous-mêmes.

Au-delà du contrôle social, de la discrimination et de la surveillance, il s’agit de la vie privée de chacun. Tout le monde est en danger lorsqu’un tel instrument est autorisé sans règles. Il ne s’agit pas seulement de la police ou des entreprises qui utilisent la reconnaissance faciale pour la sécurité ou l’exploration des données, mais c’est ainsi que cette technologie devient culturellement omniprésente et normalisée, provoquant finalement la peur dans la vie de tous. Cela crée un faux sentiment qu’être observé et analysé à tout moment est acceptable et crée des sociétés remplies de suspicion, d’abus et de méfiance.

La technologie de reconnaissance faciale est également aggravée par la «prédiction comportementale» qui prétend pouvoir classer les émotions ou les intentions d’une personne, mais qui menace fondamentalement la dignité et l’autonomie humaines. La reconnaissance faciale associée à une soi-disant intelligence artificielle sous la forme d’algorithmes d’apprentissage automatique augmente les déséquilibres de pouvoir, la discrimination, le racisme, les inégalités et le contrôle social autoritaire. Il y a trop de risques élevés pour les prétendus «avantages» que l’utilisation de ces technologies pourrait éventuellement apporter.

Partout en Europe, les gouvernements, les entreprises privées et aussi les civils cherchent à utiliser la reconnaissance faciale. Nous avons déjà vu son utilisation dans les lieux de travail, les espaces publics, les écoles, les aéroports, les maisons et dans nos propres téléphones personnels. Ces mises en œuvre de la reconnaissance faciale vont souvent au-delà de notre consentement, ou nous sommes souvent obligés de consentir, tandis que les conséquences à long terme du stockage des données biométriques et de la formation de l’intelligence artificielle pour analyser nos visages peuvent dépasser notre contrôle et les institutions en qui nous avons confiance.

Aucun argument ne peut justifier le déploiement de telles technologies. L’utilisation civile, commerciale et gouvernementale des dispositifs de reconnaissance faciale pour l’identification et la catégorisation des individus doit être strictement interdite. Toute technologie de reconnaissance faciale vendue dans le commerce ou développée et utilisée à titre privé pour cette portée doit être arrêtée.

La reconnaissance faciale doit être interdite, pas seulement réglementée

Les réglementations ne suffisent pas et elles échoueraient à s’attaquer à cette technologie en raison de l’ampleur de son danger.

La reconnaissance faciale porte atteinte au droit à la dignité car elle utilise les qualités, les comportements, les émotions ou les caractéristiques des individus contre eux de manière non justifiée ou proportionnée aux droits fondamentaux de l’UE ou aux lois nationales individuelles. Par exemple, les réglementations européennes actuelles telles que le RGPD couvrent principalement la vie privée des citoyens dans le secteur commercial à quelques exceptions près, mais elles ne traitent pas suffisamment les droits de l’homme qui sont en péril avec la reconnaissance faciale tels que le droit à la dignité et à l’égalité.

Tout comme les armes nucléaires ou chimiques, la reconnaissance faciale constitue une grande menace pour l’humanité. Son utilisation pour l’identification et le profilage est certainement trop dangereuse pour être utilisée. Elle devrait être interdite non seulement par l’Union européenne mais aussi au niveau mondial par les Nations Unies.

Il existe de fausses croyances sur l’efficacité et l’utilité de la reconnaissance faciale qui justifient son utilisation dans le cadre de la réglementation. Cependant, même pour la sécurité, il existe de sérieux doutes quant à savoir si la police en a vraiment besoin ou si elle contribue à fournir de meilleurs services. Les acteurs privés acquièrent un pouvoir disproportionné sur la technologie qui a souvent été développée sans responsabilité ni transparence. Souvent, ces technologies sont vendues aux autorités publiques et aux forces de l’ordre avec peu ou pas de responsabilité pour leurs actions.

Au-delà de la surveillance du gouvernement et des entreprises, il existe désormais d’énormes quantités de données publiques sur les sites Internet, les plateformes de médias sociaux et les ensembles de données ouverts que tout le monde peut récolter ou acheter. En outre, les infrastructures des appareils qui capturent des images de visages sont déjà omniprésentes avec les caméras CCTV, les smartphones et les scanners vidéo dans nos vies publiques et privées. Ces conditions rendent la reconnaissance faciale particulièrement dangereuse parmi d’autres technologies qui peuvent identifier, suivre et juger les personnes.

Aujourd’hui, la reconnaissance faciale est déjà présente dans nos smartphones, les contrôles des passeports dans les aéroports et les espaces publics. Utiliser la reconnaissance faciale pour l’authentification faciale locale pour déverrouiller un smartphone ou pour accéder à un service semble beaucoup moins intrusif que d’identifier un individu parmi de nombreuses personnes dans un lieu public.

Cependant, le développement de la technologie elle-même, la formation d’algorithmes et le stockage des données biométriques détenues par des entreprises privées pourraient, à l’avenir, être utilisés au-delà du cadre initial. Même lorsque nous donnons votre consentement ou utilisons la reconnaissance faciale en privé, nous risquons que ces données puissent entraîner des conséquences involontaires futures telles que des fuites de données biométriques, leur vente à des tiers ou la formation d’algorithmes sur nos traits personnels.

Par conséquent, nous rejetons les deux exceptions d’utilisation de la reconnaissance faciale en ce qui concerne l’innovation pour l’industrie technologique et la sécurité publique. Nous appelons à une interdiction totale de tous les cas de technologies de reconnaissance faciale concernant leur utilisation pour toute forme d’identification, de corrélation et de discrimination qui permettrait une surveillance de masse, des crimes de haine, des traques omniprésents et des violations de la dignité personnelle. Il serait toujours possible à des fins de recherche, de médecine et de divertissement à condition qu’aucune donnée biométrique ne soit stockée ou utilisée pour identifier ou classer des individus.

Nous soutenons que la reconnaissance faciale est déjà illégale en vertu du droit de l’UE et doit être interdite dans la pratique. Quatre instruments européens interdisent déjà la surveillance de masse biométrique: dans le sens le plus large, la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE, et plus précisément la Convention sur la protection des données du Conseil de l’Europe, le RGPD, et son instrument frère, le LED . Cependant, les autorités nationales de protection des données (APD) ont été insuffisamment financées et politiquement démunies par leurs États membres, ce qui signifie que leurs efforts pour faire appliquer les réglementations ont souffert et que les acteurs en violation de la loi ont été peu incités à se conformer.

C’est la raison pour laquelle nous avons besoin de nouvelles lois pour imposer une interdiction de la reconnaissance faciale et pas seulement de réglementations faibles qui peuvent être interprétées et non appliquées par l’UE à ses États membres et à leurs députés.

L’identification et la classification par reconnaissance faciale sont trop dangereuses pour ne jamais être nécessaires et proportionnées puisque les utilisations bénéfiques potentielles ne sont pas justifiées.

Ce dont nous avons besoin pour interdire la reconnaissance faciale dans l’UE

Nous devons prendre des mesures au Parlement européen pour attirer l’attention sur cette question dans ses États membres, ainsi que pour faire pression sur la Commission européenne pour qu’elle prenne des mesures coercitives contre les États qui violent actuellement les droits fondamentaux de l’UE et les lois sur la protection de la vie privée. L’interdiction totale de l’identification et du profilage via la technologie de reconnaissance faciale ne doit pas être simplement une directive, mais elle doit être une interdiction rigide pour être applicable dans toute l’Europe sans exceptions ni expiration.

Dans l’Union européenne, il existe déjà des lois qui interdisent la surveillance biométrique de masse, mais elles ne sont pas appliquées. Les protestations, pétitions et litiges stratégiques peuvent potentiellement être très efficaces pour appliquer ces lois existantes et introduire une interdiction à l’échelle de l’UE.

Dans les rues et en ligne, à travers des manifestations et d’autres formes d’action, les citoyens et les collectifs du monde entier font équipe pour arrêter la propagation fatidique de la reconnaissance faciale. Ensemble, nous faisons partie d’un vaste mouvement résistant à l’avènement de la reconnaissance faciale dans toute l’Europe et dans le monde.

Interpellez-nous et dites-nous si vous voyez la reconnaissance faciale utilisée dans les écoles, les communautés fermées et les bâtiments, les identifiants et badges, les services publics, les dispositifs de verrouillage, les applications mobiles, les plates-formes Internet, et même si c’est pour le divertissement ou un usage personnel ou s’il est utilisé par la police, le contrôle des frontières, les forces de l’ordre et les enquêteurs.

Nous demandons à la Commission européenne et à la Cour européenne de justice d’évaluer les cas que nous avons rassemblés concernant les programmes de reconnaissance faciale en Europe pour avoir rendu ces utilisations actuelles et futures illégales. Si la Commission européenne, soutenue par le Parlement européen, ne prend pas les mesures d’application et législatives appropriées pour interdire une telle technologie, nous prévoyons de porter les affaires devant la Cour européenne de justice sur la base des directives LED actuelles, des règlements GDPR, du Conseil de la Convention européenne sur la protection des données et les lois nationales sur la protection des données, y compris la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE.

Aujourd’hui, nous exprimons notre refus collectif de ces outils de contrôle social en exhortant les décideurs à les interdire une fois pour toutes.

Cas et détails – Reconnaissance faciale en Europe

En mai 2020, au moins 15 pays européens ont expérimenté des technologies biométriques telles que la reconnaissance faciale dans les espaces publics. Au minimum, il y a des activités en République tchèque, au Danemark, en France, en Allemagne, en Grèce, en Hongrie, en Italie, aux Pays-Bas, en Pologne, en Roumanie, en Serbie, en Slovénie, en Suède, en Suisse et au Royaume-Uni.

La liste suivante de cas sur les utilisations de la reconnaissance faciale en Europe a été compilée par Paolo Cirio avec ses recherches et avec l’aide d’experts en politique de confidentialité et d’organisations telles que La Quadrature du Net, et à travers le document de recherche EDRi pour l’interdiction de la surveillance biométrique.

Cette liste montre comment l’absence d’une législation cohérente entourant la reconnaissance faciale pousse les États membres de l’UE à prendre des initiatives individuelles, à exercer une surveillance laxiste et à faire un usage réel de ces technologies dangereuses.

Nous exigeons une plus grande transparence publique et une plus grande responsabilité à l’égard des parties – qu’elles soient publiques, privées ou en collaboration entre les deux – qui déploient des traitements biométriques, ainsi que des échanges de données entre les forces de l’ordre, la sécurité aux frontières, d’autres agences de sécurité publique, y compris la santé, et les autorités nationales. agences de sécurité.

FRANCE

À partir de 2020

La police française utilise déjà la reconnaissance faciale pour identifier les personnes dans les espaces publics. Ils utilisent des photos de personnes stockées dans la base de données des antécédents judiciaires TAJ. Il y a plus de 18 millions d’enregistrements d’individus dans cette base de données avec plus de 8 millions de photos. L’utilisation de la reconnaissance faciale dans cette base de données en France est autorisée depuis 2012 et est actuellement contestée devant les juridictions nationales.

Octobre 2019

La France est en passe de devenir le premier pays européen à utiliser la technologie de reconnaissance faciale pour donner aux citoyens une identité numérique – qu’ils le veuillent ou non. Dire qu’il veut rendre l’État plus efficace, le président Emmanuel Macron fait passer des plans pour déployer un programme d’identification basé sur la reconnaissance faciale appelé Alicem dans le cadre de son gouvernement.

Juillet 2019

L’autorité régionale Provence-Alpes-Côte d’Azur (PACA) a demandé à la CNIL l’autorisation d’utiliser un système de reconnaissance faciale pour gérer l’entrée au lycée Ampère à Marseille. Cet «essai» se voulait une expérience d’un an et a également été réalisé dans une autre école de la même région (le Lycée les Eucalyptus de Nice). Cette utilisation a été conçue pour augmenter la sécurité des étudiants et du personnel et pour accélérer le temps nécessaire aux étudiants pour entrer dans les locaux de l’école. Ces tentatives d’utilisation de la reconnaissance faciale dans les deux écoles françaises ont été stoppées par un procès en 2020.

Depuis 2012

«PARAFE» est un programme de portails automatisés aux frontières déjà installés dans différentes gares et aéroports en France. Les portes utilisent la technologie de reconnaissance faciale pour vérifier l’identité de l’utilisateur par rapport aux données stockées dans la puce de son passeport biométrique. Le programme a été développé par la société française Thales.

Plus d’infos sur le dispositif de Thales

ALLEMAGNE

Janvier 2020

Le ministre allemand de l’Intérieur, Horst Seehofer, prévoit d’utiliser la reconnaissance faciale automatique dans 134 gares et 14 aéroports, selon un reportage publié le 3 janvier 2020. Le ministère de l’Intérieur a testé des caméras de reconnaissance faciale dès 2018 à la gare de Berlin-Südkreuz. Le résultat a été que 80% des personnes étaient correctement identifiées. Après les tests de 2018, le ministre de l’Intérieur Seehofer a déclaré que les systèmes de reconnaissance faciale «rendraient le travail de la police encore plus efficace, améliorant ainsi la sécurité des citoyens».

En savoir plus sur euractiv.com

POLOGNE

Mars 2020

L’application obligatoire basée sur la reconnaissance faciale de la Pologne a été utilisée pour appliquer la quarantaine. Il a envoyé la police au domicile de toute personne qui ne partage pas un selfie sur l’application dans les 20 minutes suivant une alerte.

En savoir plus sur politico.eu

ÉCOSSE

Février 2020

La police écossaise a déclaré qu’elle espérait utiliser un logiciel de reconnaissance faciale en direct d’ici 2026, mais a ensuite suspendu ses plans. La technologie peut scanner des foules de gens et croiser les visages avec les bases de données de la police.

En savoir plus sur bbc.com

SUÈDE

Août 2019

La reconnaissance faciale était utilisée par les élèves du secondaire en Suède pour suivre la fréquentation dans la municipalité de Skelleftea. Le procès, qui s’est déroulé à l’automne 2018, a été un tel succès que la collectivité envisage de le prolonger. Cependant, les juges suédois et les autorités de protection des données ont bloqué l’expérimentation de la reconnaissance faciale dans les écoles.

FRONTIÈRES EUROPÉENNES

Le SPIRIT est un projet financé par l’Europe pour racler des images de visages sur les réseaux sociaux afin de créer une base de données pour l’analyse de la reconnaissance faciale. Cinq parties prenantes liées aux forces de l’ordre participent à ce projet de recherche: la police hellénique (GR), la police des West Midlands (Royaume-Uni), la police et le commissaire au crime de Thames Valley (Royaume-Uni), le ministère serbe de l’Intérieur (RS) et le Académie de police de Szczytno (PL). Selon le site Web clairsemé et non transparent, le projet vise à utiliser des outils, tels que l’extraction et la mise en correspondance de visages, pour corréler des informations à partir de données de médias sociaux similaires au modèle de la société américaine Clearview AI. Selon les demandes d’accès à l’information, des essais étaient prévus pour 2020 et 2021.

L’iBorderCtrl est un projet de recherche financé par l’Europe sur les frontières hongroise, grecque et lettone. Le projet prévoyait d’utiliser l’analyse automatisée des données biométriques pour prédire les preuves de tromperie parmi ceux qui cherchent à entrer dans l’Union européenne en tant que «détecteurs de mensonge» pour les réfugiés. Le projet a pris fin en août 2019.

En savoir plus sur edri.org

Le système Prum est une initiative à l’échelle de l’UE reliant les bases de données ADN, d’empreintes digitales et d’enregistrement des véhicules pour une recherche mutuelle. Dix États membres européens, dirigés par l’Autriche, appellent à étendre le système Prum et à créer un réseau de bases de données nationales de reconnaissance faciale de la police et à interconnecter ces bases de données à chaque membre de l’État avec des réseaux de bases de données faciales de la police couvrant toute l’Europe et les États-Unis.

En savoir plus sur theintercept.com

Le «complexe industriel-sécurité de l’UE» conduit à la promotion, à la défense et à l’utilisation de technologies de «titrisation». Les agences Europol et Frontex utilisent déjà une technologie biométrique avancée pour étudier les frontières et profiler les voyageurs.

En savoir plus sur edri.org

Pays étrangers et entreprises en Europe

Le raclage des médias sociaux et le courtage d’ensembles de données dépassent les frontières, les entreprises et les acteurs étatiques étant intéressés par la collecte, la numérisation d’images et la constitution de bases de données de données biométriques de citoyens européens.

C’est déjà le cas avec Clearview AI, une société américaine qui extrait des images des réseaux sociaux, et avec FindFace, une technologie de reconnaissance faciale développée par la société russe NtechLab.

En savoir plus sur nytimes.com
En savoir plus sur forbes.com

L’utilisation de ces outils dépasse l’Europe avec des entités étrangères autorisées à utiliser la technologie de reconnaissance faciale sur les citoyens européens. Amazon, Facebook, Google et Apple rassemblent également d’énormes bases de données de données faciales biométriques de citoyens européens et les utilisent pour former leur intelligence artificielle sans transparence et sans responsabilité. Les produits tels que Ring of Amazon, Apple Face ID, Google Lens et les fonctionnalités de reconnaissance faciale Facebook devraient être interdits à tous les citoyens européens.

]]>
USA, lettre ouverte contre la censure de média anarchisteshttps://www.laquadrature.net/?p=16103http://streisand.me.thican.net/laquadrature.net/index.php?20200915_141827_USA__lettre_ouverte_contre_la_censure_de_media_anarchistesTue, 15 Sep 2020 12:18:27 +0000Nous constatons depuis plusieurs années que la différence entre censure d’état et censure privée sur Internet s’efface, les gouvernements encourageant une centralisation toujours plus importante d’Internet entre les mains de quelques géants tel Facebook, Amazon ou Google.

La Quadrature dénonce depuis plusieurs années cette stratégie des états consistant à pousser l’ensemble de la population à utiliser des solutions centralisées pour ensuite pouvoir user de la capacité de censure de celles-ci, comme si elle était sienne, par le biais d’incitations, de loi ou de sous couvert de simple « bonne intelligence ». Ces politiques de modération sont inconstantes, arbitraires et se font à un coût humain important, les personnes employées pour la modération de ces gigantesques plateformes étant exposées à des images et textes traumatisants, peu soutenues psychologiquement et mal payées. Pire : cette réalité, intrinsèque à la taille de ces plateformes, dépassées par leur échelle nécessairement inhumaine, est donc inévitable.

La Quadrature du Net signe aujourd’hui une lettre ouverte reproduite ci-dessous contre un blocage arbitraire par Facebook dirigée contre deux importants média anarchistes anglophones (It’s going down et CrimethInc), nouvelle preuve – si elle était nécessaire ?– de la convergence de la censure sur Internet et appelle les citoyens à continuer à se saisir de solutions de communication décentralisée, chiffrées et libres.

Solidarité avec les médias anarchistes bannis par Facebook

Refusons l’argumentaire de Facebook qui, prétextant l’impartialité, s’aligne sur l’administration du gouvernement Trump pour supprimer les voix de militant·es et de médias associé·es aux mouvements contestataires de gauche.

En tant qu’éditeur·trices, auteur·trices, éducateur·trices, militant·es et médias, nous sommes très inquiet·es de la décision de Facebook de bloquer itsgoingdown.org, crimethinc.com et plusieurs autres éditeur·trices, auteur·trices et militant·es en raison de leur association avec l’anarchisme. Cette décision est explicitement motivée par des raisons politiques. Facebook étouffe leurs voix en raison de leurs convictions, et parce qu’ils offrent un lieu de rencontre et d’échanges pour les militant·es des mouvements sociaux de gauche.

Dans une déclaration justifiant les fermetures de pages, Facebook a reconnu que ces groupes n’ont aucun rôle dans l’organisation d’actions violentes, mais leur reproche de manière abstraite d’avoir « célébré des actes violents », et d’être « associés à la violence » ou « d’avoir des membres avec des modèles (statistiques) de comportements violents » – une description si large qu’elle pourrait désigner d’innombrables pages pourtant toujours actives sur Facebook. Les éditeur·trices et les auteur·trices anarchistes ciblé·es le sont en définitive en raison de leurs convictions politiques, et non à cause d’une quelconque violence. Si cette décision n’est pas contestée, elle créera un précédent qui sera utilisé encore et encore pour censurer toute parole dissidente.

Dans sa déclaration, Facebook classe les anarchistes dans la catégorie des milices d’extrême droite soutiens de l’administration Trump, liant ainsi deux groupes pourtant fondamentalement différents et opposés. Cela fait écho à la décision du procureur général William Barr de créer une unité opérationnelle du Ministère de la Justice dédiée à la répression des « extrémistes anti-gouvernementaux », qui cible aussi bien les fascistes auto-proclamés que les antifascistes, établissant une fausse équivalence entre les suprémacistes blancs qui orchestrent les attaques et celles et ceux qui s’organisent pour protéger leurs communautés contre ces attaques.

À une époque où les manifestations ont joué un rôle essentiel dans la création d’un dialogue, partout aux États-Unis sur le racisme, la violence et l’oppression, nous devons replacer ce blocage par facebook des pages et sites anarchistes dans le contexte des efforts continus de l’administration Trump pour réprimer les manifestations. Pendant des mois, Donald Trump a explicitement blâmé les anarchistes pour la vague mondiale de protestations provoquée par la violence policière permanente aux États-Unis. Il y a dix ans, les représentants de Facebook avaient fièrement vanté leur rôle dans les mouvements sociaux horizontaux qui ont renversé des tyrans en Égypte et ailleurs. Aujourd’hui, leur décision de bloquer les médias qui fournissent des lieux et des outils aux participant·tes des mouvements sociaux montre qu’ils se basent sur les signaux reçus du sommet des structures de pouvoir pour déterminer ce qui constitue ou pas un discours acceptable.

La décision de Facebook s’inscrit dans un schéma qui ira beaucoup plus loin si nous ne réagissons pas. Les lecteur·trices méritent de pouvoir entendre les voix de personnes impliquées dans les mouvements de protestation contre les violences policières et le racisme, y compris des voix controversées. Les auteur·trices et les éditeur·trices ne doivent pas être réprimé·es pour avoir promu la solidarité et l’autodétermination.

Nous vous invitons toutes et tous à vous joindre à nous pour condamner ces blocages et défendre la légitimité des voix des anarchistes en particulier, et des manifestant·es des mouvements sociaux en général.

Version originale

Stand with Anarchist Publishers Banned by Facebook

Oppose Facebook’s « both sides » narrative as they align with the Trump administration to suppress the voices of activists and media producers associated with left protest movements.

As publishers, authors, educators, activists, and media producers, we are deeply troubled by Facebook’s decision to ban itsgoingdown.org, crimethinc.com, and several other publishers, authors, and activists on account of their association with anarchism. This decision is explicitly politically motivated. Facebook is suppressing their voices because of their beliefs, and because they provide a venue for the perspectives of participants in left social movements.

In a statement justifying the bans, Facebook acknowledged that these groups have no role in organizing violence, but abstractly alleges that they « celebrated violent acts, » and are “tied to violence” or “have individual followers with patterns of violent behavior”—a description so broad that it could designate countless pages that remain active on Facebook. The anarchist publishers and authors in question are being targeted for reasons that are ultimately about political beliefs, not « violence. » If this decision goes unchallenged, it will set a precedent that will be used again and again to target dissent.

In their statement, Facebook categorizes anarchists with far-right militias that support the Trump administration, linking two groups that are fundamentally dissimilar and opposed. This echoes Attorney General William Barr’s decision to create a Department of Justice task force focused on “anti-government extremists” that targets self-proclaimed fascists and anti-fascists alike, drawing a false equivalence between those who orchestrate white supremacist attacks and those who organize to protect their communities against them.
At a time when demonstrations have played an essential role in creating a nationwide dialogue about racism, violence, and oppression, we must see Facebook’s ban on anarchist publishers in the context of the Trump administration’s ongoing efforts to clamp down on protest. For months, Donald Trump has explicitly blamed anarchists for the worldwide wave of protests precipitated by persistent police violence in the United States. A decade ago, Facebook representatives proudly touted their role in the horizontal social movements that toppled tyrants in Egypt and elsewhere. Today, their decision to ban publishers who provide venues and platforms for participants in protests shows that they are taking their cues about what should constitute acceptable speech from those at the top of the power structure.

Facebook’s decision is part of a pattern that will go much further if we don’t respond. Readers deserve to be able to hear voices from within protest movements against police brutality and racism, even controversial ones. Authors and publishers should not be suppressed for promoting solidarity and self-determination.

We call on everyone to join us in condemning this ban, and defending the legitimacy of the voices of anarchists specifically and protesters generally.

Signed,

Agency [anarchistagency.com]

]]>
L’Union européenne doit imposer l’interopérabilité aux géants du Webhttps://www.laquadrature.net/?p=16093http://streisand.me.thican.net/laquadrature.net/index.php?20200908_174212_L___Union_europeenne_doit_imposer_l___interoperabilite_aux_geants_du_WebTue, 08 Sep 2020 15:42:12 +0000La Commission européenne s’apprête à lancer un nouveau débat législatif sur les hébergeurs Web. Depuis 2000, ces hébergeurs sont protégés par la directive e-commerce, adoptée alors qu’Internet posait sans doute moins de problèmes juridiques qu’aujourd’hui. Les règles étaient simples : un hébergeur n’est pas responsable des informations qu’il stocke s’il reste « passif » – s’il ne fait rien d’autre que stocker des informations fournies par ses utilisateurs.

Depuis 2000, de nouveaux acteurs sont apparus, Facebook et Google en tête, soulevant de nouveaux enjeux tant juridiques que politiques. Ces nouvelles plateformes sont-elles vraiment « passives » ? Sont-elles devenues trop grosses ? Doivent-elles être corrigées, détruites ou encore quittées ?

La Commission européenne souhaite recueillir l’avis d’une multitude d’acteurs à ce sujet. Il semble bien difficile d’anticiper ce sur quoi débouchera ce processus. Mais les enjeux sont si complexes et larges que ce débat pourrait bien aboutir à l’une des lois européennes dont les conséquences seront parmi les plus lourdes. Notre réponse à la consultation de la Commission est courte et simple.

Réponse à la consultation publique sur le Digital Service Act

S’il faut remettre en cause le régime des hébergeurs Web, la question centrale concernera les plateformes géantes, telles que Facebook, Youtube ou Twitter, qui jouent un rôle de plus en plus actif et nuisible dans la hiérarchisation des informations qu’elles diffusent. Leur « économie de l’attention » semble favoriser les échanges les plus virulents et polémistes au détriment des discussions argumentées et d’entre-aide.

En appliquant strictement la directive e-commerce, ces plateformes géantes pourraient être responsables de la quasi-totalité des informations qu’elles diffusent. Dans ces conditions, il est difficile d’imaginer que ces entreprises pourraient continuer d’opérer en Europe. Si cette conclusion serait bénéfique sur le long terme, il serait dangereux d’y arriver brusquement : des millions d’utilisateurs se retrouveraient soudainement privés de leurs moyens principaux de communication.

L’urgence est de permettre à ces utilisateurs de quitter dans les meilleures conditions ces plateformes géantes qui les maintiennent actuellement captifs et dont le modèle économique est fondamentalement contraire au droit et aux valeurs européennes, que ce soit en matière de données personnelles ou de liberté d’expression.

Obligation d’interopérabilité

Tout service d’hébergement, tel que défini à l’article 14 de la directive 2000/31, qui est fourni à des fins lucratives et dont le nombre d’utilisateurs est d’une grandeur significative doit être interopérable.

Un service est interopérable si, par l’application de standards techniques adéquats, il permet à ses utilisateurs d’échanger des informations avec les utilisateurs de services tiers qui appliquent ces mêmes standards.

Des standards techniques sont adéquats s’ils sont documentés, stables et conformes à l’état de l’art et qu’ils ne peuvent être modifiés de façon unilatérale.

Les utilisateurs d’un service interopérable peuvent échanger des informations de la même façon et aussi simplement avec les utilisateurs de ce même service qu’avec ceux des services tiers qui appliquent les mêmes standards.

Le respect de cette obligation est assuré par l’autorité visée à l’article 5 du code des communications électroniques européen, qui peut prononcer à cette fin amendes, astreintes et injonctions.

Explications

Plus de liberté

Cette obligation permettra aux internautes de quitter les plateformes géantes sans payer le coût social, souvent prohibitif, de perdre contact avec leur famille, amis, collègues ou réseaux d’entre-aide. Les internautes pourront rejoindre d’autres plateformes équivalentes depuis lesquelles ils et elles pourront continuer de communiquer avec leurs contacts restés sur les plateformes géantes.

Une fois partis, ces internautes n’auront plus de relation contractuelle avec la plateforme quittée, ce qui leur permettra de mettre fin aux conditions imposées contre leur libre consentement en matière de traitement de données personnelles ou de censure d’informations légitimes.

Cette liberté permettra aux internautes de rejoindre les services tiers dont les règles de modération répondent au mieux à leurs attentes, tandis que les plateformes géantes apparaissent aujourd’hui incapables de protéger leurs utilisateurs, notamment à cause de leur taille bien trop grande.

Standards techniques

Les plateformes géantes n’auront pas à être interopérables avec n’importe quel service, mais seulement avec les services qui appliqueront les mêmes standards techniques qu’elles.

Ces standards ne devront pas pouvoir être modifiés régulièrement et unilatéralement par une plateforme géante, sans quoi celle-ci pourrait rendre l’interopérabilité irréalisable en pratique.

Les standards devront correspondre à l’état de l’art tel que reconnu par l’autorité de contrôle. Actuellement, le standard ActivityPub apparaît comme la base de travail la plus évidente et la plus simple. Toutefois, en théorie, rien n’empêchera les plateformes géantes de proposer leurs propres standards à l’autorité de contrôle.

Plus de maitrise

L’interconnexion entre une plateforme géante et un service tiers ne sera pas automatique mais se fera à la demande et dans les conditions de chaque utilisateur, qui sélectionnera les utilisateurs et services tiers avec qui communiquer.

Ainsi, les utilisateurs des plateformes géantes ne seront pas mis en difficulté par l’interopérabilité mais garderont tout le contrôle des personnes avec qui elles communiquent – si un utilisateur décide de ne pas bénéficier des possibilités permises par l’interopérabilité, alors celle-ci n’aura aucune conséquence pour lui.

De même, l’interopérabilité n’impliquera aucune obligation de modération supplémentaire pour les plateformes géantes dans la mesure où elles ne sauraient être tenues responsables d’informations partagées par des tiers avec lesquels elles n’ont aucune relation contractuelle ni d’aucune nature. Rien n’empêche toutefois les plateformes de modérer les messages d’utilisateurs tiers si elles souhaitent fournir ce service.

Un principe au cœur du Net

Le principe d’interopérabilité n’est pas nouveau mais, au contraire, aux sources même d’Internet, décentralisé, avant que de grandes plateformes ne s’imposent et ne deviennent si difficile à vivre.

Le principe du courrier électronique est un des plus anciens exemples d’interopérabilité : il ne serait aujourd’hui pas concevable de ne pas pouvoir communiquer avec une personne dont le courrier électronique n’est pas géré par le même fournisseur.

Ainsi, l’interopérabilité imposée aux plateformes géantes viendra parfaitement compléter l’interopérabilité déjà prévue en matière de communications interpersonnelles par l’article 61, §2, c, du code des communications électroniques européen.

État du débat en France

Notre proposition est défendue par une large partie de la sphère politique française. Le gouvernement la soutient, son secrétaire d’État au numérique, Cédric O, ayant déclaré à l’Assemblée nationale, lors de débat sur les règles de modération des grands réseaux sociaux, que « l’interopérabilité est une des solutions […] C’est à l’Europe d’imposer des règles en matière d’interopérabilité, comme elle l’a fait pour la protection des données ». Dans le même débat parlementaire, plus de 60 députés de droite comme de gauche ont déposé sept amendements visant à imposer et favoriser l’interopérabilité des grandes plateformes. En parallèle, le Sénat adoptait une proposition de loi « visant à garantir le libre choix du consommateur dans le cyberespace », notamment en imposant des obligations d’interopérabilité.

Ces initiatives législatives font suites à différentes positions de l’administration, telle que l’ARCEP, moteur dans ces avancées, ou la direction générale du trésor invite proposant des « obligations de développer des standards techniques facilitant l’interopérabilité des services et les possibilités de migration des utilisateurs […] lorsque des problèmes concurrentiels associés à une plateforme apparaissent structurels et durables et appellent donc une intervention continue pour être réglés ». Ces initiatives faisaient elles-même suite à une position commune de mai 2019 signée par 75 organisations françaises afin d’imposer l’interopérabilité aux géants du Web.

]]>
#FreeAssangehttps://www.laquadrature.net/?p=16084http://streisand.me.thican.net/laquadrature.net/index.php?20200908_135330__FreeAssangeTue, 08 Sep 2020 11:53:30 +0000Alors qu’a repris ce lundi 7 septembre le procès relatif à l’extradition de Julien Assange, nous republions ici l’appel de la Maison des lanceurs d’alerte en faveur de sa libération immédiate, l’abandon des charges pesant contre lui, et l’octroi à Julian Assange de l’asile constitutionnel par la France.

Défendre Assange et WikiLeaks aujourd’hui, c’est défendre l’horizon démocratique. C’est dénoncer les faux-semblants de la transparence et ne pas s’y résigner. C’est revendiquer l’héritage des combats contre la raison d’État et son arbitraire, contre l’opacité bureaucratique et l’infantilisation qu’elle génère. C’est non seulement encourager la systématisation des divulgations d’intérêt public, mais aussi se montrer solidaires de toutes celles et ceux qui essuient la violence d’État parce qu’elles ont eu l’audace de la percer à jour.

Durant le mois qui vient, diverses mobilisations et actions festives seront organisées en soutien à Assange. Plus d’informations ici.

Procès de Julian Assange : la Maison des Lanceurs d’Alerte réitère sa demande d’asile pour le fondateur de WikiLeaks

Le 7 septembre 2020 s’ouvrira à nouveau le procès en extradition de Julian Assange, fondateur de WikiLeaks. Ce dernier risque d’être extradé vers les États-Unis, pays dans lequel un grand jury de l’état de Virginie a engagé le 23 mai 2019, des poursuites sur le fondement de l’« Espionage Act » de 1917. Les 18 charges que ce grand jury a retenues contre lui l’exposent à une peine de 175 ans de prison. En outre, le 23 juin 2020, les États-Unis ont renforcé leurs accusations contre Julian Assange, qui est désormais accusé d’avoir conspiré avec des pirates informatiques pour hacker les serveurs de l’Organisation du Traité de l’Atlantique Nord (OTAN).

Comme l’a rappelé la Maison des Lanceurs d’Alerte aux côtés de 16 autres organisations le 19 février 2020, il s’agit d’une attaque inédite contre les libertés fondamentales, portant atteinte au droit à la vie de Julian Assange, et à la liberté de la presse. En conséquence, la Maison des Lanceurs d’Alerte avait demandé aux côtés de 9 autres organisations, le 27 février 2020, que la France accorde à Julian Assange l’asile politique pour des raisons humanitaires, compte tenu des dangers qui le menacent et des attaches familiales qui le lient à la France d’une part, et d’autre part pour la sauvegarde de la liberté d’informer, la liberté de la presse et des valeurs démocratiques.

L’enfermement que Julian Assange a subi pendant près de 7 ans au sein de l’ambassade d’Équateur à Londres, suivi d’une détention de presque un an dans une prison de haute sécurité, a considérablement fragilisé l’état de santé de ce dernier. Dans ces conditions, un renvoi vers les États-Unis, où il est menacé d’une peine de 175 ans de prison sans avoir la pleine capacité de se défendre de manière équitable, l’exposerait à des traitements inhumains et dégradants au sens de l’article 3 de la Convention Européenne des Droits de l’Homme.

Au-delà, les charges contre Julian Assange reposent quasi exclusivement sur des activités que mènent au quotidien tous les journalistes d’investigation, à savoir la publication d’informations auparavant tenues secrètes. Au-delà du sort réservé au fondateur de Wikileaks, une telle inculpation porterait donc une atteinte grave au droit fondamental à la liberté d’expression, de nature à réduire à néant la protection dont bénéficient les journalistes dans toute l’Europe.

En conséquence, la Maison des Lanceurs d’Alerte demande la libération immédiate de Julian Assange et l’abandon des charges pesant contre ce dernier. En outre, elle réitère sa demande auprès des autorités Françaises d’accorder sans délai au fondateur de Wikileaks l’asile constitutionnel en France.

]]>
Nous attaquons la reconnaissance faciale dans le TAJhttps://www.laquadrature.net/?p=16069http://streisand.me.thican.net/laquadrature.net/index.php?20200807_090753_Nous_attaquons_la_reconnaissance_faciale_dans_le_TAJFri, 07 Aug 2020 07:07:53 +0000Nous venons de déposer un recours devant le Conseil d’Etat contre les dispositions du code de procédure pénale qui autorisent la police à utiliser la reconnaissance faciale pour identifier les personnes fichées dans le TAJ (pour « Traitement des Antécédents Judiciaires »). Ce fichier comporte 19 millions de fiches et plus de 8 millions de photos. Il permet déjà à la police, et depuis plusieurs années, d’utiliser de façon massive la reconnaissance faciale en France sur la voie publique, sans aucune justification ni aucun cadre juridique. Il est temps d’y mettre fin.

Nous en parlions déjà l’année dernière : alors que le gouvernement essaie de faire croire qu’il souhaite un débat public avant de déployer la reconnaissance faciale en France, celle-ci est déjà en réalité bien en place. Expérimentée sur la voie publique à Nice l’année dernière, elle est aussi présente dans plusieurs aéroports et gares avec les portiques « Parafe » et sera au cœur de la prochaine application d’identité numérique « Alicem ».

C’est surtout avec le fichier du « Traitement des antécédents judiciaires » que ce déploiement est le plus évident (nous en parlions ici). Ce fichier contient, en plus d’un très grand nombre d’informations, les photographies des visages de toute personne « mise en cause » lors d’une enquête de police. C’est-à-dire non seulement les personnes condamnées, mais aussi celles innocentées par la suite lors de l’enquête et dont les photos sont très souvent conservées malgré elles dans ce fichier. Le TAJ contient aujourd’hui, selon un rapport parlementaire et la CNIL, 19 millions de fiches et 8 millions de photographies de visage.

Le code de procédure pénale, dans son article R40-26, permet explicitement à la police et à la gendarmerie d’utiliser la reconnaissance faciale sur ces millions de photographies. Comme la CNIL l’expliquait dès 2011, ce système permet « de comparer à la base des photographies signalétiques du traitement, les images du visage de personnes impliquées dans la commission d’infractions captées via des dispositifs de vidéoprotection », c’est-à-dire comparer par exemple le visage d’une personne filmée dans la rue par une caméra aux photographies stockées dans le fichier pour l’identifier. Cette technique est d’ores et déjà utilisée pour des affaires courantes et, récemment avec le confinement, de forts soupçons de détournements de ce fichier pèsent sur certaines amendes adressées à des personnes « connues des services de police ».

La création du fichier TES, résultant de la fusion des fichiers des cartes d’identités et du TES passeport, accentue fortement ce risque. En effet, ce fichier, dont l’accès par la police a été grandement étendu suite à la loi Renseignement, regroupera les photographies présentes sur les passeports et cartes d’identité de l’ensemble de la population français. Ces développements pourraient permettre à la police d’aller beaucoup plus loin dans son utilisation de la reconnaissance faciale et de procéder ainsi à une réelle surveillance biométrique de masse. Une analyse détaillée est disponible ici.

La nécessité d’une action contentieuse

La surveillance biométrique est exceptionnellement invasive et déshumanisante. Elle permet un contrôle invisible, permanent et généralisé de l’espace public. Elle fait de nous une société de suspect·es. Elle attribue à notre corps une fonction de traceur constant, le réduisant à un objet technique d’identification. Elle abolit l’anonymat.

C’est pourquoi nous attaquons aujourd’hui ces dispositions du code de procédure pénale sur le TAJ : pour ne laisser aucune place, ni répit, à cette surveillance biométrique. Tout comme nous avons attaqué (et gagné) contre les portiques de reconnaissance faciale dans les lycées de la région Sud. De même contre l’application Alicem. Ou contre la vidéosurveillance automatisée de Marseille. Ou comme lorsque nous avons demandé avec une centaine d’associations l’interdiction de la reconnaissance faciale.

Nous fondons principalement notre recours juridique sur la notion de « nécessité absolue » qui est au cœur de la directive européenne dite « police – justice » (la version « policière » du RGPD). En effet, l’article 10 de cette directive indique que tout traitement de données biométriques (dont le visage fait évidemment partie) et qui est réalisé afin d’identifier une personne n’est possible qu’en cas de « nécessité absolue » et « sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ».

Or, ce n’est évidemment pas le cas pour le TAJ : aucune « nécessité absolue » n’est susceptible de venir justifier un tel dispositif, et rien n’a d’ailleurs été jamais avancé dans ce sens par le gouvernement. Au contraire, quand la ministre de la Justice répond à notre courrier de demande d’abrogation de ces dispositions, elle le qualifie seulement d’ « aide technique » (bien loin donc de toute « nécessité absolue »). Par ailleurs, il n’existe évidemment aucune « garantie appropriée » à ce type de dispositif. Les dispositions qui permettent la reconnaissance faciale à partir des photos du TAJ apparaissent donc en contradiction flagrante avec le droit européen et la loi française qui a transposé directement ces différents principes.

La reconnaissance faciale dans le TAJ est une des pierres angulaires de la surveillance biométrique en France, et c’est pourquoi nous l’attaquons aujourd’hui. Et nous continuerons de dénoncer et d’attaquer les autres déploiement de cette surveillance : non seulement la reconnaissance faciale, mais aussi l’ensemble des autres techniques de surveillance qui continuent de se répandre à travers la Technopolice.

]]>
Il est temps d’arrêter les prolongations sécuritaireshttps://www.laquadrature.net/?p=16032http://streisand.me.thican.net/laquadrature.net/index.php?20200717_111550_Il_est_temps_d___arreter_les_prolongations_securitairesFri, 17 Jul 2020 09:15:50 +0000Lettre ouverte de l’Observatoire des libertés et du numérique (OLN), Paris, le 17 juillet 2020

L’Observatoire des Libertés et du Numérique et d’autres associations (1) interpellent les parlementaires afin qu’ils rejettent le projet de loi prorogeant la loi SILT et les « boites noires » de renseignement (« relatif à la prorogation des chapitres VI à X du titre II du livre II et de l’article L. 851-3 du code de la sécurité intérieure »).

Ce projet de loi vise à prolonger, pour ensuite les pérenniser et les renforcer – comme l’affiche sans complexe le gouvernement – un ensemble de mesures sécuritaires adoptées avec des limites temporelles en raison de leur caractère liberticide. Elles sont prolongées alors que leur nécessité, leur efficacité et leur proportionnalité n’ont pas été démontrées.

Il s’agit des mesures prévues par la loi n° 2017‑1510 du 30 octobre 2017 « renforçant la sécurité intérieure et la lutte contre le terrorisme » dite « SILT » : les mesures individuelles de contrôle administratif et de surveillance (MICAS), les périmètres de protection (zone de contrôle), les visites et saisies domiciliaires (perquisitions administratives), les fermetures de lieux de culte, ainsi que les algorithmes – ou boites noires – de renseignement adoptés avec la loi n° 2015‑912 du 24 juillet 2015 relative au renseignement.

Ces dispositifs avaient, pour répondre aux nombreuses contestations soulevées lors de l’examen de ces textes, fait l’objet d’un délai maximal d’expérimentation en raison des atteintes aux libertés fondamentales qu’ils recèlent. Cette période devait par ailleurs donner lieu de la part du gouvernement et du Parlement, à des évaluations, lesquelles sont pour partie manquantes. En effet, la mission de contrôle de la loi SILT de l’Assemblée nationale n’a pas rendu de rapport d’évaluation. L’exigence d’une évaluation a pourtant été maintes fois rappelée que ce soit par la CNCDH ou encore récemment par la Rapporteuse spéciale des Nations Unies sur la promotion et la protection des droits de l’homme dans la lutte anti-terroriste(2). S’agissant des boites noires, prolongées une première fois alors qu’elles auraient dû initialement s’achever le 31 décembre 2017, elles devaient faire l’objet d’un rapport d’évaluation du gouvernement au 30 juin 2020, date limite dépassée. Pire encore, le gouvernement a fait fi de ce que la Commission Nationale de Contrôle des Techniques de Renseignement avait demandé que ce rapport soit réalisé peu après la première année de leur mise en service (soit vers la fin de l’année 2018). Si l’on a récemment appris que le gouvernement aurait finalement réalisé une évaluation – toujours confidentielle jusqu’ici – de cette surveillance algorithmique, l’intérêt de ces mesures semble très discutable alors que leurs conséquences sur les libertés sont particulièrement conséquentes (3).

Prétextant la crise sanitaire, le gouvernement entend repousser encore d’un an ces « expérimentations » et par la même occasion les évaluations s’y attachant. Alors que ce projet de loi vise à être adopté dans le cadre d’une procédure accélérée sans aucun débat (notre demande d’audition auprès du rapporteur du texte et de la commission des lois étant notamment restée lettre morte), l’objectif poursuivi par le gouvernement est limpide : « Dans le délai ouvert par cette prorogation, un projet de loi viendra pérenniser ces dispositions, mais également compléter ou modifier ces deux lois, afin de tenir compte des nécessaires évolutions induites par les besoins opérationnels ».

Les intentions de l’Exécutif sont affichées : proroger uniquement pour lui laisser le temps de pérenniser et aggraver ces dispositifs liberticides.

Si lors des débats du mercredi 8 juillet, la commission des lois de l’Assemblée nationale a proposé de réduire le report des mesures en question à 6 mois, il n’en demeure pas moins que la représentation nationale devrait s’opposer purement et simplement à cette prorogation.

Un tel projet de prorogation est un nouveau témoin de la dérive sécuritaire des autorités françaises. L’absence de toute remise en question de ces dispositifs de surveillance et de contrôle n’est qu’une preuve une fois de plus de l’effet « cliquet » de ces dispositifs sécuritaires qui, une fois votés avec la promesse de leur caractère provisoire, sont en réalité constamment prorogés et aggravés.

Afin, dans les mots du nouveau ministre de la Justice de « quitter un peu les rives du sécuritaire en permanence », nous appelons donc les parlementaires à rejeter ce projet de loi pour, a minima, forcer la tenue d’une évaluation et d’un débat sérieux sur ces dispositifs ou les laisser enfin disparaitre.

(1)Signataires :

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

Autres associations : Action Droits des Musulmans (ADM) ; Le Collectif des Associations Citoyennes (CAC)

(2) Ainsi Fionnuala Ni Aolain, le 24 juin 2020, regrette « que les MICAS n’aient été évaluées comme le prévoient les clauses d’extinction (ou clause ‘sunset’) prévues par la loi SILT, et qu’elle soit donc un moyen de contourner l’obligation de vérifier l’efficacité, la proportionnalité, la nécessité et l’aspect non- discriminatoire de ces mesures »

(3) Pour un rappel des enjeux de ces textes, nous vous renvoyons notamment vers ces ressources :

Le numérique assigné à l’état d’urgence permanent, communiqué de l’OLN du 3 oct. 2017 : https://www.ldh-france.org/numerique-assigne-letat-durgence-permanent/

France / Loi SILT. Amnesty International France demande une évaluation indépendante prenant en compte les droits humains, 12 février 2020 : https://www.amnesty.fr/presse/france–loi-silt.-amnesty-international-france

Un an de mise en oeuvre de la loi SILT – Rapport 2018, Réseau Antiterrorisme, droits et Libertés : https://antiterrorisme-droits-libertes.org/IMG/pdf/silt_analyse_juridique_mise_en_oeuvre_et_contenieux_annee_i_-2017_2018-3.pdf

Renseignement : derrière le brouillard juridique, la légalisation du Deep Packet Inspection, Félix Tréguer, 15 nov. 2017 : https://www.laquadrature.net/2017/11/15/renseignement_legalisation_dpi/

]]>
Accès aux contenus pornographiques : le Parlement doit retirer l’article 11 !https://www.laquadrature.net/?p=15998http://streisand.me.thican.net/laquadrature.net/index.php?20200703_093755_Acces_aux_contenus_pornographiques____le_Parlement_doit_retirer_l___article_11___Fri, 03 Jul 2020 07:37:55 +0000MAJ : Le Parlement a définitivement adopté cette proposition de loi le 21 juillet 2020.

Le Parlement s’apprête à voter un nouveau dispositif de surveillance et de censure de l’Internet. Il s’agit des articles 11 et 11 bis A de la loi sur la protection des victimes des violences conjugales, tels que votés par le Sénat le 9 juin. Ces articles imposent aux sites qui hébergent des contenus pornographiques de recourir à des dispositifs de vérification d’âge pour empêcher que les mineur·es y aient accès. De telles obligations, nourries des volontés gouvernementales de nous identifier partout et tout le temps, ne peuvent qu’entraîner de nouvelles et multiples atteintes à nos libertés. Elles risquent aussi de parasiter, en les déshumanisant, les questionnements autour de l’accompagnement des enfants dans la découverte d’Internet, qui devraient pourtant être au cœur des réflexions. Le Parlement a encore une chance de rejeter une partie de cette idée : il doit la saisir.

Tout commence avec l’article 227-24 du code pénal. Depuis 1994, celui-ci prévoit que le fait « de diffuser (…) un message à caractère violent, incitant au terrorisme, pornographique (…) est puni de trois ans d’emprisonnement et de 75 000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur ». Quand cet article a été adopté, l’objectif avancé par le législateur était de « poursuivre les minitels roses qui sont aisément accessibles à des mineurs ». Aujourd’hui, cet article sert de prétexte pour interdire tout site internet qui permet à des mineur·es de consulter des contenus pornographiques.

Il s’avère qu’une telle interdiction, assez peu réaliste en l’état, n’est aujourd’hui pas mise en œuvre. Néanmoins, depuis sa création, cet article du code pénal est utilisé pour pousser différentes idées de contrôle et de surveillance d’Internet : obligation d’utiliser une carte d’identité numérique « qui permettrait au visiteur de justifier de sa majorité sur Internet », filtrage par défaut par les fournisseurs d’accès ou blocage administratif des sites… Tant de mesures qui, sur ce sujet, étaient pour l’instant restées au stade d’idées et n’avaient pas été mises en place.

Le gouvernement d’Emmanuel Macron en a néanmoins fait une de ses priorités. Ce dernier l’annonce lui-même en 2019 : « On va maintenant, enfin, préciser dans notre code pénal que le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante contre l’accès à la pornographie des mineurs ». Et de revenir aussi sur l’idée d’une généralisation des « dispositifs de vérificateur d’âge efficaces ».

Marc Dorcel et le Parlement

Comme pour la loi Avia, c’est une députée LREM qui s’est retrouvée avec la mission de retranscrire dans une loi les directives d’Emmanuel Macron : Bérangère Couillard. En décembre 2019, elle dépose une proposition de loi « visant à protéger les victimes des violences conjugales », avec un article 11 qui propose d’indiquer explicitement à l’article 227-24 du code pénal que « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs ». Et dès l’examen en
commission
, elle relève que cela ne sera pas suffisant et qu’il faudrait aller encore plus loin : « la seule menace réellement dissuasive à l’encontre des conglomérats dont le modèle économique repose sur la captation du trafic le plus important possible consiste dans le blocage des sites internet depuis la France ».

Cette idée du blocage s’est concrétisée plus tard quand le texte arrive au Sénat, et qu’un amendement est proposé en séance publique : la sénatrice Marie Mercier (groupe Les Républicains) propose ainsi de mettre le CSA dans le jeu : lorsque celui constate qu’un site ne respecte pas l’article 227-24 du code pénal, il peut ainsi le mettre en demeure de « prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé ». Dans le cas où le site n’obtempère pas, le CSA peut saisir le juge des référés, c’est-à-dire le juge de l’urgence, afin de mettre « fin à l’accès à ce service » : autrement dit, d’en faire bloquer l’accès par les fournisseurs d’accès à Internet. La justice peut déjà prononcer ce type de blocage, mais il s’agit ici de donner toute la légitimité au CSA pour le demander en urgence, et donc de lui accorder un pouvoir de pression supplémentaire.

D’après le gouvernement, l’amendement est poussé par la société Dorcel – qui produit et diffuse des contenus pornographiques –, lui permettant au passage de mettre en difficulté ses concurrents dont le modèle, gratuit, n’entraîne pas l’authentification des utilisateurs par leur carte bancaire, contrairement au sien. L’amendement est adopté par le Sénat et le texte en son entier est voté le 9 juin 2020.

Des parlementaires qui n’ont toujours rien compris à Internet

Où commencer la critique sur un aussi mauvais projet ?

Les parlementaires reprennent une idée poussée pendant plusieurs années au Royaume-Uni. Cette idée a fini par être abandonnée après que plusieurs associations ont souligné les dangers des dispositifs de vérification d’âge pour la vie privée des utilisatrices et utilisateurs. Manifestement, le gouvernement français n’apprend pas des erreurs de ses voisins et pense pouvoir faire mieux tout en recopiant le système britannique- sans faire autre chose. Une certaine logique Shadok.

Ensuite, le gouvernement s’obstine à mettre le CSA au centre de sa vision d’Internet, une autorité créée et pensée pour la télévision. Et cela alors même que le Conseil constitutionnel vient de jeter à la poubelle toutes les idées du gouvernement pour faire du CSA l’autorité en charge de la « haine sur Internet ». Ici, le but est d’en faire l’autorité en charge de la régulation sur Internet des contenus pornographiques. Or, face à une notion si mal définie en droit français, le CSA va se retrouver avec le pouvoir de décider de ce qui relève ou non de la pornographie, avec la menace derrière de saisine du juge des référés et de blocage.

Par ailleurs, comme l’avait fait le Royaume-Uni, les parlementaires ne détaillent pas dans la loi le dispositif de vérification d’âge : ils laissent aux sites et au CSA le soin de les décider entre eux. Mais un rapide passage en revue des solutions envisagées ne peut que faire craindre une surveillance inadmissible sur Internet.

S’agira-t-il, comme en parle Marie Mercier, d’utiliser France Connect, le service d’identité numérique de l’État ? Au-delà de l’énorme jeu de données traitées par ce dispositif (voir à ce titre l’arrêté qui les détaille), va-t-on vraiment demander à des personnes d’utiliser le même identifiant pour les impôts, la sécurité sociale et la consultation de sites avec contenus pornographiques ? Même si Cédric O semble avoir rejeté cette idée, il parlait pourtant bien en juillet 2019 d’une idée assez proche d’identité numérique et de passer sa carte d’identité sur un lecteur pour vérifier sa majorité.

Ou alors s’agira-t-il d’imposer l’utilisation d’une carte bancaire, comme l’espère Dorcel ? Les effets rebonds possibles d’une telle mesure sont problématiques, imposer la carte bancaire, c’est, notamment, risquer que les données récoltées sur la consultation du site puissent être collectées par d’autres personnes, par exemple celles ayant accès au relevé du compte bancaire… Sans compter que, comme cela a déjà été relevé, la Cnil n’a jamais reconnu la preuve de la majorité comme finalité possible pour l’utilisation d’une carte de paiement.

En réalité, quelle que soit la solution, elle implique le traitement de données profondément intimes avec le risque permanent et terrible d’une faille de sécurité et d’une fuite des données d’une large partie de la population.

Enfin, faut-il rappeler encore aux parlementaires que, quel que soit le dispositif choisi, il est fort possible qu’il traite de données « sensibles », au sens du droit européen (car pouvant révéler « l’orientation sexuelle d’une personne physique »). Or, tout traitement de ce type de données est interdit, et ne peut être autorisé que pour certaines exceptions précises.

Centralisation et déshumanisation

D’autres critiques doivent évidemment être faites à une telle proposition, et le STRASS, syndicat du travail sexuel, les répète depuis le dépôt de cette proposition de loi : du fait des dispositifs de contrôle d’âge qui deviendraient obligatoires à mettre en œuvre pour l’ensemble des sites pouvant proposer des contenus considérés comme « pornographiques », « la conséquence probable de cet article sera la censure massive de contenu pornographique voire érotique légal, artisanal, amateur et indépendant tout en favorisant de facto les grands distributeurs ». De même : « on peut aussi s’attendre à ce que cette loi entraîne le blocage des sites d’annonces d’escort et de webcam érotique basés à l’étranger ainsi que les sites Web de travailleurSEs du sexe indépendantEs, fragilisant d’autant une communauté déjà marginalisée par la définition très large du proxénétisme et la pénalisation du client ». En renforçant la pornographie industrielle aux détriments des indépendantes, ce sont les pratiques de cette première qui sont promues, avec ses clichés les plus sexistes et ses conditions de travail les plus abjectes. Il ne restera alors rien de l’objectif que s’était donné la loi, celui de « protéger les victimes de violences conjugales ».

Identification permanente, surveillance de notre intimité, censure, contrôle du CSA sur Internet… Autant de raisons qui devraient conduire les parlementaires à abandonner cette idée. D’autant plus qu’elle conduit, enfin et surtout, à déshumaniser la question autour de la découverte d’Internet, à faire penser qu’une machine s’occupe de poser des limites à cette découverte, que la question ne nous concerne plus. C’est encore une fois vouloir régler par un outil technique magique une question éminemment humaine.

Le texte devrait passer dans les prochaines semaines en commission mixte paritaire pour que l’Assemblée Nationale et le Sénat se mettent d’accord. Si le passage sur « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs » semble définitivement adopté, l’article 11 bis A sur les pouvoirs du CSA peut encore être retiré. Le Parlement doit se saisir de cette occasion pour retirer sa dangereuse proposition.

]]>
Racisme policier : les géants du Net font mine d’arrêter la reconnaissance facialehttps://www.laquadrature.net/?p=15991http://streisand.me.thican.net/laquadrature.net/index.php?20200622_160230_Racisme_policier____les_geants_du_Net_font_mine_d___arreter_la_reconnaissance_facialeMon, 22 Jun 2020 14:02:30 +0000À un moment où l’institution policière est remise en question, les multinationales de la sécurité tentent de se racheter une image par des effets d’annonce : elles arrêteraient la reconnaissance faciale car la technologie ne serait pas tout à fait au point et la police l’utiliserait à mauvais escient.

Arrêter la reconnaissance faciale ?

Plusieurs entreprises ont annoncé arrêter (temporairement ou non) la reconnaissance faciale. C’est d’abord IBM qui a ouvert le bal : l’entreprise a déclaré publiquement qu’elle arrêtait de vendre la reconnaissance faciale à « usage général » et appelle le Congrès américain à établir un « dialogue national » sur la question. Le même jour, une employée de Google dénonce les biais des algorithmes et la dangerosité de cette technologie. Le lendemain, Amazon affirme interdire l’utilisation par la police de son logiciel de reconnaissance faciale Rekognition pendant un an. Enfin, Microsoft dit vouloir arrêter de vendre de tels services tant qu’il n’y aura pas de cadre législatif plus précis.
Ce sont donc les entreprises à l’origine même de l’invention et de la mise au point de la reconnaissance faciale qui la dénoncent. Culotté.
Comme le montre bien Privacy International, IBM est une des premières entreprises à s’être lancée dans la reconnaissance faciale et à en avoir fait son fonds de commerce. Elle a carrément inventé le terme même de « Smart City » pour vendre toujours plus de systèmes de vidéosurveillance à travers le monde. Et, on y reviendra plus tard, la reconnaissance faciale n’est qu’une fraction des algorithmes vendus par IBM. Selon l’association britannique, IBM prend les devants pour éviter d’être accusée de racisme, comme ce fut le cas lorsque qu’il est apparu qu’elle vendait sa technologie aux Nazis pendant la Seconde guerre mondiale. En outre, c’est peut-être un moyen pour l’entreprise de se retirer d’un marché concurrentiel où elle ne fait pas office de leader, comme à Toulouse, où la mairie de J.-L. Moudenc a conclu un contrat avec IBM pour équiper une trentaine de caméras de VSA, sans succès apparent.

À travers ces déclarations, ces entreprises tentent d’orienter nos réponses à cette question classique qui se pose pour nombre de nouvelles technologies : la reconnaissance faciale est-elle mauvaise en soi ou est-elle seulement mal utilisée ? La réponse à cette question de la part d’entreprises qui font des bénéfices grâce à ces technologies est toujours la même : les outils ne seraient ni bons ni mauvais, c’est la façon dont on les utilise qui importerait.

C’est ainsi qu’une annonce qui s’apparente à un rétropédalage sur le déploiement de la reconnaissance faciale est en réalité la validation de l’utilité de cette technologie. Une fois que l’État aura établi un cadre clair d’utilisation de la reconnaissance faciale, les entreprises auront le champ libre pour déployer leurs outils.

Instrumentaliser les combats antiracistes pour se refaire une image

Que ce soit Google, Microsoft ou Amazon, les géants du numérique qui utilisent de l’intelligence artificielle ont déjà été épinglés pour les biais racistes ou sexistes de leurs algorithmes. Ces révélations, dans un contexte où de plus en plus de monde se soulève contre le racisme, au sein de la police notamment aux États-Unis, affectent de plus en plus l’image de ces entreprises déjà connues pour avoir peu de respect pour nos droits. Mais les géants du numérique ont plus d’un tour dans leur sac et maîtrisent les codes de la communication et gèrent avec attention leur image publique . Le débat autour des biais algorithmiques concentre l’attention, alors que pendant ce temps les questions de respect des données personnelles sont passées sous silence.
En annonçant mettre en pause l’utilisation de leurs outils de reconnaissance faciale tant qu’ils auront des biais racistes, Microsoft, IBM et Google font coup double : ils redorent leur image en se faisant passer pour des antiracistes alors qu’ils font leur business sur ces outils depuis des années et qu’ils imposent publiquement un débat dans lequel l’interdiction totale de la reconnaissance faciale n’est même pas envisagée.
Amazon fait encore plus fort, en prétendant interdire au gouvernement de se servir de Rekognition, son logiciel de reconnaissance faciale. Ainsi le message de l’entreprise est clair : ce n’est pas la reconnaissance faciale qui est dangereuse mais l’État.
Cette volte-face des géants du numérique rappelle leur énorme poids politique : après avoir passé des années à convaincre les autorités publiques qu’il fallait se servir de ces outils technologiques pour faire régner l’ordre, ils ont le luxe de dénoncer leur utilisation pour redorer leur blason. C’est le cas d’IBM, qui fait la promotion de la reconnaissance faciale depuis au moins 2012, en fournissant à la ville d’Atlanta, aux États-Unis, un programme de police prédictive avec les photos des criminels à haut risque. Et qui en 2020, dénonce son utilisation par la police, de peur que cela ne lui retombe dessus.

La reconnaissance faciale, un épouvantail qui rend la VSA acceptable

Ce qui est complètement passé sous silence dans ces annonces, c’est le fait que la reconnaissance faciale n’est qu’un outil parmi d’autres dans l’arsenal de surveillance développé par les géants du numérique. Comme elle touche au visage, la plus emblématique des données biométriques, elle attire toute la lumière mais elle n’est en réalité que la partie émergée de l’iceberg. En parallèle sont développés des outils de « vidéosurveillance automatisée » (reconnaissance de tenues vestimentaires, de démarches, de comportements, etc.) qui sont discrètement installés dans nos rues, nos transports en commun, nos écoles. En acceptant de faire de la reconnaissance faciale un outil à prendre avec des pincettes, les GAFAM cherchent à rendre acceptable la vidéosurveillance automatisée, et cherchent à rendre impossible le débat sur son interdiction.
Or, il est fondamental d’affirmer notre refus collectif de ces outils de surveillance. Car sous couvert « d’aide à la prise de décision », ces entreprises et leurs partenaires publics instaurent et réglementent les espaces publics. Quand une entreprise décide que c’est un comportement anormal de ne pas bouger pendant 5 minutes ou quand on se sait scruté par les caméras pour savoir si l’on porte un masque ou non, alors on modifie nos comportements pour entrer dans la norme définie par ces entreprises.

Les grandes entreprises de la sécurité ne sont pas des défenseuses des libertés ou encore des contre-pouvoirs antiracistes. Elles ont peur d’être aujourd’hui associées dans la dénonciation des abus de la police et de son racisme structurel. Leurs annonces correspondent à une stratégie commerciale bien comprise : faire profil bas sur certains outils pour mieux continuer à vendre leurs autres technologies de surveillance. En passant pour des « multinationales morales et éthiques » — si tant est que cela puisse exister — ces entreprises ne prennent que très peu de risques. Car ne soyons pas dupes : ni IBM, ni Microsoft et encore moins Amazon ne vont arrêter la reconnaissance faciale. Ces boîtes ne font que temporiser, à l’image de Google qui, en réponse aux dénonciations d’employé·es avait laissé entendre en 2018 que l’entreprise se tiendrait à distance du Pentagone, et qui a depuis lors repris ses collaborations avec l’armée américaine. Et, ce faisant, elles font d’une pierre deux coups : en focalisant le débat sur la reconnaissance faciale, les géants du numérique tentent non seulement de redorer leur image mais laissent aussi la porte grande ouverte pour déployer d’autres dispositifs de surveillance fondés sur l’intelligence artificielle et tout aussi intrusifs.

]]>
Loi haine : le Conseil constitutionnel refuse la censure sans jugehttps://www.laquadrature.net/?p=15976http://streisand.me.thican.net/laquadrature.net/index.php?20200618_193026_Loi_haine____le_Conseil_constitutionnel_refuse_la_censure_sans_jugeThu, 18 Jun 2020 17:30:26 +0000Victoire ! Après une longue année de lutte, le Conseil constitutionnel vient de déclarer contraire à la Constitution la quasi-intégralité de la loi de lutte contre la haine en ligne. Au-delà de sa décision, le Conseil constitutionnel refuse le principe d’une censure sans juge dans un délai imposé d’une heure ou de vingt-quatre heures.

En prétendant lutter contre la haine, la loi organisait en réalité une censure abusive d’Internet : la police pouvait exiger la censure de contenus à caractère terroriste en une heure ; les grandes plateformes devaient censurer tout contenu qui pourrait être haineux en vingt-quatre heures. Le Conseil constitutionnel a rendu une décision claire : ce principe de censure dans un délai fixe, que le Conseil critique violemment, est contraire à la Constitution. Comme nous le relevions dans nos observations envoyées au Conseil constitutionnel, un tel délai fixe, pour tout type de contenu, aggrave considérablement les risques de censures abusives, voire de censure politique. Le Conseil souligne que seuls les contenus manifestement illicites peuvent être retirés sans passer par un juge ; or, reconnaître qu’un contenu est manifestement illicite demande un minimum d’analyse, impossible en si peu de temps.

Notre victoire d’aujourd’hui est une lourde défaite pour le gouvernement. Il paie le prix d’une méthode irréfléchie et lourde de conséquences néfastes : alors que Facebook se vantait de lutter « efficacement » contre la haine en employant des armées de personnes et de machines pour censurer les contenus sur sa plateforme, le gouvernement a lancé une « mission Facebook » pour s’en inspirer. Il a ensuite chargé Madame Avia d’une loi pour imposer à l’ensemble de l’Internet le modèle de censure toxique et algorithmique de Facebook. Cette tentative aura été aussi inutile que dangereuse et inconstitutionnelle.

Mais, surtout, le gouvernement est intervenu au dernier moment pour faire « adopter à l’avance » en France le règlement européen contre la propagande terroriste, qui prévoit lui aussi une censure sans juge en une heure (lire notre analyse du texte). Alors que les débats européens sur ce sujet sont loin d’être terminés et qu’aucun compromis ne se dégage, la France a voulu mettre le législateur européen devant le fait accompli en tentant ce tour de force risqué. Son pari est entièrement perdu. Si le débat sur le règlement européen se poursuit, la France y aura perdu l’essentiel de sa crédibilité pour porter une proposition qu’elle est presque la seule, avec l’Allemagne, à vouloir imposer.

Pour lutter contre la haine en ligne, une autre stratégie, respectueuse des libertés fondamentales et d’un Internet libre, était possible : celle de l’interopérabilité. Cette voie, reprise par de nombreux amendements à droite comme à gauche durant l’examen de la loi haine, avait été repoussée par un gouvernement incapable de s’opposer véritablement aux géants du Net. En effet, le problème de la haine en ligne est accentué par le modèle économique des grandes plateformes qui ont un intérêt à mettre en avant des contenus conflictuels, voire haineux, qui feront réagir et rester sur leurs plateformes. Le législateur a refusé cette possibilité, se fourvoyant dans sa volonté de censure. Il faut désormais qu’il tire les conséquences de ce désaveu du Conseil constitutionnel.

Cette victoire est pour nous l’achèvement d’une longue année de lutte, à vos côtés, à tenter de convaincre les parlementaires que cette loi était contraire à la Constitution. Le Conseil constitutionnel sanctionne lourdement l’amateurisme du gouvernement et des député·es En Marche ayant renoncé à tout travail législatif sérieux.

]]>
La Technopolice progresse, la Cnil moulinehttps://www.laquadrature.net/?p=15970http://streisand.me.thican.net/laquadrature.net/index.php?20200603_133549_La_Technopolice_progresse__la_Cnil_moulineWed, 03 Jun 2020 11:35:49 +0000Depuis la crise sanitaire, la vidéosurveillance automatisée s’ancre un peu plus dans l’espace public : détection automatique du port de masque, de la température corporelle, des distances physiques… Ces dispositifs participent à la normalisation de la surveillance algorithmique et portent de nouvelles atteintes à nos libertés. Ils sont installés sans qu’aucune preuve de leur utilité n’ait été apportée, et souvent dans la plus complète opacité. La Cnil, en ne réagissant pas publiquement à ces dérives, participe à leur banalisation et à celle de toute la Technopolice.

Cela fait plus d’un an que nous combattons à travers la campagne Technopolice le déploiement de la vidéosurveillance automatisée. Elle s’est en quelques mois répandue dans de multiples villes en France (voir celles – très nombreuses – répertoriées sur le forum et le carré Technopolice). La crise sanitaire a, comme dans d’autres domaines, amplifié le phénomène. Ainsi, pendant que d’un côté la police a déployé illégalement ses drones pour démultiplier son pouvoir de surveillance sur le territoire, plusieurs collectivités ont passé des contrats avec des entreprises pour implémenter de nouvelles technologies de surveillance.

À Cannes et dans le métro parisien, la société Datakalab a fait installer son logiciel de détection de port de masque. Plusieurs mairies et écoles ont de leur côté déjà mis en place dans leurs locaux des caméras pour mesurer la température des personnes, avec pour objectif de les renvoyer chez elles en cas de température trop élevée – une expérimentation du même type est d’ailleurs en cours à Roissy. Quant à la mesure des distances physiques, elle est déjà en cours dans les transports à Cannes, et pas de doute qu’avec les propositions de plusieurs start-up, d’autres villes réfléchissent déjà à ces dispositifs.

Normalisation et opacité de la surveillance

La multiplication de ces dispositifs en crise sanitaire participe évidemment à la normalisation de la surveillance algorithmique. Derrière leurs apparences parfois inoffensives, ces technologies en banalisent d’autres, notamment la détection de « comportements suspects » ou le suivi automatique de personne selon un signe distinctif (démarches, vêtements…). Alors même que leur déploiement est programmé depuis plusieurs années, comment croire un seul instant que ces dispositifs seront retirés une fois la crise finie ? Au contraire, s’ils ne sont pas vigoureusement contestés et battus en brèche dès aujourd’hui, ils viendront simplement s’ajouter à l’arsenal toujours plus important de moyens de contrôle de la population. Le maire qui fait installer des caméras thermiques dans son école ne les considère-t-il pas lui-même comme « un investissement à long terme [pouvant] resservir au moment des épidémies de grippe et de gastro-entérite » ?

D’ailleurs, à Paris, l’expérimentation de détection de masque par la RATP dans la station de métro de Châtelet s’inscrit « dans le cadre du programme intelligence artificielle du groupe et du LAB’IA ». Nous dénoncions en février ce programme qui consiste pour la RATP à permettre aux industriels sécuritaires d’utiliser les usagères et usagers du métro comme des cobayes pour leurs algorithmes de détection automatique. Quelles entreprises y participent ? Quels algorithmes y sont testés ? Impossible de le savoir précisément. Car c’est l’autre caractéristique de ces expérimentations : leur opacité. Impossible de savoir quelles données traite le dispositif de Datakalab et de quelle manière, ou ce que captent, enregistrent et déduisent exactement les caméras thermiques d’Aéroports de Paris, ou les algorithmes de détection des distances à Cannes. À part une maigre communication dans la presse, les conventions conclues n’ont pas été publiées. Le seul moyen pour y avoir accès est d’adresser aux différents organismes concernés des demandes CADA (voir notre guide) et se plier à leur bon vouloir sur ce qu’ils souhaitent ou non communiquer.

Des dispositifs probablement illégaux

Au-delà de la normalisation et de l’opacité, plusieurs questions juridiques se posent.

On peut déjà critiquer la nécessité et la proportionnalité de tels outils : l’article 5 du RGPD impose que les données personnelles traitées doivent toujours être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Autrement dit, et comme le dit la Cnil elle-même : « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs ». Un tel questionnement semble totalement absent de la vidéosurveillance automatisée. N’y a-t-il vraiment aucun autre moyen de voir si des personnes portent un masque ou respectent des distances physiques que de les soumettre à une caméra et son algorithme ? N’importe quel humain semble pourtant capable de réaliser ces tâches. L’Humanité s’est très bien passée d’algorithme jusqu’à aujourd’hui.

Et quelle base légale pour ces dispositifs ? Par exemple, pour les caméras thermiques qui traitent des données dites « sensibles » (comme les données de santé) et dont le traitement est par principe interdit ? Il n’est autorisé que dans certaines conditions (article 9 du RGPD). Parmi ces exceptions, on trouve bien des motifs de « médecine du travail » ou de « santé publique » mais à chaque fois, de tels traitements doivent être basés sur le « droit de l’Union ou [le] droit de l’État membre ». Ce droit n’existe pas : il n’existe aucun cadre juridique spécifique à la vidéosurveillance automatisée. La Cnil dit d’ailleurs de nouveau elle-même : « En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs (…) les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques ».

De tels questionnements rejoignent ceux que nous posons constamment sur la vidéosurveillance automatisée et que nous avons soulevés lors d’un contentieux (aujourd’hui perdu) à Marseille. Comment ne pas s’étonner alors que la Cnil laisse se répandre cette Technopolice ?

Le silence coupable de la Cnil

Cela fait maintenant presque deux ans que nous avons rencontré des membres de la Cnil pour échanger sur ces sujets et depuis… rien. Ou presque : un avis sur les portiques de reconnaissance faciale et un avertissement sur un projet de capteurs sonores à Saint-Étienne (sur lesquels elle a volontairement communiqué). Et encore, seulement après que nous les ayons publiquement dénoncés et attaqués.

Depuis le début de la crise sanitaire, il semble bien qu’il y ait eu des échanges entre la Cnil et les entreprises ou autorités responsables sur les nouvelles expérimentations. C’est notamment le cas de celle à Cannes et dans le métro parisien, mais aussi pour l’expérimentation dans les aéroports. Or, là encore, aucune publicité n’a été faite sur ces échanges. Ils sont souvent pourtant d’un grand intérêt pour comprendre les velléités sécuritaires des autorités, des entreprises et pour mesurer les faiblesses des contrôles de la Cnil. C’était d’ailleurs le cas pour les portiques de reconnaissance faciale dans les lycées de la Région Sud où la Cnil avait rendu un avis non-public, que nous avons dû nous-même lui demander. La mollesse de la CNIL nous avait forcées d’agir de notre côté devant le tribunal administratif (où nous avons obtenu gain de cause quelques mois plus tard).

En dehors de ces quelques cas, l’action de la CNIL contre la Technopolice semble largement insuffisante. Son action se limite à émietter quelques principes théoriques dans ses communications (comme vu plus haut) mais n’en tire aucune conséquence concrète. Ou alors elle fait secrètement des contrôles dont nous ne sommes informés qu’après avoir attaqué nous-même le dispositif devant la justice. Ou alors elle ne veut rien faire. Rien sur les analyses d’émotions et la détection d’évènements violents en expérimentation à Nice, rien sur les logiciels de la société Briefcam installés dans plusieurs dizaines de villes en France, rien sur les capteurs sonores de Strasbourg, rien sur les logiciels de Huawei à Valenciennes.

Il est même extrêmement étonnant de voir être proposés et installés des outils de détection de température alors que la Cnil les a expressément interdits… On en vient presque à oublier qu’elle a le pouvoir d’ester en justice et de sanctionner (lourdement) le non-respect des textes [1]. Comme pour les drones, ce rôle semble quelquefois reposer sur les capacités contentieuses des associations.

Ce silence coupable participe à la prolifération des dispositifs sur le territoire français. Ces derniers, comme la reconnaissance faciale, doivent être combattus. Ils accroissent considérablement la capacité des autorités à nous identifier et à nous surveiller dans l’espace public, démultipliant les risques d’abus, et participent au déploiement d’une société de surveillance. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible, indolore et profondément déshumanisant.

[1] La critique de cette inaction de la Cnil pourrait d’ailleurs se faire de manière plus générale pour le peu de sanctions qu’elle rend au titre du RGPD, voir notamment 2 ans de RGPD : comparaison de l’application du règlement par les pays européens

]]>
Crise du Covid-19 : la technopolice profite de la stratégie du chochttps://www.laquadrature.net/?p=15957http://streisand.me.thican.net/laquadrature.net/index.php?20200602_172101_Crise_du_Covid-19____la_technopolice_profite_de_la_strategie_du_chocTue, 02 Jun 2020 15:21:01 +0000Ce texte a été publié au sein de l’œuvre collective « Résistons ensemble, pour que renaissent des jours heureux », (Télécharger au format epub et PDF) qui vise à faire le point sur la situation politique actuelle et à mettre en avant des propositions pour une société plus juste. Benoît Piédallu, membre de La Quadrature du Net, y tente une analyse de l’avancée des technologies de surveillance durant la crise du Covid19, dans un texte que nous reproduisons donc ci-dessous.

En février ou début mars 2020, voyant arriver la lame de fond de la pandémie, personne à La Quadrature du Net n’avait imaginé à quel point elle nous forcerait à mobiliser nos forces. Mobilisé·es à l’époque par la loi Avia (qui transfère des responsabilités de censure aux grandes plateformes), par la promotion de l’interopérabilité (qui imposerait ces mêmes grandes plateformes à se connecter à d’autres outils), ou encore à forcer la main à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur la législation des cookies, comment aurions-nous pu penser qu’un événement sanitaire allait bousculer à ce point notre agenda ?

Et pourtant, les premiers sujets sont vite arrivés. Quelques jours après le début du confinement officiel (le 17 mars), Orange a informé les médias que 17 % des Parisien·ne·s avaient quitté la capitale au début du confinement, ce que l’opérateur n’avait pu savoir qu’en utilisant des données de bornage de téléphones mobiles, pourtant non prévues à cette fin. Puis c’est la mise en place d’un système de traçage total de la population dont il a très vite été question. La police, décidant seule de qui avait le droit de se trouver dans les rues ou pas, en profita pour utiliser de manière massive ses drones, de la prévention à la verbalisation, à l’image de ces vidéos venant de Chine dont tout le monde se moquait pourtant quelques semaines plus tôt. Profitant de cette situation d’urgence, les élus locaux se trouvant sommés d’agir alors qu’ils se trouvaient dans un entre-deux-tours sans fin, de nombreuses entreprises se mirent à proposer, au vu et au su de tous, leurs technologies de surveillance, même gracieusement, sous prétexte de lutte contre la pandémie.

La surveillance de la population est un sujet de lutte depuis bien longtemps entre les associations de défense des droits fondamentaux d’une part, et les entreprises privées et les autorités d’autre part. Passées de paranos à tout juste réalistes à l’occasion de la parution des révélations Snowden en 2013, ces associations ont bénéficié d’une très courte fenêtre de tir avant qu’entreprises spécialisées et politiques pro-surveillance ne reprennent la main. C’est le RGPD, Règlement général sur la protection des données européen, qui en aura bénéficié dans sa rédaction. Mais, dans le fond, jamais le gouvernement français n’aura cessé d’ajouter des réglementations pour installer de nouveaux outils de surveillance de sa population, quand ce ne sont pas des technologies de surveillance mises en œuvre illégalement par différents services, et rendues légales une fois le législateur mis devant le fait accompli.

« Technopolice » est une campagne lancée par la Quadrature en septembre 2019, qui liste, dénonce – et lutte contre – les outils de surveillance urbaine. Qu’il s’agisse de la reconnaissance biométrique, de détection d’événement, d’usage de drones, de croisement et d’analyse algorithmique branchée sur les données urbaines, ils sont, depuis quelques années, déployés en catimini par des collectivités locales, majoritairement sous couvert d’expérimentation. Ce principe est un paravent qui leur permet souvent d’éviter le lancement d’appels d’offres, mais aussi de rassurer la population : en présentant à ses administré·e·s un projet comme « temporaire », un·e responsable politique peut plus facilement, sans avoir à prouver l’efficacité d’un système, le déployer dans l’espace public.

C’est aussi une technique utilisée au niveau national : à l’occasion de la loi de finances 2020, un article prévoyait la mise en place d’une expérimentation de trois ans (sic) par laquelle le ministère des Finances se voyait autorisé à capter des données sur divers services en ligne (leboncoin, eBay…), puis à leur appliquer des algorithmes à des fins de lutte contre la fraude fiscale. Et Cédric O demandait encore, fin décembre 2019, la mise en place d’une expérimentation nationale de la technologie de reconnaissance faciale, dont nous demandons de notre côté l’interdiction totale.

Pour chaque déploiement, il existe dans le monde une démonstration de détournement par l’administration : la reconnaissance faciale en Inde, présentée initialement pour retrouver les enfants perdus ? Utilisée pour lister les manifestant·e·s. L’utilisation du big data pour lutter contre la fraude fiscale ? Détournée aux Pays-Bas pour discriminer les populations les plus pauvres.

La crise que nous traversons a changé la donne : ces entreprises sécuritaires ne se cachent plus et vont démarcher les collectivités, organismes ou établissements de santé pour leur proposer des outils de surveillance et de contrôle de la population.
La police avoue utiliser ses drones sans base légale. Et en profite pour plus que doubler sa flotte à travers un contrat de quatre millions d’euros. Même des entreprises sans activité militaire ou de sécurité s’y mettent, à l’image de Sigfox dont le patron propose, comme solution alternative à l’application de traçage StopCovid, de fournir à la population des bracelets électroniques.

C’est la stratégie du choc qui est à l’œuvre. Profitant du traumatisme des bilans quotidiens de morts par milliers et du confinement imposé à une société animée par le lien social, les profiteurs de crise avancent leurs pions pour ouvrir une place durable à leurs marchés sécuritaires.
Pour certains, leurs noms sont connus de toutes et tous : ainsi Orange vend-il à des clients professionnels des statistiques basées sur les déplacements de ses abonnés, sans l’accord de ces derniers. Son nom se retrouve aussi lié à Dassault Système et Capgemini dans le développement de StopCovid, l’application de traçage de la population.

Tout est mis en œuvre dans l’idée que l’ennemi est le peuple. On lui ment, on le surveille, on le trace, on le verbalise s’il sort de chez lui. On rend responsables les malades, car ce sont certainement ceux qui n’ont pas respecté le confinement. On rend le peuple responsable individuellement en lui faisant porter le poids de la mort des autres. Pas une fois le pouvoir politique, durant cette crise, ne fera amende honorable sur ses manquements. Non : pour les gouvernants, dont les administrations détruisaient encore des masques courant mars, les solutions sont des outils de contrôle (température, port du masque), de surveillance (StopCovid, drones, patrouilles dans les rues), de nouvelles bases de données (extension de ADOC, pour les verbalisations routières, Contact Covid et SIDEP pour le traçage manuel des « brigades Covid »), ou encore le contrôle de l’information (Désinfox Coronavirus)…

Cet état d’urgence sanitaire, qui impose le confinement et ouvre de nouvelles bases de données de la population, devrait se finir au plus tard au 10 juillet 2020. Mais l’histoire récente montre qu’un état d’urgence temporaire peut aisément être reconduit plusieurs fois, jusqu’à entrer dans le droit commun. Et, même sans une reconduction législative perpétuelle, c’est l’entrée dans les habitudes qui est à craindre.

Le risque, c’est l’effet cliquet : une fois une technologie déployée, l’effort pour la supprimer sera largement supérieur à celui nécessaire pour empêcher son installation. Côté politique, par volonté de rentabiliser un investissement ou par peur de se voir reprocher par son électorat d’avoir réduit l’illusoire protection. Côté population, supprimer une technologie à laquelle les habitants se seront accoutumés demandera un effort considérable. Le déploiement, durant des mois, d’outils de contrôle tend à les faire se fondre dans le décor. Qui ira demander l’abandon d’outils acquis à grands frais (8 000 € la caméra thermique fixe) une fois la pandémie passée ? Et comment décidera-t-on de la fin de cette pandémie : par l’arrivée d’un vaccin ? Tout comme l’état d’urgence contre le terrorisme a été intégré dans le droit commun, il est possible que l’hypothèse d’un retour du danger sanitaire autorise les autorités à conserver les dispositions prévues pour le Covid-19.

Mais la lutte contre un danger sanitaire est l’objet d’un plan de gestion des risques, pas d’un système de surveillance généralisé et permanent. Un plan qui prévoirait la mise à disposition continue d’un nombre suffisant de masques, et un système hospitalier adapté.

Alors quoi ? Quels outils politiques pour éviter la prolongation d’un état d’exception et cette tentation permanente de fliquer la population ?

Les élus, l’administration, le pouvoir, sont les moteurs, depuis plusieurs dizaines d’années, de cette inflation sécuritaire qui alimente quantité de discours et sert les idéologies politiques. Il faut donc dès maintenant informer l’opinion publique sur les risques qu’il y a à continuer dans cette voie, et la mobiliser pour la mise en place ou le renforcement de garde-fous. Nous proposons quelques pistes pour aller dans ce sens.

• La CNIL est en France l’autorité dont la mission est de veiller au respect des données personnelles, que ce soit par l’État ou les entreprises privées. Avant 2004, toute création de traitement devait passer par une autorisation de la CNIL. Elle n’est, depuis, qu’une autorité consultative dont le pouvoir a été limité aux sanctions contre les entreprises privées. Il est nécessaire que son autorité à l’encontre du législateur soit restaurée, ce qui implique d’améliorer son indépendance, par une augmentation de son budget, un changement du processus de nomination des commissaires, en développant la place de la société civile en son sein ainsi qu’en restituant son pouvoir de blocage réglementaire.

• L’utilisation de l’outil informatique par l’État doit être transparente. Les algorithmes utilisés pour prendre des décisions administratives doivent être publiés dès leur mise en œuvre.

• Afin de garantir une indépendance technique de ces mêmes administrations, il est nécessaire qu’elles utilisent des logiciels libres, que ce soit pour le système d’exploitation ou les logiciels courants.

• Les décisions politiques autour de l’usage de technologies ne doivent pas se faire sans la population. Il est nécessaire pour cela de prévoir à l’école et par la suite une formation suffisante au numérique, à ses conséquences techniques, sociales et politiques.

• L’installation d’outils de contrôle dans l’espace public doit être interdite tant qu’une alternative non automatisée est possible, ce qui exclut la quasi-totalité des outils déployés durant cette crise.

• Une limitation drastique des champs du renseignement (et l’arrêt de l’expérimentation sine die des boîtes noires), et un développement de ses contre-pouvoirs.

• Une limitation immédiate de la collecte et de la conservation des données de connexion, en conformité avec la jurisprudence européenne.

• Des sanctions rapides et drastiques contre le secteur du traçage publicitaire en ligne pour faire cesser rapidement les illégalités au regard du RGPD.

• Le développement d’un contre-pouvoir sérieux face aux abus de la police.

]]>
Loi Avia, nos observations devant le Conseil constitutionnelhttps://www.laquadrature.net/?p=15944http://streisand.me.thican.net/laquadrature.net/index.php?20200526_161150_Loi_Avia__nos_observations_devant_le_Conseil_constitutionnelTue, 26 May 2020 14:11:50 +0000Lundi dernier, les sénateurs Républicains ont saisi le Conseil constitutionnel contre la loi Avia, qui avait été définitivement adoptée le 13 mai. Le Conseil devrait se prononcer dans les semaines à venir. Pour l’y aider, nous nous joignons à Franciliens.net pour envoyer au Conseil notre contribution extérieure (accessible en PDF, 7 pages, ou ci-dessous). Notre objectif principal est de démontrer que le nouveau délai d’une heure prévu en matière de censure anti-terroriste est contraire à la Constitution.

Objet : Contribution extérieure des associations La Quadrature du Net et Franciliens.net sur la loi visant à lutter contre les contenus haineux sur internet (affaire n° 2020-801 DC)

Monsieur le président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

La Quadrature du Net est une association qui œuvre à la défense des libertés à l’ère du numérique. Franciliens.net est un fournisseur d’accès à Internet. À ce titre, les deux associations ont, durant les débats parlementaires de la proposition de loi visant à lutter contre les contenus haineux sur internet, attiré l’attention du public et des parlementaires notamment sur les articles 1er et 6 du texte, qui, pour plusieurs raisons, nous semblent contraires à la Constitution. Nous avons ainsi l’honneur de vous adresser cette présente contribution extérieure au nom des associations La Quadrature du Net et Franciliens.net afin de démontrer l’inconstitutionnalité de ces deux articles.

I. Sur le délai d’une heure en matière de censure antiterroriste

Le I de l’article 1er de la loi qui vous est déférée modifie le régime de censure administrative du Web, dont il faut brièvement rappeler l’historique.

L’article 4 de la loi n° 2011-267 du 14 mars 2011 a ajouté un cinquième alinéa au 7 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Cette disposition a donné à l’administration un pouvoir jusqu’ici réservé à l’autorité judiciaire : exiger que les fournisseurs d’accès à Internet bloquent les sites qu’elle désigne comme diffusant des images d’abus d’enfant. Dans la limite de la lutte contre de telles images, le Conseil constitutionnel avait reconnu cette disposition conforme à la Constitution dans sa décision n° 2011-625 DC du 10 mars 2011.

Trois ans plus tard, l’article 12 de la loi n° 2014-1353 du 13 novembre 2014 a déplacé cette disposition à l’article 6-1 de la LCEN en y apportant d’importantes modifications. La principale modification a été d’étendre cette censure aux sites que l’administration considère comme relevant du terrorisme – et ce toujours sans appréciation préalable d’un juge. Le Conseil constitutionnel n’a jamais examiné la constitutionnalité d’une telle extension.

Six ans plus tard, aujourd’hui, le I de l’article 1er de la loi déférée modifie encore cette disposition. La principale modification est de réduire à une heure le délai, jusqu’alors de 24 heures, dont disposent les sites et hébergeurs Web pour retirer un contenu signalé par l’administration avant d’être bloqués par les fournisseurs d’accès à Internet et moteurs de recherche.

C’est la réduction de ce délai que le Conseil constitutionnel examine aujourd’hui. Il ne fait pas débat que le dispositif de censure administrative et, par là-même, la réduction du délai de ce dispositif, porte atteinte à la liberté d’expression. S’il est de jurisprudence constante que le droit à la liberté d’expression est un droit fondamental protégé par le Conseil constitutionnel, il sera démontré ci-dessous que l’atteinte portée par la loi qui vous est déférée est disproportionnée et contraire à la Constitution.

Sur le défaut d’adéquation

En droit, la jurisprudence du Conseil constitutionnel exige que « toute mesure restreignant un droit fondamental […] doit être adéquate, c’est-à-dire appropriée, ce qui suppose qu’elle soit a priori susceptible de permettre ou de faciliter la réalisation du but recherché par son auteur »1« Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel.

En l’espèce, aucun site ou hébergeur Web n’est techniquement capable de supprimer en une heure l’ensemble des contenus que l’administration est susceptible de lui signaler. L’exemple le plus flagrant est celui de la vidéo de la tuerie de Christchurch du 15 mars 2019. Facebook a expliqué2« Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand que, au cours des 24 heures suivant la publication de la vidéo sur sa plateforme, ses services de modération ont supprimé 1,2 million de copies de la vidéo, mais ont échoué à en bloquer 300 000 autres copies. Si Facebook, avec ses milliers de modérateurs et ses algorithmes de pointe, a échoué à retirer entièrement cette vidéo en 24 heures, il est certain que la vaste majorité des hébergeurs seront parfaitement incapables de le faire en seulement une heure.

De façon plus triviale, mais tout aussi probante, les très nombreux sites ou hébergeurs Web, dont les administrateurs techniques ne travaillent ni la nuit ni le week-end, seront dans l’impossibilité de retirer en une heure les contenus signalés par la police au cours de ces périodes. Il en va ainsi par exemple de La Quadrature du Net, qui héberge 24 000 utilisateurs sur son réseau social mamot.fr, et dont les administrateurs techniques, bénévoles, ne travaillent ni la nuit ni le week-end.

En conclusion, le nouveau délai ne correspondant à aucune réalité technique, il n’est manifestement pas adéquat.

Sur le défaut de nécessité

En droit, une mesure restreignant un droit fondamental n’est conforme à la Constitution que si elle « n’excède pas ce qui est nécessaire à la réalisation de l’objectif poursuivi »3Valérie Goesel-Le Bihan,op. cit..

En l’espèce, le gouvernement n’a jamais produit la moindre étude ou analyse pour expliquer en quoi les contenus terroristes devraient systématiquement être censurés en moins d’une heure. La recherche scientifique est pourtant riche à ce sujet, et va plutôt dans un sens contraire. En 2017, l’UNESCO publiait un rapport4Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841 analysant 550 études concernant la radicalisation des jeunes sur Internet. Le rapport conclut que « les données dont on dispose actuellement sur les liens entre l’Internet, les médias sociaux et la radicalisation violente sont très limitées et ne permettent pas encore de tirer des conclusions définitives » et que « les données sont insuffisantes pour que l’on puisse conclure à l’existence d’un lien de cause à effet entre la propagande extrémiste ou le recrutement sur les réseaux sociaux et la radicalisation violente des jeunes ». Le rapport souligne que « les tentatives pour prévenir la radicalisation violente des jeunes sur l’Internet n’ont pas fait la preuve de leur efficacité, alors qu’il est clair qu’elles peuvent porter atteinte aux libertés en ligne, en particulier la liberté d’expression ». La radicalisation semble avant tout résulter d’interactions interpersonnelles et non de propagande en ligne – par exemple, Mohammed Merah, Mehdi Nemmouche, Amedy Coulibably et les frères Kouachi n’avaient pas d’activité en ligne5Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html en lien avec le terrorisme.

Puisque, dans la majorité des cas, il semble peu utile de censurer la propagande terroriste en ligne, il n’est manifestement pas nécessaire de la censurer systématiquement en moins d’une heure. Dans les cas où la censure rapide d’un contenu particulièrement dangereux serait requise, il suffirait de déterminer au cas par cas l’urgence nécessaire pour ce faire. C’est la solution qui a toujours résulté de l’application de la LCEN depuis 2004. Par exemple, en 2012, un hébergeur Web a été définitivement condamné6Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429 par la cour d’appel de Bordeaux pour ne pas avoir retiré en moins de 24 heures un contenu particulièrement sensible – des écoutes téléphoniques réalisées au cours de l’enquête judiciaire sur l’affaire AZF.

En conclusion, il n’est pas nécessaire d’exiger que les contenus terroristes soient systématiquement retirés en une heure dans la mesure où le droit antérieur suffit largement pour atteindre l’objectif poursuivi.

Sur le défaut de proportionnalité

En droit, « toute mesure restreignant un droit fondamental […] doit enfin être proportionnée au sens strict : elle ne doit pas, par les charges qu’elle crée, être hors de proportion avec le résultat recherché »7Valérie Goesel-Le Bihan, op. cit..

En l’espèce, le délai d’une heure est si court qu’il accroît hors de toute proportion acceptable les risques d’erreurs et d’abus.

Premièrement, l’urgence imposée par ce nouveau délai conduira à une multitude d’erreurs techniques et à retirer davantage de contenus que nécessaire. Ces erreurs seront d’autant plus probables que la plupart des hébergeurs n’auront jamais les moyens organisationnels de grandes plateformes comme Google ou Facebook. Trop souvent, dans l’urgence et sans organisation dédiée pour ce faire, la meilleure façon de retirer une image ou une vidéo en moins d’une heure sera de bloquer l’accès à l’ensemble d’un service. Ce type de dysfonctionnement n’est ni rare ni limité aux petites structures : en octobre 2016, en tentant d’appliquer l’article 6-1 de la LCEN, Orange avait bloqué par erreur8Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange l’accès à Google, Wikipédia et OVH pour l’ensemble de ses utilisateurs.

Deuxièmement, ce nouveau délai intervient dans un contexte juridique qui était déjà particulièrement flou. Les « actes de terrorisme » visés à l’article 421-2-5 du Code pénal, auquel l’article 6-1 de la LCEN renvoie, ne sont pas explicitement définis par la loi française. Il faut se référer à l’article 3 de la directive 2017/541, relative à la lutte contre le terrorisme, pour en avoir une définition textuelle. Il s’agit notamment du fait, ou de la tentative, de « causer des destructions massives […] à un lieu public ou une propriété privée », quand bien même aucun humain n’aurait été mis en danger et que le risque se limiterait à des « pertes économiques ». Pour relever du terrorisme, il suffit que l’acte vise à « contraindre indûment des pouvoirs publics ou une organisation internationale à accomplir ou à s’abstenir d’accomplir un acte quelconque ».

Ainsi, même s’il peut sembler évident de qualifier de terroriste une vidéo revendiquant un attentat meurtrier, cette qualification est beaucoup moins évidente s’agissant de propos politiques bien plus triviaux qui, d’une façon ou d’une autre, peuvent être liés à des destructions matérielles. Il peut s’agir par exemple d’appels vigoureux à aller manifester, ou encore de l’éloge de mouvements insurrectionnels historiques (prise de la Bastille, propagande par le fait, sabotage luddite…). Les hébergeurs n’auront plus qu’une heure pour apprécier des situations qui, d’un point de vue juridique, sont tout sauf univoques. Devant la menace d’importantes sanctions, les hébergeurs risquent de censurer quasi-automatiquement la plupart des contenus signalés par l’administration, sans la moindre vérification sérieuse.

Troisièmement, l’article 6-1 de la LCEN échoue à compenser le défaut de contrôle judiciaire préalable en prévoyant qu’une personnalité qualifiée de la CNIL, informée de toutes les demandes de censure émises par l’administration, puisse contester celles-ci devant les juridictions administratives. Dans les faits et depuis 2015, cette personnalité qualifiée est Alexandre Linden, qui n’a eu de cesse de dénoncer l’absence d’effectivité de sa mission. Il concluait ainsi son dernier rapport de 20199Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf, quant aux façons d’améliorer les conditions d’exercice de sa mission : « On peut une nouvelle fois légitimement s’interroger sur l’utilité de formuler des préconisations à l’issue de cette quatrième année d’activité, lorsque l’on constate que les préconisations mentionnées dans les trois premiers rapports d’activité n’ont pas été prises en compte par les autorités publiques […]. Cette situation compromet l’effectivité de son contrôle sur l’ensemble des demandes de retrait de contenus, de blocage ou de déréférencement ». Ne pouvant mener correctement cette mission, la CNIL a demandé au gouvernement qu’elle lui soit retirée – ce que l’article 7, IV, 3°, de la loi déférée a réalisé en confiant désormais cette mission au CSA.

Quatrièmement, à défaut d’intervention préalable de l’autorité judiciaire, cette nouvelle urgence permettra à l’administration d’abuser plus facilement de son pouvoir, tel qu’elle a déjà pu le faire. En septembre et octobre 2017, par exemple, la police nationale a invoqué l’article 6-1 de la LCEN pour exiger aux hébergeurs Indymedia Nantes et Indymedia Grenoble de retirer quatre tribunes anarchistes faisant l’apologie d’incendies de véhicules de le police et de la gendarmerie. La personnalité qualifiée de la CNIL, informée de ces demandes de censure, en a contesté la légalité devant le tribunal administratif de Cergy-Pontoise. Il a fallu attendre le 4 février 2019 pour que ce dernier reconnaisse10TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352 que la police avait abusé de ses pouvoirs dans l’ensemble des quatre demandes. Ainsi, l’administration a pu contourner la justice pendant un an et demi afin de censurer des opposants politiques. Réduire à une heure le délai laissé aux hébergeurs pour évaluer un contenu signalé par la police ne fera qu’accroître les risques que celle-ci abuse de son pouvoir.

En conclusion, le nouveau délai d’une heure aggrave hors de toute proportion acceptable les risques d’erreurs techniques ou juridiques propres au dispositif de censure administrative, ainsi que les risques d’abus de la part d’une administration qui échappe à tout contre-pouvoir effectif.

Il est utile de souligner que, si le projet de règlement européen visant à lutter contre les contenus terroristes en ligne prévoit aussi un délai d’une heure pour retirer les contenus signalés, ce délai est le principal point de désaccord du débat législatif concernant ce texte, et ce débat est loin d’être achevé. Au cours du dernier examen du Parlement européen, un amendement11Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf de Mme Eva Joly a proposé de remplacer le « délai d’une heure » par « les plus brefs délais » : cet amendement n’a été rejeté qu’à 297 voix favorables contre 300 voix défavorables12Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR, et ce alors même que le texte prévoit davantage de garanties que le droit français, en exigeant notamment que l’injonction de retrait ne puisse être émise que par « une autorité judiciaire ou une autorité administrative fonctionnellement indépendante »13Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html.

II. Sur le nouveau régime de censure en 24 heures

Le II de l’article 1er de la loi qui vous est déférée ajoute un article 6-2 à la LCEN, qui crée un nouveau régime de responsabilité spécifique à certains intermédiaires techniques et à certaines infractions. Ce nouveau régime est contraire à la Constitution en raison de l’atteinte disproportionnée à la liberté d’expression qu’elle entraîne, au moins de deux façons.

Sur les plateformes concernées

L’objectif de ce nouveau régime est de contenir la diffusion des discours de haine et de harcèlement sur les grandes plateformes commerciales, en premier titre desquelles Facebook, Youtube et Twitter, en leur imposant des obligations spécifiques. Toutefois, cette obligation ne pèse pas seulement sur les grandes plateformes commerciales, à l’origine du problème, mais sur tout « opérateur » visé à l’article L. 111-7 du code de la consommation et dont le nombre d’utilisateurs dépasse un seuil fixé par décret (que l’on nous annonce à 2 millions). En pratique, des sites sans activité commerciale, tel que Wikipédia, seront aussi concernés.

Pourtant, le modèle de modération de ces plateformes non-commerciales, qui repose sur une communauté bénévole et investie, a pu se montrer plus efficace pour limiter la diffusion de la haine et du harcèlement que les grandes plateformes commerciales. Ce constat n’est remis en cause ni par la rapporteure de la loi déférée ni par le gouvernement. Tout en restant perfectibles, les plateformes non-commerciales satisfont déjà largement l’objectif poursuivi par la loi déférée. Il n’est pas nécessaire de leur imposer de nouvelles obligations qui nuiront à leur développement et à la liberté de communication de leurs utilisateurs.

En conséquence, ce nouveau régime porte une atteinte disproportionnée au droit à la liberté d’expression. À titre subsidiaire, ce nouveau régime ne pourrait être conforme à la Constitution qu’à la condition que son champ d’application soit interprété de façon à exclure les plateformes non-lucratives, par exemple tel que le prévoit l’actuel projet de loi relatif à la communication audiovisuelle14http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16 dont l’article 16, qui crée un nouveau régime de responsabilité en matière de droit d’auteur, ne s’applique qu’aux opérateurs qui organisent et promeuvent les contenus hébergés en vue d’un tirer un profit, direct ou indirect.

Sur le délai de 24 heures

Le nouveau régime impose un délai de 24 heures pour retirer les contenus signalés. La disproportion de ce nouveau délai résulte des mêmes constats déjà détaillés pour le nouveau délai d’une heure imposé en matière de terrorisme.

Le délai de 24 heures n’est pas adéquat, car il ne sera techniquement pas réaliste – même Facebook échoue à supprimer en 24 heures les pires vidéos terroristes. Le délai de 24 heures n’est pas nécessaire, car le droit actuel suffit largement pour fixer au cas par cas, en fonction de la gravité de chaque contenu, la célérité requise pour le retirer. Le délai de 24 heures n’est pas proportionné, car il aggravera les risques d’abus par la police, qui pourra plus facilement faire exécuter des demandes de censure excessives que les hébergeurs avaient, jusqu’alors, le temps d’analyser et de refuser.

En conséquence, le II de l’article 1er de la loi déférée porte une atteinte manifestement disproportionnée au droit à la liberté d’expression.

III. Sur l’augmentation des sanctions pénales

L’article 6 de la loi déférée fait passer de 75 000 euros à 250 000 euros le montant de l’amende prévue au 1 du VI de l’article 6 de la LCEN et qui sanctionne les fournisseurs d’accès à Internet et les hébergeurs qui ne conservent pas pendant un an les données de connexion de l’ensemble de leurs utilisateurs.

Aucun élément n’a été avancé pour justifier une telle augmentation. Au contraire, l’actualité jurisprudentielle européenne aurait dû entraîner la disparition de cette sanction. Comme La Quadrature du Net a déjà eu l’occasion de l’exposer au Conseil constitutionnel, la Cour de justice de l’Union européenne a, dans son arrêt Tele2 du 21 décembre 2016, déclaré qu’une telle mesure de conservation généralisée est contraire à la Charte des droits fondamentaux de l’Union.

En conséquence, l’article 6 de la loi déférée est contraire à la Constitution en ce qu’il augmente le montant d’une amende pénale sans que cette augmentation ne soit nécessaire à la poursuite d’aucun objectif légitime.

**

Pour ces motifs, les associations La Quadrature du Net et Franciliens.net estiment que les articles 1er et 6 de la loi visant à lutter contre les contenus haineux sur internet sont contraires à la Constitution.

Nous vous prions de croire, Monsieur le président, Mesdames et Messieurs les membres du Conseil constitutionnel, l’assurance de notre plus haute et respectueuse considération.

References   [ + ]

1. « Le contrôle de proportionnalité exercé par le Conseil constitutionnel », Valérie Goesel-Le Bihan, Cahier du Conseil constitutionnel, n° 22 (juin 2007), https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de-proportionnalite-exerce-par-le-conseil-constitutionnel
2. « Update on New Zealand », Facebook Newsroom, 18 mars 2019, https://newsroom.fb.com/news/2019/03/update-on-new-zealand
3. Valérie Goesel-Le Bihan,op. cit.
4. Les Jeunes et l’extrémisme violent dans les médias sociaux : inventaire des recherches, 2018, https://unesdoc.unesco.org/ark:/48223/pf0000261841
5. Damien Leloup, « Paris, Bruxelles, Toulouse… la radicalisation des terroristes n’a pas eu lieu sur le Web », Le Monde, 12 janvier 2015, https://www.lemonde.fr/pixels/article/2015/01/12/paris-bruxelles-toulouse-la-radicalisation-des-terroristes-n-a-pas-eu-lieu-sur-le-web_4554384_4408996.html
6. Cour d’appel de Bordeaux, civ. 1ere, sect. B, 10 mai 2012, Krim K. c. Amen SAS et Pierre G., n° 11/01429
7. Valérie Goesel-Le Bihan, op. cit.
8. Voir le communiqué du ministère de l’Intérieur : https://www.interieur.gouv.fr/Archives/Archives-des-communiques-de-presse/2016-Communiques/Redirection-vers-la-page-de-blocage-des-sites-terroristes-pour-les-clients-de-l-operateur-orange
9. Alexandre Linden, Rapport d’activité 2018 de la personnalité qualifiée, CNIL, 27 mai 2019, https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_blocage_2018_web.pdf
10. TA Cergy-Pontoise, 4 févr. 2019, n° 1801344, 1801346, 1801348 et 1801352
11. Voir l’amendement n° 157 : https://www.europarl.europa.eu/doceo/document/A-8-2019-0193-AM-156-157_FR.pdf
12. Voir les résultats du vote, page 17, à propos de l’amendement n° 157 : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+PV+20190417+RES-VOT+DOC+PDF+V0//FR&language=FR
13. Voir article 17, §1, du texte adopté par le Parlement européen : https://www.europarl.europa.eu/doceo/document/TA-8-2019-0421_FR.html
14. http://www.assemblee-nationale.fr/15/textes/2488.asp#D_Article_16
]]>
Hadopi, une victoire de façade ?https://www.laquadrature.net/?p=15925http://streisand.me.thican.net/laquadrature.net/index.php?20200520_160221_Hadopi__une_victoire_de_fa__ade___Wed, 20 May 2020 14:02:21 +0000Mise à jour, 20 mai 20h : Avec le recul de l’analyse juridique minutieuse – incompatible avec la pression de l’urgence médiatique – cette décision pourrait constituer une victoire nettement plus modeste.

La censure prononcée par le Conseil constitutionnel nous a conduit à penser, dans le feu de l’action, à une victoire décisive que l’on espérait. Toutefois, malgré la restriction du champ des données de connexion accessibles à la HADOPI – qui reste une victoire -, une lecture plus attentive nous amène à penser que demeure une interprétation selon laquelle son activité devrait pouvoir persister. C’est cette interprétation possible que nous avons échoué à déceler dans l’urgence – nous remercions les personnes qui ont pu nous la signaler.

Ce recours devant le Conseil constitutionnel venait se greffer sur un contentieux au temps plus long, dont une autre partie est actuellement en cours notamment devant le Conseil d’État. D’autres aspects du dispositif de riposte graduée demeurent très critiquables. Nous allons désormais nous y attaquer.

Nous présentons nos sincères excuses à celles et ceux qui se sont réjouis trop vite à la lecture de notre communiqué enthousiaste. Nous avons lu la décision sous le prisme de notre préjugé et l’enthousiasme a limité notre regard critique sur ses détails. Nous présentons nos excuses pour cette fausse joie, il y a bien une censure de morceaux du dispositif, mais nous avons encore certains doutes parmi nous sur l’enchevêtrement de différents éléments du dispositifs et allons avoir besoin d’un temps de recul pour fournir une analyse finale de cette décision. Nous allons prendre le temps de faire cela correctement. Le débat consiste à savoir quelle portée a l’alinéa 3, censuré, de l’article L. 331-21 du code de la propriété intellectuelle. À lire l’exposé des motifs de la loi Hadopi de la loi Hadopi en 2008, plusieurs lectures paraissent possibles. On reviendra vers vous pour donner notre lecture en présentant à nouveau nos excuses pour cet enthousiasme prématuré et nous allons tâcher de redoubler d’efforts pour obtenir vraiment cette victoire.

Le Conseil constitutionnel vient de répondre à la question prioritaire de constitutionnalité transmise le 12 février 2020 par La Quadrature du Net, FDN, FFDN et Franciliens.net (lire la décision). Il déclare contraire à la Constitution les pouvoirs que la loi a donné à la HADOPI pour identifier les personnes qui partagent des œuvres sur Internet, par exemple en identifiant les adresses IP connectées à divers flux BitTorrent. Ces pouvoirs prendront fin à la fin de l’année

La décision d’aujourd’hui n’a rien de surprenant : elle s’inscrit dans la continuité d’une jurisprudence déployée depuis cinq ans par le Conseil constitutionnel, en parallèle de la Cour de justice de l’Union européenne (relire l’explication détaillée de notre action). Cette jurisprudence tend à replacer l’autorité judiciaire dans son rôle de contrôle préalable de l’administration, notamment quand il s’agit de lever l’anonymat des internautes. Or, la raison d’être de la HADOPI était précisément de contourner la justice afin de surveiller le plus plus grand nombre d’internautes et de les dissuader de partager des œuvres en ligne. Puisqu’il lui est enfin imposée de passer par la justice, la raison d’être de la HADOPI disparait. Nul doute que son budget annuel de 10 millions d’euros sera utile ailleurs.

Le projet de loi audiovisuelle, débattu depuis quelques mois par le Parlement, prévoyait déjà de supprimer la HADOPI. Mais il prévoit aussi de transmettre ses missions au CSA. La stratégie de notre action contentieuse consistait à attendre ce moment pour inciter le Parlement, au moment de supprimer la HADOPI, à ne pas perpétuer des missions dont l’incompatibilité à la Constitution a été aujourd’hui reconnue.

Il s’agit de l’aboutissement de 10 ans de lutte pour La Quadrature du Net. Si nous avons été nombreuses à nous moquer, avant son adoption, de l’inutilité de la HADOPI, il ne faut pas minimiser la nocivité qu’aura eu son action en 10 années. Elle aura vivement dissuadé la population de recourir à la pratique vertueuse, libre et décentralisée qu’est le partage d’œuvres de pair à pair. Au contraire, la HADOPI aura forcé nombre d’internautes dans les bras d’une poignée de méga-plateformes, licites ou non, qui auront centralisé les échanges culturels en quelques points dominants. Cette centralisation aura surtout permis à ces méga-plateformes d’imposer leurs conditions aux artistes. Au final, à part ces plateformes, tout le monde – internautes, artistes, etc. – aura perdu au change.

Nous espérons que la victoire d’aujourd’hui sera un pas de plus vers la décentralisation du Net et le libre partage de la culture, accessible à toutes et à tous sans condition de richesse.

]]>
Les goélands abattent leur premier dronehttps://www.laquadrature.net/?p=15917http://streisand.me.thican.net/laquadrature.net/index.php?20200518_123331_Les_goelands_abattent_leur_premier_droneMon, 18 May 2020 10:33:31 +0000Suite à notre recours, l’ordonnance du Conseil d’État est une victoire historique contre la surveillance par drone. La décision reconnaît l’illégalité de tout drone qui, volant suffisamment bas et étant équipé de caméra, permet à la police de détecter des individus, que ce soit par leurs habits ou un signe distinctif.

D’après le Conseil d’État, cette illégalité ne saurait être corrigée que par un arrêté ministériel pris après avis de la CNIL. Dans l’attente d’un tel arrêté, que nous recevrons de pied ferme, la police devra maintenir au sol la grande majorité de ses drones dans l’ensemble du pays. En effet, l’ordonnance d’aujourd’hui concerne le déploiement de drones pour lutter contre le virus et on peut douter que les autres drones de la police soient déployés pour un motif plus impérieux — qui permettraient de se passer d’un arrêté.

D’autres outils de la Technopolice restent sans cadre juridique et continuent pourtant de se déployer : vidéosurveillance automatisée, capteurs sonores, police prédictive… Une telle décision nous encourage à continuer nos combats.

]]>
EDRi demande l’interdiction de la surveillance biométriquehttps://www.laquadrature.net/?p=15901http://streisand.me.thican.net/laquadrature.net/index.php?20200514_174046_EDRi_demande_l___interdiction_de_la_surveillance_biometriqueThu, 14 May 2020 15:40:46 +0000L’association internationale EDRi, soutenue par La Quadrature du Net, lance une campagne européenne pour faire interdire la reconnaissance faciale et plus généralement la surveillance de masse biométrique. Nous publions la traduction du communiqué de lancement.

À travers toute l’Europe, des technologies de reconnaissance faciale et d’identification biométrique, intrusives et violant les droits, se répandent discrètement dans les espaces publics. Comme la Commission européenne consulte le public à ce sujet, EDRI appelle les États membres de l’UE à garantir que de telles technologies soient totalement interdites, à la fois dans la loi et dans la pratique.

Circulez, y a rien à voir…

À la fin de l’année 2019, au moins 15 pays européens ont expérimenté des technologies de surveillance de masse utilisant l’identification biométrique, comme la reconnaissance faciale. Ces technologies sont conçues pour surveiller, suivre et analyser les individus, pour les noter et les juger dans leur vie quotidienne.
Pire, plusieurs gouvernements l’ont fait en collaboration avec des entreprises technologiques secrètes, en l’absence de débat public et sans avoir démontré que ces systèmes respectent les critères les plus élémentaires de responsabilité, de nécessité, de proportionnalité, de légitimité, de légalité ou de sécurité.

Quelques milliers de caméras pour les gouverner tous

Sans la vie privée, vous n’avez plus de conversations privées avec vos ami·es, votre famille, votre supérieur ou même votre docteur. Votre militantisme et votreengagement pour sauver la planète sont connus de tous et toutes. Si vous lancez l’alerte pour dénoncer un fait d’exploitation ou de corruption, ou si vous assistez à une manifestation politique qui déplaît à votre gouvernement, on peut vous retrouver. Vous perdez de fait le droit d’assister à une cérémonie religieuse ou à une réunion syndicale sans qu’on garde un œil sur vous, le droit d’étreindre votre partenaire sans que quelqu’un vous regarde, le droit de flâner librement sans que quelqu’un puisse trouver ça louche.

La surveillance de masse permanente supprime le droit d’être réellement seul et instaure l’obligation d’être constamment surveillé et contrôlé.

COVID-1984 ?

Les débats autour de la pandémie de coronavirus ont vu naître des idées d’applications et d’autres propositions pour étendre rapidement les systèmes de surveillance, sous couvert de santé publique. Le risque est considérable que les dégâts causés par cet élargissement des mesures de surveillance survivent à l’épidémie. On peut se demander, par exemple, si les employeurs enlèveront les caméras thermiques des bureaux une fois la pandémie passée.

Les systèmes de surveillance biométriques exacerbent les inégalités structurelles, accélèrent la création de fichiers et de « profilages » illégaux, ont un effet intimidant sur les libertés d’expression et de réunion, et limitent les capacités de chacun·e à participer à des activités sociales publiques.

Fanny Hidvegi, responsable de la politique européenne à Access Now, insiste sur ce point :

« Les droits humains s’appliquent en temps de crise et d’urgence. On ne doit pas avoir à choisir entre la vie privée et la santé : protéger les droits numériques favorise la santé publique. La suspension des droits à la protection des données en Hongrie est la preuve que l’UE doit renforcer la protection des droits fondamentaux. »

La surveillance biométrique : une architecture d’oppression

Se présentant comme une « architecture d’oppression », la capture et le traitement non ciblé de données biométriques sensibles permet aux gouvernements et aux entreprises d’enregistrer en permanence et en détail qui vous rencontrez, où vous allez, ce que vous faites. Cela leur permet aussi d’utiliser ces informations contre vous — que ce soit par les pouvoirs publics pour faire appliquer la loi ou à des fins commerciales. Une fois ces enregistrements reliés à nos visages et corps, il n’y a plus de retour possible, nous sommes marqués au fer rouge. Il ne peut y avoir de place pour de telles pratiques dans une société démocratique.

Ioannis Kouvakas, juriste chez Privacy International (PI), membre d’EDRi met en garde :

« L’introduction de la reconnaissance faciale dans les villes est une idée extrémiste et dystopique qui menace explicitement nos libertés et pose des questions fondamentales sur le type de société dans laquelle nous voulons vivre. En tant que technique de surveillance très intrusive, elle offre aux autorités de nouvelles opportunités de s’en prendre à la démocratie sous prétexte de la défendre. Nous devons interdire son déploiement dès maintenant et de manière définitive avant qu’il ne soit trop tard. »

EDRi demande donc une interdiction immédiate et permanente de la surveillance de masse biométrique dans l’Union européenne.

La surveillance de masse biométrique est illégale

Cette interdiction est fondée sur les droits et protections consacrés par la Charte des droits fondamentaux de l’Union européenne, le Règlement général sur la protection des données (RGPD) et la Directive Police Justice. Ensemble, ces textes garantissent aux résidents de l’UE de vivre sans la crainte d’un traitement arbitraire ou d’un abus de pouvoir, et le respect de leur autonomie. La surveillance de masse biométrique constitue une violation de l’essence de ces textes et une violation du cœur même des droits fondamentaux de l’UE.

Une fois que des systèmes qui normalisent et légitiment la surveillance constante de tout le monde sont en place, nos sociétés glissent vers l’autoritarisme. L’UE doit donc veiller, par des moyens notamment législatifs, à ce que la surveillance de masse biométrique soit totalement interdite en droit et en pratique. Lotte Houwing, conseillère politique chez Bits of Freedom (BoF), membre d’EDRi, déclare :

« Les mesures que nous prenons aujourd’hui façonnent le monde de demain. Il est de la plus haute importance que nous gardions cela à l’esprit et que nous ne laissions pas la crise du COVID-19 nous faire sombrer dans un état de surveillance (de masse). La surveillance n’est pas un médicament. »

L’UE réglemente tout, des médicaments aux jouets pour enfants. Il est inimaginable qu’un médicament dont l’efficacité n’a pas été prouvée ou un jouet présentant des risques importants pour la santé des enfants soient autorisés sur le marché. Cependant, en ce qui concerne la captation et le traitement des données biométriques, en particulier à la volée dans les espaces publics, l’UE a été un foyer pour les expérimentations illégales. D’après une étude de 2020, plus de 80% des Européens sont pourtant opposés aux partages de leurs données faciales avec les autorités.

EDRi appelle la Commission européenne, le Parlement européen et les États membres à respecter leurs valeurs et à protéger nos sociétés en interdisant la surveillance de masse biométrique. S’ils s’y refusent, nous augmentons nos chances de voir naître une dystopie numérique incontrôlable.

]]>
Vote final de la « loi haine »https://www.laquadrature.net/?p=15890http://streisand.me.thican.net/laquadrature.net/index.php?20200511_143847_Vote_final_de_la_____loi_haine____Mon, 11 May 2020 12:38:47 +0000Mise à jour : tel que redouté, la loi a été adoptée dans sa pire version.

L’urgence de LREM est de donner à la police de nouveaux pouvoirs pour lutter contre le « terrorisme » sur Internet. L’Assemblée nationale votera le 13 mai 2020 la proposition de loi de Laetitia Avia qui, initialement présentée comme une loi « contre la haine », s’est transformée en janvier dernier en une loi « antiterroriste », telle qu’on en connait depuis des années, de plus en plus éloignée du principe de séparation des pouvoirs. Mercredi sera la dernière chance pour les député·es de rejeter cette dérive inadmissible.

Pour rappel, la proposition de loi initiale demandait aux très grandes plateformes (Facebook, Youtube, Twitter…) de censurer en 24h certains contenus illicites, tels que des contenus « haineux » signalés par le public ou la police. Pour une large partie, ces obligations seront inapplicables et inutiles, Laetitia Avia ayant systématiquement refusé de s’en prendre à la racine du problème – le modèle économique des géants du Web – en dépit de nos propositions, reprises par tous les bords du Parlement.

L’histoire aurait pu en rester à ce coup d’épée dans l’eau si le gouvernement n’avait pas saisi l’occasion pour pousser sa politique sécuritaire. Le 21 janvier, alors que la loi était examinée une deuxième fois par une Assemblée presque vide, le gouvernement a fait adopter un amendement de dernier minute renversant toute la situation.

Une nouvelle obligation vient éclipser le reste de la loi, ajoutée au paragraphe I de son article 1. Elle exige que tous les sites Web (pas uniquement les plateformes géantes) censurent en 1h (pas en 24h) les contenus signalés par la police comme relevant du « terrorisme » (sans que cette qualification ne soit donnée par un juge, mais par la police seule). Si le site ne censure par le contenu (par exemple car le signalement est envoyé un week-end ou pendant la nuit) la police peut exiger son blocage partout en France par les fournisseurs d’accès à Internet (Orange, SFR…).

La séparation des pouvoirs est entièrement écartée : c’est la police qui décide des critères pour censurer un site (en droit, la notion de « terrorisme » est suffisamment large pour lui donner un large pouvoir discrétionnaire, par exemple contre des manifestants) ; c’est la police qui juge si un site doit être censuré ; c’est la police qui exécute la sanction contre le site. Le juge est entièrement absent de toute la chaîne qui mène à la censure du site.

Le 26 février, le Sénat avait supprimé cette nouvelle disposition. Le texte revient mercredi pour une toute dernière lecture par l’Assemblée nationale, qui aura le dernier mot. Il est indispensable que les député·es suppriment l’article 1, paragraphe I de cette loi, qui permet à la police d’abuser de son pouvoir pour censurer le Web à des fins politiques – en cherchant à censurer les attaques contre le Président ou contre la police, comme elle le fait déjà.

Appelons les député·es sur cette page pour qu’ils rejettent ce texte.

]]>
Nous attaquons les drones de la police parisiennehttps://www.laquadrature.net/?p=15875http://streisand.me.thican.net/laquadrature.net/index.php?20200504_105606_Nous_attaquons_les_drones_de_la_police_parisienneMon, 04 May 2020 08:56:06 +0000Mise à jour du 5 mai à 21h : dans une première décision, le tribunal administratif de Paris rejette notre recours. Il n’aborde aucun de nos arguments, se contentant d’un débat hors-propos sur la présence ou non de données personnelles. La Quadrature du Net a décidé de faire appel pour obtenir dans les prochains jours une décision du Conseil d’État avec qui nous espérons avoir un débat plus constructif.

La Quadrature du Net et la Ligue des Droits de l’Homme viennent de déposer un recours en urgence contre le déploiement de drones par la préfecture de police de Paris. Depuis le début du confinement et un peu partout en France, la police prétend se faire assister de drones pour lutter contre les infractions. Pourtant, puisqu’ils sont déployés en l’absence de tout cadre légal spécifique et adapté, ce sont eux qui violent la loi et nos libertés. Nous espérons qu’une victoire à Paris aura des effets dans tout le pays..

Depuis le début du confinement, la police et la gendarmerie utilisent de façon massive et inédite les drones pour surveiller la population et faire appliquer les règles du confinement : diffusion des consignes par haut-parleurs ainsi que surveillance par vidéo pour repérer les contrevenants, guider les patrouilles au sol et filmer les personnes échappant à la police pour mieux les sanctionner après.

Le déploiement de ces drones, déjà utilisés notamment pour la surveillance des manifestations, ne fait que s’amplifier avec la crise sanitaire. En avril, le ministère de l’Intérieur a par ailleurs publié un appel d’offres portant sur l’acquisition de plus de 650 nouveaux drones pour plus que doubler sa flotte. Selon un rapport sénatorial, entre le 24 mars et le 24 avril, la police nationale a déclenché 535 vols de drones dont 251 de surveillance.

Ce déploiement, en plus d’augmenter de manière inédite les capacités de surveillance de la police, se fait en l’absence de tout cadre légal spécifique quant à l’utilisation des images filmées. Aucun texte ne prévoit un délai de suppression pour ces images ou n’en limite l’accès aux seuls agents de la préfecture pour une mission de police identifiée. D’ailleurs, dans un premier temps, cette absence de texte nous a empêchés d’attaquer les drones.

Heureusement, la publication par Mediapart le 25 avril dernier, dans un article de Clément Le Foll et Clément Pouré, de deux documents issus du service de communication de la préfecture de police de Paris a apporté plusieurs éléments concrets nous permettant d’agir en justice. La préfecture y reconnait notamment qu’il n’existe aucun cadre juridique spécifique pour les images captées par les drones, et cela alors qu’ils sont équipés de caméras haute-résolution permettant « la captation, la transmission et l’enregistrement des images » ainsi que « l’identification d’un individu ».

Nous avons déposé samedi un référé-liberté devant le tribunal administratif de Paris pour lui demander de faire cesser immédiatement ce dispositif illégal. Notre recours est notamment fondé sur l’absence de cadre légal spécifique, qui implique de multiples atteintes au droit à la vie privée (absence d’information des personnes filmées ou de délai de conservation de ces images…), et la disproportion de ce dispositif. Il est enfin évident qu’en cas de victoire, les principes d’une telle décision devront être respectés par l’ensemble de la police et de la gendarmerie, partout en France, et pas seulement par la préfecture de police de Paris.

Si la police comptait profiter de la crise sanitaire pour tester ses nouveaux gadgets, elle s’est trompée. Nous sommes là pour la ramener à la froide réalité des choses : ce n’est pas elle qui fait la loi.

]]>
Crise sanitaire : la Technopolice envahit l’universitéhttps://www.laquadrature.net/?p=15869http://streisand.me.thican.net/laquadrature.net/index.php?20200430_104137_Crise_sanitaire____la_Technopolice_envahit_l___universiteThu, 30 Apr 2020 08:41:37 +0000Dans le contexte de la pandémie, le gouvernement recommande officiellement aux établissements d’enseignement supérieur la télésurveillance des examens à l’aide de dispositifs invasifs, discriminants et manifestement illégaux : reconnaissance faciale, vidéosurveillance par webcam et smartphone, détection de bruits suspects… Ou quand la Technopolice envahit l’enseignement. Ces dispositifs doivent être rejetés dès maintenant

En mars 2020, le ministère de l’Enseignement supérieur a publié un « plan de continuité pédagogique » composé de plusieurs fiches visant à accompagner les établissements dans le contexte de la pandémie (et depuis régulièrement mis à jour). La fiche n°6 « Évaluer et surveiller à distance » indique que « les examens écrits nécessitent une télé-surveillance particulière qui permet de vérifier l’identité de l’étudiant et d’éviter les fraudes. Ils nécessitent donc un recours à des services de télésurveillance ». Le document recommande ensuite aux établissements une liste de fournisseurs de services « qui ont l’habitude de travailler avec des établissements d’enseignement supérieur ».

Cette liste, qui est donc une recommandation officielle du gouvernement, fait la promotion d’outils de surveillance extrêmement invasifs, dangereux et profondément discriminants. Au programme : reconnaissance faciale, vidéosurveillance continue avec analyse comportementale (par utilisation simultanée de la webcam et du smartphone), voire détection sonore de bruits suspects.

Enseignement technopolisé

Commençons par une rapide présentation des pires solutions envisagées :

Managexam propose des solutions de surveillance audio et vidéo, avec « prise de photos fréquentes, régulières ou aléatoires » ou « vidéo captée en continue ». Sur son site, l’entreprise promet de repérer « automatiquement les anomalies pouvant survenir dans la session d’évaluation grâce à une recherche et une classification visuelle de l’environnement des candidats » ;

– C’est le cas également pour Proctorexam, qui propose une « technologie avec deux prises de vues simultanées sur l’étudiant (webcam+appli smartphone) » et Evalbox, qui propose « des algorithmes d’analyse comportementale pour détecter les comportements suspicieux » ;

TestWe, solution qui revient souvent dans les média, offre un système de photographie de la carte d’étudiant ou d’identité par webcam « pour vérifier que la bonne personne est en face de l’écran ». Son PDG, Benoît Sillard, se vante également de mettre « en place actuellement un système à double caméras, celle de l’ordinateur qui filme par l’avant, et celle de votre smartphone qui filme l’ensemble de la pièce, pour vérifier qu’il n’y a pas un deuxième ordinateur ou quelqu’un en train de vous souffler » ;

– et enfin Smowl qui « utilise un algorithme de reconnaissance automatique des visages pour vérifier l’identité de l’utilisateur en ligne et un système qui détecte les comportements incorrects ».

Ces services ne sont malheureusement pas nouveaux et sont déjà utilisés par plusieurs établissements. Selon le document du ministère, c’est notamment le cas de l’Université de Caen-Normandie depuis 2017 et de Sorbonne Université (même s’il est difficile de connaître exactement la solution mise en place). Le contexte de la pandémie provoque une démultiplication leur utilisation et plus de 50 universités et écoles seraient en train d’envisager ce type de procédés.

Surveillance et discrimination

Ces dispositifs sont pourtant profondément intrusifs : ces logiciels bloquent les ordinateur des étudiant.es, déclenchent une double surveillance obligatoire de la webcam et de la caméra du téléphone et nécessitent quelquefois un enregistrement sonore. Mais il est également nécessaire de prendre en compte les profondes discriminations que ces outils risquent d’entraîner, notamment pour les étudiant·es n’ayant pas l’équipement adapté, ou un environnement propice à ce genre d’examens (la surveillance visuelle et sonore nécessite un lieu à soi, sans bruits, etc.).

Ce sont bien ces mêmes arguments qui ont déjà été soulevés par le journal Le Poing (à ne pas confondre avec Le Point) qui souligne le « protocole aussi kafkaïen qu’orwellien, intrusif pour sa vie privée, et lourd de contrainte, en particulier pour les étudiants précaires » et le SNESUP-FSU (syndicat d’enseignement supérieur) qui dénonce ces dispositifs en considérant justement que « la plus grande liberté laissée aux établissements d’une dématérialisation complète des examens pouvant faire appel à de la télésurveillance, outre qu’elle se heurte à des problèmes techniques souvent insurmontables, facilite la réalisation par les établissements d’un suivi individualisé des enseignant·es, au mépris de leur liberté pédagogique, et accentue potentiellement l’inégalité des étudiant·es ».

Illégalités manifestes

Il est encore plus étonnant de voir le gouvernement recommander des solutions aussi manifestement illégales. Car en ce qui concerne le système de reconnaissance faciale ou d’enregistrement sonore d’une voix en particulier, l’article 9 du règlement général sur la protection des données (RGPD) interdit tout traitement de données biométriques « aux fins d’identifier une personne physique de manière unique » – ce qui est bien le cas ici. Et si cette interdiction de principe souffre quelques exceptions, aucune d’elle ne permet d’autoriser ce type d’outils (et sûrement pas le « consentement » de l’élève, qui doit être libre, c’est-à-dire non contraint…).

De manière générale, outre que personne ne devrait être forcé à une surveillance constante par sa webcam ou son téléphone, les solutions décrites ci-dessus ne sont en aucun cas « adéquates, pertinentes et limitées à ce qui est nécessaire » comme le recommande pourtant le RGPD (article 5) – Nous ne voyons pas ici quel objectif rendrait licite une surveillance d’une telle intensité. Ce qui rend la plupart de ces dispositifs simplement illégaux.

Voir le gouvernement recommander de telles solutions illustre sa fuite systématique vers la surveillance numérique. Fuite que nous appelons les établissements d’enseignement à ne pas suivre en renonçant à ces dispositifs invasifs

Recommander ces méthodes est d’autant plus dommageable que des alternatives existent, comme l’annulation ou le report des examens, ou plus simplement le passage d’une évaluation en contrôle terminal à une évaluation en contrôle continu. Mieux encore : cette situation inédite peut être l’occasion de préférer de véritables innovations pédagogiques à de pseudo-innovations techniques. Plutôt que de fonder l’évaluation sur la crainte de la triche, il serait ainsi possible d’évaluer élèves et étudiant·e·s sur leurs compétences, d’aménager individuellement les évaluations, ou de recourir à l’auto-évaluation supervisée.

]]>
Que penser du protocole de traçage des GAFAM ?https://www.laquadrature.net/?p=15843http://streisand.me.thican.net/laquadrature.net/index.php?20200429_175840_Que_penser_du_protocole_de_tra__age_des_GAFAM___Wed, 29 Apr 2020 15:58:40 +0000Tribune de Guinness, doctorante en informatique et membre de La Quadrature du Net

À l’heure où toutes les puissances de la planète se mettent à réfléchir à des solutions de traçage de contact (contact tracing), les GAFAM sautent sur l’occasion et Apple et Google proposent leur propre protocole.
On peut donc se poser quelques minutes et regarder, analyser, chercher, et trouver les avantages et les inconvénients de ce protocole par rapport à ses deux grands concurrents, NTC et DP-3T, qui sont similaires.

Commençons par résumer le fonctionnement de ce protocole. Je me base sur les documents publiés sur le site de la grande pomme. Comme ses concurrents, il utilise le Bluetooth ainsi qu’un serveur dont le rôle est de recevoir les signalements de personnes infecté·es, et de communiquer aux utilisateurices de l’application les listes des personnes infectées par SARS-Cov2 qu’elles auraient pu croiser.

Mais commençons par le début.

Le protocole utilisant de nombreux protocoles et fonctions cryptographiques, et étant assez long, je ne vais pas l’expliquer en détail, et si vous voulez plus d’informations, vous pouvez vous référer à la note en bas de page.1L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours.
Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.

Pour faire simple, on génère initialement une clef (Tracing Key ou TK), qu’on utilise chaque jour pour calculer une nouvelle clef (Daily Tracing Key ou DTK), qu’on utilise elle-même toutes les 15 minutes pour calculer une troisième clef (Rolling Proximity Identifier ou RPI), qu’on va appeler la «clef roulante de proximité», qui sera diffusée avec le Bluetooth.
Ce qu’il faut retenir, c’est que l’identifiant qui est diffusé via le Bluetooth change toutes les 15 minutes, et qu’il est impossible en pratique de déduire l’identité d’une personne en ne connaissant que cet identifiant ou plusieurs de ces identifiants.

Par ailleurs, si on se déclare comme malade, on envoie au serveur central la liste des paires (DTK, jour de création de la DTK) des 14 derniers jours, et de même pendant les 14 jours suivants. Cet ensemble forme ce qu’on appelle la clef de diagnostic.

Cryptographie

D’un point de vue cryptographique, tous les spécialistes du domaine (Anne Canteaut, Leo Colisson et d’autres personnes, chercheureuses au LIP6, Sorbonne Université) avec lesquels j’ai eu l’occasion de parler sont d’accord : les algorithmes utilisés sont bien connus et éprouvés. Pour les spécialistes du domaine, la documentation sur la partie cryptographique explique l’utilisation des méthodes HMAC et HKDF avec l’algorithme de hashage SHA256. Les clefs sont toutes de taille suffisante pour qu’on ne puisse pas toutes les générer en les pré-calculant en créant une table de correspondance également appelée « Rainbow table » qui permettrait de remonter aux Tracing Keys . L’attaque envisagée ici consiste à générer le plus de TK possibles, leurs DTK correspondantes et lorsque des DTK sont révélées sur quelques jours, utiliser la table de correspondance pré-calculée pour remonter à la TK.

On peut faire un gros reproche cependant : la non-utilisation de sel (une chaîne de caractères aléatoires, différente pour chaque personne et définie une fois pour toutes, qu’on ajoute aux données qu’on hashe) lors de l’appel à HMAC pour générer les DTK, ce qui est une aberration, et pire encore, aucune justification n’est donnée par Apple et Google.

Respect de la vie privée et traçage

Quand on écrit un protocole cryptographique, selon Apple et Google « with user privacy and security central to the design » (Traduction : « avec le respect de la vie privée de l’utilisateurice et la sécurité au centre de la conception »), on est en droit de chercher tous les moyens possibles de récupérer un peu d’information, de tracer les utilisateurices, de savoir qui iels sont.

Premier problème : La quantité de calcul demandée aux clients

À chaque fois que le téléphone du client récupère la liste des clefs de diagnostic des personnes déclarées malades, il doit calculer tous les RPI (96 par jour, faites moi confiance c’est dans le protocole, 96 * 15 min = 24 h) de toutes les clefs pour tous les jours. On peut imaginer ne récupérer que les nouvelles données chaque jour, mais ce n’est pas spécifié dans le protocole. Ainsi, au vu de la quantité de personnes infectées chaque jour, on va vite se retrouver à court de puissance de calcul dans le téléphone. On peut même s’imaginer faire des attaques par DoS (déni de service) en insérant de très nombreuses clefs de diagnostic dans le serveur pour bloquer les téléphones des utilisateurices.

En effet, quand on se déclare positif, il n’y a pas d’information ajoutée, pas d’autorité qui assure que la personne a bien été infectée, ce qui permet à tout le monde de se déclarer positif, en faisant l’hypothèse que la population jouera le jeu et ne se déclarera positive que si elle l’est vraiment.

Deuxième problème : Le serveur principal

Un design utilisant un serveur centralisé (possédé ici par Apple et Google), qui a donc accès aux adresses IP et d’autres informations de la part du client gagne beaucoup d’informations : il sait retrouver quel client est infecté, avoir son nom, ses informations personnelles, c’est-à-dire connaître parfaitement la personne infectée, quitte à revendre les données ou de l’espace publicitaire ciblé pour cette personne. Comment cela se passe-t-il ? Avec ses pisteurs embarqués dans plus de 45% des applications testées par Exodus Privacy, pisteurs qui partagent des informations privées, et qui vont utiliser la même adresse IP, Google va pouvoir par exemple recouper toutes ces informations avec l’adresse IP pour savoir à qui appartient quelle adresse IP à ce moment.

Troisième problème : Traçage et publicité

Lorsqu’on est infecté⋅e, on révèle ses DTK, donc tous les RPI passés. On peut donc corréler les partages de RPI passés avec d’autres informations qu’on a.

Pour aller plus loin, nous avons besoin d’introduire deux notions : celle d’adversaire actif, et celle d’adversaire passif. L’adversaire actif tente de gagner activement de l’information, en essayant de casser de la cryptographie, de récupérer des clefs, des identifiants. Nous avons vu précédemment qu’il a fort peu de chance d’y arriver.
L’adversaire passif quant à lui se contente de récupérer des RPIs, des adresses physiques de puces Bluetooth, et d’essayer de corréler ces informations.

Ce dernier type d’adversaire a existé et existe encore . Par exemple, la ville de Londres a longtemps équipé ses poubelles de puces WiFi, permettant de suivre à la trace les smartphones dans la ville. En France, l’entreprise Retency, ou encore les Aéroports de Paris font la même chose avec le Bluetooth. Ces entreprises ont donc des réseaux de capture de données, et se révéler comme positif à SARS-Cov2 permet alors à ces entreprises, qui auront capté les RPIs envoyés, de pister la personne, de corréler avec les données de la publicité ciblée afin d’identifier les personnes infectées et donc revendre des listes de personnes infectées.
On peut aussi imaginer des implémentations du protocole qui stockent des données en plus de celles demandées par le protocole, telles que la localisation GPS, ou qui envoient des données sensibles à un serveur tiers.

D’autres attaques existent, dans le cadre d’un adversaire malveillant, mais nous ne nous attarderons pas dessus ; un article publié il y a quelques jours (en anglais) les décrit très bien : https://eprint.iacr.org/2020/399.pdf.

Nous pouvons ainsi voir que, même si le protocole est annoncé comme ayant la sécurité et le respect de la vie privée en son centre, il n’est pas exempt de défauts, et il y a même, à mon avis, des choix techniques qui ont été faits qui peuvent permettre le traçage publicitaire même si on ne peut en prouver la volonté. Alors même que tous les pays du monde sont en crise, et devraient investir dans du matériel médical, dans du personnel, dans les hôpitaux, dans la recherche de traitements contre SARS-Cov2, ils préfèrent se tourner vers un solutionnisme technologique qui non seulement n’a aucune assurance de fonctionner, mais qui également demande que plus de 60 % de la population utilise l’application pour être efficace (voir cet article pour plus d’informations).
D’autant plus qu’une telle application ne peut être efficace qu’avec un dépistage massif de la population, ce que le gouvernement n’est actuellement pas en état de fournir (à raison de 700k tests par semaine, tel qu’annoncé par Édouard Philippe dans son allocution du 28 avril, il faudrait environ 2 ans pour dépister toute la population).

Pour plus d’informations sur les possibles attaques des protocoles de contact tracing, en particulier par des adversaires malveillants, je vous conseille l’excellent site risques-tracage.fr écrit par des chercheureuses INRIA spécialistes du domaine.

References   [ + ]

1. L’application commence par générer un identifiant unique de 256 bits. Suffisamment long pour qu’il n’y ait pas de risque de collisions (deux personnes qui génèrent par hasard – ou non – le même identifiant), et ce même si toute la population terrestre utilisait l’application. Cet identifiant est appelé Tracing Key.
Puis, chaque jour, un identifiant pour la journée (appelé Daily Tracing Key) est calculé à partir de la Tracing Key. Pour ce faire, on utilise la fonction à sens unique HKDF, qui permet à partir de paramètres d’entrée de générer une clef unique et à partir de laquelle il est impossible en pratique de remonter aux informations d’origine. Dans notre cas, les paramètres d’entrée sont la Tracing Key et le numéro du jour courant, ce qui nous permet de calculer une clef journalière de 128 bits.
Pour la dernière étape, le protocole dérive un nouvel identifiant, celui qui sera communiqué via Bluetooth aux autres utilisateurices de l’application: le Rolling Proximity Identifier (RPI) un « identifiant de proximité continu » au sens où celui-ci change constamment. Il est recalculé toutes les 15 minutes, chaque fois que l’adresse physique de la puce Bluetooth change et on stocke un nombre appelé TINj qui augmente de 1 toutes les 15 minutes de même que j ; à la différence que j est réinitialisé chaque jour. On utilise pour calculer la RPI la fonction HMAC, une autre fonction à sens unique, qui utilise comme paramètres la Daily Tracing Key du jour courant ainsi que le TINj du quart d’heure en cours.
Finalement, la partie intéressante : que se passe-t-il lorsqu’une personne est déclarée infectée ?
L’application crée une clef de diagnostic, qui n’a ici aucune fonction cryptographique : on envoie les dernières 14 Daily Tracing Keys, ainsi que les numéros des jours associés, puis on continue chaque jour d’envoyer les 14 dernières Daily Tracing Keys ainsi que le jour associé (voir ce PDF au paragraphe §CTSelfTracingInfoRequest) . Cette clef est ensuite envoyée sur un serveur qui stocke toutes les clefs de diagnostic.
Par ailleurs, de manière fréquente, les client·es récupèrent la liste des clefs de diagnostic, utilisent ces clefs pour recalculer tous les RPI, et voir si dans la liste des personnes croisées, on retrouve un de ces RPI. Si c’est le cas, on prévient l’utilisateurice.
]]>
La CNIL s’arrête à mi-chemin contre StopCovidhttps://www.laquadrature.net/?p=15839http://streisand.me.thican.net/laquadrature.net/index.php?20200427_155813_La_CNIL_s___arrete_a_mi-chemin_contre_StopCovidMon, 27 Apr 2020 13:58:13 +0000L’application StopCovid ne fera finalement pas l’objet d’un vote à l’Assemblée nationale, le gouvernement se refusant à tout risque de vote contraire à sa volonté. Pourtant, les prises de position s’accumulent contre elle et son avenir semble chaque jour plus incertain.

Hier, la CNIL a rendu son avis à son sujet. Contrairement au Conseil national du numérique (CNNum) qui s’est prononcé vendredi en faveur de l’application, la CNIL n’a pas entièrement fui le débat : elle exige que le gouvernement démontre l’utilité concrète de StopCovid, ce qu’aucune étude ou analyse ne soutient actuellement. Hélas, alors que la CNIL aurait dû s’arrêter à ce simple constat pour demander l’arrêt de ce dangereux et inutile projet, elle s’est égarée dans le faux-débat tendu par le gouvernement : rechercher des « garanties », forcément illusoires, pour encadrer l’application.

Une nécessité non démontrée

L’idée au cœur du droit des libertés fondamentales est que, par principe, il est interdit de limiter nos libertés. Elles ne peuvent l’être que par exception, et uniquement en démontrant qu’une telle limitation est utile à un intérêt supérieur, telle que la santé publique dans notre cas. Hier, la CNIL a rappelé ce principe cardinal, qu’elle applique naturellement de longue date. Par exemple, dans son avis sur les portiques de reconnaissance faciale dans des lycées de la région Sud, elle avait bien rappelé qu’il revenait au responsable de traitement de données« d’évaluer la nécessité et la proportionnalité du traitement envisagé ». Un tel raisonnement l’avait conduit à considérer que le projet de reconnaissance faciale était contraire au RGPD, car la région n’avait pas démontré cette nécessité.

Il ne fait pas de doute que StopCovid est une mesure limitant les libertés fondamentales, ce que la CNIL reconnaît facilement : risques d’attaques malveillantes, de discriminations, d’accoutumance à la surveillance constante, de dévoiement par le gouvernement. La CNIL exige donc que les prétendus bienfaits sanitaires de l’application soient démontrés avant que celle-ci ne soit déployée, ce qui fait jusqu’ici défaut. La rigueur du raisonnement de la CNIL tranche nettement avec l’avis du CNNum, qui conclut en faveur de StopCovid hors de toute méthode d’analyse sérieuse.

Toutefois, il faut regretter que la CNIL se soit arrêtée là, sans conclure et répondre elle-même à la question qu’elle a si justement posée. Si aucun élément factuel ne prouve l’efficacité d’une technique qu’elle reconnaît pourtant comme attentatoire aux libertés fondamentales, la mission de la CNIL est de déclarer celle-ci illégale. Déclarer illégaux des traitements de données injustifiés est une des missions centrales qui justifient l’existence de la CNIL.

Mais, refusant de tenir son rôle, la CNIL s’est ensuite perdue dans le débat vain souhaité par le gouvernement : chercher à tâtons les garanties pouvant encadrer cette pratique. Pourtant, les conditions pour que StopCovid respecte nos libertés sont impossibles à remplir. L’essence même du « traçage de contact », automatique comme manuel, rend impossible l’anonymat, et le contexte de crise sanitaire rend irréaliste la garantie d’un consentement libre.

Un anonymat impossible

Cédric O affirme que les données traitées par StopCovid « seraient anonymes ». De même, Bruno Sportisse, directeur de l’INRIA chargé du protocole ROBERT sur lequel reposera l’application, affirme que celle-ci serait « totalement anonyme ».

En pratique, une application anonyme n’aurait aucun intérêt : l’application doit envoyer à des personnes ciblées des alertes du type « vous avez été au contact de personnes malades, mettez-vous en quarantaine ». Du moment que chaque alerte est envoyée à des personnes ciblées, le système n’est plus anonyme : trivialement, il suffit qu’un tiers (un patron, un conjoint, etc.) puisse consulter votre téléphone pour constater que vous avez reçu une alerte. Des chercheu·ses de l’INRIA ont produit une excellente liste de quinze scénarios de ce type, démontrant à quel point il était simple de lever ce prétendu « anonymat ».

Hélas, le CNNum s’enfonce dans le déni de réalité et continue de prétendre que « les utilisateurs de l’application ne peuvent pas se réidentifier entre eux ». Dans une étrange note de bas de page, l’avis du CNNum admet que cette affirmation est peut-être fausse puis renvoie vers les scénarios de l’INRIA. Voilà la triste posture du CNNum : mentir dans le corps du texte et s’excuser en pied de page, en petits caractères.

De son côté, heureusement, la CNIL est plus honnête et ne cache pas ces failles : les données traitées par StopCovid sont des pseudonymes ré-identifiables. Mais elle refuse d’en tirer la moindre conséquence effective. Après avoir exigé quelques mesures de sécurité nécessaires qui ne changeront pas le fond du problème, elle semble se bercer dans l’illusion que le droit serait une garantie suffisante pour empêcher que ce pseudonymat si fragile ne soit levé. Au final, sa seule « garantie » n’est rien d’autre que ce cher RGPD que la CNIL échoue à faire respecter depuis deux ans, quand elle ne s’y refuse pas carrément (lire notre article sur les cookies publicitaires).

Un consentement impossible

Tout comme l’utilisation faussée de la notion de données « anonymes », le gouvernement fonde la création de StopCovid sur le fait que l’application serait installée « volontairement ». Une telle présentation est encore mensongère : matériellement, l’État ne pourra pas s’assurer que l’application ne soit pas imposée par des tiers.

Si des employeurs, des restaurants ou des centres d’hébergement exigent que leurs salariés ou usagers utilisent StopCovid, que va faire Cédric O ? Leur envoyer la police pour forcer le passage ? Si la pression vient de la famille ou des amis, que va faire la CNIL ? Leur imposer des amendes en violation du RGPD – qu’encore une fois elle ne fait déjà pas respecter avec énormément de sites internet ?

L’urgence est partout ailleurs

Comme nous ne cessons de le répéter, il est urgent que ce débat prenne fin, par le rejet de ce projet. L’attention du public, du Parlement et de la recherche doit se rediriger vers les nombreuses autres solutions proposées : production de masques, de tests, traçage de contacts réalisé par des humains, sans avoir à réinventer la roue. Leur efficacité semble tellement moins hasardeuse. Surtout, contrairement à StopCovid, ces solutions ne risquent pas de légitimer sur le long terme l’ensemble de la Technopolice, qui cherche depuis des années à rendre acceptable la surveillance constante de nos corps dans l’espace public par la reconnaissance faciale, les drones ou la vidéo automatisée.

Les 28 et 29 avril, dans le cadre des mesures de déconfinement, l’Assemblée nationale débattra de StopCovid, sans toutefois voter spécifiquement à son sujet. L’Assemblée doit exiger la fin de cette application. Rendez-vous sur cette page pour contacter les député·es.

]]>
« StopCovid est un projet désastreux piloté par des apprentis sorciers »https://www.laquadrature.net/?p=15820http://streisand.me.thican.net/laquadrature.net/index.php?20200425_184742_____StopCovid_est_un_projet_desastreux_pilote_par_des_apprentis_sorciers____Sat, 25 Apr 2020 16:47:42 +0000Nous reproduisons, avec l’accord de leurs auteurs, la tribune parue aujourd’hui dans le quotidien Le Monde concernant l’application StopCovid, écrite par Antonio Casilli, Paul-Olivier Dehaye, Jean-Baptiste Soufron, et signée par UGICT-CGT et La Quadrature du Net. Le débat au parlement se déroulera le 28 avril et nous vous invitons à contacter votre député⋅e pour lui faire part de votre opposition au projet et de lui demander de voter contre.

Tribune. Le mardi 28 avril, les parlementaires français seront amenés à voter sur StopCovid, l’application mobile de traçage des individus imposée par l’exécutif. Nous souhaitons que, par leur vote, ils convainquent ce dernier de renoncer à cette idée tant qu’il est encore temps. Non pas de l’améliorer, mais d’y renoncer tout court. En fait, même si toutes les garanties légales et techniques étaient mises en place (anonymisation des données, open source, technologies Bluetooth, consentement des utilisateurs, protocole décentralisé, etc.), StopCovid serait exposée au plus grand des dangers : celui de se transformer sous peu en « StopCovid Analytica », une nouvelle version du scandale Cambridge Analytica [siphonnage des données privées de dizaines de millions de comptes Facebook].

L’application StopCovid a été imaginée comme un outil pour permettre de sortir la population française de la situation de restriction des libertés publiques provoquée par le Covid-19. En réalité, cette « solution » technologique ne serait qu’une continuation du confinement par d’autres moyens. Si, avec ce dernier, nous avons fait l’expérience d’une assignation à résidence collective, les applications mobiles de surveillance risquent de banaliser le port du bracelet électronique.

Tous les citoyens, malades ou non

Le terme n’est pas exagéré : c’est déjà le cas à Hong-Kong, qui impose un capteur au poignet des personnes en quarantaine, et c’est l’objet de tests en Corée du Sud et au Liechtenstein pour certaines catégories de citoyens à risque. StopCovid, elle, a vocation à être installée dans les smartphones, mais elle concerne tous les citoyens, malades ou non. Malgré le fait que son installation soit présentée comme facultative dans d’autres pays, tels l’Italie, on assiste à la transformation de cette démarche volontaire en obligation.

L’affaire Cambridge Analytica, révélée au grand jour en 2018, avait comme point de départ les travaux de chercheurs de l’université anglaise. Une application appelée « Thisisyourdigitallife », présentée comme un simple quiz psychologique, avait d’abord été proposée à des utilisateurs de la plate-forme de microtravail Amazon Mechanical Turk. Ensuite, ces derniers avaient été amenés à donner accès au profil Facebook de tous leurs contacts. C’était, en quelque sorte, du traçage numérique des contacts avant la lettre.

A aucun moment ces sujets n’avaient consenti à la réutilisation de leurs informations dans le cadre de la campagne du Brexit ou dans l’élection présidentielle de Donald Trump. Cela est arrivé ensuite, lorsque les chercheurs ont voulu monétiser les données, initialement collectées dans un but théoriquement désintéressé, par le biais de l’entreprise Cambridge Analytica. En principe, cette démarche respectait les lois des différents pays et les règles de ces grandes plates-formes. Néanmoins, de puissants algorithmes ont été mis au service des intérêts personnels et de la soif de pouvoir d’hommes politiques sans scrupule.

Les mêmes ingrédients sont réunis ici : des scientifiques « de bonne volonté », des géants de la « tech », des intérêts politiques. Dans le cas de StopCovid, c’est le consortium universitaire européen Pan-European Privacy Preserving Proximity Tracing (PEPP-PT), qui a vu le jour à la suite de la pandémie. Ces scientifiques se sont attelés à la tâche de concevoir dans l’urgence le capteur de contacts le plus puissant, dans le respect des lois. Cela s’articule avec les intérêts économiques d’acteurs privés, tels les grands groupes industriels nationaux, le secteur automobile et les banques en Italie, les télécoms et les professionnels de l’hébergement informatique en France. Mais surtout les GAFA, les géants américains du numérique, se sont emparés du sujet.

Cette fois, ce ne sont pas Facebook et Amazon, mais Google et Apple, qui ont tout de suite proposé de fournir une nouvelle structure pour diffuser les applications de suivi de contacts sur leurs plates-formes. La menace qui plane au-delà de tous ces acteurs vient des ambitions de certains milieux politiques européens d’afficher leur détermination dans la lutte contre le Covid19, en se targuant d’une solution technique à grande échelle, utilisant les données personnelles pour la « campagne du déconfinement ».

Une myopie sur les dimensions sociales des données

Le projet StopCovid n’offre aucune garantie sur les finalités exactes de la collecte de ces données. L’exécutif français ne s’autorise pas à réfléchir à la phase qui suit la collecte, c’est-à-dire au traitement qui sera fait de ces informations sensibles. Quels algorithmes les analyseront ? Avec quelles autres données seront-elles croisées sur le moyen et le court terme ? Son court-termisme s’accompagne d’une myopie sur les dimensions sociales des données.

Que se passerait-il si, comme plusieurs scientifiques de l’Inria, du CNRS et d’Informatics Europe s’époumonent à nous le dire, malgré une collecte initiale de données réduite au minimum, des entreprises ou des puissances étrangères décidaient de créer des « applications parasites » qui, comme Cambridge Analytica, croiseraient les données anonymisées de StopCovid avec d’autres bases de données nominatives ? Que se passerait-il, par exemple, si une plate-forme de livraison à domicile décidait (cela s’est passé récemment en Chine) de donner des informations en temps réel sur la santé de ses coursiers ? Comment pourrait-on empêcher un employeur ou un donneur d’ordres de profiter dans le futur des données sur l’état de santé et les habitudes sociales des travailleurs ?

L’affaire Cambridge Analytica nous a permis de comprendre que les jeux de pouvoir violents et partisans autour de la maîtrise de nos données personnelles ont des conséquences directes sur l’ensemble de la vie réelle. Il ne s’agit pas d’une lubie abstraite. Le cas de StopCovid est tout aussi marquant. En focalisant des ressources, l’attention du public et celle des parlementaires sur une solution technique probablement inefficace, le gouvernement nous détourne des urgences les plus criantes : la pénurie de masques, de tests et de médicaments, ou les inégalités d’exposition au risque d’infection.

Une malheureuse diversion

Cette malheureuse diversion n’aurait pas lieu si le gouvernement n’imposait pas ses stratégies numériques, verticalement, n’étant plus guidé que par l’urgence de faire semblant d’agir. Face à ces enjeux, il faudrait au contraire impliquer activement et à parts égales les citoyens, les institutions, les organisations et les territoires pour repenser notre rapport à la technologie. Le modèle de gouvernance qui accompagnera StopCovid sera manifestement centré dans les mains d’une poignée d’acteurs étatiques et marchands. Une telle verticalité n’offre aucune garantie contre l’évolution rapide de l’application en un outil coercitif, imposé à tout le monde.

Ce dispositif entraînerait un recul fondamental en matière de libertés, à la fois symbolique et concret : tant sur la liberté de déplacement, notamment entre les pays qui refuseraient d’avoir des systèmes de traçage ou qui prendront ce prétexte pour renforcer leur forteresse, que sur la liberté de travailler, de se réunir ou sur la vie privée. Les pouvoirs publics, les entreprises et les chercheurs qui dans le courant des dernières semaines sont allés de l’avant avec cette proposition désastreuse, ressemblent à des apprentis sorciers qui manient des outils dont la puissance destructrice leur échappe. Et, comme dans le poème de Goethe, quand l’apprenti sorcier n’arrive plus à retenir les forces qu’il a invoquées, il finit par implorer une figure d’autorité, une puissance supérieure qui remette de l’ordre. Sauf que, comme le poète nous l’apprend, ce « maître habile » ne reprend ces outils « que pour les faire servir à ses desseins ».

Antonio Casilli, sociologue.
Paul-Olivier Dehaye, mathématicien.
Jean-Baptiste Soufron, avocat.
Cosignataires : Sophie Binet et Marie-José Kotlicki, cosecrétaires généraux de l’UGICT-CGT ; Raquel Radaut, membre de La Quadrature du Net.

]]>
Rejetons StopCovid – Contactons les députéshttps://www.laquadrature.net/?page_id=15792http://streisand.me.thican.net/laquadrature.net/index.php?20200424_151627_Rejetons_StopCovid_____Contactons_les_deputesFri, 24 Apr 2020 13:16:27 +0000Le 28 avril 2020, l’Assemblée nationale débattra pour rendre son avis sur le projet d’application StopCovid du gouvernement. Cette application risque d’être inefficace d’un point de vue sanitaire (voire contre-productive) tout en créant de graves risques pour nos libertés : discriminations de certaines personnes et légitimation de la surveillance de nos corps dans l’espace public (reconnaissance faciale, drone et toute la Technopolice).

Quelques textes à lire pour bien comprendre le sujet :

Contactons les député·es pour leur demander de mettre fin à ce débat inutile et dangereux.

Au hasard parmi les députés de
et de


()



Député suivant >

]]>
Parcoursup : fin partielle de l’omerta sur les algorithmes locauxhttps://www.laquadrature.net/?p=15777http://streisand.me.thican.net/laquadrature.net/index.php?20200417_142132_Parcoursup____fin_partielle_de_l___omerta_sur_les_algorithmes_locauxFri, 17 Apr 2020 12:21:32 +0000Dans sa décision QPC du 3 avril dernier, le Conseil constitutionnel a estimé que les algorithmes locaux, utilisés par les Universités pour sélectionner les étudiant·es dans le cadre de la procédure Parcoursup, doivent faire l’objet d’une publication après la procédure. Cette affaire, initiée par l’UNEF et dans laquelle La Quadrature du Net est intervenue, permet de lever – en partie – le voile sur l’opacité dangereuse des algorithmes qui sont utilisés de manière démesurée par l’État et ses administrations.

Parcoursup est une plateforme développée par le gouvernement et qui a pour objectif de gérer les vœux d’affectation des futur·es étudiant·es de l’enseignement supérieur. À ce titre, chaque établissement peut s’aider d’algorithmes (appelés « algorithmes locaux », car propres à chaque établissement) pour se faciliter le travail de comparaison entre les candidat·es. En pratique, il s’agit de simples feuilles de calcul. Les critères de ces algorithmes et leurs pondérations ne sont pas connu·es, et des soupçons de pratiques discriminatoires, notamment fondées sur le lycée d’origine des candidat·es, ont été émis par le Défenseur des droits. L’UNEF, syndicat étudiant, a alors demandé la communication de ces algorithmes locaux et, face au refus des Universités, s’est retrouvé devant le Conseil constitutionnel. La Quadrature du Net s’est jointe à l’affaire, et nous avons soutenu l’impératif de transparence.

En effet, jusqu’à présent, les juges administratifs et le Conseil d’État interprétaient la loi comme interdisant toute publication de ces algorithmes locaux, c’est-à-dire les critères utilisés et leurs pondérations. Le secret des délibérations était brandi pour refuser la transparence, empêchant ainsi de contrôler leur usage et la présence éventuelle de pratiques discriminatoires.

Dans sa décision, si le Conseil constitutionnel a considéré que la loi attaquée est conforme à la Constitution, il y a rajouté une réserve d’interprétation1Une réserve d’interprétation est une clarification par le Conseil constitutionnel du sens de la loi, dans l’hypothèse où plusieurs lectures du texte auraient été possibles. La réserve d’interprétation permet de « sauver » un texte de loi en ne retenant qu’une interprétation conforme à la Constitution et en écartant toute autre lecture. : la liste exhaustive des critères utilisés par les Universités devra être publiée a posteriori. Cette réserve d’interprétation change radicalement le sens de la loi et c’est un début de victoire : elle crée une obligation de publication de l’ensemble des critères utilisés par les Universités, une fois la procédure de sélection terminée. En revanche, il est extrêmement regrettable que les pondérations appliquées à chaque critère ne soient pas couvertes par cette communication.

Autre point important, pour arriver à cette conclusion, le Conseil constitutionnel a dégagé un droit général de communication des documents administratifs, notion recouvrant les algorithmes2Pour rappel, c’est ce droit de communication que nous utilisons dans notre campagne Technopolice pour obtenir des documents sur les dispositifs de surveillance déployés par les communes.. Il a ainsi estimé que seul un intérêt général peut limiter ce droit à communication, et à condition que cette limitation soit proportionnée. C’est ainsi que, pour la procédure Parcoursup attaquée, il a estimé que ce droit serait bafoué s’il n’y avait pas communication des critères de sélection une fois la procédure de sélection terminée.

Cette décision pose un cadre constitutionnel clair en matière de communication des algorithmes : la transparence est la règle, l’opacité l’exception. Le Conseil constitutionnel a écarté les menaces de fin du monde brandies par le gouvernement et les instances dirigeantes du monde universitaire qui défendaient bec et ongles leur secret. S’il est déplorable que l’usage même de ces algorithmes pour fonder des décisions administratives n’ait pas été une seule fois questionné par le Conseil, ni les pondérations appliquées aux critères dans Parcoursup incluses dans l’obligation de communication, une nouvelle voie s’ouvre toutefois à nous pour attaquer certaines pratiques du renseignement, autre domaine où la transparence n’est pas encore acquise.

References   [ + ]

1. Une réserve d’interprétation est une clarification par le Conseil constitutionnel du sens de la loi, dans l’hypothèse où plusieurs lectures du texte auraient été possibles. La réserve d’interprétation permet de « sauver » un texte de loi en ne retenant qu’une interprétation conforme à la Constitution et en écartant toute autre lecture.
2. Pour rappel, c’est ce droit de communication que nous utilisons dans notre campagne Technopolice pour obtenir des documents sur les dispositifs de surveillance déployés par les communes.
]]>
Nos arguments pour rejeter StopCovidhttps://www.laquadrature.net/?p=15746http://streisand.me.thican.net/laquadrature.net/index.php?20200414_164759_Nos_arguments_pour_rejeter_StopCovidTue, 14 Apr 2020 14:47:59 +0000MAJ : Mardi 28 avril, l’Assemblée Nationale commence son débat sur StopCovid. On vous a préparé une petite page pour contacter les député.es (par mail, Twitter) et lister quelques textes à lire sur le sujet. C’est ici !

Hier, Emmanuel Macron a invité le Parlement à débattre de l’éventuelle application StopCovid développée par son gouvernement. Nous venons d’envoyer aux parlementaires le résumé de nos arguments (PDF, 1 page), tel que repris ci-dessous.

L’application StopCovid serait inutile, dangereuse pour nos libertés et pourrait même aggraver la situation sanitaire. L’administration et le Parlement doivent cesser d’investir toute ressource humaine ou économique dans ce projet vain et dangereux. L’urgence est partout ailleurs.

Une efficacité hasardeuse

Utilisation trop faible

  • de premières approximations évaluent que plus de 60%1Le taux d’utilisation de 60% nécessaire pour une efficacité est très repris dans la presse française en s’appuyant sur cette étude, cela nous semble être une déduction assez vague de la figure 3 de l’étude, déjà nécessairement simplifiée par rapport à la réalité. Reste que pour espérer la moindre efficacité, il faudrait que l’application soit extrêmement performante pour identifier les contacts susceptibles d’avoir entraîné une contamination, la quarantaine successive très bien suivie, et également qu’il y ait un taux d’installation colossal de l’application., voire plutôt 80% ou 100% de la population devrait utiliser l’application pour que celle-ci soit efficace, à condition encore qu’elle produise des données fiables ;
  • seulement 77% de la population française a un smartphone et cette proportion baisse à 44% pour les personnes de plus de 70 ans, alors qu’elles sont parmi les plus vulnérables ;
  • beaucoup de personnes ne savent pas forcément activer le Bluetooth et certaines refusent de le maintenir activé en permanence pour des raisons pratiques (batterie) ou pour se protéger d’usages malveillants2Une grande partie des smartphones en utilisation ne sont pas équipés des dernières mises à jour de sécurité, or des failles dans le protocole Bluetooth ont été découvertes ces dernières années. ;
  • 16% de la population de Singapour a utilisé l’application équivalente – ce qui n’a pas empêché de devoir finalement recourir au confinement.

Résultats trop vagues

  • il faut redouter que la population n’ait pas accès à des tests de façon assez régulière pour se signaler de façon suffisamment fiable (et se reposer uniquement sur l’auto-diagnostic risquerait de faire exploser le nombre de faux-positifs) ;
  • il ne semble n’y avoir aucun consensus quant à la durée et la distance de proximité justifiant d’alerter une personne entrée en « contact » avec une autre personne contaminée ;
  • à certains endroits très densément peuplés (certains quartiers, grandes surfaces, grandes entreprises) on assisterait à une explosion des faux positifs, ce qui rendrait l’application inutile ;
  • le champ de détection du Bluetooth semble beaucoup trop varier d’un appareil à un autre et sa précision n’est pas forcément suffisante pour offrir des résultats fiables3Selon l’analyse de l’ACLU : « Other open questions include whether Bluetooth is precise enough to distinguish close contacts given that its range, while typically around 10 meters, can in theory reach up to 400 meters, and that its signal strength varies widely by chips et, battery, and antenna design » (« D’autres questions restent ouvertes, par exemple celle de savoir si le Bluetooth est assez précis pour différencier les contacts proches, étant donné que sa portée, qui tourne en pratique autour de 10 m, peut atteindre en théorie 400 m et que la puissance du signal dépend beaucoup de la puce, de la batterie, et de l’antenne utilisées »)..

Contre-efficacité sanitaire

  • en créant un faux sentiment de sécurité sanitaire, l’application pourrait inciter à réduire les gestes barrières, tout en échouant à lancer des alertes suffisamment fiables ;
  • son développement requiert une énergie et un coût qui ne sont pas investis dans des solutions plus efficaces, comme la production de masques, le dépistage de la population ou la promotion des gestes barrières… ;
  • le déploiement de systèmes de surveillance augmenterait le sentiment de défiance déjà important d’une partie de la population à l’égard de l’État. Ne sachant pas s’ils peuvent faire confiance au système mis en place, les potentiels malades pourraient se trouver incités à cacher leurs symptômes aux services de santé par peur de conséquences négatives.

Des libertés inutilement sacrifiées

Discriminations

  • que ce soit en la rendant obligatoire, ou par une pression sociale trop importante, les personnes n’utilisant pas l’application risqueraient de ne plus pouvoir travailler ou accéder à certains lieux publics librement (voir déjà un exemple en Italie), rendant leur consentement non-libre et donc nul ;
  • une hypothèse de discrimination particulièrement grave serait de faciliter l’accès aux tests sérologiques pour les personnes utilisant l’application.

Surveillance

  • dans le cas où l’application serait adoptée par une partie de la population, il faut redouter que le gouvernement puisse l’imposer plus facilement au reste de la population, contre sa volonté ; nous constatons que toutes mesures sécuritaires et liberticides prises dans les temps « d’urgence » n’ont jamais été remises en cause – c’est l’effet cliquet qui participe à la défiance justifiée contre ces solutions de contrôle ;
  • l’objectif de l’application (alerter des personnes ciblées) est par essence incompatible avec la notion juridique d’anonymat – il s’agit au mieux d’un pseudonymat, qui ne protège pas contre tout type de surveillance individuelle ;
  • la publication du code de l’application sous une licence libre, ainsi que l’utilisation de méthodes de compilation reproductibles, seraient des exigences indispensables contre ces abus, mais elles-mêmes insuffisantes.

Acclimatation sécuritaire

  • personne n’est capable de dire à l’avance pendant combien de temps l’application serait déployée ;
  • une fois l’application déployée, il sera plus facile pour le gouvernement de lui ajouter des fonctions coercitives (contrôle individuel du confinement) ;
  • l’application incite à soumettre son corps à une surveillance constante, ce qui renforcera l’acceptabilité sociale d’autres technologies, comme la reconnaissance faciale ou la vidéo surveillance automatisée, qui sont actuellement largement rejetées ;
  • solutionnisme technologique : l’application renforce la croyance aveugle dans la technologie et la surveillance comme principales réponses aux crises sanitaires, écologiques ou économiques, alors qu’elles détournent au contraire l’attention des solutions : recherche scientifique, financement du service public…

L’utilisation d’une application dont les objectifs, les techniques et les conditions mêmes d’usage portent des risques conséquents pour notre société et nos libertés, pour des résultats probablement médiocres (voire contre-productifs), ne saurait être considérée comme acceptable pour nous – tout comme pour beaucoup de Français·es. Le temps médiatique, politique et les budgets alloués à cette fin seraient mieux utilisés à informer et protéger la population (et les soignant·es) par des méthodes à l’efficacité prouvée, telles que la mise à disposition de masques, de matériel médical et de tests.

References   [ + ]

1. Le taux d’utilisation de 60% nécessaire pour une efficacité est très repris dans la presse française en s’appuyant sur cette étude, cela nous semble être une déduction assez vague de la figure 3 de l’étude, déjà nécessairement simplifiée par rapport à la réalité. Reste que pour espérer la moindre efficacité, il faudrait que l’application soit extrêmement performante pour identifier les contacts susceptibles d’avoir entraîné une contamination, la quarantaine successive très bien suivie, et également qu’il y ait un taux d’installation colossal de l’application.
2. Une grande partie des smartphones en utilisation ne sont pas équipés des dernières mises à jour de sécurité, or des failles dans le protocole Bluetooth ont été découvertes ces dernières années.
3. Selon l’analyse de l’ACLU : « Other open questions include whether Bluetooth is precise enough to distinguish close contacts given that its range, while typically around 10 meters, can in theory reach up to 400 meters, and that its signal strength varies widely by chips et, battery, and antenna design » (« D’autres questions restent ouvertes, par exemple celle de savoir si le Bluetooth est assez précis pour différencier les contacts proches, étant donné que sa portée, qui tourne en pratique autour de 10 m, peut atteindre en théorie 400 m et que la puissance du signal dépend beaucoup de la puce, de la batterie, et de l’antenne utilisées »).
]]>
La crise sanitaire ne justifie pas d’imposer les technologies de surveillancehttps://www.laquadrature.net/?p=15734http://streisand.me.thican.net/laquadrature.net/index.php?20200408_124359_La_crise_sanitaire_ne_justifie_pas_d___imposer_les_technologies_de_surveillanceWed, 08 Apr 2020 10:43:59 +0000Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 8 avril 2020,

Chacune des crises qui a marqué le 21e siècle ont été l’occasion d’une régression des libertés publiques. Les attentats terroristes du 11 septembre 2001 ont vu l’Europe adopter la Directive sur la rétention des données de connexions électroniques et l’obligation faite aux opérateurs de stocker celles de tous leurs clients. Les attentats terroristes qui ont touché la France en 2015 ont permis le vote sans débat de la loi renseignement. Ils ont aussi entraîné la mise en place de l’état d’urgence dont des mesures liberticides ont été introduites dans le droit commun en 2017.

La pandémie de Covid-19 menace d’entraîner de nouvelles régressions : discriminations, atteintes aux libertés, à la protection des données personnelles et à la vie privée…

Pour surveiller l’évolution de la pandémie, tenter d’y mettre fin et organiser la fin du confinement, les gouvernements de plusieurs pays européens proposent d’utiliser des outils numériques basés sur l’utilisation des données des téléphones portables en prenant exemple sur plusieurs pays d’Asie qui ont subi l’épidémie avant l’Europe (Chine, Corée du Sud, Taïwan, Singapour).

Deux logiques sont en œuvre : géolocaliser les populations et vérifier qu’elles respectent le confinement ; signaler aux personnes qu’elles ont pu être en contact avec des malades de la Covid-19.

En France, le 8 avril, le gouvernement a indiqué travailler sur une application pour téléphone portable, téléchargeable à titre volontaire, permettant que « lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique » [1].

Pistage des contacts (contact/backtracking)

Il est envisagé d’utiliser pour cela le Bluetooth, qui permet à deux appareils comme des téléphones portables, de se connecter lorsqu’ils sont à proximité[2]. Une application à installer (volontairement ou pas) permet aux porteurs de la Covid-19 de se signaler pour que les personnes ayant été à leur proximité soient informées sur leur téléphone portable qu’elles ont peut-être été en contact avec un porteur du virus, et qu’elles devront à leur tour rester confinées pour limiter la chaîne de contamination.

Quels sont les risques et les garanties nécessaires ?

Le Président de la République ayant déclaré que nous étions en guerre contre le virus, les mesures de restrictions des libertés nous sont présentées comme autant d’armes légitimes contre la pandémie.

Néanmoins, les utilisations envisagées de nos données personnelles (applications utilisant le Bluetooth pour le suivi des contacts) ou déjà mises en œuvre (géolocalisation) constituent une grave atteinte à nos libertés et ne sauraient être autorisées, ni utilisées sans notre consentement.

Pour que des données aussi sensibles puissent être utilisées légalement, nous devrions être informés du moment où ces données sont anonymisées, notre consentement devrait nous être demandé, des informations faciles à lire et à comprendre devraient nous être fournies pour permettre un consentement libre spécifique et éclairé. Des garanties devraient également être fournies sur les techniques utilisées pour rendre impossible leur ré-identification.

Concernant les applications de suivi des contacts, elle sont présentées comme peu dangereuses pour la confidentialité des données personnelles puisqu’il y aurait peu de collecte de données, mais essentiellement des connexions par Bluetooth d’un téléphone à un autre. C’est oublier que la notion de consentement libre, au cœur des règles de la protection des données, est incompatible avec la pression patronale ou sociale qui pourrait exister avec une telle application, éventuellement imposée pour continuer de travailler ou pour accéder à certains lieux publics. Ou que l’activation de ce moyen de connexion présente un risque de piratage du téléphone. Il est par ailleurs bien évident que l’efficacité de cette méthode dépend du nombre d’installations (volontaires) par les personnes, à condition bien sûr que le plus grand nombre ait été dépisté. Si pour être efficaces ces applications devaient être rendues obligatoires, « le gouvernement devrait légiférer » selon la présidente de la CNIL[3]. Mais on imagine mal un débat parlementaire sérieux dans la période, un décret ferait bien l’affaire ! Et qui descendra manifester dans la rue pour protester ?

L’atteinte au secret médical, à la confidentialité des données de santé, est aussi mis en cause, car ces applications offrent une possibilité d’identifier les malades et de les stigmatiser. Et qu’en sera-t-il de toutes les personnes qui n’auront pas installé l’application, seront-elles soupçonnées d’avoir voulu cacher des informations ?

Quant à celles qui ne possèdent pas de téléphone portable, elles risquent de subir une discrimination supplémentaire. Selon le CREDOC, seulement 44 % des « plus de 70 ans » possèdent un téléphone portable tandis que 14 % des Français ont des difficultés pour passer des appels ou envoyer des SMS[4]. De là à installer une application et en comprendre les alertes… Faudra-t-il les équiper d’un bracelet ou autre appareil électronique ?
Dès lors, l’atteinte au respect de la vie privée et au secret médical est susceptible d’être disproportionnée compte-tenu de l’inefficacité de la mesure en matière de santé publique.

En matière de lutte contre la pandémie et notamment de fin de confinement, il semble que le gouvernement tente de masquer ses manques et ses erreurs avec des outils technologiques présentés comme des solutions miracles. Et alors que leur efficacité n’a pas été démontrée, les dangers pour nos libertés sont eux bien réels.

Organisations signataires membres de l’OLN : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)

[1] https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
[2]Technologie de réseaux sans fils d’une faible portée (10 à 100 mètres…) permettant de relier des appareils entre eux sans liaison filaire. Ils sont capables de se détecter sans intervention humaine s’ils sont à portée l’un de l’autre.
[3] Interview par l’AFP de la présidente de la CNIL, Marie-Laure Denis le 4 avril 2020
Question: Le gouvernement a-t-il la possibilité d’imposer ce type d’app, ou d’autres app visant à imposer le respect du confinement ?
Réponse: En France, les pouvoirs publics ont exclu à ce jour l’éventualité d’un recours à un dispositif obligatoire.
S’il devait en aller autrement, il serait nécessaire d’adopter un texte législatif pour mettre en œuvre ces dispositifs qui devraient en tout état de cause démontrer leur nécessité pour répondre à la crise sanitaire ainsi que leur proportionnalité par un respect des principes de la protection des données personnelles: la minimisation des données collectées, des finalités qui doivent être explicitées et précises, un caractère provisoire…
[4]https://www.credoc.fr/publications/barometre-du-numerique-2019

]]>
Devenir des robots pour échapper au virus ?https://www.laquadrature.net/?p=15722http://streisand.me.thican.net/laquadrature.net/index.php?20200406_104944_Devenir_des_robots_pour_echapper_au_virus___Mon, 06 Apr 2020 08:49:44 +0000Tribune d’Arthur, juriste à La Quadrature du Net.

Les projets de traçage numérique contre le virus se précisent. Ferons-nous reposer la santé de la population sur notre « robotisation » ou, au contraire, sur notre humanité ?

Sonder son entourage

Mercredi dernier, le gouvernement a annoncé son projet de logiciel pour lutter contre le coronavirus après le confinement. L’idée semble très proche de ce qui a été expérimenté à Singapour : un logiciel pour smartphone vous permettrait de garder une trace des personnes croisées dans la journée et qui utilisent aussi l’application. La détection des personnes se ferait probablement par Bluetooth, sans avoir à enregistrer le lieu où vous les aurez croisées. Plus tard, si vous réalisez que vous êtes malade, le logiciel vous permettrait d’informer ces personnes pour les inviter à se mettre en quarantaine.

En théorie, ce modèle peut se passer de l’intervention d’une administration centrale, en ne reposant que sur la coopération volontaire entre individus. Il s’agit d’une des principales vertus mises en avant par ses promoteurs, en Asie comme en Europe. Ainsi, dans l’hypothèse où le gouvernement prendrait cette voie, on pourrait déjà se réjouir qu’il n’ait pas pris celle proposée par Orange, avec l’assentiment de la CNIL, visant à se passer entièrement de notre consentement.

Toutefois, si le modèle décrit ci-dessus semble simple en théorie, nous ignorons encore tout de la façon dont il sera déployé. Derrière les promesses d’une application décentralisée et autonome, il faut toujours redouter les terribles habitudes de l’État en matière de centralisation et de surveillance. La publication immédiate sous licence libre du code de l’application serait une garantie indispensable contre un tel dévoiement. Nous ne pouvons qu’être prudent en constatant que les autorités de Singapour, qui en avaient pourtant fait la promesse, n’ont toujours pas publié le code de leur application.

Cette application soulève d’autres difficultés juridiques mais le cœur du débat, politique, interroge l’évolution culturelle de notre société et son rapport à la technologie.

Un accord libre ?

Si l’application ne faisait rien sans notre accord et si son code était libre, serait-elle légale ? Le RGPD prévoit que le consentement n’est valide que s’il est « librement donné ». Ce n’est pas le cas si une personne « n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans ces conditions, l’hypothèse suivante ne serait pas conforme au RGPD : les personnes utilisant l’application sont autorisées à se déplacer librement, mais celles ne l’utilisant pas restent contraintes de rédiger une attestation de déplacement et de la soumettre au contrôle policier. Dans une telle hypothèse, le consentement ne serait pas donné librement, mais répondrait à la menace d’amendes lourdes et imprévisibles tant la police fait preuve d’arbitraire et de discriminations dans ces contrôles.

Si le gouvernement veut proposer une application licite, il devra entièrement rejeter cette hypothèse – hypothèse qui, heureusement, n’a pour l’heure pas été avancée. Enfin, même en rejetant cette hypothèse, y aurait-il encore à débattre de légalité de l’application ? Difficile de suivre un raisonnement uniquement juridique sans l’articuler à une réflexion politique : serons-nous socialement libres de refuser l’application ?

Une contrainte sociale

Les injonctions sanitaires ne viennent pas que du gouvernement, mais aussi d’une large partie de la population. Difficile de critiquer les injonctions actuelles qui invitent au confinement, mais que penser des injonctions futures, qui viendront après, lorsque la fin du confinement sera amorcée ?

Dans un monde déjà hyper-connecté, mis sous tension par la crise sanitaire, comment seront accueillies les personnes qui refuseront d’utiliser l’application ? Et celles qui, pour des raisons économiques, politiques ou en raison de handicap, n’ont tout simplement pas de smartphone ? Pourra-t-on aller travailler ou faire nos courses sans pouvoir attester de la bonne santé de nos fréquentations ? Nous laissera-t-on entrer dans tous les restaurants, centres d’accueil, bars, hôtels de jeunesse, boites de nuit, lieux de prière ou cinémas ?

De ces tensions sociales, il faut redouter un basculement culturel en faveur d’une surveillance massive de nos comportements hors-ligne. Il faut redouter l’exclusion sociale de celles et ceux qui refuseront de céder leur sociabilité et leur corps au contrôle et à l’efficacité biologique. De celles et ceux qui refuseront de devenir semblables à des machines, traçables et auditables en tout lieu.

Hélas, une telle évolution ne serait pas que sociale : l’industrie la prépare déjà depuis des années en déployant la reconnaissance faciale et la vidéo-surveillance automatisée dans nos villes. La Technopolice pourrait trouver dans cette crise sanitaire l’assise culturelle qui lui manquait tant.

Encore une fois, notre peur naturelle de mourir serait instrumentalisée, non plus seulement contre le terrorisme, mais désormais aussi contre la maladie. Nous sommes habitués à ces faux-chantages et ne sommes pas dupes. Dans le futur, notre société pourrait connaître des crises bien pires que celles en cours et, quelles que soient les menaces, la mort nous fera toujours moins peur que leurs futurs dystopiques — qu’une vie sans liberté.

Dans tous les cas, ce choix n’a pas lieu d’être aujourd’hui. La défense des libertés ne s’oppose pas à notre santé. Au contraire, elles vont de pair.

L’humanité, meilleure soignante que la technopolice

Les logiciels proposés aujourd’hui ne sont que l’éternelle réitération du « solutionnisme technologique » que l’industrie techno-sécuritaire redéploie à chaque crise. Sauf que, aujourd’hui, ce serpent de mer autoritaire constitue aussi une menace sanitaire.

Les enjeux de santé publique exigent de maintenir la confiance de la population, que celle-ci continue d’interagir activement avec les services de santé pour se soigner et partager des informations sur la propagation du virus. Les technologies de surveillance, telle que l’application envisagée par le gouvernement, risquent de rompre cette confiance, d’autant plus profondément qu’elles seront vécues comme imposées.

Face à l’éventuelle crainte de perdre leurs emplois ou d’être exclues de lieux publics, une telle défiance pourrait conduire de nombreuses personnes à mentir, à cacher leurs symptômes ou ceux de leurs proches. La « surveillance » nous aura privé d’informations précieuses.

Pour éviter une telle situation, plutôt que de prendre la voie des robots — tracés et gérés comme du bétail —, nous devons reprendre la voie des humains – solidaires et respectueux. Tisser et promouvoir des réseaux de solidarité avec les livreurs, les étrangers, les sans-abris, les soignants, augmenter le nombre de lits à l’hôpital, de masques pour le public, de tests pour permettre aux personnes malades de savoir qu’elles sont malades, de prendre soin d’elles-mêmes et de leur entourage, en nous faisant confiance les-unes les-autres – voilà une stratégie humaine et efficace.

]]>
Urgence partout, État nulle parthttps://www.laquadrature.net/?p=15713http://streisand.me.thican.net/laquadrature.net/index.php?20200404_120556_Urgence_partout__Etat_nulle_partSat, 04 Apr 2020 10:05:56 +0000Tribune de Noémie, membre de La Quadrature du Net.

Nous traversons une crise inédite tant par rapport à son origine, une pandémie mondiale, qu’à ses conséquences, une paralysie mondiale. En France, le gouvernement y a répondu en déclarant l’état d’urgence sanitaire, une notion créée pour l’occasion. Dedans, il y a « état d’urgence ». Et pourtant, la gravité qui accompagne d’ordinaire ce terme semble résonner dans le vide.

L’état d’urgence c’est un état d’exception, un espace où l’ordre juridique construit depuis des dizaines d’années est écarté pour laisser la priorité à l’efficacité, une séquence où les gouvernants s’arrogent de nouveaux pouvoirs dérogatoires sans aucun contrôle. Un moment dangereux pour les libertés, alimenté par la peur.

Alors qu’on devrait redoubler de vigilance envers l’action de l’État, que des garde-fous devraient être mis en place, que la critique devrait être partout, une grande partie d’entre nous baissons la garde. Serait-ce l’adjectif « sanitaire » accolé à l’état d’urgence qui fait diversion ? Ou plutôt une stratégie d’opportunité du gouvernement ? Tentons une explication.

L’urgence invisible

Il faut déjà se souvenir que la France a été en état d’urgence de 2015 à 2017, de quoi accoutumer la population à ce concept et le vider de sa signification, aussi bien en théorie qu’en pratique. Avec l’état d’urgence permanent, le message transmis est que le danger n’est plus exceptionnel, il est constant, il est partout. C’est cette justification qui a été utilisée pour transposer ces mesures soit disant « exceptionnelles » dans la loi « renforçant la sécurité intérieure et la lutte contre le terrorisme » (ou loi « SILT »).

Mais ce n’est sûrement pas l’unique raison de cette difficile prise de conscience. En 2015, les évènements tragiques du 13 novembre ont constitué le point de départ de l’état d’urgence, dont la mise en place était censée répondre rapidement aux maux l’ayant causé.

Aujourd’hui la temporalité semble différente. Le gouvernement n’a pas attendu l’état d’urgence pour prendre la mesure exceptionnelle et inédite que constitue le confinement. Cette fois-ci, il existe bien un évènement traumatisant qui justifierait l’exception, mais il n’est pas derrière nous. Il est devant.

Qu’attendons-nous exactement ? La fin de l’épidémie ? La fin du confinement ? D’être malade à notre tour ? Et qu’entendons-nous par « crise » sanitaire ? Le nombre de décès ? De malades ? L’aspect inédit du virus ? Les retombées économiques et sociales pour la France ?

On le voit, les circonstances justifiant l’état d’urgence sont autour de nous mais demeurent impalpables, difficiles à circonscrire, et les évènements auxquels il prétend répondre s’inscrivent dans une chronologie mouvante. En réponse, toutes les mesures d’exception qui seront prises dans le cadre de cet état d’urgence auront pour but de limiter un phénomène dont les contours ne sont pas réellement tracés, le tout couplé à un rythme effréné, comme une course contre la montre face à une menace invisible.

Nous l’attendons et dans cette attente cumulée à la peur, les critiques provenant des militant·es, citoyen·nes ou politiques sont alors inaudibles ou bien rendues illégitimes.

Cette absence de contours de ce que nous somme censés « combattre » pourrait être une explication à pourquoi ce nouvel état d’urgence échappe à une majorité de la population, à pourquoi les nouvelles mesures liberticides que nous subissons peuvent tant se confondre avec un quotidien déjà exceptionnel où nos libertés de déplacement sont contrôlées. Mais surtout, cela donne au gouvernement un blanc-seing afin de prendre des mesures aux contours tout aussi flous, dès lors qu’elles seront prises au nom de la lutte contre la pandémie. Et lorsque le gouvernement prend un nombre record d’ordonnances en l’espace de quelques jours, il nous fait plutôt regarder des courbes et des chiffres. Cela relève moins du hasard que de la stratégie.

La diversion des chiffres

En 2015, les militaires Sentinelles qui tournaient dans les rues étaient censés rassurer les citoyens face à la menace terroriste, sans pour autant que leur efficacité concrète en cas d’attaque soit réellement avérée. Cette illusion servait surtout à nous rappeler que nous devions avoir peur et ainsi l’état d’urgence pouvait passer pour légitime. Aujourd’hui, ce sont les chiffres qui jouent ce rôle. De malades, de décès, de cas, de probabilité, de seuil, ils sont là pour informer en permanence sur les raisons de cet état d’exception, tenter de nous rassurer (mais est-ce vraiment rassurant ?) tout en nous faisant suffisamment peur pour que l’état d’urgence suive son cours sans heurt ni critiques. Mais sont-ils réellement utiles ?

En réalité, les chiffres apparaissent comme le seul outil permettant de donner un corps à ce phénomène invisible. Les chiffres deviennent ainsi le seul levier pour le gouvernement, avec la police (dont les dérives et violences habituelles sont d’autant plus visibles quand on lui donne un joujou de plus pour être arbitraire) pour maîtriser la situation, ou plutôt, de prétendre la maîtriser. Toute forme de données, de statistiques lui sont utiles pour sa communication, pour le rapport de force.

On nous martèle alors que les producteurs de données c’est nous, nos comportements, nos téléphones, nos déplacements. La tendance actuelle présente la collecte de nos données comme le recours ultime contre la pandémie, alors que leur efficacité n’est en rien certaine. Cette volonté de nous identifier comme des acteurs potentiels de cette crise, alors que nous sommes les sujets qui en subissent les mesures liberticides, est une pure fiction.

En quoi les statistiques seront-elles plus efficaces que les médecins, les infirmier·es., les aide-soignant·es, les étudiant·es, les ambulancier·es qui s’épuisent, jour et nuit, à sauver les personnes infectées ? En quoi le fait de se géolocaliser résoudra-t-il la pénurie de masques, de tests et de médicaments ? Pourquoi une application nous sauverait-elle plus que la solidarité humaine et les mesures de confinement ?

Les mesures de surveillance, via nos usages des technologies, que suggèrent nos gouvernants relèvent en réalité d’une stratégie pour détourner notre attention de la cause réelle du problème que constitue l’abandon de l’hôpital public. Ils tablent sur la culpabilisation des citoyens désireux d’agir pour faire adopter des outils toujours plus intrusifs et évitent soigneusement de mettre en lumière les multiples réseaux de solidarité qui se forment, les besoins criants des associations pour aider les plus précaires, les multiples critiques de notre mode de vie qui émergent même des plus libéraux. Plutôt que d’assumer les conséquences désastreuses d’une politique de santé défaillante, leur diversion consiste à inverser les rôles, à nous faire passer, nous, pour ceux qui refuseront d’aider les autres. Comme si nous devions être coupable de vouloir protéger notre vie privée, d’exprimer notre colère, ou simplement de suggérer des alternatives.

Une fois ces manœuvres identifiées, il appartient à chacun de percevoir cette crise selon son propre prisme, de décider de sa propre manière d’agir ou d’aider. Nous la vivons toutes et tous de manière différente et la solidarité n’impose pas de se ranger derrière la seule action de l’État comme il le laisse entendre. Au contraire, les expériences que nous traversons sont inquantifiables et multiples, souvent difficiles, mais probablement très fortes dans ce qu’elles font de notre rapport aux autres et à la société, une richesse qu’il nous faudra cultiver une fois ce moment douloureux passé.

]]>
Covid-19 : l’attaque des droneshttps://www.laquadrature.net/?p=15692http://streisand.me.thican.net/laquadrature.net/index.php?20200401_174503_Covid-19____l___attaque_des_dronesWed, 01 Apr 2020 15:45:03 +0000À l’heure de la crise sanitaire, la France bascule dans un État policier. Et c’est l’occasion pour les forces de sécurité de déployer massivement leurs derniers gadgets sécuritaires. À travers le pays, la police déploie des drones pour contrôler l’application du confinement. Non seulement pour diffuser par haut-parleurs les directives du gouvernement, mais aussi pour surveiller la population, en orientant les patrouilles au sol et même en filmant celles et ceux qui leur échapperaient pour mieux les sanctionner après.

Ce déploiement inédit ressemble à une gigantesque opération de communication des autorités, qui mettent ainsi en avant leur arsenal technologique. Cette crise est instrumentalisée pour banaliser l’utilisation d’un outil de surveillance pourtant extrêmement attentatoire à nos libertés. Et le tout dans un cadre juridique flou, voire inexistant. L’État profite ainsi de l’état de sidération pour imposer ses technologies policières.

Christophe Castaner a la mémoire courte. C’est sans doute la raison pour laquelle il n’a pas hésité, la semaine dernière, à expliquer que, si le gouvernement français s’était pour l’heure abstenu de se livrer à une surenchère en matière de surveillance numérique au cours de cette crise sanitaire, c’était parce que le traçage des données « n’est pas dans la culture française ». Oubliés les bons et loyaux services de l’opérateur télécom Orange qui propose de surveiller illégalement ses abonnés pour le compte des autorités ? Oubliés aussi, les programmes de surveillance massifs des services de renseignement français ? Oubliés, le fichier TAJ ou les ventes d’armes numériques aux dictatures ?

Si, pour l’heure, le « traçage numérique » n’est pas la priorité du gouvernement pour lutter contre l’épidémie, reste le flicage tout court. Et dans cette matière, le ministère de l’Intérieur nous fait ces jours-ci une démonstration magistrale de son savoir-faire, n’hésitant pas à étaler ses dernières technologies sécuritaires. Il y a encore quelques semaines, les vidéos de drones qui survolaient des villes en Chine afin de faire respecter les consignes de gouvernement provoquaient en France incrédulité et inquiétude concernant les dangers de ce nouvel « arsenal technologique » pour les « libertés individuelles ». D’aucuns étaient tenté d’y voir une spécificité chinoise, le signe d’un État autoritaire. Moins de deux mois plus tard, tandis que chaque sortie de nos domiciles est conditionnée à une déclaration préalable, que nos déplacements font l’objet de contrôles systématiques, la police française déploie à son tour ces mêmes engins sur tout le territoire.

Il ne s’agit pourtant pas d’un outil anodin : robo-militarisation de l’espace public et aérien, pollution sonore, coût énergétique, danger pour les biens et personnes en cas de défaillance, accès non autorisé aux espaces privés, l’usage policier des drones démultiplie la surveillance.

Tour de France du déploiement des drones et de leurs usages

De rapides recherches donnent pourtant à voir plus d’une quinzaine d’exemples où les drones sont utilisés pour imposer le confinement décidé par le gouvernement et intimider la population. Et il ne s’agit pas seulement d’y brancher un haut-parleur pour diffuser les consignes des autorités, mais bien, à l’aide des caméras, de surveiller la population, de repérer les attroupements, de mieux verbaliser les contrevenants, d’orienter les patrouilles au sol et même, dans certains cas, de filmer les personnes échappant à la police pour mieux les sanctionner après. Petit tour de France de ce déploiement inédit :

A Paris, la préfecture a déployé plusieurs drones pour diffuser des messages incitant au confinement, le tout au sein d’un « dispositif complet de surveillance et de contrôle de l’espace public dans le cadre des mesures de confinement destinées à protéger la population de la transmission du coronavirus » ;

A Ajaccio, la police survole les plages avec un drone pour « prévenir, voire même verbaliser, ceux qui avaient oublié les consignes de confinement » ;

A Nice, un drone « muni d’une caméra et d’un haut-parleur accompagne (…) des patrouilles de la Police nationale » et devrait bientôt être déployé à Cannes ;

En Haute-Garonne, les gendarmes (…) | « peuvent désormais utiliser un drone pour s’assurer que les règles de confinement sont respectées par tous ». La gendarmerie « basée à Muret a pu contrôler 75 personnes et réaliser 10 procès-verbaux en trois opérations avec ce drone équipée d’une caméra avec zoom dont l’image est envoyée sur une tablette » ;

En Moselle-Sud, les drones permettent « de couvrir une zone étendue en quelques minutes et de pouvoir contrôler des endroits difficiles d’accès »

A Metz, c’est avec un drone que « les policiers du commissariat de Metz ont repéré les contrevenants qui ont, ensuite, été verbalisés ;

A Limoges, un drone a été prêté à titre gracieux à la police par les pompiers « afin de surveiller que les mesures de confinement sont respectées ». Ce drone leur « permet effectivement de voir si les gens respectent bien le confinement, s’ils respectent aussi l’espace entre eux (…) de concentrer les patrouilles et les contrôles dans les endroits où il y a des attroupements injustifiés » ;

A Nantes, la police utilise un drone avec caméra et haut-parleur « pour détecter d’éventuels contrevenants » et « faire une capture d’image si un individu venait par exemple à prendre la fuite » ;

A Montpellier, les drones servent « à faire des reconnaissances dans les quartiers sensibles à Montpellier où des délinquants ne respectent pas le confinement », leur but étant de « d’opérer une reconnaissance pour savoir si on a des points de fixation aux abords de certaines cités sensibles pour éviter des embuscades et envoyer les moyens adéquats » ;

A Rennes, où un droneavec caméra « informe, par radio, de la position des contrevenants au confinement à ses collègues patrouillant» ;

Dans le Grand Est, où un drone avec haut-parleur et caméra est utilisé pour faire respecter le confinement, et où la région dit disposer de « 18 drones de gendarmerie opérés par 30 télépilotes [qui] seront mis à contribution en fin de semaine ».

Et la liste s’allonge de jour en jour : dans le Val-d’Oise ou les Côtes-d’Armor, avec haut-parleur et caméra pour orienter les patrouilles, mais aussi à Marseille, Amiens, Lille, Granville, Saint-Malo…. Et un tel déploiement n’est évidemment pas exclusif à la France – il a malheureusement lieu en ce moment partout en Europe (c’est le cas au Royaume-Uni, en Espagne, au Portugal…).

Démultiplication des pouvoirs de la police

C’est un déploiement massif, d’une ampleur inédite, qui décuple le pouvoir de surveillance et de sanction de la police. L’autre conséquence est évidemment la banalisation et la normalisation d’un tel outil, déjà largement utilisé pour la surveillance des migrants et des manifestations. Une banalisation qui pousse chaque personne à s’habituer au survol des espaces publics par des machines. Les agents de police, quant à eux, découvrent un nouveau gadget dans leur arsenal et l’expérimentent comme bon leur semble. Un outil qui, pour les industries du secteur, n’a aujourd’hui plus rien d’ « exotique ».

Car les industriels de la sécurité ne sont évidemment jamais bien loin. Comme pour tout dispositif technopolicier, les autorités délèguent et confient une partie de leur pouvoir de police à des sociétés privés. À Nice, c’est en effet une start-up locale, « Drone 06 » qui fait patrouiller ses drones pour la police (en promettant de ne pas filmer elle-même). Et à Paris, c’est l’entreprise Flying Eye qui loue ses machines à la préfecture de police à travers un accord-cadre, son dirigeant indiquant même qu’il reçoit en ce moment « toutes les deux heures un appel pour me commander du matériel ». Alors que les services de santé sont exsangues, la police et ses partenaires privés profitent de la crise pour multiplier les investissements dans ce coûteux matériel.

Vide juridique

Il n’existe aujourd’hui aucun cadre juridique spécifique pour l’utilisation des drones par la police. Cela avait déjà été souligné en 2015, réaffirmé depuis, et c’est encore et toujours le cas aujourd’hui. En réalité, le seul cadre existant semble constitué de deux arrêtés du 17 décembre 2015, l’un portant sur les normes de conception des drones, et l’autre sur leur utilisation. Les règles fixées par ces deux arrêtés (autorisation préalable, hauteur de vol…) concernent aussi bien les drones à usage civil que ceux de la police. Néanmoins, l’arrêté sur l’utilisation des drones permet, pour des activités de police, de déroger totalement aux règles édictées : « Les aéronefs qui circulent sans personne à bord appartenant à l’État, affrétés ou loués par lui et utilisés dans le cadre de missions de secours, de sauvetage, de douane, de police ou de sécurité civile peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission et les exigences de l’ordre et de la sécurité publics le justifient »

Pour résumer, il suffit donc à la police de considérer que sa mission d’ « ordre » et de « sécurité publique » le justifie, pour ne respecter aucune règle quant à l’utilisation de drones dans l’espace public1Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police..

C’est d’autant plus étonnant que le code de la sécurité intérieure prévoit des dispositions spécifiques pour la vidéosurveillance (« vidéoprotection » dans la novlangue d’État) mais également pour les caméras-piétons. L’encadrement de ces dernières avait d’ailleurs fait suite à la pression de la Cnil, en 2015, qui avait considéré, qu’au vu des nouveaux dangers que posaient les caméras-piétons pour la vie privée, « un encadrement légal, spécifique et adapté à de tels dispositifs, est nécessaire ». Aucun appel semblable n’a été fait pour les drones. En l’état du droit, ces déploiements dignes d’un État policier sont tout simplement inadmissibles.

À La Quadrature, nous serions évidemment enclins à attaquer en justice ces déploiements pour y mettre un coup d’arrêt. Mais un tel flou juridique rend plus difficile tout contentieux. Il nous est ainsi très difficile de trouver des autorisations, arrêtés ou autres actes administratifs autorisant ces déploiements, et que nous pourrions contester devant les juridictions (or, faute de tels actes, nos recours sont voués à l’échec)2Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.. D’ailleurs, si vous en trouvez, n’hésitez pas à nous le signaler sur le forum de notre campagne Technopolice.

References   [ + ]

1. Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police.
2. Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.
]]>
Orange recycle son service de géolocalisation pour la pandémiehttps://www.laquadrature.net/?p=15671http://streisand.me.thican.net/laquadrature.net/index.php?20200328_114300_Orange_recycle_son_service_de_geolocalisation_pour_la_pandemieSat, 28 Mar 2020 10:43:00 +0000Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au fil la journée). La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

Flux Vision

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance, chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identifier chaque personne, mais elles sont réalisées de façon plus ou moins légale.

Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion1Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées..

La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement. Pour des raisons encore obscures2Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile. et sans aucune base légale, la CNIL tolère que les opérateurs téléphoniques violent la loi « dans le domaine du tourisme, de l’aménagement du territoire et du trafic routier ». En 2013, Orange avait pu profiter de cette situation mais, coincé entre l’illégalité et la tolérance de la CNIL, l’entreprise n’a plus proposé d’offre nouvelle depuis 7 ans.

Jusqu’à ce que l’occasion se présente enfin. Une crise sanitaire, un gouvernement défaillant, des stratégies à inventer, tout ce qu’il faut pour proposer un nouveau produit.

L’occasion de la crise

Le commissaire européen Thierry Breton, lui aussi, a vu l’occasion d’aider l’industrie qui l’a nourri : il a réuni les huit principaux opérateurs européens (Orange, Deutsche Telekom, Vodafone…) pour annoncer entre grands-techniciens non-médecins leur stratégie pour lutter contre la pandémie en surveillant la population. De quoi mettre en avant leurs offres commerciales.

Et justement, de son côté en France, le PDG d’Orange, Stéphane Richard, enchaîne les interventions média avec une stratégie qui semble assez claire : recycler son offre Flux Vision de 2013 pour la crise actuelle. Si Orange peut déjà informer les villes sur les mouvements de leurs touristes, il le pourra aussi pour leurs malades et leurs confinés. Et si Orange joue les bons élèves en temps de crise, il aura ouvert un nouveau marché durable. Il se sera même rapproché d’autres marchés similaires, encore peu avouables, que ce soit pour tracer les manifestant⋅es, les jeunes des quartiers pauvres, les sans-abris…

Une bien belle occasion pour se diversifier dans le sécuritaire.

Le soutien de la CNIL

Et que fait la CNIL ? Mediapart nous apprend qu’elle pousse le gouvernement vers certaines solutions qui, en pratique, sont principalement celles d’Orange.

Pour se justifier, la CNIL reprend le vocabulaire fallacieux d’Orange, qui se vante de fournir des statistiques « agrégées » afin de donner l’impression qu’il respecte la loi. Or, pour fournir des statistiques de déplacement « anonymes », Orange analyse d’abord des données personnelles, non-anonymes, sans le consentement des personnes. C’est illégal.

La CNIL aurait dû exiger qu’aucune statistique d’Orange ne puisse se fonder sur autre chose que des données purement techniques, sans lien avec les personnes, tel que le nombre de connexions aux antennes-relais. Par exemple, bien qu’on ne sache pas exactement comment Paris a évalué à 17% la baisse de sa population depuis le confinement, la ville aurait simplement pu comparer entre deux dates le nombre de connexions à ses antennes, démontrant qu’il n’est pas nécessaire de violer la loi pour produire des chiffres.

Une surveillance plus poussée

Hélas, la CNIL ne se contente pas de faire la promotion des offres commerciales d’Orange. Elle invite aussi le gouvernement à adopter une nouvelle loi dans l’hypothèse où il faudrait des mesures « plus poussées » – par exemple, cartographier chaque malade ou confiné, sans leur consentement. Pourtant, la directive ePrivacy interdit toute loi de ce type : les données de localisation ne peuvent être collectées sans le consentement des personnes que pour lutter contre les infractions (et seulement les crimes les plus graves, d’après les juges de l’UE) et non pour lutter contre la propagation d’un virus3Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».. Contrairement à ce qu’on peut lire dans la presse, le RGPD n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le pourrait. Elle l’interdit en l’espèce.

On aimerait croire que, si la CNIL invite le gouvernement à violer le droit européen, ce n’est pas simplement pour la grandeur industrielle du pays, mais aussi pour protéger notre santé. Sauf que ni la CNIL, ni Orange, ni personne n’a été capable de démontrer la nécessité médicale de surveiller sans leur accord les personnes confinées ou malades – surtout quand celles-ci sont indétectables en l’absence de test. Alors que Singapour propose une application basée sur un protocole ouvert permettant aux personnes de révéler volontairement leurs déplacements, pourquoi la CNIL défend-t-elle la proposition d’Orange, contraire au droit, beaucoup moins respectueuse de nos libertés et qui, elle, n’a fait aucune preuve de son intérêt contre le virus ?

Pour l’instant, le gouvernement semble insensible aux appels d’Orange, occupé par des choses plus importantes. Bien. Contrairement à la CNIL, nous n’hésiterons pas à l’attaquer s’il cédait aux ambitions hasardeuses des profiteurs de crise.

References   [ + ]

1. Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées.
2. Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile.
3. Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».
]]>
Surveillance publicitaire : la CNIL se défile de nouveau sur le consentement aux cookieshttps://www.laquadrature.net/?p=15657http://streisand.me.thican.net/laquadrature.net/index.php?20200326_181347_Surveillance_publicitaire____la_CNIL_se_defile_de_nouveau_sur_le_consentement_aux_cookiesThu, 26 Mar 2020 17:13:47 +0000La période est à la priorité d’un capitalisme toxique face au respect des libertés. Les entreprises du numérique comptent bien exploiter nos difficultés face à la crise sanitaire pour leurs profits. Si la population reste connectée plus longtemps, il faut lui afficher plus de pub ciblée. La CNIL vient ainsi de repousser encore une fois son rôle d’autorité chargée de faire respecter le RGPD.

Pour rappel, en juillet 2019, la CNIL publiait des lignes directrices où elle rappelait que le RGPD exige que le dépôt de cookie et autres traceurs se fasse avec notre « consentement explicite ». C’est-à-dire que notre consentement ne peut plus être « déduit » du simple fait que nous sommes informé·es par un vulgaire « bandeau cookie ». Tant que nous ne cliquons pas explicitement sur un bouton « J’accepte » (en ayant la même possibilité de refuser), il est strictement interdit de nous pister et de réaliser des profits sur nos données personnelles.

Cette règle était déjà connue et en vigueur depuis l’entrée en application du RGPD, en mai 2018 – date à laquelle ces pratiques délinquantes de l’industrie publicitaire auraient dû cesser et être sanctionnées. Néanmoins, en juillet dernier, la CNIL avait explicitement annoncé qu’elle ne sanctionnerait le non-respect de ces règles qu’à partir de 6 mois après la publication d’une recommandation destinée à décrire les « modalités pratiques possibles de recueil d’un consentement conforme aux règles applicables » (voir notre communiqué de réaction). Un nouveau délai d’un an « bonus » pour la surveillance publicitaire illégale. Nous avions évidemment attaqué cette décision devant le Conseil d’État, qui avait rejeté notre demande (voir notre article).

Or, hier matin, l’industrie publicitaire publiait dans la presse une tribune larmoyante avec une injonction : « Les annonceurs ont mis en suspens leurs investissements. Dans ce contexte, il faut que certaines règles, qui doivent être mises en place par la CNIL sur la protection de la vie privée, dans le prolongement du RGPD, fassent l’objet d’un moratoire ». Quelques heures à peine plus tard, la CNIL s’exécute et décide de reporter de nouveau l’application du RGPD en matière de surveillance publicitaire. Elle nous informe ainsi par courrier que : « Afin d’aborder dans un contexte plus serein ce sujet majeur pour la protection des données personnelles comme pour l’économie de l’écosystème publicitaire, la présentation du projet de recommandation est reportée à une date ultérieure, qui sera fixée en fonction de l’évolution de la situation. »

L’industrie publicitaire pourra donc continuer pendant le confinement et les possibles reprises à traquer les individus en ligne pour les manipuler le mieux possible dans des actes de consommation en violant les libertés.

Si l’on peut tout à fait comprendre que la période soit difficile en termes de travail des agent·es (en remerciant les agent·es consciencieus·es qui souhaitent autant que nous l’arrêt de ces pratiques délictueuses), rien n’empêchait la CNIL d’indiquer que ces règles sur le consentement sont en vigueur depuis 2018, ou même de raccourcir d’autant le délai prévu pour l’application de la recommandation.

La toxicité de la surveillance publicitaire en ligne n’est plus à démontrer tant ses conséquences sociales, écologiques et politiques sont criantes, au point que la question de son interdiction se pose même sérieusement outre atlantique. Il est en effet temps de changer ce système de dépendance à la violation des libertés à des fins publicitaires en économisant aux réseaux ce surcoût indu. C’est aussi le bon moment pour les personnes et les entreprises qui dépendent de ces revenus qui prouvent encore une fois leurs instabilités pour les abandonner et réfléchir aux adaptations requises.

En cette période de confinement et d’augmentation de nos usages d’Internet, La Quadrature du Net et Résistance à l’Agression Publicitaire appelons encore une fois toutes et tous à Bloquer la pub sur le Net en suivant les indications sur bloquelapub.net et en faisant découvrir ces outils à vos proches face à cette industrie délinquante et à ce nouveau recul de l’autorité de contrôle dans l’application de sa mission.

La Quadrature du Net avec Résistance à l’Agression Publicitaire (R.A.P.)

]]>
Contre le COVID-19, la géolocalisation déjà autoriséehttps://www.laquadrature.net/?p=15638http://streisand.me.thican.net/laquadrature.net/index.php?20200319_135300_Contre_le_COVID-19__la_geolocalisation_deja_autoriseeThu, 19 Mar 2020 12:53:00 +0000Face au COVID-19, de nombreux États annoncent leur intention de recueillir massivement des données de géolocalisation auprès des opérateurs de communication. En Chine, aux États-Unis, en Italie, en Israël, en Corée du Sud, en Belgique. En dépit d’un amendement scélérat proposé par l’opposition, une telle ambition est pour l’heure absente du projet de loi français dédié à l’épidémie, actuellement débattu au Parlement. Et pour cause : depuis 2015, la loi renseignement semble déjà autoriser de telles mesures. L’an dernier, nous avons attaqué cette loi devant le juge de l’Union Européenne, dont nous attendons bientôt la décision. Prenons ici un moment pour en rappeler les dangers.

La loi renseignement adoptée en 2015 permet à l’État de surveiller la population pour une très large variété de finalités, notamment « pour le recueil des renseignements relatifs à la défense [des] intérêts économiques, industriels et scientifiques majeurs de la France ». Si, comme Emmanuel Macron, on admet facilement que « cette crise sanitaire sans précédent aura des conséquences […] économiques majeures », il faut conclure que la loi renseignement autorise déjà l’État à surveiller la population afin de lutter contre l’épidémie. Rien de surprenant au regard de la démesure des pouvoirs que lui a conférés le Parlement en 2015.

Parmi les mesures autorisées par la loi renseignement, l’article L851-1 du code de la sécurité intérieure prévoit que les services de renseignement peuvent exiger la transmission par les opérateurs téléphoniques des « données techniques relatives […] à la localisation des équipements terminaux utilisés » par leurs clients. En application de l’article L851-4, ces données peuvent même être « recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs ». Pour exiger ces transferts, l’administration agit seule, sans le contrôle ou l’autorisation préalable d’un juge.

L’État n’informe jamais la population quant à la façon dont il utilise concrètement la loi renseignement, celle-ci organisant une totale opacité. Nous n’avons à ce stade aucune information permettant de corroborer l’utilisation de ces pouvoirs de surveillance dans le cadre de la lutte contre l’épidémie du virus COVID-19. Mais, en droit, rien n’interdit à l’État d’user de ces pouvoirs, par exemple, pour identifier les personnes se déplaçant de villes en villes ou ayant visité certains lieux sensibles, voire pour s’assurer que les injonctions de confinement soient suffisamment respectées1L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements..

Si, aujourd’hui, l’administration utilisait la loi de 2015 en ce sens, serait-ce conforme au règlement général sur la protection des données (RGPD) ? En théorie, les données sensibles, telles que les données de santé que révélerait une telle surveillance (par exemple le fait que, en raison de ses déplacements, une personne présente un haut risque d’avoir contracté le virus), peuvent bien être traitées « pour des motifs d’intérêt public dans le domaine de la santé publique ».

À condition toutefois de respecter le reste du RGPD, ce qui n’est pas du tout le cas de la loi renseignement : une fois ces données collectées, cette loi laisse l’administration les ré-utiliser ensuite pour des finalités étrangères à la lutte contre l’épidémie (fichage politique, lutte contre la fraude, etc.). Si l’article L822-2 du code de la sécurité intérieure impose une suppression des données brutes de localisation au bout de 4 ans, il n’en est rien pour les « fiches » constituées sur la base de ces données : ni la durée de conservation, ni l’utilisation ultérieure de ces fiches n’est limitée. Cette violation du droit européen est une de nos principales critiques contre le texte dans notre affaire devant la Cour de justice de l’Union européenne – dont la décision devrait être rendue dans les mois à venir.

Dans cette situation de crise, en dépit des pressions politiques, le gouvernement doit résister à toute fuite-en-avant sécuritaire. Face au risque d’abus engendré par les pouvoirs démesurés que confère d’ores-et-déjà la loi renseignement à l’État, il doit également s’engager à faire immédiatement la transparence sur toutes les mesures de surveillance de la population mises en œuvre pour lutter contre la propagation du COVID-19. En attendant que les pouvoirs exorbitants que lui octroie la loi renseignement soient battus en brèche.

References   [ + ]

1. L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements.
]]>
Vidéosurveillance automatisée : le tribunal de Marseille refuse l’urgencehttps://www.laquadrature.net/?p=15630http://streisand.me.thican.net/laquadrature.net/index.php?20200312_125416_Videosurveillance_automatisee____le_tribunal_de_Marseille_refuse_l___urgenceThu, 12 Mar 2020 11:54:16 +0000Le tribunal administratif de Marseille vient de rejeter notre action en référé contre la ville de Marseille. Nous lui demandions d’annuler en urgence le déploiement de logiciels d’analyse automatisée sur les caméras de la ville (voir notre requête et l’ordonnance du juge).

Le tribunal nous rejette au motif que nous aurions dû attaquer le marché public conclu dès 2018 par la ville pour déployer ces dispositifs. Nous serions aujourd’hui hors délai pour les contester, quand bien même nous n’avons pu en prendre effectivement connaissance que très récemment et que leurs caractéristiques ont évolué et continueront d’évoluer.

Il faut bien comprendre que notre recours est rejeté pour une raison purement procédurale. Ce n’est en aucun cas le fond du dispositif qui est validé. La juge des référés n’a pas tranché sur la question de l’atteinte aux libertés que nous dénonçons.

Toutefois, en nous disant hors délai, le tribunal conforte les villes sécuritaires dans leur stratégie anti-démocratique : déployer leurs projets dans l’opacité la plus totale afin de freiner toute contestation, politique comme juridique. La stratégie de la mairie consiste depuis le début à œuvrer dans le silence : c’est au détour d’articles de presse que nous avons appris que cette surveillance serait mise en place d’ici fin 2019. Il aura fallu attendre le dernier moment pour qu’une lettre de la mairie du 31 décembre 2019 nous confirme qu’était mis en œuvre « un environnement test de 50 caméras ».

Mais qu’importe, la lutte est loin d’être terminée. Elle ne fait que commencer et ce recours n’en est que la première étape.

Par cette action en référé, nous espérions pouvoir utiliser une voie rapide et directe pour attaquer de tels systèmes qui se déploient déjà partout en France. Le tribunal a mis un coup d’arrêt à la contestation du dispositif marseillais. Mais, s’il nous faut prendre une autre voie contentieuse pour y parvenir, nous la prendrons, et reviendrons attaquer ce dispositif en surmontant l’obstacle posé aujourd’hui. Au-delà de Marseille, il faudra attaquer bien d’autres systèmes de vidéosurveillance automatisée, que nous avons déjà pu identifier à Valenciennes, à Nice, à Toulouse, à La Défense ou dans les Yvelines.

L’obstacle rencontré aujourd’hui démontre combien il est urgent de déchirer l’opacité imposée par nos adversaires. Inscrivez-vous sur Technopolice.fr pour nous aider à documenter puis déconstruire leur monde sécuritaire. Si vous disposez de documents, nous avons une plateforme pour vous permettre de nous les transmettre en toute discrétion. Enfin, nous avons toujours besoin de vos dons qui nous permettent d’engager de telles actions contentieuses.

]]>
Loi audiovisuelle : Aurore Bergé s’attaque à la neutralité du Nethttps://www.laquadrature.net/?p=15624http://streisand.me.thican.net/laquadrature.net/index.php?20200306_155054_Loi_audiovisuelle____Aurore_Berge_s___attaque_a_la_neutralite_du_NetFri, 06 Mar 2020 14:50:54 +0000La commission culture de l’Assemblée nationale vient de voter en première lecture le projet de loi audiovisuelle. Cette loi est particulièrement large et dense : nous reviendrons petit à petit sur chaque point plus tard (nous avons déjà annoncé notre intention de détruire la HADOPI dans ce contexte).

Le vote d’hier a ajouté une nouvelle menace, considérable. Aurore Bergé, rapporteure du texte, a fait adopter une série d’amendements pour lutter contre la diffusion illicite d’événements sportifs. Les entreprises qui possèdent les droits de diffusion (Bein Sport, Canal+, et autres ayants-droit) pourront obtenir du juge de nouvelles mesures.

Depuis 2004, le juge des référés peut exiger des fournisseurs d’accès à Internet (FAI) qu’ils bloquent l’accès à un site Internet diffusant illégalement des contenus1Article 6, §8, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.. L’article 23 de la loi audiovisuelle reprend ce principe en visant spécifiquement les sites « dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives ». La nouveauté introduite par Aurore Bergé est que le juge pourra désormais exiger que les FAI bloquent tout nouveau site apparaissant au cours d’une période pouvant s’étendre jusqu’à 12 mois, et ce alors même que ce site « n’a pas été identifié à la date » où le juge aura pris sa décision.

Problème : les FAI ne pourront pas savoir quels sites bloquer puisque ceux-ci n’auront « pas été identifié[s] » dans la décision judiciaire. Un autre amendement parachève l’arbitraire et précise que les ayants-droit leur communiqueront « les données d’identification nécessaires ». Un autre problème surgit alors : les ayants-droit n’ont aucune autorité pour qualifier juridiquement des faits et il reviendra donc à chaque FAI d’évaluer seul (sans juge) la licéité des sites signalés. Surtout, les ayants-droit ne pourront pas leur signaler l’intégralité des sites (virtuellement infinis) que le juge a pourtant ordonné de bloquer. Pour respecter l’injonction, le FAI n’aura d’autre choix que de les détecter lui-même, typiquement en analysant les données transmises sur son réseau afin d’y déceler la rediffusion de tel match de foot ou de tel tournoi de pétanque.

Qu’il s’agisse d’évaluer les signalements ou de détecter les sites illicites, un tel système marque une rupture frontale avec la neutralité du Net. Les FAI sont extirpés de leur rôle passif pour endosser, de force, une mission de surveillance et de modification active des informations qu’ils acheminent, hors de tout encadrement judiciaire.

Ce nouveau système viole confortablement les lois européennes, ne serait-ce que l’article 15 de la directive eCommerce qui interdit d’imposer aux FAI « une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Le délire autoritaire d’Aurore Bergé est tel que même Franck Riester, ministre de la culture et auteur de ce projet de loi, s’en est ému en commission : « est-ce qu’on ne va pas trop loin ? […] il faut des garanties sur les libertés, il faut être proportionné ». Piétiner un principe aussi fondamental que la neutralité du Net, oui, c’est aller trop loin.

Le projet de loi sera débattu en séance publique à l’Assemblée nationale à partir du 31 mars. Nous continuerons d’ici-là notre analyse des autres points de ce texte.

References   [ + ]

1. Article 6, §8, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.
]]>
Première victoire en justice contre la reconnaissance faciale !https://www.laquadrature.net/?p=15604http://streisand.me.thican.net/laquadrature.net/index.php?20200227_150301_Premiere_victoire_en_justice_contre_la_reconnaissance_faciale___Thu, 27 Feb 2020 14:03:01 +0000Le 3 février dernier, La Quadrature du Net, La Ligue des Droits de l’Homme, la FCPE et la CGT Educ’Action des Alpes Maritimes étaient en audience devant le tribunal administratif (TA) de Marseille contre la mise en place d’un système de reconnaissance faciale à l’entrée de deux lycée de la région PACA.

Le TA a rendu sa décision hier, en statuant sur l’incompétence de la région PACA en matière d’encadrement et de surveillance des élèves annulant, de fait, la délibération lançant l’expérimentation du dispositif.

Ensuite, le tribunal reconnaît que cette délibération ne respecte pas le RGPD car les élèves n’ont pas pu donner de « consentement à la collecte de données personnelles de manière libre et éclairée », du fait de la relation d’autorité qui lie les élèves à l’administration de l’établissement.

Enfin, le tribunal, comme l’avait déjà souligné la CNIL à l’automne, a jugé que la reconnaissance faciale est une mesure disproportionnée pour gérer les entrées et sorties d’un lycée, d’autant que des mesures alternatives bien moins attentatoires aux droits existent pour ce faire. À ce sujet, le rapporteur public avait déclaré lors de l’audience que « la région utilise un marteau piqueur pour frapper une fourmi ».

En France, il s’agit de la première décision juridictionnelle sur la reconnaissance faciale, et de la première victoire contre elle ! Nous espérons qu’elle sera suivie d’autres décisions similaires menant à l’interdiction totale de la reconnaissance faciale. Pour rappel, nous publiions en décembre dernier une lettre commune avec 124 organisation appelant à interdire tous ses usages sécuritaires, notamment à l’adresse des équipes candidates aux élections municipales.

Lundi 2 mars 2020, toujours au tribunal administratif de Marseille, aura lieu l’audience de notre autre recours déposé avec la LDH contre la vidéosurveillance automatisée (qui repère entre autres les « comportements suspects » des individus sur la voie publique).

Défendre les libertés, ça n’a pas de prix, mais ça a un coût. Merci de faire un don si vous le pouvez.

]]>
Gendnotes, faciliter le fichage policier et la reconnaissance facialehttps://www.laquadrature.net/?p=15588http://streisand.me.thican.net/laquadrature.net/index.php?20200225_152916_Gendnotes__faciliter_le_fichage_policier_et_la_reconnaissance_facialeTue, 25 Feb 2020 14:29:16 +0000Le gouvernement vient d’autoriser la gendarmerie à déployer une application mobile qui facilite la collecte de photos et d’informations sensibles (religion, politique, sexualité, prétendue origine raciale) et leur transfert dans des fichiers extérieurs – tel que le TAJ, qui permet la reconnaissance faciale, ou les fiches des services de renseignement, qui ont une activité de surveillance politique.

Samedi, a été publié un décret qui autorise les gendarmes à utiliser sur leur tablette l’application Gendnotes.

Cette application existe et est utilisée depuis plusieurs années sans cadre juridique : elle remplace la prise de note sur papier (qui devait être copiée sur ordinateur une fois rentré à la gendarmerie) par une prise de note directement informatique réalisée depuis le terrain.

Le décret précise désormais que, avec Gendnotes, les gendarmes peuvent prendre en photo n’importe quelle personne qu’ils suspectent d’avoir commis une infraction. Ils peuvent aussi enregistrer des informations sur leur religion, politique, sexualité ou prétendue origine raciale, à la simple condition que de telles informations soient « absolument nécessaires » aux fichiers de police judiciaire (pour lutter contre les crimes, délits, et certaines contraventions, telles que le « trouble à la sécurité » ou « l’atteinte à l’autorité de l’État ») ou de police administrative (les fiches des services de renseignement, doit-on redouter). Cette absolue nécessité n’est, en pratique, jamais vérifiée. La CNIL précise aussi « que l’enregistrement du code PIN ou du code PUK pourra être réalisé dans le cadre d’enquêtes afin de déverrouiller l’appareil », sans qu’il n’apparaisse clairement si cet enregistrement est toujours prévu ou non dans le décret.

Comme l’explique la CNIL, ces photos et informations sont au moins transmises au LRPGN (le logiciel de rédaction des PV de la gendarmerie)1La CNIL explique dans son avis du 3 octobre 2019 que Gendnotes « vise à dématérialiser la prise de notes […] en vue notamment d’alimenter de manière automatisée l’application métier « Logiciel de Rédaction des Procédures de la Gendarmerie Nationale » dénommée LRPGN »., qui les transmet à son tour au TAJ (traitement des antécédents judiciaires) si les gendarmes décident d’ouvrir une procédure2La CNIL explique dans son avis du 11 octobre 2012 que « les logiciels de rédaction des procédures de la police (LRPPN) et de la gendarmerie (LRPGN) alimentent, en début de procédure, le traitement d’antécédents TAJ ».. Dans ce cas, les informations seront conservées dans le TAJ pendant 20 ans, accessibles par toute la police et la gendarmerie et les photos pourront être utilisées ultérieurement par un système de reconnaissance faciale pour identifier des personnes (si l’application Gendnotes n’intègre pas de logiciel de reconnaissance faciale, elle facilite le transfert des photos vers le TAJ qui, lui, l’organise).

Par exemple, lors d’une manifestation ou d’un contrôle routier, les gendarmes pourront, lors d’une fouille, d’un contrôle d’identité ou autre interaction avec une personne qu’ils jugent suspecte, inscrire une identité et/ou une photo, avec si besoin plus d’informations, au sein de cette application. Si les gendarmes décident ensuite d’ouvrir une procédure, ces informations seront inscrites au TAJ.

Le décret semble au moins illégal en ce qu’il échoue à définir sa finalité ou en quoi il serait absolument nécessaire au travail des gendarmes. Il indique que le but de Gendnotes est de faciliter la transmission des données enregistrées vers « d’autres traitements de données », sans définir ni limiter ces autres traitements (ce que la CNIL lui avait pourtant demandé de faire). On peut redouter que Gendnotes vienne nourrir une infinité de fichiers, des services de renseignements par exemple, et soit dévoyé à des fins de surveillance politique.

Les conséquences d’un tel dévoiement sont considérablement aggravées par l’automatisation des ces enregistrement et échanges d’informations. Jusqu’alors, le risque de surveillance politique était mécaniquement limité par la dépendance au papier. Cette limite matérielle disparaît aujourd’hui. Les fichiers se multiplient et on automatise les facilités d’échanges entre ces différents fichiers en démultipliant à chaque fois les possibilités d’abus. Encore une fois ce ne sont pas les décrets qui encadrent les pratiques policières, mais les pratiques de la police qui font loi.

References   [ + ]

1. La CNIL explique dans son avis du 3 octobre 2019 que Gendnotes « vise à dématérialiser la prise de notes […] en vue notamment d’alimenter de manière automatisée l’application métier « Logiciel de Rédaction des Procédures de la Gendarmerie Nationale » dénommée LRPGN ».
2. La CNIL explique dans son avis du 11 octobre 2012 que « les logiciels de rédaction des procédures de la police (LRPPN) et de la gendarmerie (LRPGN) alimentent, en début de procédure, le traitement d’antécédents TAJ ».
]]>
Tremble, HADOPI !https://www.laquadrature.net/?p=15583http://streisand.me.thican.net/laquadrature.net/index.php?20200224_113749_Tremble__HADOPI___Mon, 24 Feb 2020 10:37:49 +0000Le 12 février dernier, le Conseil d’État a accepté notre demande de transmettre au Conseil constitutionnel une question sur la constitutionnalité des pouvoirs de la HADOPI. Cette question porte sur le pouvoir donné à ses agents pour accéder aux données permettant d’identifier les internautes à partir de leur adresse IP. Ce même pouvoir qu’à plusieurs reprises, la Cour de justice de l’Union européenne et le Conseil constitutionnel ont déjà jugé contraire aux droits fondamentaux dans d’autres cas semblables. Il ne reste plus au Conseil Constitutionnel qu’à prendre la même décision pour la HADOPI – et ainsi l’enterrer pour de bon !.

Une décision positive du Conseil constitutionnel constituerait une victoire historique. Elle serait un nouveau clou dans le cercueil de la HADOPI, institution que nous combattons depuis sa création il y a plus de dix ans et dont le fonctionnement repose sur la surveillance de masse de la population. Elle serait aussi l’aboutissement d’une longue bataille menée devant les juridictions françaises et européennes et qui pèsera, quoiqu’il arrive, dans le projet de loi audiovisuelle débattu en ce moment à l’Assemblée nationale, lequel vise à fusionner l’HADOPI et le CSA au sein d’une nouvelle instance, l’ARCOM.

Retour au 28 octobre 2009 : la loi « Hadopi 2 » vient d’être promulguée. Elle fait suite à la loi « favorisant la diffusion et la protection de la création sur Internet », adoptée quelques mois plus tôt (dite loi « Hadopi 1 »). Ensemble, ces deux lois créent la HADOPI (pour « Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ») et, avec elle, le système de « riposte graduée ».

Avec ce système, l’objectif affiché par le gouvernement est le suivant : « assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ». Ou plutôt, comme nous le disions déjà à l’époque : permettre, sur la base de dénonciations d’acteurs privés, « la tenue de campagnes de traque, d’avertissements et de répression de masse ciblant les internautes partageant sur internet de la musique et des films sans autorisation ». Le tout fait suite à plusieurs mois de débats intenses au Parlement et devant le Conseil constitutionnel. Débats sur l’absurdité et les dangers de cette autorité pour nos libertés. Débats qui continueront après la création de la HADOPI et tout au long de ses années de fonctionnement (voir ici pour l’historique du dossier et la liste des articles publiés par LQDN sur le sujet).

Pour comprendre l’importance de notre recours et de la décision à venir du Conseil constitutionnel, il faut revenir sur le fonctionnement de cette « riposte graduée ».

Riposte graduée, comment ça marche ?

Comment fait la HADOPI pour retrouver une personne ayant partagé une œuvre ? La première étape consiste à collecter l’adresse IP des personnes qui partagent sur un réseau Peer-to-Peer une œuvre soumise à droit d’auteur (la HADOPI ne s’intéresse en effet qu’au partage d’œuvres par réseau Peer-to-Peer). Cette collecte n’est pas faite directement par la HADOPI mais par une entreprise privée, mandatée par les ayants droit (en 2014, il s’agissait de la société TMG, pour « Trend Media Guard »).

À partir de cette collecte, la HADOPI contacte les fournisseurs d’accès à Internet (Orange, SFR, Bouygues, Free) pour leur demander l’identité des personnes derrière chaque adresse IP. C’est seulement sur la base de ces informations (nom, adresse, contact) que la HADOPI peut ensuite envoyer à la personne concernée un premier courriel d’avertissement qui pourra être suivi, si besoin, d’un deuxième courrier, puis d’une lettre de notification et même transmis en fin de course au procureur de la République (voir le schéma et les explications détaillées sur le site de l’autorité). L’étape qui nous intéresse pour notre action contentieuse est celle qui autorise la HADOPI à obtenir, auprès des opérateurs, le nom des personnes à partir des adresses IP. Ce pouvoir lui est donné par l’article L331-21 du code de la propriété intellectuelle.

C’est la constitutionnalité de cet article, qui donne aux « agents publics assermentés » de la HADOPI un accès aux données de connexion conservées par les fournisseurs d’accès à Internet, qui sera discuté, à notre demande, devant le Conseil constitutionnel. Comme on le voit, cette disposition est au centre de la « riposte graduée » de la HADOPI : sans elle, aucun moyen pour l’autorité de remonter à l’identité de la personne ayant partagé une œuvre. Et donc aucun moyen de la contacter et d’envoyer les mails d’avertissement.

Pour comprendre pourquoi cet article du code de la propriété intellectuelle risque une censure, il faut de nouveau revenir en arrière.

La question de l’accès aux données de connexion

L’article L. 331-21 du code de la propriété intellectuelle fait directement référence aux articles du CPCE ( pour « code des postes et communications électroniques ») et la LCEN (pour « loi pour la confiance dans l’économie numérique ») qui organisent le régime français de conservation des données de connexion. En résumé, ce régime impose aux fournisseurs d’accès à Internet et aux hébergeurs Web de conserver pendant un an les données de connexion de l’ensemble de la population. Ce sont ces données qui permettent à la HADOPI d’identifier les personnes à partir de leur adresse IP.

Or, la Cour de Justice de l’Union européenne s’est, par deux arrêts de 2014 et 2016 (les arrêts dits « Digital Rights Ireland » et « Télé 2 Sverige AB »), opposée à un tel régime de conservation généralisée et indifférenciée des données de connexion. Elle a aussi considéré que l’accès par les autorités nationales à ces données de connexion devrait être limité « aux seules fins de lutte contre la criminalité grave », et « subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ».

Bien entendu, le régime français de conservation des données, et les accès à ces données par certains agents de l’administration (dont la HADOPI) ne respectent nullement ces obligations (c’est d’ailleurs l’objet d’un autre de nos contentieux porté en ce moment devant la Cour de Justice de l’Union européenne qui tend à faire annuler les lois françaises relatives à de telles obligations de conservation).

En parallèle de ces arrêts de la Cour de Justice de l’Union européenne, le Conseil constitutionnel a commencé lui aussi, et dès 2015, à censurer des dispositions législatives sur le droit d’accès des agents de l’administration à ces données de connexion, en considérant notamment que ces accès n’étaient pas entourés des garanties propres à « assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ». C’est le cas donc en 2015 sur l’accès aux données de connexion pour les agents de l’Autorité de la concurrence. Même chose en 2017 pour la possibilité des agents de l’Autorité des marchés financiers de se faire communiquer les données de connexion. En février 2019 pour les douanes. Et en juin 2019 pour les agents des organismes de sécurité sociale.

Au fur et à mesure, le Conseil constitutionnel a donc dégagé une position claire et ferme quant à l’inconstitutionnalité des lois autorisant de tels accès aux métadonnées. La HADOPI, qui dispose d’un pouvoir d’accès semblable, devrait être la prochaine sur la liste.

Hadopi et surveillance de masse

Du côté de La Quadrature du Net et des fournisseurs d’accès à Internet associatifs (FFDN, Franciliens.net et FDN) , la stratégie était du coup plutôt enthousiasmante, ces décisions ne laissant pas trop de doute quant à l'[il]légalité de la « riposte graduée » de la HADOPI. Nous sommes donc intervenus à plusieurs reprises devant le Conseil constitutionnel sur ses décisions citées plus haut concernant l’accès aux données de connexion, l’objectif étant de renforcer sa position sur les garanties à apporter à ces accès (voir notamment notre article de février 2019 sur la censure de l’article 65 du code des douanes).

Enfin, en août 2019, La Quadrature, avec FFDN, Franciliens.net et FDN, ont attaqué devant le Conseil d’État le décret n°2010-236 du 5 mars 2010, un des décrets d’application de loi « Hadopi 1 ». Et c’est dans le cadre de ce contentieux que nous en avons demandé au Conseil d’État de poser au Conseil constitutionnel une « question prioritaire de constitutionnalité » sur l’article L. 331-21 du code de propriété intellectuelle. Ce que le Conseil d’État a accepté de faire dans sa décision du 12 février.

Dans notre demande, nous rappelons les jurisprudences citées plus haut sur l’obligation de prévoir des garanties sur l’accès de l’administration aux données de connexion – et nous soulignons que ces garanties sont inexistantes pour la HADOPI (comme pour les autres autorités). Nous y rappelons surtout que, et contrairement à ce qu’exige l’Union européenne, il ne s’agit pas ici de criminalité grave. Au contraire, il ne s’agit, au sens du code pénal, ni d’un crime, ni même d’un délit, mais seulement d’une contravention. Plus précisément, il s’agit sanctionner le manquement à l’obligation de surveillance de son accès à Internet (c’est-à-dire de vérifier que celui-ci n’est pas utilisé pour du partage d’œuvres contraire au droit d’auteur).

Bref, autant de raisons qui nous laissent espérer que le Conseil constitutionnel prendra ici la même décision qu’il a déjà pris pour des cas semblables. Et, du même coup, mettre à mal un des rouages essentiels de la HADOPI en la privant de son pouvoir de surveillance de masse.

Car la « riposte graduée » de la HADOPI est un outil de surveillance de masse. Selon ses propres chiffres, la HADOPI a ainsi envoyé, rien qu’entre les mois de février et août 2019, 319 175 mails de 1er avertissement, ce qui correspond donc à 319 175 personnes identifiées. Or, un tel traitement massif ne peut justement fonctionner que parce que la HADOPI est fondée sur la surveillance massive de la population. En cas de décision en notre faveur du Conseil constitutionnel, il sera d’ailleurs bien difficile au gouvernement de corriger ou d’encadrer une telle pratique : en théorie, un juge pourrait autoriser l’identification de chacune des 300 000 personnes, une à une ; en pratique, cela semble impossible, alors mêmes qu’il s’agirait de la seule correction juridiquement valide.

Interférences dans la loi audiovisuelle

Le timing de notre action n’est évidemment pas innocent : la jurisprudence étant claire depuis plusieurs années, nous aurions pu le faire avant, mais l’objectif est de peser dans les débats législatifs déjà en cours sur le projet de loi audiovisuel. Ce texte est en ce moment en discussion devant la commission des affaires culturelles de l’Assemblée nationale – il concerne de multiples sujets, de la transposition de la directive Copyright (voir notre dernier article sur cette directive), au blocage des sites miroirs en passant donc par la création d’une nouvelle autorité, résultat de la fusion entre le CSA et la HADOPI : l’ARCOM (pour « Autorité de régulation de la communication audiovisuelle et numérique »).

Or, les articles 22 (alinéa 20) et 25 de ce texte organisent justement le transfert des pouvoirs illégitimes de la HADOPI à la nouvelle ARCOM. Ces dispositions, comme d’autres du projet de loi (et sur lesquels nous reviendrons bientôt), doivent donc être supprimées pour que cette autorité, quel que soit son nom, respecte enfin le droit européen et la Constitution. Il sera d’ailleurs intéressant de suivre la réaction de l’actuel ministre de la Culture, Franck Riester, à la décision à venir du Conseil, lui qui porte aujourd’hui ce projet de loi et qui était il y a dix ans… rapporteur des lois HADOPI.

La décision à venir du Conseil constitutionnel pourrait être d’une importance majeure. Elle pourrait participer à la fin d’une autorité absurde et à la destruction de ses pouvoirs fondés sur la surveillance de masse. Elle pourrait aussi réparer l’erreur faite il y a dix ans : celle de refuser l’idée d’une contribution créative et de sanctionner les échanges non marchands d’oeuvres culturelles sur les réseaux P2P.

]]>
La Quadrature du Net a besoin de vos donshttps://www.laquadrature.net/?p=15576http://streisand.me.thican.net/laquadrature.net/index.php?20200219_164943_La_Quadrature_du_Net_a_besoin_de_vos_donsWed, 19 Feb 2020 15:49:43 +0000Depuis 2008 La Quadrature du Net existe grâce à vos dons. Merci à vous !

Douze ans plus tard, l’équipe des fondateurs a laissé la place à un collège de membres bénévoles et à une équipe de salarié·es qui font vivre l’association au quotidien : parce que les sujets sont innombrables, parce que le numérique est désormais présent dans chaque aspect de nos vies et dans chaque texte de loi, en France comme en Europe, et qu’il faut être au travail tous les jours pour analyser les lois, les faits sociaux, l’évolution des techniques et leur exploitation dévoyée.

Pas chers, mais pas riches

Cette structure a un coût. Notre budget pour une année est d’environ 300 000 € : les deux tiers en salaires et cotisations sociales pour les 6 salarié·es, le reste pour les déplacements, la communication et les locaux. Les salaires sont modestes, le loyer aussi (mais on va devoir déménager avant l’été 2020), quand on sillonne le pays on se loge à l’économie (souvent chez les copains, merci à vous !) et les billets de train sont les moins chers possibles. Bref, ni homard ni champagne à La Quadrature, de toute façon il paraît que ça donne mal à la tête.

Un cinquième du budget

Cette année comme chaque année, au mois de décembre, nous avons donc lancé une campagne de dons dans l’espoir de réunir l’argent nécessaire pour tenir une année de plus. Chaque année on croise les doigts, on se demande si ça va passer, et chaque année jusqu’à présent c’est passé, on est arrivé à boucler le budget et l’année.

Mais chaque année on est inquiet, et ça rend le travail encore plus compliqué. Cette année, par exemple, c’est très lent : on a lancé la campagne de dons le 6 décembre, elle a bien tourné jusqu’au 31 décembre, mais depuis le 1er janvier c’est le calme plat. Nous recevons encore quelques nouveaux dons chaque jour, trois ou quatre environ, merci à vous ! Mais ça ne suffit pas.

Mi-février, on a rassemblé environ 20 % du financement de l’année, un cinquième du budget seulement, l’équivalent d’à peu près 2 mois et demi d’activité… Si on veut que La Quadrature continue d’exister, il faut que les dons reprennent.

Nous avons donc décidé de poursuivre notre appel à dons de manière continue sur toute l’année 2020.

Campagne permanente

Mais on ne peut pas passer notre temps en campagne de dons, sinon on ne fait plus rien d’autre, ce serait absurde. Alors on a besoin de vous ! Vous pouvez nous aider à faire connaître autour de vous La Quadrature et ses combats.

Le matériel qu’on a créé pour animer notre campagne de dons, en décembre, est toujours disponible. Il y a plein de vidéos sur notre plateforme PeerTube, pour faire connaître nos sujets d’action, et aussi des vidéos (légères) de campagne :
* Comment lutter contre la reconnaissance faciale ?
* Comment lutter contre la surveillance en manif ?
* Comment lutter contre la censure sur Internet ?

Ne vous fiez pas au faible compteur de vue, en fait ces vidéos ont fait des milliers de vues sur les réseaux sociaux et elles marchent très bien parce qu’elles sont drôles 🙂

Il y a aussi des « threads » à retweeter sur notre compte Twitter, sur notre compte Mastodon, ou sur notre page Facebook.

Abonnez-vous, partagez-les, faites-les tourner, commentez-les, discutez-en avec vos proches et les inconnu·es de passage ! Nos luttes croisent l’actualité sans cesse, il y a mille façons de glisser le nom de La Quadrature du Net dans une conversation. On compte sur vous <3

Comment nous faire un don ?

Et bien sûr, si vous avez gagné au loto, vous pouvez nous faire un don, c’est ici : laquadrature.net/donner.

Blague à part, on sait que c’est difficile. Notre cas n’est pas isolé, toutes les associations à but non lucratif, même les plus grandes, même les plus prestigieuses, se plaignent de la baisse des dons de soutien.

Les personnes généreuses ne sont pas moins nombreuses qu’avant, mais elles sont fauchées… Alors tous les dons sont les bienvenus, même 10 €, même 5 € !
Nous avons bien sûr une grosse préférence pour les dons mensuels : si vous nous donnez 5 € ou 10 € par mois, c’est presque indolore pour vous, et ça nous permet d’envisager l’année qui vient avec une meilleure visibilité. La perspective d’une somme qui arrive chaque mois permet de faire des plans à plus long terme.
Et vous pouvez bien sûr arrêter vos dons mensuels à tout moment en nous envoyant un mail ou en les bloquant du côté de votre banque.

Rendez vous sur laquadrature.net/donner!

]]>
Appel aux candidat·es aux municipales à s’opposer à la reconnaissance facialehttps://www.laquadrature.net/?p=15545http://streisand.me.thican.net/laquadrature.net/index.php?20200128_150448_Appel_aux_candidat__es_aux_municipales_a_s___opposer_a_la_reconnaissance_facialeTue, 28 Jan 2020 14:04:48 +0000En cette Journée de protection des données, l’Observatoire des libertés numériques1Organisations membres de l’Observatoire des libertés et du numérique signataire de cette lettre ouverte : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM). envoie formellement la lettre ouverte demandant l’interdiction de la reconnaissance faciale sécuritaire au gouvernement ainsi qu’aux parlementaires. Cette lettre est désormais signée par 124 organisations.

Dans le même temps, l’OLN invite les listes candidates aux élections municipales à rejoindre cet appel et à s’engager contre ces logiques.

Au delà de la reconnaissance faciale, il est également essentiel d’attirer l’attention des listes candidates sur les autres technologies sécuritaires qui sont aujourd’hui en développement en France (voir à ce titre la campagne Technopolice). C’est le cas notamment pour la vidéosurveillance automatisée qui fait l’objet de nombreux contrats entre industriels et collectivités (et que La Quadrature du Net et la Ligue des Droits de l’Homme viennent d’attaquer en justice à Marseille).

Nous invitons donc également toutes personnes sensibilisées à ces enjeux à contacter les listes candidates aux élections municipales pour leur demander de s’engager contre la reconnaissance faciale sécuritaire par la signature de cette lettre, mais également de prendre position contre l’expansion de la vidéosurveillance et les techniques de vidéosurveillance automatisée.

Pour les organisations et listes candidates souhaitant signer cette lettre, envoyez un message à contact@laquadrature.net en indiquant la ville concernée, son code postal et le nom de la liste ainsi qu’un lien de référence.

Lettre commune : Interdisez la reconnaissance faciale sécuritaire

Nous, organisations, collectifs, entreprises, associations et syndicats, demandons au Parlement et au gouvernement français d’interdire tout usage sécuritaire de dispositifs de reconnaissance faciale actuels ou futurs.

Nous constatons que de telles technologies sont aujourd’hui déjà largement déployées en France. Outre les portiques « Parafe » présents dans plusieurs aéroports et gares, le fichier de traitement des antécédents judiciaires permet depuis 2012 à la police et à la gendarmerie de recourir à la reconnaissance faciale à partir d’images prises dans la rue par des caméras, ou encore obtenues sur les médias sociaux. D’autres expérimentations ont déjà été menées ou sont programmées.

La multiplicité des dispositifs déjà existants, installés sans aucun véritable encadrement juridique, transparence ou réel débat public, ne satisfait pourtant pas nombre d’acteurs publics et industriels. En se fondant sur le fantasme d’un développement inéluctable de la technologie et sur des arguments purement sécuritaires et économiques, ils souhaitent accélérer et faciliter le déploiement de ces dispositifs, au détriment des conséquences pour nos libertés et notre modèle de société.

La reconnaissance faciale est une technique exceptionnellement invasive et déshumanisante qui permet, à plus ou moins court terme, la surveillance permanente de l’espace public. Elle fait de nous une société de suspect·es. Elle attribue au visage non plus une valeur de personnalité mais une fonction de traceur constant, le réduisant à un objet technique. Elle permet un contrôle invisible. Elle impose une identification permanente et généralisée. Elle abolit l’anonymat.

Aucun argument ne peut justifier le déploiement d’une telle technologie : au-delà de quelques agréments anecdotiques (utiliser son visage plutôt que des mots de passe pour s’authentifier en ligne ou activer son téléphone…), ses seules promesses effectives sont de conférer à l’État un pouvoir de contrôle total sur la population, dont il ne pourra qu’être tenté d’abuser contre ses opposant·es politiques et certaines populations. Puisque l’utilisation de la reconnaissance faciale à des fins sécuritaires est par essence disproportionnée, il est vain d’en confier l’évaluation au cas par cas à une autorité de contrôle qui échouerait en pratique à suivre chacune de ses nombreuses nouvelles applications.

C’est pourquoi nous vous demandons d’interdire tout usage sécuritaire qui pourrait en être fait. De telles interdictions ont déjà été décidées dans plusieurs villes des États-Unis. La France et l’Union européenne doivent aller encore plus loin et, dans la lignée du règlement général sur la protection des données personnelles (RGPD), construire un modèle européen respectueux des libertés.

Il conviendra par ailleurs de renforcer les exigences de protection des données à caractère personnel et de limiter les autres usages de la reconnaissance faciale : qu’il s’agisse d’authentification ou d’identification privée, l’ensemble de ces dispositifs ne sont pas assez protecteurs des atteintes à la vie privée ; ils préparent, et banalisent une société de surveillance de masse.

Nous appelons à l’interdiction de tout usage sécuritaire de la reconnaissance faciale.

Liste des signataires :

References   [ + ]

1. Organisations membres de l’Observatoire des libertés et du numérique signataire de cette lettre ouverte : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM).
]]>
Coup d’État sur la « loi haine »https://www.laquadrature.net/?p=15509http://streisand.me.thican.net/laquadrature.net/index.php?20200122_121748_Coup_d___Etat_sur_la_____loi_haine____Wed, 22 Jan 2020 11:17:48 +0000La loi « contre la haine » s’est transformée en loi sécuritaire au nom de la lutte « anti-terroriste ». Ce bouleversement a été acté hier à 22h30, par un amendement de dernière minute proposé par le gouvernement et adopté par les députés serviles de l’Assemblée nationale. Ce coup de force du gouvernement, imposé in extremis, est une nouvelle démonstration d’anti-parlementarisme. L’honneur des députés exige qu’ils rejettent la loi dans son ensemble.

Alors que la loi exigeait initialement de retirer les contenus illicites en 24 heures, elle impose désormais aux plateformes de retirer en une heure les contenus que la police lui signalera comme relevant du terrorisme ou d’abus sur mineurs. La police décidera seule des contenus relevant du terrorisme – sans le contrôle d’un juge. On l’a déjà vu abuser illégalement de ce pouvoir pour qualifier des propos militants de « terroristes » afin de les faire censurer – la justice avait alors attendu plus d’une année pour dénoncer ces abus de la police.

De plus, alors que la loi ne concernait initialement que les plateformes ayant plusieurs millions de visiteurs par mois (Facebook, Twitter, Youtube…), les nouvelles mesures « anti-terroristes » visent désormais n’importe quelle plateforme, de toute taille. Il pourra s’agir du forum de n’importe quel site de presse, d’une plateforme militante, d’un petit hébergeur associatif ou de tout nœud d’un réseau social décentralisé tel que Mastodon ou PeerTube.

Le délai d’une heure est matériellement impossible à respecter pour la grande majorité des plateformes Web (typiquement pour les signalements qui leur seraient faits de nuit). Ces plateformes n’auront d’autres choix que de fermer boutique ou de déléguer leur modération aux outils de censure automatisée fournis par Google et Facebook. Dans tous les cas, les grands vainqueurs seront ces deux dernières entreprises, dont la concurrence sera anéantie ou mise sous leur joug.

Enfin, alors que la loi initiale ne prévoyait que des sanctions financières, les nouvelles mesures prévoient des sanctions concrètes, drastiques. Si une plateforme ne censure pas un contenu dans l’heure qui suit sa notification par la police, la police pourra exiger que les fournisseurs d’accès à Internet empêchent l’accès à cette plateforme depuis la France.

Une concentration totale des pouvoirs

La concentration des pouvoirs dans les mains de la police est totale : c’est à la fois elle qui décide quelles plateformes attaquer, qui qualifie un contenu comme étant illégal et qui met en œuvre sa sanction. L’ensemble du Web français est à sa merci.

Si la police était mal intentionnée, il lui suffirait de publier anonymement et au milieu de la nuit des messages « terroristes » sur les plateformes de son choix pour les faire censurer (car presque aucune plateforme ne peut avoir des modérateurs réveillés toute la nuit pour répondre dans l’heure à la police). Rien dans la loi n’empêche de tels abus.

Notons que cette situation n’est pas entièrement nouvelle : c’est la loi anti-terroriste de 2014 qui avait créé ce dispositif de censure policière. À l’époque toutefois, le délai pour répondre à la police était de 24 heures. Il passe aujourd’hui à 1 heure, démultipliant les risques d’abus.

Un coup de force anti-parlementaire

Le Parlement n’a jamais eu l’occasion de débattre des dangers de ce nouveau délai d’une heure imposé à l’ensemble du Web. Le Parlement n’a même pas eu l’occasion d’en prendre connaissance. Pendant des mois de débats sur la proposition de loi « contre la haine », le Parlement n’a parlé que de sujets bien éloignés du terrorisme. Ce n’est qu’au dernier moment, en séance publique lors de la 2ème lecture à l’Assemblée nationale, et alors que le sujet n’avait pas été abordé en commission des lois, que le gouvernement est parvenu à lui imposer ces changements, par surprise et par ignorance. Il aurait pourtant fallu en débattre pendant des mois, en auditionnant des dizaines d’acteurs, pour prétendre respecter nos principes démocratiques.

La situation a tout pour rappeler un autre dossier : le règlement européen contre les contenus terroristes, qui prévoit lui aussi un délai de retrait en une heure. L’an dernier, la Commission européenne et les États membres avaient exercé une terrible pression sur le Parlement européen pour qu’il adopte en première lecture un texte en urgence avant les élections européennes (voir notre page de campagne). Tout avait été fait pour empêcher un véritable débat, mais il avait pu au moins durer quelques semaines – permettant notamment de limiter la censure policière par l’autorisation préalable d’un juge ou d’une autorité indépendante (et la loi française serait ici contraire à la position du Parlement européen).

Hier, le débat n’a même pas eu lieu.

Le gouvernement semble s’être lassé de la comédie démocratique. L’avis des parlementaires n’a plus aucune conséquence sur le processus législatif : à quoi bon leur permettre de s’en faire un ? Autant gagner du temps et leur demander de tout signer à la dernière minute et sans leur expliquer.

Si les députés ont encore un semblant de respect pour leurs fonctions démocratiques, ils doivent s’opposer à cette proposition de loi. Au moins du fait que le gouvernement a entièrement nié et insulté celles-ci hier. Et du fait, aussi, que le gouvernement a manipulé diverses volontés et associations luttant contre la haine afin de dévoyer au final la loi vers ses objectifs purement sécuritaires.

Formellement, l’Assemblée nationale doit encore décider d’adopter ou non cette proposition de loi dans son ensemble aujourd’hui. Tout député qui ne votera pas contre cette loi actera que le gouvernement l’a démis de ses fonctions.

]]>
Safe City à Marseille : Premier recours contre la vidéosurveillance automatiséehttps://www.laquadrature.net/?p=15497http://streisand.me.thican.net/laquadrature.net/index.php?20200120_095951_Safe_City_a_Marseille____Premier_recours_contre_la_videosurveillance_automatiseeMon, 20 Jan 2020 08:59:51 +0000Nous venons de déposer, avec la Ligue des droits de l’Homme, un recours en référé devant le tribunal administratif de Marseille pour lui demander d’annuler l’installation dans la ville d’un dispositif de vidéosurveillance automatisée (appelé « vidéoprotection intelligente »). Ce dispositif, décidé par la ville de Marseille, prévoit la mise en place de nouvelles technologies de surveillance dans l’espace public qui, pour l’essentiel, relèvent d’une surveillance biométrique généralisée : détection de comportements anormaux, suivi de silhouettes ou d’individus, captations sonores…

D’autres dispositifs similaires sont déjà installés en France ou sont en train de l’être, le tout dans l’opacité la plus complète. Leurs promoteurs considèrent que le cadre juridique de la vidéosurveillance leur suffit. Au même titre que la reconnaissance faciale, qui n’est qu’une des nombreuses couches applicatives de la vidéosurveillance automatisée, ces dispositifs participent pourtant à la mise sous surveillance totale de nos villes.

MAJ-2 : L’audience publique devant le tribunal administratif de Marseille se tiendra le 2 mars à 14h30

MAJ : Le 7 février 2020, le Tribunal administratif de Marseille a rejeté notre requête en référé-suspension. Il a considéré que l’article d’Olivier Tesquet, sur lequel nous nous fondions, ne suffisait pas « à révéler l’existence, à la date alléguée, d’une décision administrative ». Néanmoins, depuis notre recours, nous avons reçu de nouveaux documents, cette fois-ci directement de la part de la mairie de Marseille et qui confirment la décision administrative de mise en place du dispositif. Nous avons donc déposé un nouveau référé sur la base de ces éléments. Par ailleurs, il ne faut pas oublier que la procédure en référé n’est qu’une procédure d’urgence faite à partir de notre demande d’annulation au fond. Cette demande d’annulation faite au fond est elle toujours bien d’actualité et n’a fait l’objet d’aucun rejet.

La Technopolice continue de se déployer en France, et la vidéosurveillance automatisée (ou « vidéoprotection intelligente » selon ses promoteurs) [1] est une de ses principales émanations. Fondée sur l’utilisation d’algorithmes déployés sur un système de vidéosurveillance, ces dispositifs promettent de détecter automatiquement dans l’espace public des objets abandonnés, des mouvements de foule, des « comportements anormaux » (gestes brusques, maraudages, agression…), de faciliter le suivi d’individus (par la silhouette, la démarche…), ou de faire des recherches par « filtres » sur des images enregistrées (à partir de photos d’un individu qu’il s’agirait de retrouver dans les milliers de flux vidéos afin de suivre son parcours). Après la multiplication des caméras de vidéosurveillance sur le territoire français, plusieurs entreprises cherchent à vendre aux collectivités ce système de « vidéo intelligente ». Comme l’expliquent les industriels, l’intérêt consiste à « pallier le manque récurrent de personnel disponible pour visionner les images de vidéoprotection ainsi que la capacité de concentration de ces agents », de « de limiter leur travail à une simple confirmation d’alertes ». Il est même avancé que «  la vidéoprotection ne saurait être efficace sans un système auto-intelligent permettant de trier et filtrer les images à analyser, et ce à une grande échelle ». Depuis plus de 10 ans, la vidéosurveillance a déferlé sans but sur nos villes : il semble temps de la rendre opérationnelle à travers l’automatisation.

De tels dispositifs mettent gravement en danger nos droits et libertés. Ils accroissent considérablement la capacité des services de police à nous identifier et à nous surveiller en permanence dans l’espace public. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible et indolore de la population, considérée comme suspecte de facto. Construits dans l’opacité la plus complète, il est par ailleurs impossible de comprendre ce qu’ils détectent avec exactitude : que veut dire Thalès quand il parle de « comportement inhabituel » et de suivi de « personnes suspectes » ? Que sous-entend l’entreprise Huawei quand, dans la description de son projet à Valenciennes, elle laisse inachevée sa liste des cas d’alerte relevés par la machine ( « traitement intelligent de l’image avec détection des mouvements de foules, objets abandonnés, situations inhabituelles…  ») ? Enfin, le suivi de « personnes suspectes » comprend-t-il la reconnaissance de démarches, donnée extrêmement individualisante et qui est bien plus difficile à dissimuler qu’un visage ?

Des systèmes de vidéosurveillance automatisée sont pourtant déjà en place en France, à Valenciennes donc, mais aussi à Nice, à Toulouse, à La Défense et bientôt dans les Yvelines. D’autres projets sont sûrement en cours, mais les informations sont difficiles à trouver. Leurs promoteurs considèrent en effet que, dans la plupart des cas, ces nouveaux ajouts à la vidéosurveillance rentrent dans le cadre de la « vidéosurveillance classique » et n’ont pas à être rendus publics.

Marseille, ville-test

Dans le cadre de la campagne Technopolice, et à travers des demandes d’accès aux documents administratifs, nous avons appris qu’en 2015, la mairie de Marseille avait lancé un appel d’offres pour installer un de ces systèmes de vidéosurveillance automatisée dans sa ville et qu’en novembre 2018, ce marché avait été attribué à une entreprise. Croisée au salon Milipol, l’adjointe au maire de Marseille en charge de la sécurité, Caroline Pozmentier, nous a confirmé qu’il s’agissait du groupe SNEF, un intégrateur de solutions de vidéosurveillance basé dans la citée phocéenne. Nous avons fini par avoir communication de certains documents liés à ce marché, dont le « Programme Fonctionnel Technique final » qui détaille précisément ce que la mairie entend mettre en place.

Dans ce document, il est ainsi indiqué que « les opérateurs ne peuvent pas visualiser l’ensemble des flux » et qu’il « est donc nécessaire que la solution logicielle permette d’effectuer de façon autonome cette visualisation ». Parmi les fonctionnalités envisagées, se trouve le « traitement automatique de donnés (…) afin de détecter des anomalies/incidents/faits remarquables », la « détection d’anomalies non identifiables par un opérateur » et la « gestion de l’espace public, analyse des piétons/véhicules ainsi que des comportements ». On y retrouve les mêmes cas d’usage que dans d’autres systèmes : détection d’ « objets abandonnés », de « TAG » (graffitis) et de « vol/disparition/destruction de mobilier urbain ». Il est aussi précisé que l’outil doit aider dans le cadre d’affaires judiciaires et permettre de « faire des recherches à l’aide de filtres », l’un de ces filtres étant « individu (description, avatar, photo) ». Une dernière partie intitulée « Fourniture et intégration de fonctionnalités complémentaires » indique que la mairie se réserve la possibilité d’ajouter de nouvelles fonctionnalités dont la « détection sonore » (explosion, coup de feu…), la « reconstitution d’évènements » (comme le parcours d’un individu) ou la détection de « comportements anormaux » (bagarre, maraudage, agression).

Le mois dernier, dans un article de Télérama, le journaliste Olivier Tesquet révélait que le dispositif devait être installé à Marseille « d’ici à la fin de l’année 2019 » et que « la Cnil n’a jamais entendu parler de ce projet ».

L’étendue de ce projet, la description extensive de ses fonctionnalités et sa récente mise en place nous ont poussé à agir le plus vite possible.

Un recours contre la vidéosurveillance automatisée, premier du genre en France

Dans notre recours déposé lundi devant le tribunal administratif de Marseille, nous reprenons certains des arguments déjà développés dans notre recours contre les portiques de reconnaissance faciale dans deux lycées de la région PACA (un projet depuis entravé par la CNIL). Nous soulignons ainsi que la décision de la mairie de mettre en place ce dispositif n’a été précédée d’aucune analyse d’impact ou de consultation de la CNIL, contrairement à ce qui est prévu dans la directive dite « police-justice » qui encadre les pouvoirs de surveillance des autorités publiques dans l’Union européenne. Nous soulignons également que la vidéosurveillance automatisé n’est encadrée par aucun texte juridique alors qu’il s’agit d’un type d’ingérence dans la vie privée tout-à-fait nouveau, et bien différent de la vidéosurveillance « classique » : l’automatisation transforme la nature de l’ingérence induite par la vidéosurveillance. Les nouveaux équipements déployés à Marseille disposent en outre de capteurs sonores (ces mêmes capteurs sonores que dénonçait la Cnil dans le projet de Saint-Etienne). De manière générale, le système entier conduit à passer d’une surveillance « passive » à une surveillance « active »). Comme pour les lycées, nous avons aussi attaqué le caractère manifestement excessif et non justifié de la collecte de données.

Le recours démontre par ailleurs que la grande majorité du traitement de données qui est fait dans ce dispositif est un traitement de données biométriques, donc soumis aux dispositions spécifiques de la directive police-justice sur les données sensibles (dont l’utilisation est beaucoup moins permissive que pour les autres types de données personnelles). En effet, les données biométriques sont définies comme des données personnelles « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique ». Or, comme l’a souligné le Comité européen de protection des données, une « identification unique » n’implique pas nécessairement de révéler l’état civil d’une personne mais, plus largement, de pouvoir individualiser une personne au sein d’un groupe, ce qui est bien le cas en espèce. Or, une fois la qualité de donnée biométrique établie, la directive police-justice exige une « nécessité absolue » pour les analyser. Ce qui n’est clairement pas le cas ici : d’autres moyens, humains, existent déjà pour analyser les images et mener les enquêtes.

Enfin, dans ce recours, nous détaillons pourquoi, en confiant à la SNEF et à ses algorithmes, l’identification, la catégorisation et la détection d’incidents, d’anomalies et de comportements suspects sur la voie publique (certains explicitement « non identifiables par un opérateur »), et en faisant de son outil une véritable « aide à la décision » pour la police municipale, la mairie a délégué à une entreprise privée une mission de surveillance généralisée de la voie publique. Ce qui, selon le Conseil Constitutionnel est contraire à « l’exigence, résultant de l’article 12 de la Déclaration des droits de l’homme et du citoyen de 1789, selon laquelle la garantie des droits est assurée par une « force publique » ».

Encore une fois : d’autres dispositifs semblables sont actuellement déployés en France ou s’apprêtent à l’être : Nice, Toulouse, Valenciennes, La Défense… Nous vous invitons à réutiliser nos arguments pour multiplier les contentieux et tenir en échec l’expansion de la surveillance algorithmique de nos villes et de nos vies.

Rejoignez Technopolice.fr pour participer à la veille, l’analyse et la lutte de ces nouveaux dispositifs.

[1] Si les termes peuvent paraître proches, il est important de refuser de considérer un tel système comme « intelligent »

]]>
Lettre commune contre la loi « haine »https://www.laquadrature.net/?p=15493http://streisand.me.thican.net/laquadrature.net/index.php?20200116_185648_Lettre_commune_contre_la_loi_____haine____Thu, 16 Jan 2020 17:56:48 +0000Nous venons d’envoyer aux députés la lettre reproduite ci-dessous, pour s’opposer à la loi « haine ».

Nous la signons aux côtés de :

  • Association des Avocats Conseils d’Entreprises,
  • Change.org,
  • Conseil National des Barreaux,
  • Conseil National du Numérique,
  • Fondation Internet Nouvelle Génération,
  • Internet Sans Frontières,
  • Internet Society France,
  • Ligue des Droits de l’Homme,
  • Renaissance Numérique,
  • Syndicats des Avocats de France,
  • Wikimédia France

La loi sera examinée par l’Assemblée nationale ce mardi 21 janvier. Vous aussi, contactez les députés pour leur demander de rejeter ce texte en visitant cette page.

Objet : Appel collectif à préserver nos droits fondamentaux dans l’espace public en ligne – Proposition de loi visant à lutter contre la haine sur Internet

Madame la garde des Sceaux,
Monsieur le secrétaire d’État chargé du Numérique,
Madame la Rapporteure,
Mesdames et Messieurs les Député(e)s

En tant que principaux représentants de la société civile numérique française, acteurs de la défense des droits et de la mobilisation citoyenne en ligne, nous partageons une profonde inquiétude quant au risque que ferait encourir à nos droits et libertés fondamentaux la proposition de loi visant à lutter contre la haine sur Internet, si elle imposait aux opérateurs de plateformes un délai de 24h pour décider du retrait des contenus qui leur seront signalés. À l’occasion de sa nouvelle discussion au sein de l’Assemblée nationale, nous portons un appel fort à tenir compte, dans la version finale du texte, des alertes que chacune de nos organisations a pu individuellement ou collectivement porter.

Les opérateurs de plateformes participent désormais grandement à la structuration de l’espace public en ligne. Engagés dans la préservation d’un espace en ligne libre et respectueux de nos valeurs démocratiques et de nos droits fondamentaux, nous partageons la nécessité de questionner le rôle des grandes plateformes dans la lutte contre les contenus haineux sur Internet. Paradoxalement, cette exigence se traduit, dans le texte discuté, par le renforcement du rôle de ces mêmes acteurs dans le contrôle de notre espace public au détriment du premier garant de nos libertés individuelles qu’est le juge. De plus, cette logique tend à renforcer une situation d’oligopole dans laquelle nous nous trouvons déjà, par un encouragement à l’usage de solutions détenues par les acteurs aux ressources les plus grandes.

En contournant les prérogatives du juge judiciaire, l’obligation de retrait des contenus haineux par les opérateurs de plateformes dans un délai de 24 heures porte atteinte aux garanties qui nous permettent aujourd’hui de préserver l’équilibre de nos droits et libertés fondamentaux. Au regard des dispositions du texte, les opérateurs de plateformes seront incités à opter pour de la surcensure afin d’éviter d’être sanctionnés. À ce titre, nous nous inquiétons du rôle confié à des dispositifs technologiques de filtrage automatisés, qui font encore preuve de limites techniques profondes dans leur capacité à modérer, y compris parmi ceux les plus avancés. Ces limites sont d’autant plus prégnantes en ce qui concerne les contenus haineux dont la caractérisation juridique est souvent complexe. Or, le texte porte une acception particulièrement large de ces derniers.

Au regard de ses conséquences sur notre société, et en premier lieu sur les victimes de ces atteintes à la dignité humaine, nous devons considérer avec gravité le phénomène de propagation des contenus haineux en ligne. Il est, à cet égard, primordial d’engager un plan ambitieux d’éducation au numérique et de penser de manière plus transversale la régulation du numérique. Par ailleurs, alors que la France entend jouer un rôle majeur dans la politique numérique future de l’Union européenne, il est essentiel que la proposition visant à lutter contre la haine en ligne puisse se faire en adéquation avec le droit européen, au risque sinon de fragiliser nos dispositifs juridiques ainsi que de fragmenter toujours plus la stratégie numérique pour l’Europe et de mettre à mal son efficience. L’Union européenne se doit de rester au premier rang de la défense de nos valeurs fondamentales dans le champ numérique, et la France se doit d’en demeurer le porte-voix.

Nous vous savons attentifs à l’équilibre entre nos droits fondamentaux, ainsi qu’à la préservation de notre souveraineté. Aussi, nous nous associons collectivement pour vous appeler à en tenir compte dans le cadre de cette nouvelle lecture.

Restant à votre disposition pour contribuer à vos réflexions, nous vous prions d’agréer, Madame la garde des Sceaux, Monsieur le secrétaire d’État chargé du Numérique, Madame la Rapporteure, Mesdames et Messieurs les Député(e)s, l’expression de notre très haute considération.

]]>
La pire version de la loi haine, adoptée en commission des lois de l’Assemblée nationalehttps://www.laquadrature.net/?p=15486http://streisand.me.thican.net/laquadrature.net/index.php?20200115_123517_La_pire_version_de_la_loi_haine__adoptee_en_commission_des_lois_de_l___Assemblee_nationaleWed, 15 Jan 2020 11:35:17 +0000Sans beaucoup de surprise, ce que nous redoutions s’est bien réalisé. Hier soir, en commission des lois de l’Assemblée nationale, Laetitia Avia est parvenue à rétablir la même version du texte (à quelques modifications près) qu’elle avait fait adopter l’été dernier par l’Assemblée nationale. Les timides corrections que le Sénat avait introduites le mois dernier ont été balayées.

Qu’importe : en démocratie, c’est l’Assemblée nationale, entièrement tenue par les fidèles du gouvernement, qui décide seule des lois à adopter. Comme pour la loi « fakenews » de 2018 (adoptée en procédure accélérée et contre deux votes contraires du Sénat), la loi « contre la haine » passera le 30 janvier une dernière fois au Sénat (pour rien) avant un dernier vote final à l’Assemblée nationale début février. C’est ce dernier vote qui aura le dernier mot.

Avant cela toutefois, le 21 janvier, l’Assemblée nationale devra encore confirmer le texte adopté hier en commission des lois. Si nous échouons à l’en dissuader, les chances d’y parvenir en février semblent bien minces.

Et pourtant, en dehors du Parlement, ce texte fait l’unanimité contre lui : Commission européenne, CNNum, ARCEP, ONU, associations de défense des personnes que cette loi prétend défendre (relire notre bilan).

Appelons les députés pour exiger qu’ils rejettent cette loi aussi dangereuse pour nos libertés que contre-productive pour lutter contre la haine.

Rendez-vous sur cette page pour les contacter et relire nos arguments contre ce texte.

]]>
Le Conseil constitutionnel autorise le fisc à la surveillance de massehttps://www.laquadrature.net/?p=15415http://streisand.me.thican.net/laquadrature.net/index.php?20191230_080111_Le_Conseil_constitutionnel_autorise_le_fisc_a_la_surveillance_de_masseMon, 30 Dec 2019 07:01:11 +0000Le Conseil constitutionnel, dans sa décision rendue vendredi dernier, vient de considérer que la surveillance généralisée des réseaux sociaux prévue par l’article 154, ex-57, de la loi de finances pour 2020 est conforme à la Constitution.

Comme nous le dénoncions, cet article prévoit une collecte puis une analyse de masse des données publiques des réseaux sociaux. Des données sensibles seront collectées, par exemple sur notre vie sexuelle, politique ou religieuse. Au point 87 de sa décision, le Conseil constitutionnel s’est contenté d’interdire la seule exploitation des données sensibles, laissant possible leur collecte en masse, ce qui est tout aussi dangereux et contraire au droit européen.

L’article 10 de la directive police-justice n° 2016/680 interdit tout traitement de données sensibles qui ne soient pas justifié par une « nécessité absolue ». En l’espèce, la lutte contre les infractions fiscales peut être réalisée par bien d’autres moyens humains déjà mis en œuvre. Ni le gouvernement, ni le Conseil n’ont été capables d’expliquer en quoi la surveillance algorithmique est nécessaire à la lutte contre la fraude fiscale.

Enfin, le Conseil constitutionnel prétend que les contrôles fiscaux ne seront pas déclenchés automatiquement par les algorithmes de détection de fraude, mais reposeraient sur un travail humain. Cette affirmation traduit une grande naïveté et laisse en tout état de cause la porte ouverte à plus d’arbitraire dans les décisions administratives : comment contrôler le résultat d’un algorithme qui ne peut être expliqué et reproduit1Le Conseil constitutionnel estime que l’obligation de « corroboration et enrichissement » exigée par la loi écarterait tout contrôle fiscal automatique. Pourtant, avec l’utilisation d’algorithmes auto-apprenants dont le résultat ne peut être reproduit et expliqué, cette opération ne sera rien d’autre qu’un contrôle fiscal déguisé. ?

La boîte de Pandore a été ouverte. En validant le principe de surveillance de masse des réseaux sociaux, le Conseil constitutionnel permet aux autres administrations de pouvoir réclamer leur part de surveillance généralisée, voire de se servir directement dans les données collectées par le fisc. Le ministre de l’action et des comptes publics, Gérald Darmanin, défend inlassablement cette nouvelle surveillance et promettait 10 millions d’euros par an pour seulement deux algorithmes. Son joujou désormais approuvé constitue un pas supplémentaire pour remplacer l’humain·e par la machine, le·la citoyen·ne par une ligne dans un tableur.

References   [ + ]

1. Le Conseil constitutionnel estime que l’obligation de « corroboration et enrichissement » exigée par la loi écarterait tout contrôle fiscal automatique. Pourtant, avec l’utilisation d’algorithmes auto-apprenants dont le résultat ne peut être reproduit et expliqué, cette opération ne sera rien d’autre qu’un contrôle fiscal déguisé.
]]>
Flicage fiscal des réseaux sociaux : les parlementaires doivent saisir le Conseil constitutionnelhttps://www.laquadrature.net/?p=15393http://streisand.me.thican.net/laquadrature.net/index.php?20191223_120536_Flicage_fiscal_des_reseaux_sociaux____les_parlementaires_doivent_saisir_le_Conseil_constitutionnelMon, 23 Dec 2019 11:05:36 +0000Le projet de loi de finances pour 2020 a été adopté la semaine dernière en dernière lecture par l’Assemblée nationale. Il comporte toujours son article 57, désormais 154, qui prévoit une surveillance généralisée des réseaux sociaux afin de lutter contre certains délits fiscaux. Nous appelons aujourd’hui les parlementaires à saisir le Conseil constitutionnel afin de lui demander sa suppression.

Comme nous l’indiquions, le désormais article 154 de la loi de finances pour 2020 prévoit une collecte « de masse » (selon les propres mots du gouvernement) et une analyse des informations publiques des réseaux sociaux. L’objectif du gouvernement est d’autoriser Bercy et les douanes à procéder à de la surveillance algorithmique pour détecter quelques fraudeur·euses. Maintenant que la loi a été adoptée, la prochaine étape se passe devant le Conseil constitutionnel qui se prononcera sur la conformité à la Constitution. Nous avons déposé aujourd’hui au greffe du Conseil constitutionnel une contribution extérieure dans laquelle nous développons nos arguments relatifs à l’atteinte au droit à la vie privée et au droit à la liberté d’expression pour en conclure que cet article doit être supprimé.

Nous y avons souligné que cet article 154 est une atteinte disproportionnée au droit à la vie privée et au droit à la liberté d’expression. Il amplifie la surveillance généralisée sur Internet en permettant à l’administration de traiter des informations qu’elle ne devrait pas connaître : les opinions politiques, religieuses, philosophiques, les appartenances syndicales, les orientations sexuelles, etc., seront analysées. Pire ! L’Assemblée a rétabli une conservation de ces données sensibles inutiles alors que la version du Sénat, à défaut de s’opposer à la collecte, prévoyait une suppression immédiate de ces données.

Également, nous expliquons dans notre contribution extérieure que la surveillance algorithmique que veut le gouvernement conduira in fine à faire confiance aveuglément aux algorithmes. Le Conseil constitutionnel avait déjà indiqué en 2018 que l’administration ne peut prendre de décision individuelle fondée exclusivement sur un algorithme dont elle ne peut expliquer le fonctionnement : cela interdit l’usage d’algorithmes auto-apprenants. Pourtant, aujourd’hui, le fisc et les douanes veulent recourir à ce même type d’algorithme pour lever des alertes sur de potentielles fraudes fiscales. Ces algorithmes sont pudiquement appelés « aide à la prise de décision » alors qu’il ne fait pas de doute qu’ils restent l’élément clé conduisant à une décision de contrôle fiscal : face à un algorithme auto-apprenant dont la nature même est de ne pas pouvoir expliquer ses résultats, que pourront faire les agents du fisc à part déclencher un contrôle en cas de résultat positif ? Nous invitons le Conseil constitutionnel à faire preuve de pragmatisme et à interdire les algorithmes d’aide à la prise de décision auto-apprenants.

Alors que certains groupes parlementaires s’étaient opposés à cet article, nous attendons désormais des actes. Nous regrettons déjà l’hypocrisie du groupe LR de l’Assemblée nationale qui, après avoir déposé plusieurs amendements de suppression dont on savait qu’ils ne seraient pas votés en raison du blocage de la majorité présidentielle, « oublie » d’inclure dans sa saisine du Conseil constitutionnel les éléments de fond justifiant que le Conseil censure cet article.

Nous invitons les élu·es de l’Assemblée nationale et du Sénat à saisir le Conseil constitutionnel sur le fond de cet article et à s’inspirer de nos arguments disponibles dans notre contribution extérieure. Il n’est pas suffisant de s’opposer en hémicycle : aujourd’hui, la balle est dans le camp des oppositions parlementaires.

]]>
Lettre commune de 80 organisations : Interdisez la reconnaissance faciale sécuritairehttps://www.laquadrature.net/?p=15354http://streisand.me.thican.net/laquadrature.net/index.php?20191219_105629_Lettre_commune_de_80_organisations____Interdisez_la_reconnaissance_faciale_securitaireThu, 19 Dec 2019 09:56:29 +0000L’Observatoire des Libertés Numériques1Organisations membres de l’OLN signataire de cette lettre ouverte : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)., dont fait partie La Quadrature du Net, et 80 organisations signent une lettre commune appelant le gouvernement et le Parlement à interdire toutes les pratiques de reconnaissance faciale sécuritaire présentes et à venir. La liste des signataires relève d’une vraie diversité de type d’organisations et d’engagements qui témoignent du profond rejet de la population envers ces dispositifs et ces volontés politiques liberticides.

Notre lettre commune (aussi en PDF) reste ouverte à signature par des organisations (les individus sont vivement encouragés à se l’approprier et à la diffuser autour d’eux). Pour signer, écrivez-nous à contact@laquadrature.net avec « Signature lettre contre la reconnaissance faciale sécuritaire » en objet, puis en précisant le nom de votre organisation dans le mail. Merci !

Mise à jour du 28 janvier 2020 : la lettre est désormais signée par 124 organisations.

Lettre commune : Interdisez la reconnaissance faciale sécuritaire

Nous, organisations, collectifs, entreprises, associations et syndicats, demandons au Parlement et au gouvernement français d’interdire tout usage sécuritaire de dispositifs de reconnaissance faciale actuels ou futurs.

Nous constatons que de telles technologies sont aujourd’hui déjà largement déployées en France. Outre les portiques « Parafe » présents dans plusieurs aéroports et gares, le fichier de traitement des antécédents judiciaires permet depuis 2012 à la police et à la gendarmerie de recourir à la reconnaissance faciale à partir d’images prises dans la rue par des caméras, ou encore obtenues sur les médias sociaux. D’autres expérimentations ont déjà été menées ou sont programmées.

La multiplicité des dispositifs déjà existants, installés sans aucun véritable encadrement juridique, transparence ou réel débat public, ne satisfait pourtant pas nombre d’acteurs publics et industriels. En se fondant sur le fantasme d’un développement inéluctable de la technologie et sur des arguments purement sécuritaires et économiques, ils souhaitent accélérer et faciliter le déploiement de ces dispositifs, au détriment des conséquences pour nos libertés et notre modèle de société.

La reconnaissance faciale est une technique exceptionnellement invasive et déshumanisante qui permet, à plus ou moins court terme, la surveillance permanente de l’espace public. Elle fait de nous une société de suspect·es. Elle attribue au visage non plus une valeur de personnalité mais une fonction de traceur constant, le réduisant à un objet technique. Elle permet un contrôle invisible. Elle impose une identification permanente et généralisée. Elle abolit l’anonymat.

Aucun argument ne peut justifier le déploiement d’une telle technologie : au-delà de quelques agréments anecdotiques (utiliser son visage plutôt que des mots de passe pour s’authentifier en ligne ou activer son téléphone…), ses seules promesses effectives sont de conférer à l’État un pouvoir de contrôle total sur la population, dont il ne pourra qu’être tenté d’abuser contre ses opposant·es politiques et certaines populations. Puisque l’utilisation de la reconnaissance faciale à des fins sécuritaires est par essence disproportionnée, il est vain d’en confier l’évaluation au cas par cas à une autorité de contrôle qui échouerait en pratique à suivre chacune de ses nombreuses nouvelles applications.

C’est pourquoi nous vous demandons d’interdire tout usage sécuritaire qui pourrait en être fait. De telles interdictions ont déjà été décidées dans plusieurs villes des États-Unis. La France et l’Union européenne doivent aller encore plus loin et, dans la lignée du règlement général sur la protection des données personnelles (RGPD), construire un modèle européen respectueux des libertés.

Il conviendra par ailleurs de renforcer les exigences de protection des données à caractère personnel et de limiter les autres usages de la reconnaissance faciale : qu’il s’agisse d’authentification ou d’identification privée, l’ensemble de ces dispositifs ne sont pas assez protecteurs des atteintes à la vie privée ; ils préparent, et banalisent une société de surveillance de masse.

Nous appelons à l’interdiction de tout usage sécuritaire de la reconnaissance faciale.

Liste des signataires :

References   [ + ]

1. Organisations membres de l’OLN signataire de cette lettre ouverte : Le CECIL, Creis-Terminal, Globenet, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM).
]]>
Loi « haine » : la trahison du Sénathttps://www.laquadrature.net/?p=15347http://streisand.me.thican.net/laquadrature.net/index.php?20191218_141610_Loi_____haine________la_trahison_du_SenatWed, 18 Dec 2019 13:16:10 +0000Le Sénat vient d’adopter la loi « contre les contenus haineux sur internet ». Après ce qui semblait être une première victoire la semaine dernière en commission des lois, le Sénat a finalement renoncé à lutter contre les risques de censure abusive de cette proposition de loi. Sur plusieurs points cruciaux, le texte qu’il a adopté est pire que celui initialement proposé par Mme Avia.

Retour de la censure en 24 heures, étendue à d’autres acteurs

En apparence, la victoire de la semaine dernière est maintenue : la principale mesure de la loi, c’est-à-dire l’obligation pour les plateformes de retrait en 24 heures des contenus « haineux » qui leur sont notifiés, a disparu de l’article 1er du texte. Mais il s’agit d’une apparence bien trompeuse.

Hier, cette obligation a refait son apparition sous une autre forme à l’article 2 : le défaut de retrait en 24 heures n’est plus une infraction pénale sanctionnée au cas par cas, mais les plateformes doivent déployer « les diligences proportionnées et nécessaires » pour y parvenir1Cette obligation de moyens, qui consiste à veiller au retrait en 24 heures des contenus illicites, était déjà présente dans le texte adopté par l’Assemblée nationale, qui y ajoutait une obligation de résultat sanctionnée pénalement. La semaine dernière, la commission des lois du Sénat avait supprimé ces deux obligations. Hier, l’obligation de moyens a été réintroduite sous une nouvelle formulation., sans quoi elles s’exposent à une amende administrative du CSA pouvant aller jusqu’à 4% de leur chiffre d’affaire.2L’amende peut désormais aussi aller jusqu’à 20 millions d’euros si ce montant est plus élevé que les 4% du chiffre d’affaire, ce qui est notamment le cas pour les associations qui n’ont pas de chiffre d’affaire.

Contrairement au texte initial, l’obligation de retrait en 24 heures ne vise plus uniquement les grandes plateformes (qui ont plus de 5 millions d’utilisateurs par mois), mais n’importe quel hébergeur que le CSA considérera comme ayant « en France un rôle significatif […] en raison de l’importance de son activité et de la nature technique du service proposé ». Ainsi, le CSA pourra arbitrairement décider quels nouveaux acteurs devront respecter les nouvelles obligations pour lutter contre les contenus illicites. Et certaines de ces obligations seront directement définies par le CSA lui-même, sans débat démocratique.

Les hébergeurs du Web décentralisé et non commercial, qui se trouveraient soumis au CSA en raison de leur succès, ne pourraient certainement pas tenir ces obligations, n’ayant pas les moyens des plateformes géantes. Ce nouveau texte est un signal sans nuance au Web libre et décentralisé : « cessez tous vos efforts, renoncez à votre cause et laissez régner les géants ! ». Ces mêmes géants dont le modèle économique aggrave la haine sur Internet et que le Sénat vient de renforcer — à se demander quel est le véritable objectif de ce texte.

Nous avions déjà souligné les risques de faire du CSA un acteur central de l’Internet : centralisation, éloignement du juge, confusion aberrante entre télévision et Internet… Au lieu d’arranger le texte, le Sénat n’a fait que l’empirer.

Une trahison en cache d’autres

Une autre obligation adoptée hier va dans le même sens : celle de conserver les « contenus illicites retirés ou rendus inaccessibles à la suite d’une notification […] pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », pour une durée à fixer par décret. Ici, tous les hébergeurs sont concernés, et plus seulement ceux désignés par le CSA. Une autre lourde contrainte technique qui freinera encore le développement d’alternatives aux GAFAM.

Enfin, et toujours s’agissant des obligations qu’appliquera le CSA, les plateformes qu’il régule seront désormais contraintes de veiller à la « suppression des comptes de leurs utilisateurs ayant fait l’objet d’un nombre de notifications par plusieurs personnes faisant apparaître, au vu de ce faisceau d’indices, une contravention sérieuse aux infractions » visées par la lutte contre la haine. Cette modification donne encore et toujours plus de pouvoirs aux plateformes, en leur demandant d’agir comme seules juges dans la détermination de ce qu’est ou non ce « faisceau d’indices » indiquant une « contravention sérieuse aux infractions » visées. Au-delà des dangers considérables que ce changement ajoute à cette proposition de loi, on soulignera qu’il révèle toute l’ignorance du Sénat en matière de Web, qui semble ne connaître que Facebook et Twitter sans savoir que l’on peut s’exprimer sur de nombreuses plateformes sans y avoir de compte.

L’économie de l’attention et l’interopérabilité pourtant au cœur des débats

Cette trahison est d’autant plus frustrante que plusieurs sénatrices et sénateurs ont, dès le début des débats en séance publique, essayé de souligner ce qui devrait être au cœur des discussions : l’économie de l’attention qui fonde le modèle économique des grandes plateformes. Comme nous l’avions auparavant souligné, ce modèle accélère la diffusion des contenus qui nous font rester le plus longtemps et interagir le plus, quitte à favoriser les invectives, conflits et caricatures et à « censurer par enterrement » les propos plus subtils d’écoute et d’entraide.

C’est pour lutter contre ce modèle économique que nous demandons, notamment par des actions contentieuses, l’application du RGPD, qui pourrait remettre fortement en cause ce modèle. C’est également pour cela que nous portons une proposition positive demandant à ce que la loi force les géants du numérique à devenir interopérables : pour nous permettre de les quitter et rejoindre des alternatives moins toxiques et à taille humaine, tout en pouvant continuer à communiquer avec les personnes restées chez les géants, cassant ainsi leur monopole sur les communautés créées dans ces systèmes privateurs.

Néanmoins, ces discussions en séance n’ont pas eu de réels effets. Des amendements sur le sujet de l’interopérabilité avaient déjà été discutés, sans succès, à l’Assemblée nationale. La commission des lois en a adopté une version très légère au moment de son rapport (en prévoyant que le CSA puisse « encourager » l’interopérabilité). Et c’est cette version qui a été adoptée hier. Elle ne suffit évidemment pas à rattraper le reste du texte. Une telle interopérabilité doit être imposée, et non proposée, et ce n’est sûrement pas au CSA qu’il revient de s’en occuper.

Prochaine étape : la commission mixte-paritaire

Maintenant que le texte a été adopté au Sénat, il doit passer en commission mixte-paritaire le 8 janvier, pendant laquelle l’Assemblée nationale et le Sénat essayeront de se mettre d’accord sur une version commune du texte. Il semble improbable que le résultat soit en faveur de nos libertés. Pour cela, il faudrait que chaque chambre renonce à ses pires propositions. Nous redoutons le contraire : que l’Assemblée nationale rétablisse ses ambitions de censure automatisée et que le Sénat conserve l’extension potentielle du texte à l’ensemble du Web sous les pleins pouvoirs du CSA. Le résultat serait bien plus grave que la proposition de loi initiale alors même que la Commission européenne alertait déjà sur l’incompatibilité de la version de l’Assemblée avec le droit de l’Union européenne.

Et si la situation n’était pas déjà assez terrible, le gouvernement en profite pour aller encore plus loin. Dans cette proposition de loi « contre la haine », il a essayé d’intégrer en avance les dispositions d’un autre texte contre lequel nous luttons, au niveau européen cette fois-ci : le règlement sur les contenus terroristes, qui veut forcer l’ensemble des acteurs de l’Internet à censurer en 1 heure tout contenu considéré comme terroriste par les autorités. L’amendement du gouvernement a pour cette fois été rejeté.

La lutte contre cette proposition de loi sera ardue. Nous la reprendrons vivement avec vous dès le début de l’année prochaine.

References   [ + ]

1. Cette obligation de moyens, qui consiste à veiller au retrait en 24 heures des contenus illicites, était déjà présente dans le texte adopté par l’Assemblée nationale, qui y ajoutait une obligation de résultat sanctionnée pénalement. La semaine dernière, la commission des lois du Sénat avait supprimé ces deux obligations. Hier, l’obligation de moyens a été réintroduite sous une nouvelle formulation.
2. L’amende peut désormais aussi aller jusqu’à 20 millions d’euros si ce montant est plus élevé que les 4% du chiffre d’affaire, ce qui est notamment le cas pour les associations qui n’ont pas de chiffre d’affaire
]]>
Le Sénat doit rejeter la loi « contre la haine »https://www.laquadrature.net/?p=15343http://streisand.me.thican.net/laquadrature.net/index.php?20191216_171956_Le_Senat_doit_rejeter_la_loi_____contre_la_haine____Mon, 16 Dec 2019 16:19:56 +0000Après une victoire en demi-teinte la semaine dernière en commission des lois, l’ensemble du Sénat examinera demain la proposition de loi « contre la haine ». Nous venons d’envoyer le message ci-dessous à l’ensemble des sénateurs pour leur demander de rejeter le texte.

Madame la sénatrice, Monsieur le sénateur,

Demain 17 décembre, vous examinerez la proposition de loi visant à lutter contre les contenus haineux sur internet.
Nous vous appelons à la rejeter dans son ensemble.

Le 13 décembre, la commission des lois du Sénat a corrigé ce texte de façon substantielle :
– suppression à l’article 1er du délai de 24 heures pour censurer les contenus signalés ;
– suppression à l’article 2, alinéa 11, de l’obligation d’empêcher la réapparition de contenus déjà censurés.

Ainsi modifié, le texte n’a presque plus de substance, de sorte qu’il devient inutile de l’adopter. Ses nombreux opposants, dont la Commission européenne, ont déjà invité le législateur français à retirer entièrement cette proposition de loi dont l’approche est erronée depuis le début. L’objectif de lutter contre la haine en ligne devra être poursuivi par d’autres textes législatifs, suivant des approches différentes.

Une interopérabilité insuffisante

Parmi ces autres approches souhaitables, nous nous réjouissons que la commission des lois ait introduit à l’article 4, alinéa 15, de mesures encourageant l’interopérabilité des grandes plateformes Toutefois, de simples « encouragements » ne sauraient suffire pour répondre aux enjeux en cause. L’interopérabilité doit être imposée en tant qu’obligation, et cela plutôt par l’ARCEP que par le CSA. Ainsi, ces « encouragements » sont trop faibles pour justifier à eux-seuls l’adoption de cette proposition de loi, dont les problèmes sont par ailleurs trop nombreux.

Un texte aggravé

Tout en la corrigeant sur certains points, la commission des lois du Sénat a aggravé d’autres aspect de la proposition de loi. Alors que la version initiale du texte ne concernait que les plateformes dont le nombre d’utilisateurs dépasse les 5 millions par mois, la version adoptée en commission des lois étend de façon indéfinie le champ des plateformes concernées. Désormais, la loi s’imposera aussi à n’importe quelle plateforme choisie par le CSA selon des critères si vagues qu’il risque de pouvoir les désigner arbitrairement. Il suffira que le CSA considère qu’une plateforme ait « en France un rôle significatif […] en raison de l’importance de son activité et de la nature technique du service proposé » pour la soumettre à son pouvoir.

La proposition de loi conférait déjà des pouvoirs démesurés au CSA : il choisira seul et sans débat démocratique les règles imposées aux plateformes pour lutter contre les infractions en ligne, sanctionnées jusqu’à 4% de leur chiffre d’affaire. La nouveauté introduite en commission des lois est que, en plus de décider des règles qu’il imposera, le CSA décidera aussi des plateformes auxquelles les imposer. Les risques d’abus, notamment contre les plateformes libres et décentralisées, sont immenses et justifient à eux-seuls de rejeter cette proposition de loi.

Les risques pour les plateformes libres et décentralisées sont au centre de nos inquiétudes. En effet, celles-ci permettent d’échapper aux plateformes gênantes et à leur « culture du buzz » qui favorise tant les conflits en ligne. Lutter contre la haine exige ainsi de favoriser le développement des ces plateformes décentralisées, notamment en s’abstenant d’introduire de nouvelles obligations qui les freineraient, telle que la conservation des contenus supprimés (trop lourd techniquement) ou la soumission à un CSA tout puissant et imprévisible.

Cordialement,

La Quadrature du Net

]]>
Première victoire contre la loi « haine »https://www.laquadrature.net/?p=15315http://streisand.me.thican.net/laquadrature.net/index.php?20191211_123836_Premiere_victoire_contre_la_loi_____haine____Wed, 11 Dec 2019 11:38:36 +0000La commission des lois du Sénat vient de rejeter le délai de 24h que Mme Avia souhaitait imposer aux grandes plateformes pour censurer les contenus illicites sur Internet. Cette première victoire pourrait entraîner l’effondrement d’un texte qui fait l’unanimité contre lui.

La commission des lois a vidé de sa substance l’article 1er de la proposition de loi. Cet article imposait aux grandes plateformes de censurer en 24 heures les contenus signalés par leurs utilisateurs ou la police et correspondant à une longue liste d’infractions (relire notre résumé de cette obligation).

Par ailleurs, la commission des lois a aussi supprimé une obligation parfaitement absurde, ajoutée à la dernière minute cet été à l’Assemblée nationale par le groupe LREM, imposant aux plateformes de censurer toute réapparition d’un contenu déjà censuré. Cela aurait impliqué une surveillance constante de l’ensemble des messages qu’elles diffusent, en violation frontale du droit européen.

Autre point positif : comme cela avait déjà été le cas à l’Assemblée nationale en séance plénière, le rapporteur s’est inspiré de nos propositions sur l’interopérabilité en proposant que le CSA puisse « encourager » la mise en œuvre de standards techniques d’interopérabilité pour permettre aux victimes de « se réfugier sur d’autres plateformes avec des politiques de modération différentes, tout en pouvant continuer à échanger avec les contacts qu’elles avaient noués jusqu’ici ». Cela reste une version très allégée de notre proposition, qui ne suffit pas à sauver le reste du texte.

Enfin, évidemment, les amendements farfelus du sénateur Grand, proposant de sanctionner lourdement la captation et la diffusion d’images de policiers (ici et ), ont été déclarés irrecevables.

Une victoire à confirmer

Les victoires d’aujourd’hui restent à confirmer par l’ensemble du Sénat lors d’un vote en séance plénière prévu pour le 17 décembre. Mais il faut que le Sénat aille encore plus loin qu’aujourd’hui en rejetant le texte dans son ensemble.

En effet, après le vote du 17, la proposition de loi ira en commission mixte paritaire, où l’Assemblée nationale et le Sénat tenteront de trouver un accord sur le texte en partant de leur version respective.

Un tel accord est ici peu probable vu les différences entre les textes adoptés par chacune des chambres. La loi reviendra donc manifestement à l’Assemblée nationale, avec le risque sérieux qu’elle renverse entièrement la victoire d’aujourd’hui.

Le Sénat doit marquer le plus fortement possible son opposition à la proposition de Mme Avia, en la rejetant purement et simplement.

Ce rejet est d’autant plus indispensable que, tout en améliorant le texte, la commission des lois du Sénat y a ajouté de nouveaux risques majeurs. Si les dangers initiaux de la loi revenaient après la commission mixte paritaire, s’y ajouteraient ces nouveaux risques-ci et la situation serait encore plus désastreuse qu’au départ.

Les tous pouvoirs du CSA

Les nouveaux dangers que le Sénat vient d’introduire concernent le champ des plateformes auxquelles la loi s’appliquera (voir l’amendement).

Initialement, la loi ne concernait que les plateformes dont le nombre d’utilisateurs dépassait un seuil fixé par décret, qu’on nous annonçait à 2 millions. Désormais, la loi s’imposera aussi à n’importe quelle plateforme choisie par le CSA selon des critères si vagues qu’il risque de pouvoir les désigner arbitrairement. Il suffira que le CSA considère qu’une plateforme ait « en France un rôle significatif […] en raison de l’importance de son activité et de la nature technique du service proposé ».

Toutes ces plateformes devront respecter les « règles » que le CSA définira pour lutter contre les infractions en ligne. Le CSA pourra sanctionner la violation de ses propres règles par une amende pouvant aller jusqu’à 4% du chiffre d’affaire des plateformes.

Le contenu de ces futures « règles » est encore inconnu, mais il faut redouter que le CSA songe à y inclure des techniques de censure automatisée ou de restriction de l’anonymat. C’est du moins la direction générale vers laquelle pousse le gouvernement, que ce soit au prétexte de la lutte contre le terrorisme (pour justifier l’automatisation de la censure) ou de la protection des enfants (pour commencer à s’attaquer à l’anonymat en ligne). Ces nouvelles « règles » seraient actées sans aucun débat démocratique, le CSA étant ici le seul à décider.

Ce pouvoir démesuré n’est pas nouveau dans cette proposition de loi. Nous le dénonçons depuis l’été dernier. La nouveauté du jour est que, en plus de décider des règles qu’il imposera, le CSA décidera aussi des plateformes auxquelles les imposer. Les risques d’abus, notamment contre les plateformes indépendantes et contre le Web libre et décentralisé, sont décuplés.

À ces risques, il faut ajouter celui évoqué plus tôt : si, après la commission mixte paritaire, l’Assemblée nationale parvenait à réintroduire l’obligation de censure en 24h, cette obligation pourrait aussi s’imposer à n’importe quelle plateforme désignée par le CSA, et non plus aux seuls « géants » initialement visés. De quoi détruire n’importe quelle plateforme indépendante d’un battement de cil du CSA.

Toutes ces raisons exigent que le Sénat rejette l’ensemble de cette proposition de loi. Comme nous l’avons déjà dit aux côtés de nombreuses institutions et associations, si la lutte contre la haine est un enjeu majeur, il devra être traité dans un autre texte, par une approche radicalement différente de celle proposée par Mme Avia.

]]>
Tout le monde déteste la loi « contre la haine »https://www.laquadrature.net/?p=15281http://streisand.me.thican.net/laquadrature.net/index.php?20191209_155053_Tout_le_monde_deteste_la_loi_____contre_la_haine____Mon, 09 Dec 2019 14:50:53 +0000La proposition de loi de Mme Avia s’apprête à être examinée en commission des lois du Sénat le 11 décembre. Elle fait l’unanimité contre elle. L’ensemble de ses détracteurs, tout en partageant son objectif de lutter contre la haine, lui reprochent un manque total de méthode, qui a conduit à un texte à la fois confus, inutile voire contre-productif, dangereux et contraire au droit de l’Union européenne.

Nous venons d’envoyer une lettre aux membres de la commission des lois pour leur demander de renoncer à ce texte. Si l’objectif initial de la loi était louable, il devra être poursuivi plus tard, sur des bases nouvelles, débarrassées des orientations erronées proposées par Mme Avia.

Parmi les pistes possibles, nous défendons l’obligation pour les grandes plateformes de devenir interopérables afin de nous libérer de leur « économie de l’attention » si nocive (lire notre analyse l’interopérabilité contre la haine). Ce projet pourra être porté tant au niveau français, telle qu’une récente proposition de loi du Sénat le prévoit, qu’au niveau européen, tel que la direction générale du Trésor vient de le suggérer à la Commission européenne.

Peu importe ces futurs projets, il faut rejeter l’actuelle proposition de loi « contre la haine ». Pour en comprendre les dangers, nous vous invitons à lire ce résumé de nos craintes. Le présent article vise à montrer qu’elles sont partagées par un vaste ensemble d’intervenants.

La Commission européenne contre la loi

Dans un courrier transmis la semaine dernière par la Commission européenne au gouvernement français (tel que publié par NextInpact), l’institution fait la même demande que nous.

Pour la Commission, la loi présente un risque trop important de censure abusive, en raison du délai de 24 heures qu’elle impose pour censurer des contenus, de la promotion de la censure automatisée ou pour son application à une trop large variété d’acteurs. Autant de violations du droit de l’Union. Dans sa lettre, la Commission invite le gouvernement à renoncer à ce texte afin de reprendre la lutte des contenus illicites en ligne au niveau européen l’année prochaine, sur des bases nouvelles et mieux posées. En effet, la nouvelle présidente de la Commission a annoncé une large réforme du droit européen en matière de régulation du Web, par un texte nommé Digital Service Act.

Les institutions contre la loi

Sébastien Soriano, président de l’ARCEP (l’autorité de régulation des télécoms), a qualifié la proposition de loi contre la haine de « naufrage de méthode » lors d’un colloque tenu le 26 novembre, tel que le rapporte Contexte. Tout comme nous, Sébastien Soriano espère que « l’avis incendiaire » de la Commission européenne « permettra de rebondir et de repartir sur de bons rails ».

Dès mars dernier, le Conseil national du numérique (CNNum) avait déjà condamné la loi, déplorant l’absence de juge dans la modération ainsi que la promotion de la censure automatisée.

Cet été, David Kaye, rapporteur spécial de l’ONU sur la protection de la liberté d’expression, partageait les mêmes critiques : « les États ne devraient limiter la publication de contenus qu’en vertu d’une ordonnance délivrée par un organe judiciaire » ; « les courts délais, associés aux sanctions sévères susmentionnées, pourraient conduire les réseaux sociaux à sur-réguler l’expression, par mesure de précaution ».

En juillet, suite à l’adoption du texte par l’Assemblée nationale, la Commission nationale consultative des droits de l’homme (CNCDH) a appelé « à revoir entièrement la proposition de loi » compte tenu « des risques qu’une telle loi ferait peser sur les libertés fondamentales ».

Les associations contre la loi

Parmi les nombreuses associations qui ont dénoncé cette loi, certaines défendent les personnes que la loi « contre la haine » prétend protéger. L’Inter-LGBT s’alarme : « les mesures envisagées par cette proposition de loi ne sont ni conformes à l’état de droit ni adaptées à la situation ». 

L’Union des Juifs pour la Résistance et l’Entraide ainsi que Mémoire des Résistants juifs de la MOI ont déclaré leur « ferme opposition à cette initiative » législative qui opère « une véritable sous-traitance à des intérêts privés d’une activité de type judiciaire ».

Évidemment, les associations de défense de libertés sont toutes opposées à la loi. En France, La Ligue des droits de l’Homme, le Conseil national des barreaux, Internet sans frontières, Renaissance numérique et l’Internet society France ont conjointement dénoncé ce texte. À l’international, on retrouve les mêmes critiques sévères de la part d’article 19 ou de plusieurs articles d’EDRi et d’Access Now.

Au tour du Sénat

Le 17 octobre 2018, la commission des lois du Sénat avait rendu un rapport incendiaire contre la proposition de loi Fakenews, qu’elle avait alors simplement refusé de voter. La synthèse de son rapport dénonce une propositon qui « réunit contre elle une rare unanimité », un dispositif « inabouti, inefficace et dangereux » ainsi qu’un « problème à traiter au niveau européen ». Le rapport pointait au passage le « modèle économique des plateformes » dont « les algorithmes visent en effet essentiellement à capter l’attention des internautes par des informations « sensationnelles » », sans que ce problème ne soit abordé par la loi Fakenews.

Autant de critiques aujourd’hui tournées vers le texte de Mme Avia. À l’époque, c’est le sénateur Christophe-André Frassa (du groupe LR) qui était rapporteur sur la loi Fakenews. Aujourd’hui, c’est ce même sénateur qui est rapporteur sur la loi « contre la haine ». Il nous a reçu en audition, au cours de laquelle nous l’avons vigoureusement invité à faire preuve de la même rigueur : rejeter de nouveau un texte inutile et dangereux.

Une perspective renforcée par les récentes déclarations du sénateur Bruno Retailleau, président du groupe majoritaire LR : « On ne va certainement pas voter ce qui nous est arrivé de l’Assemblée. Pas question de confier la police de notre liberté d’expression aux GAFA ». Dans la foulée, le rapporteur Frassa a déposé un amendement proposant de supprimer la mesure phare du texte – le retrait en 24h des contenus signalés. Un tel changement justifierait à lui seul de ne pas examiner plus loin cette proposition de loi.

La suite au 11 décembre devant la commission des lois.

]]>
SUIVEZ LES GOÉLANDS, SOUTENEZ LA QUADRATURE DU NET !https://www.laquadrature.net/?p=15250http://streisand.me.thican.net/laquadrature.net/index.php?20191206_185445_SUIVEZ_LES_GOELANDS__SOUTENEZ_LA_QUADRATURE_DU_NET___Fri, 06 Dec 2019 17:54:45 +0000
Depuis dix ans, La Quadrature du Net lutte pour qu’Internet reste un outil d’émancipation. Face à la censure généralisée, utilisant le prétexte de la lutte contre le « piratage », le terrorisme et maintenant la « haine ». Face à la surveillance politique permise par la loi renseignement. Face aux ambitions hégémoniques de l’industrie numérique, combattues grâce à la neutralité du Net et au RGPD. Tout cela en France comme en Europe, au Parlement, devant les juges ou dans les média, tous les jours. Pour défendre notre Internet idéal.

Puis nous avons mesuré combien défendre Internet ne suffirait plus. Les mêmes menaces arrivaient dans nos rues, dans nos écoles. Si l’informatique était devenu un outil d’oppression et de contrôle en ligne, il le deviendra partout ailleurs aussi. Et nous devrons y faire face collectivement. C’est pourquoi nous avons lancé la campagne Technopolice, qui a déjà réuni tant d’énergies nouvelles.

Mais comment garder courage ? Avec nos cinq salariées et notre trentaine de membres, nous peinons déjà tellement à courir derrière chaque nouvelle menace qui frappe Internet. Où trouver la rage et l’ambition d’aller défendre tout le reste ? En manifestation contre les drones, dans les écoles contre la reconnaissance faciale, dans le métro contre la détection de mouvement… Nos mains sont déjà si pleines, et nos yeux si lourds.

Quand soudain, la nature frappa l’ennemi. Des oiseaux s’en prirent aux drones de la police, renvoyés au sol. Les humains n’étaient plus seuls. Le front de notre lutte n’a cessé de s’étendre en dix ans, mais nous le tiendrons, avec vous, car nous ne sommes pas seuls.

Nous commençons aujourd’hui notre campagne de dons et la dédions au courage que ce clin d’œil de la nature nous a rendu.

Faites un don

POURQUOI SOUTENIR LA QUADRATURE ?

La Quadrature du Net est en campagne de financement pour 2020 : aidez-nous à tenir une année encore, nos libertés le méritent ! <3 Vous pouvez faire un don par CB, ou bien par chèque ou par virement. Et si vous pouvez faire un don mensuel (même de 5 € !), n’hésitez pas, ce sont nos préférés : en nous assurant des rentrées d’argent tout au long de l’année, les dons mensuels nous permettent de travailler avec plus de confiance dans la pérennité de nos actions.
En plus, le cumul des dons donne droit à des contreparties <3

DE NOUVEAUX PALIERS POUR LES CONTREPARTIES

Cette année, les paliers de dons qui donnent accès à des contreparties ont changé.
Si vous êtes un·e habitué·e, vous verrez qu’ils ont augmenté (ça marche rarement dans l’autre sens), pour s’adapter aux coûts de la fabrication et de l’expédition.
Dorénavant, pour recevoir un piplôme il faudra cumuler 42€ de dons, pour un (piplôme)+sac 64€, pour un (piplôme+sac)+t-shirt 128€, et pour un (piplôme+sac+t-shirt)+hoodie 314€.
Attention, l’envoi n’est pas automatique, il faut faire la demande sur votre page personnelle de donateur !
Et si les contreparties tardent un peu à arriver, ce qui n’est pas rare, c’est parce qu’on est débordé·es, ou qu’on attend le réassort dans certaines tailles, et qu’on fait tout ça nous-même avec nos petites mains. Mais elles finissent toujours par arriver ! Merci encore pour votre générosité, et merci beaucoup pour votre patience <3

À QUOI SERVENT VOS DONS ?

Ils servent tout simplement à faire exister l’association ! La Quadrature du Net compte une trentaine de membres bénévoles et emploie une équipe de six salarié·es à plein temps. C’est minuscule, pour tout le boulot à abattre. Quand on se présente à nos collègues à l’étranger, l’étonnement est toujours le même : « Vous êtes aussi peu nombreux pour faire tout ça ? » Ben oui, on est aussi peu nombreux, et non on n’a pas le temps de s’ennuyer…
En 2019, on a récolté 240 000 € sur les 320 000 € qu’on s’était fixé comme objectif. Nous n’avons pas atteint cet objectif, comme beaucoup d’autres associations en France. Nos dépenses pour l’année 2019 se montent environ à 262 000€.
Les dons recueillis servent principalement à payer les salaires des permanents (79% des dépenses). Le restant couvre le loyer et l’entretien du local, les déplacements des un·es et des autres en France et à l’étranger (en train uniquement) et les divers frais matériels de l’activité militante (affiches, stickers, papier, imprimante, t-shirts, etc.).

Quand on ventile toutes les dépenses (salaires inclus) sur les campagnes, en fonction du temps passé par chacun·e sur les sujets de nos luttes, ça ressemble à ça :

Faites un don

]]>
[NextINpact] EDRi et les FAI européens démolissent la proposition de loi Avia contre la haine en lignehttps://www.laquadrature.net/?p=15171http://streisand.me.thican.net/laquadrature.net/index.php?20191127_130000__NextINpact__EDRi_et_les_FAI_europeens_demolissent_la_proposition_de_loi_Avia_contre_la_haine_en_ligneWed, 27 Nov 2019 12:00:00 +0000Deux rapports ont été adressés à la Commission européenne. European Digital Rights et les FAI européens critiquent vertement la proposition de loi de la députée LREM. Le texte sera examiné bientôt au Sénat, mais il devra, avant toute application, passer entre les fourches européennes. […]

L’association EDRi ou European Digital Rights estime ainsi qu’il présente un sérieux risque d’entrave à la liberté d’expression et d’opinion. « Il risque également de fragmenter le marché unique numérique au moment même où la commission cherche à harmoniser les règles qui régissent les intermédiaires ». Elle plaide pour un débat non pas national, mais européen sur le sujet de la modération. […]

https://www.nextinpact.com/news/108421-edri-et-fai-europeens-demolissent…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Liberation] Vie numérique : Place à l’éthiquehttps://www.laquadrature.net/?p=15172http://streisand.me.thican.net/laquadrature.net/index.php?20191127_110000__Liberation__Vie_numerique____Place_a_l___ethiqueWed, 27 Nov 2019 10:00:00 +0000Face aux dérives du monde numérique, et tandis que l’appareil législatif, vite dépassé, se construit tant bien que mal, le débat éthique prend de l’ampleur, obligeant tous les acteurs à se questionner. […]

« Les données personnelles mobilisent des enjeux éthiques colossaux. A ce titre, le RGPD a quelques défauts, mais c’est un socle intéressant… si seulement il était respecté », explique Sylvain Steer, enseignant en droit et culture numérique à l’IUT d’Orsay (Université Paris Sud), et membre de la Quadrature du Net (LQDN), association de défense des droits et libertés sur Internet. Parmi les principaux droits entérinés par le RGPD   la portabilité des données (art. 20), leur effacement (art. 17), la possibilité d’actions de groupe (art. 80), ou encore une collecte et un traitement des données personnelles soumis au consentement « libre, explicite, spécifique, informé » de l’internaute (art. 7). La loi n’est, de fait, pas encore tout à fait passée dans les mœurs… « Pour la seule page d’accueil de Libération, j’identifie 28 trackers tiers, dont Facebook, Google ou BFM TV, qui collectent des données des visiteurs sans les en informer, repère, cruel, Sylvain Steer (1). Et ne parlons pas des Gafam (Google, Apple, Facebook, Amazon et Microsoft), qui continuent de violer impunément le RGPD .» […]

https://www.liberation.fr/evenements-libe/2019/11/17/vie-numerique-place…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[GrafHit] RadioPicasoft La Voix est libre, Technopolice, la surveillance dans l’espace publichttps://www.laquadrature.net/?p=15169http://streisand.me.thican.net/laquadrature.net/index.php?20191126_130000__GrafHit__RadioPicasoft_La_Voix_est_libre__Technopolice__la_surveillance_dans_l___espace_publicTue, 26 Nov 2019 12:00:00 +0000« Partout sur le territoire français, la « Smart City » révèle son vrai visage : celui d’une mise sous surveillance totale de l’espace urbain à des fins policières. En juin 2019, des associations et collectifs militants ont donc lancé la campagne Technopolice, afin de documenter ces dérives et d’organiser la résistance. https://technopolice.fr » […]

NDLRP : interview de Klorydryk, membre de La Quadrature du Net.

https://radio.picasoft.net/co/2019-11-15.html

NDLRP – Entretien à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] Digital Labor : tout clic mérite-t-il salaire ?https://www.laquadrature.net/?p=15170http://streisand.me.thican.net/laquadrature.net/index.php?20191126_110000__FranceCulture__Digital_Labor____tout_clic_merite-t-il_salaire___Tue, 26 Nov 2019 10:00:00 +0000À quoi correspond le digital labor ? Dans quelle mesure peut-on considérer les internautes comme producteurs de valeur sans le savoir ? En tant qu’internaute, chacun d’entre nous n’aurait-il pas tendance à devenir à notre insu plus micro-travailleur que consommateur ?

Serions-nous tous tombés dans le panneau ? Les géants d’internet nous ont-ils eus jusqu’à la moelle, au point de nous transformer, à notre insu, en travailleurs non-rémunérés ? A chaque like, à chaque note attribuée, à chaque commentaire rédigé, nous produisons de la valeur et nous engraissons ces services qui nous apparaissent comme gratuit. Ça c’est pour la voie passive. A la voix active, ce sont ces gens contraints au micro-travail : le tâcheronnat 2.0 qui consiste à aider les Intelligences Artificielles à apprendre, à reconnaître, à déchiffrer ou dans le pire des cas, les fermes de clics dans les pays pauvres. Bienvenus à l’ère du digital labor. […]

Et pour décrire, analyser et comprendre les enjeux de ce « digital labor » qui est, comme on le verra, difficilement traduisible en français, nous avons le plaisir de recevoir aujourd’hui Antonio Casilli, professeur à Telecom Paris, Institut Polytechnique de Paris, co-auteur notamment de « Qu’est-ce que le digital labor » avec Dominique Cardon aux éditions INA et Benjamin Bayart, président de la fédération des fournisseurs d’accès à Internet associatifs et co-fondateur de la Quadrature du Net. […]

https://www.franceculture.fr/emissions/la-methode-scientifique/la-method…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[RadioCampusParis] La Matinale de 19h – La Quadrature du Nethttps://www.laquadrature.net/?p=15166http://streisand.me.thican.net/laquadrature.net/index.php?20191125_130000__RadioCampusParis__La_Matinale_de_19h_____La_Quadrature_du_NetMon, 25 Nov 2019 12:00:00 +0000Ce soir nous recevons Arthur Messaud, juriste à La Quadrature du Net pour parler de Technopolice, une campagne lancée pour s’opposer aux smart cities policières, celle qui utilisent les nouveaux moyens offerts par les avancées technologiques pour surveiller et punir.

« La technologie est un super bon alibi pour détruire le service public. » 

https://www.radiocampusparis.org/la-matinale-de-19h-la-quadrature-du-net…

NDLRP – Émission à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] Du masque à la reconnaissance faciale : le visage est-il le dernier lieu de résistance politique ?https://www.laquadrature.net/?p=15167http://streisand.me.thican.net/laquadrature.net/index.php?20191125_110000__FranceCulture__Du_masque_a_la_reconnaissance_faciale____le_visage_est-il_le_dernier_lieu_de_resistance_politique___Mon, 25 Nov 2019 10:00:00 +0000Alors que la figure du Joker a été reprise par des manifestants du monde entier, les discussions sur la mise en place de la reconnaissance faciale questionnent les libertés publiques. Le visage, moyen d’expression des colères sociales, désormais utilisé à des fins politiques ? Une zone à défendre ?

Des manifestants de Hong Kong aux spectateurs du film Joker qui met en scène une révolte urbaine menée par un clown grimaçant, le visage semble être devenu un enjeu d’identification et de reconnaissance. Les états comme les grandes sociétés qui collectent des données informatiques sont intéressés en effet à cette reconnaissance faciale que refuse une partie des citoyens, pour qui se couvrir le visage grâce au maquillage, ou cagoule ou masque est une façon de préserver ses libertés. Le visage est-il le dernier lieu de résistance politique ? […]

Les intervenants :

  • François-David Sebbah, philosophe, professeur de philosophie à l’Université Paris Nanterre, membre associé des Archives Husserl et du laboratoire « Connaissance organisation et systèmes techniques » de l’Université de technologie de Compiègne
  • Félix Tréguer, Chercheur associé au Centre Internet et Société du CNRS, membre fondateur de l’association La Quadrature du Net.
  • Jacques Barthélémy, Conseiller d’Etat et ancien préfet
  • Pierre Piazza, maître de conférence en sciences politiques à l’université de Cergy-Pontoise et membre du Centre de recherches sociologiques sur le droit et les institution pénales (CESDIP)

https://www.franceculture.fr/emissions/le-temps-du-debat/du-masque-a-la-…

NDLRP – Extrait de Félix à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Reconnaissance faciale : le bal des irresponsableshttps://www.laquadrature.net/?p=15140http://streisand.me.thican.net/laquadrature.net/index.php?20191122_134602_Reconnaissance_faciale____le_bal_des_irresponsablesFri, 22 Nov 2019 12:46:02 +0000Nous le répétons depuis plusieurs semaines : la reconnaissance faciale continue à se déployer en France sous la pression combinée du gouvernement, d’élus et d’industriels. Elle est encouragée par des nombreux rapports d’administrations qui multiplient les préconisations pour faciliter son acceptation par la population.

Le dernier en date, rendu par l’INHESJ et que nous publions ici, a profité de la participation d’une des directrices de la CNIL – Florence Fourets. Le fantasme d’une technologie régulée, juridiquement bordée, ne tient pas. L’histoire récente de la surveillance d’État le démontre amplement. C’est pourquoi il est urgent d’interdire la reconnaissance faciale.

Avant de s’intéresser aux éléments de langage utilisés par les promoteurs de la reconnaissance faciale et à la stratégie qu’ils souhaiteraient nous imposer, revenons rapidement sur les dispositifs déjà déployés en France.

Retour sur les dispositifs déployés en France

Comme nous le dénoncions le mois dernier, le débat que propose le gouvernement sur la reconnaissance faciale pour faciliter les « expérimentations » est faussé : la technologie est d’ores et déjà largement déployée en France.

Outre les portiques d’authentification par reconnaissance faciale « PARAFE » (pour « passage automatisé rapide des frontières extérieures », présents dans cinq aéroports français, deux gares et au départ d’Euro-tunnel pour les bus), le fichier de traitement des antécédents judiciaires (dit « TAJ ») permet depuis 2012 à la police et à la gendarmerie (entre autres) de faire de la reconnaissance faciale à partir de photographies de personnes « mises en cause » lors d’une enquête (nous avons demandé ce lundi son abrogation au ministère de l’Intérieur en vue d’un éventuel contentieux – voir notre article détaillé).

D’autres expérimentations ont été réalisées ou sont en cours de réalisation : par la société Aéroports de Paris, pendant plusieurs mois à Orly-Ouest en salles d’embarquement ou dans des zones délimitées dans des terminaux de Roissy-Charles-de-Gaulle et Orly-Sud. À Nice, en 2019, un test a été mené pour la première fois en France sur la voie publique, pendant trois jours lors du Carnaval. L’application d’identité numérique du gouvernement Alicem, qui devrait être lancée en janvier 2020, comporte elle-aussi un dispositif de reconnaissance faciale (nous avons engagé un contentieux contre cette application qui ne respecte pas le RGPD). Enfin, si le projet de portiques de reconnaissance faciale prévu dans deux lycées de la Région Sud, à Nice et Marseille (contre lequel nous avions aussi engagé une action contentieuse) est pour l’instant à l’arrêt depuis l’avis négatif de la CNIL, Christian Estrosi et Renaud Muselier ont déjà signalé qu’ils reviendraient à la charge.

La multiplicité de ces dispositifs, à titre expérimental ou pérenne, n’empêche pourtant pas nombre d’acteurs publics et d’industriels de considérer que l’on ne va encore pas assez loin, ni assez vite. Le discours est toujours le même, fondé sur le caractère « inéluctable » de la technologie : en raison du cadre juridique actuel, qui serait selon eux trop strict, les industriels français ne pourraient pas expérimenter la reconnaissance faciale aussi facilement qu’ils le voudraient, prenant alors du retard sur leurs concurrents étasuniens ou chinois. Une « loi d’expérimentation » serait alors nécessaire pour faciliter le développement de ces dispositifs et créer une « reconnaissance faciale éthique » à la française.

Didier Baichère, un promoteur à l’Assemblée Nationale

En mars 2019, nous rencontrions Didier Baichère, député du groupe LaREM et membre de l’OPECST (Office parlementaire d’évaluation des choix scientifiques et technologiques) qui commençait à réfléchir sur le sujet sans y connaître grand-chose. Quelques mois plus tard, il est devenu spécialiste auto-proclamé et rend une note de huit pages sur la reconnaissance faciale où l’on retrouve déjà le vocabulaire et les arguments qui reviendront ensuite à chaque fois que le sujet sera abordé par l’un de ses promoteurs. Il y conclut en effet que « la généralisation [de la reconnaissance faciale] semble inéluctable », qu’il faut « élaborer rapidement un cadre législatif permettant d’accompagner les expérimentations au profit de l’écosystème industriel et universitaire français », « mener des études sur l’acceptabilité de ces technologies par les différentes catégories de la population et « améliorer la formation à l’économie de la donnée pour permettre aux décisions d’être prises de façon éclairée et en s’affranchissant des mythes auxquels renvoient ces technologies ». Sur la nécessité d’expérimentation, il développe son propos précisant que le RGPD « ne permet pas à l’heure actuelle aux acteurs français d’être compétitifs sur la scène internationale ».

Compétitivité contre libertés

Cette friction entre compétitivité et libertés se retrouve donc dans la plupart des notes et rapports publics rendus sur le sujet. Cédric O, secrétaire d’État au numérique, après avoir souligné que « la reconnaissance faciale entre dans nos vies sans que son cadre d’utilisation n’ait encore été clarifié » proclame pourtant que « expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent ». Ou la revue du CREOGN (pour « Centre de recherche des officiers de la gendarmerie nationale ») qui énonce que « dans un cadre juridique suffisamment souple, les expérimentations permettraient aux industriels français de développer des solutions souveraines».

Les mots « concurrence », « souveraineté » et « industriels » prennent toute la place dans ce soi-disant « débat ». Ce sont d’ailleurs le Forum économique mondial avec le Conseil national du numérique qui sont chargés de « co-construire un cadre de régulation de la reconnaissance faciale »[1] . Ils expliquent que « le cœur de l’expérimentation consiste à tester nos recommandations sur des systèmes de reconnaissance faciale existants en partenariat avec des acteurs industriels ». La France, qui fait déjà partie des premiers exportateurs mondiaux d’armes, semble désormais vouloir expérimenter sur sa population sa nouvelle génération d’outils de surveillance à vendre à ses partenaires commerciaux, faisant fi de leur passif de violations des libertés fondamentales. Les industriels français, au premier rang desquels Thales et Idemia, pourraient alors se vanter d’être en mesure de proposer des solutions co-constuites dans le pays se disant des droits de l’homme…

La Chine prise en exemple

Tout récemment a été publiée une note de l’Institut National des Hautes Études de la Sécurité et de la Justice (INHESJ) [2]. Elle est rédigée par le « Groupe de diagnostic stratégique n°8 », composé d’une avocate (Sharone Franco), de salariés d’Airbus, du CEA (Commissariat à l’énergie atomique), de SANOFI (groupe pharmaceutique), et vice-présidé par… Florence Fourets, « directrice chargée de projets régaliens » de la CNIL. Dans ce rapport de 50 pages, les auteurs préconisent « une démarche où le potentiel recours à la reconnaissance faciale se veut pragmatique, et volontairement gradué ». L’insistance sur la compétition économique y est encore une fois pleinement assumée : les auteurs pointent d’ailleurs du doigt le « cadre réglementaire plus contraint dans notre pays », qui explique que « les solutions développées par les industriels français sont majoritairement commercialisées en dehors de la France, ce qui n’est pas sans poser des problèmes pour des groupes français qui ne peuvent pas mettre en avant de références hexagonales ». Ainsi, expliquant que « les algorithmes doivent être entraînés à partir de bases contenant un très grand nombre d’images de visages variés provenant d’origines différentes » et que « la réglementation française contraint fortement l’utilisation de telles bases de données », le rapport vient prendre en exemple à suivre « la société chinoise Cloudwalk [qui] a acheté au Zimbabwe la totalité de sa base de données contenant des visages de ses citoyens ».

Le reste du rapport est malheureusement dans la même veine. Il propose notamment une analyse de la situation en Chine où, selon eux, « la culture chinoise est plus encline à accepter une intrusion de surveillance de la vie privée que la culture française ». Après cet exemple choquant de relativisme culturel qui fait fi des formes de résistance opposées par la société chinoise au régime, il se poursuit avec des préconisations pour « une meilleure acceptation » de la population… Le fait qu’un agent de la CNIL participe à la rédaction d’un tel rapport illustre bien l’un des problèmes fondamentaux de la CNIL : pour elle, dans le dilemme entre innovation technologique et libertés, il semble que ce soit la première qui doit nécessairement avoir gain de cause.

La conclusion du rapport de l’INHESJ recoupe tristement les discours de Cédric O et de Didier Baichère : les auteurs du rapport appellent à une « adaptation du cadre juridique actuel (…) pour faciliter les expérimentations », au « soutien aux industriels français » et à un texte législatif permettant l’instauration de dispositifs de reconnaissance faciale dont « il pourrait être notamment prévu de limiter les périodes d’utilisation en termes de durée mais également d’un point de vue géographique ». On y apprend enfin que Renaud Vedel (Préfet coordinateur ministériel en matière d’intelligence artificielle et autre promoteur régulier de la technologie) propose de « constituer un fichier permanent de données biométriques qui ne serait activé que sur des périodes temporaires déterminées, dans des contextes prévus ou sur des zones particulièrement exposées ».

Et la CNIL dans tout ça ?

La CNIL est l’une des seules autorités (avec les juges) qui devraient normalement contrôler et limiter le déploiement de ces dispositifs. En octobre 2018, elle publie un communiqué appelant à la tenue d’un « débat démocratique » sur le sujet. Ensuite, pendant presque une année, pas grand-chose, jusqu’à sa récente recommandation sur l’expérimentation de portiques de reconnaissance faciale. Elle s’y décide enfin à appliquer les principes de nécessité et de proportionnalité qui sont au cœur du RGPD. Notons néanmoins que cette recommandation, ainsi que celles rendues précédemment sur le même dossier, ne sont pas publiques : il s’agit de courriers entre administrations que nous sommes obligés d’aller réclamer à l’aide de demandes CADA (voir à ce titre les documents récupérés pour les portiques dans les lycées). Plus tristement, quand elle soulève des craintes et arguments juridiques contre un décret prévoyant la mise en place d’un dispositif de reconnaissance faciale (comme ce fut le cas pour Alicem), le gouvernement ne l’écoute pas. Et la présidente de la CNIL, Marie-Laure Denis, semble se satisfaire de cette impuissance.

Son récent « code de la route » de la reconnaissance faciale n’est pas des plus encourageants : si la CNIL y souligne bien les dangers intrinsèques à la technologie, elle ne semble pas avoir le courage politique suffisant pour en tirer la conclusion logique, c’est-à-dire son interdiction. Les lignes « rouges » qu’elle entend tracer semblent d’ailleurs bien faibles, et ses mises en garde tout aussi timorées. Dire, par exemple, que « la reconnaissance faciale à la volée, qui repose sur une captation indifférenciée des visages dans un espace déterminée, appelle à une vigilance toute particulière », n’est en aucun cas une ligne rouge. Une telle « audace » n’aura sans doute pas effrayé outre mesure les élus comme Christian Estrosi qui font leur beurre électoral de ces technologies sécuritaires. Ce dernier s’est d’ailleurs dit en partie « satisfait » de cette note. Comme les promoteurs précédemment cités, et bien que son discours se veuille plus soucieux des libertés publiques que d’autres, la CNIL semble pourtant se forcer à croire une voie médiane entre protection des droits et objectifs sécuritaires, et se résigner comme les autres au caractère à la fois nécessaire et inéluctable de ces nouveaux dispositifs.

Devant cette avalanche de volontés univoques, pour qui la compétitivité commerciale vaut mieux que toutes les libertés fondamentales, les citoyens qui ne veulent pas être surveillés se sentent bien isolés. Par qui faudra-t-il passer pour que quelqu’un redise enfin que la surveillance de tous les visages n’est proportionnée à aucun crime, mais seulement à un fantasme de dirigeant totalitaire ?

La nécessité d’une interdiction

La prochaine étape paraît donc être cette « loi d’expérimentation » qui devrait logiquement apporter certains assouplissements au RGPD ou à la directive police-justice. La future loi renseignement sera-t-elle le véhicule législatif privilégié pour l’expérimentation de ces technologies de surveillance massive ?

Il faudra le répéter, encore et encore : la reconnaissance faciale est une technologie exceptionnellement invasive, déshumanisante et élaborée à terme pour la surveillance et le contrôle permanente de l’espace public. Comme nous le disions il y a déjà quelques semaines, elle « attribue au visage, non plus une valeur de personnalité, l’expression même de la singularité d’une personne humaine, mais une fonction de dénonciation ». Elle promet un contrôle invisible et indolore (on ne sait pas quand une caméra prend notre visage, contrairement au relevé des empreintes ou de l’ADN par exemple) pour nous imposer une vérification d’identité « permanent[e] et général[e] ». Et ne tombons pas dans le piège de la confusion lexicale organisée entre « reconnaissance faciale » et « comparaison faciale », où la seconde serait moins importante que la première : en plus de participer à l’entraînement des algorithmes, l’authentification par reconnaissance faciale prépare, banalise et nous entraîne vers l’identification constante et généralisée sur la voie publique.

Il n’existe pas de « reconnaissance faciale éthique » ou d’usage raisonné d’une surveillance biométrique intrinsèquement totalitaire. Seule l’interdiction est envisageable.

—-

[1] Ce cadre pourrait d’ailleurs servir de référence pour la pseudo-consultation citoyenne promise par le gouvernement.

[2] L’INHESJ a publié sur son site un rapide résumé de son rapport.

]]>
La reconnaissance faciale des manifestant⋅e⋅s est déjà autoriséehttps://www.laquadrature.net/?p=15032http://streisand.me.thican.net/laquadrature.net/index.php?20191118_142003_La_reconnaissance_faciale_des_manifestant___e___s_est_deja_autoriseeMon, 18 Nov 2019 13:20:03 +0000Depuis six ans, le gouvernement a adopté plusieurs décrets pour autoriser l’identification automatique et massive des manifestants. Cette autorisation s’est passée de tout débat démocratique. Elle résulte de la combinaison insidieuse de trois dispositifs : le fichier TAJ (traitement des antécédents judiciaires), le fichier TES (titres électroniques sécurisés) et la loi renseignement.

L’hypocrisie du gouvernement est totale lorsqu’il prétend aujourd’hui ouvrir un débat démocratique sur la reconnaissance faciale : il en a visiblement tiré les conclusions depuis longtemps, qu’il nous impose déjà sans même nous en avoir clairement informés.

Nous venons de lui demander formellement d’abroger ce système et l’attaquerons devant le Conseil d’État s’il le refuse.

Pour bien comprendre le montage juridique qui autorise le fichage massif des manifestants, il faut retracer l’évolution historique de ses trois composantes – le fichier TAJ (I), le fichier TES (II) et la loi renseignement (III) – puis en interroger les conséquences concrètes (IV).

I. Le fichier TAJ

La première brique de l’édifice est le fichier de police appelé TAJ, pour « traitement des antécédents judiciaires ». Rappeler son origine (A) nous permet de mieux comprendre son fonctionnement actuel (B) et la façon dont il a ouvert la voie à la reconnaissance faciale policière (C).

A. Les origines du TAJ

Dans son rapport sur la loi de sécurité du 21 janvier 1995, le gouvernement explique son projet de modernisation de la police. Le futur fichier nommé « système de traitement de l’information criminelle (S.T.I.C.) » est alors présenté comme une grande nouveauté, « le projet prioritaire pour l’informatisation des services de police » : il « permettra de fédérer au niveau national l’ensemble des fichiers de police et de documentation criminelle ».

Ce fichier ne sera officialisé que six ans plus tard, par un décret du 5 juillet 2001. Le gouvernement de Lionel Jospin crée ainsi un fichier nommé « système de traitement des infractions constatées (STIC) ». Concrètement, dans son avis préalable, la CNIL explique que le STIC centralisera un ensemble « d’informations actuellement conservées dans des fichiers manuels ou informatiques épars, le plus souvent cantonnés au niveau local », et donc peu exploitables. Désormais, pour l’ensemble du territoire français, le STIC réunira toute la mémoire de la police sur les personnes mises en cause dans des infractions, auteurs comme complices, ainsi que leurs victimes : noms, domicile, photographie, faits reprochés…

Il faudra attendre une loi du 18 mars 2003 pour que ce fichier soit clairement endossé par le législateur. À la suite du STIC, créé pour la police nationale, un décret du 20 novembre 2006 crée un fichier équivalent pour la gendarmerie, dénommé « système judiciaire de documentation et d’exploitation» (JUDEX).

Cinq ans plus tard, l’article 11 de la loi du 14 mars 2011 (dite LOPPSI 2) prévoit de fusionner le STIC et le JUDEX au sein d’un fichier unique, que le gouvernement envisage alors d’appeler ARIANE. Cette loi de 2011 est une loi de « programmation » et se voit donc accompagnée d’un « rapport sur les objectifs et les moyens de la sécurité intérieure à horizon 2013 ». D’importantes évolutions sont attendues : « la police déploiera son programme de minidrones d’observation », « une recherche en sécurité au service de la performance technologique […] visera notamment à trouver les solutions innovantes dans des domaines tels que […] la miniaturisation des capteurs, la vidéoprotection intelligente, la transmission de données sécurisée, la fouille des données sur internet, la reconnaissance faciale, les nouvelles technologies de biométrie… ».

La fusion du STIC et du JUDEX est formellement réalisée par un décret du 4 mai 2012. Le fichier unique n’est finalement pas nommé ARIANE mais TAJ, pour « traitement des antécédents judiciaires ». L’une des principales différences entre, d’une part, le STIC et le JUDEX et, d’autre part, le TAJ, concerne la reconnaissance faciale. Alors que les fiches du STIC et du JUDEX ne comprenaient qu’une simple « photographie » des personnes surveillées, le TAJ va bien plus loin. Il est explicitement destiné à contenir toute « photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale (photographie du visage de face) », ainsi que toutes « autres photographies ».

Dans son avis de 2011 sur le décret TAJ, la CNIL « relève que c’est la première fois qu’elle est saisie par un service de l’État d’une demande d’avis sur un traitement reposant sur […] ces technologies de reconnaissance faciale ». Elle explique que ce système « permettra de comparer à la base des photographies signalétiques du traitement, les images du visage de personnes impliquées dans la commission d’infractions captées via des dispositifs de vidéoprotection », ce qui « présente des risques importants pour les libertés individuelles, notamment dans le contexte actuel de multiplication du nombre des systèmes de vidéoprotection ».

B. Le fonctionnement du TAJ aujourd’hui

Un rapport parlementaire de 2018 explique qu’il « existe 18,9 millions de fiches de personnes mises en cause et plus de 87 millions d’affaires répertoriées dans le TAJ », et que « le TAJ comprend entre 7 et 8 millions de photos de face ». En théorie, l’article R40-25 du code de procédure pénale prévoit que le TAJ ne devrait ficher que des personnes contre lesquelles existent des indices graves et concordants d’avoir participé à la commission d’une infraction, comme auteur ou complice. En pratique, il s’agit davantage d’un outil de communication interne aux forces de l’ordre, qu’elles utilisent pour échanger un maximum d’informations pratiques, indépendamment de la véracité ou de la pertinence de celles-ci. Comme l’explique la CNIL en 2012, les policiers et gendarmes remplissent eux-mêmes les fiches, choisissant les qualifications juridiques et les faits à retenir.

Lorsque la photographie du visage d’une personne y figure, elle peut avoir été prise au commissariat ou à la gendarmerie, mais les policiers et gendarmes peuvent tout aussi bien avoir simplement photographié un document d’identité de la personne concernée dans un autre cadre, par exemple dans la rue lors d’un contrôle, ou bien encore, après tout, collecté une photo sur Internet.

En théorie encore, la tenue du TAJ devrait être contrôlée par les magistrats du parquet. Pourtant, Vincent Charmoillaux, vice-procureur de Lille et secrétaire général du Syndicat de la magistrature, expliquait le 28 septembre dernier lors d’un colloque sur le fichage des étrangers organisé par le Syndicat des avocats de France à Lille, que pendant plus de 15 ans, contrairement à la loi, les procureurs n’ont eu aucun accès direct au TAJ qu’ils sont pourtant chargés de contrôler, et que le déploiement des outils informatiques nécessaires à un accès effectif n’était qu’une annonce très récente.

Il ajoutait que, par manque de temps, les services des parquets omettent aussi trop souvent de faire mettre à jour le TAJ lorsqu’une affaire conduit à un classement sans suite, un non-lieu ou une relaxe. Ainsi, une personne peut être fichée pendant 20 ans pour une infraction pour laquelle elle a été mise hors de cause par la justice. Selon lui, si l’utilisation du TAJ par la police, la gendarmerie et l’administration s’est autant développée, c’est en raison des règles bien plus strictes qui encadrent l’utilisation du casier judiciaire et qui ne leur permettent pas de satisfaire ce qu’elles jugent être leurs besoins opérationnels.

C. La reconnaissance faciale dans le TAJ

La police entretient l’absence de transparence au sujet de la reconnaissance faciale, de sorte que celle-ci reste peu documentée, et que ces pratiques ne peuvent être perçues qu’à travers une multitudes de faits divers (et désormais aussi par la campagne Technopolice, par exemple ici ou ).

Dès 2013, des gendarmes niçois se réjouissent auprès de Nicematin : « un homme ayant perdu la tête a été trouvé dans le jardin d’une propriété et il s’est révélé incapable de donner son nom. Les gendarmes l’ont pris en photo et nous l’ont envoyé. Et « bingo », sa fiche est sortie. Il a pu être identifié, puisqu’il était connu des fichiers ». Les gendarmes évoquent aussi le cas « d’un escroc ayant acquis une voiture d’occasion avec un passeport volé et falsifié mais comportant sa photo », retrouvée dans le TAJ par reconnaissance faciale.

En 2014, le Figaro rapporte à Lille un cas d’identification automatisée d’un adolescent, déjà fiché au TAJ, qui s’est vanté sur Snapchat et à visage découvert d’avoir volé un téléphone : « une fois la photo en notre possession, il n’a fallu que quelques minutes pour que 30 ou 40 visages apparaissent à l’écran, explique un commandant ».

En 2018, le Parisien explique que la police a exploité les photographies du TAJ par reconnaissance faciale afin d’identifier un terroriste mort. Plus récemment, une affaire judiciaire en cours à Lyon concerne l’utilisation d’un logiciel pour rapprocher l’image prise par une caméra sur le lieu d’un cambriolage à la photographie d’une personne connue des services de la police et fichée dans le TAJ.

Ces seules anecdotes laissent comprendre que la reconnaissance faciale réalisée à partir du TAJ serait déjà largement déployée en France et depuis longtemps.

Pour résumer, en France, une personne sur dix pourrait avoir sa photo dans le TAJ. La police et la gendarmerie peuvent l’analyser automatiquement afin de la rapprocher d’images prises sur des lieux d’infraction, notamment par des caméras de surveillance. On appelle cette approche la « comparaison faciale ». C’est déjà bien trop de pouvoir pour la police, qui agit ici sans aucun contre-pouvoir effectif. Mais le fichier TES a conduit à l’extension de cette technique à l’ensemble de la population française et donc, à terme, bien au-delà des 8 millions de photographies contenus dans le TAJ.

II. Le fichier TES

La deuxième brique de l’édifice est le fichier TES, pour « titres électroniques sécurisés ». Alors que le TES n’avait à l’origine qu’un champ réduit (A), il s’est finalement étendu à l’ensemble de la population (B) pour en ficher tous les visages (C).

A. Le premier fichier TES (2004 – 2012)

Un règlement européen du 13 décembre 2004 impose aux États membres de délivrer des passeports biométriques qui, notamment, « comportent un support de stockage qui contient une photo faciale ». En pratique, le passeport intègre une puce qui contient une photo du visage. Elle n’est stockée nulle part ailleurs et il faut accéder physiquement au document pour la consulter. À première vue, rien qui puisse directement déboucher sur de la surveillance de masse.

Un an plus tard, le gouvernement français adopte le décret du 30 décembre 2005 qui crée les passeports électroniques afin d’appliquer ce règlement. Au passage, et sans qu’il s’agisse ici d’une exigence européenne, ce décret crée le fichier des « titres électroniques sécurisés » (TES) qui centralise, pour chaque personne détentrice d’un passeport électronique, ses noms, domicile, taille et couleur d’yeux. Guère plus.

Deux décrets ultérieurs changent la donne. Un premier du 23 janvier 2007 permet à la police et à la gendarmerie de consulter le fichier TES pour lutter contre le terrorisme. Un deuxième décret du 30 avril 2008 ajoute au fichier TES « l’image numérisée du visage ». Depuis 2005, l’image du visage n’était enregistrée que sur la puce du passeport. Par cette évolution, le visage tombe dans les mains de l’État.

Cette évolution ne concerne alors pas les cartes d’identité. Depuis un décret de 1987, le ministère de l’Intérieur est autorisé à réaliser un traitement de données personnelles pour fournir des cartes d’identité. Ce système centralise nom, prénoms, date de naissance, etc., mais pas la photo, qui n’apparaît que sur la carte. Un décret du 21 mars 2007 permet à la police et à la gendarmerie de consulter ce fichier des cartes d’identités pour lutter contre le terrorisme – tel que cela a été autorisé pour les passeports deux mois plus tôt – mais sans leur donner accès à ces images.

B. Le nouveau fichier TES (2012-2016)

Une proposition de loi, soumise par deux sénateurs et adoptée par le Parlement le 6 mars 2012, prévoit de fusionner le « TES passeport » et le fichier des cartes d’identité en un méga-fichier unique. De plus, ce fichier unique contiendra désormais aussi les photographies présentes sur les cartes d’identité (jusqu’ici, seul le « TES passeport » contenait des photos).

Le texte suscite d’importants débats : il prévoit aussi de centraliser dans ce fichier les empreintes digitales de l’ensemble de la population, tout en permettant à la police d’y accéder pour identifier une personne à partir d’une empreinte retrouvée sur les lieux d’une infraction. De nombreux parlementaires saisissent le Conseil constitutionnel qui, dans une décision du 22 mars 2012, déclare la plupart des dispositions de cette loi contraire à la Constitution. La loi, presque entièrement dépouillée, n’est jamais appliquée.

Toutefois, le gouvernement semble avoir été séduit par cette initiative parlementaire. Quatre ans plus tard, il reprend l’essentiel de cette loi avortée dans un décret du 28 octobre 2016, qui intègre au sein du fichier « TES passeport » toutes les données relatives aux cartes d’identité. Le nouveau « méga-fichier TES » comprend désormais les photographies de l’ensemble de la population ou presque : celles de toute personne demandant un passeport ou une carte d’identité.

C. Les visages du TES (2016-aujourd’hui)

Même si ce décret échappe au contrôle du Conseil constitutionnel (qui n’examine que les lois et non les décrets), le gouvernement a manifestement retenu les leçons de l’échec de 2012 : le décret prévoit explicitement que la police ne peut pas accéder aux empreintes digitales conservées dans le fichier TES.

Toutefois, dans le même temps, ce décret a largement étendu le nombre de photographies accessibles aux policiers et gendarmes (pour rappel, les photographies des cartes d’identité n’étaient jusqu’alors ni centralisées ni donc facilement exploitables par la police).

Contrairement au TAJ, le fichier TES ne prévoit pas en lui-même de fonctionnalité de reconnaissance faciale. Mais cette limite est purement technique : il ne s’agit pas d’une interdiction juridique. Rien n’interdit que les photos du TES soient utilisées par un logiciel de reconnaissance faciale extérieur. Ainsi, dans certaines conditions, la police peut consulter le TES pour obtenir l’image d’une personne, la copier dans le TAJ et, à partir de là, traiter cette photo de façon automatisée pour la comparer à d’autres images, telles que celles prises par des caméras de surveillance.

Cette évolution est d’autant plus inquiétante que, contrairement au cadre initial du « TES passeport » et du fichier des cartes d’identité, la police peut accéder aux photos contenues dans ce nouveau fichier pour des raisons qui vont bien au-delà de la seule lutte contre le terrorisme.

III. La loi renseignement

La troisième brique de l’édifice est constituée des lois de sécurité qui permettent à la police de faire le lien entre le TAJ et le TES. Initialement limitées à la lutte antiterroriste, ces lois ont insidieusement étendu leur champ à d’autres domaines (A), jusqu’à ce que la loi renseignement consacre les « intérêts fondamentaux de la Nation » (B).

A. L’extension des règles d’exceptions

C’est une loi du 23 janvier 2006 sur le terrorisme qui avait autorisé la police et la gendarmerie à accéder au « TES passeport » et au fichier des cartes d’identité « pour les besoins de la prévention et de la répression des actes de terrorisme ». Cette loi autorisait aussi les services de renseignement à y accéder pour prévenir ces actes. Cette disposition a été appliquée par deux décrets de janvier et mars 2007, déjà cités plus tôt.

La loi du 14 mars 2011 (la même qui avait créé le TAJ) a modifié cette loi de 2006, permettant à la police et à la gendarmerie de consulter ces fichiers pour bien d’autres finalités que celles motivées par le terrorisme : atteintes à l’indépendance de la Nation, à la forme républicaine de ses institutions, aux éléments essentiels de son potentiel scientifique et économique…

La loi de programmation militaire de 2013 poursuit cette extension. La liste de finalités est entièrement remplacée par le vaste ensemble des « intérêts fondamentaux de la Nation ». Il faut attendre la loi renseignement de 2015 pour bien cerner ce que recouvrent ces « intérêts fondamentaux de la Nation », dont elle donne une liste explicite.

B. Les intérêts fondamentaux de la Nation

Cette liste se retrouve à l’article L811-3 du code de la sécurité intérieure

On y trouve des « intérêts » assez classiques, liés à la sécurité : indépendance nationale, prévention du terrorisme ou de la prolifération d’armes de destruction massive. On y trouve aussi des « intérêts » d’ordre purement politico-économiques : politique étrangère et exécution des engagements européens de la France, intérêts économiques, industriels et scientifiques. Enfin, un troisième groupe est bien plus ambigu : « atteintes à la forme républicaine des institutions » et « violences collectives de nature à porter gravement atteinte à la paix publique ».

Juste après son vote au Parlement, la loi renseignement a été examinée par le Conseil constitutionnel. Dans sa décision du 23 juillet 2015, celui-ci a défini concrètement ce à quoi renvoient certaines de ces notions. Les « violences collectives » recouvrent ainsi les « incriminations pénales définies aux articles 431-1 à 431-10 du code pénal ». Parmi ceux-ci, l’article 431-4 sanctionne le fait de « continuer volontairement à participer à un attroupement après les sommations » de se disperser. L’article 431-9 sanctionne le fait d’organiser une manifestation non-déclarée ou interdite. Pour toutes ces situations, policiers et gendarmes sont donc à présent autorisés à accéder aux photographies contenues dans le fichier TES.

IV. Le fichage des manifestants

Maintenant que toutes les briques de l’édifice sont posées, il s’agit de voir comment la police peut l’utiliser pour identifier les manifestants par reconnaissance faciale. Deux cas sont facilement envisageables – la lutte contre les attroupements (A) et contre les manifestations illégales (B) – qui nous permettent d’interroger la situation concrète du dispositif (C).

A. Fichage après sommations

Prenons un exemple concret. Une manifestation se tient dans une grande ville. La police intervient pour disperser le cortège. Elle fait deux sommations puis photographie la foule. Les personnes dont le visage est visible sur le cliché n’étaient manifestement pas en train de se disperser. Les policiers considèrent qu’il s’agit d’indices graves et concordants selon lesquels ces personnes commettent le délit défini à l’article 431-4 du code pénal, à savoir « continuer volontairement à participer à un attroupement après les sommations ». Une fiche est ouverte dans le TAJ pour chacune d’elle : leur nom est encore inconnu et la fiche ne contient donc que leur photo, accompagnée de la date et du lieu de l’événement.

La police est autorisée à utiliser des logiciels de reconnaissance faciale pour établir un lien entre la photo contenue dans le TAJ à une autre photo collectée ailleurs. Lutter contre cette infraction constitue un « intérêt fondamental de la Nation » (la prévention des violences collectives) qui permet à la police de collecter ces autres photos dans le fichier TES, où presque toute la population sera à terme fichée (au gré des renouvellements de cartes d’identité et de passeports).

Pour obtenir une photo dans le TES, il faut avoir le nom de la personne concernée. Ainsi, pour identifier les manifestants, la police techniquement peut interroger le fichier TES à partir du nom de chaque personne dont elle estime qu’elle a pu participer à la manifestation. Cette liste de noms peut être constituée de nombreuses façons : renseignements policiers en amont, groupes Facebook, personnes ayant retweeté un appel à manifester, etc. Après tout, si elle veut arriver à ses fins, la police peut directement utiliser la liste de noms des habitant⋅e⋅s d’une ville ou d’un quartier.

Une fois la liste de noms constituée, celle-ci permet à la police de réunir au sein du TES un ensemble de photographies. Chaque photo est comparée de façon automatisée aux photos ajoutées dans TAJ à l’issue de la manifestation, afin d’établir des correspondances. Chaque fois que le logiciel de comparaison faciale trouve une correspondance, les données (noms, prénoms, date de naissance, adresse, etc.) issues de la fiche TES d’une personne peuvent être transférées dans le fichier TAJ pour venir garnir la fiche du manifestant qui, jusqu’ici, était resté anonyme.

Ce processus se renforce au fur et à mesure des manifestations : dès que des participantes ont été fichés au TAJ avec leur photographie, il devient toujours plus aisé de les retrouver lors des manifestations suivantes en allant les chercher directement dans le TAJ sans plus avoir à passer par le TES.

B. Fichage des complices

Le refus de se dissiper après sommation n’est pas la seule infraction qui permet de ficher massivement les manifestants. Comme vu ci-dessus, la lutte contre l’organisation de manifestations interdites ou non-déclarées est, d’après le Conseil constitutionnel, un autre « intérêt fondamental de la Nation » qui permet de fouiller le TES. Or, tel que vu plus haut, toute personne peut être fichée au TAJ en simple qualité de complice d’un délit, et notamment de celui-ci.

Dès lors, que penser de ce qu’a déclaré Emmanuel Macron lors des mouvements sociaux de l’an dernier : « Il faut maintenant dire que lorsqu’on va dans des manifestations violentes, on est complice du pire » ? De même, que penser de ces propos de Gérard Collomb, ministre de l’Intérieur au même moment : « Il faut que les [manifestants] puissent s’opposer aux casseurs et ne pas, par leur passivité, être d’un certain point de vue, complices de ce qui se passe » ?

Ne s’agit-il pas d’autorisations données aux forces de l’ordre de considérer presque tous les manifestants comme complices de chaque manifestation partiellement interdite ou non-déclarée à laquelle ils participent ? Leur fichage massif dans le TAJ à partir du fichier TES en serait permis. Dans ce cas de figure, la police serait autorisée à chercher à identifier toutes les personnes figurant sur des photos prises au cours de manifestations.

C. Que se passe-t-il en pratique ?

Ces différents exemples illustrent le fait que le droit actuel permet déjà la généralisation de la reconnaissance faciale des manifestants. Sans contre-pouvoir effectif, difficile d’y voir clair sur les pratiques réelles des policiers et gendarmes.

Peu importe que ce fichage soit ou non déjà généralisé en pratique, il est déjà autorisé, ne serait-ce qu’en théorie, et cela de différentes façons. Dans ces conditions, difficile d’imaginer que ces techniques ne soient pas déjà au moins expérimentées sur le terrain. Difficile d’imaginer que, parmi la dizaine de drones déployés dernièrement au-dessus des manifestations, aucun n’ait jamais participé à une telle expérimentation, si tentante pour les forces de l’ordre et soumise à si peu de contrôle effectif. C’est d’autant plus probable quand on voit à quel point « l’analyse vidéo » a été présentée comme cruciale dans la répression des manifestations de l’hiver dernier (2018-2019).

De plus, la présente démonstration concerne le fichage massif des manifestants. Elle s’intéresse à l’hypothèse selon laquelle n’importe quelle personne peut faire l’objet d’un fichage policier particulièrement intrusif grâce à la reconnaissance faciale. C’est pour cette raison que nous nous sommes attardé⋅e⋅s à démontrer comment la police pouvait accéder au TES, où la quasi-totalité de la population est fichée.

Toutefois, une démonstration plus simple pourrait se limiter à la seule utilisation du TAJ, qui autorise à lui seul et depuis 2012 la reconnaissance faciale des manifestants. Certes, cette reconnaissance faciale ne concernerait alors que les personnes dont le visage est déjà contenu dans le TAJ, suite à une interaction antérieure avec la police. Mais, comme nous l’avons vu, le fichier TAJ concerne déjà une part significative de la population.

Conclusion

Les conséquences découlant du fait d’être fiché dans le TAJ en tant que « participant à une manifestation violente » sont suffisamment graves pour dissuader une large partie de la population d’exercer son droit de manifester.

L’article R40-29 du code de procédure pénal prévoit que le TAJ est consultable dans le cadre d’« enquêtes administratives » : l’administration peut vérifier qu’une personne n’y est pas fichée avant de l’embaucher dans de nombreuses fonctions publiques, pour encadrer certaines professions privées liées à la sécurité ainsi que pour délivrer ou renouveler des titres de séjour aux personnes étrangères.

Une personne raisonnable pourrait tout à fait vous déconseiller de participer à des manifestations à l’avenir. Elle vous inviterait à renoncer à ce droit fondamental : les risques sont trop importants, surtout si vous imaginez rejoindre un jour la fonction publique ou que vous n’êtes pas de nationalité française.

Une personne encore plus raisonnable vous dirait l’inverse : ce système est intolérable et il nous faut le déconstruire.

Nous venons d’envoyer au gouvernement une demande d’abrogation des dispositions du décret TAJ qui autorisent la reconnaissance faciale. Ce décret permet de recourir massivement à cette technique sans que la loi ne l’ait jamais autorisée, ce que la CNIL a récemment et clairement rappelé être illégal dans des affaires similaires. Si le gouvernement rejette notre demande, nous attaquerons le décret TAJ devant le Conseil d’État.

]]>
[LCI] Reconnaissance faciale : peut-on vraiment y échapper ?https://www.laquadrature.net/?p=15024http://streisand.me.thican.net/laquadrature.net/index.php?20191117_110000__LCI__Reconnaissance_faciale____peut-on_vraiment_y_echapper___Sun, 17 Nov 2019 10:00:00 +0000[…] Révolutionnaire, pour les uns. Liberticide et dangereuse, pour les autres. La reconnaissance faciale divise. Pour vous aider à y voir plus clair dans ce débat, LCI a confronté les points de vue de l’un de ses partisans, Didier Baichère, député (LaREM) des Yvelines, vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, et de l’un de ses détracteurs, Martin Drago, juriste à la Quadrature du net, association de défense des droits et libertés des citoyens sur Internet. […]

Martin Drago (juriste à la Quadrature du net) : La reconnaissance faciale pose des difficultés majeures en termes de protection de la vie privée et d’exercice des libertés publiques. Qui dit « reconnaissance », dit aussi « connaissance préalable » et donc fichage. Le but de ces technologies, à terme, c’est une surveillance de masse, invisible et indolore. Il faut bien comprendre que les données biométriques ne sont pas des données personnelles comme les autres, car elle est intrinsèquement liée à votre corps. Lorsqu’on recueille vos empreintes ou votre ADN, vous le savez. Avec la reconnaissance faciale, c’est beaucoup plus insidieux. Vous ne savez pas forcément qu’une caméra vous filme et compare votre visage à une base de données. […]

https://www.lci.fr/high-tech/reconnaissance-faciale-peut-on-y-echapper-2…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LesEchos] Le fisc pourrait automatiser la surveillance des réseaux sociaux avec l’intelligence artificiellehttps://www.laquadrature.net/?p=15025http://streisand.me.thican.net/laquadrature.net/index.php?20191116_110000__LesEchos__Le_fisc_pourrait_automatiser_la_surveillance_des_reseaux_sociaux_avec_l___intelligence_artificielleSat, 16 Nov 2019 10:00:00 +0000Un article du Projet de loi finances 2020 prévoit que l’administration fiscale puisse être capable d’analyser automatiquement les données publiques sur les réseaux sociaux pour détecter d’éventuelles fraudes. […]

La Cnil (Commission nationale de l’informatique et des libertés) avait rendu un avis sévère, mais non contraignant, sur ce projet, s’inquiétant d’un « changement d’échelle significatif » : « La seule circonstance que les données soient accessibles sur internet […] ne suffit pas pour que les administrations qui souhaitent les exploiter soient exonérées de l’obligation de collecter ces données de manière loyale et licite ». Des préoccupations concernant de possibles atteintes à la vie privée ont aussi été émises par l’association La Quadrature du net : « L’outil [que le gouvernement] envisage est disproportionné, avec les risques d’atteintes à nos droits et libertés qui s’en suivent. » […]

https://investir.lesechos.fr/placements/impots/le-fisc-pourrait-automati…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[korii.] À Lyon, la reconnaissance faciale en procèshttps://www.laquadrature.net/?p=15026http://streisand.me.thican.net/laquadrature.net/index.php?20191114_110000__korii.__A_Lyon__la_reconnaissance_faciale_en_procesThu, 14 Nov 2019 10:00:00 +0000Oui, il est possible d’utiliser la reconnaissance faciale depuis le décret de 2012. Mais est-ce pour autant recevable? Arthur Messaud, de La Quadrature du net, soulève plusieurs problèmes. « Avec le TAJ, les citoyens ne savent souvent pas s’ils sont fichés. » Jusqu’à ce qu’ils soient arrêtés ou qu’on leur refuse un poste dans l’administration ou le renouvellement d’une carte de séjour. Un élément également avancé par Hervé Banbanaste, qui dénonce un problème de liberté individuelle en citant l’article 8 de la Convention européenne des droits de l’homme.

« La question ici est celle de la recevabilité de la preuve », souligne Arthur Messaud. « À partir des deux photos, c’est au juge de dire s’il s’agit de la même personne. » Pour le membre de La Quadrature du net, le Règlement européen sur la protection des données (RGPD) indique bien que, par défaut, l’utilisation des données biométriques n’est pas autorisée. Et si elle l’est, il faut que son usage soit proportionné. […]

https://korii.slate.fr/et-caetera/justice-lyon-banbanaste-reconnaissance…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] Projet d’article 57 : les prémices d’une surveillance de massehttps://www.laquadrature.net/?p=15027http://streisand.me.thican.net/laquadrature.net/index.php?20191113_110000__FranceCulture__Projet_d___article_57____les_premices_d___une_surveillance_de_masseWed, 13 Nov 2019 10:00:00 +0000[…] La Quadrature du Net alerte sur les risques d’une surveillance de masse en France. L’association vient de lancer un appel et demande au gouvernement de renoncer à l’article 57 du Projet de loi de finances 2020. Cet article 57 permettra à l’administration fiscale et aux douanes de surveiller en masse les réseaux sociaux pour lutter contre la fraude fiscale. L’article prévoit une collecte généralisée de toutes les données personnelles disponibles sur les plateformes – puis de les analyser via une intelligence artificielle. En août, la CNIL – La Commission Nationale de l’Informatique et des Libertés – avertissait déjà des risques d’atteinte au droit à la vie privée et au droit à la liberté d’expression.

Interview avec Arthur Messaud est juriste à la Quadrature du Net […]

https://www.franceculture.fr/emissions/le-journal-des-sciences/le-journa…

NDLRP – Entretien à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[RFI] Reconnaissance faciale, sécurité ou liberté en danger ?https://www.laquadrature.net/?p=15028http://streisand.me.thican.net/laquadrature.net/index.php?20191112_110000__RFI__Reconnaissance_faciale__securite_ou_liberte_en_danger___Tue, 12 Nov 2019 10:00:00 +0000[…] La reconnaissance faciale fait déjà partie du quotidien de nombreuses personnes, ne serait-ce que débloquer son téléphone, mais les expériences se multiplient pour d’autres usages : l’identification pour accéder aux sites internet administratifs, pour embarquer dans un avion, mais aussi pour des raisons de sécurité dans l’espace public ou comme en Chine pour mettre en place un outil de contrôle social. Et c’est cela qui inquiète, au point que certaines villes américaines ont interdit l’utilisation par leur forces de sécurité. Reconnaissance faciale, sécurité ou liberté en danger ? C’est la question du jour.

Pour en débattre :

  • Benoit Piédallu, membre de la Quadrature du Net
  • Didier Baichère, député (LRM) des Yvelines, vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques.

http://www.rfi.fr/emission/20191104-reconnaissance-faciale-securite-libe…

NDLRP – Extrait à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[20Minutes] Reconnaissance faciale : « C’est un outil de surveillance de masse qui va déshumaniser les rapports sociaux », estime la Quadrature du Nethttps://www.laquadrature.net/?p=15014http://streisand.me.thican.net/laquadrature.net/index.php?20191108_130000__20Minutes__Reconnaissance_faciale________C___est_un_outil_de_surveillance_de_masse_qui_va_deshumaniser_les_rapports_sociaux______estime_la_Quadrature_du_NetFri, 08 Nov 2019 12:00:00 +0000INTERVIEW. Benjamin Sonntag, co-fondateur de la Quadrature du Net, explique à « 20 Minutes » pourquoi la mise en place de dispositifs de reconnaissance faciale un peu partout en France peut s’avérer très dangereuse pour les citoyens. […]

« Les dispositifs de reconnaissance faciale sont surtout un outil de surveillance de masse, de surveillance généralisée à la Big Brother. Ils exploitent votre visage – quelque chose que vous ne pouvez pas cacher – ce qui fait que vous êtes surveillé constamment dans l’espace public, sans pouvoir vous y opposer. Ces technologies biométriques augurent un réel changement de paradigme dans l’histoire de la surveillance. Ce sont des dispositifs totalement disproportionnés et liberticides… » […]

https://www.20minutes.fr/high-tech/2642419-20191104-reconnaissance-facia…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[RFI] La France entre dans l’ère de la reconnaissance facialehttps://www.laquadrature.net/?p=15015http://streisand.me.thican.net/laquadrature.net/index.php?20191108_120000__RFI__La_France_entre_dans_l___ere_de_la_reconnaissance_facialeFri, 08 Nov 2019 11:00:00 +0000La France veut devenir le premier pays européen à utiliser la reconnaissance faciale. La Commission nationale de l’informatique et des libertés a jugé illégale la demande effectuée par la Région Sud de l’utiliser dans différents lycées, mais le ministère de l’Intérieur teste déjà une application appelée Alicem pour Authentification en ligne certifiée sur mobile. […]

http://www.rfi.fr/emission/20191030-france-entre-ere-reconnaissance-faciale

NDLRP – Extrait du reportage avec Martin Drago à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Telerama] Des micros dans la rue : la CNIL tire les oreilles (intelligentes) de Saint-Etiennehttps://www.laquadrature.net/?p=15016http://streisand.me.thican.net/laquadrature.net/index.php?20191108_110000__Telerama__Des_micros_dans_la_rue____la_CNIL_tire_les_oreilles__intelligentes__de_Saint-EtienneFri, 08 Nov 2019 10:00:00 +0000Le gendarme des données personnelles a adressé un avertissement à la métropole de la Loire, qui a développé un système d’écoute dans l’espace public. […]

En cause ? Un dispositif de captation et d’analyse des sons que la mairie envisage de déployer sur la voie publique. Révélée en mars dernier par Le Parisien, cette expérimentation inédite en France consiste en l’installation d’une cinquantaine de micros « pas plus gros qu’une pièce de deux euros », à l’affût du moindre bruit suspect, qu’il s’agisse de cris, de verre brisé, de klaxons, de crépitements ou de coups de feu (la Quadrature du Net dresse une liste exhaustive ici). Une fois enregistrés, ceux-ci sont passés à la moulinette d’un algorithme qui les compare avec « l’un des modèles préenregistrés dans la mémoire du nano-ordinateur embarqué dans le boîtier », détaille encore la CNIL dans sa lettre courroucée. […]

https://www.telerama.fr/medias/la-cnil-tire-les-oreilles-intelligentes-d…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceInter] L’intelligence artificielle est-elle notre ennemie ?https://www.laquadrature.net/?p=15011http://streisand.me.thican.net/laquadrature.net/index.php?20191107_130000__FranceInter__L___intelligence_artificielle_est-elle_notre_ennemie___Thu, 07 Nov 2019 12:00:00 +0000Mardi, la CNIL a fait savoir qu’elle s’opposait à la mise en place de systèmes de reconnaissance faciale dans les lycées. C’est indéniable : les algorithmes font partie de nos vies. Mais sont-ils compatibles avec l’éthique, avec nos libertés ? […]

L’intelligence artificielle a quelque chose de fascinant, mais aussi quelque part, de dangereux. Comment peut-on concilier ces technologies nouvelles avec les libertés individuelles ? Jusqu’où ces algorithmes vont-ils s’infiltrer dans notre quotidien ? Faut-il réguler l’IA ? Est-ce vraiment possible ?

Les invités

  • Arthur Messaud Juriste pour la Quadrature du Net (association de défense des droits et libertés fondamentales à l’ère du numérique)
  • Laurence Devillers Chercheuse au CNRS et maître de Conférences HDR en informatique

https://www.franceinter.fr/emissions/le-telephone-sonne/le-telephone-son…

NDLRP – Extrait d’une intervention d’Arthur Messaud à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FrenchWeb] [DECODE] Reconnaissance faciale: une technologie qui vous veut du bien ?https://www.laquadrature.net/?p=15012http://streisand.me.thican.net/laquadrature.net/index.php?20191107_120000__FrenchWeb___DECODE__Reconnaissance_faciale__une_technologie_qui_vous_veut_du_bien___Thu, 07 Nov 2019 11:00:00 +0000Le gouvernement français compte s’emparer très rapidement de la reconnaissance faciale. Il teste en ce moment l’application Alicem qui permettra à chaque citoyen de se créer une identité numérique en ligne en passant par cette technologie. Que faut-il savoir sur Alicem ? Et où en est-on réellement en France vis-à-vis de l’utilisation de la reconnaissance faciale ?

Décryptage avec Martin Drago, chargé d’analyses juridiques et politique pour La Quadrature du Net, l’association de défense des droits et libertés des citoyens sur Internet, et Guillaume Vassault-Houlière, CEO de la plateforme de bug bounty Yes We Hack. […]

https://www.frenchweb.fr/decode-reconnaissance-faciale-une-technologie-q…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[BFM/RMC] ‘Une arnaque totale !’ : la Cnil retoque un projet de reconnaissance faciale dans les lycéeshttps://www.laquadrature.net/?p=15013http://streisand.me.thican.net/laquadrature.net/index.php?20191107_110000__BFM_RMC_____Une_arnaque_totale__________la_Cnil_retoque_un_projet_de_reconnaissance_faciale_dans_les_lyceesThu, 07 Nov 2019 10:00:00 +0000La Cnil a jugé illégale la mise en place de portiques de reconnaissance faciale dans les lycées, destinés à empêcher les intrusions et les usurpations d’identité. […]

Une victoire pour Arthur Messaud, juriste au sein de l’association « La quadrature du Net », qui défend les droits et libertés sur internet: « Ce qui nous peine le plus c’est de voir que les enfants sont instrumentalisés pour rendre acceptable une technologie parce qu’on prétend que c’est pour les protéger et que la technologie est pour les plus faibles« . […]

https://rmc.bfmtv.com/emission/une-arnaque-totale-la-cnil-retoque-un-pro…

NDLRP – Vidéo à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceInfo] Reconnaissance faciale : ‘Il va falloir qu’on arrête de considérer les citoyens comme des cobayes’, estime La Quadrature du Nethttps://www.laquadrature.net/?p=15008http://streisand.me.thican.net/laquadrature.net/index.php?20191106_130000__FranceInfo__Reconnaissance_faciale_______Il_va_falloir_qu___on_arrete_de_considerer_les_citoyens_comme_des_cobayes_____estime_La_Quadrature_du_NetWed, 06 Nov 2019 12:00:00 +0000La Cnil s’oppose à l’expérimentation du dispositif dans deux lycées à Nice et Marseille. Benoît Piedallu, membre de La Quadrature du Net juge que « cette technologie est inacceptable dans notre champ politique » et « ne doit pas être utilisée« . […]

La reconaissance faciale à l’entrée des lycées porte une atteinte trop grande à la vie privée selon la Cnil, le gendarme français des données personnelles, qui s’oppose mercredi 30 octobre à une expérimentation qui devait avoir lieu dans deux lycées de la région Paca, à Nice et à Marseille. « Il va falloir qu’on arrête de considérer les citoyens comme des cobayes« , estime mercredi 30 octobre sur franceinfo Benoît Piedallu, membre de la Quadrature du Net, l’une des associations qui ont formé un recours contre ce dispositif. […]

https://www.francetvinfo.fr/economie/emploi/metiers/armee-et-securite/re…

NDLRP – Intervention à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Usbek&Rica] Données biométriques : menace ou sécurité ?https://www.laquadrature.net/?p=15009http://streisand.me.thican.net/laquadrature.net/index.php?20191106_120000__Usbek_Rica__Donnees_biometriques____menace_ou_securite___Wed, 06 Nov 2019 11:00:00 +0000Reconnaissance faciale, empreinte digitale, reconnaissance vocale… Quels risques représentent vraiment les données biométriques ? Comment les prévenir ? Et la biométrie pourrait-elle être utilisée à des fins de sécurité dans un cadre protégé ? À l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco, nous avons tenté de faire le point sur le sujet. […]

Une réflexion d’autant plus cruciale que se pose aussi la question de l’efficacité-même des dispositifs biométriques. Dans une tribune publiée dans Le Monde, le juriste Martin Drago et le chercheur Félix Tréguer, s’inquiètent ainsi d’un manque de prise de recul sur le sujet, et de garanties encore « illusoires ». « En dépit de leurs effets politiques délétères, ces coûteuses machines seront incapables d’apporter la sécurité vantée par leurs promoteurs, écrivent-ils. Les milliards d’euros dépensés depuis plus de vingt ans au nom du “solutionnisme technologique” en vogue dans les milieux de la sécurité devraient là encore nous en convaincre : la technologie s’est avérée inopérante pour enrayer les formes de violence qui traversent nos sociétés. » […]

https://usbeketrica.com/article/donnees-biometriques-menace-ou-securite

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] Jusqu’où ira la reconnaissance faciale ?https://www.laquadrature.net/?p=15002http://streisand.me.thican.net/laquadrature.net/index.php?20191105_130000__FranceCulture__Jusqu___ou_ira_la_reconnaissance_faciale___Tue, 05 Nov 2019 12:00:00 +0000#ReconnaissanceFacialePourLeMeilleurOuPourLePire |C’est une technologie déjà omniprésente en Chine. Là-bas, la reconnaissance faciale permet de payer, d’ouvrir des portes à l’hôtel mais aussi de verbaliser les piétons qui traversent au feu rouge. En France, le système s’implante petit à petit et suscite de nombreuses interrogations. […]

La Quadrature du Net a par ailleurs aussi exercé un recours devant le juge administratif contre l’expérimentation d’un portique à reconnaissance faciale souhaitée dans deux lycées de Marseille et Nice. Martin Drago, juriste à la Quadrature juge la technologie « trop attentatoire à nos libertés« , « dangereuse » car « basée sur notre corps, notre visage« . […]

https://www.franceculture.fr/emissions/hashtag/jusquou-ira-la-reconnaiss…

NDLRP – Intervention à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Mediapart] La Cnil juge illégale la reconnaissance faciale à l’entrée des lycéeshttps://www.laquadrature.net/?p=15003http://streisand.me.thican.net/laquadrature.net/index.php?20191105_120000__Mediapart__La_Cnil_juge_illegale_la_reconnaissance_faciale_a_l___entree_des_lyceesTue, 05 Nov 2019 11:00:00 +0000La Région Sud avait demandé à la Cnil d’analyser son projet d’installation de dispositifs biométriques à l’entrée de deux lycées situés à Nice et à Marseille. « Ce dispositif ne saurait être légalement mis en œuvre », affirme la Commission dans sa réponse, obtenue par Mediapart. […]

Contacté par Mediapart, Martin Drago, de la Quadrature du Net, fait part de sa satisfaction. « C’est une très bonne analyse très large et contraignante de la Cnil, se réjouit-il. Mais on peut souligner qu’elle ne fait que rappeler les dispositions du RGPD et de la loi de 1978 et que cela fait des mois que nous avançons ces mêmes arguments sans succès. Cependant, la Cnil fait son travail et on ne peut que s’en réjouir. » […]

https://www.mediapart.fr/journal/france/281019/la-cnil-juge-illegale-la-…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Le Parlement doit rejeter le flicage fiscal des réseaux sociauxhttps://www.laquadrature.net/?p=14986http://streisand.me.thican.net/laquadrature.net/index.php?20191105_113404_Le_Parlement_doit_rejeter_le_flicage_fiscal_des_reseaux_sociauxTue, 05 Nov 2019 10:34:04 +0000Le gouvernement, à travers l’article 57 du projet de loi de finances pour 2020 (PLF2020), veut permettre à l’administration fiscale et aux douanes de surveiller les plateformes Internet. Le texte est encore en discussion à l’Assemblée nationale mais cet article 57 doit être rejeté en bloc. Auditionné·es la semaine dernière à ce sujet par le rapporteur (Philippe Latombe, groupe MoDem) de la commission des lois, saisie pour avis, nous avons demandé la suppression de cet article. Notre appel n’a pas été entendu et nous le déplorons fortement. Désormais, nous appelons l’ensemble des député·es à supprimer cet article.

Ce que prévoit l’article 57 du PLF2020

L’article 57 du PLF2020 devrait permettre, en l’état actuel des discussions parlementaires, de surveiller les plateformes sur Internet (sites de e-commerce et réseaux sociaux) afin de lutter contre la fraude fiscale. Sont visés de très nombreux délits, listés de manière exhaustive par l’article de loi dont, par exemple, le fait d’omettre des éléments pour minorer son impôt, ou encore la vente illicite de produits comme le tabac. Le gouvernement veut ainsi autoriser l’administration fiscale et les douanes à collecter toutes les informations publiquement accessibles sur les plateformes en ligne, pour ensuite les faire analyser par leurs algorithmes.

La CNIL, saisie en urgence en août, a rendu un avis particulièrement critique, estimant que le texte comporte d’importants risques d’atteinte disproportionnée aux droits et libertés dont le droit à la vie privée et le droit à la liberté d’expression. Nous partageons ses craintes et sommes encore plus explicites : ces risques ne peuvent être évités d’aucune autre façon qu’en rejetant ce texte. Le gouvernement explique lui-même dans l’exposé des motifs de la loi que les données publiquement accessibles des sites web visés seront collectées « en masse » et analysées par l’administration. Cela signifie que la totalité des internautes utilisant ces sites seront potentiellement concerné·es, peu importe leur nationalité, peu importe la nature des propos tenus, peu importe que les propos aient été retirés de la place publique ensuite, peu importe l’utilité et la pertinence des données collectées. Cela signifie également que l’administration traitera des données sensibles, y compris celles pouvant révéler une opinion politique, philosophique ou religieuse, y compris des propos relatifs à l’orientation sexuelle des personnes, y compris des propos mis par erreur sur la place publique. Il est inévitable que d’une telle surveillance résultera une auto-censure. Également, puisque l’administration pourra traiter des données privées qui n’ont pas été rendues publiques par les personnes directement concernées, l’atteinte au droit à la vie privée sera massive. Ce que dira votre voisin·e pourra être retenu contre vous.

Il s’agit ici de prendre un bazooka pour tuer une mouche. Les types de délits sont précis — bien que trop nombreux — mais, pour cela, le gouvernement sort la grosse artillerie. L’outil qu’il envisage est disproportionné, avec les risques d’atteintes à nos droits et libertés qui s’en suivent.

Certes, la lutte contre la fraude fiscale est légitime et reconnue par le Conseil constitutionnel comme un objectif de valeur constitutionnelle. À ce titre, il est juridiquement possible d’admettre certaines atteintes aux droits et libertés pour poursuivre un tel objectif. Mais ce que nous propose le gouvernement est contraire à la Constitution, au droit de l’Union européenne et au droit de la CEDH. Au-delà du juridique, accepter ce texte serait une grave faute morale : il n’est pas admissible, dans une démocratie, d’accepter de surveiller toute une population pour retrouver, éventuellement, quelques fraudeur·euses.

Rejeter ce texte n’est pas un cadeau aux fraudeur·euses

Le gouvernement veut nous faire croire que cet article de loi lui permettra de découvrir des fraudeur·ses jusqu’alors inconnu·es de l’administration fiscale et douanière. Pourtant, l’exposé des motifs est laconique. Aucun chiffre, aucune évaluation. Le gouvernement est bien incapable d’estimer les effets positifs de sa mesure.

Les gains en efficacité pourraient donc être nuls, l’administration pouvant déjà faire ce travail de lutte contre la fraude fiscale correctement. Ce qui est envisagé dans le PLF2020 est déjà fait manuellement : les fonctionnaires du fisc et des douanes scrutent déjà les fraudeur·euses sur internet, manuellement, au cas par cas, et dans le respect des droits et libertés. Une analyse humaine permet de préserver la qualité de la collecte et le respect des droits de chacun·e. L’automatisation d’un tel travail risque simplement d’augmenter les faux positifs à vérifier et de détourner l’administration de sa mission concrète.

Il serait désastreux, dans un contexte de réduction drastique des effectifs chargés de la lutte contre la fraude fiscale, de laisser croire au législateur et à l’opinion publique que la surveillance généralisée et automatisée, confiée à des algorithmes approximatifs et grossiers, peut remplacer le savoir-faire de contrôleur·ses expérimenté·es.

En outre, la loi du 23 octobre 2018 de lutte contre la fraude impose déjà aux plateformes de e-commerce de transmettre au fisc et aux douanes des données relatives à l’activité commerciale des utilisateur·rices. Ces données sont limitées, contrairement au système de surveillance que veut imposer le gouvernement. Pourtant, cette loi de 2018 comportait déjà d’importants risques pour les libertés fondamentales : plutôt que de l’évaluer convenablement, d’en mesurer les risques et les bénéfices afin, éventuellement, de la remettre en cause, le gouvernement s’empresse d’y ajouter un système inutile et encore plus dangereux. Le Parlement doit s’opposer à cet empressement absurde.

La commission des lois n’a pas fait son travail

Le rapporteur de l’article 57 pour la commission des lois, Philippe Latombe, a rendu un avis le 28 octobre 2019 dans lequel il recommandait à la commission la suppression de cet article. Pour lui, l’atteinte aux droits et libertés était disproportionnée à l’objectif poursuivi. C’était également son discours la semaine dernière lorsqu’il nous a reçu·es.

Mais, devant ses collègues de la commission des lois, changement de ton : certes, le texte est toujours une atteinte disproportionnée, mais il n’était désormais plus question de le supprimer. Le rapporteur a retiré son amendement de suppression et donné un avis défavorable à celui, identique, de ses collègues du groupe LR. Il a appelé, à travers des amendements presque tous rejetés, à augmenter l’encadrement de cette surveillance, sans s’y opposer par principe.

Le rapporteur l’avait annoncé au début de la séance de la commission des lois : s’il n’est pas possible de mieux encadrer le texte lors des travaux de sa commission, il proposera un amendement de suppression pour la séance en hémicycle. Nous attendons donc désormais des actes : non seulement cet article existe toujours dans l’avis de la commission des lois, mais les quelques modifications apportées ne changeront rien à la gravité des atteintes aux droits et libertés.

Dans l’avis de la commission des lois, les données inutiles (et potentiellement sensibles car relatives aux opinions politiques, religieuses, philosophiques, à l’orientation sexuelle, etc.) sont toujours conservées 30 jours alors que l’administration n’a pas le droit de les collecter. Les données rendues publiques par d’autres personnes que celles concernées sont toujours exploitables. L’intelligence artificielle (alors même que ses résultats ne sont pas reproductibles car fortement dépendants de la manière dont l’algorithme a été entraîné) est toujours permise, et même envisagée si l’on en croit la majorité présidentielle. Les personnes trouvées par l’algorithme ne sont toujours pas notifiées. L’administration n’est toujours pas soumise à un contrôle extérieur de sa manière de collecter et de traiter les données. L’algorithme utilisé n’est toujours pas transparent.

Mais il importe probablement assez peu que toutes ces choses ne soient pas corrigées : c’est le principe même de cet article qu’il faut rejeter. Il est présenté comme une « expérimentation » dont le but est d’évaluer les risques et bénéfices de la pratique qu’il autorise. En vérité, il ne s’agit en rien d’une expérimentation : déployée pendant 3 ans sur l’ensemble du territoire et des sites concernés, contre toute la population, il s’agit d’une pure et simple autorisation. Un blanc-seing donné avant toute évaluation concrète, et donc toute discussion possible — l’inverse de la logique du RGPD et du débat démocratique. La commission des lois aurait dû rejeter le texte pour cette seule raison.

Elle a seulement proposé, dans son avis, de limiter cette surveillance aux sites de e-commerce, alors qu’étaient auparavant également visés les réseaux sociaux. Cette limitation est largement insuffisante puisque l’objectif du gouvernement est de surveiller les communications publiques. La suppression de l’article est la seule issue satisfaisante.

Les discussions en commission des lois ont montré un groupe MoDem sans aucun courage et un groupe LaREM hostile à tout encadrement. Le groupe présidentiel veut imposer coûte que coûte cette surveillance de masse. La stratégie du rapporteur en commission des lois était surprenante, puisqu’il relevait lui-même dans son rapport les risques d’absence de conformité à la Constitution, au droit de l’Union européenne, et à la CEDH. Nous attendons que, face à ce blocage du groupe LaREM en commission des lois, le rapporteur et son groupe MoDem actent de l’impossibilité d’encadrer cet article et proposent la suppression de l’article 57 du PLF2020.

C’est désormais au tour de la commission des finances d’étudier cet article. La commission des lois a été incapable de comprendre l’erreur que serait l’adoption de cet article. Nous appelons la commission des finances à le supprimer.

L’écoute des plateformes reste un outil de surveillance de masse. Autoriser son utilisation pour lutter contre la fraude fiscale n’est que la première étape d’un plan de surveillance globale de la population. Demain, cette méthode pourrait être utilisée pour repérer la fraude aux allocations, pour identifier des résidents étrangers ou encore faire du fichage politique — si ce n’est pas déjà le cas.

]]>
[Marianne] Lancement de la reconnaissance faciale en France : mais qu’allons-nous faire dans cette galère ?https://www.laquadrature.net/?p=15004http://streisand.me.thican.net/laquadrature.net/index.php?20191105_110000__Marianne__Lancement_de_la_reconnaissance_faciale_en_France____mais_qu___allons-nous_faire_dans_cette_galere___Tue, 05 Nov 2019 10:00:00 +0000Alicem, le projet d’identification par reconnaissance faciale de l’Etat français, est attendu dans les mois à venir. Curieux, que la France se porte à la pointe d’une telle technologie tandis qu’en Californie, par exemple, plusieurs villes interdisent déjà son usage par les services publics au nom des libertés civiles… […]

Encore en phase de test, Alicem attise déjà les inquiétudes. Le 15 juillet, La Quadrature du Net a déposé un recours devant le Conseil d’Etat pour annuler le dispositif. L’association de défense des libertés sur Internet s’alarme du traitement des données biométriques (c’est-à-dire des caractéristiques physiques propres à un individu) « ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat« . Avant même la publication du décret introduisant Alicem, en octobre, la Commission nationale de l’informatique et des libertés (Cnil) avait elle aussi rendu un avis sceptique, s’alarmant déjà de l’absence d’alternative à l’identification par reconnaissance faciale sur le portail. Une telle mise en œuvre, prévenait la Cnil, serait non-conforme au règlement européen de protection des données (RGPD), entré en application en mai 2018. […]

https://www.marianne.net/societe/lancement-de-la-reconnaissance-faciale-…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[France24] Reconnaissance faciale : la résistance s’organisehttps://www.laquadrature.net/?p=14980http://streisand.me.thican.net/laquadrature.net/index.php?20191104_130000__France24__Reconnaissance_faciale____la_resistance_s___organiseMon, 04 Nov 2019 12:00:00 +0000Vous connecter aux impôts, à la sécurité sociale ou encore à la caisse de retraite grâce à votre visage : en France, ce sera possible dès janvier 2020. Une première en Europe. Mais la reconnaissance faciale n’est pas du goût du tout le monde. De Paris à Hong Kong, en passant par San Francisco, associations, artistes et startups organisent la résistance. Quadrature du Net dénonce notamment une banalisation du recours à l’identification faciale. Son juriste, Martin Drago, nous en dit plus. […]

https://www.france24.com/fr/20191018-tech24-reconnaissance-faciale-alice…

NDLRP – Extrait vidéo à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[DigitalSociety] « La défense du projet émancipateur lié à Internet a échoué »https://www.laquadrature.net/?p=14981http://streisand.me.thican.net/laquadrature.net/index.php?20191104_120000__DigitalSociety______La_defense_du_projet_emancipateur_lie_a_Internet_a_echoue____Mon, 04 Nov 2019 11:00:00 +0000Chercheur et militant, Félix Tréguer a longtemps cru dur comme fer aux pouvoirs émancipateurs de l’Internet. Aujourd’hui, l’enthousiaste des années 2000 est devenu technocritique. Pour comprendre comment le médium de tous les possibles des années 1990 est devenu si intrinsèquement lié à la surveillance, il a adopté une démarche d’historien. Il en a tiré une thèse et un ouvrage passionnant, L’Utopie déchue : une contre-histoire d’Internet (Fayard). Entretien. […]

https://digital-society-forum.orange.com/fr/les-actus/1252-la-defense-du…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Lycées Nice Marseille : première victoire contre la reconnaissance facialehttps://www.laquadrature.net/?p=14972http://streisand.me.thican.net/laquadrature.net/index.php?20191028_210057_Lycees_Nice_Marseille____premiere_victoire_contre_la_reconnaissance_facialeMon, 28 Oct 2019 20:00:57 +0000La CNIL vient de rendre un avis déclarant que le système de reconnaissance faciale dans deux lycées de la région Sud « ne saurait être légalement mis en œuvre ». La CNIL ne propose pas de correctif et rejette par principe le dispositif. Cette première victoire contre la reconnaissance faciale en France ne peut que nous rendre optimistes dans la lutte qui nous oppose aux systèmes déjà existants (comme la reconnaissance faciale dans les aéroports via PARAFE) ou futurs (l’application d’identité numérique Alicem).

Nous en parlions encore la semaine dernière : en décembre 2018, le conseil de la région Sud a autorisé une expérimentation pour installer des portiques de reconnaissance faciale dans deux lycées, Les Eucalyptus à Nice et Ampère à Marseille. Cette expérimentation est entièrement financée par l’entreprise américaine Cisco qui profite ici de la politique sécuritaire des élus locaux pour tester ses technologies de surveillance sur les lycéens de l’établissement. L’objectif affiché par le conseil régional, et en particulier par son président Christian Estrosi, était d’étendre, au terme de cette expérimentation, ce dispositif à l’ensemble des lycées de la région.

En février 2019, La Quadrature du Net, la Ligue des Droits de l’Homme, CGT Educ’Action des Alpes-Maritimes et la Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes ont déposé un recours devant le tribunal administratif de Marseille pour demander l’annulation de cette délibération. Les arguments s’appuient essentiellement sur le règlement général sur la protection des données personnelles (RGPD) : absence d’analyse d’impact en amont du processus, absence de cadre juridique à la reconnaissance faciale, traitement des données biométriques manifestement disproportionné par rapport à l’objectif poursuivi…

C’est ce dernier argument qu’a repris la CNIL dans le cinglant avis qu’elle a rendu aujourd’hui : « Les dispositifs de reconnaissance faciale envisagés, quand bien même ceux-ci seraient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves, pour contrôler l’accès à deux lycées de votre région, ne sont pas conformes aux principes de proportionnalité ».

La CNIL considère en effet que la finalité de ce système de reconnaissance faciale, qui consiste soi-disant à « sécuriser et fluidifier les entrées au sein des deux lycées », aurait pu être « raisonnablement atteinte par d’autres moyens » tels que « la présence de surveillants à l’entrée des lycées ».

C’est le principe même de la reconnaissance faciale qui pourrait être ainsi rejeté : trop dangereux pour nos libertés, ces systèmes automatisés devraient toujours être écartés au profit de pratiques humaines1Même si la CNIL met en avant la présence de surveillants humains en alternative préférable à la reconnaissance faciale, il faut regretter qu’elle propose aussi, comme exemple d’alternative à la reconnaissance faciale, le recours à un système de badges qui causerait pourtant, lui aussi, une atteinte excessive et non nécessaire à la vie privée des lycéens..

Il ne s’agit ici que d’un avis de la CNIL : la région peut toujours décider de ne pas le respecter et de continuer son expérimentation. Néanmoins, il serait très risqué pour la Région de ne pas en tenir compte, et cela notamment au vu de la conclusion de l’autorité qui a clairement énoncé que : « il résulte de cet examen que ce dispositif ne saurait être légalement mis en œuvre ». Et même dans le cas où la Région passerait outre, nous ne manquerions pas d’utiliser cet avis dans le contentieux qui nous oppose à elle devant le tribunal administratif de Marseille.

Hélas, l’autorisation de la CNIL n’est plus requise depuis le RGPD pour autoriser de tels systèmes, et nous devrons saisir la justice chaque fois qu’une région ou une administration décidera de violer la loi de nouveau. Toutefois, il faut anticiper que le gouvernement pourra difficilement se satisfaire de cette situation et qu’il devra réagir. L’avis de la CNIL conteste largement la légalité de sa stratégie en matière de reconnaissance faciale, qu’il s’agisse de son projet d’identification en ligne Alicem ou même de systèmes plus anciens, telle que la reconnaissance faciale dans les aéroports (via PARAFE) contre laquelle s’appliqueraient à l’identique les reproches retenus aujourd’hui par la CNIL contre les lycées.

Certes, la décision d’aujourd’hui semble tardive : elle n’intervient qu’après de multiples appels des défenseurs des libertés. La CNIL n’a eu qu’à rappeler la lettre du RGPD, chose qu’on attendrait plus souvent de sa part. Mais cette décision est suffisamment ferme pour stopper les velléités de recourir à la reconnaissance faciale et pour contraindre l’État à légiférer s’il veut poursuivre sa stratégie. La bataille sera ardue, et nous sommes nombreu·ses à l’attendre de pied ferme.

Rejoignez nous sur Technopolice.fr pour documenter et lutter contre l’usage policier des nouvelles technologies.

References   [ + ]

1. Même si la CNIL met en avant la présence de surveillants humains en alternative préférable à la reconnaissance faciale, il faut regretter qu’elle propose aussi, comme exemple d’alternative à la reconnaissance faciale, le recours à un système de badges qui causerait pourtant, lui aussi, une atteinte excessive et non nécessaire à la vie privée des lycéens.
]]>
Pour imposer la reconnaissance faciale, l’État et les industriels main dans la mainhttps://www.laquadrature.net/?p=14967http://streisand.me.thican.net/laquadrature.net/index.php?20191025_164357_Pour_imposer_la_reconnaissance_faciale__l___Etat_et_les_industriels_main_dans_la_mainFri, 25 Oct 2019 14:43:57 +0000Nous republions la tribune de Félix Tréguer et Martin Drago parue dans Le Monde du 25 octobre 2019.

L’inévitable débat sur la reconnaissance faciale arrive enfin en France, et le gouvernement esquisse sa réponse. Dans un entretien paru dans Le Monde du 15 octobre, le secrétaire d’Etat au numérique Cédric O, ancien cadre du groupe Safran, a notamment estimé qu’« expérimenter » la reconnaissance faciale était « nécessaire pour que nos industriels progressent ».

Mais cette prise de parole au plus haut niveau politique n’est que la partie émergée de l’iceberg. Car depuis des mois, notes et rapports officiels se succèdent pour souligner le défi que constitue l’« acceptabilité sociale » de ces technologies. Pour leurs auteurs, l’objectif est clair : désarmer les résistances à ces nouvelles modalités d’authentification et d’identification biométriques dont la prolifération est jugée inéluctable, et permettre à des industriels français comme Thales ou Idemia [une entreprise de sécurité numérique] de se positionner face à la concurrence chinoise, américaine ou israélienne.

L’enjeu est d’autant plus pressant que, contrairement à ce que laisse entendre Cédric O, les dispositifs de reconnaissance faciale sont déjà en place sur le territoire français. Depuis plusieurs années, des entreprises développent et testent ces technologies grâce à l’accompagnement de l’Etat et l’argent du contribuable. Le tout sans réel encadrement ni transparence.

La campagne participative de recherche-action Technopolice.fr, lancée début septembre par des associations de défense des libertés, a commencé à documenter les projets lancés au niveau national et local – à Paris, Nice, Marseille, Toulouse, Valenciennes et Metz notamment. Outre la reconnaissance faciale, d’autres applications greffées aux flux de vidéosurveillance et fondées elles aussi sur des techniques d’« intelligence artificielle » font également l’objet d’expérimentations, comme l’analyse des émotions ou la détection de « comportements suspects ».

« Rassurer » l’opinion publique

Alors, face aux oppositions portées sur le terrain et jusque devant les tribunaux par les collectifs mobilisés contre ces déploiements, les représentants de l’Etat et les industriels font front commun. Leur but n’est pas tant d’expérimenter que de tenter de « rassurer » l’opinion publique, le temps d’œuvrer à la banalisation de ces technologies et de mettre la population devant le fait accompli.

Les garanties mises en avant dans la communication gouvernementale – instance de supervision sous l’égide de la Commission nationale de l’informatique et des libertés (CNIL), pseudo-consultation et adoption future de règles juridiques qui dessineraient un modèle « acceptable » de reconnaissance faciale « à la française » – sont tout bonnement illusoires. L’histoire récente l’illustre amplement. La loi « informatique et libertés », adoptée en 1978 en réaction aux premiers scandales liés au fichage d’Etat, n’a de toute évidence pas permis, comme c’était pourtant son objectif, de juguler l’avènement d’une société de surveillance.

Pire, dans ce domaine, la CNIL a vu ses pouvoirs systématiquement rognés depuis quinze ans, donnant le change à des présidents successifs ayant souvent contribué à cette impuissance. Quant à l’exemple des fichiers de police, il suffirait à démontrer que, même une fois inscrites dans la loi, les dispositions destinées à protéger les droits fondamentaux sont systématiquement contournées.

Or ces technologies biométriques augurent un changement de paradigme dans l’histoire de la surveillance. A terme, elles reviennent à instaurer un contrôle d’identité permanent et généralisé, exigeant de chaque personne qu’elle se promène en arborant une carte d’identité infalsifiable, qui pourra être lue sans qu’elle ne le sache par n’importe quel agent de police. L’histoire devrait nous servir de leçon : si nos grands-mères et nos grands-pères avaient dû vivre au début des années 1940 dans un monde saturé de tels dispositifs, ils n’auraient pas pu tisser des réseaux clandestins capables de résister au régime nazi.

Déshumaniser les rapports sociaux

En dépit de leurs effets politiques délétères, ces coûteuses machines seront incapables d’apporter la sécurité vantée par leurs promoteurs. Les milliards d’euros dépensés depuis plus de vingt ans au nom du « solutionnisme technologique » en vogue dans les milieux de la sécurité devraient là encore nous en convaincre : la technologie s’est avérée inopérante pour enrayer les formes de violence qui traversent nos sociétés. Sous couvert d’efficacité et de commodité, elle conduit à déshumaniser encore davantage les rapports sociaux, tout en éludant les questions politiques fondamentales qui sous-tendent des phénomènes tels que la criminalité.

C’est pourquoi, contre cette offensive concertée de l’Etat et des industriels qui, à tout prix, cherchent à imposer la reconnaissance faciale, nous devons dire notre refus. Aux Etats-Unis, après les mobilisations citoyennes, plusieurs municipalités, ainsi que l’Etat de Californie, ont commencé à en proscrire les usages policiers.

A notre tour, nous appelons à l’interdiction de la reconnaissance faciale.

]]>
Le Conseil d’État autorise la CNIL à ignorer le RGPDhttps://www.laquadrature.net/?p=14910http://streisand.me.thican.net/laquadrature.net/index.php?20191017_135112_Le_Conseil_d___Etat_autorise_la_CNIL_a_ignorer_le_RGPDThu, 17 Oct 2019 11:51:12 +0000Hier, le Conseil d’État a rejeté notre demande contre la CNIL en matière de consentement au dépôt de cookie. En sous-titre, le Conseil d’État pourrait désavouer la CNIL dans son rôle de protectrice des libertés, réservant ce rôle aux seuls juges judiciaires.

Ce revirement historique s’inscrit dans une série de démissions opérées ces derniers mois par la CNIL. Il est urgent d’exiger collectivement que celle-ci redevienne ce pour quoi elle a été créée : pour nous défendre du fichage d’entreprises et de l’État.

La décision

En juillet 2019, la CNIL publiait (enfin !) de nouvelles lignes directrice pour rappeler que le RGPD, en application depuis mai 2018, exige que le dépôt de cookie et autres traceurs se fasse avec notre « consentement explicite ». Les bandeaux du type « En poursuivant votre navigation sur ce site, vous acceptez d’être surveillé⋅e – Ok » sont illégaux. Toutefois, la CNIL annonçait en même temps qu’elle ne sanctionnerait cette illégalité qu’après mi-2020.

Nous avons attaqué cette décision devant le Conseil d’État, qui vient de rejeter notre demande. Il considère que la décision de la CNIL n’est pas une violation excessive du RGPD : le délai d’un an ne serait pas si long, et la CNIL continuerait de sanctionner d’autres atteintes au RGPD. Certes, mais le caractère explicite du consentement a été une des rares avancées du RGPD, qui se trouve de facto privée d’effet pendant deux ans (de mai 2018 à juillet 2020).

Que dire à toutes les entreprises qui ont investi pour se mettre entièrement en conformité au RGPD dès 2018 ? Si ces règles sont systématiquement repoussées, comment faire peser une menace sérieuse contre toutes les autres entreprises qui, elles, n’ont jamais respecté le RGPD ? Rien. Le Conseil d’État ne répond même pas à ces questions.

Une autorité administrative est désormais capable de décider seule qu’une règle votée par des élu·es ne s’appliquera à personne pendant un an.

Le juge judiciaire, voie de secours

Le Conseil d’État ne détaille pas beaucoup son raisonnement dans sa décision, mais celle-ci suit fidèlement les conclusions présentées par son rapporteur public lors de l’audience du 30 septembre. Le rapporteur public est un membre du Conseil d’État qui assiste celui-ci en analysant les affaires et en lui proposant une solution, généralement suivie, comme c’est le cas ici.

À l’audience, donc, le rapporteur public a extensivement détaillé son raisonnement. Parmi les éléments qui l’ont convaincu de conclure au rejet de notre demande, et ce après de multiples hésitations clairement exprimées, il a invoqué un argument particulièrement surprenant et intéressant. Est-il vraiment si grave que la CNIL renonce à ses pouvoirs de sanction si, dans le même temps, l’autorité judiciaire peut aussi sanctionner les mêmes manquements ? Autrement dit, est-il grave qu’une autorité établie pour s’acquitter d’une tâche se donne le droit d’y renoncer si une autre autorité est compétente ?

En effet, le code pénal, par ses articles 226-16 à 226-24, sanctionne lourdement un certain nombre d’infractions qui, ensemble, couvrent une large partie des compétences de la CNIL. En plus du juge pénal, le juge civil est aussi compétent pour ordonner à une entreprise de cesser une atteinte au RGPD.

Somme toute, voilà un argument qui n’est pas si absurde : la CNIL peut bien renoncer à sa mission historique, qu’importe, nous pouvons toujours saisir la justice pour défendre nos libertés.

Mais quel abandon ! La CNIL a remis sa lettre de démission, nous l’avons contestée devant le Conseil d’État. Celui-ci l’a malheureusement acceptée, considérant que ses services n’étaient plus requis…

C’est d’ailleurs ce que vient confirmer une phrase très explicite de la décision du Conseil d’État qui considère que « l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement » le RGPD. Comprendre : selon le Conseil d’État, le pouvoir de sanction de la CNIL ne serait pas requis pour faire respecter les droits auxquels elle a pourtant la charge de veiller.

Une série du démissions

Cette démission n’a rien de surprenant. Depuis un an, l’autorité enchaîne les renoncements à sa mission.

Notre plainte collective de plus de 10 000 personnes contre Google, après avoir entraîné une première et relativement faible sanction de 50 millions d’euros, semble au point mort. La CNIL est manifestement incapable de se décider à confier ou non l’affaire à son homologue irlandaise, alors même que celle-ci croule sous les affaires visant les géants du Web en dépit de ses effectifs encore plus réduits qu’en France.

Alors que la reconnaissance faciale commence à être expérimentée et installée un peu partout en France, la CNIL s’est empressée d’exiger un débat public sur la question, comme si elle renonçait par avance à mener ici la défense de nos libertés. Son renoncement s’est depuis confirmé. Quand la ville de Nice a annoncé déployer cette technologie au cours de son carnaval, au mépris de la loi, la CNIL s’est contentée d’un simple tweet réprobateur… Quand, à Nice ou à Marseille, la reconnaissance faciale a été annoncée pour s’imposer à des lycéens, elle s’est contentée de conseiller et d’accompagner.

Quand le gouvernement a adopté son décret Alicem en dépit de l’avis négatif de la CNIL, celle-ci s’en est tenue là (voir notre article). Elle a refusé d’utiliser le pouvoir que lui confère l’article 58, §5, du RGPD de saisir la justice pour faire annuler ce décret. À la place, elle a préféré laisser partir au front une petite association de six salarié⋅es (La Quadrature du Net) pour attaquer Alicem afin, ensuite, tel que nous l’avons appris avant-hier, de venir se greffer à la procédure en tant qu’« observatrice ».

Sur tous les fronts, la CNIL semble avoir abandonné son rôle de gendarme, ce que la décision du Conseil d’État confirme.

Quel avenir pour la CNIL ?

La tentation est grande d’oublier la CNIL et de ne plus se tourner que vers la justice pour faire appliquer le RGPD. L’option est clairement envisageable au moins en matière de cookies et de traceurs en ligne. Le rapporteur public du Conseil d’État nous y a clairement invité. Nous y reviendrons sûrement bientôt.

Toutefois, faut-il définitivement enterrer la CNIL ? Nous espérons qu’elle soit encore utile dans la bataille qui s’ouvre contre la reconnaissance faciale. Qu’elle soit utile pour faire appliquer le RGPD au sein de l’Union européenne, notamment pour imposer sa vision historiquement forte des libertés (en théorie du moins…) à ses homologues européens, dont certains seraient tentées de s’offrir en forum shopping aux GAFAM et ce contre quoi la justice seule ne peut rien. Dans tous les cas et quel que soit le sujet, mettre tous nos œufs dans l’unique panier judiciaire serait un pari bien risqué.

Si enterrer la CNIL n’est pas une option idéale, l’urgence serait donc de la sortir de sa torpeur. C’est ainsi, notamment, que nous avons accepté l’invitation de la CNIL de participer depuis deux mois à l’élaboration de ses nouvelles recommandations en matière de consentement aux cookies. Oui, ces mêmes recommandations qui détermineront la fin du « blanc-seing » que nous attaquions au même moment devant le Conseil d’État. Nous exigeons que les autorités mises en places pour faire respecter nos libertés fondamentales fassent leur travail et fassent appliquer la loi.

Si notre attitude peut sembler paradoxale, elle marque surtout notre refus d’accepter les pires situations. La lâcheté récurrente des dirigeant·es de la CNIL est aussi la conséquence des manques de moyens chroniques de l’administration et de la diminution récente de ses pouvoirs par la loi. Nous serons moins lâches que ses dirigeant·es et ne démissionnerons pas de notre volonté de la rappeler à l’ordre aussi régulièrement et fermement qu’il le faudra. Nous espérons que le contentieux qui vient de s’achever devant le Conseil d’État, même si nous l’avons formellement perdu, y aura contribué.

]]>
[RevueProjet] Okhin, hacker battanthttps://www.laquadrature.net/?p=14904http://streisand.me.thican.net/laquadrature.net/index.php?20191016_130000__RevueProjet__Okhin__hacker_battantWed, 16 Oct 2019 11:00:00 +0000Okhin est un « hacktiviste » : il détourne, contourne, défait les systèmes qui contreviennent aux libertés des citoyens sur Internet. Pour tenter de changer le monde avec des lignes de code. […]

Grand et fin, une casquette de la NSA sur sa crête de cheveux orangés, Okhin parle vite, très vite. Il dénote quelque peu dans les locaux sages de la Revue Projet. Entre deux gorgées de café, il raconte l’univers dans lequel il évolue depuis presque vingt ans, du ministère de l’Intérieur à la Quadrature du Net. Il parle de ses engagements, de ses victoires, de ses coups durs… Bienvenue dans le monde des pirates informatiques ! […]

https://www.revue-projet.com/articles/2019-09-de-mullenheim-okhin-hacker…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LaReleveetlaPeste] Un logiciel de reconnaissance faciale déployé par le gouvernement va arriver en Francehttps://www.laquadrature.net/?p=14905http://streisand.me.thican.net/laquadrature.net/index.php?20191016_120000__LaReleveetlaPeste__Un_logiciel_de_reconnaissance_faciale_deploye_par_le_gouvernement_va_arriver_en_FranceWed, 16 Oct 2019 10:00:00 +0000Conçue par le ministère de l’Intérieur, Alicem est une application mobile destinée à s’identifier via une photo ou vidéo pour faire ses démarches administratives. […]

« Sur Alicem, la CNIL (le gendarme des données personnelles) a bien dit que le décret n’est pas conforme à la loi, donc illégal. Pourtant, le gouvernement a quand même lancé son utilisation. Et la CNIL, plutôt que de saisir le Conseil d’Etat, n’a rien fait. Elle n’a pas rempli sa mission. C’est pourquoi la Quadrature du Net a déposé un recours devant le Conseil d’Etat pour demander l’annulation du décret en juillet. » explique Arthur Messaud, juriste pour La Quadrature du Net, à La Relève et La Peste. […]

https://lareleveetlapeste.fr/un-logiciel-de-reconnaissance-faciale-deplo…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[NextINpact] Quand la France se lance dans la reconnaissance facialehttps://www.laquadrature.net/?p=14906http://streisand.me.thican.net/laquadrature.net/index.php?20191016_110000__NextINpact__Quand_la_France_se_lance_dans_la_reconnaissance_facialeWed, 16 Oct 2019 09:00:00 +0000Si des expériences locales de reconnaissance faciale ont été fortement médiatisées, d’autres pratiques restent plus discrètes. En coulisses, les industriels poussent pour que la France ne soit pas à la traîne et l’Intérieur est sensible aux arguments. L’idée d’une loi pour encadrer les expérimentations progresse rapidement et selon nos informations, un texte pourrait être déposé dès cet automne. Enquête.

La reconnaissance faciale n’est pas quelque chose d’inédit en France. Récemment, le décret qui impose cette technologie pour l’outil d’authentification en ligne ALICEM a été attaqué par La Quadrature du Net. […]

https://www.nextinpact.com/news/108256-quand-france-se-lance-dans-reconn…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Reconnaissance faciale dans les lycées : débat impossible ?https://www.laquadrature.net/?p=14896http://streisand.me.thican.net/laquadrature.net/index.php?20191015_175755_Reconnaissance_faciale_dans_les_lycees____debat_impossible___Tue, 15 Oct 2019 15:57:55 +0000En septembre dernier, La Quadrature du Net, avec des militants locaux associés à la campagne Technopolice.fr, est allée rencontrer des lycéennes et des lycéens de l’établissement Ampère à Marseille, où doit avoir prochainement lieu une expérimentation de reconnaissance faciale. Retour sur cette action et point d’étape sur notre recours contre ce projet de la région Sud.

En décembre 2018, le conseil de la région Sud (anciennement PACA) a autorisé une expérimentation pour installer des portiques de reconnaissance faciale dans deux lycées : le lycée des Eucalyptus à Nice et le lycée Ampère à Marseille. Comme nous l’expliquions dans un article en décembre, et à l’aide de l’analyse des documents obtenus auprès de la CNIL, cette expérimentation est entièrement financée par l’entreprise américaine Cisco qui profite ici de la politique sécuritaire des élus locaux pour tester ses technologies de surveillance sur les lycéens de l’établissement. L’objectif affiché par le conseil régional, et en particulier par son président Christian Estrosi, était on ne peut plus clair : étendre, au terme de cette expérimentation, ce dispositif à l’ensemble des lycées de la région.

Le recours formé contre l’expérimentation

Le 19 février 2019, La Quadrature du Net, la Ligue des Droits de l’Homme, CGT Educ’Action des Alpes-Maritimes et la Fédération des Conseils de Parents d’Élèves des écoles publiques des Alpes-Maritimes ont déposé un recours devant le tribunal administratif de Marseille pour demander l’annulation de cette délibération. Les arguments s’appuient essentiellement sur le règlement général sur la protection des données personnelles (RGPD) : absence d’analyse d’impact en amont du processus, absence de cadre juridique à la reconnaissance faciale, traitement des données biométriques manifestement disproportionné par rapport à l’objectif poursuivi… Nous n’avons toujours aucune réponse de la Région dans le cadre de ce contentieux. Pendant ce temps, des travaux ont commencé devant le lycée des Eucalyptus à Nice : de nouvelles barrières ont été construites, mais elles ne contiennent pas encore les caméras nécessaires à la reconnaissance faciale.

L’actualité récente pourrait néanmoins laisser penser que notre recours a des chances d’aboutir. Le 21 août dernier, l’autorité suédoise de protection des données personnelles (l’équivalent de la CNIL) a sanctionné une expérimentation de reconnaissance faciale ayant eu lieu dans une école. Cette expérimentation avait pour objectif de mesurer l’assiduité des élèves en classe. Outre des manquements dans l’analyse d’impact, l’autorité a également souligné que le consentement des élèves, sur lequel se fondait l’expérimentation, était intrinsèquement biaisé. En effet, comme ce consentement était demandé par l’administration du lycée et que cette administration avait une autorité sur les élèves, le consentement de ceux-ci ne peut donc pas être libre au sens du RGPD : « Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement (…) » (Considérant 43). Un tel raisonnement est parfaitement applicable à l’expérimentation à venir dans les lycées de la région Sud qui se revendiquent également du consentement des élèves.

Cette décision va donc dans le sens de nos revendications, à savoir l’annulation pure et simple de cette expérimentation qui participe à la normalisation et à la banalisation d’une technologie destinée à la surveillance de masse.

Technopolice.fr contre reconnaissance faciale

Dans le cadre de la campagne Technopolice.fr, nous avons participé à une action de sensibilisation et d’information à destination des lycéennes et lycéens d’un des établissements visés, le lycée Ampère à Marseille. L’action a été proposée et discutée sur le forum dédié et un tract a été rédigé de manière collaborative pour inviter les élèves à refuser de participer à ces expérimentations (le tract finalisé et distribué à l’entrée du lycée est disponible sur data.technopolice.fr).

Présents aux abords du lycée les 3 et 6 septembre derniers, nous avons pu parler à certains lycéennes et lycéens, ainsi qu’à des membres du personnel et au proviseur adjoint du lycée. À de rares exceptions près, les élèves n’avaient pas entendu parler de ce projet et ils se sont montrés sensibles à notre démarche, nombre d’entre eux indiquant clairement vouloir refuser de jouer le rôle de cobayes. Nous avons réalisé à cette occasion une courte vidéo de cette action.

Plus récemment, nous avons appris que le proviseur du lycée des Eucalyptus organisait, ce mardi 15 octobre, une table-ronde sur le sujet des portiques de reconnaissance faciale. Le proviseur a d’abord refusé que La Quadrature du Net soit invitée à cette table-ronde qui réunit pourtant l’ensemble des acteurs concernés : la Région, l’entreprise Cisco et les promoteurs de la reconnaissance faciale… Puis, invité à se montrer plus ouvert mais manifestement gêné par les propos contenus dans le tract distribué devant les lycées, il a conditionné notre participation aux règles prescrites dans l’invitation : « placés au sein d’un établissement scolaire, les échanges devront respecter les règles élémentaires de respect des personnes et des opinions et une totale neutralité politique ».

C’est oublier que la mise en place de la reconnaissance faciale à l’entrée d’un lycée est une décision éminemment politique, inspirée d’une idéologie de contrôle sécuritaire. Quoi qu’il en soit, dans ces conditions et compte tenu du fait que nous avons été prévenu à la dernière minute, nous avons finalement décidé ne pas participer à ce débat.

D’autres expérimentions ont lieu en ce moment en France et d’autres dispositifs de surveillance sont déjà en place : reconnaissance faciale, micros dans les rues, plateforme de « Safe City », détection par vidéosurveillance de comportements suspects… Une première description de ces dispositifs est disponible sur le site Technopolice.fr. D’autres projets sont en discussion sur le forum et des analyses sont en cours sur le Carré.

Pour aider à les documenter, et préparer ensemble des actions capables de résister à ces projets, rendez-vous sur Technopolice.fr.

]]>
[Regards] Martin Drago : « La reconnaissance faciale est l’outil final de surveillance de masse »https://www.laquadrature.net/?p=14893http://streisand.me.thican.net/laquadrature.net/index.php?20191015_130000__Regards__Martin_Drago________La_reconnaissance_faciale_est_l___outil_final_de_surveillance_de_masse____Tue, 15 Oct 2019 11:00:00 +0000En novembre, la France veut lancer son dispositif ALICEM de reconnaissance faciale pour accéder eux services publics en ligne. Pour la Quadrature du net, mais aussi la CNIL, ce dispositif n’est pas compatible avec le règlement général sur les données personnelles. Nos libertés sont-elles en danger ? Martin Drago, juriste et membre de la Quadrature du Net, est l’invité de #LaMidinale.

http://www.regards.fr/la-midinale/article/martin-drago-la-reconnaissance…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LesNumeriques] La Quadrature du Net s’attaque à la Technopolice, “outil ultime de surveillance de la population”https://www.laquadrature.net/?p=14894http://streisand.me.thican.net/laquadrature.net/index.php?20191015_120000__LesNumeriques__La_Quadrature_du_Net_s___attaque_a_la_Technopolice_____outil_ultime_de_surveillance_de_la_population___Tue, 15 Oct 2019 10:00:00 +0000Depuis presque dix ans, les grands centres urbains se métamorphosent avec l’aide des nouvelles technologies. Vidéosurveillance, reconnaissance faciale et big data sont autant d’outils qui témoignent d’une dérive sécuritaire selon la Quadrature du Net. […]

Dans son exposé de la situation rédigé début septembre, l’association annonce la couleur : son combat a pour but d’empêcher la construction de “smartcities policières”. Derrière le vocable accrocheur se cache un ensemble de batailles qui ont toutes un ennemi commun, à savoir la société de surveillance dans les villes de demain. […]

https://www.lesnumeriques.com/vie-du-net/la-quadrature-du-net-s-attaque-…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Telerama] La reconnaissance faciale débarque en France et vous n’y échapperez pashttps://www.laquadrature.net/?p=14895http://streisand.me.thican.net/laquadrature.net/index.php?20191015_110000__Telerama__La_reconnaissance_faciale_debarque_en_France_et_vous_n___y_echapperez_pasTue, 15 Oct 2019 09:00:00 +0000Alors que l’ombre de l’exemple chinois et de son “crédit social” plane sur les libertés publiques, la France s’apprête à déployer ALICEM, un système de reconnaissance faciale pour accéder aux services publics en ligne. Malgré de nombreuses réticences… […]

En pointe sur la défense des libertés publiques dans un monde interconnecté, la Quadrature du Net a attaqué le décret au mois de juillet. Rappelant que le Règlement européen sur la protection des données personnelles (RGPD) « a posé un principe d’interdiction de traitement des données biométriques », l’association dénonce un passage en force : « À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ne soit réalisée sur les conséquences d’un tel dispositif pour notre société et nos libertés […] le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. » […]

https://www.telerama.fr/medias/la-reconnaissance-faciale-debarque-en-fra…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Maisoùvaleweb] De l’imprimerie à l’internet, la contre-histoire des médias de Félix Tréguerhttps://www.laquadrature.net/?p=14889http://streisand.me.thican.net/laquadrature.net/index.php?20191014_130000__Maisouvaleweb__De_l___imprimerie_a_l___internet__la_contre-histoire_des_medias_de_Felix_TreguerMon, 14 Oct 2019 11:00:00 +0000Dans son ouvrage L’utopie déchue, Une contre-histoire d’Internet (XVe-XXIe siècle) – Fayard, 2019, le sociologue Félix Tréguer retrace l’histoire longue des moyens de communication, que la censure d’Etat rattrape inlassablement. De l’imprimerie à l’informatique, le même schéma semble se répéter. Ce constat amer interroge au plus près l’efficacité des nouvelles formes de résistance ainsi que la sensibilité des citoyens aux questions de liberté. Tréguer, chercheur et membre de la Quadrature du Net, nous rappelle la nécessité de cultiver une technocritique vive et de lutter coûte que coûte contre nos mémoires trop courtes. Nous avons échangé quelques mots. […]

http://maisouvaleweb.fr/de-limprimerie-a-linternet-contre-histoire-media…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[BFM] Alicem: pourquoi l’application de reconnaissance faciale du gouvernement fait débathttps://www.laquadrature.net/?p=14890http://streisand.me.thican.net/laquadrature.net/index.php?20191014_110000__BFM__Alicem__pourquoi_l___application_de_reconnaissance_faciale_du_gouvernement_fait_debatMon, 14 Oct 2019 09:00:00 +0000Très controversé, le projet du gouvernement obligerait toute personne voulant se doter d’une identité numérique à fournir ses données faciales. […]

La Quadrature du Net, une association de défense des droits et libertés sur internet, a déposé en juillet un recours devant le Conseil d’Etat pour faire annuler le décret du 13 mai qui autorise le dispositif. L’association affirme qu’Alicem va à l’encontre du Règlement général sur la protection des données (RGPD) car il oblige toute personne voulant utiliser le service à fournir ses données faciales. […]

https://www.bfmtv.com/tech/alicem-pourquoi-l-application-de-reconnaissan…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] La France : premier pays d’Europe à généraliser la reconnaissance facialehttps://www.laquadrature.net/?p=14884http://streisand.me.thican.net/laquadrature.net/index.php?20191013_130000__FranceCulture__La_France____premier_pays_d___Europe_a_generaliser_la_reconnaissance_facialeSun, 13 Oct 2019 11:00:00 +0000On assiste en France à de plus en plus d’expérimentations sur la reconnaissance faciale, les portiques biométriques dans les lycées, au carnaval de Nice, ou encore dans les aéroports… Le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés lance une nouvelle application sur Android : Alicem. Elle propose aux citoyens de se créer une identité numérique pour tout ce qui est procédure administrative en ligne et ce, à partir de la reconnaissance faciale. Selon les révélations de Bloomberg hier, elle sera lancée dès novembre.

La France sera donc le premier pays de l’Union Européenne à utiliser la reconnaissance faciale pour donner aux citoyens une identité numérique. Mais cela pose de nombreuses questions, notamment sur la protection des données personnelles. Nous avons tenté de joindre le Ministère de l’intérieur qui n’a pas pu répondre à nos questions. Interview avec Martin Drago, juriste à la Quadrature du net, l’association de défense des droits et libertés des citoyens sur Internet. Il engage une action en justice contre l’Etat. […]

https://www.franceculture.fr/emissions/le-journal-des-sciences/le-journa…

NDLRP – Entretien à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Science&Vie] Reconnaissance faciale : le grand malaisehttps://www.laquadrature.net/?p=14885http://streisand.me.thican.net/laquadrature.net/index.php?20191013_110000__Science_Vie__Reconnaissance_faciale____le_grand_malaiseSun, 13 Oct 2019 09:00:00 +0000Que ce soit pour circuler, consommer ou accéder à des données, le visage sert de plus en plus de passeport. Or, la reconnaissance faciale ne s’arrête pas à l’authentification : elle peut aussi servir à contrôler les gens à distance et même à décrypter leur caractère ou leur orientation sexuelle. Une « inquisition » qui inquiète jusqu’aux chercheurs en I.A. […]

Mais comment faire autrement ? « La reconnaissance faciale est désormais installée comme un choix par défaut dans de nombreux services, que ce soit sur Facebook ou pour l’enregistrement de billets d’avion aux États-Unis, observe Jameson Spivack. Et, bien souvent, il n’y a pas d’autre option possible… » La stricte réglementation européenne a beau exiger le consentement de l’utilisateur, les premières digues sont en train de sauter. Un exemple : l’application Alicem du gouvernement français ne propose, pour l’heure, aucune alternative à la reconnaissance faciale pour s’authentifier en ligne – un recours a été déposé devant le Conseil d’État. « Le problème, c’est que la banalisation en cours de cette technologie risque d’être une première étape vers une surveillance de masse de la population« , évoque Martin Drago, de l’association de défense des droits dans l’environnement numérique La Quadrature du Net. Une crainte largement partagée… […]

https://www.science-et-vie.com/technos-et-futur/reconnaissance-faciale-l…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] Internet et libertés publiques : qu’est ce qui a changé depuis Snowden ?https://www.laquadrature.net/?p=14881http://streisand.me.thican.net/laquadrature.net/index.php?20191012_130000__FranceCulture__Internet_et_libertes_publiques____qu___est_ce_qui_a_change_depuis_Snowden___Sat, 12 Oct 2019 11:00:00 +0000Les révélations d’Edward Snowden ont-elles provoqué plus qu’une prise de conscience ? Que nous disent-elles de l’utopie déchue d’internet ? Félix Tréguer, co-fondateur de la Quadrature du net, nous en parle dans « L’utopie déchue » » (Fayard, 2019).

Alors qu’internet devait permettre l’émergence d’une société plus libre et plus démocratique, c’est, dit-il, tout l’inverse qui s’est produit. Chercheur associé au Centre Internet et Société du CNRS, membre fondateur de l’association La Quadrature du Net, qui défend les libertés numériques en France, Félix Tréguer déplore la chute de l’utopie émancipatrice et révolutionnaire que représentait l’Internet des origines. […]

https://www.franceculture.fr/emissions/la-grande-table-idees/internet-et…

NDLRP – VExtrait à retrouver sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[OuestFrance] Le Mans. « Google te connaît mieux que ta mère »https://www.laquadrature.net/?p=14882http://streisand.me.thican.net/laquadrature.net/index.php?20191012_120000__OuestFrance__Le_Mans._____Google_te_connait_mieux_que_ta_mere____Sat, 12 Oct 2019 10:00:00 +0000Alerter les adolescents sur les données personnelles qu’ils laissent sur Internet en utlisant les réseaux sociaux. C’était le thème d’une mini-conférence organisée par le Service Jeunesse, mardi 17 septembre, au Mans. Quatre cents collégiens de 3e y participaient. […]

Klorydryk, membre du Collectif la Quadrature du Net (association de défense des droits et libertés des citoyens sur Internet) leur a rappelé que ces applications, gratuites pour leurs utilisateurs, n’ont qu’un seul but : « capter le plus longtemps possible votre attention, pour que vous soyez rentables. Parce qu’entre une photo de chat mignon et de licorne, elles glissent une publicité. C’est ainsi qu’elles gagnent de l’argent. » […]

https://www.ouest-france.fr/pays-de-la-loire/le-mans-72000/video-le-mans…

NDLRP – Vidéo à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LeFigaro] Surveillance, données… Des parents d’élèves et des associations s’unissent contre les villes intelligenteshttps://www.laquadrature.net/?p=14880http://streisand.me.thican.net/laquadrature.net/index.php?20191012_110000__LeFigaro__Surveillance__donnees____Des_parents_d___eleves_et_des_associations_s___unissent_contre_les_villes_intelligentesSat, 12 Oct 2019 09:00:00 +0000[LeFigaro] Surveillance, données… Des parents d’élèves et des associations s’unissent contre les villes intelligentes

Quatre associations dont la FCPE et la Ligue des droits de l’Homme s’associent pour créer « La campagne contre la Technopolice ». Ils s’inquiètent de l’utilisation de la reconnaissance faciale et de la collecte massive de données privées.

Quatre associations françaises refusent que Big Brother devienne réalité. Lundi 16 septembre, dans un communiqué commun, la Ligue des droits de l’Homme, la Quadrature du Net, la CGT-Educ et la Fédération des conseils de parents d’élèves ont lancé un appel pour rejoindre la campagne « Technopolice ». L’objectif est de lutter collectivement contre les systèmes de reconnaissance faciale et de récolte de données numériques, testés dans différentes villes de France comme Nice ou Marseille. Les membres fondateurs estiment que ces expérimentations sont à l’origine d’une « mise sous surveillance de l’espace urbain ». De telles technologies sont déployées pour renforcer la sécurité d’une ville ou d’un quartier. Elles permettent de repérer une personne recherchée ou un comportement anormal dans une foule. C’est la Quadrature du Net, organisme qui promeut et défend les libertés fondamentales sur Internet, qui est à l’origine de la campagne. […]

https://www.lefigaro.fr/secteur/high-tech/surveillance-donnees-des-paren…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Recours contre le renseignement : compte-rendu de notre audience devant la Cour de Justice de l’Union européennehttps://www.laquadrature.net/?p=14849http://streisand.me.thican.net/laquadrature.net/index.php?20191011_134631_Recours_contre_le_renseignement____compte-rendu_de_notre_audience_devant_la_Cour_de_Justice_de_l___Union_europeenneFri, 11 Oct 2019 11:46:31 +0000Les 9 et 10 septembre, La Quadrature était aux côtés de Privacy International, FDN, FFDN, igwan.net, et le Center for Democracy & Technology (CDT) pour plaider devant la Cour de Justice de l’Union européenne (CJUE), contre le régime français de conservation généralisée des données de connexion et loi Renseignement. Voici un bref compte-rendu de cette audience (vous trouverez ici les notes plus complètes prises par Bastien, qui a récemment rejoint les membres de La Quadrature, pour son laboratoire).

Véritable pilier du renseignement, la conservation des données de connexion — ou métadonnées, c’est-à-dire ce qui entoure une communication, comme sa date, l’expéditeur et le destinataire, l’adresse IP utilisée, etc. — concerne tout le monde : la loi française impose aux opérateurs de conserver toutes les informations nous concernant à chaque communication. Cette audience devant la CJUE est l’aboutissement de quatre années de procédures. Dans cette affaire, et depuis 2015, La Quadrature demande quelque chose d’extrêmement simple : maintenir et réaffirmer la jurisprudence actuelle de la Cour suprême de l’UE qui interdit sans ambiguïté une conservation généralisée des données de connexion. C’est parce que les États membres de l’Union européenne, dont la France, refusent de respecter cette règle claire du juge européen que nous plaidions contre cette surveillance de masse.

Cette audience n’avait pas comme seul but de dénoncer la conservation généralisée des données de connexion. Depuis 2015, La Quadrature s’érige contre la dérive sécuritaire du renseignement français. La conservation des données de connexion n’est qu’un symptôme parmi d’autres d’une loi liberticide qui offre aux services de renseignement des pouvoirs qu’ils ne devraient pas avoir. Dans l’opacité la plus totale, les services français peuvent s’introduire dans nos ordinateurs, lire nos conversations, ou encore poser des mouchards. Et ce pour des raisons tellement floues qu’elle recouvrent potentiellement toute action dérangeante pour l’État : sont ainsi mis au même rang la prévention du terrorisme et la défense des « intérêts économiques, industriels et scientifiques majeurs de la France » ou encore les « atteintes à la forme républicaine des institutions ». Comme nous l’avons développé devant les juges européens, cette loi permet aujourd’hui de mettre sous surveillance les contestations sociales comme les gilets jaunes ou les revendications écologiques, bien loin de ce qui avait été vendu en 2015 lors de l’élaboration de cette loi.

La France veut maintenir sa surveillance de masse

Pendant les deux jours d’audience devant les juges de la CJUE, nous avons assisté à un déni de l’État de droit : la France, suivie par les autres pays européens, a expliqué qu’elle ne respecte pas la jurisprudence actuelle de la Cour de Justice en conservant de façon généralisée les données de connexion, mais également qu’elle ne la respectera pas à l’avenir si celle-ci était maintenue. La loi française et son application par les services de renseignement constituent bel et bien de la surveillance de masse, contrairement aux affirmations fausses du gouvernement devant la Cour. Mensonges et mauvaise foi ont été la ligne de défense de la France et de beaucoup d’autres États.

La représentation française a ainsi maintenu son affirmation selon laquelle la surveillance française des données de connexion ne concerne jamais le contenu des communications. Nous avions pourtant déjà démontré que, au moins avec le cas des adresses des sites Web, lorsque les services de renseignement analysent en temps réel les données de connexion, ils peuvent analyser les adresses Web (URL) des sites visités. Or, cela ne se limite pas au seul nom de domaine (ex : lemonde.fr), mais bien à l’intégralité de l’adresse. Il est ainsi possible, avec cette adresse complète, de savoir quel article de presse est lu, à quelle conversation l’internaute est en train de participer, quels sont ses centres d’intérêts, etc., il y a également une surveillance du contenu. Les États ont également tenté grossièrement d’émouvoir les juges avec une liste à n’en plus finir de faits divers dont leur conclusion serait d’attribuer une certaine utilité pratique à la surveillance de masse : il ne s’agissait pourtant que d’exemples isolés, rarement relatifs à la lutte contre le terrorisme (ce qu’ont rappelé certains juges, mettant ainsi les États face à leurs propres contradictions).

Surtout, la Commission n’a jamais cherché, de ses propres dires, à démontrer concrètement, par statistiques ou études exhaustives, en quoi la conservation des données de connexion serait nécessaire, indispensable, et pas simplement « utile », à la lutte contre la criminalité ou la prévention du terrorisme, ce qu’exige pourtant le droit de l’UE. Commission et États étaient bien embarrassés lorsque les juges ont pointé cette faille dans leur principal argument.

De notre côté, dans notre plaidoirie aux côtés de la FFDN, igwan.net et le CDT, nous avons voulu ramener le débat à des éléments concrets, clairs et pertinents. Nous avons rappelé en quoi le système français de renseignement est un système de surveillance généralisée. La France conserve bien une partie des communications traitées, sur toute la population. Elle a une législation en matière de renseignement tellement permissive que chacun·e peut faire l’objet d’une surveillance. Elle n’a pas non plus d’organe de contrôle efficace ni de procédure de recours respectueux des droits de la défense. Nous avons rappelé les nombreuses études sociologiques qui démontrent un affaiblissement de la démocratie lorsque l’on se sent surveillé. Le sujet auquel nous nous attaquons n’est pas une question technique ni d’initié·e·s : les enjeux sont ceux du choix de société que nous voulons. Nous ne voulons pas d’une société dans laquelle toute revendication serait muselée ou dans laquelle les minorités seraient contraintes de se taire.

Face à cette levée de boucliers des États, nous avons appelé la Cour à ne pas céder. Les gouvernements font preuve d’une audace que nos sociétés démocratiques ne doivent pas laisser passer. Nous nous félicitons des questions des juges qui ont démontré l’entière maîtrise du sujet par la Cour. Les questions posées ont mis à plusieurs reprises les États, la Commission et le Contrôleur européen de la protection des données – ces deux derniers partageant sur de nombreux points les positions des États – en difficulté et ont montré les failles grossières du raisonnement déployé par les gouvernements. En réponse à ces épineuses interrogations, les États ont échoué dans leur tentative d’amadouer les juges.

Enfin, nous avons invité la CJUE à, naturellement, maintenir sa jurisprudence. La seule solution aux dérives actuelles est d’interdire la conservation généralisée des données de connexion. Nous avons également invité les juges à s’inspirer d’un régime de « conservation spontanée » : les opérateurs conservent, pour des raisons légitimes (principalement d’ordre technique), les données de connexion, et il s’agit de la seule conservation acceptable car non généralisée. De manière plus large, nous invitons la Cour à contredire les États dans leur manière de penser le renseignement : il n’est pas acceptable que de telles possibilités de surveillance de masse, pour des finalités aussi larges et imprécises, soit maintenues.

Rendez-vous fin décembre, puisque l’avocat général devrait rendre à la fin de l’année ses conclusions !

Ci-dessous, les notes écrites sur lesquelles s’est basée la plaidoirie d’Alexis, notre avocat, qui a plaidé devant la Cour pour nous ainsi que pour FFDN, Igwan.net et CDT. Dans sa plaidoirie, il répondait aux questions parfois assez précises posées à l’avance par la Cour, donc certains passages sont assez longs et techniques.

Notre plaidoirie

Monsieur le Président,

Mesdames et Messieurs les membres de la Cour,

Monsieur l’Avocat général,

Je représente les associations françaises La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Igwan.net, ainsi que Center for democracy and technology (CDT), ONG basée aux Etats-Unis.

Je répondrai, pour l’essentiel dans l’ordre, aux neuf questions posées par la Cour, qui permettent de largement couvrir les enjeux de l’affaire qui nous a conduit ici.

Introduction

Avant d’en venir au droit, je souhaite brièvement aborder deux éléments matériels survenus depuis nos dernières observations écrites.

Premier élément matériel: en avril dernier, la CNCTR – l’autorité française de contrôle des services de renseignement – a publié son rapport d’activité pour l’année 2018.

Ce rapport est une source d’informations précieuses, et j’en soulignerai une en particulier : en 2018, plus de 22 000 personnes ont été surveillées sur le territoire national.

Les deux tiers de ces 22 000 personnes l’ont été au nom de la lutte contre le terrorisme ou de la lutte contre la criminalité et la délinquance organisée.

Un tiers, 8 048 personnes exactement, l’a été pour une autre fin. Parmi ces finalités se trouve la lutte contre les violences collectives qui couvre la lutte contre les manifestations interdites, non-déclarée ou mal-déclarée. S’y trouve aussi les intérêts internationaux, économiques et scientifiques de la France. Finalité particulièrement large et imprécise.

Second élément matériel : en juillet dernier, la Présidence de la République française a publié sa « stratégie nationale du renseignement », qui annonce ses perspectives pour les cinq années à venir. La lutte contre les manifestations y trouve une place singulière. Je cite : « l’anticipation, l’analyse et le suivi des mouvements sociaux (…) par les services de Renseignement constituent une priorité ».

Cette perspective de lutte contre les manifestations violentes ne serait pas tellement surprenante si la Présidence se bornait à viser les seules destructions de biens survenant dans certaines manifestations. Mais la Présidence va bien plus loin.

Il est en effet extrêmement préoccupant de lire la Présidence de la République affirmer que ses services de renseignement doivent surveiller les « affirmations de vie en société » d’ordre éthique « qui peuvent exacerber les tensions au sein du corps social ». Cette formule est susceptible de viser n’importe quel mouvement politique qui contesterait l’action du Gouvernement ou de la majorité.

Aussi bien, dans la présente affaire, les associations que je représente ne sont pas animées par la crainte de dérives futures et abstraites que les faiblesses du droit français rendraient simplement probables.

Non, elles sont animées par une crainte actuelle et matérialisée, nourrie d’abus et d’atteintes, qui se constatent quotidiennement en France, notamment par la pratique des « gardes à vue préventives » qui se sont multipliées ces derniers mois ou par la crainte généralisée de chaque citoyen de ne pouvoir exercer paisiblement et librement, c’est-à-dire sans être indument surveillés, son droit fondamental de participer à la vie politique et sociale de son pays.

Ces éléments de contexte étant précisés, je vais désormais répondre à la première question soumise par la Cour et qui concerne le champ d’application de la directive 2002/58.

1. Champ d’application de la directive ePrivacy

Le champ d’application de la directive dite « ePrivacy » est un sujet récurrent dans la jurisprudence de la Cour concernant la surveillance étatique.

La Cour a déjà jugé, notamment dans son arrêt Tele2, que l’article 5, §1 de la directive, qui interdit l’interception de communications électroniques et de données de trafic y afférentes, s’applique « à toute personne », y compris aux entités étatiques.

Pour définir ce champ d’application, la Cour n’a jamais exigé que cette interception soit réalisée avec la collaboration active des opérateurs de télécommunications.

A bien y regarder, toute interprétation contraire ôterait tout effet utile à la directive.

Revenons en détails sur ce point.

Selon son article 3, la directive « s’applique au traitement de données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics ».

Contrairement à ce que prétend la France, cet article ne limite en rien le champ personnel des acteurs concernés, mais se borne à poser une simple limite matérielle : pour être soumis à la directive, il faut et il suffit que le traitement de données ait été réalisé « dans le cadre » d’un service de télécommunications fourni à la personne concernée, c’est-à-dire « au moyen de ».

L’article 3 n’exige en aucun cas que, pour y être soumis, un acteur souhaitant réaliser un traitement de données ait obtenu la collaboration active de l’opérateur de télécommunications de la personne concernée. Une telle interprétation viderait d’ailleurs de sens les autres dispositions de la directive, notamment celles concernant les cookies et les communications non-sollicitées.

En effet, en premier lieu, l’article 5, §3, de la directive ePrivacy prohibe à toute personne d’utiliser le service de télécommunications fourni à un utilisateur afin de déposer ou de lire sans son consentement des informations sur son terminal. Cette disposition est celle qui fonde toute la lutte contre l’utilisation abusive de cookies et autres traceurs. En pratique, ces activités n’impliquent jamais la collaboration active d’opérateurs de télécommunications. Les cookies sont déposés par des sites Web et des régies publicitaires, lors de la navigation sur le Web. C’est tout. La lutte contre le dépôt abusif de cookies deviendrait ipso factoimpossible et absurde s’il en allait autrement. Il en va de même pour les activités étatiques.

En deuxième lieu, l’article 13 de la directive défend à toute personne d’utiliser le service de télécommunications fourni à un utilisateur afin de lui faire parvenir des communications non-sollicitées. Ici encore, il serait absurde que cette interdiction ne s’applique que dans la situation improbable et rocambolesque où cette communication non-sollicitée serait faite avec la collaboration active des opérateurs de télécommunications.

Et pour cause : exiger un rôle actif d’un FAI porterait nécessairement atteinte à la neutralité de l’Internet, pourtant garantit par le règlement de 2015 sur l’Internet ouvert.

Ainsi, interpréter le champ de la directive comme exigeant leur collaboration active priverait de tout effet ses articles 5, §3, et 13, ce qui dépouillerait le texte de toute cohérence.

On rappellera que si la directive avait entendu limiter son champ d’application aux seuls opérateurs de télécommunications, elle l’aurait expressément prévu, ainsi qu’elle l’a d’ailleurs fait aux articles 4, 6 et 8, uniquement pour certaines activités limitativement énumérées.

On rappellera, enfin, que la Cour n’a jamais exigé la collaboration active des opérateurs pour interdire aux entités étatiques d’intercepter les communications électroniques et données de trafic y afférentes en application de l’article 5, §1, de cette directive qui, d’après sa lettre, s’applique effectivement « à toute autre personne que les utilisateurs ».

En l’espèce, la directive ePrivacy s’applique donc à l’utilisation d’« IMSI Catcher », que je mentionnais tout à l’heure. Cet outil de surveillance non-ciblée permet aux services de renseignements de surveiller les communications de tous les téléphones portables dans une zone géographique déterminée. Pour cela, cet outil se fait passer pour l’infrastructure d’un opérateur de téléphonie, attirant prioritairement les connexions des téléphones alentours, en lieu et place de l’antenne téléphonique légitime.

A l’évidence, cette technique de surveillance ne peut être menée que dans le cas où un service de télécommunications est fourni aux personnes surveillées : si aucun service ne leur était fourni, l’attaque serait matériellement impossible (de même qu’il serait impossible de déposer un cookie sur le terminal d’un utilisateur ou de lui envoyer des communications non-sollicitées si aucun service de télécommunications ne lui était fourni).

De même, la directive s’applique à la conservation de données imposée par la loi française aux hébergeurs, dans la mesure où ces données sont, par hypothèse, systématiquement collectées et traitées au moyen du service des télécommunications fourni à leurs utilisateurs. Prétendre l’inverse serait arguer que les dispositions sur les cookies ne s’appliquent pas aux hébergeurs et donc à leur dénier toute portée.

Plus largement, et a fortiori, la détermination du champ d’application de la directive n’est pas indispensable pour traiter, en droit de l’Union, des activités nationales de renseignement.

En effet, ces activités sont toutes directement soumises à d’autres normes issues de l’ordre juridique de l’Union, notamment la directive 2016/680 et le RGPD.

S’agissant des activités de renseignement qui poursuivent des finalités extérieures au champ de compétence de l’Union, celles-ci sont, en toutes hypothèses, couvertes par la Charte. En effet, ces activités ne peuvent être mises en œuvre que dans le cadre des exceptions prévues par la directive ePrivacy ainsi que par le RGPD ou la directive 2016/680. Or, selon la jurisprudence1CJUE, 30 avril 2014, Pfleger e.a., aff. n° C-390/12, pts. 33, 35 et 36 ; CJUE, 14 juin 2017, Online Games e.a., aff. n° C-685/15, pts. 54-57 ; CJUE, 21 mai 2019, Commission c/ Hongrie (Usufruits sur terres agricoles), aff. n° 235/17 constante de la Cour, la mise en œuvre d’une exception prévue par le droit de l’Union constitue pleinement une « mise en œuvre du droit de l’Union » au sens de l’article 52 de la Charte et conduit donc celle-ci à s’y appliquer directement.

Or, la Charte reprend la substance des dispositions de la directive ePrivacy, du RGPD et de la directive 2016/680, qui trouve ainsi à s’appliquer à toute activité de renseignement, quel que soit la mesure examinée.

2. Accès limité aux données de connexion

Par sa deuxième question, la Cour semble s’interroger sur la nécessité d’interdire en amont la conservation de masse de données si, en aval, l’accès à ces données n’était que ciblé, chaque fois limité par un lien à l’objectif poursuivi.

D’abord, cette question procède du postulat erroné suivant lequel la seule conservation des données ne constituerait pas en soi, une atteinte disproportionnée aux droits des personnes concernées. Rappelons, d’emblée, que cette conservation massive concerne la totalité de la population, y compris les personnes sans lien avec les objectifs poursuivis par les services de renseignement.

La seule conservation, massive, généralisée et indifférenciée, de ces données, constitue une atteinte injustifiée et radicalement disproportionnée dans les libertés fondamentales de la population.

Les termes de l’arrêt Klass de la Cour européenne des droits de l’Homme ont conservé, plus de 40 ans plus tard, tout leur éclat et une brûlante actualité :

« La législation elle-même crée par sa simple existence, pour tous ceux auxquels on pourrait l’appliquer, une menace de surveillance entravant forcément la liberté de communication (…) »

Je reviendrai plus en détails sur ce sujet pour répondre à la quatrième question posée par la Cour.

La conservation généralisée et indifférenciée des données irait frontalement à l’encontre de la jurisprudence établie par votre Cour. Dans l’arrêt Tele2 notamment, la Cour opère un contrôle de proportionnalité qui, appliqué à l’hypothèse d’une conservation généralisée, conduit inévitablement à condamner une telle mesure.

En effet, toute ingérence dans un droit fondamental doit être proportionnée, c’est-à-dire nécessaire, adaptée et proportionnée stricto sensu.

La conservation généralisée des données n’est jamais nécessaire : il est possible de parvenir au même objectif à l’aide d’une ingérence plus modérée et plus conforme à l’Etat de droit, à l’instar d’une conservation ciblée – j’y reviendrai, tout à l’heure, afin de répondre à la huitième question posée par la Cour.

Par ailleurs, elle n’est ni adaptée, ni proportionnée dès lors qu’il s’agit de conserver les données de la totalité de la population, y compris des personnes dépourvues de tout lien avec les objectifs poursuivis.

Ensuite, autoriser une telle conservation, sous condition d’un accès ultérieur suffisamment encadré, repose sur l’hypothèse systématiquement infirmée, selon laquelle l’Etat n’abuserait pas de ses pouvoirs ou prévoirait des procédures de contrôle fiables et effectives.

En pratique, interdire la conservation de masse est une mesure indispensable prise en amont afin de limiter les abus, constants et systématiques, en aval.

En effet, en premier lieu, ces dernières années ont révélé combien l’encadrement de l’accès administratif aux données de connexion était défaillant. Depuis 2015, le Conseil constitutionnel a censuré les dispositions législatives donnant ces accès aux agents de l’Autorité de la concurrence, de l’Autorité des marchés financiers, de la Haute autorité pour la transparence de la vie publique, des douanes et de la sécurité sociale.

En second lieu, le droit français n’offre aucune garantie effective quant aux contrôles des accès aux données de connexion. Dans son rapport de 2018, la CNCTR explique ainsi avoir eu à examiner 73 298 demandes de techniques de renseignement en un an. Or, la loi exige que ces demandes soient examinées par l’un des quatre seuls magistrats membres de la CNCTR. Dans l’hypothèse, généreuse, où ces quatre magistrats dédieraient l’entièreté de leur temps de travail à ces examens – ce qui, en pratique, est loin de la réalité -, ils passeraient alors moins de 5 minutes en moyenne pour examiner chaque demande.

Parmi les 73 298 demandes, la CNCTR explique que 30 000 d’entre elles ont concerné des accès à des données de connexion aux fins d’identifications d’abonnés ou de recensement de numéros d’abonnement. Face à l’engorgement organisé de son activité, la CNCTR admet, que le contrôle qu’elle exerce est, je cite, « d’une faible valeur ajoutée » et, faute de moyens, je cite à nouveau, se « borne le plus souvent à vérifier que la motivation de la demande comporte des éléments concernant les intérêts fondamentaux de la Nation invoqués. Le contrôle de proportionnalité ne trouve pas matière à s’appliquer ». Il s’agit donc d’un contrôle purement formel et non réel et effectif, bien éloigné des strictes exigences du droit de l’Union en la matière.

Ce constat suffit pour répondre à la question posée par la Cour : il est impensable de permettre une conservation de masse dans la mesure où l’accès aux données est dépourvu de tout contrôle effectif.

3. Importance des métadonnées

Par sa troisième question, la Cour s’interroge sur le caractère intrusif de l’accès aux données de connexion en comparaison avec un accès au contenu des communications.

En termes informatiques, le contenu des communications forme un ensemble de données non-structurées et difficilement structurables. C’est la forme de données la plus complexe à analyser. Il s’agit de comprendre qu’un mot ne désigne pas la même chose, ne signifie pas la même chose, en fonction du contexte dans lequel il est utilisé. Analyser du contenu demande une informatique de pointe, des algorithmes très performants, et le plus souvent des humains2A. Casili, « En attendant les robots. Enquête sur le travail du clic. », Seuil, 2019. D. Cardon et A. Casili, « Qu’est-ce que le Digital Labor ? », INA, 2015. pour traiter le contenu et lever les ambiguïtés. En outre, l’exploitation du contenu des communications nécessite de connaître la langue utilisée.

À l’opposé, l’exploitation des métadonnées est aisée et ne requiert aucune traduction. Ce sont des informations qui sont déjà structurées, qui sont produites en continu, à grande échelle, par des systèmes automatiques et conçues pour être traitées informatiquement, de manière massive et à très grande vitesse. Il est aisé de les corréler.

Prenons un exemple : établir à quels moments deux individus sont susceptibles de s’être rencontrés. Si l’on se fonde uniquement sur l’analyse du contenu des échanges, il s’agit d’un problème complexe.

En revanche, si l’on se fonde sur les métadonnées, par exemple les données de géolocalisation, le problème devient enfantin à traiter : il suffit d’analyser les positions de deux téléphones portables. Les données extraites du contenu ne peuvent que difficilement offrir une telle intrusion dans la vie privée des individus.

Au-delà de cet exemple, les seules métadonnées sur les messages échangés – date et heure des échanges, nature technique du message – permettent d’avoir une lecture fine des relations humaines. C’est par exemple sur ces informations-là que Facebook a démontré, en 20143https://www.facebook.com/notes/facebook-data-science/the-formation-of-love/10152064609253859 ; https://www.journaldunet.com/ebusiness/le-net/1135019-facebook-sait-avant-vous-quand-vous-tombez-amoureux/, qu’il pouvait détecter les changements dans la vie sentimentale des utilisateurs avant même que ceux-ci n’en aient conscience. Et j’emploie le terme conscience, et non connaissance, à dessein.

Dès lors qu’il faut redouter que l’automatisation de la surveillance en décuple les risques d’abus – j’y reviendrai ultérieurement -, les données de connexion constituent le cœur des dangers que le droit doit repousser pour les années à venir.

4. Limite à la liberté d’expression

La Cour demande par une quatrième question de revenir sur les conséquences de la surveillance « sur l’exercice des droits à la liberté d’expression, de se former une opinion, ainsi qu’à la liberté de réunion et d’association ».

S’agissant de la liberté de réunion et d’association, je l’ai déjà abordée dans mon propos liminaire. La Présidence de la République française déclare elle-même surveiller les manifestants. Un de ses buts est bien de dissuader la population de se rendre en manifestations. Il s’agit de la suite logique de la politique du gouvernement français de ces derniers mois.

Sur le droit à la liberté d’expression et de se former une opinion, les effets sont plus diffus et complexes à évaluer. Toutefois, plusieurs études confirment le constat dressé il y a 40 ans dans l’arrêt Klass de la Cour européenne.

Une étude publiée en 2016 dans une revue juridique de la faculté de droit de l’Université de Berkeley4Chilling effects: Online surveillance and Wikipedia use (JW Penney – Berkeley Tech. LJ), est revenue sur un des effets des révélations d’Edward Snowden sur la fréquentation de certaines pages Wikipédia. Elle conclut à une « réduction significative du trafic des articles sensibles en termes de vie privée après juin 2013, et qu’il y a eu un changement de long terme dans la tendance générale du trafic de tels articles ».

Une autre étude publiée en 2015 dans une revue du MIT5Government Surveillance and Internet Search Behavior (Alex Marthews & Catherine Tucker, MIT), conclut à « une réduction significative (…) dans les recherches Google pour certains termes sensibles en termes de vie privée après juin 2013 ».

Déjà, en 2007, une étude publiée dans une revue de l’Université du Maryland6The chilling effect of government surveillance programs on the use of the internet by Muslim-Americans (DS Sidhu – U. a décrit les effets de la surveillance sur les populations se sentant les plus surveillées. Plus de 8 % des personnes sondées – uniquement des résidents américains de confession musulmane – expliquaient avoir changé leur utilisation d’Internet par crainte que le gouvernement ne surveille l’activité des musulmans en ligne à la suite du 11 septembre 2001.

La surveillance de masse engendre ainsi une « spirale du silence »7https://en.wikipedia.org/wiki/Spiral_of_silence .

5. Accès généralisé aux données

La cinquième question posée par la Cour concerne l’accès généralisé aux données de l’ensemble des utilisateurs. Autrement dit, la surveillance de masse.

La Cour demande si une telle mesure peut exister, si elle peut être permise, sans risque d’abus. La Cour a déjà répondu fermement par la négative à cette question par sa jurisprudence constante, et l’exposé que je vais faire de la surveillance française ne peut que la conforter dans cette position.

En droit français, il existe quatre types possibles de surveillance de masse. Les deux premiers types sont explicites alors que les deux autres sont plus insidieux.

La première mesure de surveillance de masse française est celle qui fait spécifiquement l’objet de la sixième question posée par la Cour et qui concerne la collecte et l’analyse automatisée des données de l’ensemble des utilisateurs d’un réseau. Ce qui a familièrement été appelé « boites noires » par le gouvernement. J’y reviendrai après avoir répondu à la présente question.

La deuxième mesure de surveillance de masse en droit français est celle qui concerne la surveillance internationale. Les associations l’ont déjà longuement détaillée dans leurs observations écrites, je me bornerai donc à un rappel sommaire.

Le caractère massif de cette surveillance concerne tant la collecte que l’exploitation des données. Et ces dernières sont relatives tant au contenu des communications qu’aux données de connexion afférentes. Ces communications sont celles de la totalité d’une population dans une zone géographique donnée – un quartier, une ville, un pays, un continent…

Enfin, dernier rappel, et pas des moindres, : les personnes surveillées n’ont aucune voie de recours juridictionnelle pour contester une telle mesure.

Le troisième type de surveillance de masse permis en droit français est plus indirect : il résulte de la collaboration des services de renseignement français avec des services étrangers. Cette collaboration n’est soumise à aucun encadrement juridique en droit français.

Qu’il s’agisse du transfert de renseignement par les services français vers les services étrangers, ou l’inverse, ces transferts ne sont soumis à aucune condition, ni aucun contrôle. Dans son dernier rapport, la CNCTR, elle-même, le déplore soulignant que de tels échanges sont soustraits à tout encadrement juridique et à tout contrôle. Cette pratique est bien réelle et a, entre autres, été analysée par les sociologues Bauman, Bigo, Esteves, Guild, Jabri, Lyon et Walker, dans un article publié en 2015 dans la revue Culture & Conflits8Zygmunt Bauman, Didier Bigo, Paulo Esteves, Elspeth Guild, Vivienne Jabri, David Lyon et R. B. J. (Rob) Walker, « Repenser l’impact de la surveillance après l’affaire Snowden : sécurité nationale, droits de l’homme, démocratie, subjectivité et obéissance », Cultures & Conflits [En ligne], 98 | été 2015, mis en ligne le 15 octobre 2016, consulté le 07 septembre 2019. URL : http://journals.openedition.org/conflits/19033 ; DOI : 10.4000/conflits.19033. Ils concluent à l’absence de pertinence de la distinction entre surveillance intérieure et surveillance extérieure et décrivent une sorte de « forum shopping » opéré entre États partenaires.

Plus grave, la CNCTR est explicitement interdite de consulter les renseignements transmis par les services étrangers.

Les deux derniers types de surveillance de masse dont je viens de vous parler reposent chacun sur le flou habituellement et habilement entretenu en France quant aux bornes de la surveillance de masse et à l’application des garanties associées.

Un exemple typique et récent des conséquences de cette confusion a été donné par un article du journal Le Monde du 24 avril dernier, qui révèle l’existence de ce que les services français appelleraient « l’entrepôt ».

Cet entrepôt constitue ce que l’on appelle, dans le milieu du renseignement, un « fusion center ». Il s’agit d’une structure visant à mutualiser les renseignements obtenus par les différents services. Les renseignements recueillis sur le territoire français se trouvent ainsi mélangés avec ceux collectés et exploitables de façon massive via les techniques de surveillance internationale. Les garanties associées aux différents régimes sont rendues caduques par ces mutualisations de données.

La loi française avait prévu un décret, notamment pour définir la façon dont ces deux types d’informations seraient séparées, mais ce décret n’a jamais été adopté. Un agent des services a expliqué au Monde, sous couvert d’anonymat, qu’un tel décret ne pouvait pas être adopté « pour défaut de base constitutionnelle ». Comprendre : décrire le système conduirait à en avouer les dérives.

Le danger intrinsèque des mesures de surveillance de masse est là : en pratique, il est impossible d’en délimiter effectivement les bornes. De tels logiques et fonctionnement « de masse » contamine nécessairement l’ensemble des activités de renseignement. Nous en avons ici une démonstration actuelle et concrète. La Quadrature du Net a déposé un recours contre « l’entrepôt » devant le Conseil d’État, et la décision de la Cour dans la présente affaire y sera décisive.

Enfin, le quatrième et dernier type de surveillance de masse dont je dois vous parler ne concerne plus ces aspects internationaux. Il a trait aux finalités qui, en droit français, autorisent la mise en œuvre de techniques de renseignement, tant sur le territoire national qu’à l’étranger.

Certaines finalités permettent théoriquement de surveiller toute la population et de transformer quasiment n’importe quelle technique de renseignement en mesure de surveillance de masse, qu’il s’agisse d’accéder au contenu des communications ou à leurs données de connexion.

Il en va ainsi de la défense des intérêts économiques et industriels de la France, qui sont définis arbitrairement par le Gouvernement, de la lutte contre l’usage de stupéfiants ou de l’organisation de manifestations non-déclarées. L’étendue de cette dernière finalité est d’autant plus inquiétante au regard des prétentions de la Présidence de la République dont je vous ai parlées plus tôt.

Un dernier point quant à ces finalités concerne les personnes qu’elles permettent de surveiller. À une seule exception près, à savoir, l’accès en temps réel aux données de connexion, toutes les techniques françaises de renseignement peuvent être réalisées au sujet de personnes à l’encontre desquelles il n’existe aucun soupçon de présenter une menace pour la société. Pour surveiller une personne, il suffit que sa surveillance soit susceptible de révéler des informations utiles à l’une des nombreuses et vagues finalités que les services peuvent poursuivre.

Ces deux éléments cumulés – des finalités indéfiniment larges et l’absence de toute exigence quant à de véritables soupçons – permettent à l’ensemble du dispositif de renseignement français de se muer en un système éprouvé, aux rouages parfaitement huilés, de surveillance de masse.

À l’inverse, la jurisprudence de la Cour exige des finalités strictement définies selon des critères objectifs et un véritable lien entre les personnes surveillées et les finalités poursuivies.

J’appelle donc la Cour à réaffirmer sa jurisprudence et à la renforcer, notamment en l’appliquant le plus concrètement possible aux cas d’espèces révélés par la présente affaire.

6. Analyse automatisée

La sixième question de la Cour concerne la première mesure de surveillance de masse que j’ai rapidement évoquée plus tôt pour la renvoyer aux développements que je vais faire à présent. La Cour nous interroge sur les abus rendus par l’analyse automatisée des données de l’ensemble des utilisateurs des moyens de communications électroniques.

Ici encore, il suffit de décrire la situation française pour répondre précisément à la question.

L’article L. 851-3 du code de la sécurité intérieure français autorise les services de renseignement à poser un dispositif, familièrement appelé « boites noires », à n’importe quel point du réseau d’un opérateur de télécommunications ou à l’entrée d’un serveur géré par un hébergeur.

Ces boites noires collectent et analysent automatiquement les données de toutes les communications qui transitent par ce point du réseau afin de détecter des comportements préalablement définis par les services comme étant suspects. Les données analysées concernent indifféremment toutes les personnes qui communiquent via ce point du réseau.

L’automatisation de l’analyse des communications fait légitimement craindre que l’État ne puisse, à brève échéance, surveiller l’ensemble de la population de certains quartiers, villes ou de l’ensemble du pays, ce qui serait impossible en ne reposant que sur un travail humain.

Le passage à l’échelle permis par l’automatisation informatique rend parfaitement concret les risques de surveillance de masse qui, en France, ne pouvaient sembler qu’assez théoriques il y a encore quelques années.

Quand la Cour a précisément demandé au gouvernement français de confirmer ou d’infirmer si les boites noires analysaient ou non les données de l’ensemble des communications qui passent par elles, le gouvernement, est resté taisant. Son silence ne peut être compris que comme valant confirmation, d’autant plus que le gouvernement n’a jamais cherché à dissimuler ce point par ailleurs. Néanmoins, la réponse écrite qu’a donné le gouvernement, bien que ne répondant pas à cette question, mérite d’être examinée.

Aux points 46 et 47 de ses réponses écrites, le gouvernement a écrit que les données analysées par les boites noires ne concernaient en aucun cas le contenu des communications.

Cette présentation est inexacte.

Les données analysées par les boites noires sont définies à l’article R. 851-5 du code de la sécurité intérieure. Ces données sont principalement des données de connexion que les opérateurs de télécommunications et les hébergeurs ont l’obligation de conserver. Mais pas seulement. Il s’agit aussi de données que les hébergeurs n’ont pas l’obligation de conserver mais qu’ils traitent à un moment ou un autre pour fournir leur service. Parmi ces données se trouvent « les données techniques […] relatives à l’identification […] d’un service de communication au public en ligne ».

Un « service de communication au public en ligne », défini à l’article premier de la loi pour la confiance dans l’économie numérique de 2004, est ce qu’on appelle couramment un « site Web ». Les boites noires sont donc autorisées à analyser « les données techniques relatives à l’identification » d’un site Web. Il s’agit typiquement du nom domaine ou de l’adresse d’une page Web. Or, ces informations concernent directement le contenu des correspondances ainsi que les informations consultées. Bien souvent, la simple adresse d’une page Web contient, à elle seule, l’ensemble du titre d’un article de presse. Ainsi, le droit français permet aux boites noires d’être configurées pour repérer toutes les personnes qui consultent des pages Web dont le nom de domaine ou l’adresse contient certains mots-clefs.

La réponse du gouvernement français aux questions de la Cour est contraire à la lettre du droit français.

D’ailleurs, le gouvernement lui-même le reconnaissait expressément, il y a tout juste un an, dans ses écritures qu’il présentait devant le Conseil d’Etat à propos des affaires ayant donné lieu aux présentes questions préjudicielles.

Dans ses ultimes observations en réplique du 26 juin 2018, dans l’affaire n° 397851 devant le Conseil d’État qui a mené à certaines des questions préjudicielles examinées par la Cour, le ministère de l’intérieur, admettait expressément, page 10, que les boites noires analysent des données qui relèvent du contenu des communications. Je le cite, tant son propos est clair, limpide et dépourvu de toute ambiguïté.

« Certaines données de connexion peuvent, en raison de leurs caractéristiques intrinsèques, également permettre l’identification de contenu. (…) certaines données peuvent révéler le contenu, de manière indirecte, de correspondances ou d’informations échangées. (…) les dispositions du décret ont prévu que ces données mixtes ne pouvaient être recueillies qu’en cas (…) de la mise en œuvre d’un algorithme. »

On ne peut que s’interroger sur les motifs, probablement peu avouables, qui ont poussé le gouvernement français à affirmer à la Cour l’exact inverse de ce qu’il reconnaissait devant le Conseil d’État un an plus tôt dans la même affaire.

Hélas !, la confusion ne s’arrête pas là. Aux points 80 et 81 de ses réponses à la Cour, la France prétend encore que le droit français interdit que les traitements identifient les personnes auxquelles les informations ou documents se rapportent.

Pourtant, ici encore, l’article R. 851-5 du CSI prévoit explicitement que les boites noires peuvent accéder à toute données « relatives à l’identification et à l’authentification d’un utilisateur ». La lettre de cette disposition contredit frontalement et radicalement les allégations de la France.

Enfin, au point 73 de ses réponses écrites, la France prétend que les boîtes noires « ne pourrai[en]t avoir ni pour objet ni pour effet de recueillir et de révéler des données telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes physiques, qui sont, par définition, des données de contenu ».

Mes précédentes explications suffisent à infirmer cette allégation : les boites noires peuvent cibler certains mots, tant dais l’adresse des pages Web visitées que dans les pseudonymes des personnes. Ces mots peuvent largement suffire à cibler, ou simplement à révéler certaines origines ethniques, opinions politiques ou convictions religieuses.

Ma conclusion sur les boites noires sera donc la même que celle sur la surveillance internationale : en pratique, aucune mesure de surveillance de masse ne peut être effectivement bornée. Une telle mesure contamine nécessairement l’ensemble du système de renseignement. Les risques d’abus sont intrinsèques à cette technique, qui ne peut être que purement et simplement interdite.

Une autre affaire portée par deux des associations requérantes devant le Conseil d’État illustre parfaitement cette conclusion. L’ANSSI, l’administration française chargée de la sécurité informatique de l’État, a récemment reçu de la loi le pouvoir de déployer des boites noires qui fonctionnent de la même façon mais, cette fois-ci, dont la finalité est de détecter des attaques informatiques. Ici encore, M. Guillaume Poupard, directeur de l’ANSSI, admettait lors de son audition par l’Assemblée nationale, que ces boites noires analyseraient nécessairement le contenu des communications.

Je le cite : « Il va donc de soi que nous traitons des données, y compris des données personnelles. (…) nous y touchons de fait. (…) Prenons un exemple : le travail de détection consiste parfois à chercher au fin fond de pièces jointes, dans des courriers électroniques, pour y détecter un éventuel virus caché. ».

Une fois encore, la décision de la Cour sera déterminante dans cette autre affaire.

7. Distinction entre prévention et répression

Par sa septième question, la Cour demande s’il y a lieu de faire une distinction entre les mesures de prévention et de répression.

En matière de surveillance, le droit de l’Union a déjà tranché. La directive 2016/680 encadre tout traitement de données personnelles mise en œuvre par l’État qui est réalisé, pour faire court, en matière pénale. Aucune des obligations posées par cette directive ne fluctue selon qu’elle s’impose à des mesures de prévention ou de répression.

Cette homogénéité est inévitable tant les activités de prévention et de répression sont difficilement dissociables en pratique. Il est certes vrai qu’en droit français il existe une distinction entre la police administrative chargée de la prévention et la police judiciaire, chargée de la répression. Mais il est tout aussi vrai que cette distinction théorique est dans la pratique beaucoup plus incertaine – la jurisprudence du Tribunal des conflits le démontre – et conduit le juge à décider au cas par cas du régime applicable. Il convient, en outre, de rappeler que police administrative et police judiciaire sont exercées par les mêmes organes, dès lors qu’il ne s’agit que d’un critère matériel.

Il est ainsi impossible tant d’un point de vue théorique que pratique de prévoir des régimes ou justifications différentes selon que les mesures de surveillance sont réalisées à des fins préventives ou répressives.

8. Mesures alternatives à la conservation généralisée

Par sa huitième question, la Cour s’interroge sur l’existence de mesures légitimes qui pourraient être des alternatives efficaces à la conservation généralisée des données de connexion.

S’agissant de la conservation généralisée des données de connexion, les États membres ont systématiquement échoué à apporter le moindre élément matériel démontrant que les données volontairement conservées par les opérateurs, pour des raisons de sécurité ou de facturation, ne seraient pas suffisantes à la poursuite de leurs objectifs.

Au-delà de quelques enquêtes choisies spécifiquement par les États où l’accès à des données de connexion a été simplement utile, ils n’ont jamais démontré que cet accès était indispensable ni que les données nécessaires à la résolution des enquêtes ne seraient pas spontanément conservées par les opérateurs. La charge de la preuve repose sur les États. Cette charge ne saurait être renversée au prétexte de leur défaillance.

Il suffit de constater l’incapacité des États membres à poursuivre la réforme de la directive ePrivacy depuis déjà deux ans, précisément à cause de cette défaillance, pour réaliser que la démonstration qu’ils cherchent vainement à effectuer est impossible. La conservation généralisée des données de connexion n’est pas nécessaire et ne saurait donc jamais être proportionnée.

En contraste, l’avancée des débats sur le paquet dit « eEvidence » illustre un mouvement inverse : ces nouvelles dispositions vont notamment permettre aux autorités publiques d’émettre des injonctions de conservation aux prestataires techniques afin que ceux-ci conservent des données de connexion pour une durée allant jusqu’à 60 jours, empêchant « l’effacement, la suppression ou la modification des données concernées ».

S’agissant de la conservation généralisée des données de connexion par les hébergeurs, tel qu’imposée en droit français, l’absence de nécessité est encore plus flagrante. Le RGPD permet aux hébergeurs de traiter et de conserver un grand nombre de données personnelles pour de vastes catégories de finalité. De plus, et contrairement aux opérateurs de télécommunications, chaque personne est l’utilisatrice d’un très grand nombre de services rendus par des hébergeurs, qu’il s’agisse de réseaux sociaux, de sites de partages de vidéo ou de fichiers, etc.

Cette multitude d’acteurs rend l’identification des personnes, extrêmement simplifiée pour l’administration. Cette multiplicité accroît aussi considérablement la précision et la diversité des informations accessibles sur chaque personne. L’ampleur et la granularité des données ainsi disponibles pour l’administration ne dépend pas de l’obligation imposée aux hébergeurs mais de leur simple activité volontaire.

9. Surveillance des innocents

Par sa neuvième et dernière question, la Cour nous demande de définir les circonstances dans lesquelles des mesures de surveillance peuvent viser des personnes à l’encontre desquelles ne pèse aucun soupçon de représenter une menace.

La jurisprudence de la Cour prévoit que ce cas doit demeurer exceptionnel, la règle étant que seules les personnes soupçonnées de représenter une menace sont susceptible d’être surveillées. Comme je l’ai déjà dit, en droit français, cette exception est au contraire la règle : l’existence de soupçons à l’encontre d’une personne n’est jamais une condition à la mise en œuvre d’une technique de renseignement la concernant.

Il m’est alors impossible de décrire en droit français les conditions qui rendraient raisonnable de surveiller des personnes hors de tout soupçon tant ce scénario est étranger à la situation actuelle. Il est toutefois manifeste que plusieurs des conditions requises par le droit de l’Union pour une telle surveillance ne seraient pas remplies en droit français. Parmi les conditions indispensables absentes en droit français se trouve celles liées à (i) l’information des personnes concernées, (ii) au contrôle préalable et (iii) au droit à un recours effectif.

Il est parfaitement inadmissible que, les innocents surveillés ne soient jamais informés des mesures qu’ils ont subies. Cette obligation d’information est déjà imposée par la directive 2016/680, sans exception, peu importe qu’il existe ou non des soupçons contre les personnes concernées. A ce jour, s’agissant des activités de renseignement cette directive n’a pas été transposée en France, contrairement à ce qu’elle prétend devant la Commission.

De même, les risques d’abus liés à la surveillance de personne totalement innocentes sont décuplés en l’absence de contrôle indépendant préalable à la mise en œuvre de techniques de renseignement à l’encontre de ceux-ci.

La CNCTR ne dispose d’aucun pouvoir de contrôle préalable : ses seuls pouvoirs n’interviennent qu’après qu’une technique a été mise en œuvre et se limitent à la saisine de la formation spécialisée du Conseil d’État, alors même que cette saisine est dépourvue de tout effet suspensif.

L’administration peut donc librement collecter des renseignements sur une personne totalement innocente de façon illégale pendant une durée substantielle sans qu’aucune autorité indépendante ne puisse l’en empêcher. Le Conseil d’État ne peut que lui demander a posteriori de supprimer les données collectées, une fois que l’atteinte illicite est caractérisée et l’illégalité consommée.

Enfin, il est inadmissible que les innocents surveillés n’aient pas accès à l’entier dossier les concernant lorsqu’ils saisissent eux-mêmes la formation spécialisée du Conseil d’État, afin de contester la validité d’une mesure qu’ils ont subi. Ce droit au recours effectif est reconnu à toute personne surveillée, même celles à l’encontre desquelles pèsent des soupçons. Mais la gravité de son défaut devient encore plus flagrante s’agissant de personne hors de tout soupçon.

A titre d’exemple une journaliste française, Mme Camille Polloni, à l’issue d’une bien trop longue procédure et semée d’embûches, a finalement vu reconnaitre, par le Conseil d’Etat, qu’elle avait été illégalement fichée par la Direction du Renseignement Militaire, mais n’a jamais pu savoir ni comment, ni pourquoi, ni obtenir la moindre information, compensation ou enquête sur ce fichage, pourtant manifestement illégal.

Pour répondre précisément à la dernière question de la Cour, je me bornerai donc à donner ces trois éléments comme conditions indispensables, mais non exhaustives, à la surveillance de personnes qui ne font l’objet d’aucun soupçon : (i) information systématique de la surveillance subie une fois que l’enquête a pris fin ; (ii) contrôle préalable indépendant ; (iii) recours effectif, qui implique notamment l’accès à l’entier dossier.

Conclusion

Dans le contexte actuel, marqué par l’émergence de nouvelles formes de surveillance exploratoires, qui tendent notamment à reconnaître, dans l’espace public urbain, des individus et des comportements suspects – reconnaissance faciale ou, encore, police prédictive – le bras de fer qui oppose plusieurs Etats européens à votre Cour est fondamental pour le futur de la démocratie et de l’Etat de droit.

Dans ce bras de fer, le Conseil d’Etat français a clairement pris parti en refusant d’appliquer votre jurisprudence, pour vous inviter fermement à en changer. Je vous appelle à tenir votre position, fondée sur des principes fondamentaux, et à réitérer votre rejet de la surveillance de masse et votre attachement au droit à vivre sans être surveillé.

C’est dans le sens de ces observations que je vous invite à statuer. Je reste à votre entière disposition pour répondre à vos éventuelles questions.

References   [ + ]

1. CJUE, 30 avril 2014, Pfleger e.a., aff. n° C-390/12, pts. 33, 35 et 36 ; CJUE, 14 juin 2017, Online Games e.a., aff. n° C-685/15, pts. 54-57 ; CJUE, 21 mai 2019, Commission c/ Hongrie (Usufruits sur terres agricoles), aff. n° 235/17
2. A. Casili, « En attendant les robots. Enquête sur le travail du clic. », Seuil, 2019. D. Cardon et A. Casili, « Qu’est-ce que le Digital Labor ? », INA, 2015.
3. https://www.facebook.com/notes/facebook-data-science/the-formation-of-love/10152064609253859 ; https://www.journaldunet.com/ebusiness/le-net/1135019-facebook-sait-avant-vous-quand-vous-tombez-amoureux/
4. Chilling effects: Online surveillance and Wikipedia use (JW Penney – Berkeley Tech. LJ)
5. Government Surveillance and Internet Search Behavior (Alex Marthews & Catherine Tucker, MIT)
6. The chilling effect of government surveillance programs on the use of the internet by Muslim-Americans (DS Sidhu – U.
7. https://en.wikipedia.org/wiki/Spiral_of_silence
8. Zygmunt Bauman, Didier Bigo, Paulo Esteves, Elspeth Guild, Vivienne Jabri, David Lyon et R. B. J. (Rob) Walker, « Repenser l’impact de la surveillance après l’affaire Snowden : sécurité nationale, droits de l’homme, démocratie, subjectivité et obéissance », Cultures & Conflits [En ligne], 98 | été 2015, mis en ligne le 15 octobre 2016, consulté le 07 septembre 2019. URL : http://journals.openedition.org/conflits/19033 ; DOI : 10.4000/conflits.19033
]]>
[CNET] À l’ère de la reconnaissance faciale, faut-il aussi protéger nos visages ?https://www.laquadrature.net/?p=14866http://streisand.me.thican.net/laquadrature.net/index.php?20191011_130000__CNET__A_l___ere_de_la_reconnaissance_faciale__faut-il_aussi_proteger_nos_visages___Fri, 11 Oct 2019 11:00:00 +0000Nos visages méritent-ils d’être autant protégés que nos informations personnelles ? La reconnaissance faciale débarque, sans réel encadrement, et la protection des données biométriques reste plus que jamais essentielle… […]

« La reconnaissance faciale, c’est pour nous un outil de surveillance de masse. Elle exploite votre visage – quelque chose que vous ne pouvez pas cacher -, ce qui fait que vous êtes reconnu et surveillé constamment dans l’espace public, sans pouvoir vous y opposer, contrairement au principe du libre consentement du RGPD« , affirme Martin Drago, avocat spécialisé dans le droit des données personnelles et membre de la Quadrature du Net. […]

https://www.cnetfrance.fr/news/l-ere-de-la-reconnaissance-faciale-faut-i…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[20Minutes] Nice : Caméra, reconnaissance faciale, détecteur de bruits… Un collectif lancé pour « résister à la surveillance »https://www.laquadrature.net/?p=14868http://streisand.me.thican.net/laquadrature.net/index.php?20191011_120000__20Minutes__Nice____Camera__reconnaissance_faciale__detecteur_de_bruits____Un_collectif_lance_pour_____resister_a_la_surveillance____Fri, 11 Oct 2019 10:00:00 +0000La Quadrature du Net, la Ligue des droits de l’Homme, CGT Educ’Action des Alpes-Maritimes et la Fédération des conseils de parents d’élèves s’associent.

Dans une petite salle sans fenêtre du centre-ville de Nice, ça cause « big data », « smart-city » et « intelligence artificielle ». Des mots qui, accolés aux questions de sécurité, inquiètent les responsables de la Quadrature du Net, de la Ligue des droits de l’Homme, de la FCPE 06 et de la CGT 06. Ces quatre organisations lancent « Technopolice », une campagne « contre la surveillance technologique de l’espace urbain à des fins policières ». Le mouvement entend « résister à la surveillance totale de nos villes et de nos vies ». […]

https://www.20minutes.fr/nice/2605395-20190917-nice-camera-reconnaissanc…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[CNET] Avec « Technopolice », la Quadrature du Net prend les armes contre les « smart cities »https://www.laquadrature.net/?p=14867http://streisand.me.thican.net/laquadrature.net/index.php?20191011_110000__CNET__Avec_____Technopolice______la_Quadrature_du_Net_prend_les_armes_contre_les_____smart_cities____Fri, 11 Oct 2019 09:00:00 +0000Avec la plateforme « Technopolice », l’association appelle à la mobilisation contre la surveillance des citoyens dans les nouvelles « villes intelligentes ». Ses militants s’insurgent contre la présence grandissante des nouvelles technologies dans l’espace urbain. […)

Reconnaissance faciale, capteurs sonores, police prédictive… lesdites technologies sont nombreuses et envisagées par un nombre croissant de municipalité. La QDN veut alerter contre leur généralisation et les risques qu’elles représenteraient pour les libertés de chacun. […]

https://www.cnetfrance.fr/news/avec-technopolice-la-quadrature-du-net-pr…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FrequenceProtestante] Internet et sa gouvernancehttps://www.laquadrature.net/?p=14775http://streisand.me.thican.net/laquadrature.net/index.php?20191010_130000__FrequenceProtestante__Internet_et_sa_gouvernanceThu, 10 Oct 2019 11:00:00 +0000[NDLRP : Sylvain Steer du CECIL et de La Quadrature du Net dans l’émission enregistrée le 14 juin et dont la deuxième partie a été diffusée le 22 septembre 2019, dans l’émission Parole aux associations de Fréquence protestante avec Nathalie Zanon.]

https://frequenceprotestante.com/diffusion/mouvement-international-de-la…

NDLRP – Vidéo à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Mediapart] Le collectif Technopolice appelle à la mobilisation contre les « safe cities »https://www.laquadrature.net/?p=14776http://streisand.me.thican.net/laquadrature.net/index.php?20191010_120000__Mediapart__Le_collectif_Technopolice_appelle_a_la_mobilisation_contre_les_____safe_cities____Thu, 10 Oct 2019 10:00:00 +0000Un collectif d’associations et de syndicats, dont la Quadrature du Net, la CGT, la LDH et la FCPE, lance une campagne de mobilisation contre les nouveaux outils de surveillance urbains tels que la vidéosurveillance intelligente, la reconnaissance faciale, l’analyse du big data ou encore les capteurs sonores. […]

« Depuis presque deux ans, la Quadrature du Net et d’autres associations se sont intéressées au développement des soi-disant “villes intelligentes”, les “smart cities” comme on les appelle, et surtout à leurs aspects sécuritaires, a expliqué Martin Drago de LQDN. Avec les dernières avancées, en intelligence artificielle, en big data, on a constaté le développement d’outils de surveillance, de divers projets un peu partout en France. » […]

https://www.mediapart.fr/journal/france/160919/le-collectif-technopolice…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[GQ] Vidéosurveillance : les drones sont-ils vraiment nos alliés ?https://www.laquadrature.net/?p=14777http://streisand.me.thican.net/laquadrature.net/index.php?20191010_110000__GQ__Videosurveillance____les_drones_sont-ils_vraiment_nos_allies___Thu, 10 Oct 2019 09:00:00 +0000Le drone s’impose peu à peu comme la solution de surveillance ultime. Mais la prolifération de ces engins pose certaines questions juridiques et éthiques. […]

[…] Derrière l’argument de « tranquillité urbaine », Martin Drago, juriste à La Quadrature du Net – le collectif militant qui a révélé l’étendue du projet – pointe une dérive qui menace nos libertés individuelles. « Après la prolifération des caméras fixes, on arrive au second stade de la “safe city” avec la reconnaissance faciale et la multiplication des caméras mobiles, notamment les drones. Alors que l’efficacité de la vidéosurveillance est contestée et avant même qu’un débat soit organisé, on applique la deuxième couche. Or, est-ce que les propriétés privées sont bien floutées comme l’exige la loi ? Combien de temps sont gardées les images ? Même la CNIL a dit en octobre 2018 qu’en l’absence de cadre juridique, elle est dépassée et n’a donc plus le pouvoir de dire non. Autrement dit, on utilise de nouveaux outils et on applique de nouvelles méthodes sans autorité de contrôle. » […]

https://www.gqmagazine.fr/lifestyle/article/videosurveillance-les-drones…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[France3] Des associations réunies à Nice pour dénoncer la surveillance technologique des villeshttps://www.laquadrature.net/?p=14751http://streisand.me.thican.net/laquadrature.net/index.php?20191009_130000__France3__Des_associations_reunies_a_Nice_pour_denoncer_la_surveillance_technologique_des_villesWed, 09 Oct 2019 11:00:00 +0000[…] Une campagne contre la prolifération « sans débat ni contrôle » de projets utilisant les nouvelles technologies à des fins policières a été lancée à Nice, ville championne de la vidéosurveillance, par quatre associations et syndicats (Quadrature du net, CGT, Ligue des Droits de l’Homme et FCPE).

A l’image de la reconnaissance faciale testée au Carnaval de Nice en février, en forçant la main à la Commission nationale de l’Informatique et des libertés (Cnil), « ces outils de surveillance se développent sans débat public et sans contrôle (…) », explique Martin Drago, juriste de l’ONG La Quadrature du net. […]

https://france3-regions.francetvinfo.fr/provence-alpes-cote-d-azur/alpes…

NDLRP – Vidéo à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceInter] Félix Tréguer: « L’Utopie déchue, une contre-histoire d’Internet »https://www.laquadrature.net/?p=14752http://streisand.me.thican.net/laquadrature.net/index.php?20191009_120000__FranceInter__Felix_Treguer______L___Utopie_dechue__une_contre-histoire_d___Internet____Wed, 09 Oct 2019 10:00:00 +0000Le chercheur associé au Centre Internet et Société du CNRS et membre fondateur de la Quadrature du Net est l’invité de Patricia Martin pour son ouvrage « L’Utopie déchue, une contre-histoire d’Internet ».

https://www.franceinter.fr/emissions/la-personnalite-de-la-semaine/la-pe…

NDLRP – Entretien à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Mediapart] Internet: face à « l’utopie déchue », « débrancher les machines »https://www.laquadrature.net/?p=14753http://streisand.me.thican.net/laquadrature.net/index.php?20191009_110000__Mediapart__Internet__face_a_____l___utopie_dechue__________debrancher_les_machines____Wed, 09 Oct 2019 09:00:00 +0000Dans L’Utopie déchue. Une contre-histoire d’Internet, le sociologue et hacktiviste Félix Tréguer tire les conséquences de l’échec des mouvements nés des contre-cultures numériques et propose de renouveler la technocritique. « Ce qu’il nous faut d’abord et avant tout, c’est débrancher la machine. » […]

En définitive, c’est au contraire un livre enthousiasmant, qui tente de refonder la technocritique pour trouver de nouvelles stratégies. « Face à ceux qui, découragés par l’apparente incommensurabilité de Big Brother, seraient tentés de verser dans l’apathie », écrit Félix Tréguer, Gilles Deleuze « affirmait qu’entre la souveraineté, les disciplines ou le contrôle, “il n’y a pas lieu de demander quel est le régime le plus dur, ou le plus tolérable, car c’est en chacun d’eux que s’affrontent les libérations et les asservissements”. Ce qu’il faut, expliquait-il, c’est “chercher de nouvelles armes” ». […]

https://www.mediapart.fr/journal/culture-idees/140919/internet-face-l-ut…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[NextINpact] La conservation généralisée des données de connexion devant la justice européennehttps://www.laquadrature.net/?p=14754http://streisand.me.thican.net/laquadrature.net/index.php?20191008_130000__NextINpact__La_conservation_generalisee_des_donnees_de_connexion_devant_la_justice_europeenneTue, 08 Oct 2019 11:00:00 +0000Trois affaires importantes sont audiencées aujourd’hui à partir de 9h30 devant la Cour de justice de l’Union européenne. La grande chambre de la juridiction examinera d’abord l’affaire « C-623-17 Privacy International ». […]

Dans les affaires jointes « C-511/18 La Quadrature du Net » et « C-512/18 French Data Network », les deux organisations s’opposent cette fois à certains pouvoirs des services du renseignement français. […]

Plus largement, ces deux procédures visent à demander si l’obligation de conservation généralisée des données de connexion est justifiée sur l’autel du droit européen. Enfin, dans l’affaire C-520/18 dite « Ordre des barreaux francophones et germanophones », c’est cette fois le droit belge qui est visé. […]

https://www.nextinpact.com/brief/la-conservation-generalisee-des-donnees…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] Facebook, il ne lui manque plus que la monnaiehttps://www.laquadrature.net/?p=14755http://streisand.me.thican.net/laquadrature.net/index.php?20191008_120000__FranceCulture__Facebook__il_ne_lui_manque_plus_que_la_monnaieTue, 08 Oct 2019 10:00:00 +0000Quelles sont les caractéristiques du libra, la nouvelle cryptomonnaie proposée par Facebook ? En quoi le lancement du libra peut-il être considéré comme une innovation de rupture ? Comment va-t-il impacter le monde des cryptomonnaies ? […]

Reportage Céline Loozen : blockchain et algorithme de consensus derrière le Libra avec Axel Simon.

https://www.franceculture.fr/emissions/la-methode-scientifique/facebook-…

NDLRP – Entretien à retrouver aussi sur le Peertube de La Quadrature du Net :

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LesEchos] Facebook relance le débat sur la portabilité des donnéeshttps://www.laquadrature.net/?p=14756http://streisand.me.thican.net/laquadrature.net/index.php?20191008_110000__LesEchos__Facebook_relance_le_debat_sur_la_portabilite_des_donneesTue, 08 Oct 2019 09:00:00 +0000Le réseau social a publié ce mercredi un livre blanc sur ce nouveau droit instauré par le RGPD. Facebook espère ainsi clarifier certains points techniques avec les gouvernements tout en gagnant, assez habilement, du temps sur le sujet. […]

Mais certaines associations, comme La Quadrature du Net, plaident pour une interopérabilité complète. Ce qui permettrait par exemple à un utilisateur de Messenger de dialoguer avec un utilisateur de Twitter, de la même façon qu’un client Orange peut appeler un abonné SFR. « Sans ça, la portabilité ne sert strictement à rien, car on reste captif des Gafam », estime Martin Drago, juriste au sein de l’association. […]

https://www.lesechos.fr/tech-medias/hightech/facebook-relance-le-debat-s…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LeMonde] « Portabilité des données » : sous pression, Facebook ripostehttps://www.laquadrature.net/?p=14757http://streisand.me.thican.net/laquadrature.net/index.php?20191007_130000__LeMonde______Portabilite_des_donnees________sous_pression__Facebook_riposteMon, 07 Oct 2019 11:00:00 +0000Sommée de rendre possible de quitter le réseau social en emmenant ses contacts et ses contenus, l’entreprise publie un Livre blanc qui soulève des objections. […]

La Quadrature du Net n’est toutefois pas convaincue : « Voir Facebook donner des leçons sur la vie privée, c’est ironique… L’interopérabilité, c’est justement l’idée que les gens puissent contrôler quelles données ils mettent sur quel réseau social, explique Martin Drago, juriste de l’association. Et l’interopérabilité entre Orange et SFR, pour le téléphone, ou entre Gmail et La Poste, pour les e-mails, cela n’a pas vraiment posé de question de vie privée… » Le volontarisme de Facebook sur la portabilité des données est en tout cas un signe que les débats sur ce thème vont s’animer.

https://www.lemonde.fr/economie/article/2019/09/04/portabilite-des-donne…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[EconomieNumerique] La Quadrature du Net s’attaque à l’entrepôt de données du renseignementhttps://www.laquadrature.net/?p=14758http://streisand.me.thican.net/laquadrature.net/index.php?20191007_120000__EconomieNumerique__La_Quadrature_du_Net_s___attaque_a_l___entrepot_de_donnees_du_renseignementMon, 07 Oct 2019 10:00:00 +0000Sur fond de lutte anti-terroriste, les services de renseignement français peuvent accéder à des données personnelles. Plusieurs lois ont offert un cadre juridique à ces pratiques de surveillance. Un « entrepôt » centralisant des données collectées par les services de renseignement a récemment été révélé dans les colonnes du Monde. Cet entrepôt ne repose pourtant sur aucun encadrement légal. […]

Face à un tel constat, l’association la Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet a donc entrepris d’attaquer ce dispositif devant le Conseil d’Etat en juin 2019. […]

http://blog.economie-numerique.net/2019/09/02/la-quadrature-du-net-satta…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[CAPITAL] Données perso : 10 réflexes à adopter pour protéger votre vie privéehttps://www.laquadrature.net/?p=14759http://streisand.me.thican.net/laquadrature.net/index.php?20191007_110000__CAPITAL__Donnees_perso____10_reflexes_a_adopter_pour_proteger_votre_vie_priveeMon, 07 Oct 2019 09:00:00 +0000[…] « On a beau reconnaître tous les droits qu’on veut, il faut que les gens s’en saisissent pour qu’il y ait des effets », souligne Alexis, membre de La Quadrature du Net. En 2018, cette dernière a ainsi déposé devant la Cnil une plainte réunissant 12.000 personnes contre les Gafam. En janvier dernier, l’instance a sanctionné Google à hauteur de 50 millions d’euros, argumentant que le ciblage publicitaire d’Android n’était pas conforme au RGPD, la loi européenne entrée en application le 25 mai 2018. De même, pensez à vous adresser à la Cnil en cas de soupçon de violation de vos droits. Par exemple, lorsque vous tombez sur des sites qui conditionnent leur accès à l’acceptation des conditions d’utilisation, ce qui est contraire au RGPD.

https://www.capital.fr/lifestyle/donnees-perso-10-reflexes-a-adopter-pou…

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Ce que nous avions à dire à ceux qui bâtissent la technopolicehttps://www.laquadrature.net/?p=14721http://streisand.me.thican.net/laquadrature.net/index.php?20190927_160211_Ce_que_nous_avions_a_dire_a_ceux_qui_batissent_la_technopoliceFri, 27 Sep 2019 14:02:11 +0000Rappel : La reconnaissance faciale s’apprête à déferler en France. Pour documenter et résister à ces déploiements, rendez-vous sur technopolice.fr et son forum !

Mardi 24 septembre, La Quadrature était conviée à la « vingt-quatrième journée technico-opérationnelle de la sécurité intérieure », qui se tenait dans un amphithéâtre bondé de la Direction générale de la gendarmerie nationale. Ces rencontres sont organisées tous les six mois par le ministère de l’intérieur, et celle-ci avait pour thème : « reconnaissance faciale : applications – acceptabilité – prospective ».

Les rencontres « technopolice » sont marquées par un fort entre-soi, mêlant fonctionnaires du ministère de l’intérieur, chercheurs et industriels de la sécurité (à l’exception de la Quadrature, un avocat critique était également invité, ainsi que deux personnes de la CNIL qui s’en sont tenu à un simple rappel du droit applicable). Et dans cette atmosphère feutrée, notre intervention semble avoir détonné, comme en témoigne le compte-rendu de cette journée publié par l’Essor, le journal des gendarmes.

Nous étions sincèrement reconnaissants de l’invitation, et contents d’assister à des présentations fournissant des informations de première main qui sont autrement très difficiles d’accès pour les militants ou chercheurs travaillant sur ces questions. Nous l’avons rappelé en introduction de notre propos. Mais pour nous, l’enjeu était aussi de faire valoir une parole dissonante et de rappeler que, au moment où la reconnaissance faciale s’apprête à déferler dans nos sociétés, ces échanges entre opérationnels et développeurs industriels devaient faire l’épreuve de la controverse.

Voici donc une sorte de verbatim plus ou moins fidèle de notre intervention…

« Merci de votre invitation. De tels échanges sont trop rares. Et en dépit des désaccords fondamentaux, ils ont le mérite de créer un peu de porosité entre nos mondes.

La Quadrature du Net est une association fondée en 2008 pour résister aux formes de contrôle d’Internet qui allaient à l’encontre des libertés publiques. Aujourd’hui, nous nous rendons pleinement compte de la justesse des combats des années 1960 et 1970, où des groupes militants associaient l’informatique à la domination bureaucratique. Ils l’associaient à un régime technocratique plutôt que démocratique, non pas fondé sur l’autonomie et la liberté mais sur l’expertise alléguée de quelques hauts pontes formés dans les écoles d’élite.

Ce régime technocratique est toujours le nôtre. L’insistance mise sur le critères d’efficacité lors de cette journée l’illustre de bien, de même que l’extrême faiblesse de la prise en compte des aspects non seulement juridiques et éthiques, mais aussi proprement politiques de technologies comme la reconnaissance faciale.

La domination technocratique évite la confrontation démocratique. Ces 24ème rencontres « Technopolice » en fournissent là encore un exemple : aucune information ne doit filtrer, les participants étant astreints à un « engagement de non-divulgation ». De même, la présence en ligne de ces rencontres qui existent depuis années est quasi nulle. De fait, aucune information ne filtre. Une confidentialité qui entache tout ce dont on discute ici d’un grave déficit de légitimité démocratique, alors même que tout cela est incontestablement d’intérêt public.

Indirectement, l’extrême discrétion qui entoure cet événement nous a été utile, nous permettant d’utiliser le mot « technopolice » pour lancer, avec d’autres acteurs associatifs, notre propre campagne le 16 septembre dernier. En inscrivant le terme dans un moteur de recherche pour voir si nous étions les premiers à vouloir l’utiliser, nous avions découvert des traces de ces rencontres, mais si peu nombreuses que nous avions alors pensé que ce n’était pas un problème que de reprendre ce terme à notre compte (et ce n’est que quelques mois plus tard que nous recevions votre invitation à venir ici aujourd’hui…).

En écoutant vos présentations, nous mesurons une nouvelle fois le fossé qui sépare la réalité des usages de l’informatique dans le cadre de la surveillance d’État, et les informations publiques qui filtrent à leur sujet. C’est justement contre ce secret que notre campagne vise à documenter les projets technopoliciers, et à permettre à chacun de se mobiliser pour dire notre refus collectif de ces outils de contrôle qui essaiment partout en France.

Ces technologies sont très largement développées dans le cadre de la recherche publique, parfois au travers un contournement assumé du cadre juridique applicable en Europe. C’est par exemple le cas lorsque des chercheurs français travaillent avec des homologues chinois pour perfectionner leurs algorithmes de reconnaissance faciale grâce aux bases de données de visages de citoyens chinois. Ou, comme on l’a appris ce matin, quand le gouvernement français passe un accord de sécurité avec celui de Singapour afin qu’un industriel français puisse passer outre les réserves de la CNIL et expérimenter le scan en temps réel sur les visages d’une foule dans un hub de transport de la ville-État. On ne peut s’empêcher de voir dans ces manœuvres un écho pas si lointain des expérimentations et mesures d’exception pratiquées à l’époque coloniale sur les peuples colonisés, avant d’être réimportées en métropole.

Outre la recherche publique, ces développements technologiques sont pilotés par des personnes en situation relevant plus ou moins directement du conflit d’intérêt, avec de nombreux croisements et hybridations entre secteur public et privé. Ils aboutissent aujourd’hui à des expérimentations locales hautement subventionnées pour assurer la compétitivité des industriels français sur ce marché porteur. Le tout, là encore, sans information transparente ni vrai débat public. Rien ne doit entraver le progrès de la technopolice.

La question de la légalité de ces outils est aussi largement éludée. Et quand elle est abordée, c’est toujours pour évoquer les restrictions que le cadre juridique existant imposerait à leur développement, et non sur les atteintes graves et injustifiables que ces outils portent à nos libertés fondamentales. Nos libertés d’expression, de manifestation, d’aller et venir sont pourtant bien en jeu ici, tout comme notre droit à la vie privée. Il faut s’interroger sur l’atteinte intrinsèquement disproportionnée à nos libertés que représente un outil comme la reconnaissance faciale, disproportion que souligne d’ailleurs la ville de San Francisco dans son ordonnance qui en interdit l’usage à ses policiers : « La propension de la technologie de reconnaissance faciale à mettre en danger les droits civils et les libertés civiles l’emporte largement sur les avantages escomptés (…) ». Il faut aussi s’interroger sur la compatibilité des dispositifs fantasmés par la Préfecture de police de Paris et bien d’autres avec la jurisprudence du Conseil Constitutionnel qui soulignait, déjà en 1993, l’illégalité de « pratique de contrôles d’identité généralisés et discrétionnaires ».

C’est pour cette raison que nous avons déjà déposé deux recours, pour lutter contre la normalisation et la banalisation d’un tel outil : l’un contre la délibération de la Région Sud autorisant une expérimentation de portiques biométriques dans deux lycées, l’autre contre l’application AliceM, développée par le ministère de l’Intérieur, et qui veut faire de la reconnaissance faciale une la clé de voûte d’une future identité numérique.

Sans doute aimeriez-vous que, face à l’inéluctabilité de nouvelles lois destinées à encadrer les dispositifs présentés aujourd’hui, nous puissions offrir des conseils sur ce que seraient des lois « socialement acceptables » et « juridiquement soutenables » ? Le Forum Économique Mondial et le Conseil national du numérique nous ont eux aussi proposé (sans succès) de participer à une série de dialogues sur l’encadrement de la reconnaissance faciale. Un peu plus de transparence, un semblant de contrôle par la CNIL, une réduction des biais racistes et autres obstacles apparemment « techniques » auxquels se heurtent ces technologies, et l’on croit possible d’assurer un compromis « éthique » entre la défense automatisée de l’ordre public et l’État de droit.

Ces projets de loi viendront. Le pouvoir politique y sera réticent car, sauf à instrumentaliser les enjeux de sécurité (ce dont il est certes désormais coutumier), il n’y a généralement pas grand-chose à gagner à faire passer des lois de surveillance. Pour notre part, il est probable nous soyons une nouvelle fois contraints de travailler sur ces projets de loi sécuritaires, pour défendre les droits humains et limiter la casse. Pour utiliser le droit dans le but d’entraver au maximum l’usage de ces technologies.

Mais nous vous le disons tout net : après y avoir réfléchi, nous considérons que la reconnaissance faciale et autres technologies technopolicières doivent être proscrites. Elles mènent l’humanité vers une pente dangereuse, en permettant d’insidieuses formes de contrôle au bénéfice de quelques maîtres, seuls capables de « réviser les paramètres » des machines à leur service.

Plutôt que de discuter des modalités d’un « encadrement approprié », nous exprimons donc notre refus vis-à-vis de ces technologies policières. Nous pensons à nos grand-mères et à nos grand-pères qui, s’ils avaient du vivre au début des années 1940 dans un monde saturé des technologies que vous fabriquez, n’auraient pas survécu plus de trois semaines dans la clandestinité, et n’auraient donc pas pu organiser des réseaux de solidarité dissidents pour résister au régime nazi.

Nous disons notre refus car pour nous, la sécurité c’est d’abord des logements dignes, un air sain, la paix économique et sociale, l’accès à l’éducation, la participation politique, l’autonomie patiemment construite. Et que ces technologies n’apportent rien de tout cela. Elles semblent d’abord et avant tout conçues pour vider nos régimes politiques de tout essence démocratique en assurant un téléguidage de nos conduites. Sous prétexte d’efficacité, elles aboutissent à déshumaniser encore davantage les rapports qu’entretiennent les bureaucraties policières avec la population.

C’est peut être l’une des premières fois que, vous tous qui travaillez depuis longtemps sur ces déploiements technologiques, vous êtes confrontés a une opinion réellement dissonante. Peut être y verrez-vous le signe de l’inutilité de ce type d’échanges. Nous espérons qu’au contraire, vous comprendrez qu’il s’agit d’une confrontation nécessaire trop longtemps retardée – retardée jusqu’à nous mettre pratiquement dans la situation du fait accompli. Vous ne pourrez plus y échapper. Vous devez entendre notre refus ».

]]>
La Quadrature du Net ouvre la bataille contre la Technopolicehttps://www.laquadrature.net/?p=14713http://streisand.me.thican.net/laquadrature.net/index.php?20190916_110453_La_Quadrature_du_Net_ouvre_la_bataille_contre_la_TechnopoliceMon, 16 Sep 2019 09:04:53 +0000Appel à participation : rejoignez la campagne Technopolice !

En lien avec la conférence de presse tenue à Nice ce matin avec la Ligue des Droits de l’Homme, la FCPE et CGT-Educ, La Quadrature du Net lance un appel à rejoindre la campagne « Technopolice » pour s’opposer aux « Smart City » policières. Elle invite également toutes les organisations intéressées à signer le manifeste associé à cette campagne pour résister à la mise sous surveillance totale de nos villes et de nos vies.

La Smart City révèle enfin son vrai visage : celui d’une mise sous surveillance totale de l’espace urbain à des fins de contrôle. De Nice à Valenciennes en passant par Toulouse, Saint-Étienne, Strasbourg ou Paris, la surveillance massive s’ancre dans l’urbanité. Reconnaissance faciale, police prédictive, surveillance en temps réel des réseaux sociaux : les industriels de la sécurité s’allient aux inconséquents qui peuplent trop souvent nos mairies pour tester et déployer leurs derniers gadgets sécuritaires.

Depuis près d’un an, grâce à des lanceu·ses.rs d’alerte qui nous ont fait parvenir des documents ou en utilisant les lois en matière de transparence administrative, La Quadrature a commencé à documenter ces projets (par exemple à Nice et à Marseille). Après quelques réunions publiques, et après avoir rencontré la CNIL et constaté son coupable laisser-faire, nous avons lancé une première action en justice contre l’expérimentation de la reconnaissance faciale dans les lycées de la région Sud, en lien avec la Ligue des Droits de l’Homme, la CGT-Educ et la FCPE.

Ces initiatives ne font que lever le voile sur ces projets et expérimentations. Pour vraiment porter, elles doivent être démultipliées. C’est dans ce but que nous avons lancé aujourd’hui une plateforme collaborative permettant de fédérer des collectifs d’opposition à la Technopolice.

L’objectif de la plateforme Technopolice sera double : documenter de la manière la plus rigoureuse possible le déploiement de ces projets de surveillance à travers le pays, et construire ensemble des outils et des stratégies de mobilisation capables de les tenir en échec. L’enjeu, c’est de parvenir à organiser des résistances locales en les fédérant afin qu’elles puissent se nourrir les unes les autres.

Seules, ni la petite équipe de La Quadrature du Net ni même les quelques personnes et organisations aujourd’hui mobilisées sur le terrain ne pourront pas grand-chose. Il nous faut réunir un maximum de gens pour faire vivre cette campagne, en particulier au niveau local chaque fois qu’un projet de Smart City sécuritaire verra le jour.

C’est pourquoi nous lançons un appel à participation. Certains de ces groupes locaux pré-existent, par exemple ceux qui se sont engagés contre la vidéosurveillance ces dix dernières années. Dans d’autres cas, ils sont déjà en voie de formation. Et parfois, ils restent à construire. Mais dans tous les cas, la plateforme Technopolice et les outils associés permettront de faciliter leur travail ainsi que leur coordination.

Si vous partagez le constat et le projet du manifeste Technopolice, vous pouvez dès à présent rejoindre le forum dédié au sein duquel nous travaillons à cette campagne : forum.technopolice.fr. Les manières de contribuer sont très variées (animation militante, analyses politiques et juridiques, maintenance d’outils techniques, etc.) et toutes les bonnes volontés sont bienvenues.

Et si vous êtes lié·e à une organisation qui souhaite s’associer à cette campagne, le manifeste est évidemment ouvert à signature (envoyer le nom de la structure, l’URL du site et un logo à contact [at] technopolice.fr).

Le site Technopolice dispose aussi d’une base documentaire consacrée aux projets de Safe City en France et au cadre juridique afférant (data.technopolice.fr), ainsi que, bientôt, d’une plateforme dédiée à la fuite de documents.

Rejoignez cette campagne et faites-la vivre !
La Technopolice ne passera pas !

]]>
[LaCroix] Des données fiscales trafiquées après un piratage informatiquehttps://www.laquadrature.net/?p=14708http://streisand.me.thican.net/laquadrature.net/index.php?20190829_130000__LaCroix__Des_donnees_fiscales_trafiquees_apres_un_piratage_informatiqueThu, 29 Aug 2019 11:00:00 +0000Environ 2 000 déclarations d’impôts ont été modifiées, en juin, par des pirates informatiques. L’attaque a été rapidement détectée mais cet épisode pose à nouveau la question de la sécurité des données personnelles. […]

« La centralisation de toutes ces données par l’État est dangereuse, estime le juriste de la Quadrature du Net. Hacker un hôpital ou une banque est une chose, mais hacker à l’échelle d’un pays peut être très intéressant, que ce soit pour déstabiliser ou pour gagner de l’argent. »

https://www.la-croix.com/France/donnees-fiscales-trafiquees-piratage-informatique-2019-08-21-1201042256

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Konbini] ALICEM, future appli du gouvernement et ‘carte d’identité’ en ligne, est-elle une atteinte grave à nos libertés ?https://www.laquadrature.net/?p=14709http://streisand.me.thican.net/laquadrature.net/index.php?20190829_110000__Konbini__ALICEM__future_appli_du_gouvernement_et____carte_d___identite____en_ligne__est-elle_une_atteinte_grave_a_nos_libertes___Thu, 29 Aug 2019 09:00:00 +0000Imposer la reconnaissance faciale et conserver vos données personnelles pendant six ans…

ALICEM, future appli du gouvernement et « carte d’identité » en ligne, est-elle une atteinte grave à nos libertés ? Réponse avec @laquadrature.

https://twitter.com/konbinitechno/status/1164216026801823744

NDLRP – Diffusé le 21 août sur les supports de konbini.com, Martin Drago, juriste à La Quadrature du Net, évoque les enjeux autour d’ALICEM, et le recours porté par LQDN. Sujet réalisé par Thibault Prévost. À retrouver aussi sur le Peertube de La Quadrature du Net :

Soutenons notre internet, La Quadrature a besoin de vos dons.

]]>
[SudOuest] Assistants vocaux : les précautions à prendre pour éviter d’être écoutéhttps://www.laquadrature.net/?p=14710http://streisand.me.thican.net/laquadrature.net/index.php?20190828_130000__SudOuest__Assistants_vocaux____les_precautions_a_prendre_pour_eviter_d___etre_ecouteWed, 28 Aug 2019 11:00:00 +0000Google, Apple, Facebook, Amazon, Microsoft… ces firmes ont récemment reconnu avoir écouté des conversations d’utilisateurs à partir d’enceintes connectées ou de smartphones dans le but d’améliorer les performances de leurs systèmes. […]

Malgré toutes ces précautions, « le simple fait d’avoir une enceinte connectée comporte un danger sur l’utilisation des extraits vocaux », met en garde Martin Drago, juriste à la Quadrature du net. Aroua Biri, experte en cybersécurité, file la métaphore : « l’enceinte connectée, c’est une personne qui peut nous écouter du matin au soir. Ce que l’on dit en sa présence doit pouvoir être dit devant une assemblée ». […]

https://www.sudouest.fr/2019/08/14/assistants-vocaux-les-precautions-a-prendre-pour-eviter-d-etre-ecoute-6445182-4725.php

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceInter] Protéger les établissements, surveiller les élèves… la reconnaissance faciale est entrée dans les écoleshttps://www.laquadrature.net/?p=14702http://streisand.me.thican.net/laquadrature.net/index.php?20190828_110000__FranceInter__Proteger_les_etablissements__surveiller_les_eleves____la_reconnaissance_faciale_est_entree_dans_les_ecolesWed, 28 Aug 2019 09:00:00 +0000La reconnaissance faciale s’implante dans les écoles du monde entier. En Chine, aux États-Unis et bientôt en France, le dispositif est présent pour protéger les élèves mais aussi pour surveiller leur assiduité d’après les pouvoirs publics. […]

La loi sur la reconnaissance faciale reste floue en France et une fois notre accord donné, notre visage est répertorié ce qui fait qu’on pourrait être « reconnu et surveillé constamment dans l’espace public, sans pouvoir [s’y] opposer, contrairement au principe du libre consentement du Règlement général sur la protection des données (RGPD) » explique Martin Drago, avocat spécialisé dans le droit des données personnelles au média en ligne Cnet. Il est donc urgent de légiférer avant de procéder au déploiement de ces technologies sur la France entière.

https://www.franceinter.fr/societe/proteger-les-etablissements-surveiller-les-eleves-la-reconnaissance-faciale-est-entree-dans-les-ecoles

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceInter] Données personnelles : sommes-nous des victimes consentantes ?https://www.laquadrature.net/?p=14703http://streisand.me.thican.net/laquadrature.net/index.php?20190827_130000__FranceInter__Donnees_personnelles____sommes-nous_des_victimes_consentantes___Tue, 27 Aug 2019 11:00:00 +0000Au moins neuf Français sur dix estiment que leurs données personnelles doivent être mieux protégées, selon une étude Dolmen, Opinionway. Avec tout ce que nous semons en utilisant notre téléphone, notre ordinateur au quotidien, faisons-nous vraiment attention ? Est-ce que nous faisons tout pour protéger nos données ? […]

Autour de la table ce lundi pour en parler, Arthur Messaud, juriste de la Quadrature du net, association de défense des droits et libertés des citoyens sur Internet, Edouard Fillias, vice-président de Génération Libre, think tank qui défend un projet de société libérale. et coauteur du “Manuel de survie sur internet, 100 questions/réponses”, sorti en janvier aux éditions Ellipses et Aloïs Brunel, cofondateur de Deepomatic, entreprise qui vend des solutions aux entreprises qui permet aux entreprises d’automatiser des tâches visuelles comme automatiser l’encaissement des plateaux repas dans une cantine. […]

https://www.franceinter.fr/emissions/le-debat-de-midi/le-debat-de-midi-12-aout-2019

NDLRP – Pastille d’une intervention d’Arthur à retrouver aussi sur le Peertube de La Quadrature du Net :

Soutenons notre internet, La Quadrature a besoin de vos dons.

]]>
[LaCroix] Reconnaissance faciale, entre craintes et fascinationhttps://www.laquadrature.net/?p=14704http://streisand.me.thican.net/laquadrature.net/index.php?20190827_110000__LaCroix__Reconnaissance_faciale__entre_craintes_et_fascinationTue, 27 Aug 2019 09:00:00 +0000Depuis plusieurs années, la reconnaissance faciale suscite l’interêt des autorités françaises, encouragées par des industriels souhaitant promouvoir des solutions censées améliorer la sécurité. Cependant, ces technologies soulèvent les craintes des défenseurs des libertés publiques. […]

« L’application passe par la collecte de données très sensibles et on ne peut plus personnelles », alerte Benoît Piédallu, membre de La Quadrature du Net. D’autant que les vidéos envoyées par les utilisateurs permettent une reconnaissance bien plus précise qu’une simple photo.

« Que se passera-t-il en cas de fuite de données ? Et si, dans quelques années, un gouvernement moins regardant sur le droit des citoyens dispose d’une base regroupant l’identité faciale de toute la population et souhaite y recourir pour identifier manifestants ou opposants, qu’est-ce qui l’empêchera de le faire ? Il lui suffira d’adopter un décret pour accéder à cette base. » Ce militant met en garde contre la banalisation de telles technologies. […]

https://www.la-croix.com/France/Securite/Reconnaissance-faciale-entre-craintes-fascination-2019-08-13-1201040781

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceCulture] La vidéosurveillance par drone à Istreshttps://www.laquadrature.net/?p=14705http://streisand.me.thican.net/laquadrature.net/index.php?20190826_130000__FranceCulture__La_videosurveillance_par_drone_a_IstresMon, 26 Aug 2019 11:00:00 +0000L’utilisation des drones peut parfois conduire à des dérives. A Istres dans le Bouches-du-Rhône, la police municipale est soupçonnée d’utiliser les appareils pour faire de la surveillance en tout genre. On verra ça avec Maxime Fayolle. […]

NDLRP: Le reportage complet est à retrouver dans le podcast du journal, de 8 minutes 20′ à 10 minutes 26′.

https://www.franceculture.fr/emissions/journal-de-8-h/journal-de-8h-du-lundi-12-aout-2019

NDLRP2 – Passage de Martin Drago, juriste à La Quadrature du Net, dans le reportage de Maxime Fayolle diffusé dans le journal de 8H sur France Culture le lundi 12 août 2019 à retrouver aussi sur le Peertube de La Quadrature du Net :

Réaction faisant suite à la demande CADA réalisée par La Quadrature du Net à propos de l’utilisation des drones par la ville d’Istres, où LQDN s’est aperçue que 77% du temps de leur utilisation avait été consacrée à la surveillance des manifestations.

Soutenons notre internet, La Quadrature a besoin de vos dons.

]]>
[Societe.com] Facebook met en pratique ses résolutionshttps://www.laquadrature.net/?p=14706http://streisand.me.thican.net/laquadrature.net/index.php?20190826_110000__Societe.com__Facebook_met_en_pratique_ses_resolutionsMon, 26 Aug 2019 09:00:00 +0000Vendredi, le site The Information annonçait un premier pas de Facebook vers la clarification de ses activités. Le groupe commence à raccorder ses applications avec la mention « par Facebook ». […]

« Ils vont pouvoir entrecroiser les plateformes techniques et continuer à en savoir plus », s’alarme Axel Simon, membre de l’association La Quadrature du Net. Parmi les motivations derrière cette opération, celui-ci évoque une défense face aux autorités de la concurrence et une volonté de redorer leur image, Instagram n’ayant pas pâti des mêmes scandales que Facebook. Il soulève également des risques au niveau de la modération, ces plateformes étant déjà conséquentes individuellement.

https://www.societe.com/actualites/facebook_met_en_pratique_ses_resolutions-37848.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Surveillance publicitaire : compte-rendu du référé contre la CNILhttps://www.laquadrature.net/?p=14693http://streisand.me.thican.net/laquadrature.net/index.php?20190821_160241_Surveillance_publicitaire____compte-rendu_du_refere_contre_la_CNILWed, 21 Aug 2019 14:02:41 +0000Le 14 août se tenait au Conseil d’État l’audience de référé de notre affaire contre la CNIL. Nous demandions à ce que soit suspendue dans l’urgence son autorisation donnée aux sites Web de nous tracer à des fins publicitaires sans notre consentement « explicite » pendant un an. Le Conseil d’État a rendu sa décision extrêmement rapidement : il a considéré qu’il n’y avait pas d’urgence à trancher le débat « en référé » car l’audience « au fond » a finalement été fixée au 30 septembre 2019, ce qui est aussi extrêmement rapide et nous satisfait presque tout autant.

Expliquons en détail ce qui s’est déroulé.

Rappel des épisodes précédents

La CNIL a publié deux articles, les 28 juin et 18 juillet, dans lesquelles elle annonçait ceci : le fait de continuer de consulter un site Web après avoir été informé·e de la présence de traceurs publicitaire (via un « bandeau cookie ») pourra être considéré comme une façon « acceptable » de donner notre consentement, et ce jusqu’à l’été 2020. Comme nous l’expliquions, cette annonce est parfaitement contraire au RGPD, qui exige un consentement « explicite » : nous devons cliquer sur un bouton « j’accepte », notre silence ne vaut pas acceptation. La CNIL n’a aucun pouvoir pour en décider autrement.

Le 29 juillet, nous déposions une requête en référé suspension contre cette décision devant le Conseil d’État. Comme nous l’expliquions alors, nous avons choisi d’agir en référé (c’est à dire dans l’urgence) de peur que la décision du Conseil d’État intervienne trop tard, au-delà du terme de la « période de tolérance » d’un an laissée par la CNIL. En effet, dans nos autres affaires portées devant le Conseil d’État, nous devons généralement attendre deux ou trois années avant d’être entendu·es en audience (voir par exemple le récit de nos actions contre la loi renseignement et la conservation généralisée des données de connexion).

L’audience en référé

L’audience a été fixée tôt, au 14 août, alors que nous jonglions tou·tes entre nos vacances et la préparation d’autres affaires.

D’habitude, devant le Conseil d’État, l’oralité a très peu de place : les débats se font principalement à l’écrit et les parties (c’est à dire les personnes ou organisations en désaccord) ne reprennent pas leurs arguments à l’oral lors de l’audience. En matière de référé, les choses sont bien différentes : les parties ayant eu peu de temps pour développer leurs arguments à l’écrit, c’est à l’audience et à l’oral que se tient tout le débat ou presque. Typiquement, dans notre cas, nous avons rédigé notre requête en dix jours et la CNIL y a répondu dix jours plus tard, le 9 août, ne nous laissant pas assez de temps pour y répliquer convenablement à l’écrit.

L’audience est ainsi organisée pour favoriser ces échanges oraux : un·e unique juge reçoit les deux parties autour d’une table et prend le temps de soulever dans le détail chaque point de débat. Dans notre cas, cela aura pris deux heures, de 11h à 13h.

De notre côté, nous étions assisté·es par Me Ricard, avocat aux conseils de permanence (dans certaines affaires devant le Conseil d’État ou devant la Cour de cassation, seul·es des avocat·es spécialisé·es, dit·es « avocats aux conseils », peuvent plaider – ce n’était pas le cas dans notre affaire de référé, mais nous avons préféré être assisté·es d’un tel avocat par soucis du bon usage). Me Ricard partageait la parole avec Alexis et Benjamin, deux de nos membres, et Arthur, l’un de nos salarié·es. Alexis, avocat spécialisé en droit public, a pu répondre aux points formels les plus spécifiques. Benjamin, ingénieur, a fait un exposé sur les traceurs présents sur le site du Monde, pour ancrer le débat dans le réel et en pointer les enjeux concrets. Arthur, qui suit le développement de ces textes au quotidien, a pu détailler l’articulation entre le RGPD et la directive ePrivacy, qui est l’une des spécificités de cette affaire.

En face, la CNIL était représentée par cinq personnes, dont une seule a pris la parole. Curieusement, elle a dit regretter de ne pas être assistée d’un expert technique, contrairement à nous. Tout aussi curieusement, elle prenait le soin de rappeler régulièrement qu’une des missions de la CNIL est d’accompagner les entreprises, alors que nous lui reprochions précisément de ne pas assez prendre en compte les droits fondamentaux de la population.

Une quinzaine de personnes étaient venues assister à l’audience dans le public.

Les points débattus

Durant les deux heures de débats, la question de fond, à savoir si la décision de la CNIL est légale ou justifiée, a finalement été peu abordée. L’essentiel des échanges visait à déterminer s’il fallait ou non que le Conseil d’État se prononce dans l’urgence. Pour cela, nous avons rappelé que, s’il en était autrement, les délais de procédures habituels rendraient notre action inutile, nous privant de « recours effectif ».

Mais ce n’est pas tout : il fallait aussi démontrer que l’acte que nous attaquons cause un préjudice suffisamment grave. Dans une procédure « normale », ce n’est pas nécessairement un point central du débat : un acte de la CNIL peut être annulé du simple fait qu’il est illégal, sans avoir à évaluer la gravité des torts qu’il cause. Il en va autrement en référé : pour justifier que les juges agissent dans l’urgence, il faut que les effets concrets de l’acte soient particulièrement graves. Ainsi, la CNIL a défendu que sa décision ne causait en elle-même aucune réduction de notre droit à la protection des données. Elle a prétendu que de nombreux sites Web ne respectent pas notre consentement « explicite » depuis des années et que prolonger cet état de fait n’était pas une « aggravation » de la situation mais le simple maintien d’un statu quo qui, aussi nuisible soit-il, ne serait pas du fait de la CNIL.

Nous avons pu expliquer que c’était faux : depuis des années, diverses autorités européennes ont très clairement dit que les cookies et autres traceurs ne pouvaient être utilisés à des fins publicitaires qu’avec notre consentement explicite et que la « poursuite de la navigation » n’était plus un mode d’expression valable du consentement au regard du RGPD. De nombreux acteurs économiques ont à leur tour repris ce discours pour inviter à une évolution de la pratique (voir par exemple ces articles publiés par un conseiller spécialisé dans la publicité en ligne, une agence de développement Web, un conseiller en conformité RGPD ou un site d’actualité de droit du numérique).

Ainsi, la décision de la CNIL que nous attaquons a bien aggravé la situation : de nombreux acteurs jusqu’alors convaincus de devoir obtenir un consentement explicite sont désormais assurés par la CNIL de pouvoir se satisfaire d’un simple « qui ne dit mot consent », diminuant notre droit à la protection des données et défavorisant les acteurs respectueux du droit face à leurs concurrents.

La décision

Juste après l’audience, le jour même, le juge des référés a rendu sa décision, qui nous est parvenue deux jours plus tard. La rapidité de sa décision s’explique par sa simplicité : il n’y avait plus d’urgence à trancher en référé car l’audience « au fond » venait d’être fixée au 30 septembre, 40 jours plus tard.

En matière de référé-suspension, qui est la procédure que nous avons choisie, toute demande de décision urgente accompagne nécessairement une demande principale, dite « au fond ». Si le juge des référés estime que l’illégalité pointée par le requérant est suffisamment urgente et conséquente, il suspendra, de façon provisoire, les effets de l’acte attaqué jusqu’à la publication de la décision définitive au fond. Dans l’hypothèse inverse, le juge rejettera le référé et l’affaire reprend sa voie « normale », « au fond », soumise aux délais et à la procédure habituelle de la juridiction. C’est ce qui s’est passé pour nous. Toutefois, l’audience au fond (non urgente) a été fixée extrêmement tôt, au 30 septembre.

Les craintes qui nous avaient poussé·es à choisir la voie du référé avaient disparues. Il n’y avait plus urgence à obtenir une décision du juge des référés, qui s’en est donc abstenu, pour ce seul motif. Formellement, il rejette notre demande. Concrètement, il nous renvoie à l’audience du 30 septembre.

La suite

Un point demeure curieux : pourquoi l’audience au fond a-t-elle était fixée si tôt, défiant tous les délais habituels du Conseil d’État ? Une piste de réflexion pourrait être que la question que nous soulevons est assez grave, au point que le Conseil d’État a souhaité en décharger le juge des référés, qui aurait pu décider seul et de façon provisoire, pour s’en saisir pleinement et en détail par une décision définitive et collégiale (par plusieurs juges, selon la procédure « normale »).

En effet, répondre à notre question pourrait avoir d’importantes conséquences juridiques, dépassant le seul cas de la CNIL : une autorité administrative indépendante peut-elle décider de n’appliquer une disposition légale à aucun des cas qu’elle est sensée contrôler ? Certes, les autorités de contrôle, de même que les procureur·es, disposent d’un certains « pouvoir d’opportunité » pour apprécier au cas par cas si telle ou telle affaire mérite d’être poursuivie. Mais la décision qu’a pris la CNIL dans notre cas est bien plus large que du « cas par cas ». Pendant un an, elle refuse de poursuivre n’importe quel site Web violant l’exigence de consentement explicite. Une telle décision a une portée générale et abstraite, ce qui est normalement le monopole du pouvoir législatif. Cette décision, et sa publicité, a aussi pour effet d’inciter les acteurs à violer la loi, en contradiction des missions de la CNIL.

Nous sommes impatient·es d’entendre les conclusions du rapporteur public (il s’agit du membre de la formation de jugement chargé d’examiner les affaires et de conseiller les juridictions administratives, dont les avis sont très généralement suivis). L’audience étant publique, nous vous y retrouverons avec plaisir ! Le 30 septembre, 1 place du Palais Royal à Paris. Nous communiquerons l’heure exacte dès que nous l’aurons !

]]>
Recours contre le renseignement français : audience devant la Cour de Justice de l’Union européenne le 9 septembre 2019https://www.laquadrature.net/?p=14666http://streisand.me.thican.net/laquadrature.net/index.php?20190812_131509_Recours_contre_le_renseignement_fran__ais____audience_devant_la_Cour_de_Justice_de_l___Union_europeenne_le_9_septembre_2019Mon, 12 Aug 2019 11:15:09 +0000Le 9 septembre prochain, se tiendra à Luxembourg, devant la Grande chambre de la Cour de Justice de l’Union européenne, l’audience sur la loi Renseignement française et l’obligation de conservation généralisée des données de connexion.

Cette audience marque l’aboutissement de presque quatre années de procédures, engagées depuis le 30 novembre 2015 par La Quadrature du Net, FDN et FFDN, au travers des Exégètes amateurs, rejoints par Igwan.net.

Le résultat pourrait bouleverser tout le régime de surveillance français.

Pour rappel, il s’agit d’un contentieux qui concerne la conformité du régime français de surveillance au regard du droit de l’Union européenne. A la suite de nos procédures devant les juridictions françaises depuis 2015, le Conseil d’État a accepté l’année dernière de poser à la Cour de Justice de l’Union européenne cinq questions sur cette conformité : trois questions qui concernent la loi Renseignement votée en France en 2015 et deux questions qui concernent l’obligation pour les acteurs de l’Internet de conserver pendant un an les données de connexion sur l’ensemble de la population (voir à cette occasion le site de campagne que nous avions lancé).

Nous étions déjà longuement revenu dans plusieurs articles sur ce contentieux, n’hésitez pas à les relire pour bien comprendre les enjeux de ce dossier :

  • dans cet article du 10 juillet 2018, à l’occasion de deux audiences devant le Conseil d’État, nous rappelons tout l’historique de ce contentieux. Il y a d’un côté, la loi Renseignement adoptée en juillet 2015 (nous avons attaqué avec FDN et FFDN les décrets d’application de cette loi dès le 30 novembre 2015). Il y a de l’autre côté, le régime de conservation des données de connexion de l’ensemble de la population imposé aux acteurs de l’Internet (que nous avons attaqué en septembre 2015, également avec FDN et FFDN) ;
  • dans ces articles du 26 juillet 2018 et du 27 novembre 2018, nous revenons, à la suite de cette audience, sur la décision du Conseil d’État qui a enfin accepté de poser à la Cour de justice de l’Union européenne les cinq questions citées plus haut qui sont susceptibles de remettre en cause la compatibilité du droit français au droit de l’Union ;
  • enfin, dans cet article du 13 décembre 2018, nous détaillons les arguments que nous avons soulevés devant la Cour de Justice de l’Union européenne et qui seront donc discutés lors de l’audience à venir.

L’audience du 9 (et peut-être 10 si l’audience se prolonge) septembre sera donc d’une importance capitale : son issue pourrait remettre en cause l’ensemble du régime de surveillance en France. La participation de La Quadrature du Net a un coût (transport et hébergement) qui n’était pas prévu dans notre budget annuel, alors même que notre objectif de dons annuel n’est toujours pas atteint.

Pour nous aider sur cette action et pour que La Quadrature du Net puisse continuer son combat, faites un don sur don.laquadrature.net.

]]>
[Numerama] La Quadrature du Net tient parole : elle attaque la CNIL pour sa frilosité à appliquer le RGPDhttps://www.laquadrature.net/?p=14664http://streisand.me.thican.net/laquadrature.net/index.php?20190807_130000__Numerama__La_Quadrature_du_Net_tient_parole____elle_attaque_la_CNIL_pour_sa_frilosite_a_appliquer_le_RGPDWed, 07 Aug 2019 11:00:00 +0000Le 14 août se tiendra une audience devant le Conseil d’État. La Quadrature du Net veut contraindre la CNIL à appliquer le RGPD sous toutes ses dimensions et ne plus accorder de périodes transitoires. […]

« La justification avancée par la CNIL d’ « exigence juridique de prévisibilité » ne tient donc aucunement : les acteurs de l’Internet ont eu plus de deux ans pour se conformer à ces nouvelles obligations. La lettre du RGPD est parfaitement claire, déjà expliquée en long, en large et en travers : la protection de nos libertés fondamentales ne peut connaître aucun nouveau sursis », déclare l’association. […]

https://www.numerama.com/politique/538171-la-quadrature-du-net-tient-parole-elle-attaque-la-cnil-pour-sa-frilosite-a-appliquer-le-rgpd.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LesEchos] Apple admet écouter certaines conversations privées via Sirihttps://www.laquadrature.net/?p=14663http://streisand.me.thican.net/laquadrature.net/index.php?20190807_110000__LesEchos__Apple_admet_ecouter_certaines_conversations_privees_via_SiriWed, 07 Aug 2019 09:00:00 +0000Un ancien sous-traitant de l’entreprise a révélé que des contractuels sont chargés d’écouter des enregistrements réalisés par l’outil de commande vocale Siri à l’insu des utilisateurs. Une manœuvre qui serait destinée à « améliorer les performances » du dispositif, mais qui contraste avec la position stricte d’Apple en matière de respect des données personnelles. […]

Un avis partagé par un membre de l’association œuvrant pour la défense des libertés numériques La Quadrature du Net et connu sous le pseudonyme « Klorydryk». révèle aussi que les Gafam sont plus humanisés qu’on ne le croit. « Les Gafam nous avaient fait des promesses sur le plan technique » estime-t-il. « L’une d’entre elles consistait à ce que les données soient surtout traduites par des robots… Pourtant, de nombreux cas, comme le fait que des tiers soient ici employés par Apple, nous prouvent que ce n’est pas vrai, ce dont on se doutait déjà après le scandale autour des écoutes réalisées par Amazon grâce à Alexa. »

https://www.lesechos.fr/tech-medias/hightech/apple-admet-ecouter-certaines-conversations-privees-via-siri-1041502

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LeFigaro] En France, la reconnaissance faciale attestera bientôt de votre « identité numérique »https://www.laquadrature.net/?p=14659http://streisand.me.thican.net/laquadrature.net/index.php?20190806_130000__LeFigaro__En_France__la_reconnaissance_faciale_attestera_bientot_de_votre_____identite_numerique____Tue, 06 Aug 2019 11:00:00 +0000Un décret du gouvernement a officialisé le développement d’une application mobile d’authentification d’identité. Baptisée « AliceM », elle fait appel à un dispositif de reconnaissance faciale. Certaines associations s’inquiètent. […]

La Commission propose de mettre en place des solutions alternatives à la reconnaissance faciale pour garantir un consentement libre comme un face-à-face en préfecture ou un appel vidéo avec un agent de l’ANTS. Des solutions qui n’ont pas été retenues par le gouvernement dans son décret. « Le plus inquiétant dans cette procédure, c’est que nous constatons une perte de pouvoir de la CNIL. Si même le gouvernement ne l’écoute plus, qui va le faire ? » s’interroge Martin Drago, juriste au sein de la Quadrature du Net, contacté par Le Figaro […].

http://www.lefigaro.fr/secteur/high-tech/en-france-la-reconnaissance-faciale-attestera-bientot-de-votre-identite-numerique-20190729

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Mediapart] Dans le ventilateur à données de l’appli Météo-Francehttps://www.laquadrature.net/?p=14660http://streisand.me.thican.net/laquadrature.net/index.php?20190806_110000__Mediapart__Dans_le_ventilateur_a_donnees_de_l___appli_Meteo-FranceTue, 06 Aug 2019 09:00:00 +0000Il suffit d’une autorisation donnée à une entreprise de la publicité en ligne pour qu’aussitôt nos données personnelles soient transmises à tous les acteurs du marché, et traversent frontières et océans. Mediapart s’est penché sur le cas de l’appli Météo-France, dans laquelle la publicité abonde, et qui alimente via sa régie plus de cinquante acteurs et Facebook. […]

Dans ses toutes nouvelles « lignes directrices », la Cnil rappelle aux acteurs de ce marché publicitaire que « les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs. Ils doivent laisser la possibilité d’accéder au service même en cas de refus de consentir. Ils doivent fournir un dispositif de retrait du consentement facile d’accès et d’usage ». Elle leur laisse encore un délai de plusieurs mois pour se mettre en conformité avec les règles du RGPD, au grand dam de la Quadrature du Net, l’association en pointe dans la lutte pour la protection des données personnelles, qui déplore un « mépris total du droit européen ». […]

https://www.mediapart.fr/journal/economie/250719/dans-le-ventilateur-donnees-de-l-appli-meteo-france

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FranceInfo] ‘Libra’, la monnaie virtuelle de Facebook, ‘peut potentiellement détrôner de très grandes monnaies’https://www.laquadrature.net/?p=14657http://streisand.me.thican.net/laquadrature.net/index.php?20190805_130000__FranceInfo_____Libra_____la_monnaie_virtuelle_de_Facebook_____peut_potentiellement_detroner_de_tres_grandes_monnaies___Mon, 05 Aug 2019 11:00:00 +0000Pour Mark Zuckerberg, le patron du réseau social américain, il s’agit de rendre le transfert d’argent sur sa plateforme aussi facile que le partage d’une photo.

Alors que le G7 Finances s’alarme des risques que Libra, le projet de crypto-monnaie de Facebook, ferait courir au système monétaire international, elle « peut potentiellement détrôner de très grandes monnaies », selon Gilles Babinet, le vice-président du Conseil national du numérique Gilles Babinet. Selon lui, « la portée sera sans doute bien supérieure aux achats en ligne ». […]

https://www.francetvinfo.fr/internet/reseaux-sociaux/facebook/libra-la-monnaie-virtuelle-de-facebook-peut-potentiellement-detroner-de-tres-grandes-monnaies_3541641.html

NDLRP: Et à retrouver sur le peertube de LQDN, l’entretien sur le sujet avec Axel Simon de La Quadrature du Net :

[Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[NextINpact] Surfer vaut consentement aux cookies : la tolérance de la CNIL attaquée au Conseil d’Étathttps://www.laquadrature.net/?p=14656http://streisand.me.thican.net/laquadrature.net/index.php?20190805_110000__NextINpact__Surfer_vaut_consentement_aux_cookies____la_tolerance_de_la_CNIL_attaquee_au_Conseil_d___EtatMon, 05 Aug 2019 09:00:00 +0000La CNIL a décidé que pendant une période transitoire d’un an, la poursuite de la navigation vaudra expression du consentement à l’installation des cookies. Intolérables pour la Quadrature du Net et Caliopen qui, dans un recours au Conseil d’État, lui opposent le RGPD. […]

Selon elles, le choix de la CNIL prive finalement « tant la loi française que des normes issues de l’ordre juridique de l’Union européenne de tout effet dissuasif contre l’utilisation illicite de cookies et autres traceurs en ligne pour surveiller les personnes sans leur consentement explicite ». […]

https://www.nextinpact.com/news/108110-surfer-vaut-consentement-aux-cookies-tolerance-cnil-attaquee-au-conseil-detat.htm

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[LeMonde] La reconnaissance faciale pour s’identifier en ligne inquiète les défenseurs des libertés numériqueshttps://www.laquadrature.net/?p=14654http://streisand.me.thican.net/laquadrature.net/index.php?20190804_130000__LeMonde__La_reconnaissance_faciale_pour_s___identifier_en_ligne_inquiete_les_defenseurs_des_libertes_numeriquesSun, 04 Aug 2019 11:00:00 +0000Un recours a été déposé devant le Conseil d’Etat pour faire annuler le décret autorisant l’application AliceM. […]

Le 15 juillet, l’association spécialisée La Quadrature du Net a déposé un recours devant le Conseil d’Etat pour annuler le décret du 13 mai autorisant le dispositif. Elle dénonce un traitement intrusif de données biométriques « ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat  ». […]

https://www.lemonde.fr/societe/article/2019/07/27/la-reconnaissance-faciale-pour-s-identifier-en-ligne-inquiete-les-defenseurs-des-libertes-numeriques_5494076_3224.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[FrequenceProtestante] Vidéosurveillance et fichagehttps://www.laquadrature.net/?p=14655http://streisand.me.thican.net/laquadrature.net/index.php?20190804_110000__FrequenceProtestante__Videosurveillance_et_fichageSun, 04 Aug 2019 09:00:00 +0000[NDLRP : Sylvain Steer de La Quadrature du Net dans l’émission enregistrée le 14 juin et dont la première partie a été diffusée le 23 juin 2019, dans l’émission Parole aux associations de Fréquence protestante avec Nathalie Zanon.]

https://frequenceprotestante.com/diffusion/mouvement-international-de-la-reconciliation-m-i-r-du-23-06-2019/

À retrouver aussi sur le peertube de La Quadrature du Net :

Soutenons notre internet, La Quadrature a besoin de vos dons.

]]>
[LaTribune] Pourquoi la loi Avia sur la haine en ligne fait l’unanimité contre ellehttps://www.laquadrature.net/?p=14652http://streisand.me.thican.net/laquadrature.net/index.php?20190803_130000__LaTribune__Pourquoi_la_loi_Avia_sur_la_haine_en_ligne_fait_l___unanimite_contre_elleSat, 03 Aug 2019 11:00:00 +0000Qu’il s’agisse des fédérations professionnelles du numérique, des observateurs de la société numérique, ou des défenseurs des libertés, les acteurs du numérique français sont vent debout contre la loi Avia sur la haine en ligne, actuellement débattue à l’Assemblée nationale. Explications. […]

Pour les défenseurs des libertés, notamment La Quadrature du Net, les plateformes seront en fait poussées à « sur-modérer », c’est-à-dire à censurer des contenus contestables « par précaution », simplement pour ne pas prendre le risque de se voir infliger l’amende. Avec un risque d’instrumentalisation par le pouvoir politique. Occupés à trier les contenus de la zone grise, c’est-à-dire les contenus choquants, contestables mais pas forcément illégaux, les plateformes pourraient censurer d’office tout contenu signalé par une autorité officielle, comme la police, craint l’association. […]

https://www.latribune.fr/technos-medias/internet/pourquoi-la-loi-avia-sur-la-haine-en-ligne-fait-l-unanimite-contre-elle-822462.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[01net] Quand le renseignement français collecte des informations… en toute illégalitéhttps://www.laquadrature.net/?p=14653http://streisand.me.thican.net/laquadrature.net/index.php?20190803_110000__01net__Quand_le_renseignement_fran__ais_collecte_des_informations____en_toute_illegaliteSat, 03 Aug 2019 09:00:00 +0000Sous couvert de lutte contre le terrorisme, les services secrets français collectent et partagent leurs informations, en l’absence de cadre juridique. La Quadrature du Net vient de saisir le Conseil d’État concernant l’existence de cet « entrepôt » ultraconfidentiel. […]

La prophétie s’est finalement réalisée mardi 25 juin. La Quadrature du Net (LQDN), une association qui défend les droits numériques et n’en est pas à son coup d’essai, a déposé un recours devant le Conseil d’État. Le motif : « les activités illégales de partage de données entre services de renseignement ». […]

https://www.01net.com/actualites/quand-le-renseignement-francais-collecte-des-informations-en-toute-illegalite-1724035.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
[Reporterre] Avec la 5G, demain, tous surveilléshttps://www.laquadrature.net/?p=14640http://streisand.me.thican.net/laquadrature.net/index.php?20190802_130000__Reporterre__Avec_la_5G__demain__tous_surveillesFri, 02 Aug 2019 11:00:00 +0000Sous ses atours attrayants, la 5G pose des problèmes de sécurité du réseau, de confidentialité des conversations, de neutralité d’internet et de surveillance des populations. Sans débat démocratique autour de son déploiement, ces questions demeurent sans réponse. […]

Pour la Quadrature du Net, une association de défense des droits et libertés des citoyens sur internet, il ne s’agit que de considérations commerciales. « Les opérateurs estiment que certains sites, comme Netflix ou YouTube, se font de l’argent sur leur dos en utilisant leurs infrastructures. Ils aimeraient proposer une connexion internet de base et faire payer plus cher l’accès à certains services. Dans ce cas, qui va décider des choses à prioriser ? Ce n’est pas aux fournisseurs d’accès à internet de dire qui peut s’exprimer en ligne, d’estimer le volume de données raisonnables. Vous vous rendez compte du pouvoir que cela leur donnerait ? Il y a ici un fort enjeu de liberté », explique Alexis O Cobhthaigh, avocat et membre de la Quadrature du Net […]

https://reporterre.net/Avec-la-5G-demain-tous-surveilles

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
Surveillance publicitaire : La Quadrature du Net attaque la CNIL en référéhttps://www.laquadrature.net/?p=14642http://streisand.me.thican.net/laquadrature.net/index.php?20190802_112521_Surveillance_publicitaire____La_Quadrature_du_Net_attaque_la_CNIL_en_refereFri, 02 Aug 2019 09:25:21 +0000Ce lundi 29 juillet, comme annoncé, nous avons déposé devant le Conseil d’État, avec l’association Caliopen, un recours contre la décision de la CNIL d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020.

Sur le fond, nous avions déjà présenté les principaux points de contexte de ce recours dans notre article du 28 juin 2019.

Pour rappel, le 28 juin 2019, la CNIL publie un article sur son site où elle annonce l’adoption de futures lignes directrices en matière de cookies et de traceurs en ligne. Elle précise que « la CNIL laissera aux acteurs une période transitoire de 12 mois » durant laquelle « la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ». Le 4 juillet, la CNIL adopte les lignes directrices annoncées. Le 18 juillet, elle publie un second article dans laquelle elle déclare que les lignes directrices seront suivies d’une nouvelle recommandation au premier trimestre 2020 (venant préciser ces lignes directrices) et qu’ « une période d’adaptation, s’achevant six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles ».

C’est cette décision que nous attaquons. Non pas les nouvelles lignes directrices ou les futures recommandations, mais celle, qui nous a été confirmé directement par la CNIL, d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020.

Pourquoi nous attaquons cette décision ?

Parce que, comme nous l’expliquions déjà, elle est totalement illégale. Vous pouvez lire l’avant-propos de notre recours qui reprend tous nos arguments.

Reprenons rapidement : la directive 2002/58 (dite « directive ePrivacy ») prévoit que les «  Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord », c’est à dire : l’utilisation de cookies n’est possible qu’avec le consentement de chaque personne concernée. Cette directive ePrivacy prévoit que ce consentement doit respecter les mêmes garanties que celles définies dans l’ancienne directive 95/46 (cette directive 95/46 a depuis été remplacée par Règlement général sur la protection de données, dit « RGPD »). Or, la directive de 95 acceptait qu’un consentement puisse être implicite. Et cela avait ainsi permis à la CNIL, dans une recommandation de 2013, de dire que, sur un site Internet, « la poursuite de sa navigation vaut accord au dépôt de cookies ».

Mais, depuis l’entrée en vigueur du RGPD, cela a totalement changé. Maintenant, le consentement doit être explicite et cette modification est d’effet immédiat sur la directive ePrivacy : la recommandation de 2013 de la CNIL est alors devenue caduque. D’ailleurs, en avril 2018, un mois avant l’entrée en vigueur du RGPD, le « groupe de l’article 29 » (G29, devenu depuis « Comité européen de protection des données », ou EDPB) a ainsi publié des lignes directrices sur le consentement dans lequel il précise que « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ».

Cela veut donc dire que dès l’entrée en vigueur du RGPD, c’est-à-dire mai 2018, il avait déjà clairement été énoncé que la « poursuite de la navigation » ne valait pas comme mode d’expression du consentement. La justification avancée par la CNIL d’ « exigence juridique de prévisibilité » ne tient donc aucunement : les acteurs de l’Internet ont eu plus de deux ans pour se conformer à ces nouvelles obligations. La lettre du RGPD est parfaitement claire, déjà expliquée en long, en large et en travers : la protection de nos libertés fondamentales ne peut connaître aucun nouveau sursis.

Le choix du référé-suspension

Nous avons cette fois choisi d’agir en urgence en utilisant la procédure du référé-suspension. Il s’agit, quand on demande l’annulation d’une décision administrative, de demander en plus au juge de suspendre cette décision le plus rapidement possible, avant qu’il fasse droit, ou non, à la demande d’annulation. En effet, il se passe plusieurs mois et parfois plusieurs années avant que le juge ait pu statuer sur la demande d’annulation. Le référé permet ainsi de suspendre temporairement une décision. Deux conditions pour cela : prouver l’urgence et le doute sérieux sur la légalité de la décision.

Sur l’urgence : en disant que personne ne sera sanctionné sur ce fondement jusqu’à l’année prochaine, nous avons souligné que la décision de la CNIL produisait déjà des effets préjudiciables car elle encourageait dès maintenant l’utilisation illicite de cookies et traceurs sans notre consentement explicite. Il est donc important de la suspendre au plus vite.

Quant au doute sérieux sur la légalité : nous avons expliqué, en lien avec les arguments précisés ci-dessus, que la CNIL n’avait aucun pouvoir pour prendre une telle décision qui revient, encore une fois, à encourager la surveillance des personnes en ligne sans leur consentement explicite. Une telle décision constitue une atteinte grave à notre droit à la vie privée et à la protection des données personnelles et ne peut en aucun être justifiée par le principe de prévisibilité. Elle rentre en totale contradiction avec le RGPD que la CNIL est justement censée faire respecter.

Il reste maintenant à attendre la décision du Conseil d’État. L’audience de référé se tiendra le 14 août. Il devra ensuite se prononcer rapidement (normalement dans quelques semaines) sur notre référé-suspension puis se prononcer sur notre recours au fond. Considérer la poursuite de la navigation comme une expression valable du consentement constitue un dévoiement de nos libertés extrêmement décevant de la part de la CNIL. Cette décision doit donc être urgemment suspendue, puis annulée au plus vite.

]]>
[LeMonde] « Il ne faut pas réguler Facebook ou Google mais s’en libérer »https://www.laquadrature.net/?p=14641http://streisand.me.thican.net/laquadrature.net/index.php?20190802_110000__LeMonde______Il_ne_faut_pas_reguler_Facebook_ou_Google_mais_s___en_liberer____Fri, 02 Aug 2019 09:00:00 +0000Pour l’association la Quadrature du Net, la régulation des contenus haineux par les géants du Web est vouée à l’échec.

La proposition de loi de la députée LRM Laetitia Avia, qui impose le retrait sous 24 heures des contenus haineux signalés aux réseaux sociaux, sous peine de lourdes sanctions, n’est autre qu’une « privatisation de la justice » au profit de Facebook, Google et Twitter, qui décideront ce qu’on a le droit de dire sur Internet, critique Arthur Messaud, juriste de la Quadrature du Net […]

https://www.lemonde.fr/economie/article/2019/06/22/il-ne-faut-pas-reguler-facebook-ou-google-mais-s-en-liberer_5480100_3234.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

]]>
De la modérationhttps://www.laquadrature.net/?p=14621http://streisand.me.thican.net/laquadrature.net/index.php?20190722_145058_De_la_moderationMon, 22 Jul 2019 12:50:58 +0000Une tribune d’Okhin

Le sujet fleurit dans tous les espaces. Les GAFAM demandent à cor et à cri des règles de modération qu’ils pourraient appliquer, se contentant pour le moment de leurs « règles communautaires » qui ne sont au final ni des règles — dans le sens où elles ne sont appliquées que partialement — ni communautaires — car personne d’autre que les GAFAM n’a été impliqué dans leur processus de rédaction. À la dernière RightsCon à Tunis, de nombreuses discussions tournaient autour des problèmes liés à la gestion de la haine en ligne et à la modération de contenu, et autour du rôle que les plateformes devraient tenir vis-à-vis de leurs utilisatrices. Les systèmes fédératifs se jettent aussi dans la discussion : Mastodon a instauré un critère de Safe Space[1], demandant à chaque instance voulant être listée sur https://joinmastodon.org de mettre en place des mesures de modération active dans le but de lutter contre les discriminations. Nous-même, au sein de La Quadrature, sommes en pleines discussions, parfois houleuses, vis-à-vis de la modération de notre instance Mamot.fr (qui n’est donc, pour l’instant, pas listée sur https://joinmastodon.org). Les gouvernements veulent, encore une fois, combattre la haine en ligne (voir par exemple, la proposition de loi de la députée Avia pour combattre la haine en ligne) et la radicalisation et cherchent à s’en remettre aux pouvoirs privés des GAFAM.

Le débat s’est centré sur la régulation de la parole en ligne. S’appuyant sur le fait qu’il faut bien faire quelque chose, et suite à l’attaque terroriste commise par un militant identitaire contre deux mosquées à Christchurch en Nouvelle-Zélande, les États et les plateformes géantes se sont alliées dans un vibrant appel de Christchurch[2]. Cet appel se contente de promouvoir la solution magique de la suppression de contenu en ligne, sans se poser la question de ce qui a poussé nos sociétés vers cette violence extrême. En refusant de voir les menaces posées par la coordination des groupes promouvant la culture de la haine de l’autre et de les considérer dans leur globalité, en les réduisant aux seuls espaces des médias sociaux, les États et plateformes montrent que leur intérêt n’est pas de combattre la haine, mais de réguler la pensée. Car se reposer sur les systèmes mis en place par les plateformes pour filtrer le débat, leur déléguer la tâche de déterminer ce qui est une parole haineuse c’est établir que, d’une part, les États abandonnent totalement leur rôle de protection des personnes minorisées, et que, d’autre part, ce qui est publié sur les plateformes, et qui reste en ligne, n’est pas une parole de haine.

La marginalisation des minorités

Réduire l’émergence d’une culture de la haine à un simple problème pouvant être résolu par des maths, à un problème spécifique aux médias sociaux, c’est nier l’implication des différents gouvernants et autres personnes publiques et politiques dans la propagation et la tolérance des idées de cette culture de la haine. C’est considérer qu’il ne s’agit que d’un phénomène marginal, qui peut se régler avec un filtre, faisant magiquement disparaître cette culture. Le débat sur le contrôle de la parole en ligne n’est pas, au final, celui de la lutte contre les discriminations et la haine. C’est certes une tendance inquiétante de nos sociétés, et ces cultures de la haine doivent être combattues, en ligne comme hors ligne, mais la régulation de la parole sur des plateformes monolithiques et hégémoniques ne fait que renforcer les cultures mises en avant par ces plateformes, au détriment des personnes et cultures minorisées. Que ce soit en démonétisant le contenu produit par les membres de ces communautés (comme le fait YouTube), en bannissant les personnes répondant à leurs agresseurs (comme le fait Twitter) ou par la suppression massive du contenu non-conforme (comme l’a fait Tumblr), les principales personnes victimes de cette suppression de la parole sont toujours les personnes censées être protégées par ces mesures. Ce sont les activistes, journalistes et chercheurs qui pâtissent le plus de la suppression du contenu « faisant l’apologie du terrorisme », pas les organisations terroristes.

Les termes du débat ne sont pas ceux de la modération ou de la protection des personnes victimes de violences. Ce sont ceux de l’abandon de la diversité culturelle au profit d’une méga-culture dominante et prédatrice, promue par quelques intérêts privés ; de la consécration par les plateformes du modèle culturel des identitaires, des suprémacistes et des conservateurs, reléguant quiconque refuse leur vision du monde dans les marges. Mais c’est aussi l’entretien de la confusion entre publier et promouvoir. Confusion derrière laquelle les GAFAM se cachent pour continuer leurs opérations d’éradication des cultures non-voulues et de monétisation de la haine. Il y a pourtant une différence importante qui, dans la loi Française, est la différence entre le statut d’hébergeur et celui d’éditeur. La différence est sur l’intentionnalité. Publier un contenu, c’est à dire le mettre à disposition du public, est fondamentalement différent de promouvoir ce contenu. La promotion ce n’est pas mettre à disposition du public. C’est prioriser un contenu, pour le mettre en avant et le diffuser activement au plus grand nombre de personnes possibles. Laisser les GAFAM faire croire qu’ils ne font que publier du contenu c’est leur permettre de faire pencher le débat en leur faveur, car ce n’est alors pas de leur faute si des identitaires s’en vont tuer des personnes à l’arme automatique, vu qu’elles n’ont pas promu le contenu.

La modération, en tant que pratique culturelle

Mais qu’est-ce que la modération ? Il s’agit d’un ensemble de pratiques, plus ou moins informelles, permettant à chacune de participer au développement culturel des communautés — choisies ou non — auxquelles elle appartient tout en réduisant les violences en son sein. Son but n’est pas la suppression des contenus ou des personnes, mais la réduction des violences. Elle s’inscrit dans le cadre d’une culture et est donc nécessairement liée aux contextes dans lequel elle prend place, faisant de la modération une pratique nécessairement interprétative. Ce n’est pas du « tone policing » ou de la censure. La modération reconnaît que l’on puisse être énervé, virulent ou maladroit. Au cœur de toute interaction sociale, elle reconnaît nos imperfections, nos sentiments mais aussi nos capacités de raisonnement et cherche activement à réduire les comportements violents, blessants et destructeurs. Elle nous permet de faire ensemble, de créer des communautés. Dans un contexte de destruction et de réduction culturelle au profit d’une hégémonie, il paraît impossible de parler de modération. Une pratique renforçant et soutenant les violences commises au nom d’une culture ne saurait être de la modération. Comme la modération, c’est une forme de contrôle social. Mais utilisée dans le but de détruire et blesser un ou plusieurs groupes culturels ou communautés.

Oui c’est une pratique active qui nécessite une implication forte dans les communautés concernées, et donc une compréhension de celles-ci. Et une communauté, ça se cultive, ça se travaille. Un peu comme un jardin : Il faut parfois favoriser une plante un peu faible vis à vis d’autres envahissantes, mais la plupart du temps, il suffit de laisser faire et de s’assurer que chacune dispose des ressources nécessaires à son développement. Vouloir modérer les plateformes des GAFAM, selon les termes qu’ils nous proposent, c’est faire de l’agriculture industrielle : destruction de la diversité, destruction des sols, maximisation des profits et uniformisation des semences.

Les gardiens de la morale

Les GAFAM cherchent d’ailleurs à se positionner en garants de la morale, de la bonne tenue des débats et s’octroient le droit de déterminer ce qui est autorisé à exister. Ils prétendent pouvoir accomplir la titanesque tâche de comprendre l’intégralité du contexte associé à chaque morceau d’information entreposé dans leurs silos étanches. Le tout dans la plus grande opacité, sans aucun contre-pouvoir ni processus d’appel effectif et dans des conditions de travail difficiles et précaires pour les personnes chargées de valider les contenus. Ce modèle n’est pas celui de la modération. C’est celui de la domination, de la promotion d’une seule et unique culture et de la suppression de toutes les autres. Maintenir l’illusion que cette domination est une modér