Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

La loi Drones 2 est docilement adoptée par l’Assemblée

Thu, 23 Sep 2021 14:42:22 +0000 - (source)

L’Assemblée nationale vient d’adopter une nouvelle loi pour légaliser l’usage de drones de surveillance par la police. Alors que le texte est quasiment identique à celui censuré par le Conseil constitutionnel en début d’année, les parlementaires n’ont pas hésité à le voter une nouvelle fois. C’est une énième preuve qu’il n’y a rien à attendre du Parlement pour nous protéger des dérives sécuritaires du gouvernement. La lutte contre la Technopolice ne se fera pas sur les bancs de l’Assemblée.

Nous en parlions ici : après s’être vu à quatre reprises refuser le droit de surveiller la population avec des drones, le gouvernement est revenu une cinquième fois à l’attaque. Deux arrêts du Conseil d’État, une décision de la CNIL et une décision du Conseil constitutionnel n’auront pas suffit : le gouvernement est prêt à tout pour déployer des drones avec caméra dans l’espace public. Les caméras fixes, les caméras « nomades », les caméras-piétons, tout cela ne lui suffit pas : il faut surveiller, toujours plus, et retransmettre les flux en temps-réel à des centres de supervision – et derrière analyser et disséquer les images, transformer nos rues et nos déambulations en données exploitables par la police.

Copier-coller

Notons tout de suite que le texte ne parle plus seulement des drones mais de tout « aéronef » utilisé par la police (alinéa 2 de l’article 8): c’est-à-dire qu’il légalise non seulement la surveillance par drones, mais aussi celle faite par hélicoptère ou par avion, une surveillance réalisée depuis longtemps par la police en toute illégalité – sans qu’aucune institution (en particulier pas la CNIL) ne soit venue la gêner (voir notre article d’analyse ici), et sans qu’aucun responsable ne soit condamné.

Le gouvernement (ou le rapporteur du texte, on ne sait plus très bien faire la différence) veut faire croire qu’il répond aux critiques du Conseil constitutionnel. Il reprend donc le même texte que l’année précédente et fait quelques modifications à la marge, des modifications trompeuses qui, comme on va le voir, n’enlèvent en rien le caractère profondément liberticide du texte.

Les finalités autorisées pour déployer un drone restent toujours aussi larges, même si le gouvernement tâche de faire en sorte que cette fois, le Conseil constitutionnel se montre plus accommodant : la police peut tout faire rentrer dans la notion de « prévention des atteintes à la sécurité des personnes et biens dans lieux particulièrement exposés », ou dans celle de « sécurité des rassemblements de personnes sur la voie publique » ou dans la « prévention d’actes de terrorisme ».

Quand bien même ces finalités seraient limitées, qui les contrôle en pratique, et qui autorise les drones ? Le représentant de l’État et, à Paris, le préfet de police. La police demande donc autorisation à la police pour utiliser des drones. Il est vrai qu’on est jamais mieux servi que par soi-même. Rappelons à ce sujet que nos deux contentieux de 2020 au sujet des drones étaient… contre le préfet de police. Et que c’est lui qui se gargarisait devant l’AFP de sa nouvelle arme technopolicière.

Autre fausse limitation : l’autorisation délivrée par le représentant de l’État prévoit un nombre maximal d’aéronefs, un périmètre géographique et une durée limitée. D’abord, le texte ajoute aussitôt une exception en cas d’urgence pour faire sauter cette limitation1« Par dérogation à cette procédure d’autorisation, lorsque l’urgence résultant d’une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens le requiert, les traitements mentionnés au présent article peuvent être mis en œuvre de manière immédiate, après information préalable, du représentant de l’État dans le département ou, à Paris, du préfet de police, qui peut y mettre fin à tout moment. Au‑delà d’une durée de quatre heures, la poursuite de la mise en œuvre du traitement est subordonnée à son autorisation expresse et ne peut excéder une durée de vingt‑quatre heures » . Ensuite, hors cas d’urgence, cette limitation ne restreindra pas ce que souhaite faire la police en pratique. Si la police souhaite 200 drones pour surveiller toutes les manifestations d’une ville durant toute l’année, rien n’empêchera le préfet de l’y autoriser (si l’autorisation est en théorie limitée à 3 mois par la loi, ce délai est indéfiniment renouvelable). Et quand bien même le préfet voudrait se montrait exemplaire en n’autorisant que trois drones, limités à une zone où a lieu un rassemblement à Paris pour le durée de la manifestation, la police pourra capter un nombre extrêmement important d’informations. Et c’est encore plus vrai pour les hélicoptères ou les avions, au vu de leur puissance de captation (on en parlait aussi ici).

Ce sont donc des fausses limites, un faux encadrement. Jean-Michel Mis (LREM) (voir notre portrait) a remplacé ses collègues Fauvergue et Thourot sur ce sujet mais c’est la même entité désincarnée qui tient la plume, chaque membre de la majorité étant interchangeable avec l’autre. Les critiques formulées contre la loi « Sécurité Globale » tiennent donc toujours, elles sont accessibles ici.

Garde-à-vue et véhicules de police

Comme on l’a dit, le texte ne couvre pas que les caméras volantes mais évoque aussi de nombreux autre sujets (sur l’ensemble du texte, voir l’analyse du Syndicat de la magistrature).

Sur le sujet de la captation vidéo, le texte légalise de nouveau la vidéosurveillance en garde-à-vue. Toujours sans aucune gêne, les rapporteurs avouent que cette vidéosurveillance est pratiquée depuis longtemps mais sans cadre légal (comprendre donc que c’est totalement illégal, mais là encore, les responsables bénéficient d’une impunité systémique). Prétextant la protection de la personne placée en garde à vue, le texte veut en réalité permettre qu’une caméra soit placée en cellule pour la filmer en permanence (pour 24h avec renouvellement possible). Puisqu’on vous dit que c’est pour votre bien ?

Autre légalisation, les caméras embarquées sur les véhicules de la police et de la gendarmerie. C’est à peu près le même cadre que pour les caméras-piétons : autoriser la captation vidéo « lorsque se produit ou est susceptible de se produire un incident », c’est-à-dire que la police ou la gendarmerie pourra décider de filmer qui elle veut et quand elle veut, avec possibilité de transmission du flux vidéo en temps réel à un poste d’observation.

Autre changement majeur dans la législation, l’article 16 qui élargit les possibilités de prise de photos et d’empreinte d’une personne (notamment les mineurs) sous contrainte. Aujourd’hui la police doit, dans la grande majorité des cas obtenir le consentement des personnes pour récolter leur signalétique (empreinte, ADN, et photographie) bien que le refus de s’y soumettre soit pénalement sanctionné.

Le texte prévoit que celle-ci puisse donc relever sous contrainte les empreintes palmaires et digitales des personnes ainsi que la prise d’une photographie, on imagine par la force (voir pour plus d’informations, le volet 2, page 17 des observations du syndicat de la magistrature).

Impossible de voir une quelconque amélioration entre le texte censuré par le Conseil constitutionnel et le texte adopté : comme pour les drones, c’est le même texte, avec quelques fausses rustines.

Faux débat parlementaire

Le texte a-t-il changé entre sa présentation par le gouvernement en juillet dernier et son adoption par l’Assemblée nationale aujourd’hui ? À peine, en tous cas sur les sujets de captation vidéo. Notons simplement que leur utilisation, ainsi que celles des caméras en garde-à-vue, a été étendue par les députés à la police douanière.

De même que la loi sécurité globale avait démontré la soumissions institutionnelle du Parlement à la police (voir notre analyse), aucun espoir d’amélioration n’était à attendre des députés aujourd’hui. Dans l’ancienne loi sécurité globale, le seul effort consenti par le Parlement avait été d’interdire que les images captées par drones ne soient soumises à un traitement de reconnaissance faciale 2Sont prohibés […] l’analyse des
images issues de leurs caméras au moyen de dispositifs automatisés de reconnaissance faciale
. Cette limitation est reprise mais largement réduite : « Les dispositifs aéroportés ne peuvent […] comporter de traitements automatisés de reconnaissance faciale ». Or, s’il faut redouter une forme de reconnaissance faciale, ce n’est pas celle réalisée par le drone lui-même mais celle réalisée par les policiers depuis le poste de contrôle, sur leurs propres ordinateurs, à partir du fichier de traitement des antécédents judiciaires qui leur permet depuis 2012 de réaliser de tels traitements (voir notre analyse sur le fichier TAJ). La seule amélioration apportée par l’Assemblée nationale l’an dernier aura bien vite été supprimée aujourd’hui.

References

References
1 « Par dérogation à cette procédure d’autorisation, lorsque l’urgence résultant d’une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens le requiert, les traitements mentionnés au présent article peuvent être mis en œuvre de manière immédiate, après information préalable, du représentant de l’État dans le département ou, à Paris, du préfet de police, qui peut y mettre fin à tout moment. Au‑delà d’une durée de quatre heures, la poursuite de la mise en œuvre du traitement est subordonnée à son autorisation expresse et ne peut excéder une durée de vingt‑quatre heures »
2 Sont prohibés […] l’analyse des
images issues de leurs caméras au moyen de dispositifs automatisés de reconnaissance faciale

Règlement IA : la Commission européenne tend le piège de la reconnaissance faciale

Wed, 22 Sep 2021 13:31:47 +0000 - (source)

Le 21 avril 2021, la Commission européenne a déposé un projet de règlement sur l’intelligence artificielle. S’il prétend proposer « un cadre juridique pour une IA digne de confiance », ce règlement conduira en vérité à abaisser le niveau de protection actuellement assuré par le droit européen. Son principal risque sera d’autoriser certaines pratiques jusqu’alors interdites – au premier rang desquelles la reconnaissance faciale policière de masse.

Pour rappel, depuis 2016, l’article 10 de la directive 2016/680 interdit aux États membres de l’UE d’analyser des données biométriques à des fins policières, sauf « en cas de nécessité absolue ». Autrement dit, la reconnaissance faciale n’est possible que dans les cas exceptionnels où elle est « indispensable » – où la police ne disposerait plus d’aucun autre moyen pour lutter contre une infraction. Or, la police a systématiquement échoué à démontrer que ce cas théorique pouvait se matérialiser en pratique : si elle peut parfois être « utile », la reconnaissance faciale n’est jamais « indispensable » au travail de la police.

C’est pourquoi nous avons demandé en 2020 au Conseil d’État de supprimer la disposition du décret TAJ qui, depuis 2012, autorise la police française à recourir librement à la reconnaissance faciale (lire notre article). Notre affaire contre le décret TAJ est encore en cours et, pour l’instant, le droit européen en vigueur depuis 2016 devrait nous donner raison. Hélas, cela pourrait changer prochainement.

La Commission européenne a déposé un nouveau projet de règlement sur l’IA dont l’article 5 entend poser de nouveaux cadres juridiques spécifiques pour certains usages de l’intelligence artificielle, notamment les « systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives ». Si, de prime abord, le règlement semble interdire de tels dispositifs, il s’agit d’un simple tour de passe-passe : non seulement, comme expliqué ci-avant, cette interdiction découlait déjà de la directive de 2016 mais, surtout, si le règlement fait mine de rappeler cette interdiction, c’est uniquement pour lui ajouter une nouvelle et très large exception. L’ancienne condition de « nécessité absolue » est remplacée par une mise en balance entre, d’un côté, les intérêts de la police et, de l’autre, les dommages que cette surveillance pourrait concrètement causer aux populations surveilléesArticle 5, paragraphe 2 : « L’utilisation de systèmes d’identification biométriques à distance en «temps réel» dans des espaces accessibles au public à des fins répressives […] tient compte des éléments suivants : (a) la nature de la situation donnant lieu à un éventuel recours au système, en particulier la gravité, la probabilité et l’ampleur du préjudice causé en l’absence d’utilisation du système ; (b) les conséquences de l’utilisation du système sur les droits et libertés de toutes les personnes concernées, notamment la gravité, la probabilité et l’ampleur de ces conséquences. ».

Il faut bien mesurer l’importance de ce changement de paradigme. Jusqu’alors, avec la notion de « nécessité absolue », la charge de la preuve reposait entièrement sur la police. Elle devait démontrer au cas par cas l’impossibilité matérielle qu’elle avait de travailler sans reconnaissance faciale. En face, les populations surveillées bénéficiaient d’une présomption juridique très forte. Ces populations n’avaient pas à démontrer que cette surveillance leur causait un dommage concret, car cette surveillance était considérée comme contraire par essence aux valeurs défendues par des sociétés démocratiques. C’est ce que rappelle l’ensemble des CNIL européennes réunies, dans un avis d’une rare franchise contre le nouveau projet de règlement sur l’IA : « l’identification biométrique à distance réalisée dans le contexte de manifestations politiques est susceptible d’avoir un effet dissuasif significatif sur l’exercice des droits et libertés fondamentales, telles que les libertés de réunion et d’association et, plus généralement, le principe fondateur de démocratie […] ses graves et irréversibles effets sur les attentes (raisonnables) de la population à être anonyme dans l’espace public porteraient directement atteinte à l’exercice de la liberté d’expression, de réunion, d’association et de circulation »Notre traduction de : « Article 5(1)(d) of the Proposal provides an extensive list of exceptional cases in which ‘real-time’ remote biometric identification in publicly accessible spaces is permitted for the purpose of law enforcement. The EDPB and the EDPS consider this approach flawed on several aspects: […] Post remote biometric identification in the context of a political protest is likely to have a significant chilling effect on the exercise of the fundamental rights and freedoms, such as freedom of assembly and association and more in general the founding principles of democracy. […] its irreversible, severe effect on the populations’ (reasonable) expectation of being anonymous in public spaces, resulting in a direct negative effect on the exercise of freedom of expression, of assembly, of association as well as freedom of movement. […]The reasoning behind the Proposal seems to omit that when monitoring open areas, the obligations under EU data protection law need to be met for not just suspects, but for all those that in practice are monitored. […] the criteria referred to under Article 5 to “qualify” the AI systems as prohibited limit the scope of the prohibition to such an extent that it could turn out to be meaningless in practice […] For all these reasons, the EDPB and the EDPS call for a general ban on any use of AI for an automated recognition of human features in publicly accessible spaces ».

Demain, avec le futur règlement IA, cette présomption disparaîtrait, cédant le pas à un équilibre à chercher au cas par cas entre police et population. Nous redoutons que cet équilibre, n’étant plus réajusté par l’ancienne présomption, finira toujours en défaveur de la population. En effet, il est extrêmement difficile de démontrer concrètement les dégâts systémiques causés par la surveillance de masse – c’est bien pour combler cette difficulté que le droit avait posé une présomption en faveur de la population. Au contraire, la police n’aura aucun mal à monter en épingle le moindre fait divers pour affirmer que telle ou telle technique de reconnaissance faciale serait à tout prix indispensable.

En pratique, à l’avenir, quand nous voudrons contester un système policier de reconnaissance faciale, il nous faudra probablement démontrer que ce système cause des dommages concrets à la population et que ces dommages sont plus importants que l’intérêt pour la police de recourir à ces outils. Cette démonstration particulièrement ardue sur le plan juridique, et qui pourrait suffire à nous faire perdre, ne nous est aujourd’hui nullement demandée dans notre affaire contre le TAJ – il nous suffit de pointer le fait que la police échoue à démontrer que la reconnaissance faciale est « absolument nécessaire » à son travail. À l’inverse, si le futur règlement proposé par la Commission européenne était déjà en vigueur aujourd’hui, il est bien possible que notre attaque contre le TAJ aurait déjà échoué.

Nous n’avons pas encore eu le temps d’appliquer la directive de 2016 contre la reconnaissance faciale permise dans le TAJ depuis 2012 que, déjà, nos arguments juridiques sont sur le point d’être effacés des textes de loi. Une fois que le futur règlement IA aura largement autorisé la reconnaissance faciale « en temps réel » grâce à ce terrible piège de la « balance des intérêts entre police et population », il faut redouter que ce nouveau paradigme juridique contamine l’ensemble des traitements de données biométriques, y compris ceux que le règlement IA ne vise pas encore explicitement (reconnaissance « en temps différé », détection de comportement, identification vocale, etc.).

Ce règlement IA pose d’autres problèmes que nous discuterons très prochainement. Mais, d’ores et déjà, ce terrible risque de généralisation de la reconnaissance faciale policière de masse justifie à lui seul d’exiger le retrait de cette disposition et l’application immédiate du droit existant.


Les drones reviennent, nous aussi

Tue, 14 Sep 2021 12:52:19 +0000 - (source)

Le 20 juillet 2021, le gouvernement a déposé une nouvelle loi sécuritaire qui, entre autres choses, autorisera les drones policiers. Ces mêmes drones qui, par la force de nos efforts collectifs, avaient été rejetés à quatre reprises l’an dernier. Le gouvernement s’empresse de saper nos si précieuses victoires obtenues contre sa surveillance policière.

Première victoire, mai 2020

En juillet 2019, la police nationale comptait 30 drones et 23 pilotes. Un an plus tard, ces chiffres ont été multipliés par 7 : 235 drones et 146 pilotes. En avril 2020, un appel d’offre prévoyait l’acquisition de 650 drones de plus.

Au même moment, nous publiions un tour d’horizon des drones déployés en France par la police au prétexte de la crise sanitaire. En mai 2020, nous attaquions ces usages puis obtenions une première victoire décisive devant le Conseil d’État, la plus haute juridiction administrative française : à défaut de texte spécifique pour les autoriser, ces usages sont illégaux.

Deuxième victoire, décembre 2020

Hélas, la police a laissé traîner les choses en continuant d’utiliser illégalement ses drones. Elle a attendu deux mois pour commencer à réfléchir à une manière de contourner l’interdiction posée par le Conseil d’État, prétendant développer un soi-disant système de floutage des images captées. En octobre 2020, nous attaquions de nouveau la police en visant la surveillance des manifestations parisiennes par drones, telle que nous l’avions finement documentée avec votre aide.

En décembre 2020, le Conseil d’État confirmait notre seconde victoire décisive : injonction était faite à la police parisienne d’immobiliser ses machines au sol. Au-delà du rappel qu’aucun texte n’autorisait l’usage de drone, le Conseil d’État pointait un problème juridique encore plus fondamental de cette affaire : « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones ».

Troisième victoire, janvier 2021

En janvier 2021, évènement aussi rare que bienvenu, la CNIL venait en renfort pour offrir une troisième victoire contre les drones : elle sanctionnait le ministère de l’intérieur et l’obligeait à cesser tout vol de drone sur l’ensemble du territoire. Ce faisant, la CNIL confirmait aussi l’extension de nos précédentes victoires contre la police parisienne à l’ensemble du territoire français.

Ces trois premiers succès sont intervenus face à un gouvernement bien peu préparé à nos initiatives. Mais à partir d’octobre 2020, il a ouvert une stratégie bien mieux organisée et mûrie et ouvert le véritable débat avec la loi sécurité globale.

Quatrième victoire, mai 2021

Heureusement, grâce à la mobilisation impressionnante et continue d’une large partie de la population contre la loi sécurité globale, des mois durant, le discours du gouvernement sur les drones a pu être méthodiquement déconstruit. En mai 2021, actant la défaite idéologique du gouvernement, le Conseil constitutionnel a censuré les dispositions qui allaient autoriser les drones policiers. C’est la quatrième et plus importante victoire.

La plus importante car elle est idéologique. Elle s’est principalement jouée dans la rue et dans le débat public, plutôt que devant les tribunaux. Elle a permis de s’attaquer au cœur du modèle de société proposé par le gouvernement, de construire un discours populaire contre l’État policier et son monde de distanciation, où la population serait régulée de loin, comme des objets, par des caméras et des robots militarisés, sans contact ni échange humain possible (voir notre manifeste initial dénonçant une loi de surveillance de masse déshumanisée).

Cinquième bataille, maintenant

En juillet 2021, le gouvernement a lancé sa cinquième bataille en déposant un projet de loi fourre-tout qui acte notamment le retour des drones pour la police. Refusant toute remise en question, le gouvernement s’obstine à imposer son monde par la force. Il ne cherche même plus à ouvrir un débat public ni à gagner l’opinion – on le comprend, il a déjà perdu ce débat plusieurs fois. À la place, il a réintroduit ses drones au milieu d’une nouvelle loi sécuritaire, la quatrième de l’année de 2021 (après la loi sécurité globale, la loi séparatisme et la loi renseignement).

Le député rapporteur de la loi sur la partie surveillance est Jean-Michel Mis, qui a prouvé être l’un des plus fiers et fidèles défenseurs de la surveillance de masse (voir notre portait). La loi est en lecture accélérée alors qu’elle contient une large série de dispositions qui n’ont rien à voir les unes avec les autres – une sorte de loi voiture balai sécuritaire pour finir le mandat Macron – bien que particulièrement complexes (amendes forfaitaires pour vol à l’étalage, fichage des mineurs étrangers, caméras en garde à vue, évolution de la CNIL) ou polémiques (en lien avec l’affaire Halimi).

Nous retrouvons le même contexte qui avait empêché le Parlement de débattre des drones dans la loi sécurité globale : une disposition noyée au cœur d’un texte fourre-tout, une procédure accélérée, un débordement législatif sécuritaire, un rapporteur aux ordres de la Technopolice…

Comment s’organiser ?

L’an dernier, l’article 24 de la loi sécurité globale (concernant la diffusion d’images de policiers) avait mis le feu aux poudres et permis d’ouvrir en dehors du Parlement un débat qui y était impossible. Pouvons-nous répéter cet exploit dans un contexte radicalement différent ?

Comme nous avons essayé de le démontrer cet été, le passe sanitaire et les drones sont les outils du même projet technopolicier. L’opposition massive au passe sanitaire pourrait-elle, à son tour, attiser l’opposition aux drones ? Et pour quels objectifs ? En cas de mobilisation populaire massive, doit-on espérer que le Conseil constitutionnel censure une nouvelle fois cette tentative d’autorisation des drones ?

L’hypothèse n’est pas absurde tant le gouvernement échoue à corriger dans son nouveau projet de loi les failles juridiques considérables de sa précédente loi (nécessité des drones non-démontrée au cas par cas, public non-informé, surveillance des lieux privés…). Toutefois, même si le Conseil constitutionnel pourrait une fois de plus se dresser en rempart de circonstance contre les drones, il nous semble imprudent de ne pas aller chercher des protections plus certaines et pérennes ailleurs.

On l’a vu, nos victoires sont encore plus puissantes quand elles se réalisent à la fois devant les tribunaux et dans la rue. Sur le long terme, pour remporter au-delà de quelques batailles, il nous faudra encore multiplier nos voies d’actions – ne pas nous arrêter aux stratégies juridiques, mais gagner aussi le monde des idées et de l’imaginaire. D’abord, il nous faudra regarder comme formant un tout nos diverses luttes contre la dystopie technologique annoncée par nos gouvernants : reconnaissance faciale, drones, passe sanitaire, safe city, analyse comportementale, automatisation et déshumanisation des rapports sociaux…

Une fois bien cerné, nous pourrons prendre ce cauchemar à deux mains, puis le jeter loin de nous, loin de nos esprits qu’il a déjà tant pollués. C’est ainsi libérées que nous pourrons renouveler notre imaginaire collectif pour y fonder un futur enviable, enfin. Un futur qui nous donnera la force de multiplier les façons de nous penser et d’agir. Il y a tant de choses à défaire, puis tant d’autres à construire, saisissons l’opportunité de cette cinquième lutte contre les drones pour bâtir bien au-delà du débat stérile imposé par nos adversaires.


Passe sanitaire : quelle surveillance redouter ?

Thu, 19 Aug 2021 11:29:20 +0000 - (source)

Les critiques du passe sanitaire dénoncent unanimement un « danger autoritaire ». Assez justement, la CNIL elle-même présente ce danger comme « le risque d’accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée et de glissement, à l’avenir, et potentiellement pour d’autres considérations, vers une société où de tels contrôles deviendraient la norme et non l’exception ». Prenons un instant pour détailler ce danger et répondre à la question : de quel type de surveillance le passe sanitaire est-il l’expression ?

Il existe déjà de nombreux « dispositifs attentatoires à la vie privée » contre la généralisation desquels nous luttons depuis des années : écoutes téléphoniques, fichage, caméras, drones, géolocalisation, logiciels espions… Pour comprendre et prévenir les dangers posés par le passe sanitaire, il faut le situer précisément au sein de cet écosystème. Certains outils de surveillance sont plus ou moins faciles à déployer, à plus ou moins grande échelle, de façon plus ou moins visible et avec des conséquences très variables. En comprenant dans quel mouvement technologique et à partir de quels outils pré-existants le passe sanitaire s’est construit, nous espérons lutter plus efficacement contre la banalisation du type de surveillance qu’il permet.

Contrôler pour exclure

Pour prendre du recul, décrivons de façon générale l’action que permet de réaliser le passe sanitaire : exclure de certains emplois, transports et lieux des personnes dont la situation diffère de certains critères fixés par l’État.

Formulé ainsi, ce mode de régulation n’a rien de nouveau. C’est notamment de cette façon que l’État français traite les personnes étrangères : l’accès aux transports vers le territoire national, puis l’accès au séjour et à l’emploi sur le-dit territoire n’est permis que si la situation des personnes étrangères est conforme à des critères fixés par l’État (situation personnelle familiale et économique, pays d’origine, âge…). Le respect des critères est vérifié une première fois en amont puis se traduit par la délivrance d’un titre : visa, cartes de séjour, etc. Ensuite, la police n’a plus qu’à contrôler la possession de ces titres pour contrôler la situation des personnes, puis leur ouvrir ou leur fermer les accès correspondants. En menaçant d’exclure du territoire ou de l’emploi les personnes ne disposant pas du bon titre, l’État déploie une lourde répression – les conséquences pour les personnes exclues sont particulièrement dissuasives.

Toutefois, jusqu’à peu, ce type de répression avait d’importantes limitations pratiques : les titres ne pouvaient être délivrés qu’avec un certain délai et à un certain coût, de nombreux policiers devaient être déployés pour les vérifier et certains policiers devaient même être spécifiquement formés pour en vérifier l’authenticité. Ces limitations expliquent sans doute en partie pourquoi ce type de répression s’est jusqu’ici centré sur des cas précis (tel que le contrôle des personnes étrangères) sans être systématiquement déployé pour gérer n’importe quelle situation que l’État souhaiterait réguler.

Le passe sanitaire est la traduction d’évolutions techniques qui pourraient supprimer ces anciennes limites et permettre à cette forme de répression de s’appliquer à l’ensemble de la population, pour une très large diversité de lieux et d’activités.

Passage à l’échelle technologique

Au cours de la dernière décennie, la majorité de la population française (84% en 2020) s’est équipée en smartphone muni d’un appareil photo et capable de lire des code-barres en 2D, tels que des codes QR. En parallèle, l’administration s’est largement appropriée les outils que sont le code-barre en 2D et la cryptographie afin de sécuriser les documents qu’elle délivre : avis d’imposition, carte d’identité électronique… Le code en 2D rend quasi-nul le coût et la vitesse d’écriture et de lecture d’informations sur un support papier ou numérique, et la cryptographie permet d’assurer l’intégrité et l’authenticité de ces informations (garantir qu’elles n’ont pas été modifiées et qu’elles ont été produites par l’autorité habilitée).

Si ces évolutions ne sont pas particulièrement impressionnantes en elles-même, leur concomitance rend aujourd’hui possible des choses impensables il y a encore quelques années. Elle permet notamment de confier à des dizaines de milliers de personnes non-formées et non-payées par l’État (mais simplement munies d’un smartphone) la mission de contrôler l’ensemble de la population à l’entrée d’innombrables lieux publics, et ce, à un coût extrêmement faible pour l’État puisque l’essentiel de l’infrastructure (les téléphones) a déjà été financée de manière privée par les personnes chargées du contrôle.

Désormais, et soudainement, l’État a les moyens matériels pour réguler l’espace public dans des proportions presque totales.

Une brique de plus à la Technopolice

La crise sanitaire a très certainement facilité ces évolutions, mais son rôle ne doit pas être exagéré. Cet emballement dramatique des pouvoirs de l´État s’inscrit dans un mouvement d’ensemble déjà à l’œuvre depuis plusieurs années, qui n’a pas attendu le coronavirus, et contre lequel nous luttons sous le nom de « Technopolice ». Il s’agit du déploiement de nouvelles technologies visant à transformer les villes en « safe cities » capables de réguler l’ensemble de l’espace public.

La Technopolice est l’expression d’évolutions technologiques qui, comme on l’a vu avec le cas du passe sanitaire, ont permis de rendre totales des formes de régulations qui, jusqu’alors, étaient plus ou moins ciblées. Prenons le cas emblématique des caméras : jusqu’à peu, la police était matériellement limitée à une politique de vidéosurveillance ciblée. Elle ne pouvait exploiter les enregistrements vidéo que pour analyser quelques situations ciblées, à défaut de pouvoir mettre un agent derrière chaque caméra 24 heures sur 24. De même, l’identification d’une personne filmée demandait des efforts importants.

Ces limitations ont depuis volé en éclat. La reconnaissance faciale rend presque triviale l’identification des personnes filmées (voir notre exposé). L’analyse automatisée d’images permet de détecter en continu tous les événements définis comme « anormaux » : faire la manche, être trop statique, courir, former un grand groupe de personnes, dessiner sur un mur… (voir par exemple les projets imaginés à Marseille ou à Valenciennes). Plus besoin de placer un agent derrière chaque caméra pour avoir une vision totale. Qu’il s’agisse du passe sanitaire ou de l’analyse d’image automatisée, dans les deux cas, la technologie a permis à des techniques ciblées de se transformer en outils de contrôle de masse de l’espace public.

Contrôle permanent des corps

Ce parallèle nous permet d’apporter une précision importante : qu’il s’agisse du passe sanitaire ou de la détection automatique des comportements « anormaux », ces systèmes ne nécessitent pas forcément un contrôle d’identité. Le logiciel d’imagerie qui signale votre comportement « anormal » se moque bien de connaître votre nom. De même, en théorie, le passe sanitaire aussi pourrait fonctionner sans contenir votre nom – c’est d’ailleurs ce que prévoyait la loi initiale sur la sortie de crise ou, plus inquiétant, ce que proposent désormais certaines entreprises en se fondant non plus sur le nom mais le visage. Dans ces situations, tout ce qui compte pour l’État est de diriger nos corps dans l’espace afin de renvoyer aux marges celles et ceux qui – peu importe leurs noms – ne se conforment pas à ses exigences.

Ce contrôle des corps se fait en continu et à tous les niveaux. D’abord pour détecter les corps jugés « anormaux », que ce soit par leur comportement, leur apparence, leur visage, leur statut vaccinal, leur âge… Ensuite pour contraindre les corps et les exclure de la société, que ce soit par la force armée de la police ou par des interdictions d’entrée. Enfin pour habiter les corps et les esprits en nous faisant intérioriser les règles dictées par l’État et en poussant à l’auto-exclusion les personnes qui ne s’y soumettent pas. Tout cela à l’échelle de l’ensemble de la population.

Une accoutumance injustifiée

L’adoption massive du passe sanitaire aurait pour effet d’habituer la population à se soumettre à ce contrôle de masse, ce qui s’inscrit dans la bataille culturelle plus large déjà initiée par le gouvernement, notamment autours des caméras. Cette accoutumance permettrait à l’État de poursuivre plus facilement sa conquête totale de l’espace public telle qu’il l’a déjà entamée avec la Technopolice.

Pourtant, paradoxalement, dans son format actuel, le passe sanitaire n’apparaît pas comme étant lui-même un outil de régulation très efficace. Il semble difficile d’empêcher les médecins qui le souhaitent de fournir des passes à des personnes qui ne devraient pas en recevoir. Et, quand bien même les passes seraient attribués aux « bonnes personnes », en l’état celles-ci peuvent facilement les partager avec les « mauvaises personnes ». Certes, la police entend réaliser des contrôles d’identité pour lutter contre ces échanges mais, si l’efficacité du système repose au final sur des contrôles de police aléatoires, il n’était pas nécessaire de déployer des mécanismes de surveillance de masse pour aller au-delà ce qui se fait déjà en la matière, par exemple avec les ordonnances manuscrites délivrées par les médecins que la police peut vérifier en cas de soupçons. Cela permettrait au moins de diminuer les risques d’accoutumance à un nouveau système de contrôle de masse.

Hélas, il semble plus sérieux d’envisager le scénario inverse : l’inefficacité du passe sanitaire pourrait servir de prétexte pour le perfectionner, notamment en permettant aux contrôleurs non-policiers de détecter les échanges de passe. Comme vu plus haut, certains proposent déjà un nouveau système affichant le visage des personnes contrôlées. Une telle évolution nous livrerait la version pleinement aboutie et efficace du système de contrôle de masse rêvé par la Technopolice – et la police n’aurait presque plus à travailler pour contrôler les passes.

Obligation de prouver la nécessité

Même dans son format le plus sophistiqué, l’efficacité du passe sur le plan sanitaire resterait toujours à démontrer – il demeure de nombreuses incertitudes, que ce soit sur la valeur des tests au bout de 72 heures, sur le taux de transmission même une fois vacciné, sur le cas des nouveaux variants, sur l’efficacité de la contrainte pour inciter la population à se faire vacciner, ou sur la durée de validité à retenir pour les tests de dépistage.

Au plan juridique et politique, et tel que nous l’avions rappelé pour StopCovid, l’État est soumis à une règle simple mais fondamentale : il a l’obligation de prouver qu’une mesure causant des risques pour les libertés fondamentales est absolument nécessaire avant de la déployer. Dans notre cas, non seulement le gouvernement n’a pas encore démontré l’efficacité du passe sanitaire mais, plus grave, il a refusé de déployer ou de tester l’efficacité de mesures alternatives qui ne causeraient aucun risque pour les libertés (telles que des campagnes de communication bienveillantes, transparentes et non-paternalistes pour inviter à se faire vacciner), ou des mesures complémentaires ambitieuses (tel que le déblocage de financements pour permettre le dédoublement des salles de classe et leur aération, ce que le gouvernement à tout bonnement écarté).

Conclusion

Résumons : le passe sanitaire illustre des évolutions technologiques qui permettent à un mode de répression ancien (la répression par l’exclusion, illustrée notamment par le contrôle des personnes étrangères) de passer d’une échelle relativement restreinte à une échelle presque totale, concernant l’ensemble de la population et de l’espace public, afin de renvoyer à ses marges les personnes qui ne se soumettent pas aux injonctions de l’État.

Si, aujourd’hui, ces injonctions ne sont que d’ordre sanitaire, il faut encore une fois redouter que ce genre d’outil, une fois banalisé, soit mis au service d’injonctions dépassant largement ce cadre. Cette crainte est d’autant plus pesante que ce processus a déjà commencé au sein de la Technopolice, qui esquisse d’ores et déjà un mode de régulation social fondé sur la détection et l’exclusion de toute personne considérée comme déviante ou comme ayant un comportement « anormal » aux yeux de l’État et des entreprises de sécurité qui définissent ensemble et de manière opaque les nouvelles normes de comportement en société.

Dernier rappel stratégique : si le gouvernement français se permet d’imposer de tels outils de détection et d’exclusion des personnes qu’il juge indésirables, c’est notamment car il peut reprendre à son compte, et redynamiser à son tour, les obsessions que l’extrême droite est parvenue à banaliser dans le débat public ces dernières années afin de traquer, de contrôler et d’exclure une certaine partie de la population. La lutte contre les risques autoritaires du passe sanitaire serait vaine si elle ne s’accompagnait pas d’une lutte contre les idées d’extrême droite qui en ont été les prémices. La lutte contre le passe sanitaire ne doit pas se faire avec, mais contre l’extrême droite et ses obsessions, qu’elles soient dans la rue ou au gouvernement.


Amende de 746 millions d’euros contre Amazon suite à nos plaintes collectives

Fri, 30 Jul 2021 12:57:19 +0000 - (source)

Mise à jour du 4 août 2021 : nous venons de recevoir ce courrier de la CNIL nous donnant plus de précision sur la décision rendue au Luxembourg. En résumé :


Le 16 juillet 2021, l’autorité luxembourgeoise de protection des données personnelles s’est enfin prononcée sur notre plainte collective déposée par 10 000 personnes contre Amazon en mai 2018. Cette décision intervient après trois années de silence qui nous avaient fait craindre le pire (relire nos craintes qui, s’agissant du cas d’Amazon, sont donc aujourd’hui caduques).

La décision, révélée par Bloomberg (mais qui ne nous avait pas encore été transmise), semble sans ambiguïté : le système de ciblage publicitaire imposé par Amazon est réalisé sans notre consentement libre, en violation du RGPD. L’entreprise est condamnée à une amende de 746 millions d’euros. Il s’agit du nouveau record européen en matière d’amendes prononcées contre une violation du RGPD (le record précédent était l’amende de 50 millions rendue contre Google par la CNIL, toujours dans le cadre de nos plaintes collectives – relire notre réaction).

En réaction à cette sanction historique, Amazon se plaint auprès de Bloomberg, faisant mine de ne pas comprendre ce qui est visé : « il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers ». Et pour cause : c’est le système-même de la publicité ciblée que nos plaintes comptent balayer dans son ensemble, et non pas quelques failles de sécurité occasionnelles. Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle.

En contraste, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google (relire nos critiques qui, sur ces cas, sont plus que jamais d’actualité).

La posture exemplaire de l’autorité luxembourgeoise est aussi une douche froide pour la CNIL en France qui, pendant longtemps, faisait figure en Europe de tête de file pour la protection des données. Aujourd’hui, la CNIL n’est plus que l’ombre d’elle même, alors que nos plaintes collectives, initialement introduites devant elle, lui offraient l’occasion idéale d’être le fer de lance du RGPD contre les violations systémiques des données personnelles au cœur du modèle économique des GAFAM.

Alors que l’enthousiasme de 2018 commençait à nous quitter et que nous craignions que la lutte juridique contre les GAFAM soit devenue impossible, c’est du Luxembourg (qui l’eut cru !) que nous revient notre espoir initial. Le modèle de domination économique fondée sur l’exploitation de notre vie privée et de notre libre arbitre est profondément illégitime et contraire à toutes les valeurs que nos sociétés démocratiques prétendent défendre. Nous continuerons donc à lutter contre cette domination, avec votre aide !


Loi Renseignement 2 : nos arguments au Conseil constitutionnel

Wed, 28 Jul 2021 10:49:41 +0000 - (source)

Vendredi, le Conseil constitutionnel rendra sa décision sur la loi terrorisme et renseignement. Nous lui avons envoyé hier nos arguments.

Le mois dernier, nous avons dénoncé l’extrême rapidité de l’examen par le Parlement de la loi terrorisme et renseignement, et cela malgré le bouleversement dramatique du rapport de force entre le gouvernement et la population qu’elle pourrait représenter (vous pouvez retrouver ici notre analyse des dangers de cette loi).

Déposée le 28 avril 2021, la loi a été débattue en quelques jours à l’Assemblée nationale et au Sénat, souvent la nuit et dans des hémicycles quasi-vides, le tout dans un inquiétant silence médiatique et politique. Elle a été définitivement adoptée par l’Assemblée nationale ce jeudi 22 juillet (voir le texte final).

C’est donc encore au Conseil constitutionnel (institution composée de neuf membres désigné·es et non élu·es) qu’il revient de jouer le rôle de véritable contre-pouvoir et de compenser la démission généralisée du Parlement de ses missions démocratiques. Autre signe de la prédominance du tout-sécuritaire : alors que le Conseil constitutionnel a normalement un mois pour se prononcer sur un texte, le gouvernement a utilisé la procédure d’urgence et a demandé à ce qu’il se prononce en seulement 8 jours.

Cette urgence forcée devant le Conseil constitutionnel empêchant tout véritable débat de fond, nous lui avons adressé hier une contribution extérieure se limitant aux dispositions nous paraissant les plus graves. Le texte de cette contribution est disponible ici – nous recopions ci-dessous nos arguments.

Le Syndicat des Avocats de France (SAF) et le Syndicat de la Magistrature (SM) ont également adressé au Conseil constitutionnel leurs arguments, que vous pouvez retrouver ici.

PARTIE 1. Sur la pérennisation et l’extension du recours aux algorithmes de surveillance ainsi que sur l’extension de la possibilité de recueil en temps réel de certaines données (Articles 14, 15 et 16)

Les articles 14 et 15 du projet de loi organisent la pérennisation et l’extension des dispositions prévues à l’article L. 851-3 du code de la sécurité intérieure encadrant le recours aux algorithmes de surveillance. L’article 16 organise l’extension de la possibilité de recueil en temps réel des données de connexion.

Ces articles constituent une atteinte disproportionnée au droit à la vie privée (a) et au secret des correspondances (b) ainsi qu’à l’article 34 de la Constitution (c).

a) Atteinte disproportionnée au droit à la vie privée

En droit :

Au titre notamment du droit au respect de la vie privée protégé par l’article 2 de la Déclaration de 1789, le Conseil constitutionnel a considéré que la « collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Cons. constit., n°2012-652 DC, 22 mars 2012).

Ce droit au respect de la vie privée est également inscrit aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, que le Conseil constitutionnel se doit de respecter au titre de l’article 88-1 de la Constitution. De manière générale, si le Conseil constitutionnel n’est pas tenu d’appliquer la jurisprudence de la Cour de Justice de l’Union européenne, il peut cependant utilement s’en inspirer afin de garantir un niveau de protection adapté aux droits et libertés constitutionnellement protégés.

Il est vrai que dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a considéré que le recours aux algorithmes ne constituait pas une atteinte disproportionnée au droit au respect de la vie privée (Cons. constit., n° n°2015-713 DC, § 60).

Néanmoins, depuis cette décision, la Cour de Justice de l’Union européenne a rendu une décision concernant notamment la compatibilité entre le droit de l’Union européenne et un dispositif de traitement automatisé des données relatives au trafic et des données de localisation (CJUE, C-511/18 et s., 6 octobre 2020). Elle y souligne notamment que le recours à l’analyse automatisée doit être limité « à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif (…) » (CJUE, précité, § 192).

En l’espèce :

En premier lieu, alors que la loi de 2015 « relative au renseignement » ne permettait l’utilisation des algorithmes de surveillance qu’à titre expérimental, la loi examinée par le Conseil constitutionnel prévoit aujourd’hui la pérennisation de ce dispositif. La CNIL rappelle ainsi dans son avis sur le texte que « l’utilisation d’une telle technique porte une atteinte particulièrement forte à la vie privée des individus et au droit à la protection des données à caractère personnel » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 24). Elle a souligné ne pas avoir pu analyser la proportionnalité de l’atteinte à la vie privée constituée par cette pérennisation (CNIL, idem, § 31).

En second lieu, aucune disposition ne vient répondre aux exigences de la Cour de Justice de l’Union européenne sur les limitations à apporter à l’utilisation des algorithmes de surveillance. Ainsi, l’article 14 ne mentionne aucune limitation du dispositif à l’existence d’une « menace grave pour la sécurité nationale » qui serait « actuelle ou prévisible ». Il ne prévoit encore moins aucun « contrôle effectif » d’une telle analyse. Le législateur n’a donc tiré aucune conséquence des récents arrêts de la Cour de Justice sur la question du recours aux algorithmes.

Il est particulièrement significatif que la loi déférée prévoit un régime spécifique pour la conservation des données de connexion, avec décision du Premier ministre relative à l’existence de « motifs tenant à la sauvegarde de la sécurité nationale », mais qu’aucun régime parallèle ne soit prévu pour le recours aux algorithmes.

Il en résulte que la pérennisation et l’extension du recours aux algorithmes prévues aux articles 14 et 15 de la loi déférée sont contraires à l’article 2 de la Déclaration de 1789 et à l’article 88-1 de la Constitution.

b) Atteinte disproportionnée au secret des correspondances

En droit :

Le Conseil constitutionnel a admis la valeur constitutionnelle du droit au secret des correspondances, rattaché aux articles 2 et 4 de la Déclaration de 1789 (Cons. constit., n°2004-492 DC, 2 mars 2004).

Dans sa décision de 2015 concernant la loi « relative au renseignement », il a conditionné la constitutionnalité des dispositions relatives au recours à l’algorithme au fait que, notamment, ces traitements ne pouvaient porter que sur des informations ou documents mentionnés à l’article L. 851-1 du CSI, c’est-à-dire des données dites de « connexion » ou « métadonnées » (Cons. constit., n°2015-713 DC, § 60). Dans cette même décision, le Conseil constitutionnel précise que les données faisant l’objet du traitement « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit » (Cons. constit., n°2015-713 DC, § 55).

À ce titre, si le Conseil constitutionnel a admis dans sa décision de 2015 certaines techniques de renseignement portant atteinte au secret du contenu des correspondances, il ne l’a fait qu’en raison de leur caractère ciblé, différent d’une surveillance généralisée (voir notamment Cons. constit., n°2015-713 DC, § 25).

En l’espèce :

Les articles 15 et 16 étendent le recours aux algorithmes et la possibilité de recueil en temps réel des données de connexion aux « adresses complètes de ressources utilisées sur internet ».

Comme le rappelle la CNIL dans son avis sur le texte, ce type de données « sont susceptibles de faire apparaître des informations relatives au contenu des éléments consultés ou aux correspondances échangées » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 35). Les « adresses complètes de ressources utilisées sur internet » peuvent, en effet, être extrêmement parlantes sur le contenu consulté par l’utilisateur, et indiquer par exemple le titre d’un article complet.

Dans son rapport sur le projet de loi, la commission des lois du Sénat rappelle ainsi qu’aussi bien la CNIL que la Commission nationale de contrôle des techniques de renseignement (CNCTR) ont, dans leur avis sur le projet de décret relatif aux techniques de renseignement « exclu la possibilité que la technique de l’algorithme puisse permettre un accès complet aux URL » du fait que les URL « constituent des données mixtes, comprenant à la fois des données de connexion, c’est-à-dire des éléments relatifs à l’acheminement de la communication internet, et des données de communication, c’est-à-dire des éléments fournissant des précisions sur l’objet ou le contenu du site internet consulté » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021).

La commission des lois du Sénat y ajoute que, selon la Délégation Parlementaire au Renseignement (ci-après « DPR ») « l’élargissement de la technique de l’algorithme souhaité par les services à l’analyse de la totalité des informations contenues dans les URL reviendrait, de fait, à autoriser un traitement automatisé de données révélant, pour partie, le contenu de communications ». En effet, elle précise que si le Conseil constitutionnel n’interdit pas par principe que des services du renseignement accèdent au contenu des communications, cela n’a été autorisé pour l’instant que pour une collecte individualisée et non pour « un traitement en masse des données de communication » (Commission des lois du Sénat, Rapport sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement n° 694, 16 juin 2021).

Il en résulte que les articles 15 et 16 autorisent la surveillance en masse de données portant sur le contenu des correspondances, en contradiction avec le secret des correspondances protégées par la Constitution.

c) Incompétence négative du législateur

En droit :

Il ressort de l’article 34 de la Constitution que la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a ainsi considéré qu’il y avait eu violation de l’article 34 du fait de l’absence de définition dans la loi des « conditions d’exploitation, de conservation et de destruction des renseignements collectés en application de l’article L. 854-1 » en matière de surveillance internationale. Le législateur n’avait ainsi pas déterminé « les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » (Cons. constit., n°2015-713 DC, § 78).

En l’espèce :

L’article 15 la loi déférée modifie l’article L851-3 du CSI. Désormais, cet article ne prévoit plus que « peut être imposé aux opérateurs […] la mise en œuvre sur leurs réseaux » du dispositif de détection automatisée, mais que ce dispositif sera désormais directement mis en œuvre par les services de renseignement « sur les données transitant par les réseaux des opérateurs ». Cette modification implique une architecture radicalement différente que la loi échoue entièrement à décrire et à encadrer.

En effet, dans son avis sur le texte, la CNIL précise que « le ministère a retenu une architecture selon laquelle les flux de données ne sont pas analysés au moyen d’algorithmes installés sur les réseaux des opérateurs mais dupliqués puis acheminés au sein d’une infrastructure dépendant de l’État pour être soumis à des dispositifs de détection centralisés ». Elle considère ainsi que cela implique de « dupliquer, au bénéfice d’un service administratif du Premier ministre, l’ensemble de ces données, qui concernent tous les appels téléphoniques et accès internet réalisés sur le territoire français, constitue une évolution particulièrement significative » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 16 et s.).

À ce titre, la CNIL considère donc « indispensable que le texte soit précisé » sur ce sujet et que le principe de cette architecture « devrait (…) figurer dans la loi » (idem).

Cette architecture facilite en effet grandement la surveillance réalisée par les services de renseignement et est susceptible d’être dévoyée à d’autres fins que celles définies par le texte, et ce d’autant plus que les dispositifs de l’article 10 de cette même loi permettent de facto de conserver les données analysées par l’algorithme pour la recherche et développement pendant 5 ans. Cela pourrait potentiellement être l’intégralité du trafic internet qui pourrait donc se retrouver dupliqué et mis de côté par les services de renseignement.

La loi déférée n’apporte aucune précision sur les modalités de mise en œuvre de la technique de recours aux algorithmes ni sur l’architecture précise du traitement automatisé. Le législateur n’a donc pas précisé les conditions réelles de collecte, d’exploitation et de conservation des renseignements lié à la particularité de la duplication et de la centralisation des données de connexion concernant potentiellement l’ensemble des personnes vivant en France.

Il en résulte que l’article 15 est en contradiction avec l’article 34 de la Constitution.

PARTIE 2. Sur l’organisation de la conservation des données de connexion par les opérateurs (Article 17)

L’article 17 refond le cadre de conservation généralisée des données de connexion par les opérateurs en réaction à la décision de la Cour de Justice de l’Union européenne du 6 octobre 2020.

Il constitue une atteinte disproportionnée aussi bien au droit à la vie privée protégé par l’article 2 de la Déclaration de 1789 qu’à l’article 88-1 de la Constitution en ce qu’il représente une violation directe du droit de l’Union européenne tel qu’interprété par la Cour de Justice de l’Union européenne.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

La Cour de justice de l’Union européenne rappelle de façon constante que [les données de connexion] « sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées (…). [qui] peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées (…). En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » (Digital Rights, 8 avril 2014, C‑293/12 et C‑594/12, § 27;Tele2, 21 décembre 2016, C‑203/15 et C‑698/15, § 99 ; La Quadrature du Net, 6 octobre 2020, C-511/18 et s., § 117).

Dans sa décision du 6 octobre 2020 « La Quadrature du Net », la Cour de Justice de l’Union européenne définit les limitations et garanties permettant aux régimes de conservation généralisée des données de connexion de se conformer aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et à l’article 15 paragraphe 1 de la directive 2002/58 (CJUE, C-511/18 et s., 6 octobre 2020). Il convient à ce titre de rappeler que l’article 88-1 de la Constitution impose au législateur de respecter le droit de l’Union européenne.

Dans cette décision, la Cour de Justice de l’Union européenne a réaffirmé sa jurisprudence selon laquelle le droit de l’Union européenne s’opposait « à des mesures législatives prévoyant (…) à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».

À titre exceptionnel, et étant mis de côté les cas particuliers des données relatives à l’état civil et des adresses IP, la Cour de Justice a considéré que seul était permis « le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », précision étant faite que cette décision doit pouvoir faire l’objet d’un contrôle effectif : « soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant (…) » (CJUE, La Quadrature du Net, 6 octobre 2020, § 168). La Cour insiste bien sur le fait que « cette conservation ne saurait présenter un caractère systématique » (même arrêt, § 138).

Il en résulte qu’une conservation généralisée des données de connexion n’est possible qu’à travers une injonction spécifique limitée dans le temps adressée à des opérateurs dans le cas d’une menace grave pour la sécurité nationale d’un État et soumise au contrôle effectif d’une autorité dont la décision est dotée d’un effet contraignant.

En l’espèce :

Il est précisé au 3° du I de l’article 17 que le Premier ministre peut enjoindre « pour des motifs tenant à la sauvegarde de la sécurité nationale », quand il a constaté « une menace grave, actuelle ou prévisible », « par décret aux opérateurs (…) de conserver pendant une durée d’un an » certaines données de connexion.

Ce régime d’organisation de conservation des données de connexion ne respecte aucune des garanties imposées par la Cour de Justice de l’Union européenne, aussi bien sur la nature de l’injonction (1), sur les motifs tenant à la sauvegarde de la sécurité nationale (2) que sur l’absence de contrôle effectif (3).

1. Sur la nature de l’injonction

Le fait que le Premier ministre puisse enjoindre cette conservation des données par un décret ne remplit pas les conditions exigées par la Cour de Justice de l’Union européenne. En effet, un acte administratif réglementaire ne saurait constituer une injonction : cette dernière doit nécessairement être spécifique et ne peut prendre la forme que d’un acte individuel. De plus, la durée d’un an prévue pour l’application du décret est excessive au regard de la nécessité de circonscrire cette collecte au strict nécessaire, d’autant qu’aucune limite du nombre de reconduction n’est prévue dans la loi, permettant alors un caractère systématique de la collecte des données de connexion.

2. Sur les motifs tenant à la sauvegarde de la sécurité nationale

La notion de sécurité nationale telle qu’interprétée par le Conseil d’État et à laquelle renvoie la loi déférée ne correspond en aucun cas à celle, restreinte et devant répondre à un critère d’exception, retenue par la Cour de Justice de l’Union européenne comme pouvant seule légitimer la conservation généralisée et indifférenciée des données de connexion.

En effet, la notion de sécurité nationale telle qu’entendue en droit français doit aujourd’hui, selon le Conseil d’État « être appréciée au regard de l’ensemble des intérêts fondamentaux de la Nation listés à l’article L. 811-3 du code de la sécurité intérieure », notion extrêmement large concernant notamment « les intérêts majeurs de la politique étrangère », les « intérêts économiques, industriels et scientifiques majeurs de la France » ou les risques tenant aux « violences collectives » que le Conseil constitutionnel a notamment rattaché, dans sa décision sur la loi renseignement de 2015, à l’organisation de manifestation non déclarées. Ainsi, dans sa récente décision, le Conseil d’État souligne ainsi que la menace pour la sécurité nationale n’est pas seulement liée au risque terroriste mais aussi au « risque d’espionnage et d’ingérence étrangère », à « l’activité de groupes radicaux » (Conseil d’État, 21 avril 2021, n° 393099 et s., § 44).

Une telle notion est donc très éloignée de la notion de menace grave pour la sécurité nationale telle qu’entendue par la Cour de Justice de l’Union européenne, qui ciblait spécifiquement « des activités de terrorisme », et ce dans les seuls cas où ces activités représenteraient une menace réelle et immédiate. Il revenait donc au législateur de limiter la conservation généralisée des données de connexion à des situations beaucoup plus restreintes, exceptionnelles et proportionnées que celles dégagées par le Conseil d’État autour de son interprétation dévoyée de la notion de sécurité nationale.

3. Sur l’absence de contrôle effectif

Le dispositif tel que prévu par le législateur ne prévoit pas de contrôle effectif répondant aux exigences de la Cour de Justice de l’Union européenne.

Aucun contrôle de la CNCTR n’est prévu sur l’injonction du Premier ministre, alors que cette institution est un des maillons essentiel de la chaîne opérationnelle encadrant le recueil des renseignements. C’est d’ailleurs un des regrets exprimé par la CNIL dans son avis sur le projet de loi qui considère que l’injonction du Premier ministre « devrait être soumis pour avis à la CNCTR » (CNIL, Délibération n° 2021-053, § 16).

Le seul contrôle possible de la conservation généralisée des données de connexion n’est finalement pas dans la loi, mais est dévolu à la potentialité du recours à un juge. Comme le rappelle la commission des lois du Sénat, ce contrôle correspondrait en réalité à la possibilité que le Conseil d’État soit « éventuellement saisi en référé du décret du Premier ministre » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi du « relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021). Il ne s’agit en aucun cas d’un contrôle effectif tel que demandé par la Cour de Justice de l’Union européenne mais d’un contrôle dépendant de la volonté de possible requérants qui ne pourrait être réalisé qu’a posteriori, soit une fois que la mesure portant atteinte à la vie privée ait été réalisée.

Il en résulte que l’article 17 de la loi déférée ne respecte pas les articles 2 de la Déclaration de 1789 et 88-1 de la Constitution.

PARTIE 3. Sur l’extension des obligations de coopération des opérateurs de communications électroniques et des fournisseurs de services (Article 12)

L’article 12 prévoit la coopération forcée des opérateurs et fournisseurs de communications électroniques avec les services de renseignement afin de mettre en œuvre des techniques d’intrusion informatique directement sur des terminaux.

En droit :

Le Conseil constitutionnel censure depuis longtemps l’incompétence négative du législateur (cf. Cons. constit., 26 janv. 1967, Loi organique modifiant l’ordonnance du 22 décembre 1958, 67-31 DC), même d’office lorsque les auteurs de la saisine ne l’ont pas invoqué (cf. Cons. constit., 20 janv. 1984, Loi relative à l’enseignement supérieur, 83-165 DC). Le Conseil constitutionnel analyse ainsi régulièrement la méconnaissance, par le législateur, de l’étendue de sa propre compétence en lien avec le principe de clarté de la loi, d’une part, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, d’autre part (voir notamment Conseil constit., 12 août 2004, Loi relative aux libertés et responsabilités locales, 2004-503 DC, cons. 29).

Précisément, le commentaire autorisé du Conseil constitutionnel sous la décision 2004-503DC, explique que : «le principe de clarté, qui résulte de l’article 34 de la Constitution, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, qui découle des articles4,5,6 et 16 de la Déclaration de 1789 (…), imposent au législateur d’adopter des dispositions suffisamment précises et des formules non équivoques. A défaut, il renverrait à d’autres (administrations, juridictions) des choix que la Constitution lui a confiés en propre ».

De plus, le Conseil constitutionnel a pu censurer des dispositions au regard de leur complexité excessive, qui se traduisait notamment par censurer une disposition sur le fondement du « caractère imbriqué, incompréhensible pour le contribuable, et parfois ambigu pour le professionnel, de ses dispositions, ainsi que par les très nombreux renvois qu’il comporte à d’autres dispositions elles-mêmes imbriquées ; […] les incertitudes qui en résulteraient seraient source d’insécurité juridique, notamment de malentendus, de réclamations et de contentieux » (Décision n° 2005-530 DC du 29 décembre 2005, cons. 84)

Enfin, le Conseil constitutionnel a déjà jugé que ne sont pas conformes à la Constitution en ce qu’elles portent une atteinte manifestement disproportionnée au droit au respect de la vie privée des dispositions prévoyant des mesures de surveillance et de contrôle qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre » des exigences constitutionnelles et qui ne « définissent pas la nature des mesures de surveillance et de contrôle que les pouvoirs publics sont autorisés à prendre » (cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

En l’espèce :

Par le jeu de multiples renvois, l’article 12 étend le champ d’application des articles L.871-3 et L.871-6 du Code de sécurité intérieure qui permettent de contraindre les opérateurs et les fournisseurs d’accès à collaborer à la mise en œuvre des mesures de renseignement directement sur les réseaux et terminaux. L’article 12 aboutit ainsi in fine à permettre aux services de renseignement de solliciter ces acteurs pour la mise en œuvre de nouvelles mesures extrêmement intrusives, qui étaient circonscrites auparavant aux seuls acteurs du renseignement.

En premier lieu, le législateur n’a pas pris le soin de viser explicitement le contenu des mesures de surveillance et de contrôle visées par cette extension et s’est contenté de viser, par renvoi, plusieurs articles du code de sécurité intérieure et même des sections entières du code de procédure pénale. En élargissant de façon substantielle le nombre des situations pour lesquelles les services de renseignement peuvent requérir la contribution des fournisseurs et opérateurs et en ne listant pas précisément dans quelle mesures et sous quelles conditions cette contrainte pourrait être justifiée, le législateur a empêché les destinataires et personnes concernées par ces dispositions de comprendre et appréhender les situations concrètes prévues par ces dispositions.

L’analyse réelle de ces dispositions étaient par ailleurs totalement absente de l’exposé des motifs et de l’étude d’impact du Gouvernement ainsi que de l’avis du Conseil d’État et des rapports des différentes commissions.

Par cette absence de précision et par la complexité excessive de la rédaction de cet article, le législateur a incontestablement créé une situation d’insécurité juridique et méconnu l’étendue de sa compétence en manquant à remplir l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi.

En second lieu, l’élargissement des techniques de renseignement pour lesquelles les opérateurs et fournisseurs peuvent être contraints de collaborer crée une atteinte manifestement disproportionnée au droit au respect de la vie privée.

À titre d’exemple, l’article L.853-2 du code de sécurité intérieure permettrait de contraindre des opérateurs de messagerie ou de téléphonie chiffrée à déployer des failles de sécurité sur des terminaux préalablement identifiés. Will Cathcart, dirigeant de la société Whatsapp, exprimait ces inquiétudes dans le journal Le Monde : « Ce serait une bonne chose que les implications de cet article soient clarifiées. », le journaliste indiquant que « la formulation actuelle évoque la mise en place de mesures de contournement du chiffrement de bout en bout » (Le Monde, « Vie privée, sécurité, e-commerce… Le patron de WhatsApp s’explique », 28 juin 2021).

De la même manière, les opérateurs pourraient être contraint de collaborer aux interceptions de données de connexions et interceptions de correspondances par « IMSI-catching » prévues par les article L. 852-1 et L. 851-6 du code de sécurité intérieure ainsi que par l’article 706-95-20 du code de procédure pénale. Pour rappel, l’IMSI-catcher est un outil permettant de capter toutes les données de communication dans un rayon donné.

De manière pratique, cela peut correspondre aussi à, par exemple, contraindre un opérateur de téléphonie ou d’Internet d’envoyer un SMS contenant un lien vérolé en son nom ou de le contraindre à déployer une mise à jour frauduleuse du code d’une box Internet pour en donner le contrôle aux services de renseignement, ou même encore de profiter de l’action d’un technicien pour conduire une attaque contre un périphérique informatique d’un abonné.

De même, le ministre de l’intérieur expliquait ainsi sur France Inter, avant le dépôt de la loi déféré, que « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive » (France Inter, 28 avril 2021, L’invité de 8h20). Cherchant à détailler ce point, le ministre a expliqué en hémicycle lors de l’examen de la loi à l’Assemblée nationale le 17 mai 2021 : « Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. […] le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »

Si les précédentes possibilités de requérir l’aide de ces acteurs se limitaient à donner accès aux données et contenus déjà produits dans l’utilisation de leurs services et auxquels ils pouvaient accéder, il s’agirait ici de les rendre directement acteurs de la compromissions des outils des utilisateurs de leurs services les mettant en position de conduire ou de participer à une intrusion informatique sur demande des services sans pouvoir s’y opposer.

La modification des dispositions du code de sécurité intérieure change considérablement la nature, l’échelle et les circonstances permettant l’utilisation des techniques visées par l’article 12. Pourtant, le législateur n’a prévu aucune garantie ou limitation supplémentaires spécifiques aux nouvelles situations créées par cette disposition propres à empêcher l’atteinte manifestement disproportionnée au droit à la vie privée générée par cette extension.

Il en résulte que l’article 12 de la loi déférée est contraire aux articles 2 et 34 de la Constitution.

PARTIE 4. Sur la conservation à des fins de recherche – (Article 10)

L’article 10 allonge la durée de conservation des renseignements à des fins de recherche et de développement.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

Par ailleurs, l’article 34 de la Constitution oblige le législateur à fixer les règles concernant les garanties fondamentales accordées au citoyen et, notamment à ce titre, de définir en cas d’atteinte à ces libertés, les conditions d’exploitation, de conservation et de destruction des données collectées. Le Conseil constitutionnel a ainsi considéré que ne sont pas conformes à la Constitution des dispositions prévoyant des mesures de surveillance qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre [des exigences de sauvegarde des intérêts fondamentaux de la Nation] » (Cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

Enfin, si le Conseil constitutionnel a admis, notamment dans sa décision de 2015, la légalité de certaines techniques de renseignement conduisant au recueil et à la collecte de certaines données à caractère personnel, il ne l’a admis que pour des finalités précisément détaillées et liées notamment à la sécurité nationale, la prévention du terrorisme ou les intérêts majeurs de la politique étrangère (voir Décision n° 2015-713 du 23 juillet 2015). De la même manière, comme rappelé précédemment, la Cour de Justice a limité la possibilité d’une conservation des données de connexion à l’existence de considérations liées à des menaces graves pouvant porter atteinte à la sécurité nationale d’un État membre (voir CJUE, La Quadrature du Net, 6 octobre 2020, tel que cité précédemment).

En l’espèce :

L’atteinte à la vie privée constituée par ce dispositif est particulièrement grave et disproportionnée.

En premier lieu, l’article 10 concerne l’intégralité des renseignements qui sont obtenus dans le cadre des activités de renseignement (factures téléphoniques détaillées, écoutes téléphoniques, surveillance et analyse du réseau de télécommunication…). Cela pourrait donc être potentiellement la totalité du trafic téléphonique et Internet français (et a minima de très nombreuses données de personnes qui n’ont pas été directement la cible d’une technique de renseignement) qui pourraient être récupérées, par les services dédiés de recherche et développement, et conservées pour une très longue durée. Une fois stockées au prétexte de la recherche et développement, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…).

À ce titre, la conservation de l’ensemble de ces données n’est justifiée que par un objectif de « recherche et de développement en matière de capacités techniques de recueil et d’exploitation des renseignement ». C’est une finalité particulièrement large et libre d’interprétation qui ne correspond en aucun cas aux exigences du Conseil constitutionnel ou à celles édictées par la Cour de Justice de l’Union européenne.

En second lieu, la Défenseure des droits a considéré que la loi manquait de précision sur les conditions exactes de traitement et d’anonymisation des données et que, au minimum, un décret était nécessaire pour préciser l’anonymisation de ces données et les modalités d’élaboration des algorithmes utilisés (Avis du défenseur des droits n° 21-07 du 18 mai 2021, p. 16). C’est également l’avis de la CNIL qui estime que « le régime de réutilisation des données (…) devrait être encadré par un décret d’application et que des garanties complémentaires soient prévues dans l’hypothèse où ce traitement serait mis en œuvre au moyen d’un traitement algorithmique » (CNIL, Délibération n° 2021-040, § 43).

Aucune précision n’a pourtant été apportée sur ces différents points par le législateur qui n’a prévu aucun report à un décret permettant au minimum de préciser ces différents points. Le seul encadrement réside en amont dans l’autorisation préalable du Premier ministre et l’existence d’avis non contraignants rendus par la CNCTR, ce qui est largement insuffisant au vu des dangers de cette disposition et ne répond pas aux critères d’exigence d’un contrôle effectif.

Il en résulte que l’article 10 est contraire aux articles 2 de la Déclaration de 1789 ainsi qu’aux articles 24 et 88-1 de la Constitution.


[Bastamag] Nouvelle loi renseignement : le gouvernement place la population sous surveillance algorithmique

Tue, 27 Jul 2021 08:00:00 +0000 - (source)

Conservation généralisée des données de connexion, surveillance de masse… Adopté par les députés, avant le Sénat fin juin, le projet de loi renseignement passe en procédure accélérée. Mais son contenu inquiétant mériterait un débat public d’ampleur. […]

« Un monstre qui grandit dans l’ombre » : voilà ce que constitue, pour Arthur Messaud, cette nouveauté. « Un État qui conserve pendant cinq ans les données captées de la population… Il y a deux ans, ça aurait fait la Une de la presse pendant des semaines » se désespère le juriste. Pour lui, il s’agit d’un copié-collé du modèle de recherche exploratoire de la NSA, révélé par Edward Snowden […].

https://www.bastamag.net/anti-terrorisme-loi-renseignement-surveillance-…


[Reporterre] Le passe sanitaire, un pas de plus dans « l’autoritarisme » et la « société du contrôle »

Mon, 26 Jul 2021 17:00:00 +0000 - (source)

« Overdose d’autoritarisme », « adoption hâtive de lois », « politique absurde »… Penseurs telle Barbara Stiegler, associatifs, défenseurs des libertés, syndicats, politiques s’inquiètent des mesures liberticides de l’exécutif. Car avec le passe sanitaire, un cran de plus a été atteint dans le contrôle des corps et des esprits. […]

Bastien Le Querrec, membre de la Quadrature du net, regrette que « la fin justifie désormais les moyens. Les effets de bord en matière de liberté ne sont pas pris en considération, dit-il à Reporterre. On habitue la population à ce genre de contrôle, on lui refuse l’anonymat. Il y a une continuité entre cet outil et les autres dispositifs de surveillance qui se sont développés avec la crise sanitaire : la vidéosurveillance automatisée, la reconnaissance faciale, etc. ». […]

https://reporterre.net/Le-passe-sanitaire-un-pas-de-plus-dans-l-autorita…


Lundi prochain, Laurent Wauquiez veut autoriser la reconnaissance faciale dans les trains et les gares

Fri, 16 Jul 2021 17:25:56 +0000 - (source)

Cet article a été publié à l’origine sur notre blog Technopolice

Lundi 19 juillet prochain, Laurent Wauquiez présentera à l’assemblée de la région Auvergne-Rhône-Alpes un projet de délibération pour lui permettre de déployer la reconnaissance faciale dans les gares, de financer l’achat de logiciel d’analyses comportementales et de multiplier les caméras de vidéosurveillance. C’est un pur projet de Technopolice, dangereux et illégal, que l’assemblée plénière du conseil régional se doit de rejeter.

Après les mensonges et les fantasmes sécuritaires de Valérie Pécresse en Île-de-France, Laurent Wauquiez veut lui aussi faire la promotion de la Technopolice dans la région Auvergne-Rhône-Alpes.

Lundi 19 juillet prochain, jour de l’assemblée générale du conseil régional, il présentera un projet qu’il entend bien faire voter (le projet, qui nous été transmis par le groupe « Les Écologistes » de la région est disponible ici). Au programme, notamment :

– « accompagner, [dans les trains régionaux et les gares] à titre expérimental, un premier dispositif de reconnaissance faciale, uniquement accessible aux autorités compétentes » ;

– « déployer la vidéoprotection à l’intérieur des cars scolaires et interurbains » ;

– « poursuivre l’équipement en caméras de vidéoprotection en temps réel des trains régionaux » ;

– « renforcer le bouclier “vidéoprotection” avec 10 000 caméras supplémentaires et en l’étendant à la vidéoprotection intelligente ainsi qu’à l’expérimentation de systèmes innovants (exemple : la technologie biométrique…) ».

Logique sécuritaire sans fin

Dans le document, Laurent Wauquiez revient ainsi sur sa politique de sécurité des dernières années : déploiement massif de caméras dans les gares, les trains et les lycées, financement de la vidéosurveillance en temps réel… Selon lui, cela ne suffit toujours pas : il faut surveiller encore plus et « intégrer de nouveaux espaces », comme les « stationnements des vélos, certains ascenseurs, passages souterrains, passerelles », sans oublier « l’ensemble des transports scolaires ». Filmer tout, tout le temps, en temps réel, ne plus laisser un seul espace de libre à l’anonymat. Peut-être rejoindra-t-il Christian Estrosi qui veut maintenant mettre des projecteurs de lumière ultra-puissants dans la ville qui se déclencheraient en cas d’attroupements : comme si l’ombre était liée à la criminalité.

On imagine tristement leur ville rêvée : partout de la lumière et des caméras, la ville transformée en un grande un espace où des robots dissèquent et analysent nos moindres gestes.

Reconnaissance faciale et analyse comportementale

Car évidemment, le projet de Laurent Wauquiez rejoint un son de cloches que l’on entend de plus en plus du côté des promoteurs de la Technopolice : toutes ces caméras ne serviraient selon eux à rien si des logiciels d’ « intelligence artificielle » ne venaient pas aider à alerter sur les comportements préalablement établis comme « suspects ». C’est une inversion de logique : alors que la vidéosurveillance est toujours contestée, et puisque son efficacité est régulièrement remise en question (la Cour des comptes en parlait encore en 2020), ses promoteurs affirment qu’il faut donc aller encore plus loin.

Dans la même lignée, Laurent Wauquiez veut expérimenter la reconnaissance faciale et financer l’équipement des communes en logiciels de vidéosurveillance automatisée (la délibération telle que présentée est d’ailleurs étonnamment floue : « reconstituer rapidement a posteriori le parcours de délinquants ou criminels dans les trains régionaux »).

Alors même que de tels dispositifs seraient illégaux car ils ne remplissent en aucun cas les critères posés par la loi française ou le droit européen (voir notamment la directive Police-Justice) : ils n’obéissent nullement à une « nécessité absolue », ne présentent pas les « garanties appropriées » et ne sont encadrés par aucun texte spécifique (comme l’exige pourtant l’article 10 de la directive Police-Justice).

C’est pour cela que nous avons gagné contre le projet de portiques de reconnaissance faciale à Nice et Marseille (voir notre article ici), que nous avons attaqué le projet de surveillance de Marseille (voir notre article ici) et que nous sommes en ce moment devant le Conseil d’État contre la reconnaissance faciale via le fichier des traitements des antécédents judiciaire (voir notre article).

Surenchère sécuritaire et élection présidentielle

Il est probable que Laurent Wauquiez et son équipe soient parfaitement conscients de l’illégalité de leur projet. On imagine que, comme Valérie Pécresse ou Christian Estrosi, la véracité de leur propos ou la légalité de leurs actions ne les intéressent que peu. Ils veulent avant tout mettre en avant une idéologie sécuritaire, qu’ils imaginent flatter une certaine catégorie d’électeurs en vue des échéances électorales à venir. A chaque échéance, ils iront donc un peu plus loin dans leurs propositions.

Il faut que cessent ces projets mis en place illégalement par la classe politique, comme l’usage de drones par la police l’année dernière et tous ces projets technopoliciers que nous avons pu participer à faire échouer. Il faut leur opposer, aujourd’hui et demain, notre refus de la surveillance biométrique et du tout-sécuritaire. Il nous faut dénoncer leurs fantasmes totalitaires. Nous appelons le conseil régional à s’opposer lundi prochain à ce projet de délibération.


In memoriam Philippe Aigrain (1949-2021)

Thu, 15 Jul 2021 10:40:46 +0000 - (source)

C’est avec une immense tristesse que nous avons appris lundi le décès de Philippe Aigrain en montagne, près de sa maison dans les Pyrénées.

Photo : Jérémie Zimmermann

Informaticien et grand humaniste, militant infatigable, chercheur et intellectuel qui aidait à y voir clair dans ces temps troublés, Philippe a fait partie en 2008 des cofondateurs historiques de La Quadrature du Net. Il fut président de l’association de 2013 à 2017. Tout jeune, il avait été actif lors du soulèvement de mai 1968. Il fut ensuite un compagnon de route des radios libres dans les années 1970, avant d’explorer les potentialités démocratiques d’Internet et de devenir un ardent défenseur des logiciels libres et des biens communs. Ces dernières années, il travaillait à l’accueil solidaire des exilés et dirigeait la maison d’édition publienet, tout en faisant paraître ses poèmes et, plus récemment, son premier roman, intitulé Sœur(s).

Philippe était de ces personnes qui forcent d’emblée le respect et l’admiration par ses qualités humaines exceptionnelles, son immense gentillesse et sa grande sensibilité, mais aussi par la profondeur de sa réflexion, sa curiosité, sa générosité, sa capacité à conjuguer les savoirs à travers une pensée proprement interdisciplinaire. Tout cela lui permettait non seulement de naviguer entre des communautés militantes, intellectuelles et artistiques de par le monde, mais aussi d’y apporter des contributions précieuses et de tisser des ponts entre tous ces gens.

À La Quadrature, il a été un modèle pour nombre d’entre nous, un mentor et un ami qui se montrait toujours curieux, ouvert, mais aussi très encourageant avec les personnes fraîchement arrivées au sein du collectif. Il était l’un des piliers qui nous permettait de tenir et de traverser les moments difficiles. Nous admirions sa capacité d’indignation, la rigueur et la richesse de ses analyses, la manière dont il savait mettre à distance certains réflexes militants pour appréhender une situation dans toute sa complexité. Lors qu’on risquait de se perdre dans les détails d’un dossier, il savait aussi nous inviter à prendre de la hauteur et à revenir aux questions politiques fondamentales. Par exemple, lors d’un débat interne fin 2016, nous discutions de notre position sur la création du fichier biométrique TES, que le gouvernement présentait alors comme une manière de lutter contre la fraude à l’identité… on fourbissait des arguments un peu trop techniques et juridiques à son goût, et il avait mis tout le monde d’accord en évoquant la Résistance et en rappelant que des documents d’identité infalsifiables étaient tout simplement contraires aux formes de vie démocratiques.

Philippe avait également insisté dès le début pour que La Quadrature soit force de propositions positives. Il avait ainsi envisagé un système complet pour permettre au public et aux créateurs et créatrices de se rencontrer autour de leurs œuvres en permettant le partage libre de celles-ci, tout en soutenant et encourageant financièrement la création. Il fut à l’origine de la Contribution Créative, une idée avant-gardiste permettant autant l’accès généralisé à la culture que le soutien matériel à la création. En lien avec Lionel Maurel, il compila ces pistes de réforme dans les propositions positives de réforme du droit d’auteur, publiées par La Quadrature suite au rejet de l’accord commercial anti-contrefaçon ACTA, à l’été 2012.

Durant toutes ces années, Philippe nous a surtout appris par l’exemple qu’on peut conjuguer un regard lucide sur le monde et une grande exigence dans l’engagement politique, sans pour autant se départir ni du soin de soi et des autres, ni de la joie et de la poésie.

Nous allons prendre le temps d’honorer sa mémoire. Nous ferons vivre son héritage en continuant nos combats, que ce soit pour les droits humains dans l’environnement numérique, pour le partage des savoirs ou tout simplement pour plus de beauté et d’humanité dans ce monde.

Pour l’heure, nos pensées endeuillées vont à sa femme Mireille, à ses filles et à ses petits-enfants.


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles