Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

Généralisation de la censure automatisée : le Conseil constitutionnel est saisi

Fri, 29 Jul 2022 11:11:35 +0000 - (source)

L’Assemblée nationale a adopté définitivement la proposition de loi relative à la « diffusion de contenus à caractère terroriste en ligne », issue du règlement européen de censure terroriste que nous avons longuement combattu ces dernières années. En réaction, des député·es viennent de saisir le Conseil constitutionnel. Il s’agit de l’ultime recours pour empêcher l’application de ce dispositif déjà jugé attentatoire à la liberté d’expression et qui mettrait fin à l’internet décentralisé.

La dernière étape d’un long combat

Entre 2019 et 2021, aux cotés de nos allié·es européen·nes, nous avons mené campagne contre le règlement de « censure terroriste ». Poussé par l’Allemagne et la France, ce texte affichait l’objectif de la lutte contre le terrorisme pour imposer un régime de censure administrative à l’ensemble des acteurs du Web, y compris les petites infrastructures qui construisent l’internet décentralisé. Adopté rapidement, malgré l’opposition de nombreuses associations, le contenu du règlement doit aujourd’hui rentrer dans le droit national français.

Que prévoit exactement ce texte ? Il donne au pouvoir administratif, et donc à la police, la capacité d’ordonner à tout hébergeur de retirer en une heure un contenu qu’elle aura identifié comme à caractère « terroriste ». Ces demandes pourront concerner une multitude de services en ligne, qu’il s’agisse de plateformes, réseaux sociaux, hébergeurs de vidéos ou de blogs, peu importe leur taille dès lors qu’ils sont localisés dans l’Union européenne. Cette injonction sera directement transmise à ces fournisseurs de services, sans que l’intervention d’un juge ne confirme ou non le bien-fondé de la demande. Si des recours sont possibles, ils n’arrivent qu’a posteriori, une fois la censure demandée et exécutée. Et si un contenu n’est pas retiré, une sanction allant jusqu’à 250 000 € par contenu non-retiré, ou 4% du chiffre d’affaires mondial annuel en cas de récidive, pourra être prononcée en France.

En France, l’autorité en charge d’envoyer ces demandes sera l’OCLCTIC, autorité déjà autorisée à demander le blocage de site en 24h depuis 2014 pour apologie et provocation au terrorisme. De plus, les hébergeurs seront tenus, et pourront être forcés par l’ARCOM (nouvelle institution fusionnant le CSA et la HADOPI), de lutter contre la diffusion de ces contenus à caractère « terroriste » sous peine de sanction de 4% du chiffre d’affaire mondial annuel. L’ARCOM pourra notamment demander de mettre en place des « mesures techniques », et les plateformes pourront utiliser des filtres fondés sur l’intelligence artificielle capables de détecter de façon automatisée certaines images ou certains textes dès leur publication.

Un texte dangereux et liberticide

Nous avons dénoncé depuis longtemps les nombreux dangers que présente ce texte. Non seulement la censure n’est ni le procédé le plus utile ou efficace pour lutter contre le terrorisme, mais sa généralisation aura des dommages collatéraux considérables sur le fonctionnement actuel d’internet. Il est évident qu’imposer une obligation de retrait en une heure à des acteurs de petite taille, ayant peu moyens humains et techniques, est irréaliste. Afin d’échapper aux sanctions, ils n’auront pas d’autre choix que d’avoir recours aux outils de détection et de censure automatisée de contenus développés par les géants du web. Ce nouveau mécanisme aura ainsi pour effet de renforcer la place dominante des grandes plateformes qui sont les seules à pouvoir mettre en place ces mesures techniques aujourd’hui.

Aussi et surtout, l’automatisation et la rapidité exigée de la censure renforceront l’invisibilisation d’expressions politiques contestataires et radicales. En effet, la notion de terrorisme est si largement définie dans le règlement qu’elle pourra servir à justifier la censure de discours radicaux ou de toute expression favorable à des actions politiques offensives ou violentes – tels que le sabotage ou le blocage d’infrastructures. Des exemples concrets ont démontré ces dernières années les abus auxquels pouvait mener une interprétation large du « terrorisme » par la police française. Le régime existant de censure administrative en 24h a ainsi pu conduire à bloquer un site militant (décision annulée par la justice l’année d’après) ou à demander le retrait d’une caricature d’Emmanuel Macron sans que l’on ne sache sur quel fondement cette demande zélée avait été faite .

Plus récemment, différentes demandes du gouvernement de dissolution administrative d’association ont illustré l’instrumentalisation de la notion de terrorisme. Ainsi, en avril dernier, le Conseil d’État a annulé la dissolution de deux associations de soutien à la Palestine voulues par le ministère de l’Intérieur. Les juges ont estimé que la manifestation de soutien à une association palestinienne et à des personnes condamnées pour des faits de terrorisme ne constituait pas des « agissements en vue de provoquer des actes de terrorisme en France ou à l’étranger ».

De façon similaire, si le Conseil d’État a validé la dissolution du CCIF (notamment pour des contenus postés par des tiers sur leurs réseaux sociaux) il a retoqué le gouvernement sur l’invocation du terrorisme comme motif de dissolution. Pour les juges, les faits avancés (tels que liens « avec la mouvance islamiste radicale», la contestation d’une arrestation du président d’une association faisant l’objet d’une dissolution ou le maintien en ligne de commentaires antisémites ou haineux) ne pouvaient constituer des « agissements en vue de provoquer des actes de terrorisme  ». Cette jurisprudence est d’ailleurs citée dans le dernier rapport de la « personnalité qualifiée », c’est-à-dire l’autorité chargée d’évaluer la validité des demandes de retrait envoyées à l’OCLCTIC (d’abord rattachée à la CNIL et maintenant à l’ARCOM), signifiant que cette décision pourra servir de critères pour l’analyse des contenus qui lui sont transmis.

Ces exemples sont la preuve que l’administration, dès qu’on l’autorise à qualifier des actes de terrorisme, interprète cette notion de façon trop large et à des fins politiques. À chaque fois c’est l’intervention d’un juge qui permet de corriger ces abus. Pourquoi en serait-il autrement avec ce nouveau mécanisme de censure ?

Le pouvoir décisif du Conseil constitutionnel

Les dangers de ce nouveau régime sont grands et peuvent encore être contrés par le Conseil constitutionnel. Celui-ci n’a d’ailleurs qu’à s’appuyer sur sa propre jurisprudence pour censurer ce texte. En effet, en 2020, alors que le règlement européen de censure n’était pas encore définitivement adopté, le gouvernement français avait voulu forcer l’arrivée d’un compromis sur ce texte en anticipant son application. Il avait alors introduit au dernier moment dans la loi de lutte contre la « haine en ligne » (ou loi Avia) un régime identique de censure administrative en une heure. Mais ce tour de force s’est avéré être un pari perdu : le Conseil constitutionnel l’a jugé contraire à la liberté d’expression, sans ambiguïté.

Pour fonder sa décision, le Conseil estimait, d’une part, que la détermination du caractère illicite des contenus était soumise à la seule appréciation de l’administration. D’autre part, il constatait que si l’hébergeur voulait contester cette décision devant un tribunal, cela ne pouvait avoir d’effet « suspensif » puisqu’il est impossible qu’un juge se prononce en moins d’une heure. Il a ainsi estimé que le pouvoir de retrait et de blocage confié à l’autorité administrative portait une atteinte disproportionnée à la liberté d’expression et de communication.

Deux ans plus tard, des dispositions ayant les mêmes lacunes (qualification par une administration et absence d’intervention d’un juge avant le retrait) sont de retour devant le Conseil constitutionnel. Logiquement et afin d’être cohérent, il devrait appliquer le même raisonnement pour censurer ce dispositif. Mais, le Conseil constitutionnel refusant de contrôler, en principe, la conformité d’un texte européen à la Constitution, le risque ici est fort qu’il se défausse sur le fait que cette loi est directement issue d’un règlement européen et qu’il ne peut vérifier sa constitutionnalité. Néanmoins, il existe quelques exceptions de droit qui lui permettent de jouer pleinement son rôle : nous espérons donc que le Conseil constitutionnel aura le courage politique de mobiliser ces exceptions.

Le Conseil constitutionnel se doit d’examiner la constitutionnalité de la loi qui lui est soumise et juger, de façon identique à sa décision d’il y a deux ans, que le régime de censure administrative voté par le Parlement est inconstitutionnel. S’il s’y refuse, il acceptera que le gouvernement contourne la Constitution et se moque de l’État de droit.


Ferons-nous tomber la Hadopi devant le juge européen ?

Tue, 05 Jul 2022 06:00:00 +0000 - (source)

La Quadrature du Net contre la Hadopi, une histoire qu’on pourrait croire vieille comme le monde… vieille comme La Quadrature en tout cas, puisque c’est dans la lutte contre la création de cette autorité administrative de protection des droits d’auteurs et droits voisins sur Internet qu’est née l’association. Autant dire que symboliquement, le dossier est fort pour nous ! Quinze ans plus tard, La Quadrature persiste dans son combat, avec ce matin une audience majeure devant la Cour de Justice de l’Union européenne (CJUE), dans le cadre d’un contentieux que nous avons débuté en 2019 contre la Hadopi avec FDN, FFDN et Franciliens.net. On vous résume ici l’affaire, et surtout ses derniers rebondissements, et un live-tweet de l’audience sera disponible.

Petit retour historique

28 octobre 2009 : la loi Hadopi 2 ( « relative à la protection pénale de la propriété littéraire et artistique sur Internet ») vient d’être promulguée. Elle fait suite à la loi « favorisant la diffusion et la protection de la création sur Internet », adoptée quelques mois plus tôt (dite loi Hadopi 1). Ensemble, ces deux lois créent la Hadopi (pour « Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ») et, avec elle, le système de la « riposte graduée ». Au 1er janvier 2022, la Hadopi a fusionné avec le CSA : leur nom est devenu Arcom, mais le fond reste le même.

Avec ce système, l’objectif affiché par le gouvernement est d’« assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ». Pour nous, il s’agit surtout de mettre en place une surveillance massive d’Internet pour cibler les internautes partageant de la musique ou des films sans autorisation (si vous voulez un aperçu des débats, un historique du dossier et la liste des articles publiés par La Quadrature sur le sujet entre 2008 et 2012, on vous renvoie à cette archive).

La Hadopi, comment ça marche ?

Pour fonctionner, c’est-à-dire avertir puis éventuellement sanctionner les internautes qui partagent des œuvres sans autorisation, la Hadopi a besoin de :

Sans tout ceci, aucun moyen pour l’autorité de remonter à l’identité de la personne ayant partagé une œuvre. Et donc aucun moyen de la contacter et de lui envoyer les emails d’avertissement.

Juridiquement, ce système se base sur différents textes :

2019, La Quadrature contre-attaque

En 2019, La Quadrature repartait au front, aux côtés de la Fédération des fournisseurs d’accès Internet associatifs (FFDN), de French Data Network (FDN) et de Franciliens.net. Ensemble, nous avons déposé un recours devant le Conseil d’État pour demander l’abrogation d’un décret d’application de la Hadopi, celui qui autorise le traitement relatif à la riposte graduée. Ce fameux fichier, géré par la Hadopi elle-même, regroupe les informations obtenues auprès des ayants-droits (les adresses IP) et des FAI (l’identité civile). Notre avis était que si ce décret tombait, la Hadopi ne pourrait alors plus continuer sa répression, et la fameuse « riposte graduée » serait vidée de toute effectivité.

Nous appuyions notre recours sur le fait que la riposte graduée est doublement contraire au droit de l’Union européenne. D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par la Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave.

En outre, ce régime français d’accès aux données de connexion est rendu possible grâce à l’obligation de conservation généralisée des données de connexion qui a cours en France. Celui-ci impose aux FAI et aux hébergeurs de conserver pendant un an les données de connexion de l’ensemble de la population. C’est à partir de ces données, et notamment de l’adresse IP, que la Hadopi peut identifier les internautes « contrevenant·es ».

Or, ce régime de conservation généralisée des données de connexion est tout simplement contraire au droit de l’Union européenne. En effet, la Cour de justice de l’Union européenne a rendu en 2014, en 2016, en 2020 et en 2022 quatre arrêts qui s’opposent clairement à toute conservation généralisée et indifférenciée des données de connexion. En 2021, la CJUE a également rappelé que l’accès à ces données par les autorités ne peut se faire qu’à deux conditions cumulatives : s’il s’agit d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante (pour plus de détails, voici comment nous avions présenté l’affaire début 2020).

Histoire d’enfoncer le clou, nous avions aussi profité de ce recours pour poser une question prioritaire de constitutionnalité relative au régime légal d’accès aux données de connexion (adresse IP et identité civile) par la Hadopi. Le mécanisme de la question prioritaire de constitutionnalité (QPC) permet de demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci est cruciale pour la résolution d’un litige. Ici, le décret de la Hadopi qui crée le fichier servant à collecter des adresses IP et l’identité civile dépend de la légalité de la loi qui autorise une telle collecte. Le Conseil d’État a donc transmis notre QPC au Conseil constitutionnel début 2020.

2020, une censure partielle et boiteuse par le Conseil constitutionnel

En mai 2020, le Conseil constitutionnel rend sa décision suite à notre question prioritaire de constitutionnalité. Et le moins qu’on puisse dire c’est que cette décision est tordue. Accrochez-vous, ça n’est pas simple à comprendre au premier abord…

Au lieu de simplement déclarer notre fameux article de loi « conforme » ou « non conforme » à la Constitution, le Conseil constitutionnel a décidé de le réécrire. Cet article (que vous pouvez aller lire ici si le cœur vous en dit) autorisait en effet dans ses alinéas 3 et 4 la Hadopi à pouvoir accéder à « tous documents » nécessaires à sa mission répressive, avant de préciser dans le dernier alinéa que les agents de la Hadopi « peuvent, notamment, obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné [ciblé] ». Dans sa décision, le Conseil constitutionnel a réécrit cet article en censurant l’alinéa autorisant l’accès à « tous documents » ainsi que le terme « notamment ». À première vue, cela pourrait sembler plutôt cosmétique… mais cela revient en réalité à ne laisser à la Hadopi que l’accès aux données cités juste après le « notamment » censuré, c’est-à-dire l’identité, l’adresse postale, l’adresse mail et le numéro de téléphone de la personne concernée. Lors de la publication de cette décision le 20 mai 2020, nous avions d’abord cru à une victoire franche, avant de réaliser après quelques heures d’analyse et de débats que cette victoire n’était pas forcément immédiate. La décision restreignait certes la liste des données accessibles aux agents de la Hadopi mais elle ne se prononçait pas explicitement sur les conséquences de cette restriction quant à la possibilité ou non pour la Hadopi de continuer à fonctionner.

Petit couac pour la Hadopi : cette liste n’évoque pas l’adresse IP dans les données auxquelles l’autorité est autorisée à accéder. Est-ce à dire que l’accès par la Hadopi aux adresses IP des internautes « contrevenant·es » serait illégal, et que le décret qui permet d’enregistrer ces adresses IP ne reposerait plus sur rien suite à cette censure partielle du Conseil constitutionnel ? C’est ce que nous affirmons aujourd’hui devant les juridictions.

La Hadopi peut-elle encore faire son travail légalement ?

Suite à la décision du Conseil constitutionnel, notre interprétation est qu’en l’état la Hadopi ne peut plus faire légalement son travail, en accédant aux adresses IP alors même que la loi telle que censurée ne le permet plus. Mais ça n’est pas l’avis du gouvernement ni de la Hadopi qui persistent à affirmer que l’article censuré par le Conseil constitutionnel ne concernait pas la collecte par les agents assermentés (les ayants-droit) des adresses IP.

En tout cas, en mai 2021, le Conseil d’État a programmé l’audience de notre recours en catastrophe, ne nous prévenant qu’une semaine à l’avance. Nous avons alors produit, en urgence, un nouveau mémoire, basé sur deux points :

Après un premier report d’audience, le Conseil d’État a décidé de botter en touche et de transmettre à la Cour de justice de l’Union européenne une « question préjudicielle » (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation. Par cette démarche, le Conseil d’État demande en réalité à la CJUE d’assouplir sa jurisprudence concernant l’accès à l’identité civile. Cela nous rappelle un triste précédent : en 2018, le Conseil d’État avait également préféré, par une question préjudicielle, demander à la CJUE d’assouplir sa jurisprudence relative à la conservation des données de connexion plutôt que de déclarer le droit français contraire au droit de l’UE, et avait fini, lorsque celle-ci refusa de se plier aux souhaits sécuritaires français, par opter pour un Frexit sécuritaire plutôt que de respecter le droit de l’UE.

L’audience concernant cette question préjudicielle est prévue devant la CJUE aujourd’hui, mardi 5 juillet, et elle revêt pour nous différents enjeux.

D’abord, nous espérons que la CJUE réintégrera dans sa décision les enjeux de la conservation des données de connexion et de l’accès à l’adresse IP des internautes, que le Conseil d’État a mis de côté. Et pour cause : il n’a pas respecté la décision prise par la CJUE sur ce sujet en octobre 2020 ! Nous avons donc besoin que la CJUE profite de cette occasion pour rappeler au Conseil d’État que la conservation généralisée des données de connexion existante en France est contraire au droit de l’Union européenne, et que l’exception créée par la France pour contourner ce point n’a pas lieu d’être.

Nous espérons aussi que cette décision ne laissera pas la possibilité au Conseil d’État de créer une « exception Hadopi » en France. Nous craignons pourtant qu’il veuille contourner l’exigence selon laquelle un accès aux données de connexion (ici l’adresse IP et l’identité civile associée à une communication) n’est possible qu’aux fins de lutter contre la criminalité grave, de même que l’exigence d’un contrôle préalable indépendant à l’accès à ces données.

Si cette affaire a pris une ampleur assez surprenante (en 2019, nous n’imaginions pas forcément arriver devant la CJUE), elle nous offre une opportunité assez exceptionnelle de faire d’une pierre deux coups, et pas des moindres ! Priver notre adversaire originelle de son pouvoir de nuisance puis, en rebondissant vers nos luttes plus récentes, rétablir notre droit à l’anonymat sur l’ensemble du Web (pas uniquement contre la Hadopi mais aussi contre la police et les services de renseignement). Face à une opportunité aussi rare qu’étonnante, ne le cachons pas : l’enthousiasme est au rendez-vous.


A Putanges-le-lac comme ailleurs, la vidéosurveillance se propage

Mon, 13 Jun 2022 15:38:14 +0000 - (source)

Le 25 mai 2022, nos camarades du collectif Vivre Ensemble Putanges attaquaient l’installation de caméras de vidéosurveillance prévue pour la commune devant le Tribunal administratif de Caen. Cette mobilisation s’inscrit dans le contexte d’un déploiement irréfrénable des caméras de vidéosurveillance partout en France. Elles sont désormais aussi installées dans des villages. Comment déconstruire et lutter contre ce discours pro-caméras et technopolice dominant ?

Le cas de Putanges-le-lac : une mobilisation contre la vidéosurveillance en milieu rural

En 2022, les habitants et habitantes de cette commune de Normandie ont appris par la presse que la mairie désirait installer 21 caméras pour les quelques 2400 âmes. Le collectif Vivre Ensemble Putanges s’est monté pour alerter la population et lutter contre l’installation de ce système de vidéosurveillance, prévu ici pour surveiller le lac de la commune, les ordures et la conduite de mobylettes, le tout pour 200 000€. S’en est suivi le lancement d’une une pétition, des tractages sur les marchés, une tentative de dialogue avec la municipalité pour signifier l’opposition de nombre d’habitantes et habitants à ce projet et questionner l’utilité d’un tel dispositif, le tout sans grande réponse. Une des solutions trouvées pour tenter de ralentir le projet fut de lancer un recours devant le tribunal administratif de Caen en contestant l’autorisation préfectorale de ces caméras.

Le recours se base sur trois arguments : tout d’abord, la municipalité n’a pas prouvé l’utilité d’un tel déploiement. Ensuite, c’est un dispositif disproportionné en terme de nombre de caméras. Enfin, il existe un soupçon de conflit d’intérêt avec le dirigeant de l’entreprise ayant conseillée la commune pour son projet de vidéosurveillance, qui siège également à la commission saisie par la préfecture avant de valider l’installation de caméras.

Même si, selon le maire de la commune, Sébastien Leroux, « Il n’y a pas à avoir peur d’être surveillé » et malgré les tentatives de discussion du collectif et la mobilisation des putangeois et puteangoises, le projet continue.

Lire le communiqué de presse de Vivre Ensemble Putanges en date du 30 mai 2022

Le cas de Putanges-le-lac est hélas ordinaire : de plus en plus de petites et moyennes communes décident, pour diverses raisons – en cédant à la pression des assurances, des gendarmes ou de la préfecture, pour faire comme les autres, par facilité politique, pour faire plaisir à des entreprises locales, etc – de dépenser des sommes conséquentes pour installer des caméras de vidéosurveillance.

Comment a-t-on pu arriver en 2022 à cette expansion insensée des caméras de vidéosurveillance, et ce, jusqu’aux territoires les moins densément peuplés, pour lutter entre autres contre « le dépôt d’ordure sauvage » ? Comment expliquer qu’il existe, au bas mot, 1 million de caméras surveillant l’espace public si elles ne sont pas efficaces pour veiller à la sécurité des habitants et habitantes des villes et lutter contre ce qui est appelé « délinquance » ?

Retour historique du déploiement de la vidéosurveillance

Les caméras de vidéosurveillance dans l’espace public se sont déployées en France pour la première fois à Levallois Perret en 1991. C’est ensuite quelques années plus tard, au travers de la loi d’orientation et de programmation relative à la sécurité de janvier 1995 (dite « LOPSI »), qu’un premier cadre légal est venu les encadrer. Après un lent développement, c’est sous la présidence de Nicolas Sarkozy qu’un décret de 2007 en promeut l’utilisation et généralise leur installation un peu partout dans les métropoles et villes françaises, en en faisant « le choix prioritaire de la vidéosurveillance » 1https://www.cairn.info/revue-deviance-et-societe-2016-1-page-25.htm. Depuis lors, les métropoles françaises sont suréquipées et dépensent sans compter pour de nouvelles caméras toujours plus performantes, un réseau toujours plus connecté via la fibre, et un centre de surveillance le plus à la pointe possible, sans compter tous les opérateurs vidéos qui observent les écrans 24h/24 à la recherche d’incivilités, de mouvement de foule ou de petit vols.

En 2011, c’est la promulgation de la loi « LOPPSI 2 qui marque une nouvelle étape – le texte remplace notamment le terme « vidéosurveillance » par le terme « vidéoprotection ». Dans son annexe, la loi entend tripler le nombre de caméras de vidéosurveillance de la voie publique. C’est un texte d’une grande ambition sécuritaire qui, en plus, autorise le blocage de sites web par le ministère de l’Intérieur, prévoie la fusion des fichiers de police et de gendarmerie (STIC et JUDEX) en un méga fichier (qui deviendra le TAJ), tout en appelant à « trouver les solutions innovantes dans des domaines tels que […] la vidéoprotection intelligente [ou] la reconnaissance faciale ». À ce moment, la Cour des comptes évalue à 10 000 le nombre de caméras de vidéosurveillance sur la voie publique.

La vidéosurveillance s’est d’abord développée dans les métropoles, parfois de manière extrêmement rapide, comme à Toulouse : en 2014, la ville comptait une vingtaine de caméras. Elle en compte aujourd’hui plus de 400. Cet accroissement soudain, sous la mandature de Jean-Luc Moudenc, est allé de pair avec une politique sécuritaire et répressive volontaire 2https://www.francebleu.fr/infos/societe/securite-mobilite-equipements-les-objectifs-de-jean-luc-moudenc-pour-mieux-vivre-a-toulouse-1631695380.

Tous les six ans, la Gazette des communes réalise un classement des cinquante villes les plus vidéosurveillées. En 2020, le nombre de caméras dans les communes les plus équipées avait plus que doublé par rapport à 2013. Aujourd’hui, il n’existe pas de chiffre officiel quand au nombre de caméras présentes dans l’espace public, qu’elles soient à l’initiative d’un acteur privé ou bien d’une collectivité. La dernière tentative de comptabilisation a été réalisée en 2012, soit il y a plus de 10 ans, par la CNIL, qui comptait 800 000 caméras présentes dans l’espace public en France 3https://www.lesinrocks.com/actu/les-cinq-chiffres-fous-de-la-videosurveillance-22359-21-06-2012/. Il reste difficile d’estimer leur nombre actuel, mais au vu de l’engouement manifesté par de nombreuses villes et de l’important lobbying des entreprises concernées, on imagine facilement que ce nombre a fortement augmenté. Comment expliquer cet engouement pour la vidéosurveillance ?

Des villes aux campagnes, une surveillance absurde

Aujourd’hui, les caméras sont un moyen d’action totalement accepté et considéré comme légitime dans les politiques publiques, peu importe l’échelle (des collectivités territoriales aux grandes politiques de subventions étatiques de la vidéosurveillance). Et si les questions écologiques, politiques et philosophiques sont totalement écartées du débat public dominant, l’efficacité réelle de la vidéosurveillance l’est aussi. Les rares études4 voir le rapport sur les polices municipales, octobre 2020 disponible sur https://www.ccomptes.fr/system/files/2020-11/20201020-rapport-polices-municipales_0.pdf ou encore celle de Guillaume Gormand commandée par le CREOGN https://www.aefinfo.fr/depeche/663759-pour-le-chercheur-guillaume-gormand-critiquer-la-videosurveillance-c-est-s-attaquer-a-une-religion qui analysent l’effet concret – et dérisoire – des caméras ne sont jamais mobilisées par les acteurs qui les mettent en place, tout comme les sommes faramineuses dépensées dans le tout sécuritaire sont passées sous silence.

« La littérature académique, en France et à l’international (Groombridge, 2008 ; Gill et al. 2005), a démontré que la vidéosurveillance n’a pas d’impact significatif sur la délinquance. Elle est plus souvent utilisée pour des raisons différentes que les motifs mis en avant lors de son installation. En effet, elle sert moins à lutter contre les vols et les cambriolages qu’à des fins de gestion urbaine et de vidéoverbalisation comme l’ont pointé notamment Elodie Lemaire ou Laurent Mucchielli. » 5 https://linc.cnil.fr/fr/comment-la-videosurveillance-se-developpe-t-elle-dans-les-villages

Pour expliquer ce hiatus, le laboratoire de recherche de la CNIL, le LINC, évoque la construction d’un système de production de croyance en l’efficacité de la vidéosurveillance. Cela signifie que c’est à travers la mobilisation et l’engouement de différents acteurs pour la vidéosurveillance que se construit cette croyance dans son efficacité et son utilité politique : préfets, gendarmes, élus, assurances, presse, entreprises… il existe une concordance de discours qui pointe la vidéosurveillance comme une solution toute trouvée.

Si tout ce monde partage les prétendus bienfaits de la vidéosurveillance, c’est aussi parce que ces acteurs y trouvent leur intérêt :

L’installation de caméras permet aux municipalités de facilement capitaliser sur ces dispositifs : la sécurité est une ressource rentable politiquement, tant comme facteur d’attractivité territoriale pour la commune que comme une mesure de court terme pouvant prétendre répondre à des problématiques sociales. En période d’élections locales notamment, la sécurité est un capital politiquement valorisable car c’est une mesure quantifiable, chiffrable et facilement mise en avant.

Du côté des entreprises de la sécurité, la vidéosurveillance représente un marché très lucratif, le secteur est en constante expansion (10% de croissance par an de prévus) : il représentait 45 milliards d’euros en 2020 et pourrait représenter jusqu’à 75 milliards d’ici 2025.

Et si aujourd’hui les grandes et moyennes villes continuent à s’équiper et à renouveler l’infrastructure de vidéosurveillance, désormais les nouveaux débouchés de ce marché des équipements sécuritaires se trouvent en zones rurales. À peu près n’importe quel fait divers peut servir à justifier l’installation de vidéosurveillance et à la mettre à l’agenda : un vol dans une boulangerie, des poubelles trop remplies, des petits délits routiers. Ici comme dans d’autres domaines, on assiste à une fuite en avant technologique, basée sur la croyance aveugle dans le progrès technique comme solution à tout. Aujourd’hui, cette fuite en avant franchit une nouvelle étape : celle de l’algorithmisation de la surveillance et de la sécurité.

Aujourd’hui en ville : l’automatisation de la sécurité urbaine numérique

Depuis le lancement de la campagne technopolice, nous avons constaté un peu partout en France la présence d’« expérimentations », pour tenter de rendre plus acceptable le déploiement de certaines technologies de surveillance et aussi pour légitimer leur opacité. Aujourd’hui, nous voyons le déploiement de la technopolice se répandre et s’imposer de plus en plus. Et la technopolice repose grandement sur cette infrastructure qu’est la vidéosurveillance.

Dorénavant, n’importe quel fait divers est instrumentalisé pour tenter de rendre acceptable l’idée que la Technopolice serait une solution à des problématiques humaines et sociales. Dernier exemple en date : pour masquer la désorganisation et les violences de la police aux abords du Stade de France dans l’actualité récente, la solution serait, d’après C. Estrosi, de généraliser la reconnaissance faciale à l’entrée des stades.

Cette volonté de généralisation de la technopolice, et notamment de la vidéosurveillance algorithmique, est présentée par ses promoteurs comme une nouvelle étape dans la surveillance. D’après eux, il y aurait trop de caméras pour qu’on soit à même de toutes les regarder. Il peut aussi y avoir des erreurs, des oublis, un manque de concentration de la part des opérateurs humains derrière les caméras. il faudrait maintenant passer au niveau supérieur : des algorithmes pour dire aux opérateurs vidéos quoi regarder et quoi voir sur ces caméras.

Ce discours sert plusieurs intérêts : tout d’abord, il justifie l’achat d’encore plus de caméras, pour mailler le territoire, et pousse à adjoindre une couche algorithmique pour tenter de rendre – enfin – efficaces tous ces objets technologiques qui seraient aujourd’hui inutiles car dénués d’intelligence artificielle. Cette rhétorique est également révélatrice de l’inutilité de cette politique pro-caméras en cours depuis plusieurs dizaines d’années. Et quel espoir laisse penser que les caméras algorithmiques seraient plus efficaces que les précédentes ? Si ce n’est, encore, une croyance aveugle en la technologie comme solution à tout ?
S’il y a vraiment trop de caméras pour qu’on puisse regarder tout ce qu’elles filment, et que sans cette couche d’algorithme elles sont en fait peu utiles, alors enlevons-les !

Peu importe que, politiquement, mettre des caméras soit significatif d’une infantilisation de la population, qu’elles ne fassent que donner plus de pouvoir à une police qui en possède déjà trop, qu’elles coûtent un pognon monstre, qu’elles ne servent à rien, qu’elles s’inscrivent et participent au désastre écologique notamment par les infrastructures qu’elles légitiment à construire… Tout est bon à prendre pour le néolibéralisme autoritaire qui voit dans le numérique et la dématérialisation une nouvelle étape du capitalisme.

Conclusion :

Ce qui se joue à Putanges, comme ailleurs, c’est l’introduction sur un territoire d’un outil technologique présenté comme une solution évidente parce qu’inscrit dans un système de croyances largement alimenté par les acteurs institutionnels et privés. Au-delà de la surveillance impliquée par les caméras, de l’infantilisation et de la délégation à des objets froids du vivre ensemble et de ce qui nous fait commun, c’est tout un système néolibéral et autoritaire que cet outil sert. Le passage à l’échelle technologique en cours tente de justifier l’existence même des caméras de vidéosurveillance, d’où l’importance de lutter et soutenir les collectifs qui combattent ce déploiement sur lequel repose une grande part de l’infrastructure de surveillance de la police : les caméras en elles-mêmes, notamment quand elles sont reliées aux fichiers et aux algorithmes.

Rejoignez la plainte contre le ministère de l’intérieur qui attaque le fichage, la vidéosurveillance, et les algorithmes de la police, dont fait partie la reconnaissance faciale, ici plainte.technopolice.fr

References

References
1 https://www.cairn.info/revue-deviance-et-societe-2016-1-page-25.htm
2 https://www.francebleu.fr/infos/societe/securite-mobilite-equipements-les-objectifs-de-jean-luc-moudenc-pour-mieux-vivre-a-toulouse-1631695380
3 https://www.lesinrocks.com/actu/les-cinq-chiffres-fous-de-la-videosurveillance-22359-21-06-2012/
4 voir le rapport sur les polices municipales, octobre 2020 disponible sur https://www.ccomptes.fr/system/files/2020-11/20201020-rapport-polices-municipales_0.pdf ou encore celle de Guillaume Gormand commandée par le CREOGN https://www.aefinfo.fr/depeche/663759-pour-le-chercheur-guillaume-gormand-critiquer-la-videosurveillance-c-est-s-attaquer-a-une-religion
5 https://linc.cnil.fr/fr/comment-la-videosurveillance-se-developpe-t-elle-dans-les-villages

Plainte collective contre la Technopolice

Tue, 24 May 2022 09:45:21 +0000 - (source)

Il y a 3 ans, La Quadrature du Net lançait l’initiative Technopolice pour recenser les nouvelles technologies policières installées dans nos villes. Aujourd’hui, la surveillance de nos rues est devenue totale, car ces technologies se renforcent les unes les autres : vidéosurveillance généralisée, fichage de masse, reconnaissance faciale et détection automatisée de comportements. Pour mettre un coup d’arrêt à cette surveillance totale, nous lançons une plainte collective contre le ministère de l’intérieur qui l’organise illégalement.

Rejoignez la plainte sur plainte.technopolice.fr. Vous y trouverez le détail de notre argumentaire et de la procédure.

En résumé, il s’agit d’une procédure similaire à celle que nous avions engagée il y a 4 ans devant la CNIL contre les GAFAM. Ces plaintes collectives avaient réuni 12 000 personnes et conduit à quelques belles victoires, telle que l’amende record de 746 millions d’euro contre Amazon (les autres plaintes sont encore en cours de traitement).

Aujourd’hui, nous attaquons l’État français pour demander l’arrêt de quatre dispositifs de surveillance :

Le but de notre action n’est pas uniquement juridique : il s’agit aussi d’imposer un rapport de force politique dans un contexte où ces technologies s’imposent dans l’opacité la plus totale. Unissons-nous massivement pour reprendre notre place dans le débat public et faire savoir que la Technopolice est illégale et doit le rester.

Rejoignez notre plainte collective sur plainte.technopolice.fr.


Révision du règlement eIDAS :  la sécurité de l’écosystème web en danger

Fri, 20 May 2022 10:23:46 +0000 - (source)

Une révision du règlement eIDAS, qui régule les procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE, est en ce moment étudiée par l’Union européenne. L’article 45 de la proposition concerne l’un des mécanismes clés de la sécurité web pour vérifier si un site sécurisé est celui qu’il prétend être. Chaque navigateur web possède une liste d’ « Autorités de certification racine » (appelées « Root Certificate Authorities » ou « Root CAs » en anglais) jugées dignes de confiance pour, dit simplement, valider les certificats TLS (pour « Transport Layer Security », certificats destinés à garantir la sécurité de la connexion Internet) utilisés par les sites. Chaque éditeur de navigateur web – tel que Mozilla, Google, Apple et Microsoft – dirige son propre programme d’audit indépendant pour valider ces Autorités de certification.
Problème : l’article 45.2 du règlement eIDAS révisé obligerait ces programmes à valider et intégrer automatiquement certaines Autorités de certification soutenues par les États membres de l’Union Européenne, qu’elles remplissent ou non les critères de sécurité exigés jusque-là par les navigateurs web. L’adoption de cette proposition créerait un dangereux précédent mondial : le risque, bien réel, est ni plus ni moins que de rendre possible l’abaissement du niveau de sécurité web pour les internautes.

Naviguer sur un site sécurisé sur Internet est rendu possible grâce à une série d’opérations de vérification et d’audits de sécurité. Ceci permet de s’assurer que le site est bien celui qu’il prétend être et que les informations qui transitent entre le navigateur et le site en question sont chiffrées de manière confidentielle.

Pour cela, le navigateur web vérifie deux choses :
1) que le certificat TLS d’authentification utilisé par le site sécurisé est valide et digne de confiance.
2) que l’Autorité de certification qui a validé et signé ce certificat est digne de confiance.

Si ces conditions ne sont pas réunies, le navigateur vous préviendra que le site est peut-être malveillant. Ce sont les fameux messages que vous avez sans doute déjà rencontrés : « Attention risque probable de sécurité » sur Firefox ou « Votre navigation n’est pas privée » sur Chrome.

Si une Autorité de certification rencontre des défaillances en termes de sécurité, il devient possible pour des acteurs malveillants d’émettre des faux certificats TLS, par exemple pour des sites très fréquentés comme www.google.com. Les attaquants peuvent ensuite consulter le trafic des internautes qui tapent leur requête sur le site malveillant qui se fait passer pour www.google.com. Ce type d’attaque a été conduit par le passé contre de multiples Autorités de certification en raison de failles de sécurité sur leurs systèmes (par exemple DigiNotar CA et Comodo CA en 2011).

Des acteurs étatiques malveillants qui veulent mener des opérations de surveillance de masse dans leur pays peuvent aussi créer et contrôler une Autorité de certification pour contourner les protocoles de sécurité sur Internet. Tous les certificats émis par l’Autorité de certification en question peuvent alors potentiellement être utilisés pour espionner les communications des internautes ciblés.

Pour limiter les risques pour leurs utilisateur·rice·s, les navigateurs web auditent et sélectionnent de manière indépendante les Autorités de certification qui sont jugées dignes de confiance. Les critères de validation sont consultables en ligne, tel le « Root Program » de Mozilla ou celui d’Apple.

En cas de problème de sécurité, les navigateurs peuvent décider de ne pas inclure ou de retirer une Autorité de certification de leurs listes. Par exemple, une Autorité de certification gérée par le gouvernement du Kazakhstan a été bloquée de concert par Google, Apple et Mozilla en 2019. Autre exemple en 2014, lorsque Google avait détecté des faux certificats pour des noms de domaines de Google émis par le centre national d’informatique du gouvernement indien suite à une faille de sécurité : ceux-ci étaient alors inclus dans le « Root Store » de Microsoft, qui a dû les révoquer.
Le processus d’évaluation pour révoquer ou rejeter une Autorité de certification est particulièrement transparent dans le cas des programmes publics à but non lucratif : Mozilla documente ainsi publiquement les audits et les problèmes rencontrés, comme dans le cas de la révocation en 2019 du CA français Certinomis.

Que propose la nouvelle révision du règlement eIDAS ?

La version initiale du règlement eIDAS a été adoptée en 2014 pour fournir « la base des procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE » (dossier de presse).
Concrètement, le règlement a pour ambition de réguler la manière dont les transactions électroniques s’effectuent au sein de l’Union Européenne, en établissant, pour citer l’ANSSI, un « socle commun pour les interactions sécurisées entre les citoyens, les entreprises et les autorités publiques ».

La section 8 du règlement est dédiée à l’ « Authentification de site internet ». L’article 45 présente les « Exigences applicables aux certificats qualifiés d’authentification de site internet » qui sont fixées à l’annexe IV. Ces certificats qualifiés (« Qualified Web Authentication Certificates », ou QWAC en anglais) sont délivrés par des prestataires de service de confiance (« Trust Service Providers » ou TSP) régis par le règlement eIDAS et qui sont des Autorités de certification soutenues par les gouvernements des États membres de l’Union Européenne.

L’article 45.2 de la proposition de révision pose que « Les certificats qualifiés d’authentification de site internet visés au paragraphe 1 sont reconnus par les navigateurs internet. À cette fin, les navigateurs garantissent que les données d’identité fournies au moyen de l’une des méthodes s’affichent de manière conviviale. À l’exception des entreprises considérées comme des micro et petites entreprises au sens de la recommandation 2003/361/CE de la Commission pendant leurs cinq premières années d’activité en tant que prestataires de services de navigation sur internet, les navigateurs acceptent les certificats qualifiés d’authentification de site internet visés au paragraphe 1 et garantissent l’interopérabilité avec ces derniers. »

Ceci implique que les navigateurs webs sont légalement tenus de reconnaître ces certificats qualifiés comme valides, et donc d’intégrer dans leur liste de confiance les prestataires de service de confiance régis par eIDAS.

Quelles sont les conséquences de cette révision pour les internautes ?

Malheureusement, ces certificats qualifiés d’authentification posent plusieurs problèmes de sécurité et d’interopérabilité dans leur modèle d’implémentation. Depuis leur introduction en 2014, ils n’ont donc pas été adoptés dans l’écosystème web. La Common CA Database, une initiative rassemblant plusieurs éditeurs de navigateurs web autour de la gestion des Autorités de certification et gérée par la fondation à but non-lucratif Mozilla, expose en détails les problèmes techniques rencontrés par les navigateurs avec les spécifications proposées pour les certificats qualifiés : notamment son absence de compatibilité avec le fonctionnement technique des navigateurs web et du déploiement de TLS sur les site, ainsi que ses manques en terme de respect de la vie privée des internautes.

Concrètement, l’article 45.2 reviendrait à obliger les navigateurs web à accepter des prestataires de service de confiance régis par eIDAS, même s’ils ne remplissent pas les critères de sécurité exigés habituellement par les navigateurs. Le risque que des certificats soient émis et utilisés à des fins malveillantes par des cybercriminels serait accru. C’est sur quoi alertent trente-cinq experts mondiaux en cybersécurité et en cryptographie dans une lettre ouverte adressée aux membres du Parlement Européen et publiée sur le site de l’organisation à but non lucratif Electronic Frontier Foundation en mars 2022.

Pire, si une Autorité de certification intégrée à la liste de confiance des navigateurs est vulnérable à des problèmes de sécurité, les navigateurs web ne seraient pas légalement en mesure de refuser ou de retirer l’Autorité de certification de leur liste de confiance pour protéger les internautes.

Par ailleurs, les connaissances techniques en sécurité peuvent vite évoluer : la découverte d’une nouvelle faille de sécurité peut requérir une réponse rapide de la part des éditeurs de navigateurs web afin de protéger les internautes, par exemple en retirant une Autorité de certification du « Root Store ». De plus, les règles de gestion des « Root Store » sont mises à jour régulièrement afin de suivre les évolutions technologiques et se protéger contre les tentatives des acteurs malveillants qui tentent de les contourner. Cette réactivité (quelques semaines) n’est malheureusement pas compatible avec les délais requis pour des changements législatifs (un an ou plus).

Enfin, si elle était adoptée, cette proposition de révision du règlement eIDAS créerait un précédent au niveau mondial. Les navigateurs web pourraient dès lors difficilement refuser ou retirer une Autorité de certification racine provenant d’un autre gouvernement qui ne respecterait pas les critères de sécurité requis. Des tentatives précédentes, au Kazakhstan comme mentionné précédemment ou en Iran comme l’explique l’ONG Article19, prouvent qu’il s’agit d’un danger bien réel. Autre exemple plus récent : suite au retrait de plusieurs Autorités de certification en Russie pour sanctionner la guerre qu’elle mène en Ukraine, le gouvernement russe a dû mettre en place une Autorité de certification de remplacement pour assurer le fonctionnement de plusieurs de ses sites web et a demandé aux internautes d’autoriser manuellement cette Autorité au sein de leur navigateur. Si cette opération peut être justifiée par un motif légitime et qu’il n’y pour l’instant aucune preuve qu’elle ait été rendue obligatoire et utilisée à des fins de surveillance, elle a aussi pour conséquence de rendre possible, justement, la surveillance de masse de la population russe comme le souligne l’Electronic Frontier Foundation.

Bien que cela ne soit clairement pas l’intention visée, la proposition du règlement eIDAS risque de normaliser des dispositifs jusque-là largement condamnés au sein de l’Union Européenne et hors de ses frontières.

Par ailleurs, ce n’est pas la première fois que l’Union Européenne cherche à intervenir directement sur les technologies et l’infrastructure d’Internet. Les controverses autour de la nouvelle directive Network and System of Information Security (NIS2), de la proposition d’établissement d’un DNS européen DNS4EU ou même du Digital Service Act témoignent de cette nouvelle volonté d’intervention directe de l’UE sur les technologies/l’infrastructure et de sa légitimation à travers des biais sécuritaires et économiques, mais qui peuvent aussi avoir des conséquences dommageables sur l’interopérabilité des systèmes et la sécurité des internautes.

Nous nous joignons donc à Mozilla et à l’Electronic Frontier Foundation pour alerter sur les dangers introduits par l’article 45.2 de la proposition de révision du règlement eIDAS.
Nous appelons en conséquence le gouvernement et les élus français à demander la modification ou le retrait de l’article 45.2 afin que les navigateurs web restent en mesure de protéger les internautes en appliquant des standards élevés en termes de sécurité et de transparence.


Rétablir les connexions après une coupure d’Internet

Fri, 06 May 2022 12:32:39 +0000 - (source)

Comme nous l’avons expliqué dans notre premier article, Internet est une collection de connexions entre des ordinateurs. Alors, quand ces connexions cassent, la première chose évidente à faire est donc de réparer des câbles, d’en tirer de nouveaux ! Mais comment faire ?

Avant toute chose, il faut considérer quel est votre domaine d’intervention, et la raison de la coupure (pour ça on vous renvoie à notre article précédent). Si c’est une coupure logicielle, une censure, il est possible de la contourner en utilisant un VPN, ou de tenter une connexion via le logiciel Tor. Si vous savez faire, vous pouvez même mettre en place un serveur VPN.

Mais parfois ce sont les câbles qui sont endommagés, comme l’actualité récente nous le rappelle. Et, même si ces câbles sont toujours présents, il se peut que des militant·es ou des résistant·es aient décidé de s’attaquer à des infrastructures contrôlées par le gouvernement, auquel cas il ne faut pas forcément s’attendre à ce que la connexion soit rétablie rapidement.

Alors, en fonction de votre contexte, il faudra décider quelle serait la marche à suivre la plus utile : vous reconnecter à l’Internet mondial directement, ou plutôt créer un réseau de communication Internet local. Créer un réseau de communication local, sous le contrôle de votre communauté, peut être réalisé avant la coupure, pour l’anticiper, et il pourra être raccordé dans un second temps à l’Internet global, si vous vous trouvez dans un contexte ne le permettant pas dans l’immédiat.

Nous allons donc étudier comment nous ferions pour créer un réseau Internet local sous notre contrôle dans un premier temps. Puis nous verrons comment nous raccorder au reste de l’Internet. Au passage, nous verrons des solutions qui nous permettent de nous reconnecter à l’Internet global en urgence, sans avoir besoin de créer un nouveau réseau de toutes pièces.

Pour créer un réseau, le plus utile serait d’interconnecter votre quartier, votre village ou votre immeuble. Vu qu’il est rare d’avoir accès à de la fibre optique et que trouver une quantité de câbles suffisante sera compliqué dans l’urgence, il s’agit plutôt ici d’une tactique à moyen-long terme. Évidemment, faire des stocks au cas où n’est peut-être pas une mauvaise idée.

L’Internet n’étant qu’un assemblage de réseaux (Inter-Net), construire votre partie d’Internet n’est pas si difficile : vous en avez déjà un bout chez vous aujourd’hui. En cas de coupure, vous pouvez jeter un câble par la fenêtre, le brancher chez votre voisin·e, et vous voilà reparti·e.

Une solution possible serait d’aménager des points d’accès dans votre quartier, reliés entre eux par des câbles Ethernet, eux-mêmes reliés par des routeurs, le tout complété par des bornes Wi-Fi et des serveurs pour héberger des services de stockage et d’échange de données. Un bon exemple est la PirateBox, un système que n’importe quel ordinateur peut héberger et qui contient un forum, un tchat en temps réel et un service d’échange de fichiers.

C’est cette solution qui a été mise en place à Cuba, où l’Internet a été posé dans les villes par les habitant·es. Avec des switchs Ethernet, de vieux PCs et des câbles Ethernet courant d’une maison à une autre, les cubain·es ont installé ce qu’iels appelaient le Street-Net.

Et en Europe ?

L’AMAP des Internets

Pour des raisons de rentabilité et à cause de choix de politique industrielle, les quatre gros Fournisseurs d’Accès Internet français laissent de côté certaines personnes, notamment les personnes dont le droit au logement est bafoué. C’est là que les FAI associatifs jouent un rôle essentiel. Les FAI associatifs, en France comme ailleurs dans le monde, fonctionnent sans une logique de profit, mais en répondant aux besoins de leurs adhérent·es. Pour la petite histoire, le plus ancien fournisseur d’accès à Internet en France qui soit encore en activité aujourd’hui est un FAI associatif fondé en 1992 : il s’agit de French Data Network.

En Allemagne, ou en Catalogne, des réseaux similaires existent ; Guifi et Freifunk, qui permettent s’assurer une communication numérique sur des centaines de milliers de foyers même en cas de panne globale d’internet. Un article, écrit par un Jean-Noël Montagné sur son blog en dresse le portrait.

Nous avons rencontré Sacha, membre d’Aquilenet, un Fournisseur d’Accès Internet associatif bordelais. Aquilenet fait partie d’une fédération de FAI, dont FDN fait également partie, ce qui leur permet de partager une partie de leur infrastructure technique. Si un FAI a des soucis, la solidarité entre les membres de la fédération lui permettra de continuer à exister. C’est en contraste total avec la compétition entre FAI commerciaux. Les AMAP (Associations pour le Maintien d’une Agriculture Paysanne) fonctionnent également sur une principe de coopération entre fournisseurs et consommateurs, d’où ce rapprochement.

L’auto-organisation commune des FAI associatifs, des militant·es du logement et des personnes dont les droits au logement ne sont pas respectés, leur permet d’être en ligne malgré tout. Eux vivent au quotidien la coupure que nous redoutons tou·tes, voyons comment iels font face à cette situation.

Logo Aquilnet

Tu dis avoir installé l’Internet dans un squat, est-ce que tu pourrais nous dire pourquoi est-ce que des FAI classiques ne pouvaient pas le faire ?
Les FAI classiques peuvent le faire, mais leur procédure ne le permet pas, notamment sur les aspects bancaires. Quand tu es en squat, produire un RIB n’est pas forcément évident. D’autre part beaucoup de FAI imposent un engagement sur une durée assez longue pour qu’ils puissent amortir des frais de mise en service qui sont cachés. Et dans les raisons d’annulation de cet engagement prévues par les FAI il n’y a pas la case « mon squat s’est fait expulser »…

Comment avez-vous fait, techniquement ?
Comme notre FAI associatif fabrique des bouts d’Internet nous avons plusieurs solutions. On peut par exemple demander à des voisin·es s’iels veulent partager leur accès, tout en leur garantissant qu’iels ne prennent aucun risque : le squat passera par un VPN, ce ne sera jamais leur adresse IP qui sera vue. Avec cette technique, on a pu fournir de l’Internet avec un relais wifi directionnel et un « partageur » situé à quelques kilomètres… Pour un autre squat, c’est un particulier qui a payé la fibre pour un an : nous avons pris l’abonnement et fait la desserte locale avec un équipement à nous, pour utiliser une adresse IP de Aquilenet qui nous garantit d’être les premiers avertis en cas de recours judiciaire. Et nous en avons profité pour lancer des ateliers de formation numérique aux exilé·es.

Comment s’est faite l’installation, d’un point de vue organisationnel ?
Souvent nous avons des personnes des squats qui nous sollicitent. Cela nous fait un contact avec qui on peut avancer. Nous savons que le matériel que nous installons peut disparaître en cas d’expulsion, généralement nos contacts le mettent de côté au moment voulu. Sinon nous avons des bénévoles qui participent à la mise en œuvre technique, nous affichons en gros sur un des murs du squat le mot de passe du wifi et c’est tout, nous les laissons en avoir l’usage qu’iels souhaitent.

Est-ce qu’il y a eu des soucis que vous n’avez pas réussi à résoudre ?
Je cherche… mais je ne vois pas. Le plus dur dans le cas des partageurs c’est la peur, souvent liée à la méconnaissance. Mais s’iels sont prêts à écouter nos arguments, on arrive à trouver un terrain d’entente et cela tisse des liens entre squatteureuses et partageureuses. Enfin ce sur quoi on n’arrive pas à avancer, c’est que ces squats soient pérennisés, que l’on traite et accueille décemment des demandeureuses de logement. Nous nous rendons compte qu’après l’eau et l’électricité, Internet est important pour aider à s’organiser dans ces situations difficiles.

Penses-tu que, en dehors d’un squat, ce genre d’installation serait possible, et pourquoi ?
On le fait ailleurs, c’est notre activité de FAI associatif : on est une sorte d’AMAP de l’Internet. On fait de l’hébergement associatif, on a un centre d’hébergement où tu peux venir avec ton ordi et le laisser branché sur Internet, on fournit du VPN, de l’ADSL et maintenant la Fibre. Du coup on aide pas mal de petites structures autour du numérique.

Il est donc possible avec un peu de connaissances techniques, peu de moyens et surtout l’entraide en groupe, de monter une infrastructure Internet utile et fonctionnelle. Merci à Sacha d’avoir répondu à nos questions !

Internet, sans câbles et sans électricité

Vous remarquerez que se faire un petit net est donc possible. Mais évidemment, cela demande de l’électricité. Dans les cas où les catastrophes naturelles font tomber le réseau électrique, c’est intéressant de voir comment faire tourner le nouveau réseau sur des sources d’énergie résilientes. Quitte à reconstruire le réseau, autant lui donner une meilleure résilience…

C’est notamment ce sur quoi travaille Télécoms sans frontière, avec qui nous avons également discuté pour écrire cet article. Vous pouvez lire les articles qu’iels écrivent pour rendre compte de leurs missions et vous inspirer par exemple de leurs actions à Haïti, après un tremblement de terre.

Un moyen sur lequel nous pouvons compter dans certains cas, c’est les connexions par satellite. La connexion à Internet via satellite existe depuis longtemps, mais jusqu’à récemment les prix et les performances de ces systèmes les rendaient peu accessibles au grand public. Et bien que les nouveaux systèmes du style Starlink ne soient pas encore totalement au point, ça peut être une solution pour relier son réseau local au réseau mondial. Si vous avez une telle connexion, n’hésitez pas à la partager avec votre communauté.

À votre échelle, vous pouvez déjà construire vous-même une Piratebox solaire en suivant ce guide. Ou même faire un site web solaire, dans une démarche plus low-tech.

Les énergies renouvelables devraient nous assurer une alimentation résiliente pour nos ordinateurs. Mais pour ce qui est de l’interconnexion entre notre ordinateur et le reste de l’Internet, il reste le problème des câbles. Et le gros souci des câbles, eh bien ce sont les câbles eux-mêmes. Un câble, ça coûte cher, ça pèse son poids, c’est difficile à déplacer et à entretenir. La solution évidente à cela est de ne pas utiliser de câbles. Alors utilisons des ondes radio !

Les réseaux « mesh »

Quand le réseau câblé traditionnel fait faillite, des réseaux ad-hoc passant par ondes radio peuvent prendre le relais pour maintenir un minimum vital de communication. Ils peuvent également exister en parallèle. Les réseaux mesh, de l’anglais mesh – filet/maille -, sont, comme ces derniers, des réseaux tissés de nœuds, en proximité les uns des autres. Utiliser des réseaux radio est efficace, plus facile à déployer et plus difficile à démanteler. C’est sur cette technologie que se base un FAI associatif de New York, NYC Mesh.

Utiliser de la radio nous permet d’avoir une grande portée et donc de couvrir de larges zones sans avoir besoin de relier individuellement chaque personne voulant se connecter à un câble. Et la radio nous permet aussi de traverser des endroits qui seraient sinon difficilement franchissables par câble.

Quand on parle de radio, on peut utiliser autant de la FM traditionnelle, dite radio Très et Ultra Haute Fréquence, que de la Wi-Fi. Mais il existe aussi d’autres types d’ondes radio, comme le LoRaWAN, acronyme de long-range wide-area network (« réseau étendu à longue portée »). Et à plus petite portée le Bluetooth peut faire l’affaire. À chaque fois, c’est un compromis à trouver entre la portée et la quantité de données que l’on peut transmettre.

Un des avantage des réseaux mesh c’est qu’ils peuvent être déployés à petite échelle, avec peu de moyens ! Donc si vous vous retrouvez coupé·e d’Internet et qu’il n’existe pas de réseau sous le contrôle de votre communauté, vous pouvez utiliser votre smartphone pour en créer un rapidement.

Un exemple de communication basé sur un réseau mesh est l’application Firechat, qui a été utilisée à travers le monde, par exemple à Hong Kong en 2014. Mais le développeur n’avait pas prévu son application pour de tels cas d’usage, et après avoir averti ses utilisateurices que leur sécurité n’était pas garantie, l’application ne reçoit désormais plus de mises à jour.

Heureusement, entre-temps, la voie ouverte par Firechat a été suivie de façon plus sérieuse par le projet Briar. Disponible pour le moment sur Android et en bêta pour d’autres plateformes, Briar intègre plusieurs canaux de communications pour être « résilitant » face à la censure, aux coupures, mais aussi à la surveillance.

Selon ses créateurices ;

Briar est une application de messagerie créée pour les activistes, journalistes et toute personne désirant une manière de communiquer qui soit sécurisée, simple et robuste. A contrario des applications classiques, Briar n’a pas besoin de serveurs centralisés – les messages sont synchronisés directement en pair à pair. Si l’Internet est coupé, Briar se synchronise via Bluetooth, Wi-Fi, permettant à l’information de circuler en temps en crise. Si l’Internet est disponible, Briar peut se synchroniser via le réseau Tor, afin de protéger les utilisateurices et leurs relations de la surveillance.

Source

Briar intègre des blogs, des forums et de la messagerie instantanée, le tout dans une seule application.

Avec le LoRa, un service comme Meshtastic vous permet de créer des groupes de discussion, et d’avoir une très haute portée sans avoir besoin d’Internet, là où Briar nécessite une densité élevée d’utilisateurices pour bien fonctionner. L’idéal serait de combiner les deux.

Vous pourriez aussi simplement créer un réseau Wi-Fi ouvert, sans mot de passe, et rediriger toutes les connexions vers un site web, hébergé localement. Et ensuite relier cet ordinateur au reste du réseau via une connexion satellite.

Lors du Printemps Arabe, un réseau de hackeureuses nommé Télécomix s’est organisé en solidarité avec les révolutionnaires pour leur permettre de rester connectés à l’Internet, épisode raconté dans un article de Médiapart. Ils ont notamment utilisé des ponts radio.

Telecomix.svg
Telecomix Logo, CC0, Link

C’est un peu l’esprit du Mycelium Mesh Project, projet d’anarchistes étatsuniens, qui visent à pouvoir déployer rapidement des nœuds de communication sur les zones d’insurrection populaire, grâce à des réseaux mesh.

L’Internet des services

Une fois que vous avez remis en route le réseau physique, il faut maintenant qu’il y ait des sites web et des services auxquels accéder. Une chance pour nous, c’est que beaucoup d’efforts ont été faits ces derniers temps pour rendre cela plus facile.

Sans attendre une coupure, pour peu que vous sachiez héberger des sites web, n’hésitez pas à faire des copies miroir de sites web que vous visitez souvent, ou que vous considérez d’importance. C’est un peu ce que fait https://web.archive.org, mais plus on a de copies, mieux on est protégé. On se souvient des milliers de miroirs de The Pirate Bay qui ont émergés spontanément lors des tentatives de censure, ce qui fait que le site est toujours en ligne aujourd’hui.

Si en temps normal, vous utilisez les services des GAFAMs, style Google Drive, sachez qu’il existe des alternatives comme Nextcloud. Quand on fait son propre Internet, on peut installer des service comme Nextcloud et donc avoir notre « Cloud » hébergé par nos soins, ou le confier à notre communauté. Si vous avez un vieux PC, vous pouvez installer Yunohost dessus et héberger votre site web, ainsi qu’une pléthore de services. Le Collectif des Hébergeurs Alternatifs Transparents Ouverts Neutres et Solidaires propose aussi des services en accès libre, pour vous aider à vous dé-Googliser.

Est-ce possible de construire un internet résilient ?

Oui ! Évidemment, si nous vous en parlons c’est parce que ça existe. Est-ce que c’est possible à grande échelle ? Tout dépend de nos besoins, de notre volonté. Mais quand c’est nécessaire, comme à Cuba, c’est possible, et ça se fait. Sachez qu’en France aussi, c’est déjà le cas dans certains endroits. Par exemple, le 19 novembre 2017, quelques bénévoles d’Illyse, un FAI associatif, se sont rendus du côté de Vaugneray pour apporter une connexion Internet en « zone blanche », grâce à un lien établi par des antennes Wi-Fi haute portée.

Maintenant, tout ceci est bien beau, mais ça demande des savoir-faire, ou d’être en contact avec des personnes sachant faire. Alors, ne faudrait-il pas aussi savoir comment faire sans ? Sans Internet ? Ou comment former des groupes pouvant s’organiser sans ? Ce sera le sujet du troisième article. Aidez-nous à l’écrire en nous rejoignant sur nos groupes de discussions.


Le Conseil d’État sauve la reconnaissance faciale du fichier TAJ

Tue, 03 May 2022 11:00:38 +0000 - (source)

Le 26 avril 2022, le Conseil d’État a rejeté nos critiques contre l’utilisation massive de la reconnaissance faciale par la police dans le TAJ (« traitement des antécédents judiciaires »). Il s’agit d’une défaite cinglante, qui affirme encore davantage le Conseil d’État dans son rôle de défenseur de la surveillance de masse, sans plus aucune considération pour le respect des droits des personnes. Nous avons l’habitude de perdre et de ne pas nous résigner : trouvons dans cette défaite les futures pistes de notre lutte.

Surveillance massive et illégale

Il y a deux ans, nous attaquions le décret de 2012 qui avait créé le fichier TAJ en fusionnant le STIC, fichier de police, et le JUDEX, fichier de gendarmerie, relatifs aux enquêtes judiciaires et administratives. Il contient des informations à la fois sur les personnes mises en cause (peu importe qu’elles aient été condamnées ou non), sur les témoins et sur les victimes impliquées dans les enquêtes. Le TAJ est aujourd’hui tentaculaire : 19 millions de fiches sont présentes dans ce méga fichier (chiffres de 2018, dont on redoute qu’ils n’aient pu qu’augmenter depuis).

Surtout, et c’était l’objet de notre recours devant le Conseil d’État, le décret TAJ autorise les policiers à utiliser des logiciels de reconnaissance faciale pour consulter sa base de données. Les policiers peuvent automatiquement comparer une image captée par une caméra de surveillance, un téléphone ou sur Internet aux 8 millions de photographies présentes sur les fiches des personnes mises en cause (chiffres de 2018). Cette comparaison a lieu dans le cadre d’enquêtes comme de simples contrôles d’identité, comme l’expliquait le ministre de l’intérieur en 2021.

Introduit dans le droit en toute discrétion il y a près de 10 ans, à une époque où les outils de reconnaissance faciale n’étaient qu’en gestation, le recours à cette technologie est aujourd’hui généralisé. La police a utilisé le TAJ pour faire de la reconnaissance faciale 375 000 fois en 2019, soit plus de 1 000 traitements par jour partout en France (on en parlait notamment dans notre article récapitulatif sur l’état de la reconnaissance faciale en France, ici). En 2020, ce chiffre montait à 1200 interrogations quotidiennes du TAJ par reconnaissance faciale.

L’utilisation massive de cette technologie est pourtant interdite en application des règles du droit des données personnelles. Seules certaines situations exceptionnelles pourraient autoriser un tel traitement et, même dans ces situations exceptionnelles, la police ne pourrait y recourir qu’en cas de « nécessité absolue » – lorsqu’il n’existe absolument aucun autre moyen de poursuivre l’enquête. Nous avons expliqué au Conseil d’État qu’aucun de ces critères n’était jamais rempli en pratique. Rien ne permet de justifier des moyens aussi intrusifs et dangereux.

La fuite en avant du Conseil d’État

Et pourtant, le Conseil d’État a rejeté nos arguments. Il n’a pas nié les innombrables abus que nous lui pointions, mais nous a invité à les soumettre au cas par cas aux autorités (juges et CNIL) chargées d’en vérifier la légalité, plutôt qu’à lui. Comme si le Conseil d’État pouvait se contenter d’examiner la légalité du TAJ de façon abstraite sans se soucier de sa mise en œuvre pratique. Pourtant, justement, en pratique, le Conseil d’État sait très bien que les abus du TAJ sont si nombreux que la CNIL n’aura jamais les moyens de les détecter et de les stopper un à un. Il lui est matériellement impossible de contrôler a posteriori 1 000 opérations policières par jour. Présenter le contrôle de la CNIL et des juges comme une garantie suffisante pour pallier ces abus est une échappatoire malhonnête pour permettre le maintien de ces pratiques. C’est le propre de la surveillance de masse que d’échapper à tout encadrement crédible, et c’est cette évidence que le Conseil d’État a niée.

Si le Conseil d’État a refusé de prendre en compte dans sa décision les abus concrets du TAJ, il a quand même cherché à justifier la « nécessité absolue » de la reconnaissance faciale. Sa démonstration est si terrible que nous la restituons telle quelle : « eu égard au nombre de personnes mises en cause enregistrées dans [le TAJ], qui s’élève à plusieurs millions, il est matériellement impossible aux agents compétents de procéder manuellement à une telle comparaison » d’images, dont l’automatisation ne peut dès lors que « s’avérer absolument nécessaire à la recherche des auteurs d’infractions et à la prévention des atteintes à l’ordre public ». Autrement dit, le recours à des logiciels d’analyse d’images automatisée serait rendu nécessaire car le TAJ, abandonné à la police depuis 10 ans et sans aucun contrôle externe, est devenu si tentaculaire et absurde qu’il ne peut plus être exploité à son plein potentiel par des humains. Une surveillance de masse (le fichage généralisé) rend nécessaire une autre surveillance de masse (la reconnaissance faciale généralisée).

Un tel raisonnement circulaire permet au Conseil d’État de se détacher de toute considération quant au respect des libertés fondamentales. À aucun moment il ne saisit l’opportunité d’évaluer sérieusement la seule utilisation connue de la reconnaissance faciale en France, pourtant dénoncée depuis plusieurs années partout en Europe pour les graves dangers qu’elle fait peser sur nos libertés. Au contraire, il sort de son rôle pour n’analyser le fichier que du point de vue de sa potentielle utilité pour la police et ne pas corriger les dégâts causés depuis 10 ans. En abandonnant son rôle de gardien des libertés, le Conseil d’État valide et inscrit dans le marbre la croyance selon laquelle il faut toujours plus en connaître sur la population, considérée comme étant suspecte par défaut.

Prochaine étape de notre lutte

Ne nous décourageons pas et, pour préparer la suite de notre lutte, cherchons les leçons à tirer de cette défaite. Premièrement, il semble risqué d’attaquer la reconnaissance faciale en tant que principe théorique sans aussi s’attaquer à ses réalisations concrètes, à défaut de quoi nos adversaires risquent d’esquiver le débat tel que se l’est ici permis le Conseil d’État.

Deuxièmement, il semble risqué d’attaquer la reconnaissance faciale sans s’attaquer en même temps à l’ensemble du système dont elle fait partie et qui la justifie : le fichage généralisé, dont la démesure a servi de prétexte au Conseil d’État, et la vidéosurveillance qui inonde nos villes et dont la démesure, tout autant scandaleuse, sert aussi de prétexte au déploiement de logiciels de détection automatisée sur les caméras déjà installées (voir notre analyse politique de la VSA).

Notre offensive va donc se poursuivre, affinée et ajustée par ces deux leçons. Cette offensive est d’autant plus urgente que l’Union européenne est en passe d’adopter un règlement sur l’IA qui viendrait légitimer les technologies de surveillances biométriques aujourd’hui interdites par le RGPD (revoir notre analyse) et que la France, actuellement présidente du Conseil de l’UE, fait tout pour défendre son industrie et son idéologie technopolicières.

Nous fêterons bientôt les 4 ans de l’entrée en application du RGPD et des règles européennes de protection des données personnelles, le 25 mai. Si ces règles ont été presque inutiles pour nous protéger de la surveillance des GAFAM, elles ont entièrement failli à nous protéger de la surveillance d’État. Peut-être devrions profiter de cet anniversaire pour essayer de renverser la situation.


Survivre à une coupure d’Internet

Thu, 21 Apr 2022 16:31:01 +0000 - (source)

Qu’est ce qu’une coupure d’Internet ?

Nous commençons aujourd’hui une nouvelle série d’articles qui explorent les perturbations du réseau Internet. Alors que l’Internet est de plus en plus régulé, il se retrouve aussi de plus en plus victime de coupures selon une étude de 2011. C’est une tendance qui s’accroît, selon un rapport très complet d’Access Now. Ces coupures peuvent avoir différentes raisons, allant d’une faille technique à une volonté délibérée de la part des États d’empêcher les habitant·es de communiquer, notamment lors de révoltes ou de périodes d’instabilité politique.

Bien que la légende veuille qu’il ait été conçu pour survivre à un hiver atomique dans son ensemble, localement, l’accès à Internet peut être coupé. Le réseau Internet étant construit autour d’un assemblage de réseaux autonomes mais inter-connectés, il se pourrait qu’une partie de ces sous-réseaux tombent, sans que les autres ne soient sévèrement impactés. L’information pourrait continuer à circuler dans le reste du réseau.

Parce qu’il est un outil souvent central dans la contestation d’un pouvoir illégitime, pour venir en aide aux victimes de catastrophes naturelles ou humaines, il est vital d’étudier comment faire pour maintenir les connexions et ainsi pouvoir disséminer des informations. Dans plus de 140 cas, comme nous l’apprend la page 6 du rapport de Access Now, les gouvernements ont justifié leurs coupures par “la Sécurité Nationale” ou le contrôle des “fausses informations”.

Il est souvent évident pour les observateurs qu’en réalité les autorités peuvent redouter la  contestation, et donc coupent l’accès à Internet pour limiter la capacité du peuple à s’organiser et à s’exprimer, que ce soit en ligne ou non. Les données révèlent que, quand les autorités parlent de “fausse information”, rumeurs ou discours de haine, ils sont en réalité contraints d’agir en réaction à des manifestations, des élections, des violences sociales ou des activités militantes, entre autres. En utilisant ces menaces comme excuse, il semble que les gouvernements utilisent les coupures comme moyen de contrôler le débat politique et le flux d’informations.

Access now, The #KEEPITON Report, 2018

Cela démontre sans équivoque l’importance d’un tel outil. Nous allons donc commencer par étudier (dans un premier article) quels sont les différents types de coupures. Puis, dans un second temps, nous verrons comment contourner les censures et rétablir les connexions. Enfin, quand rétablir une connexion n’est pas possible, ou pas souhaitable, nous verrons comment s’organiser sans internet, voire sans ordinateurs.

Qui coupe internet ?

Il faut savoir avant toutes choses qu’Internet à une existence physique, à travers différents types d’infrastructures.

Autant les câbles sont importants, autant il existe aussi les entrepôts de données, les opérateurs transnationaux, et des opérateurs locaux, qui ont tous un rôle à jouer. C’est à travers ce mille-feuilles d’acteurs que nos connexions se font, et plus l’opérateur va être en haut de la hiérarchie des interconnexions, plus il aura de pouvoir sur le réseau.

Parlons donc coupure. Une coupure, c’est une interruption dans votre connexion au réseau Internet. Cette interruption peut être totale – rien ne passe – ou bien partielle – vous arrivez à vous connecter à certaines parties, mais pas à d’autres. Ou bien la connexion est instable, et empêche une utilisation fluide. La réduction de la vitesse de connexion peut parfois produire des effets comparables à une coupure.

Il existe plusieurs moyens de couper la connexion à Internet. Mais en réalité, il n’existe pas une seule connexion, mais des interconnexions, et de nombreuses manières de les réaliser. Et les coupures sont tout aussi variées. Elles peuvent être longues, sur plusieurs mois, comme assez courtes. Elles peuvent avoir plus ou moins de régularité.

Étudions donc quelles pourraient être les causes de ces coupures.

Le climat

Internet, c’est avant tout une interconnexion entre des ordinateurs à l’échelle du monde. Ces interconnexions se font principalement par des câbles, et à travers d’autres ordinateurs, qui sont sensibles au climat. Un incendie peut par exemple sérieusement compromettre le réseau. La crise climatique en cours, qui provoque des inondations, des glissements de terrain, et autant de choses qui peuvent compromettre nos constructions, est une menace extrêmement importante. La Chine, pays où les paiements en ligne sont monnaie courante, a dû se confronter à cette situation lors d’inondations récentes.

Les animaux

Nos infrastructures ne sont pas sensibles qu’au climat, elles le sont aussi aux animaux avec qui nous partageons la terre et la mer. Ainsi, comme les rongeurs qui peuvent grignoter des câbles, les requins peuvent attaquer le réseau, comme ça a été le cas au large du Việt Nam.

“Principal Ocean Cables in 1917” by Eric Fischer is licensed with CC BY 2.0.

(Si vous voulez voir à quoi ressemble la pose des câbles sous-marins aujourd’hui, cette vidéo vous donne une idée.)

Les humains

Nous autres humains avons aussi une certaine capacité à couper le réseau, que ça soit volontairement, comme par exemple lors de vols de câble, mais aussi parfois sans le vouloir : une dame en Géorgie a ainsi coupé l’accès d’un pays entier en cherchant à recycler du métal dans le sol. Parfois, on ne sait même pas vraiment ce qui a causé une cassure

Les industriels

Une mauvaise gestion des infrastructures peut amener à des coupures. On pourrait parler de la façon dont est géré le déploiement de la fibre, fruit d’une politique économique mortifère, mais French Data Network le fera mieux que nous. Même si le réseau est là, pas sûr qu’il soit utilisable, faute d’entretien, comme à Brooklyn, USA. On se retrouve alors avec des coupures, ou une absence de raccordement à des moments critiques. On peut vous le dire, ça nous est arrivé récemment au Garage. Quand nous avons emménagé dans nos nouveaux locaux (c’est toujours « le Garage » !), notre opérateur a pris plusieurs semaines à nous raccorder. Et une fois que c’était fait, on a subi plusieurs coupures dues à la sous-traitance : les techniciens d’autres opérateurs, trop peu payés pour faire bien leur travail, ont coupé nos fibres pour installer les leurs.

Les gouvernements

Les exemples récents de coupures par des gouvernements ne manquent malheureusement pas. Nous pourrions en faire la liste ici, mais laissons Wikipédia s’en charger. Quelques exemples tout de même : au Myanmar, en Égypte, en Inde, à Cuba, à Cuba encore, en Éthiopie, au Belarus… Il existe aussi un risque d’attaque par un gouvernement hostile, notamment comme les États-Unis en Syrie. Aidés, entre autres, par des entreprises françaises. Les États autour du globe s’équipent de moyens leur permettant de couper, filtrer et censurer Internet. N’oublions pas que le gouvernement français n’est pas un ami d’Internet, comme nous avons pu en prendre acte en 2011. L’usage des coupures de réseau pour faire face à la contestation n’est plus à craindre : il est là. De là à se dire que ces techniques pourraient se généraliser à travers le monde, il n’y a qu’un pas.

Le temps qui passe

Quand toute la bonne volonté de la terre et des humains n’y suffit pas, le temps se chargera de dégrader et de mettre à terre toutes les fibres et les tours téléphoniques. Si vous habitez dans une région du monde où l’investissement dans les réseaux des télécoms est marqué par des politiques racistes, ou une forte ségrégation sociale, le temps entre deux rénovations peut suffire à vous exclure du réseau. N’oublions pas que seulement la moitié de la population mondiale a accès à Internet, et que cela reste très cher dans un certain nombre de régions du monde.

“time” by Katerina Atha is licensed with CC BY-NC-ND 2.0.

Ce tour d’horizon nous permet de voir ce à quoi nous avons affaire. Réseau omniprésent et d’une importance critique, internet n’en n’est pas moins fragile et fluctuant.

Il convient que nous nous attardions un peu plus sur les capacités des institutions à couper internet. C’est sur elles que nous allons diriger notre action, vu la difficulté pour nous à prévenir les catastrophes venues d’ailleurs.

C’est principalement à elles que nous aurons à faire face, dans une forme capitalistique ou étatique, à moins que vous ne songiez sérieusement à vous lancer dans la chasse aux requins. (C’est une mauvaise idée.)

Quant au temps qui passe, ou au manque d’investissement dans les infrastructure, ces sujets ont déjà été traités par d’autres.

“midnight crash” by pascal.charest is licensed under CC BY-NC-ND 2.0

Quels genres de coupure?

Voyons techniquement comment s’y prendre pour interrompre certains flux internet.

Le filtrage sur le nom de domaine

En France, la censure de l’Internet est malheureusement monnaie courante. Depuis le début des années 2000, avec notamment les lois LOPPSI et HADOPI, que nous avons combattues, les fournisseurs d’accès à internet (FAI) se trouvent obligés de bloquer des sites, sur demande d’un juge ou de la police. Cette obligation a d’abord été justifiée par le blocage nécessaire des contenus pédopornographiques, et a été utilisée la première fois pour censurer des propos négationnistes, mais a aussi été utilisée pour supprimer des positions et groupes politiques. Son évolution dans le temps est bien documentée. Et dernièrement, la lutte reprend autour de l’accès au porno.

Déjà en 2008, nous avions publié une note sur le blocage des noms de domaine, via le protocole DNS.

Avec cette technique, ce n’est pas le contenu illégal qui est filtré, mais l’intégralité du domaine internet qui l’héberge. […] Les opérations nécessaires au blocage par DNS sont relativement simples, bien que la complexité et la maintenance engendrées, et donc le coût global, dépendent là aussi des configurations actuelles des opérateurs. L’efficacité de cette technique est très limitée. Il suffit d’une manipulation triviale sur l’ordinateur de l’utilisateur pour définitivement passer outre.

La Quadrature Du Net, 2008

En effet, il suffit d’utiliser un autre système de nom de domaine que celui fourni par défaut par votre FAI pour contourner la censure. La procédure est relativement simple, et expliquée dans un article de Numerama. Nous remercions la French Data Network, qui héberge des serveurs DNS accessibles à tous et sans censure ou filtrage.

Censure de services

Parfois, il ne s’agit pas juste de sites web qui sont bloqués, mais aussi de services, comme des applications de messagerie. Ça a été le cas en Russie, où un tribunal a demandé le blocage de Telegram. Vu la façon dont Telegram se connecte à ses serveurs (utilisation des serveurs de Google, et donc de leurs adresses IP), le blocage a eu des conséquences inattendues.

« Alors que le nombre total d’IP bloquées a été fluctuant (bien que majoritairement en hausse) depuis que la Russie a modifié son approche, nous observons quelque chose comme 16 millions d’adresses bloquées en ce moment. Les services concernés incluent Viber, Office 365, les éléments du PlayStation Network, et beaucoup plus. »

Source

En général, les services trouvent des moyens de contourner cette censure, par exemple en utilisant des IP partagées ou par utilisation de VPN notamment. Dans ce cas, la censure a eu pour effet de bloquer plein de services qui n’avaient rien à voir. Par ailleurs, le ban a été levé en 2020 visiblement parce que c’était un bel échec.

Ralentissement de la connexion

Imaginez que vous vous connectiez sur un réseau social pour prendre des nouvelles de la manifestation qui doit avoir lieu dans les prochaines heures. Mais la page semble prendre beaucoup de temps à charger, et quand la page s’affiche, certains éléments ont pris trop de temps à venir et leur chargement a été annulé. En voulant envoyer un message à vos ami·es, vous vous rendez compte que le message prend plus d’une heure à arriver ; difficile de se retrouver dans la foule dans ces conditions.

Ce genre de restrictions est beaucoup plus difficile à répertorier, car plus sournois. Il permet de restreindre l’accès sans toutefois le couper. Il se peut que ce ralentissement ne soit même pas reconnu comme intentionnel, notamment dans les endroits où le service Internet n’est pas très stable de base. Attention, tout ralentissement n’est pas dû à une censure ; on a un bel exemple avec les effets de bords de la panne de Facebook qui a engendré d’autres pannes chez les opérateurs téléphoniques.

Coupure du service 3G/4G

Pour beaucoup d’humains dans le monde, la connexion à Internet se fait d’abord par le service mobile, via des smartphones. Et il apparaît que c’est souvent ce moyen de connexion qui est ciblé, car il est principalement utilisé par les particuliers, alors que les entreprises et services d’État utilisent une connexion filaire. Le rapport d’Access Now cité en début d’article offre un panorama édifiant sur la question.

Censure de protocoles

Parfois, la surveillance et la censure vont de pair. Les protocoles que nous utilisons pour sécuriser notre connexion, comme HTTPS, permettent d’échapper à certaines formes de censure et de surveillance. Alors, il paraît logique de bloquer ces protocoles, comme c’est le cas en Chine, où le gouvernement utilise le Grand Firewall pour bloquer les versions les plus sécurisées de HTTPS. C’est un jeu du chat et de la souris, parce que des méthodes de contournement peuvent être mises en place. Cela dit, pour la majorité des gens, ces blocages peuvent être difficiles à contourner.

Le blocage des VPN est également possible, et courant.

BGP

BGP est le nom du protocole qui permet à Internet de fonctionner en tant que réseau de réseaux. Si l’on regarde une carte de l’Internet, comme celle-ci :

Carte de l'Internet : on dirait une barbe à papa de plusieurs couleurs, comme une toile d'araignée géante.
Carte de l’Internet, via http://internet-map.net

On peut voir les différentes couleurs, qui représentent différents réseaux. Entre ces réseaux, les connexions se font au moyen de BGP, qui est en quelque sorte la glue qui permet à l’Internet d’exister.

Hé bien, cette glue, elle peut être dissoute. Ça peut être suite à une erreur, comme au Pakistan où en 2008 un opérateur a annoncé à l’Internet tout entier que c’était chez lui qu’on pouvait accéder à Youtube le plus rapidement. Youtube a été inaccessible dans le monde entier pendant un petit moment à cause de ça. Mais parfois c’est très intentionnel, comme lors du début de l’insurrection en Syrie. Vous pouvez voir quand BGP subit des interruptions sur Twitter d’ailleurs. Récemment, Facebook a eu un souci similaire.

Des chercheurs ont par ailleurs expliqué qu’il serait possible de casser totalement et de façon grave l’Internet en exploitant des failles du protocole. Bien que compliqué à faire, ça n’en est pas moins possible. Si ça peut vous rassurer, il existe malgré tout des systèmes de surveillance et de contrôle pour éviter que le protocole ne soit abusé, ce qui rend ce genre d’attaques peu susceptibles d’aboutir.

Perquisition

Quand le blocage au niveau du réseau ne suffit pas, il reste encore l’option d’attaquer directement le serveur sur lequel est hébergé le site web. On pense aux attaques contre The Pirate Bay. C’est une  pratique qui est toujours en cours, bien que moins efficace que par le passé. Cette perte d’efficacité est notamment due aux architectures distribuées, type “cloud”, où les sites web sont répartis sur une multitude de serveurs à travers le monde. Au lieu d’être disponibles sur un seul serveur, ils vont profiter d’une redondance globale, permettant à leurs bases de données ou de ressources de ne pas être toutes au même endroit.

Maintenant qu’on voit un peu quelles sont les différentes menaces possibles, je vous invite à lire notre prochaine article, qui explorera comment contourner ces cassures, rétablir des liens, et prendre des nouvelles de la liberté à l’autre bout du fil.

Vous pouvez nous suivre en vous rendant sur la page Nous !

“network cables” by pascal.charest is licensed under CC BY-NC-ND 2.0


En quoi la vidéosurveillance algorithmique est-elle illégale ?

Thu, 07 Apr 2022 14:51:58 +0000 - (source)

La vidéosurveillance algorithmique (VSA) s’installe dans nos villes, en toute opacité et surtout, en toute illégalité. Depuis plusieurs années, nous tentons de lutter contre ces dispositifs, notamment en les attaquant devant les tribunaux. Nous pensons que les règles en vigueur permettent de s’opposer au déploiement de ces technologies pour se protéger contre les atteintes aux libertés qu’elles entraînent. Pourtant, la Commission européenne pousse à l’adoption de nouvelles règles, en faveur des industriels, pour réguler les dispositifs « d’intelligence artificielle », comprenant entre autres la VSA. Dans son sillage, la CNIL plaide pour un nouvel encadrement spécifique. Dans notre réponse à sa consultation, nous avons expliqué pourquoi il ne faut en aucun cas abandonner les règles protectrices actuelles pour de nouvelles règles sectorielles. Voici un résumé de nos arguments (voir notre position complète ici).

Les données biométriques, cœur de la protection

Le droit des données personnelles prévoit une protection particulière pour les données qu’on appelle « sensibles » au vu des informations particulièrement intimes qu’elles révèlent (telles que les orientations politiques ou sexuelles). Parmi ces données sensibles, on trouve la catégorie des données dites « biométriques », qui sont « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique »1Définitions prévues aux article 4§14 du RGPD et 3§13 de la Directive Police/Justice..

Cette définition peut être dissociée en trois éléments que l’on retrouve systématiquement lorsque l’on parle de VSA.

Tout d’abord, il faut que les données fassent l’objet d’un traitement technique spécifique.

Cela permet d’englober les systèmes de VSA puisqu’ils interviennent en addition du traitement général qui consiste à filmer l’espace public et poursuivent un objectif particulier (voir plus bas) . Aussi, le traitement technique est spécifique en ce qu’il consiste en la mise en oeuvre d’un algorithme ou programme informatique appliqué aux flux vidéos afin d’isoler, caractériser, segmenter ou encore rendre apparente une information relative à une personne physique filmée ou à extraire du flux vidéo, même a posteriori, des données concernant cette personne.

Ensuite, les données doivent se rapporter aux caractéristiques physiques, physiologiques ou comportementales d’une personne.
Toutes ces données sont bien celles que la VSA capte :

Enfin, le traitement doit avoir pour but l’identification unique de la personne. D’après le comité européen de la protection des données (CEPD, l’autorité qui regroupe les CNIL européennes), cette fonction ne se limite pas à révéler l’état civil de la personne mais à individualiser celle-ci au sein d’un environnement pour la reconnaître sur plusieurs images2Voir les lignes directrices sur les vidéos contenant des données personnelles 3/201, version 2.0, point 82 p. 19 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr.

Concernant la VSA, chaque système est programmé pour réunir des éléments spécifiques (silhouette, couleur des habits, position, direction, comportement) pour :

Dans les deux cas, la personne est identifiée de façon unique par rapport à son environnement, un groupe de personnes ou une scène.

En conclusion, les fonctionnalités des systèmes de VSA portant sur des personnes impliqueront systématiquement un traitement de données biométriques.

La VSA est toujours disproportionnée

Une fois que l’on a démontré qu’il s’agissait d’un traitement de données biométriques, la protection plus forte accordée aux données sensibles peut s’appliquer. Grâce à ce cadre spécifique, les données sensibles ne peuvent être traitées qu’à condition de respecter une exigence de « nécessité absolue »3Voir article 10 de la Directive Police/Justice..

En pratique, cette exigence signifie que le traitement ne sera considéré comme licite que s’il n’existe aucun autre moyen moins attentatoire aux libertés qui permettrait d’atteindre l’objectif poursuivi. Cette exigence de nécessité absolue n’est pas une nouveauté juridique et a déjà permis de limiter ou interdire les technologies les plus intrusives.

Par exemple, lorsque la région PACA avait tenté de mettre en place une expérimentation de reconnaissance faciale à l’entrée de deux lycées, la CNIL avait jugé que la finalité de sécurisation et de fluidification des entrées au sein des lycées « peut incontestablement être raisonnablement atteinte par d’autres moyens », concluant que le dispositif était disproportionné.

De la même manière, dans un avertissement à la ville de Valenciennes révélé par Mediapart, la CNIL avait jugé que le dispositif de VSA mis en place par la ville était disproportionné, notamment car la nécessité n’avait pas été prouvée et l’absence d’alternative n’avait pas été documentée.

Le Conseil d’État avait fait le même raisonnement lorsque nous avions attaqué, aux cotés de la LDH, l’utilisation des drones par la police lors des manifestations. Pour les juges, le ministère n’apportait « pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones »4Conseil d’État, 446155, lecture du 22 décembre 2020, §11..

Enfin, ce mécanisme a aussi été efficacement mobilisé contre la vidéosurveillance dite « classique » – et non biométrique – dans la commune de Ploërmel, la ville ne justifiant, selon la Cour d’appel, d’aucune statistique ou de preuves de risques particuliers qui expliqueraient la nécessité de ce dispositif.

En l’occurrence, concernant la VSA policière, il y aura toujours d’autres moyens d’assurer la sécurité autrement que par une technologie automatisée surveillant le comportement des individus dans la rue. Nous en parlions notamment dans notre article expliquant les raisons politiques de s’opposer à la VSA, la sécurité des personnes ne peut être trouvée que dans l’action humaine et sociale, l’attention aux autres, le soin.

La mise en balance exigée par le contrôle de proportionnalité permet donc de limiter et d’exclure tout dispositif de VSA abusif puisque l’atteinte à la vie privée engendrée par le traitement de données biométriques ne pourra être que très rarement, voire jamais, évaluée comme strictement nécessaire pour atteindre l’objectif poursuivi. Ce critère de nécessité absolue est donc aujourd’hui un mécanisme juridique documenté et
efficace pour interdire l’utilisation abusive des technologies par la police dans l’espace public.

Ne pas changer de paradigme

À travers le projet de règlement sur l’intelligence artificielle ainsi que les velléités affichées des dirigeants de modifier le cadre actuel pour favoriser les intérêts industriels et économiques du secteur, c’est une destruction du socle protecteur de nos droits qui est menée.

Ces acteurs tentent de défendre une approche fondée non plus sur la nécessité comme décrite plus haut mais, désormais, sur les risques : le cadre juridique serait non pas unique comme c’est le cas actuellement mais différent en fonction des objectifs et finalités des technologies. Autrement dit, cela impliquerait d’autoriser plus ou moins largement l’usage de certaines technologies en fonction des risques effectifs qu’elles feraient peser sur les droits et libertés de la population.

Par exemple, dans son projet de règlement, la Commission propose une classification des utilisations de la reconnaissance faciale et de la VSA en fonction des circonstances de leur application (dans l’espace public, en temps réel, à des fins répressives…), peu importe qu’elles soient nécessaires ou non. C’est un renversement total de la façon dont nos droits et libertés sont protégées, comme nous l’expliquions il y a quelques mois. Ce serait aux personnes concernées de démontrer le dommage qui leur est causé et non plus aux pouvoirs publics mettant en œuvre ces technologies de démontrer systématiquement que l’usage n’est pas disproportionné. La charge de la preuve serait renversée, à la défaveur de nos libertés.

Or, il ne suffit pas qu’une technologie soit « peu risquée » pour que celle-ci devienne « nécessaire » ni même souhaitable. Surtout, ces acteurs tentent de justifier cette logique en avançant que des garanties permettraient de limiter ces risques. De tels mécanismes sont illusoires et ne pourraient jamais suffire à pallier un traitement non nécessaire.

Nous le voyons depuis plusieurs années, les garanties ne suffisent jamais à limiter des technologies la plupart du temps déjà déployées, parfois à grande échelle, alors mêmes qu’elles ne sont pas légales. Quand bien même elles seraient contestées, elles auront déjà produit leurs effets illicites et nocifs. Les analyses d’impact, les pouvoirs de contrôle de la CNIL, les soit-disant contre-pouvoirs locaux, les droits d’information du public, aucune de ces garanties n’empêche les autorités de violer la loi.

Si l’approche fondée sur les risques finissait par être adoptée, elle donnerait le signal attendu par l’ensemble des acteurs de la VSA pour déployer massivement et au pas de course l’ensemble de leurs systèmes. Demain comme aujourd’hui, seules les mesures d’interdiction, fondées notamment sur la nécessité, pourront nous protéger. C’est d’ailleurs l’avis de autorités européennes de protection des données (Comité européen pour la protection des données et Contrôleur européen pour la protection des données) sur le projet de règlement sur l’intelligence artificielle, qui appellent toutes deux à interdire complètement les technologies de VSA.

En conclusion, remplacer changer de paradigme en remplaçant l’approche actuelle fondée sur la nécessité par une approche nouvelle fondée sur les risques conduira à présenter comme potentiellement licites des traitements dont l’illégalité ne fait aujourd’hui aucun doute. Ce changement de contexte entraînerait le déploiement massif de systèmes de VSA illicites sans qu’aucune garantie ne puisse en limiter les effets nocifs pour la population. C’est pourquoi nous défendons le maintien du cadre juridique actuel, qui permet l’interdiction de ces pratiques et est à même de protéger la population contre les abus des autorités en matière de surveillance.

References

References
1 Définitions prévues aux article 4§14 du RGPD et 3§13 de la Directive Police/Justice.
2 Voir les lignes directrices sur les vidéos contenant des données personnelles 3/201, version 2.0, point 82 p. 19 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_fr
3 Voir article 10 de la Directive Police/Justice.
4 Conseil d’État, 446155, lecture du 22 décembre 2020, §11.

Contrôles discriminatoires : « Nous demandons le démantèlement des pratiques illégales des CAF »

Wed, 06 Apr 2022 12:27:21 +0000 - (source)

Nous republions ici une tribune initiée par le collectif Changer de Cap et que nous avons signée. Elle est parue le 5 avril dans Basta!. Nous appelons à signer et faire circuler l’appel correspondant.

Contrôles abusifs des allocataires, suspension des versements, harcèlement des plus précaires… La CAF oublie ses missions initiales de protection et de soutien pour devenir un outil de police numérique. Une tribune du collectif « Changer de cap ».

La numérisation à marche forcée des services publics contribue à faire des Caisses d’allocations familiales (CAF) un instrument de la mise en place d’une société de surveillance et de pénalisation des plus pauvres. Alors que la protection sociale est un droit universel depuis le Conseil national de la Résistance, les CAF développent une politique de plus en plus dure de contrôle des personnes en situation de précarité.

Tous fichés…

Plus de 1 000 données par personne sont collectées pour 13 millions de foyers1Vincent Dubois, Contrôler les assistés, Raisons d’agir, 2020, p. 257., grâce à l’interconnexion de dizaines de fichiers administratifs (impôts, éducation, police, justice…) Les contrôleurs ont en outre le pouvoir de consulter nos comptes bancaires, nos factures de téléphone et d’énergie… Toutes ces données sont traitées à notre insu.

Chaque allocataire fait l’objet d’un profilage établi par un logiciel, mais selon des variables définies par des décisions humaines. Des algorithmes déterminent des « scores de risque » de fraude, qui débouchent sur un véritable harcèlement des personnes en difficulté. Sont qualifiés de « risque » les variations de revenus, les situations familiales atypiques, la naissance hors de France… Il en résulte un ciblage des contrôles sur les personnes précaires, handicapées ou vulnérables.
Plus de 32 millions de contrôles automatisés ont été réalisés par les CAF en 2020. Les témoignages collectés confirment la concentration de ces contrôles sur les femmes seules avec enfants, les chômeurs, des personnes handicapées, d’origine étrangère…

Des contrôles indignes et illégaux

Les méthodes de contrôle sont tout aussi inacceptables. La plupart de ces contrôles sont déclenchés automatiquement, sans en informer les allocataires et parfois sans notification, ce qui est contraire à la loi. Juridiquement la fraude doit être intentionnelle, mais ici les incompréhensions, les difficultés face au numérique, les erreurs, y compris celles des CAF, sont assimilées à de la fraude2Comme le soulignait le Défenseur des Droits dès 2017 : lutte contre la fraude aux prestations sociales : à quel prix pour les usagers ? Voir ici..
Les procès-verbaux sont remplacés au mieux par des notifications sommaires, qui ne précisent ni les modalités de calcul de l’indu, ni les délais de réponse, ni les voies de recours. Dans de nombreux cas, les allocations sont suspendues pendant toute la durée du contrôle, sans respect du reste à vivre légalement imposé à tous les créanciers. Les contrôleurs sont pourtant dotés de larges pouvoirs juridiques et d’investigation, mais le calcul de leur prime d’intéressement dépend du montant des indus frauduleux détectés.
Ces dérives sont amplifiées par la désorganisation des CAF, suite à la numérisation et aux réductions d’effectifs. Les allocataires connaissent de nombreux retards, des erreurs, des versements à tort, des absences de réponses, l’impossibilité de trouver un interlocuteur. On imagine le mal-être et la dégradation des conditions de travail des agents soucieux de défendre un service public humain.
Les conséquences de telles orientations sont dévastatrices sur le plan social. La Fondation Abbé Pierre montre comment des familles ont été expulsées suite à des recouvrements qui ne tenaient pas compte du reste à vivre3Fondation Abbé Pierre, 2020, Prestations sociales de la CAF et logement. Enquête sur les freins rencontrés 2020. Voir ici.. Rappelons que 10 millions de personnes vivent sous le seuil de pauvreté, que 12 % des Français souffrent de difficultés psychiques. L’action présente de la CAF y contribue, comme le montrent les témoignages recueillis.

Une police et une justice parallèles

Ainsi, à la faveur de la numérisation, une police et une justice numérique parallèles se mettent en place, insensibles à des situations humaines parfois dramatiques. Ces pratiques ne respectent pas les principes fondamentaux du droit, et sont entachées d’illégalité4Cabinet DBKM. Incompatibilité des mesures nationales de lutte contre la fraude aux prestations sociales avec le Pacte des droits civils et politiques. Rapport au comité des droits de l’homme des Nations unies. Voir ici.. Elles découlent de la convention d’objectifs et de gestion 2018-2022 de la CNAF qui assimile les CAF à des entreprises et considère les prestations sociales comme des coûts à réduire. Tout en pratiquant en permanence le double langage, le pouvoir politique considère toujours « qu’on met un pognon de dingue dans des minima sociaux »5Emmanuel Macron, 12 juin 2018 : « La politique sociale, regardez : on met un pognon de dingue dans des minima sociaux, les gens ils sont quand même pauvres. On n’en sort pas. Les gens qui naissent pauvres, ils restent pauvres. Ceux qui tombent pauvres, ils restent pauvres. On doit avoir un truc qui permette aux gens de s’en sortir ». Source..

Transparence, légalité, solidarité

On ne peut que s’inquiéter de l’intention de l’actuel président, s’il est réélu, de généraliser le versement automatique des aides sociales. S’il s’agit d’étendre ce type de pratiques, ce projet de maltraitance institutionnelle est inacceptable et monstrueux.
C’est pourquoi nous demandons le démantèlement des pratiques illégales qui se sont développées, l’instauration de sanctions contre ceux qui les ordonnent délibérément et un retour aux missions fondatrices de la Sécurité sociale et des services publics, dans une logique de confiance et de solidarité.
Toute la transparence doit être faite sur la récolte et le traitement des données personnelles des allocataires par la CAF, ainsi que sur le rôle des logiciels et des algorithmes dans la prise de décision.
Il est indispensable de remettre les humains au cœur du service public, tout particulièrement dans les CAF, et de faire du numérique un outil pour rendre effectif l’accès de chacun à ses droits sociaux, tout en respectant son intimité.

Vous pouvez vous joindre à cet appel. Voici le lien pour le signer.

Voir les témoignages et le dossier complet en cliquant ici.

Premiers signataires
Isabelle Maurer, Archipel des sans voix, allocataire multi-controlée
Farida Amrani, syndicaliste CGT
Hichem Atkouche, SUD Commerces et Services Ile de France
Geneviève Azam, économiste, essayiste
Miguel Benasayag, philosophe, collectif Malgré tout
La Quadrature du Net
Fathi Bouaroua, AprèsM, ex directeur régional de la fondation Abbé Pierre en PACA
Alima Boumediene-Thiéry, avocate porte parole de Femmes plurielles
Henri Braun, avocat au Barreau de Paris
Dominique Cabrera, réalisatrice
Alexis Corbière, député
Jean-Michel Delarbre, comité national LDH, co-fondateur RESF
Lætitia Dosch, comédienne
José Espinosa, gilet jaune
Txetx Etcheverry, mouvement Alda de défense des habitants des milieux et quartiers populaires au Pays basque
Jacques Gaillot, évêque de Partenia
Marie-Aleth Grard, présidente d’ATD Quart Monde France
Laurent Klajnbaum, vice-président de Changer de cap
François Koltès, auteur
Michèle Leflon, présidente de la Coordination Nationale des Comités de défense des hôpitaux et maternités de proximité
Pierre-Edouard Magnan, délégué Général Mouvement national Chômeurs et précaires (MNCP)
Boris Mellows, SUD Culture Solidaires
Didier Minot, président du Collectif Changer de cap
Francis Peduzzi, directeur de la scène nationale de Calais
Evelyne Perrin, Stop précarité, économiste
Alice Picard, porte parole d’Attac
Nicole Picquart, présidente du Comité national de liaison des régies de quartier
Serge Quadruppani, auteur, traducteur
René Seibel, responsable national AC !
Clément Terrasson, avocat
Roger Winterhalter, Maison de la citoyenneté mondiale
Voir la liste complète.

References

References
1 Vincent Dubois, Contrôler les assistés, Raisons d’agir, 2020, p. 257.
2 Comme le soulignait le Défenseur des Droits dès 2017 : lutte contre la fraude aux prestations sociales : à quel prix pour les usagers ? Voir ici.
3 Fondation Abbé Pierre, 2020, Prestations sociales de la CAF et logement. Enquête sur les freins rencontrés 2020. Voir ici.
4 Cabinet DBKM. Incompatibilité des mesures nationales de lutte contre la fraude aux prestations sociales avec le Pacte des droits civils et politiques. Rapport au comité des droits de l’homme des Nations unies. Voir ici.
5 Emmanuel Macron, 12 juin 2018 : « La politique sociale, regardez : on met un pognon de dingue dans des minima sociaux, les gens ils sont quand même pauvres. On n’en sort pas. Les gens qui naissent pauvres, ils restent pauvres. Ceux qui tombent pauvres, ils restent pauvres. On doit avoir un truc qui permette aux gens de s’en sortir ». Source.

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles