PROJET AUTOBLOG


La Quadrature du Net

Site original : La Quadrature du Net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Le Conseil constitutionnel restreint le droit au chiffrement

mercredi 4 avril 2018 à 15:11

4 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.

Surveillance généralisée des citoyens : La Quadrature du Net attaque les opérateurs mobiles

jeudi 22 mars 2018 à 15:35

22 mars 2018 - Quatre bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

PS: un exemple de ce que sait votre opérateur mobile sur votre localisation

Fichier attachéTaille
4op.png41.43 Ko

Surveillance généralisée des citoyens : La Quadrature du Net attaque les opérateurs mobiles

jeudi 22 mars 2018 à 15:35

22 mars 2018 - Quatre bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

PS: un exemple de ce que sait votre opérateur mobile sur votre localisation

Fichier attachéTaille
4op.png41.43 Ko

La surveillance policière dopée aux Big Data arrive près de chez vous !

mardi 20 mars 2018 à 13:35

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Mise-à-jour (7 juin 2018) - Outre le Cahier des Clauses Techniques Particulières, trois nouveaux documents sont disponibles :

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Le Centre de supervision urbaine de Marseille, en février 2013 (Photo Olivier Monge. Myop).

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

Fichier attachéTaille
CCTP_ObservatoireBigData_Marseille.pdf5.82 Mo
BDTP-CCAP.pdf764.35 Ko
BDTP-Rapport_candidatures.pdf2.01 Mo
BDTP-Intégration_système_dinformation.pdf5.75 Mo

La surveillance policière dopée aux Big Data arrive près de chez vous !

mardi 20 mars 2018 à 13:35

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Le Centre de supervision urbaine de Marseille, en février 2013 (Photo Olivier Monge. Myop).

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

Fichier attachéTaille
CCTP_ObservatoireBigData_Marseille.pdf5.82 Mo
Error happened! 0 - Call to undefined function simplexml_load_string() In: /var/www/Projet-Autoblog/autoblogs/autoblog.php:364 http://www.couturat.fr/Projet-Autoblog/autoblogs/wwwlaquadraturenet_44e8acc42497346e638a15ab33c4994359e275c3/?28 #0 /var/www/Projet-Autoblog/autoblogs/autoblog.php(932): VroumVroum_Blog->update() #1 /var/www/Projet-Autoblog/autoblogs/wwwlaquadraturenet_44e8acc42497346e638a15ab33c4994359e275c3/index.php(1): require_once('/var/www/Projet...') #2 {main}