Il y a deux mois, la Commission européenne a publié sa proposition de règlement « censure antiterroriste ». Nous le dénoncions, expliquant que ce projet aura pour effet de détruire l’ensemble du Web décentralisé. Depuis, nous avons rencontré les ministères français en charge du dossier : nos craintes se sont amplifiées.

La France, avec le soutien de l’Allemagne et du Parlement européen, va tout faire pour empêcher un débat démocratique sur ce texte : le gouvernement n’en parle pas dans la presse, veut forcer son adoption urgente et invoque le secret-défense pour empêcher tout débat factuel.

Pourquoi tant de secret ? Probablement parce que ce texte, écrit en collaboration avec Google et Facebook, aura pour effet de soumettre l’ensemble du Web à ces derniers, à qui l’État abandonne tout son rôle de lutte contre les contenus terroristes. La collaboration annoncée lundi par Macron entre l’État et Facebook n’en est que le prémice, aussi sournois que révélateur.

Pour rappel, le texte, poussé par la France et l’Allemagne, utilise le prétexte de la lutte contre le terrorisme pour soumettre l’ensemble des hébergeurs (et pas seulement les grandes plateformes) à des obligations extrêmement strictes :

• retrait en une heure de contenus qualifiés de terroristes par une autorité nationale (en France, ce sera l’OCLCTIC, le service de la police chargé de la cybercriminalité) 
• la mise en place d’un « point de contact » disponible 24h/24 et 7j/7 
• l’instauration de « mesures proactives » pour censurer les contenus avant même leur signalement  si ces mesures sont jugées insatisfaisantes par les États, ces derniers peuvent imposer des mesures spécifiques telles que la surveillance généralisée de tous les contenus.

D’un point de vue humain, technique et économique, seules les grandes plateformes qui appliquent déjà ces mesures depuis qu’elles collaborent avec les polices européennes seront capables de respecter ces obligations : Google, Facebook et Twitter en tête. Les autres acteurs n’auront d’autres choix que de cesser leur activité d’hébergement ou (moins probable, mais tout aussi grave) de sous-traiter aux géants l’exécution de leurs obligations.

Ce texte consacre l’abandon de pouvoirs régaliens (surveillance et censure) à une poignée d’acteurs privés hégémoniques. Pourtant, la Commission et les États membres, en 146 pages d’analyse d’impact, ne parviennent même pas à expliquer en quoi ces obligations pourraient réellement être efficaces dans la lutte contre le terrorisme.

Voir notre analyse (PDF, 1 page).

Un débat impossible

Ces dernières semaines, nous avons fait le tour des ministères chargés de la rédaction et de la négociation de ce texte au niveau européen. Il en résulte que le gouvernement français, chef de file sur ce dossier, veut convaincre les autres États membres et les institutions de l’Union européenne d’adopter le texte tel qu’il est écrit aujourd’hui, et dans un calendrier très serré (adoption avant les élections européennes de mai 2019) afin d’empêcher tout débat démocratique sur le sujet.

Tout montre que le Parlement européen est prêt à collaborer avec les États membres pour faire adopter ce règlement sans débat. Helga Stevens (Belgique, ECR – conservateurs), rapporteure principale sur ce texte, a déjà publié en juin, et de sa propre initiative, un rapport qui présente les mêmes idées reprises dans ce règlement.

Les « rapporteurs fictifs » (les députés désignés par leur parti politique pour négocier le texte) sont en majorité tout aussi alignés sur ces positions, à l’image de Rachida Dati (France, PPE – droite européenne) et de Maite Pagazaurtundua (Espagne, ALDE – libéraux) qui défendent depuis longtemps l’idée d’une telle censure. Eva Joly (France, Verts) avait pour sa part accepté sans souci la censure privée dans la directive terroriste, finalement adoptée début 2017. Il semblerait que, cette fois, le texte aille trop loin pour elle et nous espérons qu’elle saura se battre contre.

Toutefois, dans la perspective des élections européennes, aucun parti politique du Parlement européen ne semble prêt à combattre la stratégie sécuritaire du gouvernement français, en lien avec l’Allemagne et d’autres États membres. Alors que ce texte semble directement inspiré par les politiques autoritaires mises en place par le gouvernement chinois pour contrôler Internet, Emmanuel Macron et Angela Merkel démontrent que leur « axe humaniste » mis en exergue dans le cadre de la campagne des européennes n’est que pure posture politicienne. Ce projet de règlement est une véritable insulte au projet démocratique européen.

Remplacer l’État par les géants du Web

Quand nous avons dit aux ministères que leur texte détruirait l’ensemble du Web décentralisé, ne laissant qu’une poignée de géants en maîtres, on nous a laissé comprendre que, oui, justement, c’était bien le but.

Tranquillement, nos interlocuteurs nous ont expliqué que Google-Youtube et d’autres multinationales numériques avaient convaincu le gouvernement que la radicalisation terroriste était facilitée par les petites et moyennes plateformes, et qu’il fallait donc laisser la régulation du Web aux seuls géants prétendument capables de la gérer. Où sont les preuves de cette radicalisation plus facile en dehors de leurs plateformes ? Nulle part. Sans aucune honte, le gouvernement s’est même permis de sortir l’argument du secret défense, complètement hors sujet, pour masquer son manque de preuve et afficher son irrespect de toute idée de débat démocratique. C’est comme ça : Google l’a dit, ne discutez pas.

Que ce soit clair : les arguments de Google et de Facebook visent simplement à détruire leurs concurrents. De fait, ce texte vise à faire disparaître les petites et moyennes plateformes, et à sous-traiter aux géants une censure massive et automatisée.

Emmanuel Macron s’est laissé enfumer de bon cœur par les géants, ravi à l’idée que l’Internet « dé-civilisé » qu’il s’entête à fantasmer soit enfin administré par une poignée d’entreprises, dont la puissance s’est bâtie sur l’exploitation illégale de nos données personnelles.

C’est ce qu’il a clairement réaffirmé lors de son discours au Forum de la Gouvernance sur Internet.

Macron se moque de détruire tout espoir d’une économie numérique européenne. Il veut simplement un texte sécuritaire qu’il pourra afficher au moment des élections européennes (ses « mid-terms » à lui), afin de draguer une partie de la population inquiète du terrorisme et qu’il s’imagine assez stupide pour tomber dans le panneau. Dans son arrogance délirante, il n’a même plus peur de renier ses électeurs pro-Europe ou pro-business, ni la population attachée aux libertés qui, pensant repousser l’extrême droite, l’aura élu.

Dans ce dossier, la menace terroriste est instrumentalisée pour transformer le Web en GAFAMinitel, pour acter la fusion de l’État et des géants du Net, et ainsi consacrer la surveillance généralisée et la censure automatisée de nos échanges en ligne. Tout ça pour quoi ? Pour lutter contre une auto-radicalisation fantasmée dont la preuve serait secret-défense (la bonne affaire !), et alors que les enquêtes sérieuses sur la question montrent que les terroristes ne se sont pas radicalisés sur Internet.

Le seul effet de ce texte sera de renforcer les multinationales du numériques et les dérives de l’économie de l’attention dont ils sont porteurs : la sur-diffusion de contenus anxiogènes, agressifs et caricaturaux capables de capter notre temps de cerveau disponible. L’urgence législative est de combattre ces dérives : de limiter l’économie de l’attention tout en favorisant le développement de modèles respectueux de nos libertés. C’est ce que nous proposons.

Exigeons le rejet de ce texte ! Il en va des conditions d’existence de l’Internet libre et décentralisé.

Depuis plusieurs mois, La Quadrature a commencé à se pencher sur les enjeux liés aux Smart City, alors que plusieurs villes françaises invoquent ce terme pour « déguiser » leurs projets de surveillance policière dopée aux Big Data. Il y a quelques semaines, nous rencontrions la CNIL pour discuter de ces enjeux. Résumé des épisodes précédents, et de cette rencontre pas franchement enthousiasmante.

En France, lorsqu’on évoque la police prédictive et les usages policier du Big Data, il est souvent question de l’entreprise américaine Palantir. Celle-ci agit comme une sorte de chiffon rouge : les usages policiers de ses plateformes logicielles aux États-Unis ont en effet de quoi faire froid dans le dos, et le contrat passé fin 2016 entre la firme et les services de renseignement intérieur français, la DGSI, suscite des inquiétudes légitimes. Mais à trop se focaliser sur Palantir – qui endosse à merveille le rôle de la « méchante boîte américaine » –, on risque d’oublier un peu vite qu’en France aussi, plusieurs multinationales comme Thalès, Atos Bull ou Engie se positionnent sur ces marchés sécuritaires en plein essor.

La Safe City « made in France »

Alors que le sujet était jusqu’alors largement passé sous nos radars, cela fait quelques mois que nous avons commencé à suivre ces projets, baptisés « Safe City ©» par leurs concepteurs (ou comment basculer sans rougir de la Smart City à la « ville sécurisée »).

À Marseille puis à Nice, nous avons commencé à documenter les premiers partenariats public-privé en la matière, qui pullulent actuellement sur le territoire. Au travers de ces marchés publics, on voit des multinationales françaises s'allier avec des élus municipaux peu scrupuleux pour mettre la puissance du Big Data et de l’intelligence artificielle au service de leurs polices municipales (dans les applications envisagées : analyses prédictives, repérage des comportements suspects à travers l'analyse automatique de la vidéosurveillance, surveillance des réseaux sociaux, etc). Ces partenariats soutenus par l'Union européenne ou la Banque publique d'investissement permettent à ces consortiums mêlant grands industriels, « start-ups » et instituts de recherche (comme l'INRIA) de faire financer leur recherche et développement de solutions sécuritaires par le contribuable.

L’une des choses qui frappe lorsqu’on regarde les documents relatifs à ces expérimentations, c’est la créativité dont font preuve les rédacteurs pour minimiser les enjeux en termes de libertés publiques, sans jamais vraiment réussir à convaincre. Surtout, ne pas appeler un chat un chat, et caser les mots à la mode du moment qui permettront de rassurer et de « faire moderne ©». C'est ce que relevait récemment la section locale de Ligue des droits de l’Homme à Nice :

Le marketing de la sécurité (de la peur ?), utilise volontiers quelques mots clés qui reviennent constamment en boucle : #intelligent, #temps réel ; on y rencontre aussi des #infaillible aux allures jupitériennes, destinés à clouer le bec de tout contradicteur.

Pour ce qui est de la vie privée, les rédacteurs se contentent d'une vague mention du « RGPD » ou de la « Loi informatique et libertés ». Inutile de vraiment plancher sur une analyse juridique qui démonterait que ces projets sont tout simplement illégaux...

On a rencontré la CNIL (et c’est triste)

Il y a quelques semaines, après la réponse que nous a faite la présidente de la CNIL à un courrier de janvier 2018, nous avons rencontré ses services pour en savoir plus sur la manière dont ils suivaient (ou pas) ces dossiers. Côté Quadrature, nous étions trois. En face de nous, il y avait Jean Lessi, conseiller d’État et secrétaire général de la CNIL, et trois autres personnes travaillant de loin sur ces sujets de « Safe City » au titre de leurs attributions. L'échange a été cordial. Nous avons rencontré des gens aimables, prenant au sérieux nos inquiétudes. Et pourtant, notre discussion a débouché sur un constat particulièrement amer quant à la capacité de la CNIL à être à la hauteur des enjeux.

Aucune analyse juridique détaillée

Le premier constat, c’est que la CNIL n’a en réalité pas de politique détaillée sur les Safe Cities. En 2014 déjà, elle échangeait avec le ministère de l’Intérieur sur des expérimentation locales de dispositifs statistiques à visée de police prédictive (sans même le Big Data à l’époque). L’an dernier, la CNIL publiait une étude prospective tout-à-fait lucide sur les enjeux de la Smart City pour les libertés publiques. Mais aujourd'hui, celle-ci ne dispose encore d’aucune analyse juridique qui puisse faire autorité sur la légalité des expérimentations projetées.

Comme le montrait le courrier envoyé par la présidente de la CNIL au maire de Marseille, la CNIL se borne pour l’heure à appeler au respect de garanties procédurales, avec notamment la nécessaire étude d’impact (la mairie en aurait promis une pour cet hiver...) et un « accompagnement obligatoire » à l’issue des expérimentations (prévu pour les « nouvelles technologies » par l’article 70-4 de la loi informatique et liberté modifiée).

Les analyses juridiques qui fleurissent au Conseil de l’Europe ou ailleurs1, et qui tentent de construire une réflexion pratique sur les liens entre Big Data, Intelligence Artificielle et droits de l’Homme, semblent la laisser de marbre.

Dans le silence de la loi, tout et n'importe quoi

Lorsqu’on demande à nos interlocuteurs pourquoi ils ne demandent tout simplement pas l’arrêt de ces expérimentations, comme il fut fait au printemps s’agissant de l’application Reporty à Nice (décision dont nous avons eu communication : la voici), on nous explique qu'à l'inverse de Reporty, la loi ne dit rien de spécifique sur la Safe City, et que les mairies peuvent donc faire peu ou prou ce qu'elles veulent.2.

Nous répondons que, justement, c'est parce que la loi ne dit rien non plus de l’utilisation du Big Data à des fins policières, de la surveillance des réseaux sociaux et de toutes ces choses évoquées dans les projets d’expérimentation « Safe City », que ces derniers sont clairement illégaux3. C'est justement pour cela qu'ils mériteraient l'opposition ferme et résolue de la CNIL.

Silence gêné. On en déduit, que sous couvert d'expérimentations, tout ou presque est permis. La CNIL semble ici adhérer au rapport du député Cédric Villani sur l’intelligence artificielle, qui revendiquait de s'affranchir de la loi pour expérimenter les usages de l'IA à des fins de surveillance (visant sans le nommer le partenariat Palantir-DGSI). Dans la Startuffe Nation, il te suffit de parler d'« expérimentation » et d'« innovation smart », de méthodes « lean » en lien avec « l'écosystème startup », et ça te vaut un sauf-conduit pour faire tout et n'importe quoi.

La CNIL résignée face au discours sécuritaire

Bref. On continue donc la discussion, et nos interlocuteurs de la CNIL continuent de se défiler en nous disant en substance ceci : « Même si les projets d’expérimentation font peur sur le papier, il faut bien faire la différence entre le discours marketing des projets d’expérimentation (qui surenchérit dans la dystopie orwelienne) et l’étape de la mise en œuvre (qui s’avérera décevante et bien plus limitée que ce qui est projeté au départ) ».

Alors oui, on peut être d’accord sur le fait que ces expérimentations ne tiendront pas leurs promesses dans les délais impartis. Pour autant, cette position de la CNIL qui tend à minimiser la portée de ces projets oublie deux choses. La première, c’est que les discours marketing participent déjà de la banalisation des systèmes de surveillance. Et ce d'autant plus qu'ils sont repris par les élus qui, tout en masquant les dangers de la Safe City, tentent d’en faire un atout électoral. Le marketing de la surveillance impose partout la société de surveillance, et ce devrait être le rôle de la CNIL que d'utiliser les moyens à sa disposition pour aider à déconstruire ces discours (et tant pis si cela suscite l’ire des élus locaux).

Surtout, vu le rythme auquel croît l’informatique de contrôle (Big Data, IA & co), il est clair que ces systèmes de surveillance verront le jour. À force de balancer des millions d'euros pour les financer, la technocratie nous enfoncera encore un peu plus dans la dystopie orwellienne. De fait, ces outils existent déjà en Chine et, dans une moindre mesure, aux États-Unis et au Royaume-Uni. L'un des buts de ces expérimentations n’est-il pas justement de permettre aux industriels français de rattraper au plus vite leur retard sur la concurrence étrangère ?

Un appel au débat qui ne mange pas de pain

Au fond, si la CNIL botte en touche sur ces sujets ô combien importants, c’est qu’elle accepte d'être condamnée à l'impuissance.

À l’image d’autres autorités de contrôle dévolues à la protection des libertés publiques, ses moyens financiers et humains sont structurellement dérisoires par rapport à l’ampleur de ses missions. Il faut dire que la conjoncture n’est guère favorable : la CNIL doit faire face à l’entrée en vigueur du RGPD en mai dernier, qui la met en première ligne. Nos interlocuteurs ont d'ailleurs commencé la discussion en pointant leur manque de moyens, comme pour s’excuser par avance de leur relative inaction. On nous a fait comprendre que les personnes que nous avions en face sont en réalité les seules parmi un staff d’environ 200 personnes à plancher sur ces sujets de Safe City. Et encore, seulement de loin, en plus de leurs autres missions touchant aux fichiers régaliens… Le projet de budget 2019 envisage bien une augmentation de ses ressources de +4,8 % (+ 860 000 euros), mais cela est largement insuffisant pour palier aux besoins.

Il y a une seconde explication plus générale à l’impuissance de la CNIL : celle-ci est sciemment organisée par les pouvoirs exécutifs et législatifs. L'attentisme actuel apparaît en effet comme le point d’orgue d’une tendance à l’œuvre depuis les années 1980, qui a vu les pouvoirs de la commission progressivement rognés s’agissant de la surveillance d’État. Alors que ses responsables aiment à rappeler le « mythe fondateur » du scandale SAFARI – provoqué en 1974 par le projet d’une interconnexion des fichiers informatiques de la police, des service fiscaux et sociaux –, la CNIL n’a cesse depuis de perdre du terrain sur ces questions.

Ainsi, en 1991, l’État choisit de créer une nouvelle autorité (la CNCIS) plutôt que de lui permettre de contrôler la surveillance des communications par les services de renseignement. En 2004, on lui ôte le pouvoir de s’opposer à la création de fichiers policiers, en rendant son avis sur les projets de décrets afférents purement consultatif. Enfin, depuis presque vingt ans, on met à sa tête des gens proches des hautes sphères administratives ou politiques, comme une manière de garantir sa relative docilité vis-à-vis de l’État dans des dossiers clés.

Dans ce contexte délétère, la CNIL en est réduite à appeler à un grand « débat démocratique », tout en reconnaissant les graves menaces que font peser ces systèmes pour les droits et libertés. Ce qu'elle a fait le 19 septembre dernier. On lit dans son communiqué publié ce jour-là :

Ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens. Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique.
Il est aujourd’hui impératif que des garde-fous soient prévus afin d’encadrer les finalités pour lesquelles ces dispositifs peuvent être déployés et prévenir tout mésusage des données traitées par leur biais (…).
Aussi, la CNIL appelle d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun4.

Un appel de pure forme, qui finira sans aucun doute par être entendu par les ministères de l'intérieur et de la justice. Le gouvernement a en effet affirmé au printemps vouloir réviser la loi renseignement en 2020. Il lui faudra de toute façon bien finir par légaliser tout un tas d’usages sécuritaires de l’informatique expérimentés ces derniers temps dans la plus grande illégalité (coucou Palantir à la DGSI, coucou le fichier TES et sa myriade d'usages potentiels qu'on voudra bientôt légaliser, etc.). Au train où vont les lois sécuritaires, et vu que les marchands de peur sont récemment passés ceinture marron dans l'art de pourrir le débat sur ces questions, ils accueillent sans doute l'appel de la CNIL avec sérénité.

Au minimum, la CNIL devrait imposer un moratoire sur les expérimentations en cours : exiger leur arrêt tant qu'elles ne sont pas précisément autorisées et encadrées par la loi. Sa position attentiste la rend complice.

• 1.
  • Conseil de l'Europe. (2018). Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data (Consultative committee of the Convention for the protection of individuals with regard to automatic processing of personal data No. T-PD(2018)01). https://rm.coe.int/practical-guide-use-of-personal-data-in-the-police-se...
  • Conseil de l'Europe. (2018). Algorithms and Human Rights: Study on the human rights dimensions of automated data processing techniques and possible regulatory implications. Strasbourg. https://www.coe.int/en/web/human-rights-rule-of-law/-/algorithms-and-hum...
  • Commission des libertés civiles, de la justice et des affaires intérieures, Parlement européen. (2017). Rapport sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (No. A8- 0044/2017). Retrieved from http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+...

• 2. Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens) ; or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure ; comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population ; or cette autorisation législative qui fait pour l’heure défaut ».
• 3. C'est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.
• 4. https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video

Depuis plusieurs mois, La Quadrature a commencé à se pencher sur les enjeux liés aux Smart City, alors que plusieurs villes françaises invoquent ce terme pour « déguiser » leurs projets de surveillance policière dopée aux Big Data. Il y a quelques semaines, nous rencontrions la CNIL pour discuter de ces enjeux. Résumé des épisodes précédents, et de cette rencontre pas franchement enthousiasmante.

En France, lorsqu’on évoque la police prédictive et les usages policier du Big Data, il est souvent question de l’entreprise américaine Palantir. Celle-ci agit comme une sorte de chiffon rouge : les usages policiers de ses plateformes logicielles aux États-Unis ont en effet de quoi faire froid dans le dos, et le contrat passé fin 2016 entre la firme et les services de renseignement intérieur français, la DGSI, suscite des inquiétudes légitimes. Mais à trop se focaliser sur Palantir – qui endosse à merveille le rôle de la « méchante boîte américaine » –, on risque d’oublier un peu vite qu’en France aussi, plusieurs multinationales comme Thalès, Atos Bull ou Engie se positionnent sur ces marchés sécuritaires en plein essor.

La Safe City « made in France »

Alors que le sujet était jusqu’alors largement passé sous nos radars, cela fait quelques mois que nous avons commencé à suivre ces projets, baptisés « Safe City ©» par leurs concepteurs (ou comment basculer sans rougir de la Smart City à la « ville sécurisée »).

À Marseille puis à Nice, nous avons commencé à documenter les premiers partenariats public-privé en la matière, qui pullulent actuellement sur le territoire. Au travers de ces marchés publics, on voit des multinationales françaises s’allier avec des élus municipaux peu scrupuleux pour mettre la puissance du Big Data et de l’intelligence artificielle au service de leurs polices municipales (dans les applications envisagées : analyses prédictives, repérage des comportements suspects à travers l’analyse automatique de la vidéosurveillance, surveillance des réseaux sociaux, etc). Ces partenariats soutenus par l’Union européenne ou la Banque publique d’investissement permettent à ces consortiums mêlant grands industriels, « start-ups » et instituts de recherche (comme l’INRIA) de faire financer leur recherche et développement de solutions sécuritaires par le contribuable.

L’une des choses qui frappe lorsqu’on regarde les documents relatifs à ces expérimentations, c’est la créativité dont font preuve les rédacteurs pour minimiser les enjeux en termes de libertés publiques, sans jamais vraiment réussir à convaincre. Surtout, ne pas appeler un chat un chat, et caser les mots à la mode du moment qui permettront de rassurer et de « faire moderne ». C’est ce que relevait récemment la section locale de Ligue des droits de l’Homme à Nice :

Le marketing de la sécurité (de la peur ?), utilise volontiers quelques mots clés qui reviennent constamment en boucle : #intelligent, #temps réel  on y rencontre aussi des #infaillible aux allures jupitériennes, destinés à clouer le bec de tout contradicteur.

Pour ce qui est de la vie privée, les rédacteurs se contentent d’une vague mention du « RGPD » ou de la « Loi informatique et libertés ». Inutile de vraiment plancher sur une analyse juridique qui démonterait que ces projets sont tout simplement illégaux…

On a rencontré la CNIL (et c’est triste)

Il y a quelques semaines, après la réponse que nous a faite la présidente de la CNIL à un courrier de janvier 2018, nous avons rencontré ses services pour en savoir plus sur la manière dont ils suivaient (ou pas) ces dossiers. Côté Quadrature, nous étions trois. En face de nous, il y avait Jean Lessi, conseiller d’État et secrétaire général de la CNIL, et trois autres personnes travaillant de loin sur ces sujets de « Safe City » au titre de leurs attributions. L’échange a été cordial. Nous avons rencontré des gens aimables, prenant au sérieux nos inquiétudes. Et pourtant, notre discussion a débouché sur un constat particulièrement amer quant à la capacité de la CNIL à être à la hauteur des enjeux.

Aucune analyse juridique détaillée

Le premier constat, c’est que la CNIL n’a en réalité pas de politique détaillée sur les Safe Cities. En 2014 déjà, elle échangeait avec le ministère de l’Intérieur sur des expérimentation locales de dispositifs statistiques à visée de police prédictive (sans même le Big Data à l’époque). L’an dernier, la CNIL publiait une étude prospective tout-à-fait lucide sur les enjeux de la Smart City pour les libertés publiques. Mais aujourd’hui, celle-ci ne dispose encore d’aucune analyse juridique qui puisse faire autorité sur la légalité des expérimentations projetées.

Comme le montrait le courrier envoyé par la présidente de la CNIL au maire de Marseille, la CNIL se borne pour l’heure à appeler au respect de garanties procédurales, avec notamment la nécessaire étude d’impact (la mairie en aurait promis une pour cet hiver…) et un « accompagnement obligatoire » à l’issue des expérimentations (prévu pour les « nouvelles technologies » par l’article 70-4 de la loi informatique et liberté modifiée).

Les analyses juridiques qui fleurissent au Conseil de l’Europe ou ailleurs¹

• Conseil de l’Europe. (2018). Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data (Consultative committee of the Convention for the protection of individuals with regard to automatic processing of personal data No. T-PD(2018)01). https://rm.coe.int/practical-guide-use-of-personal-data-in-the-police-sector/1680789a74
• Conseil de l’Europe. (2018). Algorithms and Human Rights: Study on the human rights dimensions of automated data processing techniques and possible regulatory implications. Strasbourg. https://www.coe.int/en/web/human-rights-rule-of-law/-/algorithms-and-human-rights-a-new-study-has-been-published
• Commission des libertés civiles, de la justice et des affaires intérieures, Parlement européen. (2017). Rapport sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (No. A8- 0044/2017). Retrieved from http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0044+0+DOC+XML+V0//FR

<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_2828_1").tooltip({ tip: "#footnote_plugin_tooltip_text_2828_1", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });, et qui tentent de construire une réflexion pratique sur les liens entre Big Data, Intelligence Artificielle et droits de l’Homme, semblent la laisser de marbre.

Dans le silence de la loi, tout et n’importe quoi

Lorsqu’on demande à nos interlocuteurs pourquoi ils ne demandent tout simplement pas l’arrêt de ces expérimentations, comme il fut fait au printemps s’agissant de l’application Reporty à Nice (décision dont nous avons eu communication : la voici), on nous explique qu’à l’inverse de Reporty, la loi ne dit rien de spécifique sur la Safe City, et que les mairies peuvent donc faire peu ou prou ce qu’elles veulent²Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens)  or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure  comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population  or cette autorisation législative qui fait pour l’heure défaut ».<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_2828_2").tooltip({ tip: "#footnote_plugin_tooltip_text_2828_2", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.

Nous répondons que, justement, c’est parce que la loi ne dit rien non plus de l’utilisation du Big Data à des fins policières, de la surveillance des réseaux sociaux et de toutes ces choses évoquées dans les projets d’expérimentation « Safe City », que ces derniers sont clairement illégaux³C’est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_2828_3").tooltip({ tip: "#footnote_plugin_tooltip_text_2828_3", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });. C’est justement pour cela qu’ils mériteraient l’opposition ferme et résolue de la CNIL.

Silence gêné. On en déduit, que sous couvert d’expérimentations, tout ou presque est permis. La CNIL semble ici adhérer au rapport du député Cédric Villani sur l’intelligence artificielle, qui revendiquait de s’affranchir de la loi pour expérimenter les usages de l’IA à des fins de surveillance (visant sans le nommer le partenariat Palantir-DGSI). Dans la Startuffe Nation, il te suffit de parler d’« expérimentation » et d’« innovation smart », de méthodes « lean » en lien avec « l’écosystème startup », et ça te vaut un sauf-conduit pour faire tout et n’importe quoi.

La CNIL résignée face au discours sécuritaire

Bref. On continue donc la discussion, et nos interlocuteurs de la CNIL continuent de se défiler en nous disant en substance ceci : « Même si les projets d’expérimentation font peur sur le papier, il faut bien faire la différence entre le discours marketing des projets d’expérimentation (qui surenchérit dans la dystopie orwelienne) et l’étape de la mise en œuvre (qui s’avérera décevante et bien plus limitée que ce qui est projeté au départ) ».

Alors oui, on peut être d’accord sur le fait que ces expérimentations ne tiendront pas leurs promesses dans les délais impartis. Pour autant, cette position de la CNIL qui tend à minimiser la portée de ces projets oublie deux choses. La première, c’est que les discours marketing participent déjà de la banalisation des systèmes de surveillance. Et ce d’autant plus qu’ils sont repris par les élus qui, tout en masquant les dangers de la Safe City, tentent d’en faire un atout électoral. Le marketing de la surveillance impose partout la société de surveillance, et ce devrait être le rôle de la CNIL que d’utiliser les moyens à sa disposition pour aider à déconstruire ces discours (et tant pis si cela suscite l’ire des élus locaux).

Surtout, vu le rythme auquel croît l’informatique de contrôle (Big Data, IA & co), il est clair que ces systèmes de surveillance verront le jour. À force de balancer des millions d’euros pour les financer, la technocratie nous enfoncera encore un peu plus dans la dystopie orwellienne. De fait, ces outils existent déjà en Chine et, dans une moindre mesure, aux États-Unis et au Royaume-Uni. L’un des buts de ces expérimentations n’est-il pas justement de permettre aux industriels français de rattraper au plus vite leur retard sur la concurrence étrangère ?

Un appel au débat qui ne mange pas de pain

Au fond, si la CNIL botte en touche sur ces sujets ô combien importants, c’est qu’elle accepte d’être condamnée à l’impuissance.

À l’image d’autres autorités de contrôle dévolues à la protection des libertés publiques, ses moyens financiers et humains sont structurellement dérisoires par rapport à l’ampleur de ses missions. Il faut dire que la conjoncture n’est guère favorable : la CNIL doit faire face à l’entrée en vigueur du RGPD en mai dernier, qui la met en première ligne. Nos interlocuteurs ont d’ailleurs commencé la discussion en pointant leur manque de moyens, comme pour s’excuser par avance de leur relative inaction. On nous a fait comprendre que les personnes que nous avions en face sont en réalité les seules parmi un staff d’environ 200 personnes à plancher sur ces sujets de Safe City. Et encore, seulement de loin, en plus de leurs autres missions touchant aux fichiers régaliens… Le projet de budget 2019 envisage bien une augmentation de ses ressources de +4,8 % (+ 860 000 euros), mais cela est largement insuffisant pour palier aux besoins.

Il y a une seconde explication plus générale à l’impuissance de la CNIL : celle-ci est sciemment organisée par les pouvoirs exécutifs et législatifs. L’attentisme actuel apparaît en effet comme le point d’orgue d’une tendance à l’œuvre depuis les années 1980, qui a vu les pouvoirs de la commission progressivement rognés s’agissant de la surveillance d’État. Alors que ses responsables aiment à rappeler le « mythe fondateur » du scandale SAFARI – provoqué en 1974 par le projet d’une interconnexion des fichiers informatiques de la police, des service fiscaux et sociaux –, la CNIL n’a cesse depuis de perdre du terrain sur ces questions.

Ainsi, en 1991, l’État choisit de créer une nouvelle autorité (la CNCIS) plutôt que de lui permettre de contrôler la surveillance des communications par les services de renseignement. En 2004, on lui ôte le pouvoir de s’opposer à la création de fichiers policiers, en rendant son avis sur les projets de décrets afférents purement consultatif. Enfin, depuis presque vingt ans, on met à sa tête des gens proches des hautes sphères administratives ou politiques, comme une manière de garantir sa relative docilité vis-à-vis de l’État dans des dossiers clés.

Dans ce contexte délétère, la CNIL en est réduite à appeler à un grand « débat démocratique », tout en reconnaissant les graves menaces que font peser ces systèmes pour les droits et libertés. Ce qu’elle a fait le 19 septembre dernier. On lit dans son communiqué publié ce jour-là :

Ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens. Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique.
Il est aujourd’hui impératif que des garde-fous soient prévus afin d’encadrer les finalités pour lesquelles ces dispositifs peuvent être déployés et prévenir tout mésusage des données traitées par leur biais (…).
Aussi, la CNIL appelle d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun⁴https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_2828_4").tooltip({ tip: "#footnote_plugin_tooltip_text_2828_4", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.

Un appel de pure forme, qui finira sans aucun doute par être entendu par les ministères de l’intérieur et de la justice. Le gouvernement a en effet affirmé au printemps vouloir réviser la loi renseignement en 2020. Il lui faudra de toute façon légaliser tout un tas d’usages sécuritaires de l’informatique expérimentés ces derniers temps dans la plus grande illégalité (coucou Palantir à la DGSI, coucou le fichier TES et sa myriade d’usages potentiels qu’on voudra bientôt légaliser, etc.). Au train où vont les lois sécuritaires, et vu que les marchands de peur sont récemment passés ceinture marron dans l’art de pourrir le débat sur ces questions, ils accueillent sans doute l’appel de la CNIL avec sérénité.

Au minimum, la CNIL devrait imposer un moratoire sur les expérimentations en cours : exiger leur arrêt tant qu’elles ne sont pas précisément autorisées et encadrées par la loi. Sa position attentiste la rend complice.

<script type="text/javascript"> function footnote_expand_reference_container() { jQuery("#footnote_references_container").show(); jQuery("#footnote_reference_container_collapse_button").text("-"); } function footnote_collapse_reference_container() { jQuery("#footnote_references_container").hide(); jQuery("#footnote_reference_container_collapse_button").text("+"); } function footnote_expand_collapse_reference_container() { if (jQuery("#footnote_references_container").is(":hidden")) { footnote_expand_reference_container(); } else { footnote_collapse_reference_container(); } } function footnote_moveToAnchor(p_str_TargetID) { footnote_expand_reference_container(); var l_obj_Target = jQuery("#" + p_str_TargetID); if(l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight/2 }, 1000); } }

En 2014, la Commission européenne publiait un rapport présentant les résultats d’une consultation d’entreprises, dans 28 pays de l’Union Européenne (UE-28), de différents secteurs où celui des télécoms est affirmé comme le secteur économique le plus corrompu après celui du BTP.

Alors que les télécoms sont dominés par des oligopoles au niveau national, les formes et les effets de cette corruption sont multiples. Sur le terrain, les initiatives citoyennes qui cherchent à se réapproprier les infrastructures télécom font en tous cas fréquemment l’expérience de ce qui s’apparente à des pratiques quasi-mafieuses.

C’est pour dénoncer cette situation qu’en Espagne, la fondation Guifi.net – qui travaille à la construction de réseaux télécoms gérés comme biens communs, par et pour des communautés locales – vient de déposer une plainte auprès de la Médiatrice européenne. Depuis des années, Guifi.net constate que le déploiement de ses réseaux libres est entravé par la non-coopération d’entreprises ou d’autorités publiques qui refusent de donner droit à ses demandes d’accès aux infrastructures existantes (réseaux télécoms, ferroviaires, électriques), grâce auxquelles elle entend déployer ses fourreaux de fibre optique et ainsi étendre son réseau. Ses recours en justice ou ses saisine du régulateur des télécoms, la CNMC, sont restés sans véritables effets.

Ces pratiques d’obstruction – contraires au droit européen et pourtant impunies – provoquent des retards, des surcoûts, et des formes de concurrence déloyales. Leur caractère systémique montrent à quel point les politiques publiques font obstacle à la maîtrise citoyenne des réseaux télécoms et, in fine, à la décentralisation d’Internet. Par solidarité avec Guifi.net et parce que, partout en Europe, les réseaux télécoms libres et citoyens font face à des problématiques similaires (voir en France le récent appel de la Fédération FDN à l’Arcep), nous republions ci-dessous le communiqué de Guifi.net, et leur exprimons notre soutien.

Guifi.net dénonce les manquements au droit européen de la concurrence et des télécommunications

Barcelone, le vendredi 26 octobre

La fondation guifi.net dépose une plainte au Médiateur Européen, appelant la Commission Européenne à agir contre les mauvaises pratiques dans les États membres et à garantir le respect des textes européens en matière de télécommunications et de droit de la concurrence.

Ce vendredi 26 octobre, la fondation guifi.net a déposé sa plainte au siège de la Commission européenne à Barcelone. Elle décrit les situations de conflit d’intérêts économiques, les mauvaises pratiques ainsi que les barrières à l’entrée qui s’exercent à tous les niveaux en Espagne.

La décision de déposer cette plainte est motivée par la violation continue et systématique du droit européen des télécommunications et du droit de la concurrence, et plus précisément du décret espagnol RD 330/2016 du 9 septembre relatif à la réduction du coût du déploiement des réseaux de télécommunications électroniques à haut débit, qui transpose la directive 2014/61/UE du Parlement européen. Ce décret permet aux opérateurs de réseaux de communications ouverts au public d’accéder aux infrastructures physiques existantes, et ce peu importe leur localisation.

Les mauvaises actions, ainsi que l’absence d’action dans certains cas, sont commises à la fois par des entreprises privées ainsi qu’à tous les niveaux de l’administration et dans différents territoires de compétence. Cela mène à une impasse (blocus mutuel) rendant irréalisables les projets de réseaux en commun de guifi.net — à travers une infrastructure dont le principal objectif est d’atteindre l’ensemble du territoire pour relier tous les ménages, mettant ainsi fin à la fracture numérique.

La fondation guifi.net est un organisme à but non lucratif et d’intérêt général qui défend l’accès à Internet en tant que droit humain (reconnu par les Nations Unies en 2011) et qui travaille à la promotion d’un réseau de télécommunication en coopération, ouvert, libre et neutre, sur le modèle d’un bien commun.

29 octobre 2018

En 2014, la Commission européenne publiait un rapport> présentant les résultats d'une consultation d'entreprises, dans 28 pays de l'Union Européenne (UE-28), de différents secteurs où celui des télécoms est affirmé comme le secteur économique le plus corrompu après celui du BTP.

Alors que les télécoms sont dominés par des oligopoles au niveau national, les formes et les effets de cette corruption sont multiples. Sur le terrain, les initiatives citoyennes qui cherchent à se réapproprier les infrastructures télécom font en tous cas fréquemment l'expérience de ce qui s'apparente à des pratiques quasi-mafieuses.

C'est pour dénoncer cette situation qu'en Espagne, la fondation Guifi.net - qui travaille à la construction de réseaux télécoms gérés comme biens communs, par et pour des communautés locales - vient de déposer une plainte auprès de la Médiatrice européenne. Depuis des années, Guifi.net constate que le déploiement de ses réseaux libres est entravé par la non-coopération d'entreprises ou d'autorités publiques qui refusent de donner droit à ses demandes d'accès aux infrastructures existantes (réseaux télécoms, ferroviaires, électriques), grâce auxquelles elle entend déployer ses fourreaux de fibre optique et ainsi étendre son réseau. Ses recours en justice ou ses saisine du régulateur des télécoms, la CNMC, sont restés sans véritables effets.

Ces pratiques d'obstruction - contraires au
droit européen et pourtant impunies - provoquent des retards, des surcoûts, et des formes de concurrence déloyales. Leur caractère systémique montrent à quel point les politiques publiques font obstacle à la maîtrise citoyenne des réseaux télécoms et, in fine, à la décentralisation d'Internet. Par solidarité avec Guifi.net et parce que, partout en Europe, les réseaux télécoms libres et citoyens font face à des problématiques similaires (voir en France le récent appel de la Fédération FDN à l'Arcep), nous republions ci-dessous le communiqué de Guifi.net, et leur exprimons notre soutien.

Guifi.net dénonce les manquements au droit européen de la concurrence et des télécommunications

Barcelone, le vendredi 26 octobre

La fondation guifi.net dépose une plainte au Médiateur Européen, appelant la Commission Européenne à agir contre les mauvaises pratiques dans les États membres et à garantir le respect des textes européens en matière de télécommunications et de droit de la concurrence.

Ce vendredi 26 octobre, la fondation guifi.net a déposé sa plainte au siège de la Commission européenne à Barcelone. Elle décrit les situations de conflit d’intérêts économiques, les mauvaises pratiques ainsi que les barrières à l'entrée qui s'exercent à tous les niveaux en Espagne.

La décision de déposer cette plainte est motivée par la violation continue et systématique du droit européen des télécommunications et du droit de la concurrence, et plus précisément du décret espagnol RD 330/2016 du 9 septembre relatif à la réduction du coût du déploiement des réseaux de télécommunications électroniques à haut débit, qui transpose la directive 2014/61/UE du Parlement européen. Ce décret permet aux opérateurs de réseaux de communications ouverts au public d'accéder aux infrastructures physiques existantes, et ce peu importe leur localisation.

Les mauvaises actions, ainsi que l'absence d'action dans certains cas, sont commises à la fois par des entreprises privées ainsi qu'à tous les niveaux de l'administration et dans différents territoires de compétence. Cela mène à une impasse (blocus mutuel) rendant irréalisables les projets de réseaux en commun de guifi.net -- à travers une infrastructure dont le principal objectif est d’atteindre l’ensemble du territoire pour relier tous les ménages, mettant ainsi fin à la fracture numérique.

La fondation guifi.net est un organisme à but non lucratif et d'intérêt général qui défend l'accès à Internet en tant que droit humain (reconnu par les Nations Unies en 2011) et qui travaille à la promotion d'un réseau de télécommunication en coopération, ouvert, libre et neutre, sur le modèle d'un bien commun.