Qu’est ce qu’une coupure d’Internet ?

Nous commençons aujourd’hui une nouvelle série d’articles qui explorent les perturbations du réseau Internet. Alors que l’Internet est de plus en plus régulé, il se retrouve aussi de plus en plus victime de coupures selon une étude de 2011. C’est une tendance qui s’accroît, selon un rapport très complet d’Access Now. Ces coupures peuvent avoir différentes raisons, allant d’une faille technique à une volonté délibérée de la part des États d’empêcher les habitant·es de communiquer, notamment lors de révoltes ou de périodes d’instabilité politique.

Bien que la légende veuille qu’il ait été conçu pour survivre à un hiver atomique dans son ensemble, localement, l’accès à Internet peut être coupé. Le réseau Internet étant construit autour d’un assemblage de réseaux autonomes mais inter-connectés, il se pourrait qu’une partie de ces sous-réseaux tombent, sans que les autres ne soient sévèrement impactés. L’information pourrait continuer à circuler dans le reste du réseau.

Parce qu’il est un outil souvent central dans la contestation d’un pouvoir illégitime, pour venir en aide aux victimes de catastrophes naturelles ou humaines, il est vital d’étudier comment faire pour maintenir les connexions et ainsi pouvoir disséminer des informations. Dans plus de 140 cas, comme nous l’apprend la page 6 du rapport de Access Now, les gouvernements ont justifié leurs coupures par “la Sécurité Nationale” ou le contrôle des “fausses informations”.

Il est souvent évident pour les observateurs qu’en réalité les autorités peuvent redouter la  contestation, et donc coupent l’accès à Internet pour limiter la capacité du peuple à s’organiser et à s’exprimer, que ce soit en ligne ou non. Les données révèlent que, quand les autorités parlent de “fausse information”, rumeurs ou discours de haine, ils sont en réalité contraints d’agir en réaction à des manifestations, des élections, des violences sociales ou des activités militantes, entre autres. En utilisant ces menaces comme excuse, il semble que les gouvernements utilisent les coupures comme moyen de contrôler le débat politique et le flux d’informations.

Access now, The #KEEPITON Report, 2018

Cela démontre sans équivoque l’importance d’un tel outil. Ainsi, nous allons commencer par étudier quels sont les différents types de coupures dans un premier article. Puis, dans un second temps, nous verrons comment contourner les censures et rétablir les connexions. Enfin, quand rétablir une connexion n’est pas possible, ou pas souhaitable, nous verrons comment s’organiser sans internet, voire sans ordinateurs.

Qui coupe internet ?

Il faut savoir avant toutes choses qu’Internet à une existence physique, à travers différents types d’infrastructures.

Autant les câbles sont importants, autant il existe aussi les entrepôts de données, les opérateurs transnationaux, et des opérateurs locaux, qui ont tous un rôle à jouer. C’est à travers ce mille-feuilles d’acteurs que nos connexions se font, et plus l’opérateur va être en haut de la hiérarchie des interconnexions, plus il aura de pouvoir sur le réseau.

Parlons donc coupure. Une coupure, c’est une interruption dans votre connexion au réseau Internet. Cette interruption peut être totale – rien ne passe – ou bien partielle – vous arrivez à vous connecter à certaines parties mais pas d’autres. Ou bien la connexion est instable, et empêche une utilisation fluide. La  réduction de la vitesse de connexion peut parfois produire des effets comparables à une coupure.

Il existe plusieurs moyens de couper la connexion à Internet. Mais en réalité, il n’existe pas une seule connexion, mais des interconnexions, et de nombreuses manières de les réaliser. Et les coupures sont tout aussi variées. Elles peuvent être longues, sur plusieurs mois, comme assez courtes. Elles peuvent avoir plus ou moins de régularité.

Étudions donc quelles pourraient être les causes de ces coupures.

Le climat

Internet, c’est avant tout une interconnexion entre des ordinateurs à l’échelle du monde. Ces interconnexions se font principalement par des câbles, et à travers d’autres ordinateurs, qui sont sensibles au climat. Ainsi, un incendie peut par exemple sérieusement compromettre le réseau. La crise climatique en cours, qui provoque des inondations, des glissements de terrain, et autant de choses qui peuvent compromettre nos constructions, est une menace extrêmement importante. La Chine, pays où les payements en ligne sont monnaie courante, à dû se confronter à cette situation lors d’innondations récente.

Les animaux

Nos infrastructures ne sont pas sensibles qu’au climat, elles le sont aussi aux animaux avec qui nous partageons la terre et la mer. Ainsi, comme les rongeurs qui peuvent grignoter des câbles, les requins peuvent attaquer le réseau, comme ça a été le cas au large du Việt Nam.

“Principal Ocean Cables in 1917” by Eric Fischer is licensed with CC BY 2.0.

( Si vous voulez voir à quoi ressemble le posage de câbles sous-marins aujourd’hui, cette vidéo vous donne une idée. )

Les humains

Nous autres humains avons aussi une certaine capacité à couper le réseau, que ça soit volontairement, comme par exemple lors de vols de câble, mais aussi parfois sans le vouloir : Une dame en Géorgie a ainsi coupé l’accès d’un pays entier en cherchant à recycler du métal dans le sol. Parfois, on ne sait même pas vraiment ce qui a causé une cassure…

Les industriels

Une mauvaise gestion des infrastructures peut amener à des coupures. On pourrait parler de la façon dont est géré le déploiement de la fibre, fruit d’une politique économie mortifère, mais French Data Network le fera mieux que nous. Même si le réseau est là, pas sûr qu’il soit utilisable, faute d’entretien, comme à Brooklyn, USA. On se retrouve alors avec des coupures, ou une absence de raccordement à des moments critiques. On peut vous le dire, ça nous est arrivé récemment.

Les gouvernements

Les exemples récents de coupures par des gouvernements ne manquent malheureusement pas. Nous pourrions en faire la liste ici, mais laissons Wikipédia s’en charger. Quelques exemples tout de même ; au Myanmar, en Égypte, en Inde, à Cuba, à Cuba encore, en Éthiopie, au Belarus… Il existe aussi un risque d’attaque par un gouvernement hostile, notamment comme les États-Unis en Syrie. Aidés par, entre autres, des entreprises françaises, les États autour du globe s’équipent de moyens leur permettant de couper, filtrer et censurer Internet. N’oublions pas que le gouvernement français n’est pas un ami d’Internet, comme nous avons pu en prendre acte en 2011. Leur usage pour faire face à la contestation n’est plus à craindre : il est là. De là à se dire que ces techniques pourraient se généraliser à travers le monde, il n’y a qu’un pas.

Le temps qui passe

Et quand toute la bonne volonté de la terre et des humains n’y suffit pas, le temps se chargera de dégrader et de mettre à terre toutes les fibres et tours téléphoniques. Si vous habitez dans une région du monde où l’investissement dans les réseaux des télécoms est marqué par des politiques racistes, ou une forte ségrégation sociale, le temps entre deux rénovations peut suffire à vous exclure du réseau. N’oublions pas que seulement la moitié de la population mondiale a accès à Internet, et que cela reste très cher dans un certain nombre de régions du monde.

“time” by Katerina Atha is licensed with CC BY-NC-ND 2.0.

Ce tour d’horizon nous permet de voir ce à quoi nous avons affaire. Réseau omniprésent et d’une importance critique, internet n’en n’est pas moins fragile, et fluctuant.

Il convient que nous nous attardions un peu plus sur les capacités des institutions à couper internet. C’est sur elles que nous allons diriger notre action, vu la difficulté pour nous à prévenir les catastrophes venues d’ailleurs.

C’est principalement à elles que nous aurons à faire face, dans une forme capitalistique ou étatique, à moins que vous ne songiez sérieusement à vous lancer dans la chasse aux requins. ( C’est une mauvaise idée. )

Quant au temps qui passe, ou au manque d’investissement dans les infrastructure, ces sujets ont déjà été traités par d’autres.

Quels genres de coupure?

Voyons techniquement comment s’y prendre pour interrompre certains flux internet.

Le filtrage sur le nom de domaine

En France, la censure de l’Internet est malheureusement monnaie courante. Depuis le début des années 2000, avec notamment les lois LOPPSI et HADOPI, que nous avons combattu, les fournisseurs d’accès à Internet se trouvent obligés de bloquer, sur demande d’un juge ou de la police, des sites Internet. Cette obligation a d’abord été justifiée par le blocage nécessaire de l’accès à des contenus pédopornographiques, et a été utilisée la première fois pour censurer des propos négationnistes, mais a aussi été utilisée pour supprimer des positions et groupes politiques. Son évolution dans le temps est bien documentée. Et dernièrement, la lutte reprend autour de l’accès au porno.

Déjà en 2008, nous avions publié une note sur le blocage des noms de domaine, via le protocole DNS.

Avec cette technique, ce n’est pas le contenu illégal qui est filtré, mais l’intégralité du domaine internet qui l’héberge. […] Les opérations nécessaires au blocage par DNS sont relativement simples, bien que la complexité et la maintenance engendrées, et donc le coût global, dépendent là aussi des configurations actuelles des opérateurs. L’efficacité de cette technique est très limitée. Il suffit d’une manipulation triviale sur l’ordinateur de l’utilisateur pour définitivement passer outre.

La Quadrature Du Net, 2008

En effet, il suffit d’utiliser un autre système de nom de domaine que celui fourni par défaut par votre FAI pour contourner la censure. La procédure est relativement simple, et expliquée dans un article de Numerama. Nous remercions la French Data Network, qui héberge des serveurs DNS accessibles à tous et sans censure ou filtrage.

Censure de services

Parfois, il ne s’agit pas juste de sites web qui sont bloqués, mais aussi de services, comme des applications de messagerie. Ça a été le cas en Russie, où un tribunal a demandé le blocage de Telegram, une application de messagerie. Vu la façon dont Telegram se connecte à ses serveurs (utilisation des serveurs de Google, et donc de leurs adresses IPs), le blocage a eu des conséquences inattendues.

« Alors que le nombre total d’IP bloqués a été fluctuant (bien que majoritairement en hausse) depuis que la Russie a modifié son approche, nous observons quelque chose comme 16 millions d’adresses bloquées en ce moment. Les services concernés incluent Viber, Office 365, les éléments du PlayStation Network, et beaucoup plus. »

Source

En général, les services trouvent des moyens de contourner cette censure, par exemple en utilisant des IPs partagées ou par utilisation de VPNs notamment. Dans ce cas, la censure a eu pour effet de bloquer pleins de services qui n’avaient rien à voir. Par ailleurs, le ban a été levé en 2020 visiblement parce que c’était un bel échec.

Ralentissement de la connexion

Imaginez que vous vous connectiez sur un réseau social pour prendre des nouvelles de la manifestation qui doit avoir lieu dans les prochaines heures. Mais, la page semble prendre beaucoup de temps à charger, et au final, la page s’affiche, mais certains éléments ont pris trop de temps à venir et leur chargement a été annulé. En voulant envoyer un message à vos ami·es, vous vous rendez compte que le message prend plus d’une heure à arriver ; difficile de se retrouver dans la foule.

Ce genre de restrictions est beaucoup plus difficile à répertorier, car plus sournois. Il permet de restreindre l’accès sans toutefois le couper. Il se peut que ce ralentissement ne soit même pas reconnu comme intentionnel, notamment dans les endroits où le service Internet n’est pas très stable de base. Attention, tout ralentissement n’est pas dû à une censure ; on a un bel exemple avec les effets de bords de la panne de Facebook qui a engendré d’autres pannes chez les opérateurs téléphoniques.

Coupure du service 3G/4G

Pour beaucoup d’humains dans le monde, la connexion à Internet se fait d’abord par le service mobile, via des smartphones. Et il apparaît que c’est souvent ce moyen de connexion qui est ciblé, car il est principalement utilisé par les particuliers, alors que les entreprises et services d’état utilisent une connexion filière. Le rapport d’Access Now cité en début d’article offre un panorama édifiant sur la question.

Censure de protocoles

Parfois, la surveillance et la censure vont de pair. Les protocoles que nous utilisons pour sécuriser notre connexion, comme HTTPS, permettent d’échapper à certaines formes de censure et de surveillance. Alors, il paraît logique de bloquer ces protocoles, comme c’est le cas en Chine, où le gouvernement utilise le Grand Firewall pour bloquer les versions les plus sécurisées de HTTPS. C’est un jeu du chat et de la souris, parce que des méthodes de contournement peuvent être mises en place. Cela dit, pour la majorité des gens, ces blocages peuvent être difficiles à contourner.

Le blocage des VPNs est également possible, et courant.

BGP

BGP est le nom du protocole qui permet à Internet de fonctionner en tant que réseau de réseaux. Si l’on regarde une carte de l’Internet, comme celle-ci ;

On peut voir les différentes couleurs, qui représentent différentes réseaux. Entre ces réseaux, les connexions se font au moyen de BGP, qui est en quelque sorte la glue qui permet à l’Internet d’exister.

Hé bien, cette glue, elle peut être dissoute. Ça peut être suite à une erreur, comme au Pakistan où en 2008 un opérateur a annoncé à l’Internet tout entier que c’était chez lui qu’on pouvait accéder à Youtube le plus rapidement. Youtube a été inaccessible dans le monde entier pendant un petit moment à cause de ça. Mais parfois c’est très intentionnel, comme lors du début de l’insurrection en Syrie. Vous pouvez voir quand BGP subit des interruptions sur Twitter d’ailleurs. Récemment, Facebook a eu un soucis similaire.

Des chercheurs ont par ailleurs expliqué qu’il serait possible de casser totalement et de façon grave l’Internet en exploitant des failles du protocole. Bien que compliqué à faire, ça n’en est pas moins possible. Si ça peut vous rassurer, il existe malgré tout des systèmes de surveillance et de contrôle pour éviter que le protocole ne soit abusé, ce qui rend ce genre d’attaques peu susceptibles d’aboutir.

Perquisition

Quand le blocage au niveau du réseau ne suffit pas, il reste encore l’option d’attaquer directement le  serveur sur lequel est hébergé le site web. On pense aux attaques contre The Pirate Bay. C’est une  pratique qui est toujours en cours, bien que moins efficace que par le passé. Cette perte d’efficacité est notamment dûe aux architectures distribuées, type “Cloud”, où les sites web sont répartis sur une multitude de serveurs à travers le monde. Au lieu que les sites web ne soient disponibles que sur un seul serveur, ils vont profiter d’une redondance globale, permettant à leurs bases de données ou des  ressources de ne pas être toutes au même endroit.

Maintenant qu’on voit un peu quelles sont les différentes menaces possibles, je vous invite à lire notre prochaine article dès sa publication, qui explore comment contourner ces cassures, rétablir des liens, et prendre des nouvelles de la liberté à l’autre bout du fil.

Vous pouvez nous suivre en vous rendant sur la page Nous !

“network cables” by pascal.charest is licensed under CC BY-NC-ND 2.0

La vidéosurveillance algorithmique (VSA) s’installe dans nos villes, en toute opacité et surtout, en toute illégalité. Depuis plusieurs années, nous tentons de lutter contre ces dispositifs, notamment en les attaquant devant les tribunaux. Nous pensons que les règles en vigueur permettent de s’opposer au déploiement de ces technologies pour se protéger contre les atteintes aux libertés qu’elles entraînent. Pourtant, la Commission européenne pousse à l’adoption de nouvelles règles, en faveur des industriels, pour réguler les dispositifs « d’intelligence artificielle », comprenant entre autres la VSA. Dans son sillage, la CNIL plaide pour un nouvel encadrement spécifique. Dans notre réponse à sa consultation, nous avons expliqué pourquoi il ne faut en aucun cas abandonner les règles protectrices actuelles pour de nouvelles règles sectorielles. Voici un résumé de nos arguments (voir notre position complète ici).

Les données biométriques, cœur de la protection

Le droit des données personnelles prévoit une protection particulière pour les données qu’on appelle « sensibles » au vu des informations particulièrement intimes qu’elles révèlent (telles que les orientations politiques ou sexuelles). Parmi ces données sensibles, on trouve la catégorie des données dites « biométriques », qui sont « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique »¹Définitions prévues aux article 4§14 du RGPD et 3§13 de la Directive Police/Justice.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18558_2_1').tooltip({ tip: '#footnote_plugin_tooltip_text_18558_2_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

Cette définition peut être dissociée en trois éléments que l’on retrouve systématiquement lorsque l’on parle de VSA.

Tout d’abord, il faut que les données fassent l’objet d’un traitement technique spécifique.

Cela permet d’englober les systèmes de VSA puisqu’ils interviennent en addition du traitement général qui consiste à filmer l’espace public et poursuivent un objectif particulier (voir plus bas) . Aussi, le traitement technique est spécifique en ce qu’il consiste en la mise en oeuvre d’un algorithme ou programme informatique appliqué aux flux vidéos afin d’isoler, caractériser, segmenter ou encore rendre apparente une information relative à une personne physique filmée ou à extraire du flux vidéo, même a posteriori, des données concernant cette personne.

Ensuite, les données doivent se rapporter aux caractéristiques physiques, physiologiques ou comportementales d’une personne.
Toutes ces données sont bien celles que la VSA capte :

• les informations physiques ou physiologiques peuvent se rapporter au corps d’une personne filmée au sens large, tels que des visages, des silhouettes ou toute caractéristique isolée du corps, telle que la couleur des cheveux, la couleur de peau, la couleur des yeux, la forme du visage, la taille, le poids, l’âge ;
• les données comportementales visent toute information relative à l’action du corps dans l’environnement et l’espace. Pourront être qualifiés de biométriques un vêtement ou un accessoire porté par la personne à un instant T, un geste, une expression d’émotion, une direction de déplacement, une position dans l’espace et le temps (assis, debout, statique, allure de la marche…).

Enfin, le traitement doit avoir pour but l’identification unique de la personne. D’après le comité européen de la protection des données (CEPD, l’autorité qui regroupe les CNIL européennes), cette fonction ne se limite pas à révéler l’état civil de la personne mais à individualiser celle-ci au sein d’un environnement pour la reconnaître sur plusieurs images²Voir les lignes directrices sur les vidéos contenant des données personnelles 3/201, version 2.0, point 82 p. 19 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18558_2_2').tooltip({ tip: '#footnote_plugin_tooltip_text_18558_2_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

Concernant la VSA, chaque système est programmé pour réunir des éléments spécifiques (silhouette, couleur des habits, position, direction, comportement) pour :

• reconnaître une personne sur plusieurs images ou plusieurs flux vidéos , soit dans le temps, soit dans l’espace, en lui attribuant une empreinte numérique qui permettra de caractériser ses attributs ou son comportement, et l’isoler sur les images. L’exemple le plus typique est le suivi d’une personne dans l’espace public filmé par plusieurs caméras ;
• effectuer une action ciblée sur la personne grâce aux informations sur les caractéristiques physiques ou comportementales obtenues par la VSA. Ces informations pourront être transmises à des agents sur le terrain, elles leur permettront de « reconnaître » de façon unique la personne et d’effectuer une action sur elle (« l’homme au chapeau bleu est dans la rue principale, contrôlez-le »).

Dans les deux cas, la personne est identifiée de façon unique par rapport à son environnement, un groupe de personnes ou une scène.

En conclusion, les fonctionnalités des systèmes de VSA portant sur des personnes impliqueront systématiquement un traitement de données biométriques.

La VSA est toujours disproportionnée

Une fois que l’on a démontré qu’il s’agissait d’un traitement de données biométriques, la protection plus forte accordée aux données sensibles peut s’appliquer. Grâce à ce cadre spécifique, les données sensibles ne peuvent être traitées qu’à condition de respecter une exigence de « nécessité absolue »³Voir article 10 de la Directive Police/Justice.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18558_2_3').tooltip({ tip: '#footnote_plugin_tooltip_text_18558_2_3', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

En pratique, cette exigence signifie que le traitement ne sera considéré comme licite que s’il n’existe aucun autre moyen moins attentatoire aux libertés qui permettrait d’atteindre l’objectif poursuivi. Cette exigence de nécessité absolue n’est pas une nouveauté juridique et a déjà permis de limiter ou interdire les technologies les plus intrusives.

Par exemple, lorsque la région PACA avait tenté de mettre en place une expérimentation de reconnaissance faciale à l’entrée de deux lycées, la CNIL avait jugé que la finalité de sécurisation et de fluidification des entrées au sein des lycées « peut incontestablement être raisonnablement atteinte par d’autres moyens », concluant que le dispositif était disproportionné.

De la même manière, dans un avertissement à la ville de Valenciennes révélé par Mediapart, la CNIL avait jugé que le dispositif de VSA mis en place par la ville était disproportionné, notamment car la nécessité n’avait pas été prouvée et l’absence d’alternative n’avait pas été documentée.

Le Conseil d’État avait fait le même raisonnement lorsque nous avions attaqué, aux cotés de la LDH, l’utilisation des drones par la police lors des manifestations. Pour les juges, le ministère n’apportait « pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones »⁴Conseil d’État, 446155, lecture du 22 décembre 2020, §11.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18558_2_4').tooltip({ tip: '#footnote_plugin_tooltip_text_18558_2_4', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

Enfin, ce mécanisme a aussi été efficacement mobilisé contre la vidéosurveillance dite « classique » – et non biométrique – dans la commune de Ploërmel, la ville ne justifiant, selon la Cour d’appel, d’aucune statistique ou de preuves de risques particuliers qui expliqueraient la nécessité de ce dispositif.

En l’occurrence, concernant la VSA policière, il y aura toujours d’autres moyens d’assurer la sécurité autrement que par une technologie automatisée surveillant le comportement des individus dans la rue. Nous en parlions notamment dans notre article expliquant les raisons politiques de s’opposer à la VSA, la sécurité des personnes ne peut être trouvée que dans l’action humaine et sociale, l’attention aux autres, le soin.

La mise en balance exigée par le contrôle de proportionnalité permet donc de limiter et d’exclure tout dispositif de VSA abusif puisque l’atteinte à la vie privée engendrée par le traitement de données biométriques ne pourra être que très rarement, voire jamais, évaluée comme strictement nécessaire pour atteindre l’objectif poursuivi. Ce critère de nécessité absolue est donc aujourd’hui un mécanisme juridique documenté et
efficace pour interdire l’utilisation abusive des technologies par la police dans l’espace public.

Ne pas changer de paradigme

À travers le projet de règlement sur l’intelligence artificielle ainsi que les velléités affichées des dirigeants de modifier le cadre actuel pour favoriser les intérêts industriels et économiques du secteur, c’est une destruction du socle protecteur de nos droits qui est menée.

Ces acteurs tentent de défendre une approche fondée non plus sur la nécessité comme décrite plus haut mais, désormais, sur les risques : le cadre juridique serait non pas unique comme c’est le cas actuellement mais différent en fonction des objectifs et finalités des technologies. Autrement dit, cela impliquerait d’autoriser plus ou moins largement l’usage de certaines technologies en fonction des risques effectifs qu’elles feraient peser sur les droits et libertés de la population.

Par exemple, dans son projet de règlement, la Commission propose une classification des utilisations de la reconnaissance faciale et de la VSA en fonction des circonstances de leur application (dans l’espace public, en temps réel, à des fins répressives…), peu importe qu’elles soient nécessaires ou non. C’est un renversement total de la façon dont nos droits et libertés sont protégées, comme nous l’expliquions il y a quelques mois. Ce serait aux personnes concernées de démontrer le dommage qui leur est causé et non plus aux pouvoirs publics mettant en œuvre ces technologies de démontrer systématiquement que l’usage n’est pas disproportionné. La charge de la preuve serait renversée, à la défaveur de nos libertés.

Or, il ne suffit pas qu’une technologie soit « peu risquée » pour que celle-ci devienne « nécessaire » ni même souhaitable. Surtout, ces acteurs tentent de justifier cette logique en avançant que des garanties permettraient de limiter ces risques. De tels mécanismes sont illusoires et ne pourraient jamais suffire à pallier un traitement non nécessaire.

Nous le voyons depuis plusieurs années, les garanties ne suffisent jamais à limiter des technologies la plupart du temps déjà déployées, parfois à grande échelle, alors mêmes qu’elles ne sont pas légales. Quand bien même elles seraient contestées, elles auront déjà produit leurs effets illicites et nocifs. Les analyses d’impact, les pouvoirs de contrôle de la CNIL, les soit-disant contre-pouvoirs locaux, les droits d’information du public, aucune de ces garanties n’empêche les autorités de violer la loi.

Si l’approche fondée sur les risques finissait par être adoptée, elle donnerait le signal attendu par l’ensemble des acteurs de la VSA pour déployer massivement et au pas de course l’ensemble de leurs systèmes. Demain comme aujourd’hui, seules les mesures d’interdiction, fondées notamment sur la nécessité, pourront nous protéger. C’est d’ailleurs l’avis de autorités européennes de protection des données (Comité européen pour la protection des données et Contrôleur européen pour la protection des données) sur le projet de règlement sur l’intelligence artificielle, qui appellent toutes deux à interdire complètement les technologies de VSA.

En conclusion, remplacer changer de paradigme en remplaçant l’approche actuelle fondée sur la nécessité par une approche nouvelle fondée sur les risques conduira à présenter comme potentiellement licites des traitements dont l’illégalité ne fait aujourd’hui aucun doute. Ce changement de contexte entraînerait le déploiement massif de systèmes de VSA illicites sans qu’aucune garantie ne puisse en limiter les effets nocifs pour la population. C’est pourquoi nous défendons le maintien du cadre juridique actuel, qui permet l’interdiction de ces pratiques et est à même de protéger la population contre les abus des autorités en matière de surveillance.

<script type="text/javascript"> function footnote_expand_reference_container_18558_2() { jQuery('#footnote_references_container_18558_2').show(); jQuery('#footnote_reference_container_collapse_button_18558_2').text('−'); } function footnote_collapse_reference_container_18558_2() { jQuery('#footnote_references_container_18558_2').hide(); jQuery('#footnote_reference_container_collapse_button_18558_2').text('+'); } function footnote_expand_collapse_reference_container_18558_2() { if (jQuery('#footnote_references_container_18558_2').is(':hidden')) { footnote_expand_reference_container_18558_2(); } else { footnote_collapse_reference_container_18558_2(); } } function footnote_moveToReference_18558_2(p_str_TargetID) { footnote_expand_reference_container_18558_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_18558_2(p_str_TargetID) { footnote_expand_reference_container_18558_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }

Nous republions ici une tribune initiée par le collectif Changer de Cap et que nous avons signée. Elle est parue le 5 avril dans Basta!. Nous appelons à signer et faire circuler l’appel correspondant.

Contrôles abusifs des allocataires, suspension des versements, harcèlement des plus précaires… La CAF oublie ses missions initiales de protection et de soutien pour devenir un outil de police numérique. Une tribune du collectif « Changer de cap ».

La numérisation à marche forcée des services publics contribue à faire des Caisses d’allocations familiales (CAF) un instrument de la mise en place d’une société de surveillance et de pénalisation des plus pauvres. Alors que la protection sociale est un droit universel depuis le Conseil national de la Résistance, les CAF développent une politique de plus en plus dure de contrôle des personnes en situation de précarité.

Tous fichés…

Plus de 1 000 données par personne sont collectées pour 13 millions de foyers¹Vincent Dubois, Contrôler les assistés, Raisons d’agir, 2020, p. 257.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18549_2_1').tooltip({ tip: '#footnote_plugin_tooltip_text_18549_2_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });, grâce à l’interconnexion de dizaines de fichiers administratifs (impôts, éducation, police, justice…) Les contrôleurs ont en outre le pouvoir de consulter nos comptes bancaires, nos factures de téléphone et d’énergie… Toutes ces données sont traitées à notre insu.

Chaque allocataire fait l’objet d’un profilage établi par un logiciel, mais selon des variables définies par des décisions humaines. Des algorithmes déterminent des « scores de risque » de fraude, qui débouchent sur un véritable harcèlement des personnes en difficulté. Sont qualifiés de « risque » les variations de revenus, les situations familiales atypiques, la naissance hors de France… Il en résulte un ciblage des contrôles sur les personnes précaires, handicapées ou vulnérables.
Plus de 32 millions de contrôles automatisés ont été réalisés par les CAF en 2020. Les témoignages collectés confirment la concentration de ces contrôles sur les femmes seules avec enfants, les chômeurs, des personnes handicapées, d’origine étrangère…

Des contrôles indignes et illégaux

Les méthodes de contrôle sont tout aussi inacceptables. La plupart de ces contrôles sont déclenchés automatiquement, sans en informer les allocataires et parfois sans notification, ce qui est contraire à la loi. Juridiquement la fraude doit être intentionnelle, mais ici les incompréhensions, les difficultés face au numérique, les erreurs, y compris celles des CAF, sont assimilées à de la fraude²Comme le soulignait le Défenseur des Droits dès 2017 : lutte contre la fraude aux prestations sociales : à quel prix pour les usagers ? Voir ici.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18549_2_2').tooltip({ tip: '#footnote_plugin_tooltip_text_18549_2_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.
Les procès-verbaux sont remplacés au mieux par des notifications sommaires, qui ne précisent ni les modalités de calcul de l’indu, ni les délais de réponse, ni les voies de recours. Dans de nombreux cas, les allocations sont suspendues pendant toute la durée du contrôle, sans respect du reste à vivre légalement imposé à tous les créanciers. Les contrôleurs sont pourtant dotés de larges pouvoirs juridiques et d’investigation, mais le calcul de leur prime d’intéressement dépend du montant des indus frauduleux détectés.
Ces dérives sont amplifiées par la désorganisation des CAF, suite à la numérisation et aux réductions d’effectifs. Les allocataires connaissent de nombreux retards, des erreurs, des versements à tort, des absences de réponses, l’impossibilité de trouver un interlocuteur. On imagine le mal-être et la dégradation des conditions de travail des agents soucieux de défendre un service public humain.
Les conséquences de telles orientations sont dévastatrices sur le plan social. La Fondation Abbé Pierre montre comment des familles ont été expulsées suite à des recouvrements qui ne tenaient pas compte du reste à vivre³Fondation Abbé Pierre, 2020, Prestations sociales de la CAF et logement. Enquête sur les freins rencontrés 2020. Voir ici.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18549_2_3').tooltip({ tip: '#footnote_plugin_tooltip_text_18549_2_3', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });. Rappelons que 10 millions de personnes vivent sous le seuil de pauvreté, que 12 % des Français souffrent de difficultés psychiques. L’action présente de la CAF y contribue, comme le montrent les témoignages recueillis.

Une police et une justice parallèles

Ainsi, à la faveur de la numérisation, une police et une justice numérique parallèles se mettent en place, insensibles à des situations humaines parfois dramatiques. Ces pratiques ne respectent pas les principes fondamentaux du droit, et sont entachées d’illégalité⁴Cabinet DBKM. Incompatibilité des mesures nationales de lutte contre la fraude aux prestations sociales avec le Pacte des droits civils et politiques. Rapport au comité des droits de l’homme des Nations unies. Voir ici.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18549_2_4').tooltip({ tip: '#footnote_plugin_tooltip_text_18549_2_4', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });. Elles découlent de la convention d’objectifs et de gestion 2018-2022 de la CNAF qui assimile les CAF à des entreprises et considère les prestations sociales comme des coûts à réduire. Tout en pratiquant en permanence le double langage, le pouvoir politique considère toujours « qu’on met un pognon de dingue dans des minima sociaux »⁵Emmanuel Macron, 12 juin 2018 : « La politique sociale, regardez : on met un pognon de dingue dans des minima sociaux, les gens ils sont quand même pauvres. On n’en sort pas. Les gens qui naissent pauvres, ils restent pauvres. Ceux qui tombent pauvres, ils restent pauvres. On doit avoir un truc qui permette aux gens de s’en sortir ». Source.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18549_2_5').tooltip({ tip: '#footnote_plugin_tooltip_text_18549_2_5', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

Transparence, légalité, solidarité

On ne peut que s’inquiéter de l’intention de l’actuel président, s’il est réélu, de généraliser le versement automatique des aides sociales. S’il s’agit d’étendre ce type de pratiques, ce projet de maltraitance institutionnelle est inacceptable et monstrueux.
C’est pourquoi nous demandons le démantèlement des pratiques illégales qui se sont développées, l’instauration de sanctions contre ceux qui les ordonnent délibérément et un retour aux missions fondatrices de la Sécurité sociale et des services publics, dans une logique de confiance et de solidarité.
Toute la transparence doit être faite sur la récolte et le traitement des données personnelles des allocataires par la CAF, ainsi que sur le rôle des logiciels et des algorithmes dans la prise de décision.
Il est indispensable de remettre les humains au cœur du service public, tout particulièrement dans les CAF, et de faire du numérique un outil pour rendre effectif l’accès de chacun à ses droits sociaux, tout en respectant son intimité.

Vous pouvez vous joindre à cet appel. Voici le lien pour le signer.

Voir les témoignages et le dossier complet en cliquant ici.

Premiers signataires
Isabelle Maurer, Archipel des sans voix, allocataire multi-controlée
Farida Amrani, syndicaliste CGT
Hichem Atkouche, SUD Commerces et Services Ile de France
Geneviève Azam, économiste, essayiste
Miguel Benasayag, philosophe, collectif Malgré tout
La Quadrature du Net
Fathi Bouaroua, AprèsM, ex directeur régional de la fondation Abbé Pierre en PACA
Alima Boumediene-Thiéry, avocate porte parole de Femmes plurielles
Henri Braun, avocat au Barreau de Paris
Dominique Cabrera, réalisatrice
Alexis Corbière, député
Jean-Michel Delarbre, comité national LDH, co-fondateur RESF
Lætitia Dosch, comédienne
José Espinosa, gilet jaune
Txetx Etcheverry, mouvement Alda de défense des habitants des milieux et quartiers populaires au Pays basque
Jacques Gaillot, évêque de Partenia
Marie-Aleth Grard, présidente d’ATD Quart Monde France
Laurent Klajnbaum, vice-président de Changer de cap
François Koltès, auteur
Michèle Leflon, présidente de la Coordination Nationale des Comités de défense des hôpitaux et maternités de proximité
Pierre-Edouard Magnan, délégué Général Mouvement national Chômeurs et précaires (MNCP)
Boris Mellows, SUD Culture Solidaires
Didier Minot, président du Collectif Changer de cap
Francis Peduzzi, directeur de la scène nationale de Calais
Evelyne Perrin, Stop précarité, économiste
Alice Picard, porte parole d’Attac
Nicole Picquart, présidente du Comité national de liaison des régies de quartier
Serge Quadruppani, auteur, traducteur
René Seibel, responsable national AC !
Clément Terrasson, avocat
Roger Winterhalter, Maison de la citoyenneté mondiale
Voir la liste complète.

<script type="text/javascript"> function footnote_expand_reference_container_18549_2() { jQuery('#footnote_references_container_18549_2').show(); jQuery('#footnote_reference_container_collapse_button_18549_2').text('−'); } function footnote_collapse_reference_container_18549_2() { jQuery('#footnote_references_container_18549_2').hide(); jQuery('#footnote_reference_container_collapse_button_18549_2').text('+'); } function footnote_expand_collapse_reference_container_18549_2() { if (jQuery('#footnote_references_container_18549_2').is(':hidden')) { footnote_expand_reference_container_18549_2(); } else { footnote_collapse_reference_container_18549_2(); } } function footnote_moveToReference_18549_2(p_str_TargetID) { footnote_expand_reference_container_18549_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_18549_2(p_str_TargetID) { footnote_expand_reference_container_18549_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }

La vidéosurveillance algorithmique (VSA) s’installe en France avec l’aide de l’État, des collectivités territoriales et de la CNIL (relire notre article « Qu’est-ce-que la VSA ? »). L’opposition s’organise, que ce soit au niveau local autour de la campagne Technopolice ou par notre réponse à la consultation récemment organisée par la CNIL à ce sujet. Les raisons de rejeter la VSA sont variées (nous avons d’ailleurs recueilli vos motivations personnelles et avons transmis à la CNIL 175 de vos contributions). Pour l’heure, voici l’état actuel de nos motivations politiques contre la VSA.

Comme fil rouge à notre raisonnement, confrontons le discours de nos adversaires qui prétendent chercher le juste équilibre entre la « sécurité » que produirait la VSA et la mesure de « liberté » qu’il faudrait lui sacrifier. En notre sens, il s’agit d’un faux dilemme : la VSA va réduire à la fois nos libertés et notre sécurité. Elle réduira la sécurité d’une large partie de la population tout en échouant à repousser les dangers qu’elle prétend combattre.

Effets négatifs sur la sécurité

La VSA pose trois menaces pour la sécurité de la population : elle met en danger les populations qui sont déjà les plus vulnérables, elle favorise structurellement les comportements violents de la police contre la population, elle offre au pouvoir exécutif une puissance telle qu’aucun contre-pouvoir ne pourra en empêcher les abus.

Mise en danger des populations les plus vulnérables

Comme tout système de surveillance de l’espace public, la VSA surveillera en priorité les personnes qui passent le plus de temps en extérieur – les personnes qui, par manque de ressources, n’ont pas ou peu accès à des lieux privés pour sociabiliser ou pour vivre. De plus, la VSA détecte des comportements d’autant plus efficacement qu’elle a pu s’entraîner à partir d’une grande quantité de séquences d’images représentant une même action. Ainsi, les comportements les plus efficacement détectés seront ceux que l’on rencontre le plus souvent dans la rue et les transports – les comportements typiques des populations qui y passent le plus de temps, peu importe que ces activités soient licites ou illicites.

Ce sont précisément ces comportements que les fournisseurs de VSA mettent en avant¹Par exemple, la RATP a récemment expérimenté dans la salle d’échange du RER des Halles un système pour repérer les personnes statiques pendant plus de 300 secondes.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18542_2_1').tooltip({ tip: '#footnote_plugin_tooltip_text_18542_2_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], }); : maraudage, mendicité, réunions statiques. C’est le mode de vie des populations précaires ou populaires qui sera visé en priorité, alors qu’il ne constitue quasiment jamais un délit ou un crime. La VSA jouera le rôle de contrôle au faciès automatisé basé sur des critères sociaux, permettant de multiplier les alarmes sonores ou les contrôles humains et d’exclure une partie de la population de l’espace public, détériorant encore davantage leur sécurité – qu’il s’agisse de dégrader²L’exclusion par la surveillance s’ajoute aux politiques d’urbanisme et d’aménagement urbain déjà déployées contre les populations précaires et populaires.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18542_2_2').tooltip({ tip: '#footnote_plugin_tooltip_text_18542_2_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], }); leur cadre de vie ou de les éloigner de l’accès aux soins et aux autres services publics.

La focalisation de la VSA sur les populations les plus pauvres n’est pas le simple « effet de bord » d’une technologie immature qui aurait encore quelques « biais ». Au contraire, la VSA est précisément vendue comme permettant de lutter contre des comportements définis comme « anormaux » qui, bien qu’étant parfaitement communs et « normaux » pour une large partie de la population, permettent de dénigrer les populations qui adoptent ces comportements. Ainsi, la VSA est autant un outil d’exclusion sociale qu’un outil de propagande politique, dont l’effet sera d’installer le sentiment que certaines populations (choisies arbitrairement par les fournisseurs de VSA et leurs clients) ne sont pas « normales » et doivent être exclues de l’espace public.

Déshumanisation de la population

La VSA renforce la distance qui sépare la police de la population. Cette distance est d’abord physique : l’interaction passe par des écrans et ne se réalise que dans une seule direction. La distance est aussi intellectuelle : les agents n’ont plus à comprendre, à évaluer ou à anticiper l’action des autres humains quand une machine le fait à leur place³Gregoire Chamayou. « Théorie du drone », 2013. L’auteur revient notamment sur la perte d’empathie entraînée par la distance entre le pilote de drone et ses cibles.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18542_2_3').tooltip({ tip: '#footnote_plugin_tooltip_text_18542_2_3', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });. Déresponsabilisée, déshumanisée, la police est réduite à un outil d’action mécanique sur les corps, détachée de l’empathie et de la considération sans lesquelles les violences policières ne peuvent qu’exploser. Cette même empathie sans laquelle encore davantage de personnes auraient perdu la vie face aux pires crimes commis par la police (tel que notamment documenté⁴En plus des divers initiatives individuelles de policiers pendant l’occupation, le cas de la rafle manquée de Nancy illustre comment l’empathie d’un groupe de policiers a sauvé des centaines de personnes.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18542_2_4').tooltip({ tip: '#footnote_plugin_tooltip_text_18542_2_4', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], }); pour la période de collaboration nazie).

De façon plus diffuse, cette mise à distance technologique accompagne une politique générale d’austérité. La collectivité assèche ses dépenses d’accompagnement et d’aide aux individus pour ne plus financer que leur gestion disciplinaire. Dans un courrier à la CNIL, la région PACA défendait l’expérimentation de la reconnaissance faciale aux abords de deux lycées en affirmant que ce projet constituait « une réponse au différentiel croissant constaté entre les exigences de sécurisation des entrées dans les établissements et les moyens humains disponibles dans les lycées, dans le cadre des plans successifs de réduction des effectifs dans la fonction publique ». Le personnel encadrant, soucieux et à l’écoute, est remplacé par des machines dont le seul rôle est d’ouvrir et de fermer des accès. Ou encore à Nîmes, où la métropole a ponctionné presque 10 millions d’euros sur le budget d’investissement « eau » pour les dépenser à la place dans l’achat d’un logiciel de Détection Automatique d’Anomalie en temps réel.

La vidéosurveillance algorithmique accentue la déshumanisation du contrôle social qui était déjà une critique faite à la vidéosurveillance dite classique. Cette course sans fin s’inscrit dans la fuite en avant technologique générale qui anime à la fois l’effondrement des services publics et le désastre écologique en cours.

C’est aussi la population qui est déshumanisée : elle est utilisée comme cobaye pour entraîner les algorithmes. Non content de voir les habitants des villes comme une masse de données à rentabiliser pour le compte d’entreprises de mort, les populations permettent malgré elles de rendre le logiciel plus performant et donc de l’exporter sur le marché international de la surveillance. Par exemple, la multinationale Idémia, affine ses dispositifs de reconnaissance faciale aux aéroports français avec les dispositifs PARAFE ou MONA pour ensuite vendre des équipements de reconnaissance faciale à la Chine et participer à la surveillance de masse et le génocide Ouïghour.

Effacement des limites contre les abus de la police

Aujourd’hui, le nombre limité d’agents de police contraint celle-ci à concentrer une large part de ses ressources sur ses missions les plus importantes et les plus légitimes (crimes, violences aux personnes). Elle ne dispose ainsi que d’un temps et de ressources limitées pour poursuivre des activités peu légitimes (contre les populations vulnérables, contre les manifestants) ou qui constituent des abus de son pouvoir (répression d’opposants politiques, persécution de minorités).

Demain, la VSA promet d’effacer cette limite matérielle en décuplant les capacités opérationnelles de la police pour poursuivre les missions de son choix, que ces missions soient peu légitimes ou qu’elles constituent des abus. Par exemple, s’il est aujourd’hui extrêmement coûteux de détecter en manifestation l’ensemble des pancartes critiquant le gouvernement, la VSA promet à terme de rendre la chose triviale (facilitant les interpellations sur place ou, couplée à la reconnaissance faciale, permettant de poursuivre en masse les opposants trop expressifs). De même, si le suivi visuel d’opposants politiques implique aujourd’hui des moyens humains si importants que ces opérations ne peuvent rester qu’exceptionnelles, la VSA rend la chose triviale en permettant de suivre, à coût quasi-nul, une personne sur l’ensemble des caméras d’une ou plusieurs villes.

Ce changement d’échelle transforme considérablement la manière dont les pouvoirs de police sont exercés. D’une action précise répondant à des « besoins » pouvant être débattus démocratiquement, nous assistons à l’apparition d’une police omnisciente disposant de la capacité de surveiller et d’agir sur l’ensemble de la population. Avec la VSA, les 250 000 policiers et gendarmes actuels verraient leur autorité atteindre celle qu’auraient eu des millions d’agents non-équipés de telles technologies. De quoi atteindre le ratio police/population typique des États policiers.

Cette multiplication considérable des capacités de la police ne sera nullement compensée par une multiplication équivalente des capacités de contrôle de ses contre-pouvoirs. Dès aujourd’hui, l’installation des équipements de VSA se fait à un rythme bien trop important pour que la CNIL ou que des associations comme la nôtre puissent en prendre connaissance à temps et avec suffisamment de détails. Demain, la situation sera encore plus dramatique concernant l’utilisation quotidienne de ces systèmes : aucune autorité, aucun juge, aucun parlement ne pourra vérifier que chacune des innombrables détections réalisées chaque jour ne contribue pas à un abus de pouvoir. Personne ne pourra vérifier que la VSA ne permet pas à la police de réduire illégalement les conditions de sécurité de larges parties de la population.

En plus des risques d’abus policiers, ce changement d’échelle dans la surveillance de l’espace public contribue à criminaliser un nombre croissant de comportements. Ainsi, par exemple, la plupart des logiciels de VSA cherchent à détecter des dépôts d’ordure sauvage, le non-port du masque, des personnes qui sont statiques dans l’espace public, sans que ces évolutions aient été actées démocratiquement, résultant principalement d’initiatives d’entreprises privées.

Absence d’effet positif sur la sécurité

Les dégradations dramatiques engendrées par la VSA ne sont compensées par aucun avantage en terme de sécurité. Il s’agit d’un outil inadapté pour lutter contre les violences sur les personnes, que ce soit de par son objet, l’espace public, ou de par son fonctionnement, l’automatisation.

Cette double inadaptation repose sur une vision faussée du concept de « sécurité » qui, dans le discours des promoteurs de la VSA, se limite à un pur argument marketing déconnecté de la façon dont la population pourrait concrètement protéger sa santé physique et mentale, ses conditions de vie, son logement et ses capacités d’épanouissement.

Inadéquation de l’objet surveillé

L’objet de la VSA est l’espace public. Pourtant, pour l’essentiel, ce n’est pas dans l’espace public que se réalisent les violences sur les personnes. Tandis que les agressions sexuelles se déroulent presque toujours dans un contexte privé (91% sont perpétrées par une personne connue de la victime), la grande majorité des homicides, en excluant les conflits entre criminels, interviennent eux aussi en dehors de la voie publique⁵Voir statistiques pour la région parisienne entre 2007 et 2013, graphique 25.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_18542_2_5').tooltip({ tip: '#footnote_plugin_tooltip_text_18542_2_5', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });.

Cette inadéquation entre l’objet surveillé et la finalité poursuivie est au cœur des nombreuses évaluations qui, depuis une décennie, concluent unanimement à l’inefficacité de la vidéosurveillance classique (voir notamment le rapport de la Cour des compte, du LINC et d’autres chercheurs).

Ce décalage est accentué en matière de VSA qui, pour fonctionner, doit s’entraîner sur un grand nombre de séquences vidéos représentant les comportements à détecter. Or, les violences sur les personnes sont beaucoup moins nombreuses dans l’espace public que de simples actes de dégradations, de maraudage ou de mendicité. Dès lors, l’algorithme aura beaucoup moins d’occasions de s’entraîner à détecter des actes de violences sur les personnes et les détectera beaucoup moins efficacement que d’autres actes plus anecdotiques (dont la surveillance, comme vu précédemment, dégradera les conditions de sécurité des populations les plus vulnérables).

Inadéquation de la méthode

La prévention des violences sur les personnes repose sur un travail humain et social : accompagnements personnalisés, soins, enquêtes de terrain, analyses sociologiques, réduction des inégalités ou même simplement présence sur le terrain. Ce travail humain a un coût nécessairement conséquent et déjà largement sous-investi, particulièrement dans les zones du territoire ou la précarité est la plus élevée.

À l’inverse, la VSA, probablement moins chère à court terme, n’est capable que de détecter certaines infractions (et parmi les moins graves), sans être capable d’en traiter les causes plus profondes en amont. Une façon de donner l’illusion de traiter les symptômes, sans rien changer sur le long terme.

C’est sans doute là que se trouve l’un des rares avantages de la VSA : offrir aux élus en manque de projet politique enthousiasmant un discours qui fera illusion à court terme. Ce discours est d’autant plus séduisant pour les élus que l’industrie de la VSA a préparé depuis plusieurs années les bons éléments de langage et l’imaginaire suffisamment confus pour espérer tromper le public. Sont décrits comme « anormaux » des comportements parfaitement banals mais typiques des populations les moins riches. Est présenté comme « sécurité » un objectif qui a bien plus à voir avec la « propreté » de la ville et la « sécurité » des biens qu’avec celle des personnes. Est dite « augmentée » ou « intelligente » une surveillance policière qui, au contraire, sera « réduite » à de pures tâches mécaniques et défaite de toute l’empathie et de toute la considération qui font l’intelligence humaine.

En conclusion, à l’exact opposé de ce que prétendent ses détracteurs, la VSA est une grave menace pour notre sécurité. Elle nuira aux conditions de vie d’une large partie de la population, ouvrira des risques politiques sans précédent, et cela sans même réussir à nous protéger par ailleurs. En plus d’être une grave menace pour notre sécurité, la VSA balaiera du même geste notre liberté d’aller et de venir, de nous rassembler, d’exprimer nos opinions politiques ou d’avoir la vie privée de notre choix. Nous reviendrons en détails sur les atteintes aux libertés causées par la VSA dans un futur article juridique reprenant l’analyse développée dans notre réponse à la consultation de la CNIL.

<script type="text/javascript"> function footnote_expand_reference_container_18542_2() { jQuery('#footnote_references_container_18542_2').show(); jQuery('#footnote_reference_container_collapse_button_18542_2').text('−'); } function footnote_collapse_reference_container_18542_2() { jQuery('#footnote_references_container_18542_2').hide(); jQuery('#footnote_reference_container_collapse_button_18542_2').text('+'); } function footnote_expand_collapse_reference_container_18542_2() { if (jQuery('#footnote_references_container_18542_2').is(':hidden')) { footnote_expand_reference_container_18542_2(); } else { footnote_collapse_reference_container_18542_2(); } } function footnote_moveToReference_18542_2(p_str_TargetID) { footnote_expand_reference_container_18542_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } } function footnote_moveToAnchor_18542_2(p_str_TargetID) { footnote_expand_reference_container_18542_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery( 'html, body' ).delay( 0 ); jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }

Expérimenté depuis le mois d’août 2021 dans trois départements de Métropole, le service Mon Espace Santé (qui prend la suite du Dossier Médical Partagé) a été généralisé à l’ensemble de la population depuis février 2022. Plusieurs associations (comme XY media, Acceptess-T ou le collectif POS) ont très tôt alerté sur les dangers liés à ce nouvel outil. Nous avons passé en revue les fonctionnalités de Mon Espace Santé et force est de constater qu’elles présentent des insuffisances alarmantes en matière de respect du consentement et de gestion des données de santé. De par l’audience large à laquelle il s’adresse et de part la sensibilité des données qu’il manipule, un tel outil du service public se devrait pourtant d’être irréprochable en la matière. À défaut, nous ne pouvons que vous rediriger vers des guides vous permettant de vous opposer à ces traitements de données.

Que contient Mon Espace Santé ?

Pour commencer, faisons un petit tour plutôt descriptif de ce qui est annoncé en terme de fonctionnalités. Mon Espace Santé (aussi appelé Espace numérique de santé dans la loi et le décret qui le créent) se compose principalement de quatre éléments :

* Un Dossier Médical Partagé (DMP), ou espace de stockage et de partage d’informations médicales : il contient les traitements, les résultats d’examens, les antécédents médicaux, les compte-rendus d’hospitalisation, qui peuvent être partagés avec les professionnel·les de santé. Cet espace de stockage permet également de conserver des documents tels que la synthèse médicale produite par le ou la médecin généraliste, le carnet de vaccination ou l’historique des remboursements alimentés automatiquement par l’Assurance maladie (sources). Le Dossier Médical Partagé existait déjà depuis 2011 (sous le nom de Dossier Médical Personnel jusqu’en 2015) mais n’était ouvert que sur demande ; aujourd’hui, il est ouvert par défaut, en même temps que Mon Espace Santé, pour l’ensemble de la population.

Dans l’absolu, cet espace de partage des informations pourrait être une solution pour faciliter le droit d’accès à son dossier médical. Mais ceci impliquerait une mise en œuvre solide et de confiance qui n’est, à notre avis, pas atteinte avec Mon Espace Santé (voir plus bas la suite de notre analyse).

* Une messagerie sécurisée pour échanger avec des professionnel·les de santé. À la création de Mon Espace Santé, une adresse de messagerie MSSanté (Messagerie Sécurisée de Santé) est automatiquement attribuée à la personne usagère et rattachée à Mon Espace Santé. Cette adresse est constituée à partir du matricule INS de l’usagère et du nom de domaine de l’Opérateur de Mon Espace Santé (selon le Référentiel Socle MSSanté). Les messages échangés sont stockés pendant une durée de dix ans, sauf lorsqu’ils sont supprimés directement par l’utilisateur·ice. Ces adresses existaient déjà pour les professionnel·les de santé.

* Un agenda pour suivre ses rendez-vous médicaux et recevoir des rappels.

* Un catalogue de services numériques de santé : concrètement, la personne usagère pourra autoriser des applications tierces à accéder à son espace santé. Ces applications seront validées et autorisées par le Ministère de la santé. Développées par des acteurs publics et privés de la santé, elles incluront des éditeurs de logiciels et d’applications mobiles, des plateformes de télémédecine, des plateformes de prise de rendez-vous en ligne (qui s’intégreront probablement à l’agenda santé), des portails patients des établissements de santé (ETS) et portails de pré-admission, et même des fabricants d’objets connectés. Cette fonctionnalité nous inquiète particulièrement sur le plan de l’accès aux données personnelles, comme nous l’expliquons plus bas.

Enfin, pour accéder à ces différents services, outre un site web, une application mobile sera également disponible. Le développement technique est réalisé par les entreprises privées Atos, Octo, Accenture et Maincare. La société Worldline traite les données du Dossier Médical Partagé au travers de sa filiale Santeos. Les autres données (messagerie, agenda…) sont traitées par la société Atos.

Un recueil accessoire du consentement des personnes

À la création du compte

Pour chaque personne, la création de Mon Espace Santé se fait automatiquement selon un calendrier régionalisé prévu par l’État. Chaque personne est notifiée par courrier postal ou par courriel de la création prochaine de son espace. Elle dispose alors d’un délai de six semaines pour empêcher la création de l’espace en se connectant sur le site. L’espace est donc créé sans le recueil du consentement préalable et explicite de la personne usagère. L’opposition, elle, doit être explicite.

Dans les premières annonces d’ évaluation de la phase pilote, qui a eu lieu à partir d’octobre 2021 dans trois départements, la Sécurité sociale annonçait que « moins de 0.7% des usagers se sont opposés à [la] création [de leur espace santé]. » Mais plus loin on apprenait que seuls 4.8% des personnes ayant un espace santé l’avaient utilisé. Comment savoir donc si les presque 90% restants ont réellement souhaité en avoir un, ou même s’ils ont reçu le courrier ou mail prévenant de sa création (et des possibilités de s’y opposer) ?

Avant même de se poser la question de l’utilité ou non de Mon Espace Santé, on peut dire que les modalités de sa création sont loin d’être respectueuses des personnes auxquelles il est censé simplifier la vie. Passer outre le consentement des personnes au prétexte de « les aider » est la définition du paternalisme et, selon nous, s’oppose aux véritables pratiques de soin fondées sur l’écoute et la considération.

Certes, il est toujours possible de supprimer son compte. Mais, là encore, la personne usagère devra être attentive et suffisamment informée si elle souhaite demander la fermeture de son compte en cochant la bonne case (ses données seront supprimées 3 mois plus tard, à moins d’être supprimées individuellement au sein du profil médical, des mesures santé ou de la messagerie, auquel cas elles seront effacées immédiatement). Nous avons trop souvent dénoncé ce tour de passe-passe lorsqu’il était réalisé par les GAFAM : la possibilité théorique d’effacement ultérieur ne produit aucun effet significatif concret qui pourrait justifier l’absence de consentement préalable. Ce qui est inadmissible pour les GAFAM l’est encore davantage pour un service public traitant des données extrêmement sensibles soi-disant « pour notre bien ».

Dans le partage des données avec les professionnel·les de santé

Une fois créé, l’espace santé a pour but de partager les informations avec le personnel de santé : la personne usagère devra donc autoriser les soignant·es à accéder à tout ou partie de ses informations. Mais, là encore, le recueil du consentement est problématique, pour ne pas dire quasiment factice : une simple case à cocher par le ou la soignante servira de « preuve » que l’on a donné son accord pour qu’il ou elle y accède. Au niveau du service informatique, il n’y a donc aucune procédure pour vérifier qu’il s’agit bien de la personne patiente qui donne son accord, à qui, et quand.
On peut ainsi imaginer qu’une personne mal-intentionnée ait accès au service en tant que personnel soignant et consulte le dossier de n’importe quelle personne dans la base de données. Il lui suffirait de cocher cette case de manière arbitraire et d’accéder à des informations privées. Ce cas est certes déjà possible actuellement sans Mon Espace Santé, à partir des divers bases de données médicales existantes, mais de manière bien plus cloisonnée. Avec un système aussi centralisé que Mon Espace Santé, la possibilité que ce type de scénarios se produise est accrue. On peut aussi aisément imaginer que nombre de personnes soignantes vont considérer que le fait d’avoir pris rendez-vous équivaut à consentir à ce qu’ils ou elles accèdent au dossier du ou de la patient·e : le respect du consentement est encore malheureusement une question épineuse dans le milieu médical où les maltraitances médicales peuvent être nombreuses.

Enfin, une fois l’espace créé, seuls des « motifs légitimes » peuvent être invoqués pour refuser qu’un·e professionnel·le verse des documents en ligne. C’est ce qu’indique en l’article R. 1111-47 du code de la santé publique et rappelé dans la politique de protection des données personnelles : « Une fois votre profil Mon Espace Santé créé, vous ne pourrez pas, sauf à invoquer un motif légitime, refuser qu’un professionnel autorisé ou que les personnes exerçant sous sa responsabilité déposent dans votre dossier médical partagé les informations qui sont utiles à la prévention, la continuité et la coordination de vos soins (article R. 1111-47 du code de la santé publique) ».

Illustration : la configuration par défaut du compte à sa création

Nous avons passé en revue la configuration des paramètres à la création du compte « Mon Espace Santé », et déjà, nous pouvons noter quelques actions effectuées sans l’accord explicite de la personne usagère :

L’attestation de vaccination Covid-19 est automatiquement versée dans le dossier par l’Assurance maladie. Le document est visible par défaut à l’ensemble des professionnel·les de santé. Il est possible de le masquer, mais pas de le supprimer car il a été ajouté par un·e professionnel·le de santé. Il n’est pas possible de s’opposer au versement de ce document, alors que l’Assurance maladie n’a pas été techniquement autorisée à déposer des documents sur ce compte.

En ce qui concerne la configuration des accès aux professionnel·les en cas d’urgence, l’option est activée par défaut à la création du compte. Pour s’en rendre compte, la personne usagère doit se rendre dans la section « Confidentialité » des paramètres de configuration, puis « Accès en cas d’urgence ». Le personnel du SAMU ainsi que « tout autre professionnel de santé » sont autorisés par défaut à accéder aux documents et aux rubriques « Vaccinations », « Historique de soins », « Entourage et volontés » du profil médical. Mais quels contrôles techniques permettent de définir ce qui est une situation d’urgence et débloque l’accès des documents aux professionnel·les ? Et s’agit-il des professionnel·les qui ont d’ordinaire déjà accès à notre espace ? Les informations que nous avons pu recueillir ne nous permettent pas de répondre actuellement à cette question.

Un cloisonnement des informations insuffisant vis-à-vis du personnel soignant

Le décret s’appliquant à Mon Espace Santé prévoit une matrice d’accès différencié aux informations de la personne usagère selon le type d’activité du ou de la soignante. En pratique, le partage par défaut est très large : votre dentiste aura accès à vos résultats de prélèvements sanguins, votre kiné à votre historique de vaccination, votre sage-femme aux données de remboursement, et ainsi de suite.

Le ou la médecine traitante a, quant à elle, accès à l’ensemble des informations contenues dans l’espace santé de ses patient·es.
S’il est possible de bloquer l’accès à un·e professionnel·le de santé depuis les paramètres de l’espace, que se passe-t-il dans le cas où l’on souhaite changer de médecin·e traitant·e ? Ou que l’on souhaite choisir quelles informations partager ? En effet, certains parcours de santé nécessitent la consultation de divers spécialistes aux opinions divergentes pour obtenir un diagnostic. L’accès à certaines informations sur des opérations ne faisant pas consensus parmi le corps médical peut également générer des biais négatifs chez les professionnel·les de santé (par exemple, le recours à une IVG). Enfin, l’accès est partagé pour le service d’un hôpital : impossible dans de ce cas de savoir qui y a vraiment accès (prêt de carte d’accès au système informatique par exemple).

Cependant, il est important de noter que la personne usagère ou qu’un·e professionnel·le peuvent choisir de masquer un document pour le rendre inaccessible aux autres professionnel·les de santé, à l’exception du ou de la médecine traitante, de la personne ayant mise en ligne le document et du personnel intervenant en cas d’urgence. Si ce n’est pour ces larges exceptions, ceci représente un bon moyen de protéger la confidentialité des données au cas par cas. En revanche, il n’est pas possible de supprimer un document déjà versé par un·e professionnel·le de santé.

Il est possible pour les personnes de vérifier qui a eu accès à leurs données : des journaux d’activité enregistrent qui accède à quel document à une date et une heure donnée. La personne usagère peut recevoir des notifications chaque fois qu’un nouvel accès est détecté. Ces journaux permettent donc de détecter un potentiel mésusage de l’accès aux données. Cependant, cette fonctionnalité ne peut aider à protéger les accès qu’après coup : si on se rend compte qu’une personne soignante a eu accès à un document et que cela ne nous convient pas, on ne pourra que limiter ses accès futurs.

Le système de droit d’accès de Mon Espace Santé n’a pas été pensé pour permettre aux utilisateur·ices de gérer simplement et de manière éclairée l’accès à leurs données. On pourrait par exemple imaginer un système où par défaut seule la personne usagère et la liste de soignant·es qu’elle a désignées auraient accès aux documents la concernant, l’usagère pouvant ensuite choisir de démasquer certains documents à d’autres professionnel·les de santé (en bénéficiant par exemple de conseils de la part des soignant·es pour faire ce choix de manière éclairée). Dans ce cas, c’est la personne usagère qui aurait véritablement la main sur ses données, et non pas les professionnel·les de santé comme c’est le cas avec la conception actuelle de Mon Espace Santé.

Une mise en danger du secret médical pour certains ouvrants droits ?

Dans le cas des enfants et des adolescent·es, les ouvrants droits (c’est-à-dire les assuré·e·s) auront accès aux espace de santé des personnes qui leur sont rattachées. C’est-à-dire que, concrètement, toutes les informations de santé de leurs enfants et adolescent·es, ainsi que les rendez-vous et les courriels passant par la messagerie sécurisée leur seront accessibles.

En théorie, certaines infos peuvent ne pas être versées dans le dossier. Par exemple, dans le cas d’une IVG, le ou la soignant·e est en charge d’expliquer et de proposer à la personne mineure de ne pas ajouter les infos de l’IVG dans le dossier. La personne peut répondre qu’elle ne veut pas que ce soit versé. Aucune donnée de remboursement relatif à cet acte ne sera remontée. Cet exemple fait partie des motifs légitimes que peut invoquer une usagère pour refuser qu’un·e professionel·le verse un document sur l’espace santé.

Ceci implique que les soignant·es pensent à demander, et respectent, le souhait des personnes. Or, avec Mon Espace Santé, la quantité des données versées est multipliée et surtout normalisée : par fatigue ou par oubli à force de répétition, il est probable que le consentement pour verser une information dans Mon Espace Santé ne soit pas récolté à chaque fois. De plus, comme le recueil du consentement est oral et informel (il ne laisse donc aucune trace), la décision pourra difficilement être contestée.

Cet outil multiplie donc malheureusement les chances de mettre en danger le secret médical de ces personnes, et potentiellement la sécurité des personnes au sein de leur foyer ou de leur famille : que se passe-t-il si une enfant/ado ne souhaite pas parler d’un sujet (contraception, dépistage de MSTs, grossesse, avortement, transition) avec la personne à laquelle son compte est rattaché (que cela soit par pudeur ou par crainte de violences en représailles) ?

Le dossier Informatique et Libertés fourni par la Délégation du numérique en santé précise par ailleurs que l’opposition à la création du compte Mon Espace Santé appartient aux représentants légaux. Une personne mineure ne peut donc supprimer ou s’opposer à la création de son espace santé.
En revanche, lorsque la personne devient ayant droit autonome, les accès des représentants légaux sont clôturés par le service. La personne peut gérer son compte, le fermer ou le créer s’il n’existait pas avant si elle le souhaite. Notons qu’une personne peut demander, à partir de 16 ans, de devenir ayant droit autonome auprès de la CPAM de son domicile. On peut imaginer que le scénario de clôture des accès des anciens représentants légaux s’applique également dans ce cas.

Par ailleurs, la notion d’ayant droit existe toujours dans certains régimes tels que la Mutualité sociale agricole (MSA) ou le régime local d’Alsace-Moselle (personnes mariées, pacsées, concubines et enfants jusqu’à 24 ans sans activités). La documentation à laquelle nous avons eu accès ne permet pas de dire si les ouvrants droits auront accès aux espaces santé des ayants-droits majeurs. Nous attirons l’attention sur le fait que si tel était le cas, cela représenterait un danger pour les personnes qui vivent des violences ou des conflits dans leur vie familiale (personnes en instance de divorce par exemple).

Enfin, au delà des soignant·es et des utilisateur·ices, des personnes tierces peuvent avoir accès aux données de santé pour des fonctions de support. Les niveaux 2 et 3 de ce support pourront avoir accès aux données de santé. Ceci implique notamment des agent·es de la CPAM et le personnel de prestataires (Atos/Wordline) et de l’hébergement. L’accès aux informations doit en théorie recueillir le consentement de la personne usagère dans le cadre du support, mais là encore impossible d’assurer que ce consentement sera bien demandé et non forcé techniquement. Concrètement, des personnes qui ne sont pas professionnelles de santé peuvent accéder aux informations médicales personnelles des usagères. Mais cela est-il vraiment nécessaire pour une fonction support ? Ceci pose la question également de savoir si les documents sont stockées de manière chiffrée et lisibles uniquement par les personnes habilitées, ou pas. Difficile de répondre à cette question en l’état de nos connaissances.

Un futur écosystème d’applications aux nombreuses inconnues

La description du catalogue de services numériques de santé à venir implique la possibilité d’ajouter des applications d’entreprises privées au sein de l’espace santé. Ceci pose un grand nombre de questions concernant le partage des données d’activités et des contenus stockés dans l’espace santé. Pour l’instant, nous n’avons pas les réponses à ces questions, et nous soulignons notre inquiétude sur ce sujet : comment l’usagère pourra-t-elle déterminer à quelles données l’application accède, et si cela est légitime ? Pourra-t-on limiter les données auxquelles chaque application a accès (comme sur un smartphone) ? Lors des mises à jour des applications, les changements de permissions ou de fonctionnement seront-ils notifiés et comment ? Et enfin, quels usages de nos données feront les « startups » d’objets connectés et autres grandes entreprises et plateformes de prise de rendez-vous (monétisation, profilage) ? Au-delà de ces problèmes d’implémentation, il faut dénoncer la direction générale animée par cette évolution : le remplacement du soin par la technique industrielle.

Un futur accès plus difficile au service public de santé ?

Mon Espace Santé s’inscrit dans une tradition de numérisation et de centralisation en ligne des données : ceci fait du service une cible idéale pour les piratages de données. Le stockage est géré par une entreprise privée. Le code du service n’est ni public ni accessible, ce qui pose la question de la transparence pour un outil du service public.

Nous nous interrogeons, aujourd’hui comme dans un futur plus ou moins proche, sur l’accès à la santé des personnes ne pouvant ou ne voulant pas utiliser ce service de santé. Et si d’aventure nous nous retrouvions dans une situation où il nous est impossible d’avoir rendez-vous sans passer par cet espace ? Ou que nos remboursements sont rendus difficiles sans l’utilisation de cet espace ?

La fiabilité et la sécurité informatique de ce service doivent aussi être considérées : si la plateforme se retrouve la cible d’un défaut de fonctionnement ou d’un piratage, que deviennent alors nos données ? Souvenons-nous du piratage des services de l’AP-HP en 2021 dans le contexte du Covid-19, suite auquel la réponse apportée par les autorités de santé a été insuffisante, voire nulle. Plus récemment encore, les données d’au moins 510 000 personnes ont été volées à l’Assurance maladie via Amelipro. À vouloir faciliter l’accès à la santé en imposant un outil numérique, n’y a-t-il pas erreur sur la façon de procéder ? Autant de questions auxquelles cet outil numérique ne répond pas tout en persistant dans la même direction.

Conclusion

Mon Espace Santé est un service manipulant des données sensibles qui est déployé à l’ensemble de la population française. Or, sa conception et son déploiement ne sont clairement pas au niveau des services les plus respectueux en matière de protection de la vie privée.

Selon le Ségur du numérique en santé, son ambition est de « généraliser le partage fluide et sécurisé de données de santé entre professionnels et usagers pour mieux soigner et accompagner. »

Mais pour cela, les besoins en terme de consentement et de gestion des données des usagères devraient être au cœur d’une expérience utilisatrice respectueuse, fiable et réaliste, ce qui à notre sens n’est pas le cas avec Mon Espace Santé. Sans oublier que ce service s’inscrit dans un processus de numérisation des services publics qui, trop souvent, ne tient pas compte des difficultés d’accès et d’utilisation d’Internet par de nombreuses personnes.

Pour ces raisons, nous ne pouvons que remercier les nombreuses associations qui ont déjà alerté sur ce sujet et, comme elles, vous proposer des guides pour demander la suppression de votre espace santé.