PROJET AUTOBLOG

La Quadrature du Net

source: La Quadrature du Net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Surveillance : une défaite victorieuse

mardi 6 octobre 2020 à 15:34

Premier communiqué de presse à chaud

La Cour de justice de l’Union européenne (CJUE) vient de rendre une décision très attendue en matière de surveillance. Depuis près de quinze ans, l’État français imposait aux fournisseurs d’accès à Internet et de téléphonie de conserver les données de connexion de l’ensemble de la population (qui parle à qui, quand, d’où). La Quadrature du Net, aux côtés de FDN, FFDN et Igwan.net, contestait devant les juridictions de l’UE la légalité du droit français en la matière.

Une première lecture rapide nous laisse penser qu’il s’agit d’une défaite victorieuse. En effet, si la Cour affirme que la France ne peut plus imposer cette conservation généralisée des données de connexion, elle fait apparaître un certain nombre de régimes d’exception importants. Cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus, que nous détaillerons plus tard.

Cependant, aussi décevant soit-il, l’arrêt de ce matin dessine un cadre juridique qui est beaucoup plus protecteur des libertés et de la vie privée que l’état actuel du droit français. Par exemple, si l’État peut toujours obliger les fournisseurs d’accès à Internet à conserver les adresses IP de toute la population, ces adresses ne peuvent plus être utilisées que dans le cadre des enquêtes sur la criminalité grave ou dans les affaires de sécurité nationale (notamment, de terrorisme). Autre victoire importante, les hébergeurs de sites web ne peuvent plus être contraints par la loi à surveiller pour le compte de l’État l’ensemble de leurs utilisateurs, en gardant en mémoire qui publie quoi, avec quelle adresse IP, quand, etc.

Le droit français se retrouve ainsi en contradiction flagrante avec la décision de la CJUE : le principe de conservation généralisée est refusé par la Cour alors qu’il est la règle en droit français. La Cour acte que les mécanismes français de contrôle des services de renseignement ne sont pas suffisants, et nous veillerons lors de la réforme annoncée du droit français à ce que les garde-fous nécessaires soient renforcés.

Cet arrêt, de 85 pages, nécessitera une longue et minutieuse analyse dans les semaines et les mois à venir.

Le déguisement des trackers par Cname

lundi 5 octobre 2020 à 09:38

Aujourd’hui, nous allons vous expliquer comment marche, à quoi sert, et quelles sont les conséquences du « Cname Cloaking » ou « déguisement par Cname », une technique désormais utilisée par les sociétés de publicité, marketing et surveillance ou suivi des internautes pour outrepasser la protection des systèmes anti pub ou anti tracking comme uBlock origin, Adblock et autres

Le tracking / suivi des internautes, c’est quoi ?

Les sites de media les plus visités (par exemple lemonde.fr, lefigaro.fr, mais aussi des sites comme marmiton.org ou leboncoin.fr) faisant beaucoup de visites, ils veulent pouvoir monétiser le fait que de nombreux internautes viennent sur leur pages web, et en profiter pour afficher de la publicité autour des contenus qu’ils publient, ce qui permet de financer tout ou partie de leur entreprise.
Ces sites ont donc peu à peu ajouté plein de contenus externes à leur page web, des contenus venant d’autres entreprises, soit pour afficher de la publicité, pour collecter des statistiques de visite, ou pour suivre des internautes d’un site à l’autre et ainsi créer des profiles précis, permettant de leur afficher des publicités plus ciblées, donc supposément plus efficaces, donc qui rapporteraient plus.
On appellera donc « tracking » tout contenu d’un site web qui n’est pas géré par la boite produisant ce site, mais qui vient d’un tiers, et dont le but est une de ces 3 finalités : statistiques, affichage publicitaire, création de profil consommateur. Notez que parfois un contenu tiers rentre dans plusieurs de ces catégories en même temps.
Prenons un exemple. Si je vais sur lefigaro.fr, mon navigateur reçoit une page web qui est constituée d’un document principal (la page web), ainsi que des fichiers supplémentaires, fournis par lefigaro (ou parfois par un tiers pour des questions d’optimisation) qui permettent d’afficher des images, des animations, une police de caractère, une jolie mise en page etc.
Ensuite, tout un tas de trackers sont chargés, servis par divers tiers, ici on trouve du criteo, du brightcove, appnexus, taboola. On les voit en rouge dans cette vidéo, car mon bloqueur de pub, uBlock Origin, empêche leur chargement dans la page.
On voit qu’une fois la page chargée, mon navigateur a fait 94 requêtes pour un total de 1.2 méga-octets transférés. Si on charge la même page sans bloqueur de pub, on voit mon navigateur faire pas moins de 650 requêtes pour un total de 10.5 méga-octets ! On comprend donc facilement pourquoi les internautes veulent utiliser un adblocker : cela fait économiser beaucoup de temps, de puissance machine pour télécharger, décoder et afficher ces éléments inutiles, ainsi que de bande passante (Dans la consommation de ressource du numérique, je n’ai jamais vu d’étude sérieuse prenant en compte cette surcharge du fait de la surveillance, du suivi, de la pub, des statistiques… alors qu’on le voit, cela pèse parfois très lourd !)
Ce que l’on a donc appris, c’est qu’il y a de nombreuses entreprises tierces chargées d’afficher de la publicité, fournir des statistiques ou suivre les internautes d’un site à l’autre pour tenter de les profiler et vendre la publicité plus cher. Ce que l’on voit aussi, c’est que ces éléments de pages sont sur des noms de domaine distincts, les rendant facilement identifiable par un bloqueur de pub, ce qui permet leur blocage.

Le Cname Cloaking, c’est quoi ?

Afin de contrer la présence de plus en plus importante de logiciel de blocage de publicité, les entreprises de tracking ont trouvé une manière détournée de pouvoir nous suivre quand même : le Cname Cloaking. Le principe technique est assez simple : au lieu de fournir les outils de tracking via une adresse située sur un nom de domaine identifiable (comme criteo.com ou eulerian.com), le site web souhaitant surveiller l’utilisateur crée un sous-domaine de son domaine principal, qui pointe chez le fournisseur de tracking.
Petit point technique : sur Internet, on utilise un service, nommé le DNS, qui permet de savoir où est situé sur Internet un nom de domaine donné. Par exemple, utilisant le DNS, je peux savoir que sonntag.fr est à l’adresse IP (qui est l’équivalent sur Internet des adresses postales) 91.194.60.2. Ainsi chaque éditeur de site ou fournisseur a une ou plusieurs Adresses IP où il héberge ses infrastructures.
On va prendre pour notre exemple le domaine 01net.com, qui utilise le Cname Cloaking à ce jour.
Si je me rends sur 01net.com, je constate l’utilisation d’un sous-domaine « 5ijo.01net.com » qui pointe vers l’adresse IP 109.232.197.179 appartenant non pas à 01net, mais à Eulerian !
La méthode proposée est malgré tout peu pratique parce que l’adresse IP du fournisseur de tracking est susceptible de changer, le propriétaire du site web ne crée donc pas un pointage DNS direct depuis son nom (ici 5ijo.01net.com) vers l’adresse IP de son prestataire tracker, mais crée un sous-domaine de type Cname, appelé aussi Alias en français, qui pointe vers un autre domaine, qui lui pourra enfin pointer vers l’adresse IP finale.
Si je regarde en détail où pointe notre exemple sur Internet, je constate que 5ijo.01net.com est un Cname ou alias vers 01net.eulerian.net. Qui est lui-meme un alias vers atc.eulerian.net, qui enfin pointe vers l’adresse IP que notre navigateur devrait joindre.
Ainsi, Eulerian peut choisir de changer l’adresse IP cible en toute autonomie. Et 01net.com trompe les internautes en leur faisant croire qu’ils téléchargent un contenu du site 01net.com, alors que leur navigateur est en train de télécharger un script de tracking chez Eulerian… Cette technique, utilisant un Cname DNS pour cacher le nom du véritable fournisseur de tracking est donc nommée « Cname Cloaking » ou « Déguisement par Cname ».
Ce faisant, et pendant quelques mois, les outils de protection contre le pistage comme uBlock Origin ont été trompé et laissaient passer ces appels à Eulerian qui pouvaient donc nous traquer en toute discrétion. Je vous rassure, c’est corrigé depuis, et uBlock empêche bien ce genre d’usage.
On peut donc déjà affirmer que cette technique est en soi une rupture de confiance entre l’internaute qui vient visiter un site, et le site éditeur. Mais pire, cela peut poser, et pose, un problème grave de sécurité !

Quel problème de sécurité pose le Cname Cloaking ?

Disposer d’un sous-domaine de son domaine pointant chez un tiers est un gros problème de sécurité. Pourquoi ? Parce que les cookies, ces petits blocs de données échangés entre un éditeur de site web et votre navigateur, peuvent être partagés au sein d’un même nom de domaine. 
Un cookie est une donnée envoyée par un site web à un navigateur, qui est ensuite renvoyée par le navigateur au site web pour toutes les pages suivantes consultées par le même navigateur sur le même nom de domaine. Cela permet par exemple de rester authentifié dans un espace privé, pour l’abonnementà un site restreint, l’accès à une messagerie etc.
Ainsi, si 01net.com envoie à mon navigateur un cookie, ce dernier sera renvoyé par le navigateur pour toute page située sur www.01net.com, mais aussi sur 5ijo.01net.com !
Or, ces cookies sont souvent liés à des informations personnelles : identifiant unique d’un internaute, accès à son compte dans un espace privé, gestion d’abonnement etc.
Pire : les journalistes de 01net se connectent probablement au site pour en modifier le contenu via le nom de domaine 01net.com lui-même. Dans ce cas, leur cookie, qui les identifie en tant que journaliste autorisé à publier sur le site, est partagé avec Eulerian ! Il faut donc une confiance très forte dans les tiers concernés par les pages utilisant le Cname Cloaking ! Et pire qu’une confiance dans ces tiers, il faut une totale confiance dans la sécurité des sites de ces tiers, ainsi qu’une confiance dans l’ensemble des salariés et prestataires travaillant pour ces tiers et disposant d’accès aux serveurs.
En clair, l’utilisation du Cname Cloaking peut s’avérer devenir une véritable faille de sécurité qui pourrait permettre des fuites de cookie liés à des informations personnelles soit d’internautes connectés au site, soit des propriétaires et éditeurs du site lui-même !

Conclusion ?

On a donc découvert comment le Cname Cloaking permet à des éditeurs de site web de vous traquer sans vous le dire, et de la manière la plus discrète possible, au risque de faire fuiter de nombreuses données personnelles, tant des internautes que des employés ou journalistes du site web concerné ! Cette technologie a été très utilisée il y a quelques années mais semble l’être moins aujourd’hui (par exemple, libération l’utilisait il y a quelques mois, avec le sous-domaine f7ds.liberation.fr, encore visible dans le DNS, mais je n’ai pas trouvé trace sur leur site de l’utilisation de ce sous-domaine à ce jour.)
Cependant, je ne pense pas que l’utilisation d’une telle bidouille soit en soi un problème juridique, c’est plutôt à mon avis le manque flagrant de respect du consentement des internautes obtenu librement, qui devrait donner lieu à de lourdes sanctions. Les sites que nous avions pu voir utiliser ce type de technologie par le passé étant encore, à ce jour, dans une totale illégalité dans leur respect du RGPD, règlement européen censé protéger les internautes contre l’usage abusif et non consenti de leurs données personnelles, règlement pour lequel la CNIL n’a à ce jour, puni personne de manière significative.
En conclusion, je me contenterai de vous préconiser d’installer, si ce n’est pas déjà fait, un bloqueur de publicité et de tracking sur votre navigateur web. Personnellement je recommande uBlock Origin pour Firefox, (ou pour chrome) qui a toujours été de confiance et d’excellente qualité. Mieux : si vous utilisez déjà un bloqueur de pub, invitez vos familles et amis à faire de même, assurez-vous que toutes et tous soient ainsi bien protégés !
De plus, uBlock origin s’installe très bien sur un navigateur Firefox pour mobile. Sur mon Android, j’ai ainsi pu installer Firefox Mobile, et y ai ajouté uBlock origin pour me protéger du gros des publicités et économiser beaucoup de batterie et de bande passante sur mon forfait 4G ! Rendez-vous sur  https://bloquelapub.net/ pour en savoir plus

Pour en savoir plus :

Criteo, société française de tracking, dépouillée par PixelDeTracking https://www.pixeldetracking.com/fr/criteo-geant-marketing-surveillance-francais
Une étude très complète sur le Cname Cloaking, en anglais sur le site de l’APNIC (organisme international chargé des adresses IP pour l’asie / pacifique) https://blog.apnic.net/2020/08/04/characterizing-cname-cloaking-based-tracking/

[Franceinter.Fr] La reconnaissance faciale se met en place à bas bruit

dimanche 4 octobre 2020 à 19:22

Interdite sur la voie publique en France, la reconnaissance faciale en temps réel fait malgré tout son chemin. Plusieurs municipalités testent des dispositifs qui s’en rapprochent, avant sa possible autorisation pour les Jeux olympiques de Paris en 2024. […]

À Marseille (Bouches-du-Rhône), la Cannebière est équipée d’une cinquantaine de caméras intelligentes. Elles ne reconnaissent pas formellement les gens, mais identifient des situations bien précises. « Ce projet a été mis en place 2019, détaille Felix Treguer, membre fondateur de l’association La Quadrature du net. Un algorithme d’analyse automatisée reconnaît des comportements et des événements suspects, et déclenche automatiquement des alertes et des suivis dans le centre de supervision. »

Concrètement, il s’agit de repérer des objets abandonnés, des individus au sol, des taggeurs ou de la destruction de mobilier urbain. « Une fois que les caméras ont filmé et que les vidéos sont archivées, la police peut utiliser des filtres, complète Martin Drago, juriste pour La Quadrature du net, c’est-à-dire repérer des visages ou des silhouettes, pour identifier les personnes. » […]

https://www.franceinter.fr/emissions/secrets-d-info/secrets-d-info-05-septembre-2020

NDLRP – Le teaser vidéo de cette enquête radiophonique et écrite est à retrouver aussi sur le Peertube de La Quadrature du Net :

La loi Avia revient par la porte de l’UE

mardi 22 septembre 2020 à 15:54

Le 25 juin, une semaine après que la loi Avia a été sévèrement censurée par le Conseil constitutionnel, le gouvernement français a demandé à la Commission européenne de faire adopter au niveau européen ce que la Constitution l’empêchait d’adopter en France.

Contre la « haine »

Le gouvernement français demande une nouvelle loi européenne pour « contraindre les plateformes à retirer promptement les contenus manifestement illicites » via « des obligations de moyens sous le contrôle d’un régulateur indépendant qui définirait des recommandations contraignantes relatives à ces obligations et sanctionnerait les éventuels manquements ». Cette demande est le strict reflet de la loi Avia : son délai de 24h, ses pleins pouvoirs donnés au CSA. La France demande de faire censurer « non seulement les contenus illicites, mais aussi d’autres types de contenus tels que les contenus préjudiciables non illicites […] par exemple, les contenus pornographiques [ou] les contenus de désinformation ».

Cette demande intervient dans le cadre du débat législatif à venir sur le Digital Service Act dont vous nous parlions il y a peu : cet futur texte européen pourrait permettre à la France d’imposer au niveau européen une censure qu’elle a échoué à faire adopter au niveau national. Cette séquence législative ne débutera néanmoins pas immédiatement et ne portera que sur une partie de la loi Avia – la partie qui prétendait lutter contre les « contenus haineux ».

Contre le « terrorisme »

Il ne faut pas oublier que la loi Avia prévoyait dans une seconde partie, à côté de celle prévue pour les contenus haineux, un autre type de censure, plus grave encore : confier à la police le pouvoir de censurer en une heure tout contenu qu’elle qualifierait seule – sans juge – de terroriste. Comme nous l’avons déjà expliqué, nous y voyons le risque d’un large dévoiement contre les opposants politiques du gouvernement. Heureusement, en juin dernier, le Conseil constitutionnel n’a pas hésité à censurer un pouvoir si dangereux. Là encore, ce que Macron n’a pu imposer en France, il tente de l’imposer par la porte de l’UE. Et il le fait avec bien plus d’empressement que pour la censure en matière de lutte contre la « haine ».

Depuis deux ans déjà, le gouvernement défend un règlement de « lutte contre les contenus terroristes » pour imposer cette censure en une heure et sans juge, partout dans l’UE. Néanmoins, cette idée rencontre, en Europe aussi, de nombreuses oppositions (voir notre bilan des débats au Parlement européen), de sorte que le texte était en train de s’embourber depuis des mois dans des négociations indécises entre le Parlement européen et les États membres. Toutefois, après sa défaite au Conseil constitutionnel, le gouvernement français est revenu de plus bel : ce règlement pourrait bien être sa dernière carte à jouer pour placer sa police en contrôleur du Web français et européen.

Nous opposerons contre ce projet la même force que nous avons déjà déployée, et ce autant de fois qu’il le faudra.

Nous soutenons la pétition pour bannir la reconnaissance faciale en Europe

mardi 22 septembre 2020 à 11:29

Nous republions ici le texte de la pétition rédigée par l’artiste et militant Paolo Cirio et appelant à l’interdiction permanente de la reconnaissance faciale utilisée pour l’identification et le profilage dans toute l’Europe. Le site de la pétition est disponible ici.

La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous. Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent.

Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics.

Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cette opinion avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

Rejoignez la lutte contre la technologie de reconnaissance faciale :

Signez la pétition, rejoignez la campagne, agissez, restez informé et partagez cet appel.

Pour notre campagne et notre pétition, utilisez notre hashtag #BanFacialRecognitionEU

Le site officiel Ban-Facial-Recognition.EU et notre Twitter @BanFacialRecEU

Pour les demandes de presse et les partenariats, écrivez à info@Ban-Facial-Recognition.EU.

À propos de l’interdiction de la reconnaissance faciale en Europe

La technologie de reconnaissance faciale automatisée a déjà été déployée dans les États membres de l’UE sans consultation publique. Nous demandons aux membres du Parlement européen et de la Commission européenne de prendre au sérieux cette énorme menace pour les droits de l’homme et notre société civile et de légiférer pour l’interdiction immédiate et permanente de l’identification et du profilage via la technologie de reconnaissance faciale dans toute l’Europe.

La reconnaissance faciale est une technologie particulièrement invasive. Il ne s’agit pas seulement de la surveillance des militants, des suspects et des minorités, mais c’est une atteinte à la vie privée de tous et un énorme danger pour les libertés démocratiques, les libertés civiles et la liberté d’expression pour toute la société.

Actuellement, les services de police et les services de sécurité des différents États européens, de concert avec l’industrie de la technologie, font pression contre les institutions européennes pour l’utilisation de la technologie de reconnaissance faciale. En réponse, cette pétition vise à contester les objections formulées par des États membres individuels sur l’interdiction de la reconnaissance faciale et demande à la Commission européenne d’engager des procédures d’infraction contre les États membres qui enfreignent déjà les lois de l’UE en utilisant la reconnaissance faciale.

Plusieurs États membres d’Europe utilisent déjà la reconnaissance faciale pour la sécurité, le contrôle social et les services publics. Par exemple, il a été mis en œuvre dans les gares en Allemagne, lors du verrouillage en Pologne, et il est prévu de créer une carte d’identité nationale en France où la police l’utilise déjà dans les espaces publics. Pendant ce temps, aux États-Unis, la reconnaissance faciale a été interdite dans plusieurs villes et a même été récemment limitée par de grandes entreprises technologiques telles qu’Amazon, IBM et Microsoft à partir de juin 2020.

L’Europe doit s’aligner sur une interdiction définitive de la reconnaissance faciale pour son leadership en matière de droits de l’homme. Cependant, en janvier 2020, il a été révélé qu’une Commission européenne avait retiré son projet d’interdire la technologie de reconnaissance faciale pendant cinq ans, un plan qui a probablement été rejeté par les programmes de police des États membres de l’UE. Cela prouve à quel point l’Union européenne est peu fiable et vague sur ces questions juridiques et de droits de l’homme critiques concernant la technologie de reconnaissance faciale.

Aujourd’hui, la reconnaissance faciale en Europe se déploie sans transparence ni débat public, et est utilisée en dehors de tout cadre juridique coordonné et cohérent. Leurs promoteurs ont une foi aveugle en cette technologie et poussent souvent à accélérer sa prolifération quelles que soient les conséquences inévitables pour nos libertés.

L’Europe doit redresser ses lois sur la protection de la vie privée et lutter radicalement contre la reconnaissance faciale en interdisant totalement son utilisation abusive. Plus de 80% des Européens sont déjà contre le partage de leur image faciale avec les autorités. Faites valoir cet avis avec cette pétition pour interdire la reconnaissance faciale dans toute l’Europe.

Pourquoi la reconnaissance faciale est trop dangereuse

Il existe plusieurs technologies très envahissantes pour la vie privée, en particulier avec la biométrie. Parmi eux, la reconnaissance faciale est particulièrement violente et biaisée. Les visages ont des significations sociales et ils sont difficiles à cacher car ils sont notre principal moyen de communication. Les visages sont les parties les plus publiques des humains et leurs traits servent de métriques pour le jugement social. Nous considérons la reconnaissance faciale trop dangereuse pour les citoyens, car elle peut transformer l’un de nos principaux moyens de socialité contre nous, transformant nos visages en dispositifs de suivi plutôt qu’en composant essentiel de nous-mêmes.

Au-delà du contrôle social, de la discrimination et de la surveillance, il s’agit de la vie privée de chacun. Tout le monde est en danger lorsqu’un tel instrument est autorisé sans règles. Il ne s’agit pas seulement de la police ou des entreprises qui utilisent la reconnaissance faciale pour la sécurité ou l’exploration des données, mais c’est ainsi que cette technologie devient culturellement omniprésente et normalisée, provoquant finalement la peur dans la vie de tous. Cela crée un faux sentiment qu’être observé et analysé à tout moment est acceptable et crée des sociétés remplies de suspicion, d’abus et de méfiance.

La technologie de reconnaissance faciale est également aggravée par la «prédiction comportementale» qui prétend pouvoir classer les émotions ou les intentions d’une personne, mais qui menace fondamentalement la dignité et l’autonomie humaines. La reconnaissance faciale associée à une soi-disant intelligence artificielle sous la forme d’algorithmes d’apprentissage automatique augmente les déséquilibres de pouvoir, la discrimination, le racisme, les inégalités et le contrôle social autoritaire. Il y a trop de risques élevés pour les prétendus «avantages» que l’utilisation de ces technologies pourrait éventuellement apporter.

Partout en Europe, les gouvernements, les entreprises privées et aussi les civils cherchent à utiliser la reconnaissance faciale. Nous avons déjà vu son utilisation dans les lieux de travail, les espaces publics, les écoles, les aéroports, les maisons et dans nos propres téléphones personnels. Ces mises en œuvre de la reconnaissance faciale vont souvent au-delà de notre consentement, ou nous sommes souvent obligés de consentir, tandis que les conséquences à long terme du stockage des données biométriques et de la formation de l’intelligence artificielle pour analyser nos visages peuvent dépasser notre contrôle et les institutions en qui nous avons confiance.

Aucun argument ne peut justifier le déploiement de telles technologies. L’utilisation civile, commerciale et gouvernementale des dispositifs de reconnaissance faciale pour l’identification et la catégorisation des individus doit être strictement interdite. Toute technologie de reconnaissance faciale vendue dans le commerce ou développée et utilisée à titre privé pour cette portée doit être arrêtée.

La reconnaissance faciale doit être interdite, pas seulement réglementée

Les réglementations ne suffisent pas et elles échoueraient à s’attaquer à cette technologie en raison de l’ampleur de son danger.

La reconnaissance faciale porte atteinte au droit à la dignité car elle utilise les qualités, les comportements, les émotions ou les caractéristiques des individus contre eux de manière non justifiée ou proportionnée aux droits fondamentaux de l’UE ou aux lois nationales individuelles. Par exemple, les réglementations européennes actuelles telles que le RGPD couvrent principalement la vie privée des citoyens dans le secteur commercial à quelques exceptions près, mais elles ne traitent pas suffisamment les droits de l’homme qui sont en péril avec la reconnaissance faciale tels que le droit à la dignité et à l’égalité.

Tout comme les armes nucléaires ou chimiques, la reconnaissance faciale constitue une grande menace pour l’humanité. Son utilisation pour l’identification et le profilage est certainement trop dangereuse pour être utilisée. Elle devrait être interdite non seulement par l’Union européenne mais aussi au niveau mondial par les Nations Unies.

Il existe de fausses croyances sur l’efficacité et l’utilité de la reconnaissance faciale qui justifient son utilisation dans le cadre de la réglementation. Cependant, même pour la sécurité, il existe de sérieux doutes quant à savoir si la police en a vraiment besoin ou si elle contribue à fournir de meilleurs services. Les acteurs privés acquièrent un pouvoir disproportionné sur la technologie qui a souvent été développée sans responsabilité ni transparence. Souvent, ces technologies sont vendues aux autorités publiques et aux forces de l’ordre avec peu ou pas de responsabilité pour leurs actions.

Au-delà de la surveillance du gouvernement et des entreprises, il existe désormais d’énormes quantités de données publiques sur les sites Internet, les plateformes de médias sociaux et les ensembles de données ouverts que tout le monde peut récolter ou acheter. En outre, les infrastructures des appareils qui capturent des images de visages sont déjà omniprésentes avec les caméras CCTV, les smartphones et les scanners vidéo dans nos vies publiques et privées. Ces conditions rendent la reconnaissance faciale particulièrement dangereuse parmi d’autres technologies qui peuvent identifier, suivre et juger les personnes.

Aujourd’hui, la reconnaissance faciale est déjà présente dans nos smartphones, les contrôles des passeports dans les aéroports et les espaces publics. Utiliser la reconnaissance faciale pour l’authentification faciale locale pour déverrouiller un smartphone ou pour accéder à un service semble beaucoup moins intrusif que d’identifier un individu parmi de nombreuses personnes dans un lieu public.

Cependant, le développement de la technologie elle-même, la formation d’algorithmes et le stockage des données biométriques détenues par des entreprises privées pourraient, à l’avenir, être utilisés au-delà du cadre initial. Même lorsque nous donnons votre consentement ou utilisons la reconnaissance faciale en privé, nous risquons que ces données puissent entraîner des conséquences involontaires futures telles que des fuites de données biométriques, leur vente à des tiers ou la formation d’algorithmes sur nos traits personnels.

Par conséquent, nous rejetons les deux exceptions d’utilisation de la reconnaissance faciale en ce qui concerne l’innovation pour l’industrie technologique et la sécurité publique. Nous appelons à une interdiction totale de tous les cas de technologies de reconnaissance faciale concernant leur utilisation pour toute forme d’identification, de corrélation et de discrimination qui permettrait une surveillance de masse, des crimes de haine, des traques omniprésents et des violations de la dignité personnelle. Il serait toujours possible à des fins de recherche, de médecine et de divertissement à condition qu’aucune donnée biométrique ne soit stockée ou utilisée pour identifier ou classer des individus.

Nous soutenons que la reconnaissance faciale est déjà illégale en vertu du droit de l’UE et doit être interdite dans la pratique. Quatre instruments européens interdisent déjà la surveillance de masse biométrique: dans le sens le plus large, la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE, et plus précisément la Convention sur la protection des données du Conseil de l’Europe, le RGPD, et son instrument frère, le LED . Cependant, les autorités nationales de protection des données (APD) ont été insuffisamment financées et politiquement démunies par leurs États membres, ce qui signifie que leurs efforts pour faire appliquer les réglementations ont souffert et que les acteurs en violation de la loi ont été peu incités à se conformer.

C’est la raison pour laquelle nous avons besoin de nouvelles lois pour imposer une interdiction de la reconnaissance faciale et pas seulement de réglementations faibles qui peuvent être interprétées et non appliquées par l’UE à ses États membres et à leurs députés.

L’identification et la classification par reconnaissance faciale sont trop dangereuses pour ne jamais être nécessaires et proportionnées puisque les utilisations bénéfiques potentielles ne sont pas justifiées.

Ce dont nous avons besoin pour interdire la reconnaissance faciale dans l’UE

Nous devons prendre des mesures au Parlement européen pour attirer l’attention sur cette question dans ses États membres, ainsi que pour faire pression sur la Commission européenne pour qu’elle prenne des mesures coercitives contre les États qui violent actuellement les droits fondamentaux de l’UE et les lois sur la protection de la vie privée. L’interdiction totale de l’identification et du profilage via la technologie de reconnaissance faciale ne doit pas être simplement une directive, mais elle doit être une interdiction rigide pour être applicable dans toute l’Europe sans exceptions ni expiration.

Dans l’Union européenne, il existe déjà des lois qui interdisent la surveillance biométrique de masse, mais elles ne sont pas appliquées. Les protestations, pétitions et litiges stratégiques peuvent potentiellement être très efficaces pour appliquer ces lois existantes et introduire une interdiction à l’échelle de l’UE.

Dans les rues et en ligne, à travers des manifestations et d’autres formes d’action, les citoyens et les collectifs du monde entier font équipe pour arrêter la propagation fatidique de la reconnaissance faciale. Ensemble, nous faisons partie d’un vaste mouvement résistant à l’avènement de la reconnaissance faciale dans toute l’Europe et dans le monde.

Interpellez-nous et dites-nous si vous voyez la reconnaissance faciale utilisée dans les écoles, les communautés fermées et les bâtiments, les identifiants et badges, les services publics, les dispositifs de verrouillage, les applications mobiles, les plates-formes Internet, et même si c’est pour le divertissement ou un usage personnel ou s’il est utilisé par la police, le contrôle des frontières, les forces de l’ordre et les enquêteurs.

Nous demandons à la Commission européenne et à la Cour européenne de justice d’évaluer les cas que nous avons rassemblés concernant les programmes de reconnaissance faciale en Europe pour avoir rendu ces utilisations actuelles et futures illégales. Si la Commission européenne, soutenue par le Parlement européen, ne prend pas les mesures d’application et législatives appropriées pour interdire une telle technologie, nous prévoyons de porter les affaires devant la Cour européenne de justice sur la base des directives LED actuelles, des règlements GDPR, du Conseil de la Convention européenne sur la protection des données et les lois nationales sur la protection des données, y compris la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’UE.

Aujourd’hui, nous exprimons notre refus collectif de ces outils de contrôle social en exhortant les décideurs à les interdire une fois pour toutes.

Cas et détails – Reconnaissance faciale en Europe

En mai 2020, au moins 15 pays européens ont expérimenté des technologies biométriques telles que la reconnaissance faciale dans les espaces publics. Au minimum, il y a des activités en République tchèque, au Danemark, en France, en Allemagne, en Grèce, en Hongrie, en Italie, aux Pays-Bas, en Pologne, en Roumanie, en Serbie, en Slovénie, en Suède, en Suisse et au Royaume-Uni.

La liste suivante de cas sur les utilisations de la reconnaissance faciale en Europe a été compilée par Paolo Cirio avec ses recherches et avec l’aide d’experts en politique de confidentialité et d’organisations telles que La Quadrature du Net, et à travers le document de recherche EDRi pour l’interdiction de la surveillance biométrique.

Cette liste montre comment l’absence d’une législation cohérente entourant la reconnaissance faciale pousse les États membres de l’UE à prendre des initiatives individuelles, à exercer une surveillance laxiste et à faire un usage réel de ces technologies dangereuses.

Nous exigeons une plus grande transparence publique et une plus grande responsabilité à l’égard des parties – qu’elles soient publiques, privées ou en collaboration entre les deux – qui déploient des traitements biométriques, ainsi que des échanges de données entre les forces de l’ordre, la sécurité aux frontières, d’autres agences de sécurité publique, y compris la santé, et les autorités nationales. agences de sécurité.

FRANCE

À partir de 2020

La police française utilise déjà la reconnaissance faciale pour identifier les personnes dans les espaces publics. Ils utilisent des photos de personnes stockées dans la base de données des antécédents judiciaires TAJ. Il y a plus de 18 millions d’enregistrements d’individus dans cette base de données avec plus de 8 millions de photos. L’utilisation de la reconnaissance faciale dans cette base de données en France est autorisée depuis 2012 et est actuellement contestée devant les juridictions nationales.

Octobre 2019

La France est en passe de devenir le premier pays européen à utiliser la technologie de reconnaissance faciale pour donner aux citoyens une identité numérique – qu’ils le veuillent ou non. Dire qu’il veut rendre l’État plus efficace, le président Emmanuel Macron fait passer des plans pour déployer un programme d’identification basé sur la reconnaissance faciale appelé Alicem dans le cadre de son gouvernement.

Juillet 2019

L’autorité régionale Provence-Alpes-Côte d’Azur (PACA) a demandé à la CNIL l’autorisation d’utiliser un système de reconnaissance faciale pour gérer l’entrée au lycée Ampère à Marseille. Cet «essai» se voulait une expérience d’un an et a également été réalisé dans une autre école de la même région (le Lycée les Eucalyptus de Nice). Cette utilisation a été conçue pour augmenter la sécurité des étudiants et du personnel et pour accélérer le temps nécessaire aux étudiants pour entrer dans les locaux de l’école. Ces tentatives d’utilisation de la reconnaissance faciale dans les deux écoles françaises ont été stoppées par un procès en 2020.

Depuis 2012

«PARAFE» est un programme de portails automatisés aux frontières déjà installés dans différentes gares et aéroports en France. Les portes utilisent la technologie de reconnaissance faciale pour vérifier l’identité de l’utilisateur par rapport aux données stockées dans la puce de son passeport biométrique. Le programme a été développé par la société française Thales.

Plus d’infos sur le dispositif de Thales

ALLEMAGNE

Janvier 2020

Le ministre allemand de l’Intérieur, Horst Seehofer, prévoit d’utiliser la reconnaissance faciale automatique dans 134 gares et 14 aéroports, selon un reportage publié le 3 janvier 2020. Le ministère de l’Intérieur a testé des caméras de reconnaissance faciale dès 2018 à la gare de Berlin-Südkreuz. Le résultat a été que 80% des personnes étaient correctement identifiées. Après les tests de 2018, le ministre de l’Intérieur Seehofer a déclaré que les systèmes de reconnaissance faciale «rendraient le travail de la police encore plus efficace, améliorant ainsi la sécurité des citoyens».

En savoir plus sur euractiv.com

POLOGNE

Mars 2020

L’application obligatoire basée sur la reconnaissance faciale de la Pologne a été utilisée pour appliquer la quarantaine. Il a envoyé la police au domicile de toute personne qui ne partage pas un selfie sur l’application dans les 20 minutes suivant une alerte.

En savoir plus sur politico.eu

ÉCOSSE

Février 2020

La police écossaise a déclaré qu’elle espérait utiliser un logiciel de reconnaissance faciale en direct d’ici 2026, mais a ensuite suspendu ses plans. La technologie peut scanner des foules de gens et croiser les visages avec les bases de données de la police.

En savoir plus sur bbc.com

SUÈDE

Août 2019

La reconnaissance faciale était utilisée par les élèves du secondaire en Suède pour suivre la fréquentation dans la municipalité de Skelleftea. Le procès, qui s’est déroulé à l’automne 2018, a été un tel succès que la collectivité envisage de le prolonger. Cependant, les juges suédois et les autorités de protection des données ont bloqué l’expérimentation de la reconnaissance faciale dans les écoles.

FRONTIÈRES EUROPÉENNES

Le SPIRIT est un projet financé par l’Europe pour racler des images de visages sur les réseaux sociaux afin de créer une base de données pour l’analyse de la reconnaissance faciale. Cinq parties prenantes liées aux forces de l’ordre participent à ce projet de recherche: la police hellénique (GR), la police des West Midlands (Royaume-Uni), la police et le commissaire au crime de Thames Valley (Royaume-Uni), le ministère serbe de l’Intérieur (RS) et le Académie de police de Szczytno (PL). Selon le site Web clairsemé et non transparent, le projet vise à utiliser des outils, tels que l’extraction et la mise en correspondance de visages, pour corréler des informations à partir de données de médias sociaux similaires au modèle de la société américaine Clearview AI. Selon les demandes d’accès à l’information, des essais étaient prévus pour 2020 et 2021.

L’iBorderCtrl est un projet de recherche financé par l’Europe sur les frontières hongroise, grecque et lettone. Le projet prévoyait d’utiliser l’analyse automatisée des données biométriques pour prédire les preuves de tromperie parmi ceux qui cherchent à entrer dans l’Union européenne en tant que «détecteurs de mensonge» pour les réfugiés. Le projet a pris fin en août 2019.

En savoir plus sur edri.org

Le système Prum est une initiative à l’échelle de l’UE reliant les bases de données ADN, d’empreintes digitales et d’enregistrement des véhicules pour une recherche mutuelle. Dix États membres européens, dirigés par l’Autriche, appellent à étendre le système Prum et à créer un réseau de bases de données nationales de reconnaissance faciale de la police et à interconnecter ces bases de données à chaque membre de l’État avec des réseaux de bases de données faciales de la police couvrant toute l’Europe et les États-Unis.

En savoir plus sur theintercept.com

Le «complexe industriel-sécurité de l’UE» conduit à la promotion, à la défense et à l’utilisation de technologies de «titrisation». Les agences Europol et Frontex utilisent déjà une technologie biométrique avancée pour étudier les frontières et profiler les voyageurs.

En savoir plus sur edri.org

Pays étrangers et entreprises en Europe

Le raclage des médias sociaux et le courtage d’ensembles de données dépassent les frontières, les entreprises et les acteurs étatiques étant intéressés par la collecte, la numérisation d’images et la constitution de bases de données de données biométriques de citoyens européens.

C’est déjà le cas avec Clearview AI, une société américaine qui extrait des images des réseaux sociaux, et avec FindFace, une technologie de reconnaissance faciale développée par la société russe NtechLab.

En savoir plus sur nytimes.com
En savoir plus sur forbes.com

L’utilisation de ces outils dépasse l’Europe avec des entités étrangères autorisées à utiliser la technologie de reconnaissance faciale sur les citoyens européens. Amazon, Facebook, Google et Apple rassemblent également d’énormes bases de données de données faciales biométriques de citoyens européens et les utilisent pour former leur intelligence artificielle sans transparence et sans responsabilité. Les produits tels que Ring of Amazon, Apple Face ID, Google Lens et les fonctionnalités de reconnaissance faciale Facebook devraient être interdits à tous les citoyens européens.