Le Parlement s’apprête à voter un nouveau dispositif de surveillance et de censure de l’Internet. Il s’agit des articles 11 et 11 bis A de la loi sur la protection des victimes des violences conjugales, tels que votés par le Sénat le 9 juin. Ces articles imposent aux sites qui hébergent des contenus pornographiques de recourir à des dispositifs de vérification d’âge pour empêcher que les mineur·es y aient accès. De telles obligations, nourries des volontés gouvernementales de nous identifier partout et tout le temps, ne peuvent qu’entraîner de nouvelles et multiples atteintes à nos libertés. Elles risquent aussi de parasiter, en les déshumanisant, les questionnements autour de l’accompagnement des enfants dans la découverte d’Internet, qui devraient pourtant être au cœur des réflexions. Le Parlement a encore une chance de rejeter une partie de cette idée : il doit la saisir.

Tout commence avec l’article 227-24 du code pénal. Depuis 1994, celui-ci prévoit que le fait « de diffuser (…) un message à caractère violent, incitant au terrorisme, pornographique (…) est puni de trois ans d’emprisonnement et de 75 000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur ». Quand cet article a été adopté, l’objectif avancé par le législateur était de « poursuivre les minitels roses qui sont aisément accessibles à des mineurs ». Aujourd’hui, cet article sert de prétexte pour interdire tout site internet qui permet à des mineur·es de consulter des contenus pornographiques.

Il s’avère qu’une telle interdiction, assez peu réaliste en l’état, n’est aujourd’hui pas mise en œuvre. Néanmoins, depuis sa création, cet article du code pénal est utilisé pour pousser différentes idées de contrôle et de surveillance d’Internet : obligation d’utiliser une carte d’identité numérique « qui permettrait au visiteur de justifier de sa majorité sur Internet », filtrage par défaut par les fournisseurs d’accès ou blocage administratif des sites… Tant de mesures qui, sur ce sujet, étaient pour l’instant restées au stade d’idées et n’avaient pas été mises en place.

Le gouvernement d’Emmanuel Macron en a néanmoins fait une de ses priorités. Ce dernier l’annonce lui-même en 2019 : « On va maintenant, enfin, préciser dans notre code pénal que le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante contre l’accès à la pornographie des mineurs ». Et de revenir aussi sur l’idée d’une généralisation des « dispositifs de vérificateur d’âge efficaces ».

Marc Dorcel et le Parlement

Comme pour la loi Avia, c’est une députée LREM qui s’est retrouvée avec la mission de retranscrire dans une loi les directives d’Emmanuel Macron : Bérangère Couillard. En décembre 2019, elle dépose une proposition de loi « visant à protéger les victimes des violences conjugales », avec un article 11 qui propose d’indiquer explicitement à l’article 227-24 du code pénal que « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs ». Et dès l’examen en
commission, elle relève que cela ne sera pas suffisant et qu’il faudrait aller encore plus loin : « la seule menace réellement dissuasive à l’encontre des conglomérats dont le modèle économique repose sur la captation du trafic le plus important possible consiste dans le blocage des sites internet depuis la France ».

Cette idée du blocage s’est concrétisée plus tard quand le texte arrive au Sénat, et qu’un amendement est proposé en séance publique : la sénatrice Marie Mercier (groupe Les Républicains) propose ainsi de mettre le CSA dans le jeu : lorsque celui constate qu’un site ne respecte pas l’article 227-24 du code pénal, il peut ainsi le mettre en demeure de « prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé ». Dans le cas où le site n’obtempère pas, le CSA peut saisir le juge des référés, c’est-à-dire le juge de l’urgence, afin de mettre « fin à l’accès à ce service » : autrement dit, d’en faire bloquer l’accès par les fournisseurs d’accès à Internet. La justice peut déjà prononcer ce type de blocage, mais il s’agit ici de donner toute la légitimité au CSA pour le demander en urgence, et donc de lui accorder un pouvoir de pression supplémentaire.

D’après le gouvernement, l’amendement est poussé par la société Dorcel – qui produit et diffuse des contenus pornographiques –, lui permettant au passage de mettre en difficulté ses concurrents dont le modèle, gratuit, n’entraîne pas l’authentification des utilisateurs par leur carte bleue, contrairement au sien. L’amendement est adopté par le Sénat et le texte en son entier est voté le 9 juin 2020.

Des parlementaires qui n’ont toujours rien compris à Internet

Où commencer la critique sur un aussi mauvais projet ?

Les parlementaires reprennent une idée poussée pendant plusieurs années au Royaume-Uni. Cette idée a fini par être abandonnée après que plusieurs associations ont souligné les dangers des dispositifs de vérification d’âge pour la vie privée des utilisatrices et utilisateurs. Manifestement, le gouvernement français n’apprend pas des erreurs de ses voisins et pense pouvoir faire mieux tout en recopiant le système britannique- sans faire autre chose. Une certaine logique Shadok.

Ensuite, le gouvernement s’obstine à mettre le CSA au centre de sa vision d’Internet, une autorité créée et pensée pour la télévision. Et cela alors même que le Conseil constitutionnel vient de jeter à la poubelle toutes les idées du gouvernement pour faire du CSA l’autorité en charge de la « haine sur Internet ». Ici, le but est d’en faire l’autorité en charge de la régulation sur Internet des contenus pornographiques. Or, face à une notion si mal définie en droit français, le CSA va se retrouver avec le pouvoir de décider de ce qui relève ou non de la pornographie, avec la menace derrière de saisine du juge des référés et de blocage.

Par ailleurs, comme l’avait fait le Royaume-Uni, les parlementaires ne détaillent pas dans la loi le dispositif de vérification d’âge : ils laissent aux sites et au CSA le soin de les décider entre eux. Mais un rapide passage en revue des solutions envisagées ne peut que faire craindre une surveillance inadmissible sur Internet.

S’agira-t-il, comme en parle Marie Mercier, d’utiliser France Connect, le service d’identité numérique de l’État ? Au-delà de l’énorme jeu de données traitées par ce dispositif (voir à ce titre l’arrêté qui les détaille), va-t-on vraiment demander à des personnes d’utiliser le même identifiant pour les impôts, la sécurité sociale et la consultation de sites avec contenus pornographiques ? Même si Cédric O semble avoir rejeté cette idée, il parlait pourtant bien en juillet 2019 d’une idée assez proche d’identité numérique et de passer sa carte d’identité sur un lecteur pour vérifier sa majorité.

Ou alors s’agira-t-il d’imposer l’utilisation d’une carte bleue, comme l’espère Dorcel ? Les effets rebonds possibles d’une telle mesure sont problématiques, imposer la carte bleue, c’est, notamment, risquer que les données récoltées sur la consultation du site puissent être collectées par d’autres personnes, par exemple celles ayant accès au relevé du compte bancaire… Sans compter que, comme cela a déjà été relevé, la Cnil n’a jamais reconnu la preuve de la majorité comme finalité possible pour l’utilisation d’une carte de paiement.

En réalité, quelle que soit la solution, elle implique le traitement de données profondément intimes avec le risque permanent et terrible d’une faille de sécurité et d’une fuite des données d’une large partie de la population.

Enfin, faut-il rappeler encore aux parlementaires que, quel que soit le dispositif choisi, il est fort possible qu’il traite de données « sensibles », au sens du droit européen (car pouvant révéler « l’orientation sexuelle d’une personne physique »). Or, tout traitement de ce type de données est interdit, et ne peut être autorisé que pour certaines exceptions précises.

Centralisation et déshumanisation

D’autres critiques doivent évidemment être faites à une telle proposition, et le STRASS, syndicat du travail sexuel, les répète depuis le dépôt de cette proposition de loi : du fait des dispositifs de contrôle d’âge qui deviendraient obligatoires à mettre en œuvre pour l’ensemble des sites pouvant proposer des contenus considérés comme « pornographiques », « la conséquence probable de cet article sera la censure massive de contenu pornographique voire érotique légal, artisanal, amateur et indépendant tout en favorisant de facto les grands distributeurs ». De même : « on peut aussi s’attendre à ce que cette loi entraîne le blocage des sites d’annonces d’escort et de webcam érotique basés à l’étranger ainsi que les sites Web de travailleurSEs du sexe indépendantEs, fragilisant d’autant une communauté déjà marginalisée par la définition très large du proxénétisme et la pénalisation du client ». En renforçant la pornographie industrielle aux détriments des indépendantes, ce sont les pratiques de cette première qui sont promues, avec ses clichés les plus sexistes et ses conditions de travail les plus abjectes. Il ne restera alors rien de l’objectif que s’était donné la loi, celui de « protéger les victimes de violences conjugales ».

Identification permanente, surveillance de notre intimité, censure, contrôle du CSA sur Internet… Autant de raisons qui devraient conduire les parlementaires à abandonner cette idée. D’autant plus qu’elle conduit, enfin et surtout, à déshumaniser la question autour de la découverte d’Internet, à faire penser qu’une machine s’occupe de poser des limites à cette découverte, que la question ne nous concerne plus. C’est encore une fois vouloir régler par un outil technique magique une question éminemment humaine.

Le texte devrait passer dans les prochaines semaines en commission mixte paritaire pour que l’Assemblée Nationale et le Sénat se mettent d’accord. Si le passage sur « le simple fait de déclarer son âge en ligne ne constitue pas une protection suffisante pour les mineurs » semble définitivement adopté, l’article 11 bis A sur les pouvoirs du CSA peut encore être retiré. Le Parlement doit se saisir de cette occasion pour retirer sa dangereuse proposition.

À un moment où l’institution policière est remise en question, les multinationales de la sécurité tentent de se racheter une image par des effets d’annonce : elles arrêteraient la reconnaissance faciale car la technologie ne serait pas tout à fait au point et la police l’utiliserait à mauvais escient.

Arrêter la reconnaissance faciale ?

Plusieurs entreprises ont annoncé arrêter (temporairement ou non) la reconnaissance faciale. C’est d’abord IBM qui a ouvert le bal : l’entreprise a déclaré publiquement qu’elle arrêtait de vendre la reconnaissance faciale à « usage général » et appelle le Congrès américain à établir un « dialogue national » sur la question. Le même jour, une employée de Google dénonce les biais des algorithmes et la dangerosité de cette technologie. Le lendemain, Amazon affirme interdire l’utilisation par la police de son logiciel de reconnaissance faciale Rekognition pendant un an. Enfin, Microsoft dit vouloir arrêter de vendre de tels services tant qu’il n’y aura pas de cadre législatif plus précis.
Ce sont donc les entreprises à l’origine même de l’invention et de la mise au point de la reconnaissance faciale qui la dénoncent. Culotté.
Comme le montre bien Privacy International, IBM est une des premières entreprises à s’être lancée dans la reconnaissance faciale et à en avoir fait son fonds de commerce. Elle a carrément
inventé le terme même de « Smart City » pour vendre toujours plus de systèmes de vidéosurveillance à travers le monde. Et, on y reviendra plus tard, la reconnaissance faciale n’est qu’une fraction des algorithmes vendus par IBM. Selon l’association britannique, IBM prend les devants pour éviter d’être accusée de racisme, comme ce fut le cas lorsque qu’il est apparu qu’elle vendait sa technologie aux Nazis pendant la Seconde guerre mondiale. En outre, c’est peut-être un moyen pour l’entreprise de se retirer d’un marché concurrentiel où elle ne fait pas office de leader, comme à Toulouse, où la mairie de J.-L. Moudenc a conclu un contrat avec IBM pour équiper une trentaine de caméras de VSA, sans succès apparent.

À travers ces déclarations, ces entreprises tentent d’orienter nos réponses à cette question classique qui se pose pour nombre de nouvelles technologies : la reconnaissance faciale est-elle mauvaise en soi ou est-elle seulement mal utilisée ? La réponse à cette question de la part d’entreprises qui font des bénéfices grâce à ces technologies est toujours la même : les outils ne seraient ni bons ni mauvais, c’est la façon dont on les utilise qui importerait.

C’est ainsi qu’une annonce qui s’apparente à un rétropédalage sur le déploiement de la reconnaissance faciale est en réalité la validation de l’utilité de cette technologie. Une fois que l’État aura établi un cadre clair d’utilisation de la reconnaissance faciale, les entreprises auront le champ libre pour déployer leurs outils.

Instrumentaliser les combats antiracistes pour se refaire une image

Que ce soit Google, Microsoft ou Amazon, les géants du numérique qui utilisent de l’intelligence artificielle ont déjà été épinglés pour les biais racistes ou sexistes de leurs algorithmes. Ces révélations, dans un contexte où de plus en plus de monde se soulève contre le racisme, au sein de la police notamment aux États-Unis, affectent de plus en plus l’image de ces entreprises déjà connues pour avoir peu de respect pour nos droits. Mais les géants du numérique ont plus d’un tour dans leur sac et maîtrisent les codes de la communication et gèrent avec attention leur image publique . Le débat autour des biais algorithmiques concentre l’attention, alors que pendant ce temps les questions de respect des données personnelles sont passées sous silence.
En annonçant mettre en pause l’utilisation de leurs outils de reconnaissance faciale tant qu’ils auront des biais racistes, Microsoft, IBM et Google font coup double : ils redorent leur image en se faisant passer pour des antiracistes alors qu’ils font leur business sur ces outils depuis des années et qu’ils imposent publiquement un débat dans lequel l’interdiction totale de la reconnaissance faciale n’est même pas envisagée.
Amazon fait encore plus fort, en prétendant interdire au gouvernement de se servir de Rekognition, son logiciel de reconnaissance faciale. Ainsi le message de l’entreprise est clair : ce n’est pas la reconnaissance faciale qui est dangereuse mais l’État.
Cette volte-face des géants du numérique rappelle leur énorme poids politique : après avoir passé des années à convaincre les autorités publiques qu’il fallait se servir de ces outils technologiques pour faire régner l’ordre, ils ont le luxe de dénoncer leur utilisation pour redorer leur blason. C’est le cas d’IBM, qui fait la promotion de la reconnaissance faciale depuis au moins 2012, en fournissant à la ville d’Atlanta, aux États-Unis, un programme de police prédictive avec les photos des criminels à haut risque. Et qui en 2020, dénonce son utilisation par la police, de peur que cela ne lui retombe dessus.

La reconnaissance faciale, un épouvantail qui rend la VSA acceptable

Ce qui est complètement passé sous silence dans ces annonces, c’est le fait que la reconnaissance faciale n’est qu’un outil parmi d’autres dans l’arsenal de surveillance développé par les géants du numérique. Comme elle touche au visage, la plus emblématique des données biométriques, elle attire toute la lumière mais elle n’est en réalité que la partie émergée de l’iceberg. En parallèle sont développés des outils de « vidéosurveillance automatisée » (reconnaissance de tenues vestimentaires, de démarches, de comportements, etc.) qui sont discrètement installés dans nos rues, nos transports en commun, nos écoles. En acceptant de faire de la reconnaissance faciale un outil à prendre avec des pincettes, les GAFAM cherchent à rendre acceptable la vidéosurveillance automatisée, et cherchent à rendre impossible le débat sur son interdiction.
Or, il est fondamental d’affirmer notre refus collectif de ces outils de surveillance. Car sous couvert « d’aide à la prise de décision », ces entreprises et leurs partenaires publics instaurent et réglementent les espaces publics. Quand une entreprise décide que c’est un comportement anormal de ne pas bouger pendant 5 minutes ou quand on se sait scruté par les caméras pour savoir si l’on porte un masque ou non, alors on modifie nos comportements pour entrer dans la norme définie par ces entreprises.

Les grandes entreprises de la sécurité ne sont pas des défenseuses des libertés ou encore des contre-pouvoirs antiracistes. Elles ont peur d’être aujourd’hui associées dans la dénonciation des abus de la police et de son racisme structurel. Leurs annonces correspondent à une stratégie commerciale bien comprise : faire profil bas sur certains outils pour mieux continuer à vendre leurs autres technologies de surveillance. En passant pour des « multinationales morales et éthiques » — si tant est que cela puisse exister — ces entreprises ne prennent que très peu de risques. Car ne soyons pas dupes : ni IBM, ni Microsoft et encore moins Amazon ne vont arrêter la reconnaissance faciale. Ces boîtes ne font que temporiser, à l’image de Google qui, en réponse aux dénonciations d’employé·es avait laissé entendre en 2018 que l’entreprise se tiendrait à distance du Pentagone, et qui a depuis lors repris ses collaborations avec l’armée américaine. Et, ce faisant, elles font d’une pierre deux coups : en focalisant le débat sur la reconnaissance faciale, les géants du numérique tentent non seulement de redorer leur image mais laissent aussi la porte grande ouverte pour déployer d’autres dispositifs de surveillance fondés sur l’intelligence artificielle et tout aussi intrusifs.

Victoire ! Après une longue année de lutte, le Conseil constitutionnel vient de déclarer contraire à la Constitution la quasi-intégralité de la loi de lutte contre la haine en ligne. Au-delà de sa décision, le Conseil constitutionnel refuse le principe d’une censure sans juge dans un délai imposé d’une heure ou de vingt-quatre heures.

En prétendant lutter contre la haine, la loi organisait en réalité une censure abusive d’Internet : la police pouvait exiger la censure de contenus à caractère terroriste en une heure ; les grandes plateformes devaient censurer tout contenu qui pourrait être haineux en vingt-quatre heures. Le Conseil constitutionnel a rendu une décision claire : ce principe de censure dans un délai fixe, que le Conseil critique violemment, est contraire à la Constitution. Comme nous le relevions dans nos observations envoyées au Conseil constitutionnel, un tel délai fixe, pour tout type de contenu, aggrave considérablement les risques de censures abusives, voire de censure politique. Le Conseil souligne que seuls les contenus manifestement illicites peuvent être retirés sans passer par un juge ; or, reconnaître qu’un contenu est manifestement illicite demande un minimum d’analyse, impossible en si peu de temps.

Notre victoire d’aujourd’hui est une lourde défaite pour le gouvernement. Il paie le prix d’une méthode irréfléchie et lourde de conséquences néfastes : alors que Facebook se vantait de lutter « efficacement » contre la haine en employant des armées de personnes et de machines pour censurer les contenus sur sa plateforme, le gouvernement a lancé une « mission Facebook » pour s’en inspirer. Il a ensuite chargé Madame Avia d’une loi pour imposer à l’ensemble de l’Internet le modèle de censure toxique et algorithmique de Facebook. Cette tentative aura été aussi inutile que dangereuse et inconstitutionnelle.

Mais, surtout, le gouvernement est intervenu au dernier moment pour faire « adopter à l’avance » en France le règlement européen contre la propagande terroriste, qui prévoit lui aussi une censure sans juge en une heure (lire notre analyse du texte). Alors que les débats européens sur ce sujet sont loin d’être terminés et qu’aucun compromis ne se dégage, la France a voulu mettre le législateur européen devant le fait accompli en tentant ce tour de force risqué. Son pari est entièrement perdu. Si le débat sur le règlement européen se poursuit, la France y aura perdu l’essentiel de sa crédibilité pour porter une proposition qu’elle est presque la seule, avec l’Allemagne, à vouloir imposer.

Pour lutter contre la haine en ligne, une autre stratégie, respectueuse des libertés fondamentales et d’un Internet libre, était possible : celle de l’interopérabilité. Cette voie, reprise par de nombreux amendements à droite comme à gauche durant l’examen de la loi haine, avait été repoussée par un gouvernement incapable de s’opposer véritablement aux géants du Net. En effet, le problème de la haine en ligne est accentué par le modèle économique des grandes plateformes qui ont un intérêt à mettre en avant des contenus conflictuels, voire haineux, qui feront réagir et rester sur leurs plateformes. Le législateur a refusé cette possibilité, se fourvoyant dans sa volonté de censure. Il faut désormais qu’il tire les conséquences de ce désaveux du Conseil constitutionnel.

Cette victoire est pour nous l’achèvement d’une longue année de lutte, à vos côtés, à tenter de convaincre les parlementaires que cette loi était contraire à la Constitution. Le Conseil constitutionnel sanctionne lourdement l’amateurisme du gouvernement et des député·es En Marche ayant renonçé à tout travail législatif sérieux.

Depuis la crise sanitaire, la vidéosurveillance automatisée s’ancre un peu plus dans l’espace public : détection automatique du port de masque, de la température corporelle, des distances physiques… Ces dispositifs participent à la normalisation de la surveillance algorithmique et portent de nouvelles atteintes à nos libertés. Ils sont installés sans qu’aucune preuve de leur utilité n’ait été apportée, et souvent dans la plus complète opacité. La Cnil, en ne réagissant pas publiquement à ces dérives, participe à leur banalisation et à celle de toute la Technopolice.

Cela fait plus d’un an que nous combattons à travers la campagne Technopolice le déploiement de la vidéosurveillance automatisée. Elle s’est en quelques mois répandue dans de multiples villes en France (voir celles – très nombreuses – répertoriées sur le forum et le carré Technopolice). La crise sanitaire a, comme dans d’autres domaines, amplifié le phénomène. Ainsi, pendant que d’un côté la police a déployé illégalement ses drones pour démultiplier son pouvoir de surveillance sur le territoire, plusieurs collectivités ont passé des contrats avec des entreprises pour implémenter de nouvelles technologies de surveillance.

À Cannes et dans le métro parisien, la société Datakalab a fait installer son logiciel de détection de port de masque. Plusieurs mairies et écoles ont de leur côté déjà mis en place dans leurs locaux des caméras pour mesurer la température des personnes, avec pour objectif de les renvoyer chez elles en cas de température trop élevée – une expérimentation du même type est d’ailleurs en cours à Roissy. Quant à la mesure des distances physiques, elle est déjà en cours dans les transports à Cannes, et pas de doute qu’avec les propositions de plusieurs start-up, d’autres villes réfléchissent déjà à ces dispositifs.

Normalisation et opacité de la surveillance

La multiplication de ces dispositifs en crise sanitaire participe évidemment à la normalisation de la surveillance algorithmique. Derrière leurs apparences parfois inoffensives, ces technologies en banalisent d’autres, notamment la détection de « comportements suspects » ou le suivi automatique de personne selon un signe distinctif (démarches, vêtements…). Alors même que leur déploiement est programmé depuis plusieurs années, comment croire un seul instant que ces dispositifs seront retirés une fois la crise finie ? Au contraire, s’ils ne sont pas vigoureusement contestés et battus en brèche dès aujourd’hui, ils viendront simplement s’ajouter à l’arsenal toujours plus important de moyens de contrôle de la population. Le maire qui fait installer des caméras thermiques dans son école ne les considère-t-il pas lui-même comme « un investissement à long terme [pouvant] resservir au moment des épidémies de grippe et de gastro-entérite » ?

D’ailleurs, à Paris, l’expérimentation de détection de masque par la RATP dans la station de métro de Châtelet s’inscrit « dans le cadre du programme intelligence artificielle du groupe et du LAB’IA ». Nous dénoncions en février ce programme qui consiste pour la RATP à permettre aux industriels sécuritaires d’utiliser les usagères et usagers du métro comme des cobayes pour leurs algorithmes de détection automatique. Quelles entreprises y participent ? Quels algorithmes y sont testés ? Impossible de le savoir précisément. Car c’est l’autre caractéristique de ces expérimentations : leur opacité. Impossible de savoir quelles données traite le dispositif de Datakalab et de quelle manière, ou ce que captent, enregistrent et déduisent exactement les caméras thermiques d’Aéroports de Paris, ou les algorithmes de détection des distances à Cannes. À part une maigre communication dans la presse, les conventions conclues n’ont pas été publiées. Le seul moyen pour y avoir accès est d’adresser aux différents organismes concernés des demandes CADA (voir notre guide) et se plier à leur bon vouloir sur ce qu’ils souhaitent ou non communiquer.

Des dispositifs probablement illégaux

Au-delà de la normalisation et de l’opacité, plusieurs questions juridiques se posent.

On peut déjà critiquer la nécessité et la proportionnalité de tels outils : l’article 5 du RGPD impose que les données personnelles traitées doivent toujours être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Autrement dit, et comme le dit la Cnil elle-même : « les données ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs ». Un tel questionnement semble totalement absent de la vidéosurveillance automatisée. N’y a-t-il vraiment aucun autre moyen de voir si des personnes portent un masque ou respectent des distances physiques que de les soumettre à une caméra et son algorithme ? N’importe quel humain semble pourtant capable de réaliser ces tâches. L’Humanité s’est très bien passée d’algorithme jusqu’à aujourd’hui.

Et quelle base légale pour ces dispositifs ? Par exemple, pour les caméras thermiques qui traitent des données dites « sensibles » (comme les données de santé) et dont le traitement est par principe interdit ? Il n’est autorisé que dans certaines conditions (article 9 du RGPD). Parmi ces exceptions, on trouve bien des motifs de « médecine du travail » ou de « santé publique » mais à chaque fois, de tels traitements doivent être basés sur le « droit de l’Union ou [le] droit de l’État membre ». Ce droit n’existe pas : il n’existe aucun cadre juridique spécifique à la vidéosurveillance automatisée. La Cnil dit d’ailleurs de nouveau elle-même : « En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs (…) les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques ».

De tels questionnements rejoignent ceux que nous posons constamment sur la vidéosurveillance automatisée et que nous avons soulevés lors d’un contentieux (aujourd’hui perdu) à Marseille. Comment ne pas s’étonner alors que la Cnil laisse se répandre cette Technopolice ?

Le silence coupable de la Cnil

Cela fait maintenant presque deux ans que nous avons rencontré des membres de la Cnil pour échanger sur ces sujets et depuis… rien. Ou presque : un avis sur les portiques de reconnaissance faciale et un avertissement sur un projet de capteurs sonores à Saint-Étienne (sur lesquels elle a volontairement communiqué). Et encore, seulement après que nous les ayons publiquement dénoncés et attaqués.

Depuis le début de la crise sanitaire, il semble bien qu’il y ait eu des échanges entre la Cnil et les entreprises ou autorités responsables sur les nouvelles expérimentations. C’est notamment le cas de celle à Cannes et dans le métro parisien, mais aussi pour l’expérimentation dans les aéroports. Or, là encore, aucune publicité n’a été faite sur ces échanges. Ils sont souvent pourtant d’un grand intérêt pour comprendre les velléités sécuritaires des autorités, des entreprises et pour mesurer les faiblesses des contrôles de la Cnil. C’était d’ailleurs le cas pour les portiques de reconnaissance faciale dans les lycées de la Région Sud où la Cnil avait rendu un avis non-public, que nous avons dû nous-même lui demander. La mollesse de la CNIL nous avait forcées d’agir de notre côté devant le tribunal administratif (où nous avons obtenu gain de cause quelques mois plus tard).

En dehors de ces quelques cas, l’action de la CNIL contre la Technopolice semble largement insuffisante. Son action se limite à émietter quelques principes théoriques dans ses communications (comme vu plus haut) mais n’en tire aucune conséquence concrète. Ou alors elle fait secrètement des contrôles dont nous ne sommes informés qu’après avoir attaqué nous-même le dispositif devant la justice. Ou alors elle ne veut rien faire. Rien sur les analyses d’émotions et la détection d’évènements violents en expérimentation à Nice, rien sur les logiciels de la société Briefcam installés dans plusieurs dizaines de villes en France, rien sur les capteurs sonores de Strasbourg, rien sur les logiciels de Huawei à Valenciennes.

Il est même extrêmement étonnant de voir être proposés et installés des outils de détection de température alors que la Cnil les a expressément interdits… On en vient presque à oublier qu’elle a le pouvoir d’ester en justice et de sanctionner (lourdement) le non-respect des textes [1]. Comme pour les drones, ce rôle semble quelquefois reposer sur les capacités contentieuses des associations.

Ce silence coupable participe à la prolifération des dispositifs sur le territoire français. Ces derniers, comme la reconnaissance faciale, doivent être combattus. Ils accroissent considérablement la capacité des autorités à nous identifier et à nous surveiller dans l’espace public, démultipliant les risques d’abus, et participent au déploiement d’une société de surveillance. Tout comme la reconnaissance faciale, ils entraînent un contrôle invisible, indolore et profondément déshumanisant.

—

[1] La critique de cette inaction de la Cnil pourrait d’ailleurs se faire de manière plus générale pour le peu de sanctions qu’elle rend au titre du RGPD, voir notamment 2 ans de RGPD : comparaison de l’application du règlement par les pays européens

Ce texte a été publié au sein de l’œuvre collective « Résistons ensemble, pour que renaissent des jours heureux », (Télécharger au format epub et PDF) qui vise à faire le point sur la situation politique actuelle et à mettre en avant des propositions pour une société plus juste. Benoît Piédallu, membre de La Quadrature du Net, y tente une analyse de l’avancée des technologies de surveillance durant la crise du Covid19, dans un texte que nous reproduisons donc ci-dessous.

En février ou début mars 2020, voyant arriver la lame de fond de la pandémie, personne à La Quadrature du Net n’avait imaginé à quel point elle nous forcerait à mobiliser nos forces. Mobilisé·es à l’époque par la loi Avia (qui transfère des responsabilités de censure aux grandes plateformes), par la promotion de l’interopérabilité (qui imposerait ces mêmes grandes plateformes à se connecter à d’autres outils), ou encore à forcer la main à la CNIL (Commission Nationale de l’Informatique et des Libertés) sur la législation des cookies, comment aurions-nous pu penser qu’un événement sanitaire allait bousculer à ce point notre agenda ?

Et pourtant, les premiers sujets sont vite arrivés. Quelques jours après le début du confinement officiel (le 17 mars), Orange a informé les médias que 17 % des Parisien·ne·s avaient quitté la capitale au début du confinement, ce que l’opérateur n’avait pu savoir qu’en utilisant des données de bornage de téléphones mobiles, pourtant non prévues à cette fin. Puis c’est la mise en place d’un système de traçage total de la population dont il a très vite été question. La police, décidant seule de qui avait le droit de se trouver dans les rues ou pas, en profita pour utiliser de manière massive ses drones, de la prévention à la verbalisation, à l’image de ces vidéos venant de Chine dont tout le monde se moquait pourtant quelques semaines plus tôt. Profitant de cette situation d’urgence, les élus locaux se trouvant sommés d’agir alors qu’ils se trouvaient dans un entre-deux-tours sans fin, de nombreuses entreprises se mirent à proposer, au vu et au su de tous, leurs technologies de surveillance, même gracieusement, sous prétexte de lutte contre la pandémie.

La surveillance de la population est un sujet de lutte depuis bien longtemps entre les associations de défense des droits fondamentaux d’une part, et les entreprises privées et les autorités d’autre part. Passées de paranos à tout juste réalistes à l’occasion de la parution des révélations Snowden en 2013, ces associations ont bénéficié d’une très courte fenêtre de tir avant qu’entreprises spécialisées et politiques pro-surveillance ne reprennent la main. C’est le RGPD, Règlement général sur la protection des données européen, qui en aura bénéficié dans sa rédaction. Mais, dans le fond, jamais le gouvernement français n’aura cessé d’ajouter des réglementations pour installer de nouveaux outils de surveillance de sa population, quand ce ne sont pas des technologies de surveillance mises en œuvre illégalement par différents services, et rendues légales une fois le législateur mis devant le fait accompli.

« Technopolice » est une campagne lancée par la Quadrature en septembre 2019, qui liste, dénonce – et lutte contre – les outils de surveillance urbaine. Qu’il s’agisse de la reconnaissance biométrique, de détection d’événement, d’usage de drones, de croisement et d’analyse algorithmique branchée sur les données urbaines, ils sont, depuis quelques années, déployés en catimini par des collectivités locales, majoritairement sous couvert d’expérimentation. Ce principe est un paravent qui leur permet souvent d’éviter le lancement d’appels d’offres, mais aussi de rassurer la population : en présentant à ses administré·e·s un projet comme « temporaire », un·e responsable politique peut plus facilement, sans avoir à prouver l’efficacité d’un système, le déployer dans l’espace public.

C’est aussi une technique utilisée au niveau national : à l’occasion de la loi de finances 2020, un article prévoyait la mise en place d’une expérimentation de trois ans (sic) par laquelle le ministère des Finances se voyait autorisé à capter des données sur divers services en ligne (leboncoin, eBay…), puis à leur appliquer des algorithmes à des fins de lutte contre la fraude fiscale. Et Cédric O demandait encore, fin décembre 2019, la mise en place d’une expérimentation nationale de la technologie de reconnaissance faciale, dont nous demandons de notre côté l’interdiction totale.

Pour chaque déploiement, il existe dans le monde une démonstration de détournement par l’administration : la reconnaissance faciale en Inde, présentée initialement pour retrouver les enfants perdus ? Utilisée pour lister les manifestant·e·s. L’utilisation du big data pour lutter contre la fraude fiscale ? Détournée aux Pays-Bas pour discriminer les populations les plus pauvres.

La crise que nous traversons a changé la donne : ces entreprises sécuritaires ne se cachent plus et vont démarcher les collectivités, organismes ou établissements de santé pour leur proposer des outils de surveillance et de contrôle de la population.
La police avoue utiliser ses drones sans base légale. Et en profite pour plus que doubler sa flotte à travers un contrat de quatre millions d’euros. Même des entreprises sans activité militaire ou de sécurité s’y mettent, à l’image de Sigfox dont le patron propose, comme solution alternative à l’application de traçage StopCovid, de fournir à la population des bracelets électroniques.

C’est la stratégie du choc qui est à l’œuvre. Profitant du traumatisme des bilans quotidiens de morts par milliers et du confinement imposé à une société animée par le lien social, les profiteurs de crise avancent leurs pions pour ouvrir une place durable à leurs marchés sécuritaires.
Pour certains, leurs noms sont connus de toutes et tous : ainsi Orange vend-il à des clients professionnels des statistiques basées sur les déplacements de ses abonnés, sans l’accord de ces derniers. Son nom se retrouve aussi lié à Dassault Système et Capgemini dans le développement de StopCovid, l’application de traçage de la population.

Tout est mis en œuvre dans l’idée que l’ennemi est le peuple. On lui ment, on le surveille, on le trace, on le verbalise s’il sort de chez lui. On rend responsables les malades, car ce sont certainement ceux qui n’ont pas respecté le confinement. On rend le peuple responsable individuellement en lui faisant porter le poids de la mort des autres. Pas une fois le pouvoir politique, durant cette crise, ne fera amende honorable sur ses manquements. Non : pour les gouvernants, dont les administrations détruisaient encore des masques courant mars, les solutions sont des outils de contrôle (température, port du masque), de surveillance (StopCovid, drones, patrouilles dans les rues), de nouvelles bases de données (extension de ADOC, pour les verbalisations routières, Contact Covid et SIDEP pour le traçage manuel des « brigades Covid »), ou encore le contrôle de l’information (Désinfox Coronavirus)…

Cet état d’urgence sanitaire, qui impose le confinement et ouvre de nouvelles bases de données de la population, devrait se finir au plus tard au 10 juillet 2020. Mais l’histoire récente montre qu’un état d’urgence temporaire peut aisément être reconduit plusieurs fois, jusqu’à entrer dans le droit commun. Et, même sans une reconduction législative perpétuelle, c’est l’entrée dans les habitudes qui est à craindre.

Le risque, c’est l’effet cliquet : une fois une technologie déployée, l’effort pour la supprimer sera largement supérieur à celui nécessaire pour empêcher son installation. Côté politique, par volonté de rentabiliser un investissement ou par peur de se voir reprocher par son électorat d’avoir réduit l’illusoire protection. Côté population, supprimer une technologie à laquelle les habitants se seront accoutumés demandera un effort considérable. Le déploiement, durant des mois, d’outils de contrôle tend à les faire se fondre dans le décor. Qui ira demander l’abandon d’outils acquis à grands frais (8 000 € la caméra thermique fixe) une fois la pandémie passée ? Et comment décidera-t-on de la fin de cette pandémie : par l’arrivée d’un vaccin ? Tout comme l’état d’urgence contre le terrorisme a été intégré dans le droit commun, il est possible que l’hypothèse d’un retour du danger sanitaire autorise les autorités à conserver les dispositions prévues pour le Covid-19.

Mais la lutte contre un danger sanitaire est l’objet d’un plan de gestion des risques, pas d’un système de surveillance généralisé et permanent. Un plan qui prévoirait la mise à disposition continue d’un nombre suffisant de masques, et un système hospitalier adapté.

Alors quoi ? Quels outils politiques pour éviter la prolongation d’un état d’exception et cette tentation permanente de fliquer la population ?

Les élus, l’administration, le pouvoir, sont les moteurs, depuis plusieurs dizaines d’années, de cette inflation sécuritaire qui alimente quantité de discours et sert les idéologies politiques. Il faut donc dès maintenant informer l’opinion publique sur les risques qu’il y a à continuer dans cette voie, et la mobiliser pour la mise en place ou le renforcement de garde-fous. Nous proposons quelques pistes pour aller dans ce sens.

• La CNIL est en France l’autorité dont la mission est de veiller au respect des données personnelles, que ce soit par l’État ou les entreprises privées. Avant 2004, toute création de traitement devait passer par une autorisation de la CNIL. Elle n’est, depuis, qu’une autorité consultative dont le pouvoir a été limité aux sanctions contre les entreprises privées. Il est nécessaire que son autorité à l’encontre du législateur soit restaurée, ce qui implique d’améliorer son indépendance, par une augmentation de son budget, un changement du processus de nomination des commissaires, en développant la place de la société civile en son sein ainsi qu’en restituant son pouvoir de blocage réglementaire.

• L’utilisation de l’outil informatique par l’État doit être transparente. Les algorithmes utilisés pour prendre des décisions administratives doivent être publiés dès leur mise en œuvre.

• Afin de garantir une indépendance technique de ces mêmes administrations, il est nécessaire qu’elles utilisent des logiciels libres, que ce soit pour le système d’exploitation ou les logiciels courants.

• Les décisions politiques autour de l’usage de technologies ne doivent pas se faire sans la population. Il est nécessaire pour cela de prévoir à l’école et par la suite une formation suffisante au numérique, à ses conséquences techniques, sociales et politiques.

• L’installation d’outils de contrôle dans l’espace public doit être interdite tant qu’une alternative non automatisée est possible, ce qui exclut la quasi-totalité des outils déployés durant cette crise.

• Une limitation drastique des champs du renseignement (et l’arrêt de l’expérimentation sine die des boîtes noires), et un développement de ses contre-pouvoirs.

• Une limitation immédiate de la collecte et de la conservation des données de connexion, en conformité avec la jurisprudence européenne.

• Des sanctions rapides et drastiques contre le secteur du traçage publicitaire en ligne pour faire cesser rapidement les illégalités au regard du RGPD.

• Le développement d’un contre-pouvoir sérieux face aux abus de la police.