Mise à jour de la base de données, veuillez patienter...

Nous republions sur notre site la tribune d’Arthur Messaud et de Martin Drago, juristes à La Quadrature du Net, sur la loi Renseignement, publiée à l’origine par Le Monde le 29 juin – le texte a finalement été adopté dans la nuit du 29 au 30 juin

À partir du 29 juin, les sénateurs examineront en hémicycle le nouveau projet de loi en matière d’antiterrorisme et de renseignement. Nous les appelons à rejeter entièrement ce texte.

Parmi les nombreuses dispositions de ce texte attentatoire à nos libertés [1], l’une des plus graves concerne la surveillance de masse des communications par algorithmes, appelés aussi « boîtes noires ». Ces logiciels analysent l’ensemble des métadonnées (numéros de téléphone appelés, dates et durées des appels, etc.) transitant sur les réseaux afin de détecter des comportements qui, d’après les services de renseignement, pourraient révéler des activités terroristes. Voté comme une mesure expérimentale en 2015, le nouveau projet de loi veut pérenniser ce dispositif et lui permettre d’analyser désormais aussi les adresses des sites Web consultés.

L’analyse des communications est automatique, réalisée par des machines et non des humains. C’est tout le problème : alors que la surveillance « humaine » ne permettait que des analyses « ciblées », l’automatisation rend possible de surveiller l’ensemble du réseau — toute la population. C’est la logique de la surveillance de masse, du « tous suspects », qui est pérennisée en même temps que cette mesure.

État d’urgence perpétuel

Le fait que le dispositif soit limité à la prévention du terrorisme ne doit en aucun cas nous rassurer : ce critère a déjà été dévoyé pour surveiller des opposants politiques, que ce soit dans l’affaire de Tarnac [affaire politico-judiciaire qui a abouti, en avril 2018, à la relaxe quasi générale de huit militants anticapitalistes] ou dans les diverses mesures de censure contre le réseau Indymedia en 2017[une plate-forme de médias alternatifs]. Les services de renseignement n’étant limités par aucun contre-pouvoir indépendant, nous ne pouvons que redouter une pérennisation de ces dévoiements. Dans sa « Stratégie générale du renseignement » publiée en 2019, l’Élysée considère par exemple que « l’anticipation, l’analyse et le suivi des mouvements sociaux et crises de société par les services de Renseignement constituent une priorité » et que « anticiper les dérives violentes s’applique également […] aux affirmations de vie en société qui peuvent exacerber les tensions au sein du corps social ».

C’est notamment en raison de ces risques pour les libertés que la Cour de justice de l’Union européenne a, dans une décision du 6 octobre 2020, demandé à la France de restreindre l’utilisation de ces algorithmes à une période exceptionnelle de menace grave et imminente pour la sécurité nationale — ce qui, en droit français, renvoie aux périodes d’état d’urgence. Cette limitation n’apparaît nulle part dans le projet de loi du gouvernement, qui choisit donc de placer la France en manquement par rapport au droit européen. Il institue ainsi un état d’urgence perpétuel qui permet de suspendre le droit au secret des correspondances de l’ensemble de la population.

Ce n’est malheureusement pas la seule violation du droit européen qui sera entérinée par ce texte. En plus de permettre leur analyse par algorithme, le droit français exigeait que les métadonnées de l’ensemble de la population soient conservées pendant un an par les opérateurs Internet et de téléphonie. C’est ce qui permet à la police et aux renseignements de géolocaliser facilement des téléphones pour savoir, par exemple, qu’un militant a participé à telle ou telle manifestation. Ici encore, la Cour de justice a décidé en octobre 2020 que cette surveillance de masse n’était possible qu’en période d’état d’urgence. Pour contourner cette exigence, le gouvernement organise dans le nouveau projet de loi un état d’urgence systématique, pour que les métadonnées de l’ensemble de la population restent continuellement à disposition de la police et de l’administration, en violation du droit européen.

Acharnement sécuritaire

Comme si ce mépris flagrant de l’État de droit ne suffisait pas, le projet de loi aggrave la situation. Prétextant simplifier et sécuriser l’analyse algorithmique des métadonnées, l’article 13 du projet de loi propose de dupliquer et d’acheminer l’ensemble des données transitant sur les réseaux vers des locaux relevant du Premier ministre, où elles seront analysées en vue de détecter des communications suspectes. Une fois n’est pas coutume, même la CNIL s’inquiète dans son avis sur le texte que l’ensemble des données relatives aux appels téléphoniques et à l’accès Internet de la population soit ainsi centralisé par un service de l’État.

Tout aussi alarmant, l’article 10 prévoit que les opérateurs de réseaux et de messageries seront désormais contraints de coopérer avec les renseignements pour déployer des logiciels espions sur les appareils ciblés par le gouvernement. Même si nous ne voyons pas encore exactement comment les services pourraient s’y prendre techniquement, le ministère de l’Intérieur annonce trouver dans cette mesure de piratages massifs l’espoir, via la coopération des plus grands acteurs du Web, de contourner à grande échelle le chiffrement des communications.

Ces deux dernières mesures (coopération d’acteurs privés et copie de l’ensemble du trafic) étaient au cœur du scandale mondial provoqué en 2013 par les révélations d’Edward Snowden sur les pratiques des services de renseignement anglo-saxons. Huit ans plus tard, il semble que l’effondrement des libertés publiques soit devenu monnaie courante et n’intéresse plus grand monde, que ce soit au Parlement ou même dans la presse. L’acharnement sécuritaire du gouvernement au cours des dernières années et notamment des derniers mois (loi Sécurité globale, loi Séparatisme, loi Avia, crise sanitaire…) semble avoir largement entamé notre capacité collective à nous mobiliser contre des politiques qui, il y a peu, aurait pourtant été dénoncées comme totalement inacceptables.

[1] Voir notamment le communiqué de l’Observatoire des libertés et du numérique et de Wikimédia France du 15 juin 2021 : « Loi Renseignement 2, refuser l’emballement sécuritaire »

Nous republions sur notre site la tribune de Félix Tréguer, membre de La Quadrature du Net, publiée à l’origine sur le site The Conversation le 27 juin – avant donc l’adoption du projet de loi par le Sénat dans la nuit du 29 au 30 juin

Huit ans après les révélations du lanceur d’alerte Edward Snowden, l’Assemblée nationale vient d’adopter, dans une certaine indifférence, le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement. Le texte est désormais en cours d’examen au Sénat [il a finalement été adopté dans la nuit du 29 au 30 juin].

Il s’agit de la première révision d’ampleur de la loi renseignement adoptée en 2015. À l’époque, le gouvernement de Manuel Valls avait défendu ce texte en expliquant que la France était « l’une des dernières démocraties occidentales à ne pas disposer d’un cadre légal, cohérent et complet pour les activités de renseignement ».

Le rapporteur de la loi à l’Assemblée nationale, Jean-Jacques Urvoas, soulignait à l’envie combien elle constituait « un progrès de l’État de droit ». L’affaire était entendue : les services secrets voyaient leurs missions et leurs méthodes consacrées dans la loi ; le renseignement sortait autant que possible de l’exceptionnalité qui le caractérisait pour rentrer dans le rang des politiques publiques normales.

Cette manière de présenter les choses avait le mérite de reconnaître les lacunes historiques de la France en matière de contrôle des services de renseignement. Elle tendait cependant à faire oublier un important corollaire : le fait que la loi votée légalisait a posteriori des mesures de surveillance employées depuis des années en toute illégalité, ce qui aurait dû valoir aux responsables politiques et administratifs ayant autorisé ces programmes des poursuites pénales.

Le projet de loi débattu en ce moment même au Sénat est certes bien moins ambitieux que son prédécesseur de 2015. Il relève cependant d’une même logique, bien analysée par les sociologues Laurent Bonelli, Hervé Rayner et Bernard Voutat, laquelle consiste à recourir au droit pour légitimer l’action des services et préserver leurs marges de manœuvre.

Cette nouvelle loi cherche en effet à sécuriser sur le plan juridique des capacités de surveillance toujours plus étendues – telles les « boîtes noires » scannant le trafic Internet pour détecter des URL « suspectes » (article 13), le partage de données entre services français (article 7), ou l’obligation pour les opérateurs et gestionnaires de serveurs de collaborer avec les autorités pour « pirater » les messageries chiffrées (article 10), etc. –, tout en abritant les services de renseignement de tout réel contre-pouvoir.

Renforcer le contrôle du renseignement devrait pourtant constituer une priorité compte tenu de sa place croissante au sein de l’État. Depuis 2015, les services de renseignement ont vu leurs effectifs augmenter de 30 %, notamment pour développer leurs capacités technologiques. Dans ce contexte, le recours aux différentes techniques de surveillance connaît lui aussi une forte croissance et porte sur des domaines toujours plus sensibles pour les libertés publiques. Ainsi, l’activité consacrée à la surveillance des mouvements sociaux – érigée en priorité depuis 2019 à la suite du mouvement des Gilets Jaunes – a plus que doublée en trois ans, passant de 6 % du total des mesures de surveillance en 2017 à plus de 14 % en 2020.

En dépit de cette montée en puissance, la quasi-totalité des propositions visant à renforcer les dispositifs de contrôle sont restées lettres mortes, qu’elles émanent de la Délégation parlementaire au renseignement (la DPR, composée de députés et de sénateurs), de la Commission nationale de l’informatique et des libertés (CNIL, censée contrôler les fichiers dits « régaliens »), ou encore de la Commission nationale de contrôle des techniques de renseignement (la CNCTR, qui rend des avis sur les mesures de surveillance sollicitées par les services).

Des échanges de données hors de tout contrôle

Depuis plusieurs années, la CNCTR demande par exemple de pouvoir contrôler le partage de données entre services de renseignement français et services étrangers. En France, la question est d’autant plus pressante que les flux de données échangés entre la Direction générale de la sécurité extérieure (DGSE) et la National Security Agency (NSA) ont connu une augmentation rapide suite à la conclusion des accords SPINS, signés fin 2015 entre la France et les États-Unis pour renforcer la coopération des deux pays en matière de renseignement.

Or, la loi de 2015 proposée par le gouvernement Valls excluait explicitement tout contrôle de la CNCTR sur ces collaborations internationales, nourries par des réseaux de professionnels du renseignement jouissant d’une forte autonomie, et que le chercheur Didier Bigo a proposé d’appréhender à travers la notion de « guilde transnationale ».

Dans son rapport annuel publié en 2019, la CNCTR admettait que ce véritable trou noir dans le contrôle du renseignement présentait un risque majeur, puisqu’il pourrait permettre aux services français de recevoir de leurs homologues des données qu’ils n’auraient pas pu se procurer légalement au travers des procédures définies dans la loi française. Dans le langage feutré qui la caractérise, la commission estimait qu’« une réflexion devait être menée sur l’encadrement légal des échanges de données entre les services de renseignement français et leurs partenaires étrangers ».

Pour appuyer sa demande, la CNCTR évoquait la jurisprudence de la Cour européenne des droits de l’Homme (CEDH). Celle-ci a encore rappelé dans [son arrêt Big Brother Watch c. Royaume-Uni du 25 mai 2021 que ces échanges devaient être encadrés par le droit national et soumis au contrôle d’une autorité indépendante (§ 362). Or, à ce jour, la France est le dernier État membre de l’Union européenne à ne disposer d’aucun cadre juridique pour encadrer ces échanges internationaux. Ni le gouvernement ni les députés n’ont apparemment trouvé opportun d’y remédier.

La jurisprudence ignorée

Un autre principe essentiel dégagé par la jurisprudence européenne est le droit à l’information des personnes ayant fait l’objet d’une mesure de surveillance, dès lors qu’une telle information n’est plus susceptible d’entraver l’enquête menée à leur encontre par les services.

Dans un rapport publié en janvier 2018, la CNCTR passait en revue la jurisprudence afférente et mentionnait plusieurs exemples de législations étrangères – la loi allemande notamment – garantissant une procédure de notification des personnes surveillées et prévoyant un certain nombre d’exceptions étroitement limitées. Elle était forcée de constater que, en l’état du droit français, « les personnes surveillées ne peuvent être informées des techniques de renseignement mises en œuvre à leur encontre ». Le projet de loi élude complètement cet enjeu.

Le gouvernement a également choisi d’ignorer une autre exigence, encore rappelée par le Conseil d’État dans son arrêt du 21 avril 2021 relatif à la conservation généralisée des données de connexion. Dans cette décision qui donnait largement gain de cause au gouvernement, le Conseil d’État se fondait sur un arrêt de la Cour de justice de l’Union européenne du 6 octobre 2020 pour exiger que les avis rendus par la CNCTR sur les mesures de surveillance soient « conformes » (c’est-à-dire impératifs pour le gouvernement) et non plus simplement consultatifs. La CNIL l’a à son tour rappelé début mai dans son avis rendu sur le projet de loi. Nouvelle fin de non-recevoir du gouvernement.

Quant à la volonté conjointe de la DPR et de la CNCTR de garantir à cette dernière un droit de regard sur les fichiers du renseignement, elle se heurte à l’opposition farouche des services. Comme l’ont souligné les parlementaires de la DPR, il s’agit pourtant d’une étape cruciale du contrôle, seule capable de permettre à la CNCTR de « s’assurer qu’aucune donnée n’a été recueillie, transcrite ou extraite en méconnaissance du cadre légal, voire en l’absence d’une autorisation accordée par le Premier ministre ».

On sera par ailleurs bien en peine de trouver, dans le cadre juridique français, des dispositions encadrant d’autres activités typiques du renseignement et extrêmement sensibles du point de vue des libertés publiques. C’est le cas de la surveillance des lettres et des colis postaux, ou encore de l’infiltration de certains groupes par des agents du renseignement. Au Royaume-Uni, l’Investigatory Powers Act de 2016 couvre pourtant ces deux domaines.

Le loi française ne fait également aucune mention de la surveillance dite « en source ouverte », notamment sur les réseaux sociaux comme Facebook ou Twitter – une activité sur laquelle peu de choses ont fuité dans la presse mais dont on sait qu’elle a pris une importance croissante ces dix dernières années.

L’impossible transparence ?

Enfin, le texte aujourd’hui débattu au Parlement ne s’accompagne d’aucun progrès en matière de transparence des activités de renseignement. Pourtant, l’étendue du secret obère gravement la capacité des journalistes, des ONG, des chercheurs mais aussi d’autres acteurs institutionnels, comme les juges, à jouer leur rôle de contre-pouvoirs.

En dehors des quelques informations ayant filtré grâce au petit cercle de journalistes spécialisés disposant d’un accès à des sources au sein des services, et outre les rares allusions faites par les responsables du renseignement lors d’auditions parlementaires ou par la CNCTR, aucune information officielle n’est fournie sur la nature exacte des technologies utilisées par les services. Leur imbrication dans les processus de production du renseignement, la nature des marchés publics et l’identité des sous-traitants privés, et même les interprétations juridiques ayant cours au sein des services, restent également marqués par une grande opacité.

Là encore, la comparaison avec les principales puissances européennes du renseignement révèle en miroir le retard français. Il suffit pour s’en convaincre de consulter le rapport publié en août 2016 par David Anderson en marge du débat parlementaire sur l’Investigatory Powers Act en Grande Bretagne. Ce juriste en charge du contrôle indépendant des législations antiterroristes y faisait état des capacités technologiques en matière de collecte et d’exploitation « massive » de données («_ bulk powers_ »). Il donnait aussi plusieurs exemples de cas dans lesquels ces technologies étaient employées et évaluait leur intérêt opérationnel à partir de documents internes et d’entretiens avec certains hauts responsables.

En France, un tel degré de transparence semble pour l’heure inimaginable. Même si la CNCTR a fait quelques progrès dans la précision des informations fournies dans ses rapports, elle se contente pour l’essentiel de décrire l’état du droit et son évolution, ou de diffuser des statistiques générales sur les types de mesures autorisées et leurs finalités. On est encore loin du niveau de détail venant nourrir le débat public et alimenter les travaux des parlementaires, des journalistes ou des ONG dans des pays comme le Royaume-Uni ou l’Allemagne.

Faute pour le Sénat d’amender le projet de loi sur ces différents points, cette réforme constituera une nouvelle occasion manquée dans la tentative de réconcilier le renseignement français avec les normes internationales et les bonnes pratiques observées à l’étranger.

Ce mois de juin, le Parlement français aura discuté de trois textes différents qui portent tous en partie sur Internet. Chacun a pour effet, notamment, d’augmenter le pouvoir de censure et de surveillance de l’État sur les réseaux.

Difficile de ne pas angoisser quand on essaie de suivre (et surtout de lutter contre) les multiples projets de lois du gouvernement touchant au numérique en France.

Après une année 2020 particulièrement éprouvante (crise sanitaire, loi sécurité globale, loi Avia…), l’année 2021 ne baisse pas en intensité, au contraire. C’est ainsi que trois textes ont été en débat ce mois-ci devant le Parlement sur nos sujets : une nouvelle loi concernant (entre autres) les services de renseignement, une nouvelle loi concernant le « piratage » et la loi dite « Séparatisme » qui prévoit notamment un régime important de « régulation » des plateformes. Même si chacune de ces lois aura un effet significatif sur nos libertés, l’anéantissement du débat parlementaire, le mépris du débat public et l’épuisement des associations rendent le combat particulièrement difficile.

Si chacun de ces textes mériterait une analyse approfondie, nous vous proposons ici une revue rapide de leur contenu qui permet toutefois d’alerter sur leurs dangers et les dispositions à surveiller.

Notons que tous ces textes sont passés en « procédure accélérée », c’est-à-dire qu’il n’y a, sauf surprise, qu’une lecture par chambre, et donc réduction d’autant du débat parlementaire. Ce régime d’exception est devenu la normalité depuis le début du quinquennat – sans que personne ne s’en émeuve plus vraiment.

Loi sur la prévention d’actes de terrorisme et renseignement

Déposée le 28 avril 2021, débattue dans la foulée à l’Assemblée en seulement deux jours, et adoptée hier par le Sénat, la nouvelle loi anti-terrorisme et renseignement continue son avancée aussi rapide que discrète : vous en trouverez une analyse complète ici (et une tribune signée avec d’autres associations ici).

En résumé : pour la partie « renseignement », la loi n’est pas une simple mise à jour. Elle pérennise les « boîtes noires » (en étendant leur capacité de surveillance aux URL) et réaffirme – en le modifiant à la marge – le régime français de conservation des données de connexion. Le tout en pleine opposition avec l’arrêt de la Cour de Justice de l’Union européenne (et dont on parlait ici).

Dans le même temps, elle donne de nouveaux pouvoirs aux services : facilitation des échanges d’informations entre la DGSI et la DGSE mais aussi avec des services publics comme la CAF ou Pôle Emploi, possibilité de conserver des données à des fins de recherche pour 5 ans, surveillance des communications satellitaires, possibilité de dupliquer l’ensemble du trafic vers les locaux du gouvernement et enfin possibilité de forcer les opérateurs à coopérer sur des techniques d’intrusion informatique.

Le projet a donc été adopté hier par le Sénat, en pleine nuit, dans un hémicycle quasi-vide. En tout : un peu plus de deux mois laissés au Parlement pour voter ces mesures profondément liberticides.

Loi anti-piratage

Formellement, cette loi est relative à « la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique ». Elle a été déposée au Sénat le 8 avril 2021, votée le 20 mai, transmise ensuite à l’Assemblée nationale qui l’a votée le 23 juin. Le texte est aujourd’hui en commission mixte paritaire, pour que les deux chambres s’entendent sur leurs versions. Deux mois et demi donc pour voter la loi.

Cette loi est en réalité la reprise partielle d’une ancienne loi sur l’audiovisuel abandonnée du fait de la crise sanitaire (que nous avions déjà commencé à analyser ici). Même si on pourra se réjouir du symbole que représente de la disparition de feu l’HADOPI (fusionnée avec le CSA pour créer l’ARCOM), la loi cherche en fait à accentuer la lutte contre le piratage. Le texte veut notamment permettre à la nouvelle ARCOM d’éditer des « listes noires » des « pires » sites de piratage (et de les rendre publiques – en espérant assécher ainsi le financement par la publicité de ces sites) et de demander à un opérateur (et à un juge si besoin) le blocage d’un site qui reprendrait totalement ou partiellement un site déjà jugé illégal (ce qu’on appelle les sites miroirs). Il crée aussi un dispositif spécifique pour le piratage des retransmissions sportives : la possibilité de saisir un juge et d’obtenir de lui une ordonnance dite « dynamique », c’est-à-dire une décision de justice pouvant être utilisée contre des sites qui n’ont pas encore été individuellement désignés mais qui pourront cependant faire l’objet d’un blocage (car retransmettant la même compétition que celle visée dans la décision de justice).

Bref, au lieu de supprimer HADOPI (on en parlait ici), ce projet la transforme en lui donnant un nouveau nom et de nouveaux pouvoirs. La seule réponse qu’a su donner le gouvernement aux changements apportés par Internet (et ses possibilités de partage non-marchand) a toujours été la même : non pas, par exemple, une réflexion sur le financement de la culture (on en parlait ici il y a déjà longtemps), mais toujours plus de surveillance, toujours plus de pouvoir à l’administration – multipliant les cas de censure sans juge.

Seul motif de soulagement : la « transaction pénale » voulue par le Sénat (qui revient à donner à l’ARCOM un pouvoir de sanction financière) a été supprimée par l’Assemblée nationale.

Loi Séparatisme

Dernière loi : celle sur le « séparatisme », devenue depuis loi sur « le respect des principes de la République ». Outre ses dispositions gravement liberticides hors Internet (voir par exemple les tribunes ici, ici ou encore ici), le projet contient tout un volet concernant les réseaux sociaux, notamment :

• un article 18 déjà, qui interdit la diffusion d’informations privées si cela est fait dans l’intention de porter atteinte à une personne ou à ses biens. Avec une formulation aussi large et aussi confuse, le risque est évident de voir le gouvernement ou la police tenter de l’utiliser pour réprimer tout et n’importe quoi ;
• un article 19 pour lutter contre les sites miroirs : de la même manière que pour la lutte anti-piratage, l’ARCOM pourra, à la suite d’une décision de justice ordonnant le blocage d’un site ayant hébergé des contenus « haineux », aller demander aux personnes compétentes (les fournisseurs d’accès à Internet notamment) de bloquer un site reprenant un contenu équivalent (aussi imprécis que ce terme puisse l’être) ;
• un article 19 bis qui prévoit un bon nombre d’obligations pour certaines grandes plateformes (transparence, coopération avec les autorités, modération…), avec fortes sanctions de l’ARCOM à la clé.

Sur cet article 19 bis, il est la transposition « en avance » d’un texte européen en construction, la directive « Digital Services Act ». Oui, le gouvernement a choisi de faire adopter en France un texte européen qui vient juste d’être proposé par la Commission européenne et qui doit encore faire l’objet de plusieurs mois (si ce n’est années) de discussions, et donc de modifications. Qu’importe, comme le dit Sacha Houlié (député LaREM), « si pour une fois nous pouvons prendre un peu d’avance, ça ne sera pas du luxe ».

Ce choix interviendra néanmoins au détriment de l’exercice des libertés sur le Net : le texte ne remet pas une seule fois en cause le modèle toxique des plateformes (et leurs modes de financement par la publicité ciblée) et préfère appliquer une succession d’obligations de transparence que Facebook et consorts appliquent sans doute déjà en partie (et en y soumettant Wikipédia, à l’encontre de toute compréhension de leur modèle – voir leur note de blog ici). Nous reviendrons sur l’ensemble de ces nouvelles obligations dans un autre article dédié ultérieurement.

Le texte a déjà fait un tour complet devant l’Assemblée et le Sénat, mais les parlementaires n’ont pas réussi à s’entendre et doivent maintenant repasser dessus au moins une fois. Il doit être débattu cette semaine à l’Assemblée avant de retourner de nouveau devant le Sénat.

Trois textes donc, tous traités en vitesse accélérée et qui risquent de transformer toujours plus Internet en un outil de surveillance de masse, géré par une autorité administrative toute-puissante, l’ARCOM. La stratégie d’épuisement du gouvernement marche à plein régime. Après la loi Avia et la loi Sécurité Globale en 2020, le gouvernement cherche à épuiser les oppositions en multipliant les fronts. Il révèle par la même occasion son mépris du débat public et parlementaire, à laquelle sa majorité dévouée lui permet d’échapper.

Lettre commune de l’Observatoire des libertés et du numérique (OLN) et de Wikimedia France, Paris, le 15 juin 2021

Après son adoption le 2 juin dernier par l’Assemblée nationale, le Sénat doit maintenant se prononcer sur le projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement ». Au regard des graves dangers que porte ce texte, les organisations membres de l’Observatoire des Libertés et du Numérique (OLN) et Wikimedia France [1] appellent à refuser l’emballement sécuritaire imposé par le gouvernement et à rejeter ce projet de loi.

Tel qu’adopté par l’Assemblée nationale, le projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement » vise à pérenniser plusieurs des mesures d’urgence décidées dans la loi du 24 juillet 2015 ainsi qu’à donner aux services de renseignement de nouveaux pouvoirs profondément attentatoires à nos libertés.

Inscrit en urgence dans le calendrier parlementaire à la suite d’autres lois liberticides, comme la loi « Sécurité Globale » ou la loi dite « séparatisme », ce texte est une nouvelle étape dans l’emballement sécuritaire qu’impose le gouvernement depuis plusieurs mois.

Concernant les dispositions « renforçant la prévention d’actes de terrorisme », les organisations membres de l’OLN rejoignent les critiques émises par la note d’analyse des membres du réseau « anti-terrorisme, droits et libertés » [2].

Concernant les dispositions « relatives au renseignement », plusieurs d’entre elles sont nouvelles et viennent considérablement renforcer les pouvoirs de surveillance des services de renseignement, parmi lesquelles : la facilitation des échanges d’informations entre les services de renseignements entre eux et avec d’autres services de l’État (article 7), la conservation pendant 5 ans, à des fins de recherche et développement, des informations obtenues dans le cadre d’opérations de renseignement (article 8), la possibilité de forcer les opérateurs et fournisseurs de communications électroniques à coopérer avec les services de renseignement sur des techniques d’intrusion informatique (article 10), la surveillance des communications satellitaires (article 11).

Concernant les algorithmes de surveillance dits « boîtes noires » (articles 12 à 14), le texte veut pérenniser et étendre ces dispositifs de surveillance de masse, pourtant votés de manière expérimentales en 2015 et dont il n’existe à ce jour aucun rapport public explicitant l’intérêt ou l’efficacité réelle pour les services de renseignement.

Concernant la conservation des données de connexion (article 15), le projet de loi vient modifier à la marge le système existant qui oblige les opérateurs à conserver pendant un an l’ensemble des données de connexions de la population. Ce système a pourtant été jugé en grande partie inconventionnel par la Cour de Justice de l’Union européenne en octobre dernier.

L’ensemble des dispositions de ce projet de loi n’a donné lieu qu’à un débat public limité et à une relativement faible attention des acteurs médiatiques, bien loin des craintes énoncées lors de la loi de 2015 et qui concernait pourtant plusieurs dispositifs similaires. Il représente pourtant une nouvelle étape dangereuse dans les atteintes régulières et toujours plus importantes portées par ce gouvernement à nos libertés.

C’est une nouvelle mise en œuvre de ce terrible « effet-cliquet » sécuritaire : il n’y a jamais de retour en arrière sur les expérimentations et mesures liberticides mises en place, aucun retour plus favorable aux libertés, et ce quand bien même des demandes légitimes et mesurées seraient avancées (augmentation des pouvoirs de la CNCTR, contrôle des échanges avec des services étrangers, réels pouvoirs de contrôle parlementaire, réelle possibilité de contestation individuelle…).

Malgré la complexité du sujet, le Sénat est appelé à se prononcer en moins d’un mois sur ce texte. Les organisations membres de l’OLN ainsi que Wikimedia France appellent les sénatrices et sénateurs à refuser cette urgence et à rejeter ce texte.

—
[1] Signataires :

Organisations signataires membres de l’OLN (Le CECIL, Creis-Terminal, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM)) et Wikimedia France

[2] Un courrier pour demander aux parlementaires de ne pas adopter la loi « anti-terrorisme et renseignement », associations, avocat·es, syndicats et universitaires, 9 juin 2021, https://www.voxpublic.org/Un-courrier-pour-demander-aux-parlementaires-de-ne-pas-adopter-la-loi-anti.html

La smart city en fait rêver certains. Les ingénieurs qui la convoitent parlent dorénavant d’une « citoyenneté augmentée ». Ce nouveau concept de la ville connectée et sûre aspire à ce que « les civic tech transforment le consommateur capté en citoyen capteur ». Cette citoyenneté augmentée permettrait une plus grande démocratie et ce, grâce aux nouvelles technologies et à leur injection dans l’aménagement urbain.

A travers cette obsession des industriels et des collectivités territoriales, c’est l’informatisation de la ville toute entière qui est brandie – sa connectivité, la multiplication des capteurs, l’analyse massive des données – et qui permettrait une émancipation de la population. En réalité, il n’en est rien : les technologies sont imposées à la population et celle-ci ne peut s’y opposer qu’à la marge.

L’un des arguments avancés pour justifier le déploiement de smart cities est l’opportunité d’une plus grande implication des citoyens et citoyennes, par le biais de ces nouvelles technologies. Ce serait notamment à travers les smartphones et autres capteurs que les habitants et habitantes auraient la possibilité de dialoguer numériquement avec la municipalité. C’est un des objectifs affichés de la métropole dijonnaise, qui permettrait : « une généralisation du processus de démocratie participative pour mieux impliquer les habitants dans la vie de la métropole ». Par exemple, à travers une application qui autoriserait les habitantes à être « actrices » de la ville en géolocalisant un dépôt d’ordure sauvage. Ces éléments de langage font partie de l’impératif délibératif, c’est-à-dire la tendance observée dans les pratiques politiques de prise de décision qui consiste à ancrer sa légitimité dans la délibération et dans la référence à une réflexion commune. Or, cette tendance à justifier la pertinence d’un projet politique à travers la « participation de la population » vise à légitimer ces projets sans jamais poser la question de leur pertinence.

La population, exclue du processus de décision

De fait, on ne demande pas l’avis des populations pour imposer ce genre de gadget technologique, de même qu’on impose l’informatisation des villes. Cette mise en numérique des villes se caractérise par une multiplication des capteurs – caméras de vidéosurveillance, indicateurs de la pollution de l’air, capteurs sur les poubelles, smartphones, lampadaires connectés etc -, par une collecte massive des données et par une automatisation de leur traitement. Pourtant il s’agit d’un choix politique, or les habitants et habitantes des villes n’ont pas leur mot à dire sur le déploiement de ce nouveau visage de l’ethos néolibéral.

Une participation contrainte

Si la population n’est pas conviée au processus de décision sur le principe d’un déploiement de dispositifs de surveillance en amont, elle est sommée de participer à l’élaboration et la mise au point de ces dispositifs. Elle est également attendue de manière active dans la production de la sécurité urbaine numérique :

L’expérimentation : la population comme laboratoire

Lors de la mise en place de dispositifs de surveillance, la population est régulièrement envisagée comme une matière première, afin de tester les technologies et les nouveaux algorithmes. Et cela pour deux raisons apparentes :

• Premièrement, c’est une ressource gratuite pour entraîner les algorithmes et pouvoir ensuite généraliser la commercialisation dudit dispositif en France ou à l’étranger. Ainsi, par exemple, la population de la ville de Suresnes s’est transformée en cobaye au profit de l’entreprise XXII, comme nous le montrons ici.
• Deuxièmement, l’expérimentation permet d’habituer une population à un dispositif ; cela permet d’en faciliter « l’acceptation » c’est-à-dire d’en faciliter la réception sociale.

Ces deux aspects de l’expérimentation peuvent parfois se recouper ou bien former deux tendances distinctes avec des caractéristiques propres. Un des usages possibles permis par l’expérimentation est de tester l’acceptabilité d’une technologie tout en en faisant la promotion et de profiter des retombées qu’elle peut conférer. Par exemple, à Nice, l’expérimentation de février 2019 consistait, durant les trois jours du carnaval de la ville, à utiliser la reconnaissance faciale pour identifier des personnes dans la foule. L’expérimentation avait été jugée conforme par la CNIL car le groupe de personnes sur lequel s’effectuait le traitement biométrique avait donné un consentement considéré comme « libre » et « éclairé ». Il s’agissait de faire la démonstration du fonctionnement de la reconnaissance faciale et de son utilisation en milieu urbain. Ici, en plus de l’effet de communication apportée par cette expérimentation, elle permet d’établir un précédent : la reconnaissance faciale a été utilisée, a produit des données et n’a pas été massivement rejetée par la population.

À l’inverse, d’autres expérimentations visent à améliorer des algorithmes et dispositifs sécuritaires et ne cherchent pas à être connu. C’est le cas du Lab’IA créé à la station de métro Châtelet-les-halles à Paris par la RATP, un laboratoire d’intelligence artificielle où sont testées de nombreuses technologies dans la station de métro la plus fréquentée de France avec 750 000 visiteurs par jour. Le rapport de l’Institut Paris Région nous apprend que depuis 2017, la régie des transports a conclu des partenariats avec plusieurs entreprises (dont Thalès, Axone System et plus récemment, la société Datakalab sur la détection de port de masque) pour tester des algorithmes de maraudage, de détection de comportements suspects, d’abandon de colis. Mais du fait de l’ancienneté du parc de vidéosurveillance de la RATP (qui n’est pas doté de caméras HD), les algorithmes donnaient trop de faux-positifs. Par exemple, en attendant leur train, les voyageurs créaient de trop nombreuses alertes, car ils étaient détectés par l’algorithme de « maraudage », qui s’enclenche au bout de 300 secondes d’immobilité. Ce Lab’IA de la RAPT à Châtelet est un bon exemple d’expérimentations où la population est vue comme un laboratoire pour tenter de « valoriser » son réseau de caméras et permettre à des entreprises d’améliorer leurs algorithmes sur des voyageurs. Ce type d’expérimentation ne gagne pas forcément à être publicisé.

Ainsi les expérimentations peuvent avoir plusieurs usages, que ce soit pour tenter de créer l’acceptabilité de ces dispositifs, pour améliorer les technologies ou encore parer à leur illégalité. Lorsque la population participe, c’est la plupart du temps malgré elle. Mais dans certain cas, sa participation est attendue :

La population, une coproductrice attendue de la surveillance urbaine numérique

Dans certains cas particuliers, la participation de la population est attendue et même souhaitée par les acteurs développant les smart cities. Ainsi à Nice, au début de l’année 2018, la municipalité voulait mettre en place une application dite citoyenne « Reporty » qui permettait de faire des appels vidéos avec la police tout en se géolocalisant et se filmant en temps réel pour dénoncer des « incivilités ». Une camionnette qui décharge de l’électroménager sur la voie publique, un maraudeur qui lorgne sur une voiture ou encore un cycliste renversé furent cités comme exemples par le maire de Nice, Christian Estrosi lors de la mise en place expérimentale de cette application (auprès de 2000 utilisateurs). Il affirme également : « Chacun d’entre nous doit devenir un citoyen engagé acteur de sa propre sécurité, et donc de la sécurité collective ». Finalement, Reporty fut épinglée par la CNIL, le dispositif étant disproportionné entre l’atteinte à la vie privée (collecte et enregistrement immédiat de données biométriques (voix, visage)) et l’objectif escompté.
C’est ce que Vannessa Codaccioni nomme « société de vigilance » pour parler de la tendance à l’autosurveillance et à la délation qui s’institutionnalise.

Ainsi, les autorités s’attendent à ce que la population participe et contribue activement à la construction de la sécurité urbaine numérique. Guillaume Faburel : la population entière peut être envisagée comme capteurs, grâce aux technologies embarquées (smartphone). La population peut être actrice de sa propre surveillance « Depuis son smartphone, le citoyen pourra, dans un second temps, signaler un problème sur la voie publique (éclairage en panne, mur tagué, sac poubelle sur le trottoir,…), gérer ses demandes administratives ou encore optimiser ses déplacements dans la métropole. » toujours selon la métropole dijonnaise.

Ici la population d’une ville est l’objet des mesures de surveillance urbaine et en même temps considérée comme coproductrice de cette sécurité : le citoyen est envisagé comme partenaire et acteur de cette surveillance.

Conclusion

La smart city et l’informatisation qu’elle amène cache son déploiement dans nos vies et villes à travers le mythe de la participation. Or, comme on l’a vu, celle-ci est circonscrite : les habitant.es ne peuvent participer au gouvernement de la ville qu’en faisant office de nouveaux capteurs d’information. En ce sens, la ville connectée et intelligente n’apporte pas l’idéal démocratique tant promis par les autorités. Les dispositifs technologiques déployés renforcent la surveillance de l’espace public car ils sont porteurs de normes et de vision du monde de leur promoteurs.