Technopolice et contrôle numérique - HEBDO - Fréquence Paris Plurielle

Laure : Bonjour. Vous êtes à l’écoute de Fréquence Paris Plurielle 106.3 et c’est l’heure de L’HEBDO à nouveau en direct.
Aujourd’hui, nous nous intéresserons au contrôle numérique qui s’installe de plus en plus dans nos sociétés. Pour répondre à nos questions Mathieu et Benoît de La Quadrature du Net sont en studio avec Julia. Moi je suis au téléphone et c‘est Lucien qui assure la technique. Bonjour à vous tous.

Julia : Bonjour.

Benoît : Bonjour.

Mathieu : Bonjour.

Laure : Depuis le 11 septembre 2001 nous avons constaté une érosion continuelle de nos libertés individuelles. La pandémie du Covid-19 que nous subissons actuellement a été un élément supplémentaire pour permettre la surveillance et le contrôle numérique accru de nos sociétés sous ouvert de nous protéger avec l’éternelle justification « c’est pour votre bien ».
On va s’intéresser à ce qui se passe en France, mais en gardant toujours à l’esprit que c’est un phénomène généralisé.
Julia, je te laisse la parole.

Julia : Laure, tu viens de nous souligner l’importance du numérique et des technologies de surveillance dans la dérive sécuritaire de nos sociétés.
Pour commencer, je vais m’adresser à nos invités pour leur demander quelle est la raison d’être de La Quadrature du Net. Qu’est-ce qui vous motive ? Et aussi votre participation à la campagne Technopolice.

Benoît : La Quadrature du Net [1] est une association qui existe depuis 2008 suite à la Hadopi [Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet] qui a poussé un peu à la création de cette association. Elle vise à la protection des droits et libertés dans l’espace numérique, donc elle adresse différents sujets, elle adresse des sujets liés à la surveillance, comme on en parle aujourd’hui, mais elle adresse aussi des sujets liés au droit d’auteur dans l’espace numérique, donc le droit d’auteur sur Internet, la copie, le téléchargement, qui est justement un des premiers sujets liés à sa création avec la Hadopi. Et puis tout un tas d’autre sujets liés par exemple à la censure, liés aux grandes plateformes et à la lutte contre les grandes plateformes, à la centralisation d’Internet sur des services américains vraiment centralisés, et tout un tas d’autres sujets dont on pourra éventuellement parler.

Julia : Et par rapport à la campagne Technopolice ?

Benoît : On a lancé en septembre 2019 une campagne qui dépasse vraiment le cadre de La Quadrature du Net, qui se nomme Technopolice [2], sur la surveillance dans l’espace public, dans l’espace urbain.
Cette campagne a été lancée à l’occasion d’un contentieux contre les villes de Marseille et Nice qui souhaitaient installer des systèmes de reconnaissance faciale à l’entrée de deux lycées, un à Marseille et à Nice justement. Donc on a travaillé sur ce sujet avec la CGT-Éducation, avec la FCPE [Fédération des conseils de parents d’élèves] et la Ligue des droits de l’homme de Nice, finalement pour interdire, pour empêcher l’installation de ces portails de reconnaissance faciale à l’entrée des lycées ce qui était, pour nous, un très mauvais message à la future génération qui se retrouvait, dès son plus jeune âge soumise à une surveillance extrêmement intrusive, puisque s’attaquant à des données biométriques, vraiment à leur visage, et qui les autorisaient, ou pas, à rentrer dans leur propre lycée.
On a lancé, à cette occasion, un certain nombre d’outils permettant au plus grand nombre de gens de participer à cette campagne, puisqu’il y a un forum, forum.technopolice.fr, qui permet à tout un chacun de s’inscrire et on espère, c’est déjà un peu le cas aujourd’hui, qu’un maximum de gens tout autour du pays participent et remontent des informations qui sont finalement très localisées. C’est pour ça que c’est très compliqué pour La Quadrature en elle-même de travailler sur ce sujet toute seule, parce que ce sont des outils qui sont déployés vraiment au niveau des villes ou au niveau des collectivités locales. On n’a pas du tout le pouvoir de faire ça nous-mêmes donc on demande au plus grand nombre de s’inscrire et de venir rapporter ce qui se passe localement dans leurs collectivités.

Mathieu : Et ça marche !

Julia : C’est-à-dire ?

Mathieu : C’est-à-dire qu’on a tout tas d’initiatives locales, de particuliers ou même de structures associatives qui font des démarches pour se renseigner sur les projets ou les installations dans leur ville et qui partagent ces informations avec d’autres grâce à notre site, entre autres. Ça permet de faire des recoupements et de voir qu’il y a tout un réseau d’entreprises privées, qui sont très connues par ailleurs, qui sont de grandes entreprises comme Benoît aide-moi pour les noms.

Benoît : On a Inéo, Engie, Thalès.

Mathieu : Qui travaillent soit dans l’armement soit dans d’autres services fournis aux municipalités. Engie, évidemment, c’est l’électricité, l’énergie, tout le monde connaît.
L’intérêt de cette campagne c’est de recouper à la fois des initiatives locales et de les recouper au niveau national pour dégager des logiques et nommer les acteurs de ce flicage généralisé de la population qui est en train de s’installer.

Julia : D’accord. Laure à toi la parole.

Laure : Ma question va croiser un petit peu celle que Julia a posée par rapport au départ de ce contrôle numérique avec la loi Hadopi. Chaque crise qu’on a connue, les attentats terroristes du 11 septembre 2001 aux États-Unis, ceux pour la France de janvier et novembre 2015 ont été l’occasion de mettre en place une régression des libertés publiques. Est-ce que vous pouvez nous rappeler les lois qui ont été mises en place à chacune de ces crises et nous expliquer comment elles s’insèrent, finalement, dans ce contrôle numérique, ne serait-ce que lorsqu’on navigue sur Internet ?

Benoît : Ça va être très difficile de faire une liste exhaustive de ces lois parce qu’en fait il y en a minimum pratiquement une, voire deux par an depuis 15 ans. Majoritairement ce qu’on appelle les lois renseignement, les lois de programmation militaire aussi qu’il y a tous les ans ou tous les deux ans. Au sein de ces lois se cachent très souvent tout un tas de dispositifs qui permettent d’enregistrer des informations, par exemple d’enregistrer les données de connexion des gens qui utilisent Internet, donc enregistrer les connexions à certains sites, mais aussi les services. C’est une obligation en France : chacun des services est obligé de conserver pendant un an les données de connexion des gens qui sont venus publier des choses sur leur plateforme. C’est quelque chose, par exemple, qu’on a attaqué devant la Cour de justice de l’Union européenne.
Il y a aussi ce qu’on appelle des boîtes noires qui sont, en fait, des systèmes d’enregistrement du comportement des internautes en ligne pour essayer de déterminer s’ils n’auraient pas des comportements vis-à-vis des sites qu’ils vont voir en ligne qui seraient une démonstration d’une radicalisation. D’ailleurs, il y a eu rapport en fin d’année dernière démontrant que ça ne fonctionnait absolument pas, mais comme ça ne fonctionne pas, eh bien le gouvernement a décidé de prolonger de manière tout à fait naturelle.
Ce serait difficile de faire une liste exhaustive de l’ensemble des dispositifs qui sont mis en place depuis 2015 et même avant parce que, comme vous disiez, ça ne date pas uniquement des attentats parisiens, mais bien avant. Depuis au moins 2001 l’État décide d’utiliser contre nous les capacités de surveillance qui sont amenées avec Internet. C’est quelque chose contre lequel il faut qu’on lutte de manière assez importante parce que, finalement, cet outil d’émancipation est retenu contre nous, est utilisé contre nous.

Julia : Laure, si tu me permets, on va altérer un petit peu l’ordre de notre émission, parce qu’on a parlé des boîtes noires.

Laure : Tout à fait. Je te laisse approfondir la question.

Julia : Justement, c’est lié à la loi SILT [3] renforçant la sécurité intérieure et la lutte contre le terrorisme. Benoît vient de nous dire qu’elle a été prorogée au moins jusqu’à la fin de l’année, toujours au nom de la crise sanitaire. Je ne vois pas en quoi ça peut nous protéger du Covid, mais bon !

Benoît : Il me semble purement de l’organisation, c’est-à-dire qu’il n’était pas possible de voter la loi permettant la réduction à cause justement du décalage.

Julia : Dans ce sens-là, d’accord.

Benoît : C’est ça. À cause du décalage de l’organisation à l’Assemblée nationale, donc pour être sûrs ça n’allait pas légalement tomber ils se sont dépêchés de le proroger au moins jusqu’à la fin de l’année.

Julia : D’accord. Quand même, ces boites noires permettent de brasser des mégadonnées sur la base d’algorithmes qui déterminent, justement, ce que peut être un comportement déviant, etc. Quelles autres incidences y a-t-il sur notre société, finalement, le fait de gérer, de contrôler par la voie d’algorithmes ?

Benoît : Là c’est très vaste.

Mathieu : C’est une question immense.

Benoît : C’est une question à tiroirs parce que les algorithmes sont utilisés partout pour prendre des décisions et pas seulement dans les boîtes noires. En effet, on se rend là, par exemple dans les boîtes noires que ça ne fonctionne pas, c’est-à-dire que soit il n’y a pas tant de comportements déviants que ça, ce qui fait que les boîtes noires ont un résultat très faible. Je crois qu’il y a eu une signalisation de comportement dit déviant, mais on ne saura pas que ce que c’est puisqu’ils ne vont pas publier exactement l’algorithme décidant que quelqu’un est déviant. Soit, finalement, la manière de transformer ce qu’est un comportement déviant pour nos politiques en algorithme, eh bien ça ne fonctionne pas. On pourrait donner un deuxième exemple très intéressant qui est StopCovid. L’application TousStopCovid [4], c’est pareil. On essaye de transformer ce qu’est une contamination pour un infectiologue, pour un médecin, de quelle manière quelqu’un contamine une autre personne, on le transforme en algorithme et on voit bien que ça ne fonctionne pas non plus, c’est-à-dire que soit les données initiales ne sont pas les bonnes, c’est-à-dire qu’on n’a pas choisi la bonne méthode de contamination, on ne sait pas finalement comment on est contaminé, soit la transformation en algorithme, en fait, est erronée. Je rappelle, StopCovid c’est : vous êtes considéré comme potentiellement contaminé si vous êtes resté en contact pendant au moins 15 minutes à moins d’un mètre de distance avec une personne qui, a posteriori, s’est déclarée contaminée. C’est une manière de transformer en algorithme une donnée qui est, finalement, physique, linéaire, continue, de notre monde réel. C’est très compliqué, finalement, de transformer une donnée réelle en donnée algorithmique. Et typiquement, sur les boîtes noires, on voit bien qu’il y a quelque chose qui ne marche pas et, en plus, on ne saura jamais ce qui se cache derrière cet algorithme.

Laure : Pardon. Je veux juste intervenir pour dire, effectivement, la dérive de ces boîtes noires parce que là c’est StopCovid, là c’est pour voir une éventuelle radicalisation, mais enfin, ça peut s’appliquer à n’importe quel militant, qui va, par exemple, souvent et très régulièrement sur certains sites et qui peut être pointé du doigt comme quelqu’un de potentiellement dangereux.

Benoît : Bien sûr. On peut définir comme déviant à peu près tout ce qu’on veut, parce que c’est le politique qui va décider. On a un cas de Technopolice, justement, des micros que la municipalité voulait poser dans les rues, il me semble que c’est Valenciennes ou Saint-Étienne.

Mathieu : Saint-Étienne.

Benoît : C’était Saint-Étienne qui voulait poser des micros dans les rues et on avait obtenu les informations techniques de la pose de ces micros. Il y a un certain nombre de cas qui étaient détectés, de sons qui étaient détectés, d’évènements sonores, et cette liste, en fait, est purement politique. C’est-à-dire qu’on décide de détecter un certain nombre d’évènements et pas d’autres. Typiquement la scie circulaire était un cas détecté, le bruit de bombe de peinture était un cas détecté ; on voit bien ce que le politique souhaite cibler. C’est totalement une décision politique que l’algorithme vise un comportement et pas un autre. C’est quelque chose qu’il faut vraiment souligner : la technologie ou la transformation du réel et de la surveillance du réel en technologie, en algorithme, est quelque chose d’éminemment politique. La décision est politique. Donc ça dépend de qui met en place cet outil, donc des cadres, blancs, dans des grosses entreprises, qui ont un gros salaire et qui vont décider de ce que leur algorithme détecte. Ou des politiques, d’une certaine catégorie sociale, qui souhaitent lutter dans un certain sens, qui sont d’une certaine orientation politique et tout. Ces décisions sont éminemment politiques, il n’y a rien de technique là-dedans !

Julia : Justement, avec cette pandémie de la Covid-19, on voit bien cet aspect politique parce que les gouvernements, et pas seulement en France, se livrent à une surenchère technologique et sécuritaire pour pallier, justement, aux carences du système de santé, mais en fait pour mieux contrôler la population. Un de ces outils qu’ils utilisent c’est le téléphone. Le téléphone qui est devenu, je ne sais pas, un outil pratiquement nécessaire, duquel on ne peut pas se passer, mais qui est aussi pernicieux. Comment se protéger de ces intrusions et atteintes à notre vie privée ? Benoît.

Benoît : Avec les téléphones mobiles, donc les ordiphones, smartphones, téléphones mobiles comme on peut les appeler, aujourd’hui c’est très compliqué de complètement se protéger d’une fuite de données vers l’extérieur. Par exemple, dès que vous installez un Android classique, que vous achetez dans le commerce, tout un tas de données fuitent vers Google qui est le constructeur du système d’exploitation. C’est Google qui produit le système qui est dans le téléphone, qui s’appelle Android, et il récupère énormément de données. Sans installer quoi que soit, il y a déjà beaucoup de choses qui sortent.
Il y a un deuxième niveau en plus qui est que le constructeur du téléphone qui vous fournit en général votre smartphone avec tout un tas d’applications préinstallées. Par exemple, mon petit frère a acheté un téléphone chez Homi il y a peu de temps et il s’est retrouvé avec tout un tas de données qui affichent de la publicité dedans, qui remontent des informations vers l’entreprise qui lui a fourni le téléphone, donc chez Homi. Donc c’est très compliqué, finalement, de se débarrasser facilement de ces applications-là parce qu’elles sont dans le système.
Aujourd’hui, rien que le fait d’utiliser un smartphone, un ordiphone, est un problème pour la vie privée. Finalement, il faudrait soit ne pas utiliser de smartphone de ce type-là, soit installer des systèmes d’exploitation plus respectueux des données personnelles, mais ça devient tout de suite technique et ça limite la portée de cette protection.
Il y a des solutions, il y a quelques petites solutions :
il y a soit acheter uniquement des smartphones protégeant la vie privée, c’est-à-dire qui sont vendus avec des systèmes protégeant déjà la vie privée comme le Fairphone [5], ou des smartphones de ce type-là ;
il y a installer votre propre système comme LineageOS [6] ou des systèmes comme ça ;
il y a à minima mettre des outils de protection comme Blokada [7] qui vont empêcher les publicités de pouvoir être affichées sur votre smartphone ;
ne pas installer d’applications qui vous surveillent, donc limiter l’installation des applications Google, des applications Facebook ou d’autres applications comme ça dont le service rendu n’est pas seulement de vous afficher des flux d’informations ou des choses comme ça, mais aussi de vous espionner.
On pourra souligner aussi l’intérêt de nos amis de chez, je n’ai plus le nom en tête.

Mathieu : J’ai besoin d’indices pour t’aider !

Benoît : Qui permet de vérifier ce qu’il y a comme outils de remontée d’informations.

Mathieu : Exodus Privacy.

Benoît : Exodus Privacy, exactement. Nos amis d’Exodus Privacy [8] fournissent des outils permettant de vérifier ce qui se passe dans les applications en plus du service fourni, c’est-à-dire tous les petits trackers qui se cachent à l’intérieur.

Mathieu : C’est quelque chose de très malin et très simple, c’est un petit site, Exodus Privacy, ça doit être point org ou point net.

Benoît : Et une application.

Mathieu : Et une application, aussi, qui se contente juste de signaler, pour chacune des applications qu’on trouve dans les grandes plateformes, Apple Store et Google Play Store, c’est ça les noms, de donner juste la liste des trackers, donc des mouchards qui sont intégrés plus ou moins volontairement par les développeurs de l’application. En fait, ces mouchards sont déjà dans les boîtes à outils logiciels que les développeurs utilisent, à leur corps défendant, mais bon ! Donc ça permet d’évaluer, pour chaque application, l’atteinte qu’elle porte à votre vie privée, on peut le dire comme ça.

Julia : Il y a un côté pernicieux. Par exemple, pendant la pandémie de la Covid, quand on présentait le tracking, un avocat dont je n’ai pas retenu le nom dénonçait ça en disant que c’est un bracelet électronique pour chaque personne. Mais en même temps, le côté pernicieux c’est qu’on devait faire ça pour le bien de tout le monde, parce que ça permettait de protéger. Cet aspect politique et pernicieux va faire que…

Mathieu : Le discours qui est celui de la Quadrature du Net à ce moment-là, donc pendant le confinement, est difficile à tenir. Évidemment, tout le monde souhaite combattre l’épidémie de Covid-19. Je veux dire que c’est une cause gagnée d’avance, on n’a pas besoin de convaincre les gens de lutter contre ça. Le discours qu’on tenait consistait à dire « attention, il y a des moyens plus intelligents que de se ruer dans la surveillance électronique ». Effectivement, je comprends que pour un politique ou un gouvernant ça soit l’idéal que chacun installe spontanément l’application qui permettra de savoir qui est malade, qui ne l’est pas et peut s’approcher de qui.

Julia : Et on le responsabilise aussi. Si tu parles au micro c’est bien.

Mathieu : Il paraît que j’étais trop loin du micro. La réponse qu’on donnait à ça c’était tout simplement de recourir à des moyens humains dans tous les sens de l’humanité, c’est-à-dire que ça soit des humains qui le fassent et qui le fassent aussi avec humanité et pas tout déléguer à des instances techniques.

Benoît : Les outils techniques ont une portée qui est quand même relativement limitée parce que tout ce qu’elle [application StopCovid, NdT] va dire c’est éventuellement remonter qu’une personne que vous avez croisée peut être contaminée, donc peut-être que ce serait bien que vous vous fassiez tester. Je rappelle que c’est quand même un virus et une pandémie qu’on n’a jamais connue donc on avait très peu d’informations. L’enquête humaine sur les modes de contamination est très importante, aujourd’hui on continue. Cette semaine, je voyais une analyse concernant un bus dans lequel une personne contaminée avait diffusé le virus aux autres personnes qui étaient dans le bus, un car plutôt qu’un bus, donc les gens étudiaient un peu sa diffusion, comment elle s’était répartie au sein du car, à travers la climatisation et tout. C’était quelque chose qui avait été fait en août avec quelque chose qui date, quand même, de novembre dernier.
Donc on a peu d’informations et c’était quand même assez surprenant qu’on pousse une technologie aveugle qui est finalement juste un outil, un robot qui va juste transmettre des informations d’une personne à l’autre, plutôt que d’avoir des gens qui vont enquêter, essayer de comprendre ce qui se passe avec cette épidémie, comment elle se transmet de l’un à l’autre. Et même à l’époque où le gouvernement poussait fortement StopCovid on était en train de travailler sur un restaurant dans lequel une seule personne avait contaminé une quinzaine d’autres personnes dans le restaurant et on était en train de se dire est-ce que la climatisation ne serait pas un vecteur de contamination ? Pourquoi, comment et autres ? Avec une application comme StopCovid on n’aurait jamais pu comprendre ce mode de contamination.
Donc outre le phénomène de tracking, de banalisation de la surveillance de masse, de l’acceptabilité d’outils de surveillance de masse liée à l’installation d’une simple application sur la simple demande du gouvernement permettant de tracker qui a rencontré qui, à quel moment, outre ça, en fait c’est non fonctionnel. D’ailleurs on le voit : on est au 31 août à 104 personnes qui ont été informées d’une possible contamination par quelqu’un qui s’est révélé positif, après combien de temps d’usage, il me semble que c’est en juin qu’elle apparaît, quatre mois d’usage, ce qui est vraiment faible pour une communication faramineuse, entre 200 et 300 000 euros par mois de coût de fonctionnement de l’application. Franchement, si ce n’était pas grave en termes de libertés publiques, on attaque des libertés publiques, finalement ça nous ferait rire.

Laure : Peut-être éventuellement avant une pause musicale, Julia c’est toi Julia qui nous diras.

Julia : Tout à fait.

Laure : Je voudrais faire simplement un petit commentaire. Effectivement, l’état d’esprit sécuritaire et autoritaire dans lequel nous vivons à l’heure actuelle, je pense que ça « justifie », entre guillemets, cette manière de procéder. On est derrière une technique qu’on ne comprend pas, il y a presque une espèce de magie bizarre qu’on subit. Ça c’est mon premier commentaire. La deuxième chose que je voulais dire c’est un petit témoignage qui m’est arrivé tout à fait dernièrement à savoir que, comme je prends souvent les transports en commun ou je prenais souvent les transports en commun en tout cas, je voulais mettre une appli SNCF pour avoir les horaires en temps réel, parce que souvent, sur ma ligne, il y a quelques problèmes. À ce moment-là j’apprends que si je veux mettre cette appli il faut qu’on ait accès à mes contacts, accès à mon agenda, accès à ma localisation, accès à mes photos. Mais enfin, en quoi ils ont besoin d’avoir ce type d’informations pour que je puisse mettre cette appli sur mon portable ?

Julia : Matthieu va te dire quelque chose ! C’est Benoît.

Benoît : En effet c’est un problème que cette application vous demande l’accès à ces informations-là. Il faut savoir que le Réglement général sur la protection des données [9] demande qu’il y ait une minimisation des données utilisées par tout service, c’est-à-dire que le service n’utilise que les données strictement essentielles au fonctionnement du service. Cette application SNCF pourrait éventuellement vous demander votre position géographique parce que ça lui permet de vous dire automatiquement quels sont les trains qui sont disponibles autour de vous, mais pratiquement ça n’est pas obligatoire, c’est-à-dire que vous pourriez très bien lui dire « je veux connaître les trains qui vont arriver autour de cette position ou à cette gare », donc elle n’est pas obligée de vous le demander. L’accès à vos photos, l’accès à vos contacts, c’est très surprenant et elle pourrait vous demander uniquement si vous dites « j’aimerais bien partager l’application ou tel horaire de train avec mes contacts », et ne vous le demander qu’à ce moment-là.
En tout cas, elle ne doit pas s’empêcher de fonctionner, elle ne doit pas vous obliger, pour pouvoir utiliser l’application, d’avoir accès aux contacts.
Dans le fonctionnement actuel des systèmes d’exploitation mobiles, c’est vrai que vous demander l’accès à ces informations-là avant d’arriver sur l’application est un problème parce qu’on peut avoir l’impression que c’est obligatoire pour pouvoir accéder à l’application, à l’outil. En réalité, normalement, l’application devrait quand même fonctionner si vous dites non.

Laure : Le problème c’est qu’il n’y avait aucun onglet qui me permette de refuser, du coup évidemment je n’ai pas mis l’application sur mon portable, je me débrouillerai autrement. Évidemment, je ne suis pas la seule personne à qui c’est arrivé, qui a constaté personnellement ce genre de chose à plusieurs reprises. Il y a des applications, comme ça, qui se permettent d’être extrêmement intrusives sur nos portables.

Benoît : Il y a une instance qui s’appelle la CNIL [10] sur laquelle vous pouvez déposer une plainte quand des applications, des services ou autres vous demandent des informations qu’ils n’ont pas à vous demander et vous empêchent, en plus, d’y accéder si vous refusez de les donner. Dénoncer ces services c’est quelque chose qu’il ne faut pas hésiter à faire, parce que c’est totalement illégal de vous obliger à fournir des informations personnelles comme la liste de vos contacts ou l’accès à vos photos pour pouvoir accéder à un service. Il ne faut vraiment pas hésiter.

Julia : On va faire la pause musicale.

Laure : Vous êtes toujours à l’écoute de Fréquence Paris Plurielle 106.3 et c’est l’heure de L’HEBDO qui est consacré aujourd’hui au contrôle numérique qui s’installe de plus en plus dans nos sociétés. Nous sommes avec Mathieu et Benoît de La Quadrature du Net pour qu’ils puissent répondre à nos questions. Donc moi j’en ai une de question, parce que si cette pandémie a été pain-béni, est d’ailleurs toujours pain-béni pour les opérateurs téléphoniques, c’est également une aubaine pour la Poste et plus largement pour les GAFAM. Est-ce que vous pouvez nous expliquer ce qu’ils ont mis en place comme offres et quels sont les marchés qu’ils proposent aux autorités ?

Benoît : Pour la Poste, j’avoue que je n’ai pas vraiment d’informations sur un marché qu’elle aurait ouvert vis-à-vis des autorités. Je sais que pendant la pandémie un certain nombre d’entreprises, justement liées à la surveillance, se sont mises en avant pour proposer tout un tas d’outils dans le cadre de la lutte contre la pandémie, ont ouvert des comptes gratuits pour les collectivités locales sous la forme un peu du dealer de drogue « je te donne la première dose gratuitement et la prochaine tu me la paieras », en disant « vous allez pouvoir accéder à tout un tas d’informations et ça va vous permettre de voir certaines choses sur votre population. Ensuite, si vraiment vous voulez continuer, on verra pour un abonnement ». Il y a tout un tas d’entreprises qui ont proposé ça, même à l’AP-HP, par exemple, les hôpitaux de Paris, en leur disant « on va vous aider à lutter contre la pandémie, à vous dire là où il y a des lits disponibles, là où il y a les plus grands foyers d’infection ». Finalement l’AP-HP a dit « non, vous êtes bien gentils, mais on va se débrouiller tout seuls ».
En fait, le premier coup de lancement qui a été fait ça a été Orange au tout début de la pandémie qui a donné une information qui a fait les unes des journaux et même. Il ne l’a pas dit en son nom propre au départ, il a fallu un petit peu d’enquête pour savoir d’où venait ce chiffre, c’est le chiffre de 17 % de Parisiens qui avaient quitté la capitale au début de la pandémie. Au départ, on s’était dit que c’était la baisse de la consommation électrique, ou des choses comme ça, et finalement c’est Orange qui a annoncé qu’avec leur outil Flux Vision ils avaient pu suivre leurs clients et ça leur avait permis de savoir que 17 % de leurs clients avaient quitté la capitale. Déjà, leurs clients ce n’est pas 100 % des Parisiens, donc le chiffre est un peu biaisé. On s’est fendu d’un article à ce sujet-là, une dénonciation en disant « en fait, Orange est en tain d’utiliser des données de ses clients, des données personnelles de ses clients, pour faire des statistiques qui n’ont rien à voir avec la fourniture du service ». Encore une fois, ce sont des entreprises qui s’asseyent sur le droit pour fournir des informations aux autorités, finalement en disant « regardez, moi je suis assis sur des informations personnelles, je vais pouvoir en extraire des choses et puis aider à la lutte contre le Covid ». La période de la pandémie ce n’est pas une période où on peut s’asseoir sur le droit et aller dire tout et n’importe quoi sous prétexte qu’on va lutter dans un cadre pour le bien de l’humanité, donc il faut le rappeler aux entreprises. On a vraiment vu une grande diffusion d’informations, de propositions d’entreprises de la sécurité, disant « on va vous aider à surveiller la population ». C’était à l’époque de StopCovid, on a eu une entreprise qui fait des outils pour les objets connectés disant par exemple : « Nous, on peut vous fournir un objet connecté qu’on accrocherait au poignet ou à la cheville des gens pour pouvoir surveiller leurs déplacements et voir s’il y a des risques de contamination, de rassemblement de gens et tout », ce qu’on appelle communément un bracelet électronique qui est dédié, en fait, aux gens qui sont condamnés. Donc on a des patrons d’entreprises qui sont prêts à proposer au gouvernement de mettre des bracelets électroniques à l’ensemble de la population, vraiment sans arrière-pensée. C’est dire le danger et la proximité d’une surveillance globale de laquelle on est, puisque, finalement, tout un tas de gens qui sont en situation de pouvoir, d’entreprises qui discutent avec les pouvoirs publics, sont prêts à fournir des outils de surveillance globale vraiment sans arrière-pensée et c’est quand même extrêmement dangereux.

Julia : Matthieu prend la parole.

Mathieu : Il y a vraiment un opportunisme de ces entreprises et on observe, avec notre plateforme Technopolice, le développement de ce qu’on appelle la reconnaissance faciale, parfois abusivement. Il faudrait peut-être plutôt parler de reconnaissance biométrique parce que les logiciels qui sont branchés sur les caméras de surveillance ne surveillent pas forcément les traits du visage, mais peuvent aussi chercher à identifier des silhouettes, des démarches, tout un tas d’autres critères physiques très identifiants, qui permettent de singulariser une personne dans la foule.
Il y a en particulier un test en cours à la station Châtelet du métro parisien qui est un gros nœud ferroviaire par lequel des centaines de milliers, peut-être des millions de gens chaque jour. La RATP avait passé un accord avec une entreprise dont j’ai oublié le nom, Benoît l’a peut-être en tête, qui proposait donc des logiciels de reconnaissance biométrique branchés sur les caméras de la RATP ou peut-être même avaient-ils installé des caméras propres, je ne sais plus, et qui devaient, juste avant le confinement, fonctionner et détecter des comportements suspects. Là encore c’est un grand mystère, c’est-à-dire qu’on ne sait pas lesquels, mais il y avait donc un certain nombre de critères arbitraires.

Benoit : Il y en avait un qui était de détecter les gens qui faisaient la manche ou autre.

Mathieu : Ce qu’ils appellent la maraude. Si on restait immobile 600 secondes ? Cinq minutes ?

Benoît : C’était ça.

Mathieu : 300 secondes.

Benoît : Si on restait quelques minutes à ne pas bouger, une alerte était lancée et on envoyait une patrouille pour déloger la personne. Ils se sont très vite rendu compte qu’en fait tous les touristes perdus dans les échangeurs de Châtelet étaient détectés comme anomalie.

Mathieu : Exactement. Étaient suspects aux yeux du logiciel.

Laure : On ne peut plus rester immobile dans le métro si je comprends bien

Mathieu : Bref ! Tout ça a été lancé peu avant le confinement, le métro a évidemment été désert brutalement pendant deux mois et il ne se passe plus rien. Et que se passe-t-il pendant le déconfinement ? Eh bien la même société revient voir la RATP en disant « c’est super, on peut faire de la détection de visages non masqués ». C’est-à-dire que leur opportunisme et leur volonté de bien faire fait qu’ils sont toujours très inventifs.

Laure : Est-ce que c’est vraiment une volonté de bien faire ? Dans quel sens on peut le prendre ?
Ce que je voulais rajouter simplement c’était que toutes ces initiatives, si on peut dire, ces décisions sécuritaires, sont d’autant plus présentes qu’en même temps il y a de la part du gouvernement une volonté de remettre tout le monde au travail. En parallèle, toutes ces personnes, tous ces salariés qui doivent retourner au travail, qu’ils soient fragiles ou pas fragiles – comme on a pu le voir dernièrement, il y a cette liste qui était parue, qui était vraiment très restreinte, de gens qui avaient le droit de ne pas aller au travail et de rester en télétravail par exemple – tout cet afflux de salariés qui doivent retourner travailler, finalement, c’est aussi en parallèle avec cette volonté de surveiller encore plus massivement la foule. Non ?

Mathieu : Oui. Cette volonté de reprendre l’activité économique à tout prix est flagrante. Ça dépasse largement le cadre de nos sujets à La Quadrature du Net, mais c’était flagrant, évidemment, au moment où ils ont voulu imposer l’usage de StopCovid. Il y avait très clairement l’idée qu’on pouvait tous reprendre une activité normale à condition d’installer l’application qui nous préviendrait en cas de danger. Visiblement. La technologie, ce qu’on appelle le solutionnisme technologique, c’est-à-dire la solution miracle, un peu magique, qui était censée lubrifier la crise économique, bien sûr. C’était flagrant à ce moment-là.

Julia : En fait, l’État se sert de technologies déjà existantes, qui n’étaient pas forcément connues de tout le monde ou bien qui avaient en aval une existence légale, pour apporter cette réponse sécuritaire. Par exemple les drones qui sont très courants dans les manifestations depuis un certain temps, je ne sais pas si effectivement, du point de vue légal, cette technologie correspond à quelque chose. Cette reconnaissance faciale aussi, que vous avez évoquée depuis le début, c’est quand même le plus important pour, comment on peut dire, cette surveillance des libertés par ordinateur. Ce sont des choses qui étaient sous-jacentes, qui retrouvent là une certaine valeur utilitaire et qui vont se développer davantage. Comment réagissez-vous vis-à-vis, par exemple, des drones, de la reconnaissance faciale ?

Benoit : On a en effet attaqué, pendant le confinement, l’usage des drones pour surveiller la teneur du confinement et on a gagné devant le Conseil d’État. Il a en effet été reconnu que les drones étaient utilisés ou en tout cas leurs caméras, donc le flux vidéo était utilisé sans aucun support juridique. En effet, la question de savoir qu’il y a un usage des drones pendant les manifestations pose question. Sous quel prétexte les autorités policières utilisent-ils des drones avec une surveillance caméra sans avoir un quelconque support juridique derrière ? L’usage de ces technologies-là qui, en effet comme vous le soulignez, existe depuis quelque temps, pas forcément par la police mais dans un cadre sécuritaire, change quand même pas mal la donne. Elles changent la quantité de données qui est obtenue par la police, elles changent la nature des données obtenues par la police. Ce qu’on souhaite c’est qu’il y ait un cadre derrière, qu’on comprenne ce qui est utilisé, combien de temps c’est conservé, qui a accès à ces données, à quoi elles vont servir exactement. On voit tout un tas de débordements par la question policière sur la question de la reconnaissance faciale. On a, par exemple, un contentieux qui a été lancé en août – même pendant les vacances on continue à travailler – puisqu’on a un recours contre l’usage du Taj, le fichier de Traitement d’antécédents judiciaires, qui est utilisé par la police pour faire de la reconnaissance faciale. Je rappelle que le Taj ce sont huit millions de photos, il me semble que ce sont 17 millions d’individus.

Mathieu : C’est un fichier de police dans lequel entrent toutes les personnes qui sont impliquées dans un délit ou un crime, y compris les victimes ou les témoins qui rapportent ce qu’ils ont vu. Il y a tout un tas de photos de visages qui sont dans ce fichier.

Benoit : Huit millions de photos de visages et la police peut utiliser aujourd’hui, elle se permet d’utiliser ce fichier pour faire de la reconnaissance faciale, de la comparaison faciale même. C’est-à-dire qu’elle a, par exemple, une caméra de vidéosurveillance qui a filmé quelque chose — ce n’est même pas forcément un délit —, elle veut reconnaître la personne et elle va demander à un logiciel de retrouver, à l’intérieur du fichier du Traitement d’antécédents judiciaires, ce visage. Donc elle va obtenir un nom, plusieurs noms au départ, je crois qu’il y a une vingtaine de noms qui sortent. À la fin, l’officier va comparer cette vingtaine de visages et essayer de retrouver la personne qui correspond à ce visage-là. En fait, c’est aujourd’hui un usage de la reconnaissance faciale qui pose énormément de problèmes. On lutte, on demande l’interdiction totale de l’usage de la reconnaissance faciale dans un cadre policier et urbain. Aujourd’hui, en fait, cette reconnaissance faciale est déjà appliquée dans l’espace urbain, ce qui pose un vrai problème juridique et, finalement, de libertés. C’est en particulier une limitation des manifestations, de la liberté d’aller et venir si la police peut, sur une simple réquisition d’un flux vidéo d’une caméra, aller savoir qui vous êtes, donc savoir, dans une manifestation, qui a manifesté, par exemple, contre le gouvernement. C’est tout à fait possible, aujourd’hui, en faisant de la comparaison avec le Taj.

Julia : Laure, est-ce qu’on peut faire une deuxième pause musicale ?

Laure : Absolument.
Vous êtes toujours à l’écoute de Fréquence Paris Plurielle 106.3 et de L’HEBDOqui, aujourd’hui, s’intéresse au contrôle numérique qui s’installe de plus en plus dans nos sociétés et nous sommes toujours avec nos invités, Mathieu et Benoît de La Quadrature du Net, pour répondre à nos questions.
J’avais une petite question supplémentaire. Il y a quelque temps déjà, j’ai appris qu’il y avait eu un essai de puce électronique insérée sous la peau d’utilisateurs volontaires pour cette expérience. Est-ce que vous avez également suivi cet essai ? Est-ce que vous avez réussi à avoir des infos, ne serait-ce que pour savoir si ces essais sont toujours en cours ?

Benoît : C’est quelque chose qui date d’il y a très longtemps. Il y a déjà une quinzaine d’années, il me semble, des hôtels avaient mis en place ce genre de chose. Je crois qu’il y a une dizaine d’années une entreprise, sur du paiement automatique. C’est-à-dire que vous êtes à la plage et ça vous permet d’éviter d’avoir votre portefeuille sur vous. Des entreprises mettaient ça en place pour l’accès aux bâtiments par leurs salariés. C’est quand même assez surprenant que des gens acceptent de se faire mettre une puce RFID sous la peau, c’est de la radiofréquence, pour pouvoir permettre uniquement de payer ; c’est quand même très surprenant ! Maintenant est-ce que ça continue aujourd’hui ? Je ne saurais pas dire. Je ne pense pas que ce soit une technologie qui ait un grand avenir parce que c’est quand même très intrusif, même physiquement, et puis laisser une trace continue de qui vous êtes en permettant, finalement à n’importe qui, de lire votre carte d’identité quand vous passez à proximité, c’est quand même assez surprenant. Il n’y a pas d’informations particulières sur un mécanisme de ce type-là en ce moment.

Julia : Justement, par rapport à des tests ou des projets pour d’autres technologies de surveillance, de contrôle, on en parlait hors antenne, à l’occasion des Jeux Olympiques, il y a des choses qui étaient en perspective.

Benoît : Pour les Jeux Olympiques, on le voit venir, il y a beaucoup de projets. Par exemple, les Yvelines ont commandé à des entreprises des projets de surveillance dans le cadre du fonctionnement d’un certain nombre de sports qui seront situés là-bas ; l’ARS [Agence régionale de santé] a lancé des appels à projets sur des outils de surveillance de l’espace urbain, donc de la reconnaissance faciale de différents sujets, de différentes personnes dans une foule, la détection d’événements de foule, savoir si, tout d’un coup, il n’y aurait pas des mouvements de foule à certains endroits. Tout un tas de projets comme ça et les Jeux Olympiques risquent, aujourd’hui, d’être vraiment un lieu de test où le public va servir de cobaye au développement de technologies de surveillance généralisée, pour créer des outils qui demain, après 2024 – mais d’ici 2024 on a encore le temps d’avoir tout un tas d’évolutions – vont permettre de faire de la surveillance de masse vraiment extrêmement importante.
C’est assez surprenant qu’un événement tel que les Jeux Olympiques serve d’argument de développement d’outils de surveillance de masse tels qu’on les voit venir. Et on les voit, ce sont des projets qui sont tout à fait publics sur le site de l’ARS, des appels à projets publics par le département des Yvelines, par la ville de Paris. Et même la CNIL a envoyé hier une interview de sa présidente qui disait que oui, si ça se révélait être un projet qui visait à une amélioration de la sécurité, eh bien finalement pourquoi ne pas mettre en place des outils de surveillance de masse dans le cadre des Jeux Olympiques. C’est quand même extrêmement grave, finalement, que même le gendarme des données personnelles donne son blanc-seing au développement de technologies de ce type.

Laure : Justement, j’allais vous demander quelles étaient les positions de la CNIL sur tout ce que vous avez exposé durant cette émission. Il y a déjà un début de réponse qui est quand même assez inquiétant !

Benoît : On est assez inquiets du fonctionnement de la CNIL ces dernières années. On travaille quand même pas mal avec eux sur un certain nombre de sujets. On les a attaqués l’année dernière, en août 2019, sur le sujet des cookies, ces petits fichiers qui sont déposés par les sites que vous visitez ou par les services qui sont hébergés par les sites que vous visitez. Par exemple vous allez sur le site du Monde, du Figaro ou d’autres sites d’information et même plein d’autres, ils autorisent des entreprises qui fournissent de la publicité à déposer ces petits fichiers, permettant de suivre votre navigation à travers Internet.
La CNIL aurait dû, depuis longtemps, dire que ces fichiers n’étaient absolument pas autorisés à être déposés sur votre machine s’il n’y avait pas un consentement explicite de votre part, avec des bandeaux clairement dessinés pour que vous compreniez ce que ça voulait dire et non pas des gros boutons « OK j’accepte tout » et un tout petit bouton blanc sur fond blanc, écrit en blanc, disant « je refuse l’accès à ces cookies ».
La CNIL aurait dû définir qu’il fallait protéger l’utilisateur et elle a repoussé : aujourd’hui, la ligne de directrice de comment est-ce qu’on doit demander l’autorisation à l’utilisateur n’est toujours pas publiée. C’est une des choses sur lesquelles on a carrément attaqué la CNIL devant le Conseil d’État et on a perdu. Le Conseil d’État a dit « oui, effectivement, la CNIL a le droit de remettre à plus tard les lignes directrices visant à protéger les utilisateurs », ce qui est un problème. En plus, on voit très souvent la CNIL protéger finalement plus les entreprises ou les administrations qui souhaitent surveiller les utilisateurs que contre l’usage de leurs données personnelles. C’est quelque chose qui nous pose énormément de problèmes, en particulier cette interview de la présidente de la CNIL qui dit « oui, finalement, si c’est pour plus de sécurité, eh bien on peut aller surveiller plus les gens ». C’est une tendance qui nous pose énormément de problèmes.

Julia : Notamment par rapport à la reconnaissance faciale, il n’y a pas eu de mise en garde de la CNIL par rapport aux risques, aux dérives possibles de cette utilisation ?

Benoît : C’est très amusant. On avait eu un débat avec une députée, en début d’année 2020, qui nous disait : « Pourquoi vous vous battez contre la reconnaissance faciale, elle n’est pas autorisée aujourd’hui ! ». En réalité, on voit la reconnaissance faciale utilisée dans un tas de cas, en particulier un cas pas amusant mais finalement très démonstratif de l’usage de la reconnaissance faciale, à Nice encore. Pendant le carnaval de Nice, la mairie a décidé de mettre en place un test grandeur nature de reconnaissance faciale dans le cadre du carnaval, en prévenant pas très longtemps avant et puis en disant à la fin « vous voyez, ça a super bien fonctionné », mais en ne donnant jamais les résultats réels, c’est-à-dire les conditions dans lesquelles ça s’est passé, les outils utilisés, finalement les modalités techniques des conditions de réalisation de ce test.
En fait, on a tout un tas de tests qui sont faits partout sur le territoire disant « oui, c’est une expérimentation, on a le droit de le « faire ». Par exemple, il y en a eu une à Metz, dans le stade, en disant on va utiliser la reconnaissance faciale pour retrouver les gens qui sont interdits de stade ». C’est toujours très gentil, très sympa et tout, « on va protéger les gens », mais finalement c’est un usage d’une technologie extrêmement intrusive et qui est, d’ailleurs, interdite puisque le Réglement général sur la protection des données dit que l’usage d’une technologie de reconnaissance biométrique, l’usage d’une donnée biométrique, ne peut être fait que s’il n’y a absolument aucune autre méthode permettant d’obtenir le même résultat.
Évidemment, vous imaginez bien que détecter les interdits de stade ou essayer de retrouver des gens qui sont recherchés, eh bien il suffit d’avoir des humains qui vont chercher ces personnes-là, des policiers qui sont formés à ça, d’ailleurs, à l’entrée des lycées, mettre des surveillants comme c’est habituellement le cas dans un lycée, plutôt que de déléguer à des machines la finalité de retrouver des gens dans une foule.

Julia : Je pense que notre émission est arrivée à sa fin, Laure.

Laure : Je suis en regarder l’heure et je me dis que L’HEBDO c’est terminé pour aujourd’hui. Notre émission sera rediffusée mercredi prochain de 8 heures à 9 heures, je ne me trompe pas Julia ?

Julia : Non, tu ne te trompes pas.

Laure : Vous pourrez retrouver l’enregistrement de cette émission sur notre site hebdo-julialaure.info. Je rappelle aussi qu’on peut toujours écouter notre radio et nos émissions via Internet sur notre site rfpp.net
Merci beaucoup à Mathieu et Benoît d’avoir participé à notre émission. Merci à toi Lucien pour la technique et puis merci à toi Julia.