La Quadrature du Net vient de demander au Conseil d’État de saisir le Conseil constitutionnel d’une Question prioritaire de constitutionnalité (QPC) contre une disposition de la loi renseignement, l’article L. 863-2 du code de la sécurité intérieure. Comme le révélait le journal Le Monde il y a près de deux ans, un data-center attenant au siège de la DGSE permet aux services de renseignement d’échanger des données collectées dans le cadre de leurs activités de surveillance, et ce en contournant certaines des garanties inscrites dans la loi renseignement, déjà bien maigres. Ces activités illégales posent de nouveau la question de l’impunité des responsables du renseignement français, et des autorités de contrôle qui les couvrent.

MAJ du 2 juin 2021 : par une décision du 19 mai 2021, le Conseil d’Etat a accepté de transmettre au Conseil constitutionnel notre question prioritaire de constitutionnalité. Nous venons d’adresser au Conseil Constitutionnel notre mémoire sur ce sujet, demandant la censure de l’article L. 863-2 du code de la sécurité intérieure. Ce même article est également en débat devant l’Assemblée nationale dans le cadre de la réforme de la loi Renseignement

En juin 2019, La Quadrature déposait un recours au Conseil d’État contre « l’entrepôt », dont l’existence venait d’être révélée dans la presse. Comme nous l’expliquions alors, « les activités de surveillance relèvent de régimes plus ou moins permissifs », avec des garanties plus ou moins importantes accordées aux droits fondamentaux selon les régimes.

Autant de garanties écartées d’un revers de main dès lors que les données sont versées dans ce pot commun dans lequel peuvent potentiellement venir piocher des dizaines de milliers d’agents, relevant de services aux compétences et aux missions très diverses (TRACFIN, douanes, direction du renseignement de la préfecture de police de Paris, bureau central du renseignement pénitentiaire, ANSSI, service central du renseignement territorial, etc.). En pratique, l’entrepôt permet à un service donné d’accéder à des données qu’il n’aurait légalement pas le droit de collecter et d’exploiter dans le cadre des procédures prévues par la loi.

Ces échanges de données se fondent sur une disposition inscrite en 2015 dans la loi renseignement : l’article L. 863-2 de code de la sécurité intérieure. Or, celui-ci ne fournit aucun encadrement spécifique : le législateur s’était alors défaussé en renvoyant à un décret d’application, mais celui-ci n’est jamais paru. Une source du Monde évoquait pour s’en expliquer un « défaut de base constitutionnelle ». Or, c’est bien à la loi d’encadrer ces pratiques, raison pour laquelle l’article L. 863-2 est tout simplement inconstitutionnel.

Depuis l’introduction de notre recours devant le Conseil d’État, des rapports parlementaires sont venus corroborer les révélation du Monde. Dans le rapport d’activité 2019 publié l’été dernier, la Délégation parlementaire au renseignement note ainsi :

(…) il ressort des travaux conduits par la délégation que l’absence de cadre réglementaire n’a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c’est-à-dire d’extractions et de transcriptions, mais également de renseignements collectés, c’est-à-dire de données brutes recueillies dans le cadre d’une technique de renseignement.

La délégation a ainsi été informée de l’existence d’une procédure dite d’extension, qui permet la communication de transcriptions effectuées au sein du GIC [le Groupement interministériel de contrôle] à un service autre que celui qui a fait la demande initiale de technique de renseignement (…). La délégation regrette de n’avoir pu obtenir, en revanche, d’informations plus précises sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de données brutes.

Dans ce rapport, la Délégation parlementaire au renseignement estimait également « urgent qu’un encadrement précis de ces échanges soit réalisé », notant à juste titre que « le renvoi simple à un décret pourrait se révéler insuffisant et placer le législateur en situation d’incompétence négative ».

Nous espérons que le Conseil d’État acceptera de transmettre notre QPC au Conseil constitutionnel afin de que celui-ci mette fin à cette violation manifeste de la Constitution, malheureusement caractéristique du renseignement français. Un autre exemple flagrant d’illégalité est le partage de données entre les services français et leurs homologues étrangers, qui porte sur des volumes colossaux et n’est nullement encadré par la loi. Pire, celle-ci interdit explicitement à la CNCTR, la commission de contrôle des activités de surveillance des services, de contrôler ces activités.

L’illégalité persistante du renseignement français et l’impunité dont bénéficient ses responsables sont d’autant plus problématiques que l’espionnage politique constitue désormais une priorité assumée des services de renseignement la surveillance des groupes militants ayant vu sa part plus que doubler entre 2017 et 2019 (passant de 6 à 14% du total des mesures de surveillance autorisées).

Téléchargez notre mémoire QPC

Pendant que le combat continue pour faire interdire la surveillance dans nos rues, le secteur privé déploie discrètement ses dispositifs jusque dans les supermarchés. Afin de détecter de vols, Carrefour, Monoprix, Super U ou encore Franprix expérimentent des logiciels d’analyse biométrique pour surveiller nos moindres gestes dans leurs surfaces.

La crise sanitaire avait déjà libéré les velléités de surveillance biométrique des entreprises privées : caméras thermiques à l’entrée des entreprises, détection de distances physiques dans les bureaux, suivi de mouvement des yeux pour les examens d’université à distance…

Plusieurs entreprises françaises proposent maintenant de détecter automatiquement les vols en magasin « en temps-réel » grâce à des logiciels d’analyse biométrique directement branchés sur les caméras déjà présentes dans les magasins.

Les start-up françaises rêvent de surveillance généralisée

Si l’idée de détecter automatiquement les vols dans les magasins a déjà été testée au Japon, plusieurs entreprises françaises n’ont pas hésité à développer leur propre logiciel :

• « Anaveo », une entreprise de 320 personnes avec un chiffre d’affaires de 70 millions d’euros travaille dans la vidéosurveillance pour la grande distribution. Son logiciel « SuspectTracker » promet de capter les flux d’images issus des caméras pour analyser les « comportements suspects », par exemple les « gestes vers poussette, sac à dos, poche de pantalon ou de veste ». Leurs vidéos de présentation mentionnent en passant que la détection de vols vient alimenter une base de données permettant de continuer à améliorer l’algorithme.



• « Oxania », une start-up fondée en 2019, a produit un logiciel « Retail Solutions » qui serait capable de « reconnaître les gestes associés au vol en temps réel, détecter les comportements, les situations dangereuses, le parcours client et bien plus encore ». La vidéo de présentation assume calmement faire une analyse biométrique des comportements des personnes présentes dans le magasin (chaleur corporelle, gestes, corps…).
• et surtout « Veesion », start-up parisienne qui vend un produit de « reconnaissance des gestes » avec « une brique qui repère l’humain, une autre qui localise les membres sur ce corps humain, une autre qui repère les objets d’intérêt […] » pour ensuite envoyer une alerte sur le téléphone des équipes. En bonus, Veesion se
  propose d’analyser « vos historiques de vol et [fournir] des recommandations personnalisées ».

En bref : un ensemble de dispositifs de surveillance et de suivi biométrique déployés en toute liberté et sans aucune information des personnes la subissant.

La grande distribution s’engouffre dans la surveillance biométrique

Le plus impressionnant est peut-être d’examiner la liste des clients des entreprises précitées et de se rendre compte que leur déploiement est déjà bien avancé.

L’entreprise Veesion annonce équiper plus de 120 magasins en France et la carte affichée sur <linkedin> en laisse deviner bien plus. Dans l’onglet « Success Stories » de leur site, on trouve quelques exemples mis en avant, parmi un ensemble bien plus vaste que l’on peine encore à mesurer : Monoprix (produit installé en juillet 2019 dans un magasin de Paris sur 22 caméras), Franprix (3 magasins à Paris sur 48 caméras en 2019), Super U Express (1 magasin à Paris avec 13 caméras en 2019), Bio c’ Bon (4 sites à Paris).

L’entreprise Anaveo n’est pas en reste même s’il est difficile de deviner le nombre exact de leurs clients. Nous savons au moins que son déploiement a déjà commencé, tel qu’en atteste les témoignages d’un Carrefour Market à Bourges qui annonce avoir acheté 11 licences du logiciel pour ses 32 caméras et celui d’un Intermarché à Artenay.

Protéger la rentabilité de la grande distribution avec la Technopolice

Aucune gêne ni chez les concepteurs des logiciels ni dans la grande distribution. Au contraire, comme le dit clairement la société Anaveo, l’objectif du déploiement de cette surveillance biométrique est de lutter contre la « démarque invisible » (comprendre, le vol à l’étalage), c’est d’« aider le secteur de la distribution à protéger son chiffre d’affaires »

Pire, pour le créateur de Veesion, la détresse sociale créée par la récente pandémie va provoquer des troubles sociaux, forçant les commerces « à investir davantage dans les solutions leur permettant de s’en prémunir ». Son entreprise devra alors être, selon lui, « à la hauteur des nouvelles exigences du retail physique », c’est-à-dire, à bien le suivre, développer les outils de la Technopolice pour protéger la grande distribution des populations pauvres poussées au vol par la crise sociale. Autant d’énergie et de ressources qui auraient pu venir en aide aux pauvres mais qui seront retournées contre eux.

Cette Technopolice privée ne se contente pas de reprendre les outils des États policiers – elle en adopte aussi l’idéologie et le vocabulaire. Dans sa communication commerciale, Veesion met en scène une crainte sinistre : « on peut pas se fier aux clients, même fidèles ». C’est exactement sur cette idée du « tous suspects » que la surveillance de masse policière se fonde.

De nouveau, l’action de la CNIL ne semble pas nous protéger de ces attaques. En juin 2020, l’autorité avait bien alerté qu’une grande partie des dispositifs de vidéosurveillance automatisée ne respectaient pas le cadre légal. Ce communiqué ne semble pourtant pas avoir mis fin aux dérives de l’industrie sécuritaire ou à la grande distribution, au contraire. Malgré la gravité de leurs dispositifs (détection et suivi biométrique), ces entreprises se vantent encore de leurs systèmes de surveillance sans qu’aucune sanction publique ne soit venue les arrêter (nous venons d’adresser à la CNIL, en même temps que cet article, une demande CADA sur ce sujet précis pour savoir si une enquête, ou équivalent, était en cours).

Notre combat contre la surveillance biométrique ne doit évidemment pas se limiter aux autorités publiques. Comme la surveillance sur Internet, c’est une progression qui se fait à deux têtes, les entreprises privées main dans la main avec les responsables publics, déployant ensemble et en parallèle un contrôle social toujours plus poussé : les rues, les bureaux, les supermarchés — pour ne plus nous laisser aucun espace d’anonymat.

Si vous avez des informations sur ces dispositifs, vous pouvez utiliser notre plateforme dédiée pour nous envoyer des documents.

Un cookie, son histoire.

Lorsque vous vous baladez dans les sentiers fleuris du Web, vous utilisez un navigateur web. C’est ce logiciel qui permet d’afficher une page web. Par exemple, Firefox est un navigateur. Google Chrome est un navigateur. Ces logiciels vont communiquer avec un site web, en principe celui que vous êtes en train de visiter, pour recevoir et envoyer des instructions, comme « comment afficher une page », « quelle requête faire ensuite », etc… Parmi les requêtes que peut faire un site web, il pourra demander à votre navigateur de stocker de l’information dans un fichier, pour pouvoir y accéder dans le futur, lors de vos prochaines visites. Ce fichier, on appelle ça un cookie.

Résumons ; un cookie, c’est un fichier dans lequel votre navigateur va mettre des informations, sur demande des sites web que vous visitez. Nous devons le nom de cookie à Lou Montulli.

Comment un cookie surveille.

À partir de là, il faut bien se demander de quelle manière on aboutit à un système de surveillance globale.

Un cookie n’est pas mauvais en soit, et il est d’ailleurs nécessaire dans pleins de cas. On l’utilise par exemple pour conserver des informations de connexion, ou un panier lors d’un achat sur le web. Ce qui importe donc, c’est ce qu’on met dans le cookie, et surtout qui demande à déposer le cookie.

Lorsque vous visitez un site web, ce dernier peut demander à mettre des cookies sur votre ordinateur pour plusieurs raisons, de fonctionnement notamment, mais ceux qui nous intéressent ici, ce sont les cookies de mesure d’audience et de publicité. Ils sont souvent créés par du code venant de régies publicitaires, des groupements de publicitaires et de médias, comme Google Adsens ou New Relic, pour ne citer que les plus connus, mais il en existe des centaines et des centaines d’autres. Ce code est le plus souvent chargé quand vous visitez la page, sans que vous n’en soyez averti.

Ces régies vont déposer des cookies contenant le plus souvent un identifiant unique. Et comme ces régies sont présentes sur de multiples sites web , elles vont pouvoir vous suivre de site en site, grâce à cet identifiant. Cela leur donne accès à une partie de votre historique de navigation, mais aussi à tout un tas d’informations privées : combien de temps vous restez sur une page, sur quels liens vous cliquez… Imaginez un tas de publicitaires regardant par dessus votre épaule en prenant des notes quand vous naviguez.

Leurs notes vont être sauvegardées, et leur consolidation va aboutir à la création d’une fiche sur vous. Fiche qui sera utilisée pour vous influencer, par exemple à travers la publicité ciblée, mais aussi pour vous surveiller. Ces informations peuvent être revendues à des personnes tierces dont les intentions ne sont pas forcément connues. Au fur et à mesure, il devient possible de vous identifier personnellement, et donc d’influencer vos choix, de façon subtile et quasi indétectable. Par exemple, en fonction de vos opinions politiques, vous n’aurez pas les mêmes résultats dans vos recherches que vos amis, pour la même requête..

Ces données peuvent aussi être utilisées dans le cadre d’une surveillance policière, ou un procès. Cela peut vous amener à vous censurer par vous-mêmes : éviter de faire des recherches par peur que cela se retourne contre nous. Et oui, tout le monde à quelque chose à cacher, même vous : jenairienacacher.fr .

Et surtout, cela conduit à une société panoptique, ou société-prison, dont les conséquences sont désastreuses. Sous l’effet d’une surveillance constante, on se retrouve à ne plus pouvoir s’exprimer librement, notamment à cause de la disparition de l’anonymat et de la vie privée. En somme, ce qui permet à une démocratie saine d’exister.

Légalement, c’est quoi la recette ?

Quelle est la légalité de ce système de surveillance ? La loi dit, à travers la CNIL et le RGPD, dont vous avez peut-être entendu parler, que vous pouvez consentir à être sous surveillance, mais aussi que vous avez le droit de la refuser. Il faut, pour que puissiez faire votre choix, qu’il soit ;

• libre : avoir réellement le choix, sans que ce choix ne soit contraint ou influencé ;
• éclairé : savoir à quoi on consent ;
• univoque : que vous consentiez explicitement. En cliquant sur « Accepter » par exemple. Continuer la navigation sans répondre, ça n’est pas un consentement univoque par exemple.
• spécifique : une finalité à la fois. L’analyse ok, la vente ok, mais pas en même temps.

Face aux cookies, que faire ?

Vu que les cookies sont gérés par votre navigateur, c’est avant tout là que la bataille a lieu. Au final, refuser des cookies sur un site web, même s’il existe une protection légale, rien ne garantit qu’elle sera vraiment respectée. Évidemment, vous devriez refuser les cookies. Mais c’est souvent rendu le plus compliqué possible : des centaines d’options à cocher, attendre que nos options soient prises en compte, naviguer entre plusieurs pages…

Et dernièrement, certains sites web vont jusqu’à vous refuser l’accès si vous n’acceptez pas leurs cookies, en vous donnant la possibilité de payer pour échapper à la surveillance. Le Conseil d’État dit que la légalité de cette pratique est à voir au cas par cas, autant dire que ça ne risque pas de s’en aller du jour au lendemain. Dans ce cas, la solution est donc de configurer votre navigateur, au moyen d’extensions, pour pouvoir accepter les cookies et donc accéder au site, sans que vous ne soyez pisté, dans les faits.

Tout d’abord, n’utilisez pas Google Chrome. Vu que l’intérêt de Google en matière de surveillance est directement opposé au vôtre, son navigateur est construit pour rendre la protection de la vie privée difficile. Nous recommandons donc des extensions pour Firefox, dont le code source est libre. Les voici donc ;

• UBlock Origin, un bloqueur général de contenu, y compris les pubs, et les scripts tiers, qui pourraient mettre des cookies. À ne pas confondre avec UBlock, version frelatée de la même extension.
• Privacy Badger, réalisé par nos camarades de l’EFF (Electronic Frontier Foundation), qui va mettre en place plusieurs mesures comme le blocage de cookies tiers, le nettoyage des URLs pour en enlever les traceurs. L’idée est de vous protéger sans avoir besoin de configurer quoique ce soit.

En dépit de tout ceci, pour être vraiment sûr de ce qu’il y a sur votre ordinateur, vous pouvez aller voir par vous-mêmes dans votre profil Firefox..

En allant un peu plus loin, on peut se poser la question de comment résoudre le problème à la base. Installer des extensions, ça nous protège nous, mais quid de nos proches ? L’utilisation des cookies n’étant un problème que dans le contexte du capitalisme de surveillance, c’est donc à lui qu’il faut s’attaquer directement.

En somme, trouver un autre moyen pour le web et l’internet d’exister, sans avoir besoin de connaître les goûts et opinions de tout le monde. Nous avons déjà écris à ce sujet ici et là.

Le cookie, un outil parmi d’autres pour la surveillance.

Malgré le blocage des cookies, le problème de la surveillance sur internet n’est que partiellement résolu. Il existe d’autres moyens, à d’autres niveaux, pour enregistrer ce que vous lisez. Notamment, le blocage des cookies lui-même rencontre des limites, comme nous en avions parlé dans cet article sur le déguisement des trackers pour échapper au blocage.

On pense aussi à l’utilisation de l’empreinte numérique unique de votre navigateur, que vous pouvez découvrir ici avec l’outil de l’EFF. Les fournisseurs d’accès à Internet peuvent aussi surveiller ce que vous consultez, et ils ont d’ailleurs l’obligation de le faire selon le droit français, qui est là en totale contradiction avec le droit européen.

Heureusement, d’autres avant nous ont développé des outils et des ressources autour de l’autodéfense numérique, avec lesquelles se former et se renseigner, dont voici un extrait ci dessous ;

• https://ssd.eff.org/fr – Autodéfense contre la surveillance
• https://guide.boum.org/ – Le Guide de l’autodéfense numérique
• https://zadducarnet.org/index.php/2021/01/10/guide-de-survie/ – Guide de survie en protection numérique à l’usage des militant·es

Nous espérons que cet article vous aura appris quelque chose, et que le soucis des cookies vous paraît plus clair. Si vous souhaitez nous aider à lutter pour un internet libre et sans surveillance, n’hésitez pas à venir nous parler, et à partager cet article autour de vous 

---

Illustration « 210202 » par Sayama via http://openprocessing.org/sketch/1085727

License Creative Commons Attribution ShareAlike https://creativecommons.org/licenses/by-sa/3.0

Le 28 avril 2021, le gouvernement a proposé un nouveau projet de loi renseignement, complété le 12 mai par de nouveaux articles tirant les conséquences de notre défaite devant le Conseil d’État (relire notre réaction).

L’objectif premier du texte sera de faire définitivement entrer dans le droit commun les mesures de l’état d’urgence débuté en 2015 (assignation à résidence, perquisitions administratives…) ainsi que les mesures expérimentales de la loi renseignement de 2015 (surveillance automatisée du réseau par des « algorithmes »). L’objectif secondaire sera d’inscrire dans la loi française les violations du droit européen actées par le Conseil d’État le mois dernier afin de défendre à tout prix la surveillance de masse française. Toutefois, la menace la plus grave pourrait se situer entre les lignes : une multitude d’ajustements d’apparence sommaire qui semblent cacher un bouleversement dramatique du rapport de force entre le gouvernement et la population.

Dans cette première analyse, nous prenons le temps d’examiner l’ensemble des modifications apportées par ce projet de loi en matière de renseignement. Le texte qui vient d’être validé par la commission des lois de l’Assemblée nationale sera étudié en hémicycle à partir du 1er juin prochain.

Perquisitions administratives de matériel informatique (article 4)

Les perquisitions administratives appelées « visites domiciliaires » en novlangue sécuritaire, se voient dotées d’une nouvelle possibilité. Toujours sans contrôle d’un juge, l’article 4 offre à la police la possibilité d’exiger l’accès sur place à du matériel informatique. Si la personne perquisitionnée refuse, son matériel pourra être saisi et analysé par un laboratoire de la police.

Services sociaux comme auxiliaires de renseignement (article 7)

Aujourd’hui, les services de renseignement peuvent exiger des services sociaux (comme la CAF) la transmission de données confidentielles, mais ces derniers peuvent y opposer le secret professionnel. Tout cela disparaît dans la réforme en cours de discussion. Le secret professionnel ne pourra plus être invoqué. Les services sociaux devront, de leur propre initiative ou sur requête, transmettre aux services de renseignement toute information qui pourrait permettre l’accomplissement d’une mission de renseignement. Les finalités sont larges, puisqu’elles concernent n’importe quelle finalité de renseignement (dont l’espionnage économique ou la surveillance des mouvements sociaux).

Cela continue donc de renforcer le rôle des services sociaux en tant qu’auxiliaire de contrôle et de surveillance de la population. Cette modification continuerait de rendre légitime une réelle défiance à leur égard alors qu’ils sont censés concourir au service (du) public.

Larges partages de renseignements entre services (article 7)

Depuis 2015, les services de renseignement peuvent échanger entre eux les renseignements obtenus. Cet échange, prévu par l’article L863-2 du code de la sécurité intérieure, échoue à prévoir le moindre cadre procédural sérieux pour éviter un total dévoiement du dispositif. La Quadrature du Net avait donc attaqué ce dispositif devant le Conseil d’État, qui vient tout juste de saisir le Conseil Constitutionnel – et celui-ci ne devrait pas trop hésiter à censurer l’article.

La réforme du renseignement tente de contrer cette probable future censure constitutionnelle en posant des gardes-fous de pacotille à ce système absurde. Le partage de renseignements reste ainsi ouvert à tous les services de renseignement de premier comme du second cercle. Un service pourra obtenir de la part de ses partenaires des informations obtenues grâce à des techniques qui lui sont interdites, ou pour des finalités différentes de celles qui avaient motivé l’autorisation de la mesure de surveillance (l’avis de la CNCTR sera dans ces deux cas demandé). Le texte ne prévoit aucune limite dans le nombre de partages et n’impose pas non plus que certains agents seulement puissent accéder aux informations partagées. Le partage de renseignement vers ou depuis des services de renseignement étrangers est, quant à lui, totalement passé sous silence par la loi alors que différentes voix (telles que celle de la CNCTR et celle de la CEDH) questionnent depuis des années cette absence totale de contrôle.

Conservation portée à 5 ans pour la R&D (article 8)

Prenant l’exemple de la NSA et des sociétés privées comme Palantir, l’article 8 autorise la conservation jusqu’à 5 ans de toutes les informations obtenues dans le cadre d’opération de renseignement. En théorie, les informations ainsi conservées ne pourront plus être exploitées que pour faire de la recherche et du développement d’outils de renseignement divers (notamment les algorithmes d’analyses en masse des données collectées). Mais cette évolution permettra surtout de faire sauter toutes les limitations de durée pour des dizaines de milliers de fadettes (factures téléphoniques détaillées), d’écoutes téléphoniques, d’images de surveillance, d’analyses réseau, etc. Une fois stockées au prétexte de la R&D, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent bientôt être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…). Les lois sécuritaires reposent presque systématiquement sur ces tours de passe-passe à deux étapes.

Et même sans loi explicite, le détournent illégal des données recueillies, par des pratiques que le gouvernement ne se gênerait pas de qualifier de « alégales », ne seraient en rien une nouveauté (qu’il s’agisse par exemple du partage de données entre services, décrit plus haut, ou des nombreuses pratiques illégales antérieures à 2015 que le gouvernement avait rétrospectivement assumées en 2015).

Conservation doublée pour le piratage (article 9)

Une des techniques les plus invasives autorisées par la loi renseignement de 2015 a sans doute été le piratage informatique, tel que permis par l’article L. 853-2 du code de la sécurité intérieure. Les attaques informatiques déployées par les services de renseignement donnent potentiellement accès à l’intégralité des éléments de la vie d’une personne, largement au-delà des informations concernées par l’autorisation initiale. Les données visées sont si nombreuses et totales que la durée de leur conservation avait été limitée à un mois en 2015. Le projet de loi de 2021 propose de doubler cette durée, sans prendre la peine de donner la moindre justification opérationnelle, si ce n’est celle d’aligner cette durée sur d’autres pratiques proches dont la conservation avait été fixée à deux mois en 2015. Le gouvernement ne prend pas la peine d’expliquer pourquoi le nivellement de nos libertés se fait par le bas plutôt que par le haut…

Surveillance des communications satellitaires (article 11)

Pour le gouvernement, le champ d’action des services de renseignement doit être total : rien ni personne ne doit échapper à leur contrôle. Si Elon Musk et Starlink envisagent de multiplier les communications par satellites, l’article 11 du présent projet de loi ouvre déjà les vannes à leur surveillance. Cette surveillance sera tout aussi illicite et illégitime que celle déjà réalisée sur les réseaux câblés et hertziens.

On peut également se questionner sur le spectre des interceptions si elles sont réalisées du côté des téléports ou peuvent transiter de très nombreuses communications qui ne seraient pas spécifiquement visées, mais néanmoins accessibles en interception satellitaire. Selon les techniques envisageables, on peut redouter des conséquences similaires à celles des IMSI catcher où, afin d’écouter une seule personne, on se met en situation de pouvoir écouter toutes les personnes alentours.

Des drones contre la population (article 18)

L’article 18 donne à la police le pouvoir de brouiller les drones non-policiers, tout en renforçant l’interdiction imposée à la population de se défendre elle-même contre les drones policiers (qui ont toujours été illégaux) ou non-policiers (ce qui rend la population entièrement dépendante de la police pour protéger sa liberté). La position du gouvernement est claire : il souhaite violer la loi pour nous surveiller puis punir celles et ceux qui tenteraient d’échapper à cette surveillance illégale.

Conservation généralisée des données de connexion (article 15)

L’article 15 du projet de loi reprend docilement le schéma proposé par le Conseil d’État dans sa récente décision sur le renseignement. Comme nous le dénoncions amèrement, ce schéma repose sur l’idée que la notion de « sécurité nationale » doit être comprise le plus largement possible, tel que recouvrant par exemple les objectifs de surveillance économiques ou la lutte contre les manifestations non-déclarées. Cette notion est si large qu’elle permet de considérer que la sécurité nationale est exposée à une menace grave et constante depuis 2015 (et sûrement pour toujours).

Ce constat permet d’écarter les garanties qui devraient habituellement protéger les libertés fondamentales. Ainsi, la surveillance de masse est-elle autorisée à titre « exceptionnel » mais systématique : l’ensemble des opérateurs Internet et téléphoniques ont l’obligation de conserver pendant un an les données de connexion de toute la population.

Ce schéma est une violation frontale du droit européen. Un des buts de ce projet de loi est de rendre le Parlement français complice de la violation commise par le gouvernement et le Conseil d’État, afin de la verrouiller durablement et d’acter encore plus officiellement la fin de l’État de droit européen en France.

Toujours aucun contre-pouvoir (article 16)

Une autre exigence du droit de l’Union était que la CNCTR, l’autorité qui contrôle de façon indépendante les services de renseignement, soit dotée de pouvoirs contraignants. Ici encore, le Conseil d’État avait refusé cette logique et le projet de loi adopte sa position. Les décisions de la CNCTR n’ont toujours aucun effet contraignant : le gouvernement est libre de ne pas les respecter. Le seul pouvoir de la CNCTR est de demander au Conseil d´État de vérifier qu’une mesure de surveillance n’est pas illicite. L’unique nouveauté concédée par le projet de loi est que, dans ce cas, le Conseil d’État doit se prononcer en 24 heures durant lesquelles la mesure contestée ne pourra pas être déployée – sauf urgence justifiée.

Cet ajustement ne change presque rien à l’équilibre général des pouvoirs : le Conseil d’État, si proche du gouvernement, reste seul à décider qui le gouvernement peut surveiller et comment. La CNCTR, seule instance officielle osant encore vaguement contester l’orientation des renseignements, reste considérée avec défiance et maintenue loin du pouvoir.

Si la CNCTR considère une demande comme problématique et qu’elle conteste son usage, le Conseil d’État – s’il est saisi – pourra la sauver, mais toutes les techniques jugées positivement par la CNCTR ne pourront de fait être questionnées – le Conseil d’état ne peut qu’être moins disant.

Surveillance algorithmique de masse (articles 12 et 13)

La mesure phare mise en avant par Gérald Darmanin est l’autorisation définitive de la surveillance algorithmique permise à titre expérimental en 2015. Ici encore, ce changement acte la violation du droit de l’Union européenne souhaitée par le Conseil d’État. Alors que la Cour de justice de l’Union européenne avait exigé en 2020 que ces algorithmes ne puissent être déployés qu’en période exceptionnelle de menace grave et imminente pour la sécurité nationale, le Conseil d’État considère, comme dit plus haut, que cet état d’exception est constant : le déploiement des algorithmes est donc permis de façon constante.

Le projet de loi ne se limite pas à acter cette violation : il propose aussi de l’étendre. Alors que les deux ou trois algorithmes déployés depuis 2017 auraient, d’après la CNIL, été restreints à l’analyse du réseau téléphonique, il s’agira pour l’avenir d’analyser aussi le réseau Internet, notamment en observant désormais les URL (les noms des pages Web consultées par potentiellement l’ensemble de la population).

En vérité, ce changement de paradigme était déjà envisagé dès 2015 et il ne doit pas en cacher un autre, bien plus dramatique. Jusqu’à présent, les algorithmes ne pouvaient être déployés que sur l’infrastructure propre des opérateurs de communications : concrètement, on imagine que la DGSI avait installé des serveurs dans une armoire fournie par Orange à côtés de câbles exploités par l’opérateur, analysant plus ou moins à la volée les informations qui y étaient acheminées.

Le projet de loi permet désormais aux services de renseignement de détourner l’ensemble du trafic vers sa propre infrastructure, dans ses propres locaux, afin de l’analyser tranquillement dans son coin. Concrètement, on peut imaginer que Orange copiera l’ensemble des données échangées sur tout ou partie de son réseau pour les envoyer via une canal dédié vers des locaux de la DGSI (voir l’inquiétude d’une rare vigueur de la CNIL à ce sujet, à partir du point 14 de son premier avis). En théorie, en fonction de ses moyens techniques, il peut être envisagé que la DGSI conserve en mémoire dans ses propres locaux l’ensemble du trafic d’une ville ou du pays sur plusieurs jours (pour l’instant, le gouvernement a expliqué à la CNIL se contenter d’un délai de 24h, mais cette limite n’est même pas dans le texte de la loi).

Une fois stockées et bien organisées entre ses mains, nous ne pouvons que redouter ce que la DGSI fera de ces informations. Nos craintes sont d’autant plus fortes que le projet de loi organise déjà, dans son article 7, une logique de partage de données de plus en plus structurante et généralisée.

Coopération des opérateurs pour pirater (article 10)

Le changement le plus grave est sans doute le plus discret. Ni l’exposé des motifs et l’étude d’impact réalisées par le gouvernement, ni l’avis du Conseil d’État ou de la CNIL n’en parle. Étrangement, seul Gérald Darmanin a pris la peine de l’évoquer, rapidement. Il expliquait ainsi le 28 avril 2021 sur France Inter que, pour contourner le chiffrement des communications, « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive ».

C’est au sein du II de l’article 10 du projet de loi que nous pensons avoir trouvé une traduction de cette affirmation grandiloquente. Cet article semble permettre aux services de renseignement de contraindre les opérateurs et fournisseurs de communications électroniques (tel que Orange, SFR, mais aussi Whatsapp ou Signal au sens du droit de l’UE) de collaborer avec eux afin de déployer des failles de sécurité sur le terminal des personnes ciblées. C’est du moins l’interprétation que nous a confirmée M. Kervrain, co-rapporteur sur ce projet de loi, qui nous a auditionné le 17 mai dernier.

Un peu plus tard dans la journée, le député Ugo Bernalicis (La France Insoumise) a bien voulu demander au ministre de l’intérieur de confirmer ce point à son tour. Ce dernier s’est montré encore plus précis :
« Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. Que les choses soient claires : il ne s’agit pas d’écouter les conversations téléphoniques qui se font sur ces applications mais de profiter du fait qu’elles passent par des connexions internet. Pour les cibles les plus dangereuses, et sous le contrôle de la CNCTR, le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »

Pour étayer sa réponse, le ministre a explicitement visé l’opération conduite l’an dernier contre le système de communication chiffrée Encrochat et qui avait conduit la gendarmerie à déployer une attaque informatique particulièrement complexe lui offrant l’accès au terminal de milliers de téléphones en même temps.

Nous pensons ainsi que l’objet de l’article 10 de ce projet de loi est de légaliser et généraliser des opérations similaires à celles conduite contre Encrochat en les élargissant de plus à la surveillance administrative, pour les sécuriser juridiquement afin de les reproduire de plus en plus régulièrement pour contourner massivement les mesures de chiffrement.

Les implications de cette nouvelle menace sont aussi complexes que graves (la protection offerte par les messageries chiffrées telles que Signal est largement remise en cause) et méritent une analyse ultérieure plus poussée. Nous y reviendrons en détail prochainement.

Le 25 mai 2018, le RGPD entrait en application. Nous célébrions l’espoir qu’il renverse le modèle économique des GAFAM, qui font de nos données personnelles une vulgaire monnaie d’échange. Porté·es par notre enthousiasme, nous déposions immédiatement avec 12 000 personnes cinq plaintes devant la CNIL, une contre chacun des GAFAM. Trois ans plus tard, aucune de ces plaintes n’a donné le moindre résultat. Ce total échec résulte d’une multitude d’irrégularités qui, toutes ou presque, révèlent le rôle coupable de la CNIL pour protéger les GAFAM contre le droit.

Pour saisir la gravité de ce bilan, nous reviendrons en détail sur chacune des cinq plaintes. Mais faisons d’abord une remarque de stratégie générale. Dès le début de notre action, nous nous attendions à rencontrer des résistances, notamment sous la forme de stratégies dilatoires à base d’expertises, de contre-expertises ou de débats infinis sur l’interprétation de chaque alinéa du RGPD. Pour contrer ces stratégies dilatoires, nous avions fait un double choix stratégique :

• concentrer nos plaintes sur un argument juridique unique, commun aux cinq plaintes et déjà bien cerné en droit (l’argument est le défaut de validité du consentement que les GAFAM nous arrachent par la ruse ou la contrainte) ;
• limiter notre argumentation à des éléments publiés par nos adversaires (dans leurs CGU, typiquement) en évitant d’invoquer le moindre fait qui nécessiterait une enquête matérielle.

Aucune de nos plaintes ne nécessite plus de quelques jours pour être traitées par deux ou trois juristes spécialisés : elles se contentent de faire des liens logiques simples entre des choses déjà admises. Comme on le verra, nos plaintes ont été réparties dans plusieurs pays, ce qui justifiait probablement d’allonger ce délai de quelques semaines. Matériellement, rien ne justifiait que ce délai s’étale sur plus de six mois. Si aucune plainte n’a abouti après trois années, c’est au prix de manipulations que la CNIL a sciemment laissé se dérouler.

Pour masquer sa démission sur les sujets les plus graves, la CNIL en est réduite à mettre en avant aujourd’hui son début d’action contre les cookies – alors que cette action aurait du commencé dès 2018 mais que la CNIL avait offert sans justification trois années de répit aux sites web violant la loi. Si les cookies, avec leur bandeau d’information, sont la face la plus visible du traçage publicitaire, s’en prendre prioritairement à eux serait une tentative stérile de contourner le cœur du modèle économique illégal des GAFAM.

Apple joue la montre

Le 18 mai 2018, nous déposons devant la CNIL notre plainte collective contre Apple. Le 28 juin 2018, la CNIL traduit puis envoie notre plainte à son homologue irlandais, la « DPC » (Data Protection Commission). Puisque Apple a un siège social européen en Irlande, c’est à la DPC de coordonner le traitement de notre plainte. Le 20 août 2018, la DPC se décide enfin à ouvrir une enquête.

Le 9 mai 2019, soit 9 mois plus tard, la CNIL nous écrit : « l’autorité irlandaise nous a précisé avoir besoin d’obtenir la preuve qu’au moins une personne physique vous ayant donné mandat est bien une personne « concernée » par les traitements mis en œuvre par [Apple]. En conséquence, nous vous remercions de nous communiquer le nom, le prénom, l’adresse électronique ou tout identifiant de l’un de vos mandants, afin d’attester que cette personne dispose effectivement d’un compte utilisateur ». Même si cette exigence est absente du RGPD, nous jouons le jeu pour ne pas perdre du temps : une plaignante accepte de partager ses informations personnelles avec l’autorité irlandaise.

Le 14 septembre 2020, après 1 an et 4 mois de silence, la CNIL nous envoie la traduction de ce courrier laconique de la DPC. « Veuillez noter que l’enquête de la DPC à cet égard est toujours en cours et que nous continuons à nous impliquer auprès d’Apple à cet égard. La DPC vous fera parvenir une nouvelle mise à jour en temps utile ».

Le 14 avril 2021, soit 7 mois plus tard, la CNIL nous envoie un courrier nous indiquant que la plaignante que nous avions déclarée 2 années plus tôt n’aurait plus de compte sur les services d’Apple, ce qui empêcherait la DPC de poursuivre son enquête. Pour reprendre l’enquête, nous sommes invités à déclarer un nouveau plaignant. Nous répondons immédiatement pour dénoncer la manœuvre dilatoire flagrante qui consiste à « exiger l’identifiant d’une plaignante, attendre plusieurs années sans rien faire, le temps que le compte soit supprimé ou modifié, puis exiger un nouvel identifiant. Il est inadmissible que la DPC ait permis à Apple de prendre 2 ans pour vérifier un simple identifiant. Si nous lui donnions un nouvel identifiant, nous n’avons aucune raison de penser que celui-ci ne sera pas vérifié dans 2 ans, lui aussi. La CNIL cautionne-t-elle cette façon de faire de la part de la DPC et d’Apple ? Ou a-t-elle entamé des démarches pour contraindre la DPC à faire cesser ces manœuvres dilatoires ? ».

La CNIL refuse d’agir

La CNIL a le pouvoir et le devoir d’empêcher ces stratégies dilatoires. C’est à elle qu’il revient en dernier ressort de défendre les libertés fondamentales des 12 000 personnes qui se sont placées sous sa protection. Dans notre réponse contre Apple, nous avons invité la CNIL à nous rencontrer pour chercher rapidement une issue à ces trois années de blocage, lui pointant deux voies distinctes qu’elle peut emprunter pour y parvenir.

En premier lieu, le paragraphe 4 de l’article 60 du RGPD permet à la CNIL de contester les décisions de la DPC devant le comité européen à la protection des données (CEPD, l’institution qui réunit la CNIL et l’ensemble de ses homologues européens). Cette procédure est décrite au point a), paragraphe 1, de l’article 65 du RGPD. Dans ce cas, le CEPD est tenu de trancher l’affaire dans un délai d’un mois. Nous considérons que le silence gardé pendant 2 ans par la DPC, et plus encore son apparent refus de poursuivre l’enquête sans un nouvel identifiant Apple, est une décision que la CNIL aurait pu et dû contester devant le CEPD.

En deuxième lieu, le paragraphe 1 de l’article 66 du RGPD prévoit que, lorsque la CNIL estime qu’il est « urgent d’intervenir pour protéger les droits et libertés des personnes concernées », elle peut court-circuiter la DPC pour « adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois » (l’autorité de Hambourg a par exemple déjà déployé cette stratégie contre Google en août 2019). La CNIL aurait ensuite pu rendre ces effets définitifs en saisissant le CEPD. Nous considérons que les manœuvres dilatoires d’Apple et/ou de la DPC, par leur caractère grave et manifeste, assimilent la situation à un déni de justice et caractérisent à elles seules l’urgence d’agir, permettant à la CNIL de prendre elle-même une décision. De plus, le paragraphe 3 du même article 66 prévoit que, sans prendre elle-même de décision, la CNIL peut directement saisir le CEPD pour lui demander de reprendre l’affaire en main dès lors que la DPC « n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir ».

En dépit de ces deux stratégies que nous lui avons suggérées, et de l’aide que nous lui avons proposé pour en trouver d’autres si nécessaire, la CNIL n’a simplement jamais répondu à notre message. À défaut de la moindre explication, de la moindre réaction face à notre dénonciation du comportement d’Apple et de la DPC et aux solutions que nous proposions, il nous est difficile d’interpréter le silence de la CNIL autrement que comme un refus de mettre fin à ces stratégies dilatoires.

Facebook et Linkedin

Le début des plaintes contre Facebook et contre Linkedin est identique au cas d’Apple : la CNIL traduit et transmet nos plaintes à la DPC, qui commence l’enquête fin août 2018. Le 9 mai 2019, comme pour Apple, la DPC demande les informations de deux personnes qui ont signé les plaintes et qui peuvent prouver utiliser Linkedin et Facebook : deux de nos salariées se portent volontaires.

Le 13 février 2020, 10 mois plus tard, la CNIL écrit à un de nos salariés volontaires : « la DPC est intervenue auprès de Facebook, en lui demandant notamment d’illustrer ses explications quant à ses pratiques à l’aide des données concernant l’utilisateur concerné, en l’occurrence vous-même. La DPC nous demande maintenant votre accord formel pour que Facebook lui transmette les données vous concernant, que ce réseau social détient et traite dans le cadre de son traitement d’analyse comportementale ».

Encore une fois, cette demande ne repose sur aucune base légale et n’a aucun rapport avec notre plainte initiale qui, il faut le rappeler, ne visait que les CGU de Facebook et ne nécessitait donc aucune sorte d’illustration concrète. Pire, au-delà de la simple manœuvre dilatoire, cette demande peut être assimilée à une forme de pression sur nous, les personnes à l’origine de la plainte : par définition, les défenseur·es de la vie privée supportent assez mal l’idée que leur intimité soit auscultée par Facebook puis détaillée dans le rapport d’autorités publiques. Tant pis pour notre propre vie privée, l’espoir d’une résolution rapide nous fait céder aux demandes de la DPC.

Le 14 septembre 2020, nous recevons un courrier traduit par la CNIL : « La DPC adressera notamment bientôt à LinkedIn un certain nombre de demandes d’information complémentaires. Nous vous ferons parvenir une copie de ces questions dès qu’elles auront été émises. ». Impossible de comprendre quelles « informations complémentaires » sont encore nécessaires après deux ans de procédure. Nous n’en saurons jamais rien car, contrairement à ce qu’elle avait annoncé, la DPC ne nous en fera jamais parvenir la copie. Son dernier courrier, du 6 janvier 2021, se contente de rappeler génériquement la procédure sans évoquer le fond du dossier ni donner la moindre date concrète.

Le 25 mars 2021, la DPC nous dit être en train de rédiger un « compte rendu d’enquête » sur Facebook et s’engage à nous le transmettre plus tard. Le 23 avril 2021, par l’intermédiaire de la CNIL, la DPC nous si notre salarié ausculté par Facebook consent à ce que La Quadrature du Net ait accès aux données personnelles qui seront présentes dans le compte rendu d’enquête… Difficile de croire en la sincérité de ces démarches interminables tant elles sont ubuesques et parfaitement étrangères aux besoins de l’enquête. En tout cas, si notre salarié a bien donné son consentement, nous n’avons toujours pas vu de compte rendu.

Depuis trois ans, les réseaux sociaux Facebook et Linkedin continuent de violer le RGPD : le fichage publicitaire qu’ils réalisent repose sur un consentement obtenu de façon illégale – sous la contrainte de ne plus pouvoir accéder à leur service. La CNIL n’a aucun souci à reconnaître que cette marchandisation de nos libertés est illégale quand elle est le fait d’acteurs français. S’agissant des GAFAM, la CNIL s’interdit toute intervention, alors même que les articles 60, 65 et 66 du RGPD lui en donnent les pouvoirs.

Google perdu au rebond

Notre plainte contre Google est la seule qui pouvait être traitée directement par la CNIL, en France : contrairement aux autres GAFAM, Google n’avait pas de siège social en Europe et pouvait donc être sanctionné depuis n’importe quel pays. Pour mettre fin à cette situation inconfortable, Google a rapidement annoncé que, à compter du 22 janvier 2019, il installerait un siège social en Irlande. La veille de cette date butoir, dans la précipitation, la CNIL a rendu une décision contre Google, sanctionnant le caractère non-explicite du consentement obtenu sur Android.

Étrangement, dans sa décision, la CNIL présente la sanction comme une réponse directe à notre plainte, ce qui est faux : notre plainte ne visait pas Android mais uniquement Youtube, Gmail et Google Search, qui présentaient des problèmes différents. Ainsi, la CNIL ne répond même pas à nos demandes concrètes : elle se contente de prononcer une sanction de 50 millions d’euros que Google a pu payer sans difficulté (son chiffre d’affaire est de l’ordre de 20 millions d’euros par heure) afin de continuer à violer la loi. Dans notre plainte, en plus d’une amende de 4 milliards d’euros, nous demandions surtout que Google soit interdit d’exploiter nos données personnelles tant qu’il continuera d’obtenir notre consentement de façon forcée. En se contentant de sanctionner le passé sans chercher à protéger notre avenir, la décision de la CNIL n’aura finalement produit aucun effet notable – si ce n’est de nous faire perdre du temps. Et la date de « l’emménagement » de Google en Irlande est maintenant passée.

Dans un courrier du 27 novembre 2019, la CNIL nous informe du « transfert de votre réclamation contre Google à l’autorité irlandaise afin que celle-ci prenne en charge l’instruction des points restants de votre réclamation » – comme vu plus haut, ces « points restants » sont en vérité l’ensemble de notre plainte. Le CNIL précise qu’elle « continuera de suivre étroitement ce dossier des investigations menées par son homologue jusqu’à la décision […], en apportant son analyse dans le cadre des mécanismes de coopération ». Pourtant, dans les années qui suivront, la CNIL ne prendra aucune initiative.

Sa seule action se résumera à traduire et à nous transmettre le 10 juin 2020 l’unique courrier de la DPC à propos de Google : « l’affaire est actuellement en cours d’examen afin de déterminer la procédure réglementaire appropriée pour traiter au mieux les questions soulevées dans votre plainte ». Encore un détour qui ne fait aucun sens : la « procédure appropriée » est exactement la même que pour Apple, Facebook et Linkedin (toutes nos plaintes découlent de la même procédure initiale et reposent sur la même démonstration juridique).

À ce jour, après trois années, aucune autorité, en France comme en Irlande, ne semble avoir entamé la moindre enquête pour traiter la plainte signée par 10 000 personnes contre Google. Comme pour les autres plaintes, la CNIL aurait pu utiliser ses pouvoirs pour nous défendre mais n’a rien fait.

Amazon ou l’échec définitif du RGPD

Notre plainte contre Amazon avait été transmise en 2018 à l’homologue de la CNIL au Luxembourg, où l’entreprise a son siège européen. Nous n’avons jamais reçu d’accusé de réception du transfert de cette plainte, nous n’avons jamais eu signe de vie de l’autorité luxembourgeoise et notre plainte n’a vraisemblablement jamais été examinée par personne. À notre connaissance, la CNIL n’a rien fait pour corriger cette totale défaillance alors que, dans ce cas plus encore que dans tous les autres, les pouvoirs conférés par le RGPD lui permettent de reprendre la main sur le dossier.

S’il est confirmé que la CNIL n’a effectivement rien fait pour corriger cette situation, qu’elle a abandonné à leur sort 10 065 personnes qui lui avaient demandé protection, sa déchéance serait entière et durable.

Conclusion

Sur nos cinq plaintes, deux n’ont jamais été examinées (Google, Amazon), deux autres semblent faire l’objet de manœuvres dilatoires absurdes (Apple, Facebook) et la cinquième n’a pas davantage abouti sur quoi que ce soit de tangible en trois années (Linkedin).

On l’a souligné plusieurs fois : si les GAFAM échappent aussi facilement au RGPD, ce n’est pas en raison de la complexité de nos affaires ou d’un manque de moyens matériels. Le budget annuel de la CNIL est de 18 millions d’euros et elle emploie 215 personnes. Au fil des ans et sur d’autres sujets, nous avons souvent échangé avec les personnes employées par la CNIL : leur maîtrise du droit des données personnelles est sincère. Elles partagent certainement nos frustrations dans une bonne mesure et n’auraient aucune difficulté à redresser la situation si on le leur demandait. Le RGPD leur donne toutes les cartes et, s’il en était besoin, nous leur avons explicitement pointé quelles cartes jouer.

Si les causes de cet échec ne sont pas matérielles, elle ne peuvent être que politiques. La défaillance du RGPD vis à vis des GAFAM est si totale et flagrante qu’il est difficile d’imaginer qu’elle ne soit pas volontaire ou, tout le moins, sciemment permise. Les motivations d’une telle complicité sont hélas déjà bien identifiées : les GAFAM sont les fidèles partenaires des états pour maintenir l’ordre sur Internet. Plus que jamais, l’État français, dans sa dérive autoritaire, a tout intérêt à les maintenir au-dessus des lois pour leur laisser gérer la censure et la surveillance de masse.

À leur échelle, en permettant aux GAFAM d’échapper au droit qui devait protéger nos libertés fondamentales, les 18 membres du collège de la CNIL participent de l’effondrement démocratique en cours. À notre sujet, voici la conclusion : nous avons fait tout ce qui était dans nos capacités pour que le RGPD nous protège collectivement contre les GAFAM, nous avons pleinement joué le jeu du droit et nous avons échoué. N’attendons plus un improbable sursaut démocratique de la CNIL : il faudra nous protéger sans elle.