Ce article a été d’abord publié sur le blog de notre site de campagne Technopolice.

Ce mois de février, on lance la saison 2 de la campagne Technopolice. Depuis un an et demi que la campagne est lancée, le déploiement de la technopolice sur les territoires gagne toujours plus en intensité et la crise sanitaire n’a fait qu’aggraver les choses.

La semaine dernière, nous avons publié notre argumentaire juridique contre la proposition de loi « Sécurité globale ». En intensifiant la vidéosurveillance fixe, en permettant le déploiement des drones, des « caméras embarquées » et des caméras piétons, en facilitant l’analyse de ces images, cette loi veut inscrire la surveillance automatisée dans notre quotidien.

Aujourd’hui, nous mettons à jour la Technocarte : une nouvelle charte visuelle, et des filtres spécifiques suivant les types de dispositifs que nous avons identifiés : caméras thermiques, caméras parlantes, drones, etc. — bref, toujours des caméras partout et des libertés nulle part. Cet outil est toujours appelé à s’améliorer, n’hésitez pas à nous donner des idées sur le forum.

Dans les semaines à venir, nous détaillerons les autres outils développés et utilisés depuis un an dans notre campagne : nos demandes d’accès aux documents d’abord et notre plateforme de fuite de documents ensuite.

Retrouvez la carte ici !

Comment le business de la sécurité et de la surveillance au sein de l’Union européenne, en plus de bafouer des droits fondamentaux, utilise les personnes exilées comme laboratoire de recherche, et ce sur des fonds publics européens.

On a beaucoup parlé ici ces derniers mois de surveillance des manifestations ou de surveillance de l’espace public dans nos villes, mais la technopolice est avant tout déployée aux frontières – et notamment chez nous, aux frontières de la « forteresse Europe ». Ces dispositifs technopoliciers sont financés, soutenus et expérimentés par l’Union européenne pour les frontières de l’UE d’abord, et ensuite vendus. Cette surveillance des frontières représente un marché colossal et profite grandement de l’échelle communautaire et de ses programmes de recherche et développement (R&D) comme Horizon 2020.

Roborder – des essaims de drones autonomes aux frontières

C’est le cas du projet Roborder – un « jeu de mots » entre robot et border, frontière en anglais. Débuté en 2017, il prévoit de surveiller les frontières par des essaims de drones autonomes, fonctionnant et patrouillant ensemble. L’intelligence artificielle de ces drones leur permettrait de reconnaître les humains et de distinguer si ces derniers commettent des infractions (comme celui de passer une frontière ?) et leur dangerosité pour ensuite prévenir la police aux frontières. Ces drones peuvent se mouvoir dans les airs, sous l’eau, sur l’eau et dans des engins au sol. Dotés de multiples capteurs, en plus de la détection d’activités criminelles, ces drones seraient destinés à repérer des « radio-fréquences non fiables », c’est-à-dire à écouter les communications et également à mesurer la pollution marine.
Pour l’instant, ces essaims de drones autonomes ne seraient pas pourvus d’armes. Roborder est actuellement expérimenté en Grèce, au Portugal et en Hongrie.

Un financement européen pour des usages « civils »

Ce projet est financé à hauteur de 8 millions d’euros par le programme Horizon 2020 (subventionné lui-même par la Cordis, organe de R&D de la Commission européenne). Horizon 2020 représente 50% du financement public total pour la recherche en sécurité de l’UE. Roborder est coordonné par le centre de recherches et technologie de Hellas (le CERTH), en Grèce et comme le montre l’association Homo Digitalis le nombre de projets Horizon 2020 ne fait qu’augmenter en Grèce. En plus du CERTH grec s’ajoutent environ 25 participants venus de tous les pays de l’UE (où on retrouve les services de police d’Irlande du Nord, le ministère de la défense grecque, ou encore des entreprises de drones allemandes, etc.).

L’une des conditions pour le financement de projets de ce genre par Horizon 2020 est que les technologies développées restent dans l’utilisation civile, et ne puissent pas servir à des fins militaires. Cette affirmation pourrait ressembler à un garde-fou, mais en réalité la distinction entre usage civil et militaire est loin d’être clairement établie. Comme le montre Stephen Graham, très souvent les technologies, à la base militaires, sont réinjectées dans la sécurité, particulièrement aux frontières où la migration est criminalisée. Et cette porosité entre la sécurité et le militaire est induite par la nécessité de trouver des débouchés pour rentabiliser la recherche militaire. C’est ce qu’on peut observer avec les drones ou bien le gaz lacrymogène. Ici, il est plutôt question d’une logique inverse : potentiellement le passage d’un usage dit « civil » de la sécurité intérieure à une application militaire, à travers des ventes futures de ces dispositifs. Mais on peut aussi considérer la surveillance, la détection de personnes et la répression aux frontières comme une matérialisation de la militarisation de l’Europe à ses frontières. Dans ce cas-là, Roborder serait un projet à fins militaires.

De plus, dans les faits, comme le montre The Intercept, une fois le projet terminé celui-ci est vendu. Sans qu’on sache trop à qui. Et, toujours selon le journal, beaucoup sont déjà intéressés par Roborder.

IborderCtrl – détection d’émotions aux frontières

Si les essaims de drones sont impressionnants, il existe d’autres projets dans la même veine. On peut citer notamment le projet qui a pour nom IborderCtrl, testé en Grèce, Hongrie et Lettonie.

Il consiste notamment en de l’analyse d’émotions (à côté d’autres projets de reconnaissances biométriques) : les personnes désirant passer une frontière doivent se soumettre à des questions et voient leur visage passer au crible d’un algorithme qui déterminera si elles mentent ou non. Le projet prétend « accélérer le contrôle aux frontières » : si le détecteur de mensonges estime qu’une personne dit la vérité, un code lui est donné pour passer le contrôle facilement ; si l’algorithme considère qu’une personne ment, elle est envoyée dans une seconde file, vers des gardes-frontières qui lui feront passer un interrogatoire. L’analyse d’émotions prétend reposer sur un examen de « 38 micro-mouvements du visage » comme l’angle de la tête ou le mouvement des yeux. Un spectacle de gadgets pseudoscientifiques qui permet surtout de donner l’apparence de la neutralité technologique à des politiques d’exclusion et de déshumanisation.

Ce projet a également été financé par Horizon 2020 à hauteur de 4,5 millions d’euros. S’il semble aujourd’hui avoir été arrêté, l’eurodéputé allemand Patrick Breyer a saisi la Cour de justice de l’Union Européenne pour obtenir plus d’informations sur ce projet, ce qui lui a été refusé pour… atteinte au secret commercial. Ici encore, on voit que le champ « civil » et non « militaire » du projet est loin de représenter un garde-fou.

Conclusion

Ainsi, l’Union européenne participe activement au puissant marché de la surveillance et de la répression. Ici, les frontières et les personnes exilées sont utilisées comme des ressources de laboratoire. Dans une optique de militarisation toujours plus forte des frontières de la forteresse Europe et d’une recherche de profit et de développement des entreprises et centres de recherche européens. Les frontières constituent un nouveau marché et une nouvelle manne financière de la technopolice.

Les chiffres montrent par ailleurs l’explosion du budget de l’agence européenne Frontex (de 137 millions d’euros en 2015 à 322 millions d’euros en 2020, chiffres de la Cour des comptes européenne) et une automatisation toujours plus grande de la surveillance des frontières. Et parallèlement, le ratio entre le nombre de personnes qui tentent de franchir la Méditerranée et le nombre de celles qui y laissent la vie ne fait qu’augmenter. Cette automatisation de la surveillance aux frontières n’est donc qu’une nouvelle façon pour les autorités européennes d’accentuer le drame qui continue de se jouer en Méditerranée, pour une « efficacité » qui finalement ne profite qu’aux industries de la surveillance.

Dans nos rues comme à nos frontières nous devons refuser la Technopolice et la combattre pied à pied !

Cet article a été initialement publié sur le site technopolice

Le collectif « Reclaim your Face », lance aujourd’hui sa campagne contre la surveillance biométrique et notamment la reconnaissance faciale. « Reclaim Your Face » est composé de plus de quarante associations de défense des libertés et menée par l’organisation européenne EDRi. Cette campagne prend la forme d’une « initiative citoyenne européenne » : il s’agit d’une pétition institutionnelle visant à recueillir 1 million de signatures au sein de plusieurs pays de l’Union européenne pour demander à la Commission d’interdire les pratiques de surveillance biométrique de masse

En décembre 2019, l’OLN, accompagnée de 124 organisations, demandait déjà l’interdiction de la reconnaissance faciale sécuritaire. Nous avions souligné les dangers de cette technologie : le risque d’une surveillance permanente et invisible de l’espace public, nous transformant en une société de suspect·es et réduisant nos corps à une fonction de traceurs constants pour abolir l’anonymat dans l’espace public.

La surveillance biométrique ne se limite pas à la reconnaissance faciale. Un an après, notre demande d’interdiction n’a pas abouti et les techniques de surveillance biométrique se sont multipliées, notamment dans le contexte de la crise sanitaire. Alors que la police continue d’utiliser de façon massive la reconnaissance faciale à travers le fichier des Traitements des Antécédents Judiciaires (TAJ), plusieurs villes et administrations ont déployé des dispositifs de contrôle de température, de détection de port du masque ou des projets de vidéosurveillance intelligente pour suivre et tracer les mouvements sociaux.

La France n’est malheureusement pas le seul pays où se développe cette surveillance biométrique. En Italie, en Serbie, en Grèce ou aux Pays-Bas, l’État déploie plusieurs dispositifs qui promettent à l’Europe un avenir de surveillance automatisée permanente.

Des batailles contre la société de contrôle se jouent donc aujourd’hui : dans les mobilisations sociales contre les projets de loi sécuritaires, dans la lutte contre l’opacité qui entoure le déploiement de ces techniques, dans les tribunaux où sont contestées ces expérimentations de surveillance.

Chaque initiative compte. Cette pétition européenne a pour objectif de montrer le refus populaire massif et d’imposer un débat sur l’arrêt du déploiement de ces outils de contrôle, et nous l’espérons permettra d’obtenir un texte protecteur à l’échelle de l’Union européenne.

C’est un combat important contre des futurs où nos corps et nos comportement seraient en permanence scannées.

Demandons donc ensemble l’interdiction formelle de la surveillance biométrique : de la reconnaissance faciale sécuritaire, de l’analyse des émotions et des comportements par la vidéosurveillance, des prédictions automatisées en raison de caractéristiques physiques, de l’analyse automatisée biométrique de nos profils sur les réseaux sociaux, de l’analyse automatique de nos voix et de nos comportements pour nous contrôler.

Pour rejoindre cette lutte, nous vous invitons donc à signer et à relayer cette pétition sur la page de campagne de la Coalition Reclaim Your Face : https://reclaimyourface.eu/fr/

Organisations signataires relais de la campagne en France

Organisations membres de l’OLN :

La Quadrature du Net (LQDN),
La Ligue des Droits de l’Homme (LDH),
Le Syndicat de la Magistrature (SM).
Le Syndicat des Avocats de France (SAF),
Le CECIL,
Creis-Terminal,
Globenet,

Ainsi que :

Le Mouton Numérique,
Lève les yeux,
Attac,
Sciences Critiques.

Pour aller plus loin :

L’année 2020 s’était finie en apothéose : après une série de manifestations prodigieuses contre la loi sécurité globale, alors adoptée par l’Assemblée nationale, nous obtenions une victoire décisive devant le Conseil d’État contre les drones. Si le début de l’année 2021 est douloureux, entre un hiver sanitaire qui n’en finit plus et le spectacle raciste lancé avec la loi séparatisme (lire aussi nos craintes pour les libertés associatives), il est temps de relancer l’offensive.

Commençons par la loi sécurité globale, examinée en commission par le Sénat le 3 mars. Afin de corriger l’analyse particulièrement bienveillante de la CNIL envers les dérives sécuritaires du gouvernement, nous envoyons aux sénateurs la nôtre, reproduite ci-dessous, centrée sur les sept articles qui renforceront la surveillance policière. Dans les jours suivants, il nous faudra poursuivre notre combat contre la Technopolice toute entière, tant au niveau local que national, pour aujourd’hui comme pour demain (voir notre mobilisation sur les JO 2024), car cette loi n’est que la première étape d’une longue lutte que nous devrons absolument gagner.

Loi Sécurité Globale – Analyse du titre III « Vidéoprotection et captation d’images »

La Quadrature du Net s’oppose à la proposition de loi « Sécurité Globale » et appelle le Sénat à la rejeter. Par la présente analyse, elle entend démontrer le caractère inconstitutionnel et inconventionnel des dispositions :

L’ensemble de ces dispositions aura pour effet d’intensifier la reconnaissance faciale.

Ces modifications sont intrinsèquement contraires à la Constitution et au droit européen. Aucune garantie ni aucun aménagement ne saurait les rendre conformes à ces normes supérieures qui s’imposent au législateur. L’ensemble des articles 20 à 22 bis doivent être supprimés, sans quoi nous les soumettrons à l’examen de toute juridiction utile pour les faire censurer et corriger, une fois de plus en la matière, les erreurs de droit qu’elle comporte.

I – Vidéosurveillance fixe

En droit, le Conseil constitutionnel juge que les systèmes de vidéosurveillance affectent la liberté d’aller et venir, le droit à la vie privée ainsi que l’inviolabilité du domicile, protégés par les articles 2 et 4 de la Déclaration des droits de l’Homme et du citoyen de 1789, et ne peuvent donc être conformes à la Constitution qu’en respectant de strictes garanties (Cons. constit., 94-352 DC, 18 janvier 1995, §§ 3 et 4). Il souligne aussi que des mesures de surveillance généralisée sont susceptibles de porter atteinte à la liberté d’expression et de manifestation (Cons. const., 27 décembre 2019, 2019-796 DC, § 83).

La Cour de justice de l’Union européenne juge que « l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel » (CJUE, C-212/13, 11 décembre 2014, §22) dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (la Charte) et qui, à ce titre aussi, ne peut être traitée que dans de strictes limites, notamment définies par la directive 2016/680 (dite « police-justice »).

En l’espèce, les articles 20 à 20 ter intensifieraient la vidéosurveillance bien au-delà des limites définies par la Constitution et le droit européen, sur quatre points.

A – Défaut de nécessité

En droit, une disposition ne peut porter atteinte aux libertés fondamentales que si cette atteinte est nécessaire à l’objectif qu’elle prétend poursuivre. Il s’agit d’une des garanties exigées par la Constitution en matière de vidéosurveillance. De même, la Cour européenne des droits de l’Homme (CEDH) considère qu’une atteinte au droit à la vie privée n’est justifiée que « si elle est proportionnée au but légitime poursuivi et si les motifs invoqués par les autorités nationales pour la justifier apparaissent « pertinents et suffisants » » (cf. CEDH, 4 décembre 2008, S et Marper c. Royaume-Uni, n°30562/04 et 30566/04, § 101). De même, l’article 4 de la directive police-justice exige que tout traitement de surveillance policière « soit nécessaire et proportionné » à la lutte contre les infractions et les atteintes à la sécurité publique.

En l’espèce, il faut souligner que, depuis son autorisation en 1995, la nécessité et l’efficacité de la vidéosurveillance contre les infractions et les atteintes à la sécurité publique n’ont jamais été démontrées. Bien au contraire, les seules études concrètes déplorent qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de délinquance commis sur la voie publique » (Cour des comptes, Les polices municipales, octobre 2020).

En conclusion, la proposition de loi devrait corriger le dispositif actuel de vidéosurveillance pour en réduire largement ou totalement le champ d’application. Or, en l’état actuel du texte, non seulement cette proposition de loi ne réduit pas au strict nécessaire le dispositif existant, mais au contraire elle l’intensifie. Si le dispositif de base est disproportionné, son extension l’est d’autant plus et viole les normes supérieures de ce seul fait.

B – Surveillance des lieux privés

En droit, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5). Ainsi, en 2010, le Conseil constitutionnel n’a pas hésité à censurer une disposition qui autorisait la police à accéder aux images de caméras de hall d’immeubles dès lors que surviennent « des événements ou des situations susceptibles de nécessiter l’intervention des services de police ou de la gendarmerie » (Décision 2010-604 du 25 février 2010).

En l’espèce, une loi de 2011 a réintroduit la disposition censurée en 2010 en tentant de la corriger par une condition un peu plus limitée : la transmission d’image n’est plus permise qu’en présence « de circonstances faisant redouter la commission imminente d’une atteinte grave aux biens ou aux personnes ». Hélas, le Conseil constitutionnel n’a jamais eu l’occasion de trancher si cette modification suffirait pour rendre le dispositif conforme à la Constitution.

Pourtant, l’article 20 bis de la présente proposition de loi supprimerait cette limitation de 2011 pour revenir à une situation quasi-identique à celle censurée en 2010. Les images pourraient être transmises en cas de simple « occupation par des personnes qui entravent l’accès et la libre circulation des habitants ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux ». La condition de « nuisance à la tranquillité des lieux » est aussi large, et même davantage, que celle de « situations susceptibles de nécessiter l’intervention de la police ». En pratique, cette nouvelle condition permettrait à tout moment à n’importe quel bailleur, ou à la police, de permettre la transmission en direct des images filmées par les caméras.

En conclusion, une telle disposition reviendrait à autoriser dans des conditions totalement disproportionnées la vidéosurveillance par la police dans les immeubles d’habitation, en contradiction manifeste avec la jurisprudence du Conseil constitutionnel.

C – Extension des personnes ayant accès aux images

En droit, la CJUE juge contraire à la Charte une mesure de surveillance qui « ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données » (CJUE, grande chambre, 8 avril 2014, Digital Rights Ireland et autres, C-293/12, C-594/12, § 62). Cette limitation est indispensable dans la mesure où les risques de dérives et d’abus des mesures de surveillance ainsi que la difficulté du contrôle que peut en faire une autorité indépendante sont proportionnels au nombre de personnes pouvant les mettre en œuvre. Dans son avis du 21 décembre 2020, la Défenseure des droits insiste sur le fait que cette limitation est une garantie centrale pour le respect de la vie privée.

En l’espèce, l’article L252-3 du code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale. La loi sécurité globale étendrait cet accès aux agents :

• de la police municipale et de la ville de Paris (article 20) ;
• des communes, des communautés de communes et des groupements similaires (article 20bisA) ;
• des services de sécurité de la SNCF et de la RATP (article 20 ter).

Aucun élément matériel ni aucune étude concrète n’a été produite pour démontrer la nécessité d’une extension si importante des personnes accédant aux images de vidéosurveillance pour lutter contre les infractions.

En conclusion, cette extension multiplie hors de toute proportion justifiée les risques de détournement et d’abus des mesures de surveillance, tout en diminuant les capacités de contrôle des autorités indépendantes.

D – Délégation à des personnes privées

En droit, le Conseil constitutionnel juge que la nécessité d’une force publique, inscrite à l’article 12 de la DDHC, interdit de déléguer à des personnes privées des compétences de police administrative générale et de surveillance générale de la voie publique (Conseil constit., décision 2011-625 DC du 10 mars 2011).

En l’espèce, l’article 20 ter permet aux agents des services internes de la SNCF et de la RATP d’avoir accès aux images de vidéosurveillance de la voie publique. Il s’agit de salariés de droit privé auxquels serait délégué un pouvoir de surveillance de la voie publique. Les encadrements prévus par la loi, comme le contrôle d’un agent de police ou le nombre limité de finalités, n’altèrent en rien la qualification de délégation à une personne privée d’une mission de surveillance.

En conclusion, la délégation que prévoit l’article 20 ter de la proposition de loi est contraire à la Constitution.

2. Vidéosurveillance mouvante

Les articles 21, 22 et 22 bis concernent le déploiement et l’intensification de la vidéosurveillance mouvante : transmission en temps réel et systématisation des images captées par les caméras-piétons, légalisation des caméras aéroportées et des caméras embarquées. Ces trois types de vidéosurveillance seront examinés ensemble, car elles partagent toutes le fait d’être mobiles : cette seule caractéristique suffit à les rendre irréconciliables avec quatre garanties fondamentales exigées par la Constitution et le droit européen.

A – Défaut de nécessité

En droit, tel qu’exposé précédemment, une atteinte à la vie privée ou à la protection des données personnelles n’est conforme à la Constitution et au droit européen que si elle est strictement nécessaire à la finalité qu’elle poursuit. Plus spécifiquement, l’article 4 de la directive police-justice exige que le traitement de données personnelles réalisé pour lutter contre les infractions et les atteintes à la sécurité publique « soit nécessaire et proportionné » à cette finalité et que les données soient « adéquates, pertinentes et non excessives » au regard de cette finalité.

Plus grave, si les images captées sont des données « sensibles », telles que des données biométriques ou des données pouvant révéler les opinions politiques ou religieuses des personnes filmées, l’article 10 de la directive police-justice, transposé à l’article 88 de la loi informatique et libertés, exige que les autorités démontrent la « nécessité absolue » d’une telle surveillance – autrement dit, la police doit démontrer être dans l’impossibilité matérielle de lutter contre les infractions si elle ne peut pas utiliser ces caméras.

En l’espèce, l’article 21 veut généraliser la captation et la transmission d’images par caméras-piéton. Les articles 22 et 22 bis veulent autoriser les caméras aéroportées (drones) et embarquées (hélicoptères, voitures). Aucune démonstration n’a été réalisée, ni même tentée, quant à la nécessité de déployer de telles caméras pour poursuivre l’une des très nombreuses et larges finalités qu’elles pourraient poursuivre : sécurité des rassemblements de personnes sur la voie publique, constat des infractions, protection des bâtiments…

C’est même le contraire qui commence à apparaître dans la jurisprudence. Dans sa décision du 22 décembre 2020 (décision n° 446155) qui a interdit les drones policiers à Paris, le Conseil d’État a dénoncé que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement dans les circonstances actuelles, en l’absence de recours à des drones » – c’est-à-dire grâce au 35 000 caméras fixes surveillant déjà l’espace public .

De même, si l’objectif premier des caméras-piétons était de « prévenir les incidents susceptibles de survenir au cours des interventions [et de] déterminer les circonstances de tels incidents, en permettant l’utilisation des enregistrements à des fins probatoires » (comme l’expliquait la CNIL dans son rapport de 2015), le gouvernement n’a jamais pris la peine d’évaluer si cet objectif avait été atteint. Pourtant, sans attendre une telle évaluation, l’article 21 prévoit d’étendre considérablement le rôle de ce dispositif en autorisant la transmission des images au centre de commandement, en direct et à la libre initiative de la police et de la gendarmerie, dès lors que celles-ci considèrent que « la sécurité des agents […] ou la sécurité des biens et des personnes est menacée ». La nécessité d’une extension si importante est encore moins démontrée que celle du dispositif initial, qui fait pourtant défaut.

Si la simple « nécessité » des drones est absente, tout autant que celle des caméras par hélicoptère et des caméras-piétons, leur « nécessité absolue » fait entièrement défaut. Pourtant, ces caméras captent régulièrement des données sensibles, ne serait-ce qu’en manifestation où elles ont largement été déployées et où, par définition, toute image captée est susceptible de révéler des opinions politiques.

Pour toute tentative de justification, la police semble mettre en avant certains faits divers où un drone, ou une caméra piéton, aurait plus ou moins facilité son travail. Non seulement le critère de « nécessité » ou de « nécessité absolue » exige bien davantage qu’un simple gain de temps, d’énergie ou une économie de moyens mais, surtout, la loi ne s’écrit pas sur la base d’anecdotes. En effet, face à chaque fait divers en faveur de telle mesure de surveillance, on pourra toujours en opposer un autre témoignant d’un abus, dans un jeu infini et vain d’étalage de faits divers. Au contraire, la loi se pense par la rigueur d’examens systémiques, que le gouvernement a toujours refusé d’entreprendre ici. Ce ne sont pourtant pas les occasions qui lui ont manqué : ces caméras mouvantes ont été déployées pendant des années, de façon illégale, mais suffisamment large pour en évaluer les effets.

Expérimenter l’usage de drones, proposition portée par la CNIL dans son avis sur la proposition de loi, est également voué à la même contradiction flagrante aux normes supérieures qui s’imposent. Premièrement, une telle expérimentation s’est faite illégalement avant que le Conseil d’État ne vienne explicitement interdire l’usage de drones en mai 2020 puis décembre 2020, et la nécessité absolue fait toujours défaut. Deuxièmement, les règles impératives de proportionnalité, dont l’exigence de « nécessité absolue », ne peuvent être contournées par l’introduction sur le papier d’une disposition qui serait dite expérimentale. La directive police-justice ne distingue pas les cas de surveillances expérimentales des autres ; en effet, une telle distinction aurait pour conséquence de vider de leur substance les protections requises par le droit européen.

En conséquence, à défaut d’être nécessaires à la poursuite des finalités qui leur sont associées, et alors qu’ils causent de graves atteintes aux libertés fondamentales tel que démontré ci-après, les dispositifs de caméra mouvante autorisés par la présente proposition de loi ne sauraient l’être sans violer la Constitution et le droit européen, y compris s’ils étaient expérimentaux.

B – Défaut de contrôle préalable

En droit, le Conseil constitutionnel juge, en matière de vidéosurveillance, que le législateur « ne peut subordonner à la diligence de l’autorité administrative l’autorisation d’installer de tels systèmes sans priver alors de garanties légales les principes constitutionnels » protégeant la liberté d’aller et venir, la vie privée et l’inviolabilité du domicile. Le Conseil exige que le législateur prévoie un contrôle préalable extérieur, tel que l’avis préalable d’une commission indépendante ayant pu en examiner la nécessité et la proportionnalité du dispositif (Conseil constit., 94-352 DC, 18 janvier 1995, §§ 6 et 12).

De la même manière, la CJUE exige qu’une mesure de surveillance ne puisse être déployée qu’en faisant l’objet « d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (CJUE, C-511/18, La Quadrature du Net, 6 octobre 2020, §§ 139, 168, 179, 189 et 192).

Ainsi, avant d’installer chaque caméra, une autorité indépendante doit pouvoir examiner si le lieu filmé est surveillé pour des justifications suffisantes propres à ce lieu – telles que la fréquence des infractions qui y surviennent, leur nature, leur gravité et les difficultés particulières que la police y rencontre. C’est ainsi que l’article L252-1 du code de la sécurité intérieure prévoit qu’un dispositif de vidéosurveillance ne peut être autorisé qu’après l’avis d’une commission départementale de vidéoprotection, présidée par un magistrat.

En l’espèce, il est impossible de connaître à l’avance les lieux filmés par une caméras-piéton, aéroportée ou embarquée. La police et la gendarmerie décident seules et sur le vif des lieux à surveiller, en réaction à des situations imprévisibles par nature. La proposition de loi ne prévoit aucune forme de contrôle préalable car, en pratique, il semble effectivement improbable qu’une autorité extérieure puisse examiner en temps réel la nécessité pour un agent d’activer sa caméra ou pour un drone de survoler telle ou telle position.

Cette impossibilité intrinsèque à toute caméra mouvante a des conséquences particulièrement graves : si la police souhaite abuser de ses pouvoirs afin, par exemple, d’envoyer un drone filmer les locaux d’une association, d’un journal ou d’un avocat, ou encore la résidence d’un parlementaire ou d’une personne bénéficiant d’un asile politique, elle pourrait le faire en toute discrétion et en toute autonomie, sans qu’aucune autorité indépendante n’en soit informée. À l’inverse, l’installation de caméra fixe est signalée et examinée par une autorité indépendante à même de dénoncer de telles dérives.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant pas être examinées au préalable par une autorité indépendante, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

C – Défaut d’information

En droit, pour être conforme à la Constitution, une disposition qui autorise un dispositif de vidéosurveillance doit s’assurer « que le public soit informé de manière claire et permanente de l’existence du système de vidéosurveillance ou de l’autorité et de la personne responsable » (Cons. constit., décision 94-352 DC, 18 janvier 1995, § 5).

De même, l’article 13 de la directive police-justice exige que le responsable d’une mesure de surveillance fournisse aux personnes concernées plusieurs informations, telles que l’identité du responsable, les finalités du traitement et le droit d’accéder aux données.

S’agissant des caméras fixes, l’article R252-3 du code de la sécurité intérieure prévoit que chaque dispositif de vidéosurveillance soit accompagné d’une affiche indiquant « le nom ou la qualité et le numéro de téléphone du responsable auprès duquel toute personne intéressée peut s’adresser pour faire valoir le droit d’accès prévu à l’article L. 253-5 ». Seule une information aussi précise et complète permet de garantir le respect des garanties avancées par le Conseil constitutionnel et le droit de l’Union.

En l’espèce, la proposition de loi prévoit que le public devrait être informé de la surveillance par drone « par tout moyen approprié  » et de la surveillance par caméra embarquée « par une signalétique spécifique de l’équipement du moyen de transport par une caméra ». En pratique, tel qu’il a été facile de constater ces dernières années, cette information sera systématiquement défaillante : un écriteau « vous êtes filmé » accroché à un hélicoptère volant à plus de 100 mètres n’aura aucun effet ; pire, un drone vole trop haut pour transmettre la moindre information visuelle ou sonore, et sa taille est si petite qu’il échappe souvent entièrement à l’attention des personnes surveillées. De même, les caméras-piétons se fondent parfaitement dans l’équipement des agents qui, eux-mêmes, se fondent facilement dans les foules surveillées, qu’ils n’ont aucun moyen visuel ou sonore d’informer de façon réaliste.

Par ailleurs, la proposition de loi prévoit que les agents peuvent ne pas informer le public d’une surveillance par drone ou par caméra embarquée « lorsque les circonstances l’interdisent ». Cette dérogation est si large qu’elle retire tout effet utile que ces mesures auraient pu avoir. Cette dérogation est d’ailleurs inexistante dans la loi sur la vidéosurveillance fixe de la voie publique.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant jamais être portées à la connaissance du public de façon suffisamment efficace, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

D – Surveillance des lieux privés

En droit, tel que rappelé ci-dessus, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5).

Ainsi, les caméras fixes sont orientées de façon à éviter de filmer les immeubles et, quand elles ne le peuvent pas, un système d’obstruction matérielle ou logicielle basique permet de ne pas capter l’image des immeubles (un rectangle noir, typiquement).

En l’espèce, la vidéosurveillance mouvante filme des lieux qui changent constamment et qui ne peuvent être connus à l’avance. Or, il est techniquement irréaliste d’obstruer en temps réel l’image d’immeubles présents sur des lieux inconnus à l’avance et en mouvement constant – contrairement aux lieux statiques filmés par les caméras fixes. Le caractère mouvant de cette vidéosurveillance est mécaniquement incompatible avec une interdiction de filmer l’intérieur des immeubles.

Dès lors, l’article 21 sur les caméras-piétons et l’article 22 bis sur les caméras embarquées ne prévoient aucune interdiction de filmer l’intérieur des immeubles – ce qui, en effet, serait irréaliste. Pourtant, ces caméras sont presque toujours en situation de filmer l’intérieur d’immeubles et de lieux privés, ne serait-ce qu’au travers des fenêtres.

L’article 22 sur les drones prévoit une interdiction de filmer l’intérieur des « domiciles » ou de leurs entrées et non, comme l’exige le Conseil constitutionnel, l’intérieur de tous les « immeubles » en général. La police et la gendarmerie seraient seules à décider quels immeubles sont ou non des domiciles. Cette appréciation se ferait à la volée et en cours d’opération, ce qui semble parfaitement irréaliste – même via des outils d’analyse automatisée, qui ne seraient d’aucune aide s’agissant d’une appréciation aussi sociale et humaine de ce qu’est ou non un « domicile ». Mais ce problème est finalement sans importance dans la mesure où, de toute façon, aucun dispositif technique n’est capable d’obstruer en temps réels l’image mouvante d’immeubles, domiciles ou non.

Au cours des débats à l’Assemblée nationale, la rapporteure Alice Thourot a reconnu sans ambiguïté, s’agissant des drones, qu’il « n’est matériellement pas possible d’interdire de visualiser les espaces privés » (voir les débats publics de la troisième séance du vendredi 20 novembre 2020 relatifs à l’amendement n° 1164).

En conséquence, les dispositifs de vidéosurveillance mouvante ne pouvant jamais éviter de filmer l’intérieur des immeubles, les articles 21 à 22 bis, qui intensifient et autorisent leur déploiement, violent la Constitution.

3 – Reconnaissance faciale

Le titre III de la proposition de loi vise à intensifier la vidéosurveillance fixe et généraliser la vidéosurveillance par drones, hélicoptères et caméras-piétons. Toutes les nouvelles images captées par ces dispositifs, fixes comme mouvants, seront transmises en temps réel à un poste de commandement.

Une telle transmission en direct donne aux forces de police et de gendarmerie la capacité d’analyser les images transmises de façon automatisée, notamment en recourant au dispositif de reconnaissance faciale autorisé par le décret du 4 mai 2012 relatif au traitement d’antécédents judiciaires. Cette technique, qui n’a jamais été autorisée par le législateur, est l’exemple typique de traitements de données biométriques qui, au titre de l’article 10 de la directive police-justice et de l’article 88 de la loi informatique et libertés, doivent démonter leur « nécessité absolue » dans la lutte contre les infractions et les menaces pour la sécurité publique. Pourtant, cette nécessité n’a jamais été démontrée et le droit français ne prévoit aucune garantie pour les limiter à ce qui serait absolument nécessaire. Au contraire, le recours à ces techniques semble être devenu systématique et ne reposer sur aucun contrôle de proportionnalité : en 2019, les autorités ont réalisé plus de 375 000 opérations de reconnaissance faciale, soit plus de 1 000 par jour (voir l’avis rendu le 13 octobre 2020 par le député Mazars au nom de la commission des lois de l’Assemblée nationale).

Il ne fait pourtant aucun doute que l’analyse automatisée d’images de vidéosurveillance est aujourd’hui contraire au droit français et européen, qu’il s’agisse d’ailleurs de reconnaissance faciale comme de tout autre type d’analyse automatisée permettant l’identification et le suivi d’une personne, tel que la CNIL l’a encore dénoncé face au déferlement de caméras dites « intelligentes » au cours de la crise du Covid-19 (Cnil, « Caméras dites « intelligentes » et caméras thermiques », 17 juin 2020).

Comme vu tout au long de la présente analyse, l’utilité opérationnelle des nouvelles captations et transmissions d’images semble nulle ou très faible. Il en irait peut être autrement si le véritable objectif de ces changements était d’abreuver les dispositifs de reconnaissance faciale d’une immense quantité de nouvelles images. Le gouvernement ne l’a jamais avoué explicitement, et pour cause : cet objectif est frontalement contraire au droit européen et ne saurait donc en rien justifier d’intensifier la vidéosurveillance tel que le propose la présente loi.

Plutôt que de renforcer des pratiques aussi illégales qu’impopulaires, le rôle du législateur est d’empêcher l’analyse automatisée des images de vidéosurveillance et son renforcement par le titre III de la proposition de loi Sécurité Globale, qui doit donc être supprimé dans son ensemble.

Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Suite et fin de « Faut-il réguler Internet ? »

Face à tout cela, il semble clair que se contenter de renforcer les obligations des plateformes géantes ne suffira pas, c’est l’ensemble de ce modèle de l’économie de l’attention qu’il faut remettre en question.

Faire évoluer le droit : différencier petits hébergeurs et grandes plateformes pour aider au développement des alternatives libres et décentralisées aux plateformes géantes

Qu’appelle-t-on « alternative libre et décentralisée » à La Quadrature du Net ? Un exemple pour illustrer : la Quadrature du Net fournit à plus de 9 000 personnes l’accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n’est que l’un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la collecte massive de données).

Mais actuellement, et ce depuis 15 ans, le droit freine le développement d’alternatives aux GAFAM et à leur monde. Il impose des obligations lourdes à tous les « hébergeurs » (les personnes qui conservent et diffusent sur Internet des contenus fournis par le public). Si un contenu « manifestement illicite » est signalé à un hébergeur, il doit le censurer « promptement » ou en devient personnellement responsable¹Voir l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, transposant l’article 14 de la directive européenne de 2000 sur le commerce électronique.. En pratique, à La Quadrature du Net, nous avons songé à devenir un hébergeur de vidéos (en autorisant tout le monde à mettre en ligne des vidéos sur notre service de streaming Peertube²https://video.lqdn.fr/ . PeerTube est un logiciel libre d’hébergement de vidéo décentralisé grâce à la diffusion en pair à pair, créé en 2015 et soutenu par Framasoft. Il fonctionne sur le principe d’une fédération d’instances hébergées par plusieurs entités différentes. Son objectif est de fournir une solution alternative aux plateformes centralisées telles que YouTube ou Dailymotion.). Ce serait une façon concrète de participer à la construction d’une alternative à Youtube, qui ne tirerait aucun profit des discours conflictuels ou de la surveillance de masse. Mais nous avons dû y renoncer. Nous n’avons pas du tout assez de juristes pour évaluer quelles vidéos seraient « manifestement illicites ». Nous n’avons pas les moyens de supporter des amendes en cas de plaintes. Youtube reste maître.

Pour que des alternatives aux GAFAM et à leur monde puissent se développer, il faut commencer par changer le droit et par distinguer les « petits » hébergeurs (ceux qui ne tirent aucun profit d’une quelconque mise en avant et hiérarchisation des contenus qu’ils hébergent) des grandes plateformes. Ce sont celles qui régulent les contenus de manière active, pour faire tourner leur modèle économique, et qui exercent sur leurs utilisateur·rices un « pouvoir de contrainte » puisque ces dernier·es ne peuvent quitter la plateforme sans subir de conséquences négatives – perte des liens sociaux tissés sur le réseau dans le cas de Facebook par exemple -. Cela permet à la plateforme d’imposer les règles de son choix, sans que quiconque puisse y réagir. Si l’on souhaite utiliser le droit pour corriger les géants du Web, il faut d’abord trouver un critère objectif pour les identifier. Ensuite, autour de ce critère, le droit pourra poser des obligations spécifiques pour former un « statut juridique » adapté à leur situation. Ce nouveau statut juridique se placerait à mi-chemin entre celui d’hébergeur et d’éditeur : la plateforme porterait une certaine responsabilité sur les contenus qu’elle héberge et promeut, sans toutefois être responsable de l’ensemble des contenus publiés comme le sont les éditeurs. Enfin, il serait nécessaire d’alléger à l’inverse les obligations faites aux petits hébergeurs, en ne leur laissant pas supporter la charge d’évaluer si un contenu est « manifestement illicite » ou non. Seul·e un·e juge doit pouvoir exiger la censure, et donc le retrait d’un contenu. 

Le cercle vertueux de la régulation décentralisée

Permettre à une multitude de petits hébergeurs de se développer fait naître l’espoir d’une auto-régulation efficace, placée dans les mains de l’ensemble des personnes utilisatrices.

Dans le cadre de la loi, chaque hébergeur applique ses propres règles de modération, plus ou moins stricte, et chaque personne choisit l’espace de discussion adapté à ses besoins et à ses envies. La liberté de ce choix est renforcée par le développement des standards de « réseaux sociaux décentralisés », notamment du standard ³On appelle « standard » des règles ou normes techniques de communication partagées entre différents acteurs pour leur permettre d’interagir. ActivityPub ⁴ActivityPub est un standard ouvert pour réseaux sociaux décentralisés basé sur le format ActivityStreams 2.0. Il fournit une API (interface de programmation d’application, ensemble de fonctions permettant à un logiciel d’offrir des services à un autre logiciel : https://fr.wikipedia.org/wiki/Interface_de_programmation) allant d’un client vers un serveur pour la création, la mise à jour et la suppression de contenu, ainsi qu’une API entre serveurs afin de permettre la fédération de notifications et de contenus. https://fr.wikipedia.org/wiki/ActivityPub publié en janvier 2018 par le World Wide Web Consortium (W3C, à l’origine des standards du Web) et déjà appliqué par Mastodon (alternative à Twitter) ou Peertube (alternative à Youtube). Ces standards permettront à une infinité d’hébergeurs de communiquer entre eux, selon les règles de chacun·e. Ils permettront aussi à chaque personne de passer librement d’un hébergeur à un autre, d’une règle du jeu à un autre (ce que les plateformes géantes font tout pour empêcher aujourd’hui).

Chaque personne choisira de s’exposer ou non à tel ou tel type de conflit, et chaque hébergeur modérera sa communauté à une échelle humaine (et donc sans mettre en place de filtrage automatique). Cette structure offre l’espoir de diminuer significativement les conflits interpersonnels non-souhaités sur Internet. Ainsi, les juridictions n’auront plus à trancher autant de conflits qu’il en existe sur les plateformes géantes et pourront se recentrer sur les infractions les plus graves.

Faire cohabiter les petits hébergeurs et les grandes plateformes par l’interopérabilité

En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n’avons pas d’autre choix que de continuer à les utiliser. C’est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d’autres services : si nous les forçons à nous permettre de continuer de parler avec nos « ami·es Facebook » sans être nous-mêmes encore inscrit·es sur Facebook. 

Techniquement, cette « interopérabilité » passe par l’application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub (évoqué plus haut) propose un standard pour « réseaux sociaux décentralisés » – et nous y voyons l’espoir concret de l’essor d’un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » (possibilité pour une personne de récupérer tout ou partie de ses données dans un format ouvert et lisible) créé par le RGPD (à l’article 20) et qui, sans interopérabilité entre plateformes, peine pour l’instant à démontrer son utilité.

Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (tel que par exemple Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature du Net, ou encore l’instance mstdn.fr). Depuis ce nouveau service, nous pourrions continuer de recevoir et d’envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

Ainsi, dès lors qu’un géant abandonnerait son pouvoir de contrainte, nous pourrions librement échapper au cadre destructeur de sa capitalisation de notre attention. Le « cercle vertueux de la décentralisation » reprenant le pas, le pouvoir de contrainte de ce géant-ci pourrait diminuer, jusqu’au point où, éventuellement, il pourrait revenir dans le statut plus souple des hébergeurs.

Dans tous les cas, il serait tenu, comme n’importe quel hébergeur, d’afficher clairement et en toute transparence ses règles de hiérarchisation des contenus, nous permettant de nous y soumettre ou non en pleine connaissance de cause. De même, revenir à un cadre d’hébergeur « plus souple » ne signifie en aucun cas alléger les obligations en matière de protection des données personnelles : ces données ne doivent jamais permettre de hiérarchiser les contenus sans le consentement explicite de chaque personne concernée.

La Quadrature du Net travaille actuellement sur cette question de l’interopérabilité, et est à l’origine d’une lettre ouverte sur le sujet, publié en mai 2019.

Et pour mieux comprendre cette question de l’interopérabilité, on peut lire cet excellent billet de Stéphane Bortzmeyer sur le Framablog ou encore notre fiche « Nos propositions positives sur l’interopérabilité ».

La CNIL vient de rendre son avis sur les drones et caméras de la PPL Sécurité globale. L’époque où la CNIL prétendait se faire l’écho des inquiétudes populaires est bien morte et oubliée. Dans un triste spectacle d’équilibriste déserteur, elle parvient à contourner toutes les questions juridiques qui auraient pu remettre en question le projet sécuritaire du gouvernement.

Derrière l’apparente critique de la proposition de loi, la CNIL s’emploie en réalité à valider l’objectif sécuritaire du texte. Aucune disposition n’est remise en cause dans son essence même et l’avis de la CNIL, de même que l’audition de sa présidente ce matin devant la commission des lois du Sénat, n’a qu’un seul objectif : donner le mode d’emploi au législateur pour faire passer son texte.

La CNIL prend ainsi soin de ne surtout rien dire sur la « nécessité absolue » ou le contrôle préalable du déploiement des drones et des caméras-piétons. Et pour cause : ces garanties, exigées tant par la Constitution que le droit européen, sont incompatibles avec le projet du gouvernement et suffiraient à l’invalider.

De même, elle est parfaitement silencieuse sur le fait qu’en pratique les personnes surveillées par drones ou caméras mobiles ne pourront pas en être véritablement informées, comme l’exigent la Constitution et le droit européen. Alors que l’avis de la CNIL relève que l’usage de drone est intrinsèquement dangereux de part leur miniaturisation et leurs capacités techniques, il n’en tire aucune conséquence sur l’information du public. Silence total aussi sur la reconnaissance faciale associée aux caméras-piétons, débat que la CNIL écarte en affirmant qu’elle serait interdite car non explicitement prévue par le texte alors qu’elle a tant animé le débat public et que cette possibilité est offerte par d’autres pans de l’arsenal répressif de l’État.

Contorsion absolue : la CNIL propose que les drones soient d’abord expérimentés avant d’être autorisés définitivement dans la loi. Comme si les drones n’avaient pas déjà été largement déployés pendant des années et n’avaient pas déjà eu l’occasion de démontrer encore et encore leur incompatibilité intrinsèque à la Constitution et au droit européen. Même le Conseil d’État a déjà commencé à dénoncer l’inutilité des drones dans le travail de la police, mais la CNIL refuse absolument de contrarier Gérald Darmanin et lui offre un nouveau délai d’expérimentation que rien ne justifie en pratique ni en droit.

L’avis de la CNIL nous offre également une scène de béatitude totale devant les possibilités de floutage, faisant passer cette rustine inefficace comme la clé du respect de la vie privée. Or, un dispositif de floutage des images prises par drones, en plus d’être désactivable à souhait par la police et techniquement très aléatoire, ne fera que donner un faux sentiment de protection alors que ces dispositifs renforcent le pouvoir de la Technopolice qui pourra filmer tout, tout le temps, et sans contrôle, au mépris de l’ensemble des règles de droit françaises et européennes.

Car les 12 pages de son avis sont largement dépourvues de droit, tant sur le fond (la CNIL ne vise aucune norme précise mais son seul sentiment) que sur la forme (un contrôle rigoureux de la proportionnalité de chaque disposition l’aurait empêchée d’esquiver les très graves manquements qu’elle passe sous silence).

Plus que jamais, la CNIL tord le droit et sa propre mission pour venir au secours d’un État policier qu’elle était supposée limiter. Ayant démissionné de son rôle historique, elle est réduite à conseiller l’État sur la meilleure façon de renforcer ses capacités de surveillance tandis que, dans le même temps et paradoxalement, c’est le Conseil d’État lui-même qui apparaît comme dernier contre-pouvoir du gouvernement dans cette affaire.

Non, contrairement à ce qu’elle affirme dans son avis, la CNIL n’a jamais « mis en lumière […] les questions particulières en matière de vie privée soulevées par l’usage des drones, des caméras embarquées sur des véhicules ou des personnes et des dispositifs dits de « vidéo intelligente » ou de « vidéo assistée » ». C’est même le contraire : après cinq années d’utilisation des drones par la police en toute illégalité, il nous aura fallu tirer la sonnette d’alarme, déposer des recours contentieux à plusieurs reprises pour que ces sujets avancent. Face à cette démobilisation de la CNIL qui ne date pas d’aujourd’hui, nous avons d’autant plus besoin de votre aide pour continuer le travail que devrait faire l’autorité.

Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

L’administration, au sens public du terme, prend tous les jours un certain nombre de décisions : lorsqu’elle accorde une allocation, lorsqu’elle retire un permis de conduire, lorsqu’elle accepte un·e étudiant·e dans une formation supérieure, lorsqu’elle est chargée d’appliquer une loi, etc. Décider est le quotidien de l’administration et administrer, nous dit le dictionnaire Larousse, signifie « diriger, gérer des affaires publiques ou privées ». La Constitution nous prévient également que « le Gouvernement détermine et conduit la politique de la nation » et « dispose de l’administration » (article 20). Le rôle de l’administration dans la conduite des affaires publiques est donc fondamental. À cette fin, son pouvoir de décision l’est tout autant.

Décider est donc une fonction intrinsèque à l’administration, mais décider n’est pas toujours le fruit d’un processus entièrement humain. L’administration s’est toujours dotée de règles, de documents, de cadres, pour décider, quand bien même aucune obligation ne le lui imposerait : ce pouvoir discrétionnaire dont jouit très souvent l’administration est limité par elle-même, c’est-à-dire qu’elle va décider que, parmi l’éventail de possibilités dans la prise de décision, elle en choisira une seule.

De plus, l’arrivée ces derniers temps d’un nouvel outil pour l’administration, l’algorithme, change radicalement la manière dont on peut concevoir la décision administrative. Skip Machine lave plus blanc que blanc ; l’algorithme décide plus efficacement que l’humain. Il en résulte un miracle : la décision administrative algorithmique. Le législateur est intervenu, pour répondre à un certain nombre de craintes. Mais la pratique administrative tend à contourner ces protections grâce à un nouvel outil, l’algorithme d’aide à la prise de décision.

Avant toute chose, il est nécessaire de s’entendre sur la notion de décision et celle d’algorithme. Nous entendons ici un algorithme (ou son équivalent juridique de « traitement algorithmique ») comme une suite d’opérations mathématiques avec en entrée plusieurs paramètres et en sortie un résultat unique (mais pas forcément reproductible, comme nous le verrons plus tard). Un algorithme n’a donc pas à être compliqué : un rapport sénatorial a ainsi pu comparer une recette de cuisine à un algorithme¹Sophie Joissains, Rapport n° 350 (2017-2018) fait au nom de la commission des lois sur le projet de loi relatif à la protection des données personnelles, 14 mars 2018. https://www.senat.fr/rap/l17-350/l17-350.html. Il ne s’agit pas forcément non plus d’un programme informatique ou de lignes de codes exécutables : un algorithme peut également être une séries de formules dans une feuille de calcul²Les algorithmes locaux de Parcoursup (ceux utilisés par les commissions de classement des vœux de chaque université) ne sont d’ailleurs qu’une feuille de calcul dont les pondérations sont laissées à l’appréciation de chaque commission..

On classera toutefois les algorithmes en deux catégories : les algorithmes auto-apprenants et les autres. Les premiers (on parlera également d’« intelligence artificielle », de « machine learning » ou de « deep learning ») fonctionnent avec une phase d’apprentissage préalable. Dans un premier temps, l’algorithme auto-apprenant s’entraîne sur un jeu de données dont le résultat attendu est connu (par exemple : « cette image est un chaton » ou « cette image n’est pas un chaton ») et s’adapte en comparant ses résultats à ceux attendus. Une fois cette phase terminée, il est utilisé alors que le résultat attendu n’est pas connu (dans notre exemple, il sera censé distinguer les images de chatons des autres). Le résultat d’un algorithme auto-apprenant n’est pas reproductible puisqu’il dépendra de la phase d’apprentissage et de la qualité du jeu de données initial. Les autres algorithmes, ceux qui ne sont pas auto-apprenants, ont un résultat reproductible puisqu’il ne reposent pas sur une phase préalable d’apprentissage.

Une décision administrative, quant à elle, est un acte administratif (au sens de document émanant d’une administration ³Sans entrer dans les débats de la doctrine administrativiste autour la notion d’acte administratif, notons simplement que cette définition est une approximation et n’est pas partagée pas tou·tes les juristes.) décisoire. Lorsque l’administration constate quelque chose (ce que font beaucoup d’autorités de régulation, par exemple), elle ne fait pas de choix et son acte n’est donc pas une décision.

Enfin, nous entendrons une décision administrative algorithmique comme un type de décision administrative dans laquelle un algorithme a été utilisé durant le processus de prise de décision. L’algorithme n’a pas à être le seul fondement à la décision pour que celle-ci soit qualifiable de décision administrative algorithmique. Il faut distinguer la décision algorithmique de l’algorithme d’aide à la prise de décision : le premier fonde la décision, le deuxième est utilisé en amont de la décision et ne la fonde alors pas.

Arrêtons-nous tout d’abord sur ce qui motive l’administration à utiliser des algorithmes (I). Voyons ensuite les barrières prévues par le droit pour les décision algorithmique (II) et comment l’administration les contourne grâce aux algorithmes d’aide à la prise de décision (III). Enfin, étudions les conséquences de ces algorithmes d’aide à la prise de décision sur nos droits fondamentaux (IV).
I. Un recours aux décisions algorithmiques de plus en plus important

Il est difficile – pour ne pas dire impossible – de systématiser l’utilisation d’un algorithme. L’administration n’est jamais tenue d’y avoir recours, ce n’est qu’une faculté (explicitement admise par la loi depuis 2016⁴Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 4, créant l’article L. 311-3-1 du code des relations entre le public et l’administration sur les décisions administratives individuelles prises sur le fondement d’un traitement algorithmique.).

En tout état de cause, lorsqu’elle y a recours, cela peut être pour atteindre deux objectifs. Premièrement, il peut s’agir d’une situation dans laquelle l’administration doit prendre beaucoup de décisions dans un laps de temps restreint. Elle veut alors accélérer la prise de décision. Dans ce cas, l’algorithme est souvent très simple et il s’agit principalement de décisions administratives individuelles (c’est-à-dire dont le destinataire est une personne nommée ou un groupe de personnes individualisées). Le cas des algorithmes locaux de Parcousup illustre parfaitement cette situation : les universités doivent, en quelques semaines, classer des milliers de candidatures en attribuant à chaque candidat un rang précis ; les algorithmes locaux de Parcoursup appliquent à l’ensemble des candidats une même règle pour donner in fine un rang à chaque candidature. Les algorithmes locaux de Parcoursup sont une simple feuille de calcul sur laquelle les commissions de classement ont donné une importance plus ou moins grande à certains critères académiques parmi ceux transmis par la plateforme aux universités (notes, appréciations, lycée d’origine, etc.⁵Notons déjà d’emblée que les appréciations ne peuvent pas, par une simple feuille de calcul, être évaluées : elles sont donc nécessairement mises de côté par l’algorithme et les commissions de classement ne s’en serviront alors que pour partager deux éventuel·les candidat·es avec exactement le même rang.).

Deuxièmement, il peut s’agir de détecter ce que l’on estime impossible à trouver par une analyse humaine : il s’agit de la recherche de signaux faibles. Un signal faible est un élément tellement difficile à discriminer de la masse qu’un humain ne peut pas le faire : c’est l’aiguille dans la botte de foin. Dans cette situation, le recours aux algorithmes auto-apprenants est le plus souvent nécessaire. Par exemple, la surveillance algorithmique des réseaux de communication (parfois appelée « boîtes noires ») permises depuis la loi renseignement de 2015⁶Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, article 15, créant l’article L. 851-2 du code de la sécurité intérieure. repose sur des algorithmes auto-apprenants dont le but est de détecter des risques à caractère terroriste qu’on estime indétectable par un analyste du renseignement.
II. L’algorithme comme fondement de la décision administrative : une protection théorique contre les abus de la décision administrative algorithmique

Ce panorama étant posé, une peur peut légitimement naître : comment être certain qu’un algorithme a pris la bonne décision ? Il est intellectuellement plus facile de contester une décision prise par un humain que de contester une décision prise par une machine dont l’aléatoire est réputé neutralisé.

Le droit offre un certain nombre de mesures protectrices – bien qu’insuffisantes en pratique – lorsqu’un traitement algorithmique a été le fondement d’une décision. Autrement dit, lorsque l’administration, pour prendre sa décision, se base sur les résultats d’un algorithme, le droit pose des limites. L’article L. 311-3-1 du code des relations entre le public et l’administration énonce ainsi le droit de se faire communiquer les « règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre »⁷Ce qui, selon l’article R. 311-3-1-2 du même code, englobe, notamment, « les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé » ainsi que « les opérations effectuées par le traitement ». dans le cas d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique. Ainsi, lorsque l’administration prend une décision individuelle à l’aide d’un algorithme, un droit à se faire communiquer certaines informations sur l’algorithme naît au bénéfice du destinataire de la décision. Une forme de transparence est ainsi posée et d’elle découle une forme de contrôle sur la qualité de l’algorithme, donc de la décision qui en découle.

Le Conseil constitutionnel est également venu poser un garde-fou important à l’usage d’algorithmes dans les décisions administratives. Il a ainsi précisé que l’administration doit pouvoir expliquer et reproduire ses résultats : les algorithmes auto-apprenants sont donc théoriquement exclus de la prise de décision⁸Cons. const., 12 juin 2018, Loi relative à la protection des données personnelles, n° 2018-765 DC, point 71..

Enfin, précisons également que le code source des algorithmes sont des documents administratifs au sens de la loi⁹Art. L. 300-2 du code des relations entre le public et l’administration.. À ce titre, il est possible, en dehors des cas de décisions administratives individuelles, de se faire communiquer de tels documents¹⁰Art. L. 311-1 du code des relations entre le public et l’administration..
III. L’algorithme comme simple aide : l’absence de toute garantie contre les algorithmes d’aide à la prise de décision

La pratique administrative tend à exclure de plus en plus les algorithmes de la prise de décision. Si l’algorithme n’est plus considéré comme ayant fondé une décision, alors les limites posées (notamment l’interdiction de recourir à des algorithmes auto-apprenants donc aux résultats non reproductibles) n’existent plus du tout.

C’est ce qu’il se passe avec le recours des algorithmes dits « d’aide à la prise de décision ». Ces algorithmes sont utilisés bien en amont de la prise de décision : il s’agit de guider l’administration dans son action au quotidien, avant qu’une décision ne soit prise. On retrouve de tels algorithmes par exemple dans la lutte contre la fraude fiscale et douanière, dans la lutte contre le terrorisme, la police prédictive, etc.

Ces algorithmes d’aide à la prise de décision fonctionnent selon une même logique : une alerte ou une recommandation est levée par l’algorithme. Un·e agent de l’administration reçoit cette alerte ou cette recommandation, puis décide de prendre ou non une décision. Le fondement de la décision n’est donc plus l’algorithme, qui a seulement invité l’agent à s’intéresser à une situation particulière. L’algorithme d’aide à la prise de décision n’est plus au fondement de la décision, il est est détaché.

Ainsi, l’algorithme Paved (« plateforme d’analyse et de visualisation évolutive de la délinquance ») de la gendarmerie ne fait qu’afficher les zones à risques : il ne détermine pas les zones dans lesquelles les patrouilles seront positionnées. L’agent choisira seul·e de placer ses patrouilles dans les zones à risque ou non. Il en va de même pour les boites noires utilisées par les services de renseignement (cf. supra pour leur présentation) : elles ne lèvent qu’une alerte sur une potentielle menace, libre ensuite à l’analyste du renseignement de procéder ou non à une surveillance plus ciblée. Ce même fonctionnement vaut également pour les algorithmes de Bercy chargés de détecter les potentielles fraudes fiscales : les agents du fisc sont toujours libres de procéder ou non au contrôle fiscal.

Ces exemples sont réels et l’hypocrisie est flagrante. Si l’administration demande à un algorithme de l’aider, soit en augmentant le nombre de situations traitées, soit en détectant ce qu’un humain ne pourrait pas voir, pourquoi ne pas suivre ses recommandations ? On pourrait répondre que lorsqu’une alerte ou une recommandation est émise, l’agent pourrait refaire le traitement sur la situation spécifique afin de vérifier la qualité du résultat de l’algorithme. Cependant, premièrement, aucune obligation n’impose à l’administration une telle vérification. Deuxièmement, ce serait omettre les résultats négatifs qui impliquent une forme de validation de la situation par l’algorithme : passer à travers le filet ne serait-il pas une approbation donnée par l’algorithme ? Troisièmement, ce serait réduire drastiquement les gains de productivité demandés à ces algorithmes dans certaines situations, Quatrièmement, enfin, certains cas ne se prêtent tout simplement pas à une telle vérification, notamment lorsqu’il est demandé à l’algorithme de repérer les signaux faibles.

En réalité, lorsque une alerte ou une recommandation est levée par un algorithme d’aide à la prise de décision, l’administration se bornera à vérifier les erreurs grossières pour les cas positifs. Elle ne vérifiera jamais les résultats négatifs. L’humain chargé de réceptionner les alertes ou recommandations n’aura qu’un rôle de vérification a minima, au risque, autrement, d’aller à l’encontre des gains de production demandés. Le doute sera donc nécessairement au détriment de l’administré·e. Éventuellement, il peut être demandé à l’agent d’opérer un classement pour ne prendre en considération qu’un nombre limité de cas. On peut penser qu’un tel choix est fait dans les domaines où un contingentement existe en fait ou en droit (nombre limité de gendarmes mobilisables sur le terrain, quota de mises sous surveillance, etc.). Mais rien n’indique que ce choix ne soit pas dû au hasard (notamment lorsque l’humain n’est pas censé pouvoir apprécier la situation).
IV. Des conséquences négatives concrètes sur les droits fondamentaux

Le résultat de tout cela est assez décevant. D’une part, l’usage même de ces algorithmes d’aide à la prise de décision implique un droit à un recours effectif limité. Dès 2016¹¹Cour suprême du Wisconsin, State vs. Eric L. Loomis, 13 juillet 2016., la Cour suprême du Wisconsin affirmait qu’il n’est pas possible de contester le résultat d’un algorithme d’aide à la prise de décision puisque seul l’humain a pris la décision : la seule décision attaquable devant un juge est celle prise par un humain, et elle seule, même si un algorithme a aidé à cette prise de décision. Il n’existe donc pas de recours direct contre ces algorithmes puisqu’ils sont passés par le truchement d’un humain avant la prise de décision en tant que telle.

Mais, même dans le cas des décisions administratives algorithmiques – c’est-à-dire celles dont le fondement est un algorithme, contrairement au cas des algorithmes d’aide à la prise de décision –, les droits fondamentaux sont limités. Dans ces situations, on se heurtera au pouvoir discrétionnaire de l’administration : l’administration, très souvent, a une large possibilité d’action (nous l’avons rappelé en introduction) et le rôle du juge se limite alors à vérifier l’absence d’« erreur manifeste d’appréciation », c’est-à-dire l’absence d’erreur grossière dans la décision. Une décision administrative algorithmique ne sera qu’une décision dans laquelle l’administration a voulu, de son chef, limiter son aléa. Mais la manière de le limiter, les paramétrages de l’algorithme, restent un choix qui n’est pas vraiment contestable puisqu’il entrera très souvent dans le champ du pouvoir discrétionnaire de l’administration. La transparence (lorsqu’elle est applicable) permettra à l’administré·e de vérifier ces erreurs grossières (on peut par exemple penser aux cas de discriminations), mais le doute se fera toujours au bénéfice de l’administration.

D’autre part, l’usage de tels algorithmes va de pair avec une augmentation du nombre de données traitées. Pour utiliser des algorithmes, encore faut-il avoir des informations pour les nourrir. L’administration est donc incitée à collecter et traiter de plus en plus de données. La récente volonté de Bercy de récolter les données publiques des réseaux sociaux n’est que le dernier exemple d’une liste très longue. Avec cette collecte, ce sont le droit à la vie privée et familiale ou encore le droit à la liberté d’expression et d’information qui se retrouvent limités¹²Voir, pour une illustration, « Le Parlement doit rejeter le flicage fiscal des réseaux sociaux » , La Quadrature du Net, 5 novembre 2019..

Le résultat n’est pas réjouissant. L’administration se sert d’algorithmes, mais parfois tellement en amont dans son travail qu’il ne sont pas considérés comme ayant fondé la décision administrative, sapant au passage les garanties posées par le droit. Un problème de taille se pose : la notion de décision administrative, telle qu’elle est conçue aujourd’hui, a-t-elle encore une légitimité à l’heure des algorithmes ? Doit-elle évoluer pour réintégrer dans son champ les algorithmes d’aide à la prise de décision ?

Le 11 janvier dernier, la commission LIBE du Parlement européen (pour Commission des libertés civiles, de la justice et des affaires intérieures) a voté le règlement sur le retrait des contenus « à caractère terroriste ». C’est la dernière étape avant le vote en plénière au Parlement, peut-être dès le mois d’avril.

Un silence assourdissant

Ce texte prévoit que n’importe quelle autorité d’un Etat membre de l’Union européenne puisse imposer à n’importe quel hébergeur sur Internet de retirer en une heure un contenu que cette autorité aura considéré comme étant à « caractère terroriste ». Concrètement, en France, cela permettra à la police de faire censurer en une heure n’importe quel texte ou vidéo sans l’autorisation préalable d’un juge.

Outre les dangers de surveillance et de censure politique que nous soulignons depuis plusieurs années, cette obligation de retrait en une heure est exactement celle qui, au sein de la loi Avia, a été censurée par le Conseil constitutionnel en juin 2020 dans le cadre de sa décision sur la loi Avia.

Le vote en commission LIBE de lundi ne donne pourtant lieu qu’à un silence assourdissant. Côté presse, la dernière actualité est celle d’un communiqué de l’AFP intervenu à la suite du compromis trouvé entre le Parlement et le gouvernement européens sur le texte. On y voit le gouvernement français se féliciter de cet accord, sans aucune mention du débat extrêmement vif qu’avait suscité la réplique de ce texte dans la loi Avia ni, évidemment, de la décision du Conseil constitutionnel de juin 2020.

À part ce communiqué, bien pauvre et partiel… rien. La suppression du compte de Donald Trump était manifestement un sujet plus léger et agréable à discuter que la censure de milliers de militants européens qu’il faudra redouter dès que l’ensemble du Web sera soumis à l’arbitraire de toutes les polices européennes.

Côté gouvernement par contre, on se félicite de cette situation. Que ce soit Clément Beaune, le secrétaire d’Etat aux affaires européennes, qui parle sans gêne d’une « avancée majeure, portée par la France ». Ou Emmanuel Macron qui se félicite de l’aboutissement d’un processus qu’il a engagé en 2017. Impossible aussi de ne pas mentionner les parlementaires français du Parlement européen qui se sont vantés de cette adoption, telles que Nathalie Loiseau et Fabienne Keller. Comme si tout l’appareil gouvernemental n’avait plus honte à admettre instrumentaliser l’Union européenne pour contourner la Constitution française et violer frontalement nos libertés.

Une saisine pour préparer le vote final

Nous avons donc décidé de saisir la Défenseure des droits sur ce sujet. Elle est en effet compétente pour veiller « au respect des droits et libertés par les administrations de l’Etat ». Or, le gouvernement français, et particulièrement le secrétaire d’Etat aux affaires européennes, Clément Beaune, a activement participé à faire avancer le processus d’adoption de dispositions déclarées en juin 2020 comme violant la Constitution.

Nous espérons également que, devant ce silence médiatique et ces abus anticonstitutionnels du gouvernement, toutes les organisations et journalistes qui étaient montés au créneau contre les dangers de la loi Avia feront de même sur ce dossier.

Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

« – Et que fais-tu de ces étoiles ?
(…)
Rien. Je les possède.
(…)
Mais j’ai déjà vu un roi qui…
Les rois ne possèdent pas. Ils « règnent » sur. C’est très différent. »

Antoine de Saint-Exupéry,
« Le Petit Prince », Chapitre XIII¹La référence à ce passage du Petit Prince d’Antoine de Saint-Exupéry pour illustrer la différence entre « régner » et « posséder » et, plus largement, l’existence d’autres liens juridiques que le droit de propriété pour exercer du pouvoir sur une chose, est empruntée à la professeure Valérie-Laure Benabou, qui y recourra magistralement lors d’une conférence-débat coorganisée par le réseau Galatea et l’Ordre des avocats au Conseil d’État et à la Cour de cassation, qui se tint le 26 juin 2018 dans la bibliothèque de l’Ordre. Outre la professeur Valérie-Laure Benabou, les participants à ce débat étaient M. Jean Lessi, M. Gaspard Koenig, Me Emmanuelle Trichet et Me Isabelle Landreau. La vidéo de cette conférence-débat est consultable à cette adresse : https://www.youtube.com/watch?v=bbhr80OvSxI&t=3616s

Une donnée est une information. Dans l’environnement informatique, la donnée est constituée d’une séquence de chiffres. L’ordonnancement de ces chiffres leur confère un sens particulier. Mais, la donnée subsiste aussi indépendamment de son support informatique. L’information brute existe, indépendamment de tout encodage numérique.

Lorsque cette information est susceptible d’être reliée, directement ou indirectement, à une personne physique, elle constitue une donnée personnelle²Les textes recourent plutôt au vocable, plus lourd, de « données à caractère personnel »..

Les débats entourant le droit gouvernant les données personnelles voient régulièrement apparaître des propositions tendant à faire entrer ces données dans le champ du droit de propriété. Les positions les plus extrêmes, issues de cercles ultralibéraux, estiment même opportun de créer un droit de propriété privée sur les données personnelles afin que les individus puissent en négocier l’usage auprès des grands acteurs numériques contre une rémunération. Ces propositions sont présentées comme un moyen plus efficace de lutter contre le « pillage de nos données » que la législation actuelle en vigueur.

Pour séduisante qu’une telle proposition puisse paraître au premier abord, « l’application du concept de propriété est contestable philosophiquement et juridiquement, et n’apporte pas de réponses adéquates »³CNCDH, avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique, adopté à l’unanimité par l’Assemblée plénière de la Commission, pt. 32., ainsi que l’a parfaitement résumé la Commission nationale consultative des droits de l’homme (CNCDH).

Idée contestable (1) et efficacité hasardeuse (2), ce qui explique probablement pourquoi, au-delà de la CNCDH, nos institutions s’étant penchées sur la question ont, dans une rare unanimité – Conseil d’État⁴Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ;
Mme Nicole Belloubet, garde des sceaux, faisait sienne la position du Conseil d’État dans les débats qui se sont tenus au Sénat le 21 mars 2018, sur le projet qui deviendra la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en réponse à un amendement qui visait à insérer un second alinéa à l’article L. 341-1 du code de la propriété intellectuelle, ainsi rédigé : « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. », CNIL⁵CNIL, rapport d’activité 2017, p. 52 ; https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf, CNNum⁶CNNum, rapport sur la « Neutralité des plateformes » (mai 2014), p. 37 ; CNNum, avis sur « La libre circulation des données dans l’Union européenne » (avril 2017). –, rejeté l’idée de faire entrer les données personnelles dans le champ du droit de propriété. Il en va de même de la doctrine la plus éclairée en la matière⁷Judith Rochfeld. Contre l’hypothèse de la qualification des données personnelles comme des biens, in : Les biens numériques, éd CEPRISCA, 2015, pp.221-23 ; http://www.ceprisca.fr/wp-content/uploads/2016/03/2015-CEPRISCA-BIENS-NUMERIQUES.pdf.

La Quadrature du Net rejette également la thèse de la patrimonialité des données personnelles. Elle considère que la protection de la vie privée et des données personnelles constitue un droit fondamental⁸Premier considérant du RGPD. 2) de l’article 1er du RGPD. Voir également, CE, ord. réf., 18 mai 2020, La Quadrature du Net e.a., n° 440442, 440445, pt. 6. et que l’enjeu principal consiste à mettre fin à leur exploitation débridée, et non simplement à organiser une compensation monétaire par des tiers.

1.- Une idée contestable

En droit civil, la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements⁹Article 544 du code civil. . Ses attributs sont classiquement assimilés à l’usus (le droit d’user de la chose), le fructus (le droit de percevoir les fruits de la chose) et l’abusus (le droit de disposer de la chose, notamment par l’aliénation ou la destruction).

En l’état du droit, il n’existe aucun droit de propriété sur les données brutes¹⁰Conseil d’État, « Le numérique et les droits fondamentaux », Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf. Un droit sui generis est certes reconnu au producteur d’une base de données¹¹Dont la notion juridique est définie à l’article L. 112-3 du code de la propriété intellectuelle. lorsque la constitution, la vérification ou la présentation de son contenu atteste d’un investissement financier, matériel ou humain substantiel¹²Article L. 341-1 du code de la propriété intellectuelle. sur le plan quantitatif ou qualitatif.

Mais la donnée en elle-même est insusceptible de faire l’objet d’un droit de propriété. À l’instar des idées, qui sont de libre parcours¹³Par ex. Civ. 1ère, 5 juillet 2006, n° 04-16.687.], les données ne sont susceptibles de faire l’objet d’un droit de propriété incorporelle que lorsqu’elles constituent en réalité une œuvre de l’esprit, revêtant un caractère original¹⁴Article L. 111-1 du code de la propriété intellectuelle.. Elles rentrent alors dans le champ du droit d’auteur.

Partant, les personnes physiques ne disposent d’aucun droit de propriété sur leurs données personnelles¹⁵Conseil d’État, Le numérique et les droits fondamentaux, Étude annuelle 2014, p. 264 ;
https://www.vie-publique.fr/sites/default/files/rapport/pdf/144000541.pdf ; Pierre Truche, Jean-Paul Faugère, Patrice Flichy, « Administration électronique et protection des données personnelles. Livre blanc. », février 2002]. Cela vaut, a fortiori, pour les personnes morales, s’agissant des données de personnes physiques[[Thibault Verbiest, « Smart cities et données », JT 2019, n° 221, p. 31..

Il est vrai que certains arrêts récents de la Cour de cassation ont pu faire planer un doute sur la possibilité, pour de simples données, de faire l’objet d’un droit de propriété¹⁶Un fichier de clientèle informatisé contenant des données à caractère personnel, qui n’a pas été déclaré auprès de la CNIL, n’est pas dans le commerce, et sa vente a un objet illicite (cf. Com., 25 juin 2013, n° 12-17.037, Bull. civ., IV, n° 108). Le détournement de fichiers informatiques contenant des informations confidentielles peut être constitutif d’un abus de confiance (cf. Crim., 22 octobre 2014, n° 13-82.630). Le téléchargement, effectué sans le consentement de leur propriétaire, de données que le prévenu savait protégées caractérise la soustraction frauduleuse constitutive du vol (cf. Crim., 20 mai 2015, n° 14-81.336, Bull. crim., 2015, n° 119).. Mais si le doute est toujours permis, il est probable que si la juridiction avait souhaité consacrer un changement aussi important de paradigme, en dehors de toute base légale, elle aurait destiné ses décisions à une plus grande publicité – au-delà de la seule publication au Bulletin – et certains auteurs y ont vu plus que ce qu’il fallait y voir.

Le droit de propriété est une formidable fiction, qui prend ses racines dans des temps immémoriaux et répond à un besoin social. Il s’agit d’une forme d’exercice du pouvoir sur une chose. Mais c’est loin d’être la seule.

Lorsque les pouvoirs publics lèvent des impôts, ils exercent leur pouvoir sur des individus, des biens et des activités. Pourtant, la nature du droit qui leur permet d’exercer ce pouvoir n’est pas un droit de propriété. Lorsque l’État exige des personnes résidant régulièrement sur son territoire de s’acquitter d’un impôt sur leurs revenus ; des propriétaires de biens immobiliers présents sur son sol, ou même des habitants résidant sur son territoire, de s’acquitter d’un impôt foncier ou local ; ou encore, que des droits de douane lui soient versés pour les marchandises traversant ses frontières, il exerce un droit qui n’est pas un droit de propriété.

De même, les liens réciproques entre l’État et les personnes disposant de sa nationalité, qui peuvent avoir des effets mutuels très importants – service militaire ou civique, protection consulaire, etc. – ne sont pas constitutifs d’un quelconque droit de propriété.

La conclusion s’impose rapidement : il existe d’autres droits, outre le droit de propriété, qui permettent d’assurer aussi bien, voire nettement mieux, des finalités variées. C’est ainsi que depuis 1978 – et la loi Informatique et Libertés -, le législateur a fait le choix de protéger les données personnelles en tant qu’élément de la personnalité des individus. Cette approche « personnaliste » imprègne également le RGPD (Réglement général sur la protection des données) adopté au niveau de l’Union européenne, dont les dispositions s’opposent frontalement à l’hypothèse « propriétariste ».
2.- Une efficacité hasardeuse

À l’échelle individuelle, les données sont dépourvues d’une valeur économique significative. C’est l’agrégation massive de données, à partir d’une granularité très fine, combinée à un traitement toujours plus rapide, à l’aide d’algorithmes de plus en plus sophistiqués et de machines de plus en plus performantes, qui permet de créer des modèles, d’anticiper et d’influencer les comportements. C’est ce pouvoir d’anticipation et d’influence qui confère une valeur économique aux données. Croire qu’un individu isolé pourrait retirer des revenus importants de la vente de ses seules données constitue donc une illusion et la légitimé économique de l’approche patrimoniale est pour le moins contestable¹⁷Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères..

Le droit à la protection des données personnelles existe pour protéger les personnes dans des rapports asymétriques, notamment dans leur rapport avec les entreprises et avec les administrations. Il existe pour rééquilibrer des rapports de forces par essence très fortement défavorables aux individus.

Les mécanismes qui engendrent de la valeur à partir de la collecte et du traitement des données personnelles sont, en pratique, bien souvent illégaux et contraires aux droits fondamentaux. En l’état actuel du droit, lorsqu’une personne consent à ce que l’on utilise des données la concernant, elle conserve un certain nombre de droits (accès, rectification, opposition, effacement, etc.), notamment celui de délimiter l’autorisation accordée à une finalité précise. Dans un système où les données seraient « vendues », ces facultés des individus à contrôler seraient affaiblies, puisque la transaction organiserait un transfert de propriété.

Se placer sur le terrain de la compensation monétaire équivaut donc en réalité à abdiquer ses droits fondamentaux. Doit-on accepter que les droits à la vie privée et à la protection de ses données personnelles soient rétrogradés du rang de droits fondamentaux à de simples biens échangeables sur un marché ?

Les données personnelles existent à la frontière de l’être et de l’avoir¹⁸Arnaud Anciaux, Joëlle Farchy et Cécile Méadel, « L’instauration de droits de propriété sur les données personnelles : une légitimité économique contestable », Revue d’économie industrielle, 158 | 2017, 9-41 ; mis en ligne le 15 juin 2019, consulté le 24 décembre 2019. URL : http://journals.openedition.org/rei/6540 ; DOI : 10.4000/rei.6540 ; Fabrice Rochelandet, Economie des données personnelles et de la vie privée, 2010, La Découverte, Repères. . Elles constituent un attribut de la personnalité, une émanation immatérielle de l’individu, une prolongation incorporelle de soi-même.

Ces données revêtent, en outre, un caractère dual, janusien : elles oscillent entre intimité et sphère sociale. On occulte en effet bien trop souvent la dimension collective des données personnelles. Ou plutôt, leurs dimensions collectives : médiates et plus immédiates.

La première concerne par exemple nos données génétiques, susceptibles de révéler des informations sur nos parents, mais aussi sur l’humanité tout entière¹⁹CNIL, Les données génétiques, 2017, La documentation française, Collection Point CNIL, 216 p. ; https://slate.com/technology/2019/12/gedmatch-verogen-genetic-genealogy-law-enforcement.html.. Au-delà des données génétiques, il s’agit encore de données plus triviales, mais qui, dès lors que massivement agglomérées et traitées, permettent d’établir des « modèles » susceptibles de révéler des informations parfois très intimes sur des tiers.

La seconde concerne plus largement l’ensemble des données qui permettent d’être reliées, directement, à plusieurs personnes. À titre d’exemple, on pourrait citer un accident de voiture entre deux véhicules ou un rendez-vous entre deux personnes, l’un et l’autre susceptibles de révéler une multitude d’informations, parfois très précises, sur l’ensemble des protagonistes.

Aussi, contrairement à cette première intuition qui nous anime, les données personnelles ne sont que bien rarement strictement individuelles. Bien souvent, il s’agit en réalité de données collectives, sociales, à même de révéler des informations extrêmement précises et nombreuses, souvent intimes, sur une multitude d’individus. La voie de la patrimonialisation des données personnelles reviendrait à reconnaître un droit de propriété sur une chose qui ne nous appartient pas en propre.

Nos données personnelles permettent de tracer nos « graphes sociaux »²⁰https://en.wikipedia.org/wiki/Social_graph, d’y entrelacer des nœuds et d’esquisser les liens entre eux. C’est d’ailleurs pour avoir compris l’importance de cette dimension réticulaire des données personnelles que des entreprises comme Google ou Facebook ont pu construire leurs empires grâce à la publicité ciblée. Les données permettent de tisser la trame de nos sociétés et de nouer les points aux carrefours desquels nos relations sociales s’entrecroisent, en sorte qu’il s’agit de véritables « coordonnées sociales »²¹Lionel Maurel, « Calimaq », https://scinfolex.com/2018/06/28/google-les-donnees-sociales-et-la-caverne-des-habitus/ ; https://scinfolex.com/2018/05/25/rgpd-la-protection-de-nos-vies-numeriques-est-un-enjeu-collectif-tribune-le-monde/.

Si le droit actuel arrive à saisir les données personnelles dans la relation à l’individu, il reste encore assez largement impuissant à reconnaître et à protéger ce qui en fait la dimension collective. Contrairement à ce que soutient la thèse « patrimonialiste », renforcer encore l’approche individualiste en créant un droit de propriété privée ne constituera pas une solution, mais renforcera encore le problème.

Céder nos données reviendrait en réalité à vendre les clés permettant de nous emprisonner dans des bulles de filtre, de capter notre attention afin d’influencer notre perception de la réalité et, in fine, d’influer sur notre comportement à des fins marchandes, voire sociales et même politiques²²https://fr.wikipedia.org/wiki/Cambridge_Analytica.

Modéliser des comportements. Les anticiper. Et, surtout, les influencer. D’abord, afin d’engendrer un acte économique : l’achat. Ensuite, un acte social : gommer les comportements sociaux considérés négatifs ou favoriser ceux que l’on considère positifs. Ou enfin, un acte politique : le vote.

Justifier de telles pratiques pourrait bien saper les fondements mêmes de notre société, de nos démocraties et de nos États de droit²³En 2002, M. Michel Gentot écrivait déjà que, dans l’esprit du législateur, le droit à la protection des données personnelles « excédait très largement le seul registre de la protection de la vie privée et touchait aux fondements mêmes de l’État de droit. » (M. Gentot, « La protection des données personnelles à la croisée des chemins », in P. Taraboni (dir.), La protection de la vie privée dans la société de l’information, t. III, PUF, 2002, p. 25 s., spéc. p. 31)..

Le marketing économique, la publicité marchande, la propagande politique existent certes depuis des temps immémoriaux. Il est probable que ces activités aient toujours existé dans l’ombre de l’humanité. Mais l’ampleur, la puissance, l’efficacité de ces phénomènes n’ont probablement jamais été aussi importantes.

Face à ces enjeux, l’approche de la Quadrature du Net consiste à rester fidèle à la vision philosophique qui conçoit la protection des données comme un droit fondamental de la personne humaine, tout en ayant conscience de l’importance de nous organiser collectivement pour faire valoir ces droits. C’est la raison pour laquelle l’association, dès l’entrée en vigueur du RGPD, a lancé une série d’actions de groupe, mobilisant plus de 12 000 citoyens pour réclamer le respect de nos droits face aux pratiques des GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Ces recours collectifs, qui ont été rendus possibles par le RGPD, sont une manière de faire corps ensemble pour le respect de nos droits, mais ils restent encore davantage une agrégation de demandes individuelles plus qu’une défense de la dimension collective des données. Pour aller plus loin et faire évoluer le droit, il devient de plus en plus urgent de reconnaître un droit à l’interopérabilité, qui permettrait aux internautes de quitter les plateformes dominantes et rejoindre des alternatives plus respectueuses de leurs droits, tout en continuant à communiquer avec leurs contacts. Une telle évolution permettrait de protéger les données, non plus uniquement en tant que relation à soi, mais aussi comme relation aux autres.

***

Nos données personnelles nous définissent. Elles révèlent notre intimité la plus profonde.

Les effets néfastes de la théorie propriétariste sont légion²⁴Yann Padova, « Notre vie privée n’a pas de prix ! », Les Echos, 28 mars 2019 ; https://www.lesechos.fr/idees-debats/cercle/notre-vie-privee-na-pas-de-prix-1004389..

Il y a un peu plus de 40 ans, à l’heure où l’informatique en était encore à ses prémisses, le législateur eu la sagesse de proclamer, à l’orée de la première loi relative à l’informatique, aux fichiers et aux libertés, que l’informatique devait être au service de chaque citoyen, sans porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques²⁵Article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés..

Au lieu de s’aventurer avec légèreté sur les terra incognita de la patrimonialisation de nos données personnelles, il serait préférable de s’interroger sur ce qui serait inévitablement défait pour tenter, probablement en vain, de poursuivre des finalités qui peuvent être atteintes par des voies plus sûres.

Lundi, la commission LIBE (pour Commission des libertés civiles, de la justice et des affaires intérieures) du Parlement européen a voté le règlement dit « anti-terroriste ». Ce nouveau règlement obligera l’ensemble des acteurs de l’Internet à censurer en une heure n’importe quel contenu signalé comme « terroriste » par la police, et ce sans intervention préalable d’un juge.

Comme nous le répétons depuis maintenant deux ans :

• Le délai d’une heure n’est pas réaliste, seules les grosses plateformes seront en mesure de se conformer à une telle obligation;
• La menace de lourdes amendes et l’impossibilité pratique de se conformer aux ordres de retrait obligera les acteurs du web à censurer de manière proactive tout contenu potentiellement illégal en amont, en utilisant les outils automatisés de surveillance de masse développés par Google et Facebook;
• Ce pouvoir donné à la police, sans contrôle préalable d’un juge pourrait mener à la censure d’opposants politiques et de mouvements sociaux;
• Le texte permet à une autorité de tout État membre d’ordonner le retrait d’un contenu hébergé dans un autre État membre. De telles mesures transfrontalières sont non seulement irréalistes, mais ne peuvent qu’aggraver le danger d’une censure politique de masse

.

Surtout, en juin 2020, le Conseil constitutionnel a censuré une disposition (parmi beaucoup d’autres) de la loi Avia qui prévoyait la même obligation de retrait en 1 heure de contenus notifiés comme « terroristes » par la police. Il a jugé qu’une telle obligation constituait une atteinte disproportionnée à la liberté d’expression et de communication.

Les membres de la Commission LIBE ont néanmoins voté le texte. Les députés européens, et spécifiquement les députés français, ont donc voté en toute conscience un texte déclaré anticonstitutionnel en France. Ils devront en porter toute la responsabilité.

Nous travaillons sur ce texte depuis sa présentation en septembre 2018. Le vote d’hier était une étape importante dans le processus de son adoption, et donc une défaite pour la lutte contre la censure et la surveillance sur Internet. Ce vote a eu lieu sans aucun débat ou vote public (les résultats précis n’ont toujours pas été publiés).

La prochaine étape sera le vote en plénière au Parlement européen. Nous sommes prêts pour continuer la bataille contre ce texte et demander son rejet.