Mise à jour de la base de données, veuillez patienter...

22 mars 2018 - 4 bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

• 1. Dans sa réponse, Free indique "En application de la législation en vigueur, celles-ci (les informations personnelles, ndlr) ne peuvent être transmises que sur réquisition des autorités judiciaires uniquement"
• 2. L'arrêt Tele2 Sverige AB (C-203/15) rendu le 21 décembre 2016 par la Cour de justice de l'Union européenne conclut fermement que le droit de l'Union « s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs ».

Fichier attaché	Taille
4op.png	41.43 Ko

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

• 1. Caroline Pozmentier : « Pour le déploiement du second millier de caméras, on va lancer une grande concertation, avec notamment les comités d’intérêts de quartiers et les bailleurs sociaux, car je ne m’interdis pas d’installer de la vidéoprotection en plein cœur des cités sensibles de la ville, et même que l’on ait un jour recours à des drones civils » (source).
• 2. En 2016, le projet avait été évoqué comme une solution permettant de repérer automatiquement les personnes fichées S dans la rue.
• 3. Voir le passage qui lui est consacré dans une enquête de Cash Investigation en date de 2015.
• 4. On a quand même tenté d'écrire au Contrôleur européen de la protection des données pour lui demander son avis sur cette utilisation des fonds européens dédiés à la lutte contre les inégalités régionales au sein de l'Union, et pour lesquels la région PACA dispose il est vrai d'une grande marge de manœuvre, mais il nous a expliqué gentiment que ce n'était pas de son ressort...
• 5. CNIL (2017), Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?, Paris. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf , page 39
• 6. Le document poursuit page 14 en expliquant vouloir savoir « (qui parle ?, qui agit ?, qui interagit avec qui?) », la « remontée des fils de conversation (qui organise ? qui est le primo-déposant ?) ».
• 7. Patterson, B. E. (3 août 2015), Black Lives Matter organizers were labeled as “threat actors” by a cybersecurity firm. https://www.motherjones.com/politics/2015/08/zerofox-report-baltimore-bl...
• 8. « The NYPD mapped Muslim communities and their religious, educational, and social institutions and businesses in New York City (and beyond). It deployed NYPD officers and informants to infiltrate mosques and other institutions to monitor the conversations of Muslim New Yorkers, including religious leaders, based on their religion without any suspicion of wrongdoing. It conducted other forms of warrantless surveillance of Muslims, including the monitoring of websites, blogs, and other online forums. The results of these unlawful spying activities were entered into NYPD intelligence databases, which amassed information about thousands of law-abiding Americans.  ». Raza v. City of New York - Legal Challenge to NYPD Muslim Surveillance Program (3 août 2017). https://www.aclu.org/cases/raza-v-city-new-york-legal-challenge-nypd-muslim-surveillance-program

Fichier attaché	Taille
CCTP_ObservatoireBigData_Marseille.pdf	5.82 Mo

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce aux traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, en l'espèce, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

• 1. Caroline Pozmentier : « Pour le déploiement du second millier de caméras, on va lancer une grande concertation, avec notamment les comités d’intérêts de quartiers et les bailleurs sociaux, car je ne m’interdis pas d’installer de la vidéoprotection en plein cœur des cités sensibles de la ville, et même que l’on ait un jour recours à des drones civils » (source).
• 2. En 2016, le projet avait été évoqué comme une solution permettant de repérer automatiquement les personnes fichées S dans la rue.
• 3. Voir le passage qui lui est consacré dans une enquête de Cash Investigation en date de 2015.
• 4. On a quand même tenté d'écrire au Contrôleur européen de la protection des données pour lui demander son avis sur cette utilisation des fonds européens dédiés à la lutte contre les inégalités régionales au sein de l'Union, et pour lesquels la région PACA dispose il est vrai d'une grande marge de manœuvre, mais il nous a expliqué gentiment que ce n'était pas de son ressort...
• 5. CNIL (2017), Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?, Paris. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf , page 39
• 6. Le document poursuit page 14 en expliquant vouloir savoir « (qui parle ?, qui agit ?, qui interagit avec qui?) », la « remontée des fils de conversation (qui organise ? qui est le primo-déposant ?) ».
• 7. Patterson, B. E. (3 août 2015), Black Lives Matter organizers were labeled as “threat actors” by a cybersecurity firm. https://www.motherjones.com/politics/2015/08/zerofox-report-baltimore-bl...
• 8. « The NYPD mapped Muslim communities and their religious, educational, and social institutions and businesses in New York City (and beyond). It deployed NYPD officers and informants to infiltrate mosques and other institutions to monitor the conversations of Muslim New Yorkers, including religious leaders, based on their religion without any suspicion of wrongdoing. It conducted other forms of warrantless surveillance of Muslims, including the monitoring of websites, blogs, and other online forums. The results of these unlawful spying activities were entered into NYPD intelligence databases, which amassed information about thousands of law-abiding Americans.  ». Raza v. City of New York - Legal Challenge to NYPD Muslim Surveillance Program (3 août 2017). https://www.aclu.org/cases/raza-v-city-new-york-legal-challenge-nypd-muslim-surveillance-program

Fichier attaché	Taille
CCTP_ObservatoireBigData_Marseille.pdf	5.82 Mo

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Les élus municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Alors que les élus marseillais n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data arrive à la rescousse. Pour Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale »1. Rien que ça !

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce aux traitement de l'image (2000 caméras à terme, et demain des drones2), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés, qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale3.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui rapporte autour de 60 millions d'euros par an4. Depuis quelques années, notamment via des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !5

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – et notamment des politiques de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice6.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par ces systèmes automatisés ? Est-ce que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, en l'espèce, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

• 1. https://sd-magazine.com/smart-safe-cities/marseille-se-reve-safe-city
• 2. Caroline Pozmentier : « Pour le déploiement du second millier de caméras, on va lancer une grande concertation, avec notamment les comités d’intérêts de quartiers et les bailleurs sociaux, car je ne m’interdis pas d’installer de la vidéoprotection en plein cœur des cités sensibles de la ville, et même que l’on ait un jour recours à des drones civils » (source).
• 3. En 2016, le projet avait été évoqué comme une solution permettant de repérer automatiquement les personnes fichées S dans la rue.
• 4. Voir le passage qui lui est consacré dans une enquête de Cash Investigation en date de 2015.
• 5. On a quand même tenté d'écrire au Contrôleur européen de la protection des données pour lui demander son avis sur cette utilisation des fonds européens dédiés à la lutte contre les inégalités régionales au sein de l'Union, et pour lesquels la région PACA dispose il est vrai d'une grande marge de manœuvre, mais il nous a expliqué gentiment que ce n'était pas de son ressort...
• 6. CNIL (2017), Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?, Paris. https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf , page 39
• 7. Patterson, B. E. (3 août 2015), Black Lives Matter organizers were labeled as “threat actors” by a cybersecurity firm. https://www.motherjones.com/politics/2015/08/zerofox-report-baltimore-bl...
• 8. « The NYPD mapped Muslim communities and their religious, educational, and social institutions and businesses in New York City (and beyond). It deployed NYPD officers and informants to infiltrate mosques and other institutions to monitor the conversations of Muslim New Yorkers, including religious leaders, based on their religion without any suspicion of wrongdoing. It conducted other forms of warrantless surveillance of Muslims, including the monitoring of websites, blogs, and other online forums. The results of these unlawful spying activities were entered into NYPD intelligence databases, which amassed information about thousands of law-abiding Americans.  ». Raza v. City of New York - Legal Challenge to NYPD Muslim Surveillance Program (3 août 2017). https://www.aclu.org/cases/raza-v-city-new-york-legal-challenge-nypd-muslim-surveillance-program

Fichier attaché	Taille
CCTP_ObservatoireBigData_Marseille.pdf	5.82 Mo

14 mars 2017 - Ce matin, la commission du Sénat en charge d'examiner le projet de loi données personnelles a rendu sa version du texte. Comme à l'Assemblée nationale (voir notre article), la commission des lois a refusé de déposer le moindre amendement visant à encadrer les activités du renseignement français, tel que le droit européen l'exige pourtant. Le texte sera examiné par l'ensemble des sénateurs le 20 mars prochain : ils devront déposer et soutenir tout amendement visant à nous protéger des abus des services de renseignement.

Le projet de loi données personnelles a deux buts : préparer le droit français à l'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain et — nos parlementaires l'oublient presque systématiquement — transposer en droit français la directive 2016/680, qui a pour objectif d'encadrer les traitements de données personnelles en matière de prévention, de détection et de sanction des infractions pénales.

Contrairement à ce que prétend le gouvernement, cette directive s'applique aux activités de renseignement, dès lors que celles-ci visent précisément à détecter et prévenir des infractions (terrorisme, délinquance et criminalité organisées, manifestations interdites, etc.) et que ces infractions ne concernent pas la « sécurité nationale » (l'Union européenne légiférant de longue date en matière de lutte contre le terrorisme, par exemple) et n'échappent donc en aucun cas au champ de cette directive.

Or, la loi française n'encadre pas les activités de renseignement avec les garanties imposées par la directive : elle ne prévoit aucune information des personnes surveillées (afin que celles-ci puissent, une fois la menace écartée, contester une mesure illicite) ; elle interdit aux autorités de contrôle d'accéder aux renseignements collectés par les services français auprès de services étrangers ; elle ne prévoit aucune voie de recours juridictionnelle en matière de surveillance internationale.

Ces trois manquements sont frontalement contraires aux exigences de la directive 2016/680. Le Sénat doit corriger la loi française en ce sens. Autrement, La Quadrature du Net devra, encore un fois, agir en justice pour faire modifier la loi (avec les Exégètes amateurs, nous avons déjà fait censurer deux fois la loi renseignement devant le Conseil constitutionnel, en plus d'avoir participé à la censure de nombreuses dispositions lors de l'examen préalable du texte par le Conseil).

Si la conformité du droit français au droit européen n'est plus assurée par le législateur mais par des associations telles que La Quadrature du Net, la légitimité et le rôle du législateur deviennent parfaitement illusoires. Le 20 mars, les Sénateurs devront arrêter de nier et de saper leur fonction. Pour ce faire, ils peuvent déposer et soutenir les amendements que nous proposons (PDF, 6 pages).