Mise à jour de la base de données, veuillez patienter...

L’année 2020 s’était finie en apothéose : après une série de manifestations prodigieuses contre la loi sécurité globale, alors adoptée par l’Assemblée nationale, nous obtenions une victoire décisive devant le Conseil d’État contre les drones. Si le début de l’année 2021 est douloureux, entre un hiver sanitaire qui n’en finit plus et le spectacle raciste lancé avec la loi séparatisme (lire aussi nos craintes pour les libertés associatives), il est temps de relancer l’offensive.

Commençons par la loi sécurité globale, examinée en commission par le Sénat le 3 mars. Afin de corriger l’analyse particulièrement bienveillante de la CNIL envers les dérives sécuritaires du gouvernement, nous envoyons aux sénateurs la nôtre, reproduite ci-dessous, centrée sur les sept articles qui renforceront la surveillance policière. Dans les jours suivants, il nous faudra poursuivre notre combat contre la Technopolice toute entière, tant au niveau local que national, pour aujourd’hui comme pour demain (voir notre mobilisation sur les JO 2024), car cette loi n’est que la première étape d’une longue lutte que nous devrons absolument gagner.

Loi Sécurité Globale – Analyse du titre III « Vidéoprotection et captation d’images »

La Quadrature du Net s’oppose à la proposition de loi « Sécurité Globale » et appelle le Sénat à la rejeter. Par la présente analyse, elle entend démontrer le caractère inconstitutionnel et inconventionnel des dispositions :

intensifiant la vidéosurveillance fixe (articles 20, 20 bis A, 20 bis et 20 ter) ; et

autorisant la vidéosurveillance mouvante (articles 21, 22 et 22 bis).

L’ensemble de ces dispositions aura pour effet d’intensifier la reconnaissance faciale.

Ces modifications sont intrinsèquement contraires à la Constitution et au droit européen. Aucune garantie ni aucun aménagement ne saurait les rendre conformes à ces normes supérieures qui s’imposent au législateur. L’ensemble des articles 20 à 22 bis doivent être supprimés, sans quoi nous les soumettrons à l’examen de toute juridiction utile pour les faire censurer et corriger, une fois de plus en la matière, les erreurs de droit quelle comporte.

I – Vidéosurveillance fixe

En droit, le Conseil constitutionnel juge que les systèmes de vidéosurveillance affectent la liberté d’aller et venir, le droit à la vie privée ainsi que l’inviolabilité du domicile, protégés par les articles 2 et 4 de la Déclaration des droits de l’Homme et du citoyen de 1789, et ne peuvent donc être conformes à la Constitution qu’en respectant de strictes garanties (Cons. constit., 94-352 DC, 18 janvier 1995, §§ 3 et 4). Il souligne aussi que des mesures de surveillance généralisée sont susceptibles de porter atteinte à la liberté d’expression et de manifestation (Cons. const., 27 décembre 2019, 2019-796 DC, § 83).

La Cour de justice de l’Union européenne juge que « l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel » (CJUE, C-212/13, 11 décembre 2014, §22) dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (la Charte) et qui, à ce titre aussi, ne peut être traitée que dans de strictes limites, notamment définies par la directive 2016/680 (dite « police-justice »).

En l’espèce, les articles 20 à 20 ter intensifieraient la vidéosurveillance bien au-delà des limites définies par la Constitution et le droit européen, sur quatre points.

A – Défaut de nécessité

En droit, une disposition ne peut porter atteinte aux libertés fondamentales que si cette atteinte est nécessaire à l’objectif qu’elle prétend poursuivre. Il s’agit d’une des garanties exigées par la Constitution en matière de vidéosurveillance. De même, la Cour européenne des droits de l’Homme (CEDH) considère qu’une atteinte au droit à la vie privée n’est justifiée que « si elle est proportionnée au but légitime poursuivi et si les motifs invoqués par les autorités nationales pour la justifier apparaissent « pertinents et suffisants » » (cf. CEDH, 4 décembre 2008, S et Marper c. Royaume-Uni, n°30562/04 et 30566/04, § 101). De même, l’article 4 de la directive police-justice exige que tout traitement de surveillance policière « soit nécessaire et proportionné » à la lutte contre les infractions et les atteintes à la sécurité publique.

En l’espèce, il faut souligner que, depuis son autorisation en 1995, la nécessité et l’efficacité de la vidéosurveillance contre les infractions et les atteintes à la sécurité publique n’ont jamais été démontrées. Bien au contraire, les seules études concrètes déplorent qu’« aucune corrélation globale n’a été relevée entre l’existence de dispositifs de vidéoprotection et le niveau de délinquance commis sur la voie publique » (Cour des comptes, Les polices municipales, octobre 2020).

En conclusion, la proposition de loi devrait corriger le dispositif actuel de vidéosurveillance pour en réduire largement ou totalement le champ d’application. Or, en l’état actuel du texte, non seulement cette proposition de loi ne réduit pas au strict nécessaire le dispositif existant, mais au contraire elle l’intensifie. Si le dispositif de base est disproportionné, son extension l’est d’autant plus et viole les normes supérieures de ce seul fait.

B – Surveillance des lieux privés

En droit, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5). Ainsi, en 2010, le Conseil constitutionnel n’a pas hésité à censurer une disposition qui autorisait la police à accéder aux images de caméras de hall d’immeubles dès lors que surviennent « des événements ou des situations susceptibles de nécessiter l’intervention des services de police ou de la gendarmerie » (Décision 2010-604 du 25 février 2010).

En l’espèce, une loi de 2011 a réintroduit la disposition censurée en 2010 en tentant de la corriger par une condition un peu plus limitée : la transmission d’image n’est plus permise qu’en présence « de circonstances faisant redouter la commission imminente d’une atteinte grave aux biens ou aux personnes ». Hélas, le Conseil constitutionnel n’a jamais eu l’occasion de trancher si cette modification suffirait pour rendre le dispositif conforme à la Constitution.

Pourtant, l’article 20 bis de la présente proposition de loi supprimerait cette limitation de 2011 pour revenir à une situation quasi-identique à celle censurée en 2010. Les images pourraient être transmises en cas de simple « occupation par des personnes qui entravent l’accès et la libre circulation des habitants ou empêchent le bon fonctionnement des dispositifs de sécurité et de sûreté ou nuisent à la tranquillité des lieux ». La condition de « nuisance à la tranquillité des lieux » est aussi large, et même davantage, que celle de « situations susceptibles de nécessiter l’intervention de la police ». En pratique, cette nouvelle condition permettrait à tout moment à n’importe quel bailleur, ou à la police, de permettre la transmission en direct des images filmées par les caméras.

En conclusion, une telle disposition reviendrait à autoriser dans des conditions totalement disproportionnées la vidéosurveillance par la police dans les immeubles d’habitation, en contradiction manifeste avec la jurisprudence du Conseil constitutionnel.

C – Extension des personnes ayant accès aux images

En droit, la CJUE juge contraire à la Charte une mesure de surveillance qui « ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données » (CJUE, grande chambre, 8 avril 2014, Digital Rights Ireland et autres, C-293/12, C-594/12, § 62). Cette limitation est indispensable dans la mesure où les risques de dérives et d’abus des mesures de surveillance ainsi que la difficulté du contrôle que peut en faire une autorité indépendante sont proportionnels au nombre de personnes pouvant les mettre en œuvre. Dans son avis du 21 décembre 2020, la Défenseure des droits insiste sur le fait que cette limitation est une garantie centrale pour le respect de la vie privée.

En l’espèce, l’article L252-3 du code de la sécurité intérieure limite actuellement le visionnage des images de vidéosurveillance aux seuls agents de la gendarmerie et de la police nationale. La loi sécurité globale étendrait cet accès aux agents :

• de la police municipale et de la ville de Paris (article 20) ;
• des communes, des communautés de communes et des groupements similaires (article 20bisA) ;
• des services de sécurité de la SNCF et de la RATP (article 20 ter).

Aucun élément matériel ni aucune étude concrète n’a été produite pour démontrer la nécessité d’une extension si importante des personnes accédant aux images de vidéosurveillance pour lutter contre les infractions.

En conclusion, cette extension multiplie hors de toute proportion justifiée les risques de détournement et d’abus des mesures de surveillance, tout en diminuant les capacités de contrôle des autorités indépendantes.

D – Délégation à des personnes privées

En droit, le Conseil constitutionnel juge que la nécessité d’une force publique, inscrite à l’article 12 de la DDHC, interdit de déléguer à des personnes privées des compétences de police administrative générale et de surveillance générale de la voie publique (Conseil constit., décision 2011-625 DC du 10 mars 2011).

En l’espèce, l’article 20 ter permet aux agents des services internes de la SNCF et de la RATP d’avoir accès aux images de vidéosurveillance de la voie publique. Il s’agit de salariés de droit privé auxquels serait délégué un pouvoir de surveillance de la voie publique. Les encadrements prévus par la loi, comme le contrôle d’un agent de police ou le nombre limité de finalités, n’altèrent en rien la qualification de délégation à une personne privée d’une mission de surveillance.

En conclusion, la délégation que prévoit l’article 20 ter de la proposition de loi est contraire à la Constitution.

2. Vidéosurveillance mouvante

Les articles 21, 22 et 22 bis concernent le déploiement et l’intensification de la vidéosurveillance mouvante : transmission en temps-réel et systématisation des images captées par les caméras-piétons, légalisation des caméras aéroportées et des caméras embarquées. Ces trois types de vidéosurveillance seront examinées ensemble, car elles partagent toutes le fait d’être mobiles : cette seule caractéristique suffit à les rendre irréconciliables avec quatre garanties fondamentales exigées par la Constitution et le droit européen.

A – Défaut de nécessité

En droit, tel qu’exposé précédemment, une atteinte à la vie privée ou à la protection des données personnelles n’est conforme à la Constitution et au droit européen que si elle est strictement nécessaire à la finalité qu’elle poursuit. Plus spécifiquement, l’article 4 de la directive police-justice exige que le traitement de données personnelles réalisé pour lutter contre les infractions et les atteintes à la sécurité publique « soit nécessaire et proportionné » à cette finalité et que les données soient « adéquates, pertinentes et non excessives » au regard de cette finalité.

Plus grave, si les images captées sont des données « sensibles », telles que des données biométriques ou des données pouvant révéler les opinions politiques ou religieuses des personnes filmées, l’article 10 de la directive police-justice, transposé à l’article 88 de la loi informatique et libertés, exige que les autorités démontrent la « nécessité absolue » d’une telle surveillance – autrement dit, la police doit démontrer être dans l’impossibilité matérielle de lutter contre les infractions si elle ne peut pas utiliser ces caméras.

En l’espèce, l’article 21 veut généraliser la captation et la transmission d’images par caméra-piéton Les articles 22 et 22 bis veulent autoriser les caméras aéroportées (drones) et embarquées (hélicoptères, voitures). Aucune démonstration n’a été réalisée, ni même tentée, quant à la nécessité de déployer de telles caméras pour poursuivre l’une des très nombreuses et larges finalités qu’elles pourraient poursuivre : sécurité des rassemblements de personnes sur la voie publique, constat des infractions, protection des bâtiments…

C’est même le contraire qui commence à apparaître dans la jurisprudence. Dans sa décision du 22 décembre 2020 (décision n° 446155) qui a interdit les drones policiers à Paris, le Conseil d’État a dénoncé que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement dans les circonstances actuelles, en l’absence de recours à des drones » – c’est à dire grâce au 35 000 caméras fixes surveillant déjà l’espace public .

De même, si l’objectif premier des caméras-piétons était de « prévenir les incidents susceptibles de survenir au cours des interventions [et de] déterminer les circonstances de tels incidents, en permettant l’utilisation des enregistrements à des fins probatoires » (comme l’expliquait la CNIL dans son rapport de 2015), le gouvernement n’a jamais pris la peine d’évaluer si cet objectif avait était atteint. Pourtant, sans attendre une telle évaluation, l’article 21 prévoit d’étendre considérablement le rôle de ce dispositif en autorisant la transmission des images au centre de commandement, en direct et à la libre initiative de la police et de la gendarmerie, dès lors que celles-ci considèrent que « la sécurité des agents […] ou la sécurité des biens et des personnes est menacée ». La nécessité d’une extension si importante est encore moins démontrée que celle du dispositif initial, qui fait pourtant défaut.

Si la simple « nécessité » des drones est absente, tout autant que celle des caméras par hélicoptère et des caméra-piétons, leur « nécessité absolue » fait entièrement défaut. Pourtant, ces caméras captent régulièrement des données sensibles, ne serait-ce qu’en manifestation où elles ont largement été déployées et où, par définition, toute image captée est susceptible de révéler des opinions politiques.

Pour toute tentative de justification, la police semble mettre en avant certains faits divers où un drone, ou une caméra piéton, aurait plus ou moins facilité son travail. Non seulement le critère de « nécessité » ou de « nécessité absolue » exige bien davantage qu’un simple gain de temps, d’énergie ou une économie de moyens mais, surtout, la loi ne s’écrit pas sur la base d’anecdotes. En effet, face à chaque fait divers en faveur de telle mesure de surveillance, on pourra toujours en opposer un autre témoignant d’un abus, dans un jeu infini et vain d’étalage de faits divers. Au contraire, la loi se pense par la rigueur d’examens systémiques, que le gouvernement a toujours refusé d’entreprendre ici. Ce ne sont pourtant pas les occasions qui lui ont manqué : ces caméras mouvantes ont été déployées pendant des années, de façon illégale, mais suffisamment large pour en évaluer les effets.

Expérimenter l’usage de drones, proposition portée par la CNIL dans son avis sur la proposition de loi, est également voué à la même contradiction flagrante aux normes supérieures qui s’imposent. Premièrement, une telle expérimentation s’est faite illégalement avant que le Conseil d’État ne vienne explicitement interdire l’usage de drones en mai 2020 puis décembre 2020, et la nécessité absolue fait toujours défaut. Deuxièmement, les règles impératives de proportionnalité, dont l’exigence de « nécessité absolue », ne peuvent être contournées par l’introduction sur le papier d’une disposition qui serait dite expérimentale. La directive police-justice ne distingue pas les cas de surveillances expérimentales des autres ; en effet, une telle distinction aurait pour conséquence de vider de leur substance les protections requises par le droit européen.

En conséquence, à défaut d’être nécessaires à la poursuite des finalités qui leur sont associées, et alors qu’ils causent de graves atteintes aux libertés fondamentales tel que démontré ci-après, les dispositifs de caméra mouvante autorisés par la présente proposition de loi ne sauraient l’être sans violer la Constitution et le droit européen, y compris s’ils étaient expérimentaux.

B – Défaut de contrôle préalable

En droit, le Conseil constitutionnel juge, en matière de vidéosurveillance, que le législateur « ne peut subordonner à la diligence de l’autorité administrative l’autorisation d’installer de tels systèmes sans priver alors de garanties légales les principes constitutionnels » protégeant la liberté d’aller et venir, la vie privée et l’inviolabilité du domicile. Le Conseil exige que le législateur prévoie un contrôle préalable extérieur, tel que l’avis préalable d’une commission indépendante ayant pu en examiner la nécessité et la proportionnalité du dispositif (Conseil constit., 94-352 DC, 18 janvier 1995, §§ 6 et 12).

De la même manière, la CJUE exige qu’une mesure de surveillance ne puisse être déployée qu’en faisant l’objet « d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (CJUE, C-511/18, La Quadrature du Net, 6 octobre 2020, §§ 139, 168, 179, 189 et 192).

Ainsi, avant d’installer chaque caméra, une autorité indépendante doit pouvoir examiner si le lieu filmé est surveillé pour des justifications suffisantes propres à ce lieu – telles que la fréquence des infractions qui y surviennent, leur nature, leur gravité et les difficultés particulières que la police y rencontre. C’est ainsi que l’article L252-1 du code de la sécurité intérieure prévoit qu’un dispositif de vidéosurveillance ne peut être autorisé qu’après l’avis d’une commission départementale de vidéoprotection, présidée par un magistrat.

En l’espèce, il est impossible de connaître à l’avance les lieux filmés par une caméra-piéton, aéroportée ou embarquée. La police et la gendarmerie décident seules et sur le vif des lieux à surveiller, en réaction à des situations imprévisibles par nature. La proposition de loi ne prévoit aucune forme de contrôle préalable car, en pratique, il semble effectivement improbable qu’une autorité extérieure puisse examiner en temps réel la nécessité pour un agent d’activer sa caméra ou pour un drone de survoler telle ou telle position.

Cette impossibilité intrinsèque à toute caméra mouvante a des conséquences particulièrement graves : si la police souhaite abuser de ses pouvoirs afin, par exemple, d’envoyer un drone filmer les locaux d’une association, d’un journal ou d’un avocat, ou encore la résidence d’un parlementaire ou d’une personne bénéficiant d’un asile politique, elle pourrait le faire en toute discrétion et en toute autonomie, sans qu’aucune autorité indépendante n’en soit informée. À l’inverse, l’installation de caméra fixe est signalée et examinée par une autorité indépendante à même de dénoncer de telles dérives.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant pas être examinées au préalable par une autorité indépendante, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

C – Défaut d’information

En droit, pour être conforme à la Consitution, une disposition qui autorise un dispositif de vidéosurveillance doit s’assurer « que le public soit informé de manière claire et permanente de l’existence du système de vidéosurveillance ou de l’autorité et de la personne responsable » (Cons. constit., décision 94-352 DC, 18 janvier 1995, § 5).

De même, l’article 13 de la directive police-justice exige que le responsable d’une mesure de surveillance fournisse aux personnes concernées plusieurs informations, telles que l’identité du responsable, les finalités du traitement et le droit d’accéder aux données.

S’agissant des caméras fixes, l’article R252-3 du code de la sécurité intérieure prévoit que chaque dispositif de vidéosurveillance est accompagné d’une affiche indiquant « le nom ou la qualité et le numéro de téléphone du responsable auprès duquel toute personne intéressée peut s’adresser pour faire valoir le droit d’accès prévu à l’article L. 253-5 ». Seule une information aussi précise et complète permet de garantir le respect des garanties avancées par le Conseil constitutionnel et le droit de l’Union.

En l’espèce, la proposition de loi prévoit que le public devrait être informé de la surveillance par drone « par tout moyen approprié  » et de la surveillance par caméra embarquée « par une signalétique spécifique de l’équipement du moyen de transport par une caméra ». En pratique, tel qu’il a été facile de constater ces dernières années, cette information sera systématiquement défaillante : un écriteau « vous êtes filmé » accroché à un hélicoptère volant à plus de 100 mètres n’aura aucun effet ; pire, un drone vole trop haut pour transmettre la moindre information visuelle ou sonore, et sa taille est si petite qu’il échappe souvent entièrement à l’attention des personnes surveillées. De même, les camera-piétons se fondent parfaitement dans l’équipement des agents qui, eux-mêmes, se fondent facilement dans les foules surveillées, qu’ils n’ont aucun moyen visuel ou sonore d’informer de façon réaliste.

Par ailleurs, la proposition de loi prévoit que les agents peuvent ne pas informer le public d’une surveillance par drone ou par caméra embarquée « lorsque les circonstances l’interdisent ». Cette dérogation est si large qu’elle retire tout effet utile que ces mesures auraient pu avoir. Cette dérogation est d’ailleurs inexistante dans la loi sur la vidéosurveillance fixe de la voie publique.

En conséquence, les mesures de vidéosurveillance mouvante ne pouvant jamais être portées à la connaissance du public de façon suffisamment efficace, les dispositions qui autorisent leur déploiement violent la Constitution et le droit européen.

D – Surveillance des lieux privés

En droit, tel que rappelé ci-dessus, une des principales garanties qu’un système de vidéosurveillance doit respecter pour être conforme à la Constitution est de ne pas capter les images de l’intérieur des immeubles et de leurs entrées (Cons. const., décision 94-352 DC, §5).

Ainsi, les caméras fixes sont orientées de façon à éviter de filmer les immeubles et, quand elles ne le peuvent pas, un système d’obstruction matérielle ou logicielle basique permet de ne pas capter l’image des immeubles (un rectangle noir, typiquement).

En l’espèce, la vidéosurveillance mouvante filme des lieux qui changent constamment et qui ne peuvent être connus à l’avance. Or, il est techniquement irréaliste d’obstruer en temps réel l’image d’immeubles présents sur des lieux inconnus à l’avance et en mouvement constant – contrairement aux lieux statiques filmés par les caméras fixes. Le caractère mouvant de cette vidéosurveillance est mécaniquement incompatible avec une interdiction de filmer l’intérieur des immeubles.

Dès lors, l’article 21 sur les caméra-piétons et l’article 22 bis sur les caméras embarquées ne prévoient aucune interdiction de filmer l’intérieur des immeubles – ce qui, en effet, serait irréaliste. Pourtant, ces caméras sont presque toujours en situation de filmer l’intérieur d’immeubles et de lieux privés, ne serait-ce qu’au travers des fenêtres.

L’article 22 sur les drones prévoit une interdiction de filmer l’intérieur des « domiciles » ou de leurs entrées et non, comme l’exige le Conseil constitutionnel, l’intérieur de tous les « immeubles » en général. La police et la gendarmerie seraient seules à décider quels immeubles sont ou non des domiciles. Cette appréciation se ferait à la volée et en cours d’opération, ce qui semble parfaitement irréaliste – même via des outils d’analyse automatisée, qui ne seraient d’aucune aide s’agissant d’une appréciation aussi sociale et humaine de ce qu’est ou non un « domicile ». Mais ce problème est finalement sans importance dans la mesure où, de toute façon, aucun dispositif technique n’est capable d’obstruer en temps réels l’image mouvante d’immeubles, domiciles ou non.

Au cours des débats à l’Assemblée nationale, la rapporteure Alice Thourot a reconnu sans ambiguïté, s’agissant des drones, qu’il « n’est matériellement pas possible d’interdire de visualiser les espaces privés » (voir les débats publics de la troisième séance du vendredi 20 novembre 2020 relatifs à l’amendement n° 1164).

En conséquence, les dispositifs de vidéosurveillance mouvante ne pouvant jamais éviter de filmer l’intérieur des immeubles, les articles 21 à 22 bis, qui intensifient et autorisent leur déploiement, violent la Constitution.

3 – Reconnaissance faciale

Le titre III de la proposition de loi vise à intensifier la vidéosurveillance fixe et généraliser la vidéosurveillance par drones, hélicoptères et caméras-piétons. Toutes les nouvelles images captées par ces dispositifs, fixes comme mouvants, seront transmises en temps-réel à un poste de commandement.

Une telle transmission en direct donne aux forces de police et de gendarmerie la capacité d’analyser les images transmises de façon automatisée, notamment en recourant au dispositif de reconnaissance faciale autorisé par le décret du 4 mai 2012 relatif au traitement d’antécédents judiciaires. Cette technique, qui n’a jamais été autorisée par le législateur, est l’exemple typique de traitements de donnée biométrique qui, au titre de l’article 10 de la directive police-justice et de l’article 88 de la loi informatique et libertés, doivent démonter leur « nécessité absolue » dans la lutte contre les infractions et les menaces pour la sécurité publique. Pourtant, cette nécessité n’a jamais été démontrée et le droit français ne prévoit aucune garantie pour les limiter à ce qui serait absolument nécessaire. Au contraire, le recours à ces techniques semble être devenu systématique et ne reposer sur aucun contrôle de proportionnalité : en 2019, les autorités ont réalisé plus de 375 000 opérations de reconnaissance faciale, soit plus de 1 000 par jour (voir l’avis rendu le 13 octobre 2020 par le député Mazars au nom de la commission des lois de l’Assemblée nationale).

Il ne fait pourtant aucun doute que l’analyse automatisée d’images de vidéosurveillance est aujourd’hui contraire au droit français et européen, qu’il s’agisse d’ailleurs de reconnaissance faciale comme de tout autre type d’analyse automatisé permettant l’identification et le suivi d’une personne, tel que la CNIL l’a encore dénoncé face au déferlement de caméras dites « intelligentes » au cours de la crise du Covid-19 (Cnil, « Caméras dites « intelligentes » et caméras thermiques », 17 juin 2020).

Comme vu tout au long de la présente analyse, l’utilité opérationnelle des nouvelles captations et transmissions d’images semble nulle ou très faible. Il en irait peut être autrement si le véritable objectif de ces changements était d’abreuver les dispositifs de reconnaissance faciale d’une immense quantité de nouvelles images. Le gouvernement ne l’a jamais avoué explicitement, et pour cause : cet objectif est frontalement contraire au droit européen et ne saurait donc en rien justifier d’intensifier la vidéosurveillance tel que le propose la présente loi.

Plutôt que de renforcer des pratiques aussi illégales qu’impopulaires, le rôle du législateur est d’empêcher l’analyse automatisée des images de vidéosurveillance et son renforcement par le titre III de la proposition de loi Sécurité Globale, qui doit donc être supprimé dans son ensemble.

Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

Suite et fin de « Faut-il réguler Internet ? »

Face à tout cela, il semble clair que se contenter de renforcer les obligations des plateformes géantes ne suffira pas, c’est l’ensemble de ce modèle de l’économie de l’attention qu’il faut remettre en question.

Faire évoluer le droit : différencier petits hébergeurs et grandes plateformes pour aider au développement des alternatives libres et décentralisées aux plateformes géantes

Qu’appelle-t-on « alternative libre et décentralisée » à La Quadrature du Net ? Un exemple pour illustrer : la Quadrature du Net fournit à plus de 9 000 personnes l’accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n’est que l’un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la collecte massive de données).

Mais actuellement, et ce depuis 15 ans, le droit freine le développement d’alternatives aux GAFAM et à leur monde. Il impose des obligations lourdes à tous les « hébergeurs » (les personnes qui conservent et diffusent sur Internet des contenus fournis par le public). Si un contenu « manifestement illicite » est signalé à un hébergeur, il doit le censurer « promptement » ou en devient personnellement responsable¹Voir l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, transposant l’article 14 de la directive européenne de 2000 sur le commerce électronique.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_16566_2_1').tooltip({ tip: '#footnote_plugin_tooltip_text_16566_2_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });. En pratique, à La Quadrature du Net, nous avons songé à devenir un hébergeur de vidéos (en autorisant tout le monde à mettre en ligne des vidéos sur notre service de streaming Peertube²https://video.lqdn.fr/ . PeerTube est un logiciel libre d’hébergement de vidéo décentralisé grâce à la diffusion en pair à pair, créé en 2015 et soutenu par Framasoft. Il fonctionne sur le principe d’une fédération d’instances hébergées par plusieurs entités différentes. Son objectif est de fournir une solution alternative aux plateformes centralisées telles que YouTube ou Dailymotion.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_16566_2_2').tooltip({ tip: '#footnote_plugin_tooltip_text_16566_2_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], });). Ce serait une façon concrète de participer à la construction d’une alternative à Youtube, qui ne tirerait aucun profit des discours conflictuels ou de la surveillance de masse. Mais nous avons dû y renoncer. Nous n’avons pas du tout assez de juristes pour évaluer quelles vidéos seraient « manifestement illicites ». Nous n’avons pas les moyens de supporter des amendes en cas de plaintes. Youtube reste maître.

Pour que des alternatives aux GAFAM et à leur monde puissent se développer, il faut commencer par changer le droit et par distinguer les « petits » hébergeurs (ceux qui ne tirent aucun profit d’une quelconque mise en avant et hiérarchisation des contenus qu’ils hébergent) des grandes plateformes. Ce sont celles qui régulent les contenus de manière active, pour faire tourner leur modèle économique, et qui exercent sur leurs utilisateur·rices un « pouvoir de contrainte » puisque ces dernier·es ne peuvent quitter la plateforme sans subir de conséquences négatives – perte des liens sociaux tissés sur le réseau dans le cas de Facebook par exemple -. Cela permet à la plateforme d’imposer les règles de son choix, sans que quiconque puisse y réagir. Si l’on souhaite utiliser le droit pour corriger les géants du Web, il faut d’abord trouver un critère objectif pour les identifier. Ensuite, autour de ce critère, le droit pourra poser des obligations spécifiques pour former un « statut juridique » adapté à leur situation. Ce nouveau statut juridique se placerait à mi-chemin entre celui d’hébergeur et d’éditeur : la plateforme porterait une certaine responsabilité sur les contenus qu’elle héberge et promeut, sans toutefois être responsable de l’ensemble des contenus publiés comme le sont les éditeurs. Enfin, il serait nécessaire d’alléger à l’inverse les obligations faites aux petits hébergeurs, en ne leur laissant pas supporter la charge d’évaluer si un contenu est « manifestement illicite » ou non. Seul·e un·e juge doit pouvoir exiger la censure, et donc le retrait d’un contenu. 

Le cercle vertueux de la régulation décentralisée

Permettre à une multitude de petits hébergeurs de se développer fait naître l’espoir d’une auto-régulation efficace, placée dans les mains de l’ensemble des personnes utilisatrices.

Dans le cadre de la loi, chaque hébergeur applique ses propres règles de modération, plus ou moins stricte, et chaque personne choisit l’espace de discussion adapté à ses besoins et à ses envies. La liberté de ce choix est renforcée par le développement des standards de « réseaux sociaux décentralisés », notamment du standard ³On appelle « standard » des règles ou normes techniques de communication partagées entre différents acteurs pour leur permettre d’interagir.<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_16566_2_3').tooltip({ tip: '#footnote_plugin_tooltip_text_16566_2_3', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], }); ActivityPub ⁴ActivityPub est un standard ouvert pour réseaux sociaux décentralisés basé sur le format ActivityStreams 2.0. Il fournit une API (interface de programmation d’application, ensemble de fonctions permettant à un logiciel d’offrir des services à un autre logiciel : https://fr.wikipedia.org/wiki/Interface_de_programmation) allant d’un client vers un serveur pour la création, la mise à jour et la suppression de contenu, ainsi qu’une API entre serveurs afin de permettre la fédération de notifications et de contenus. https://fr.wikipedia.org/wiki/ActivityPub<script type="text/javascript"> jQuery('#footnote_plugin_tooltip_16566_2_4').tooltip({ tip: '#footnote_plugin_tooltip_text_16566_2_4', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top right', relative: true, offset: [10, 10], }); publié en janvier 2018 par le World Wide Web Consortium (W3C, à l’origine des standards du Web) et déjà appliqué par Mastodon (alternative à Twitter) ou Peertube (alternative à Youtube). Ces standards permettront à une infinité d’hébergeurs de communiquer entre eux, selon les règles de chacun·e. Ils permettront aussi à chaque personne de passer librement d’un hébergeur à un autre, d’une règle du jeu à un autre (ce que les plateformes géantes font tout pour empêcher aujourd’hui).

Chaque personne choisira de s’exposer ou non à tel ou tel type de conflit, et chaque hébergeur modérera sa communauté à une échelle humaine (et donc sans mettre en place de filtrage automatique). Cette structure offre l’espoir de diminuer significativement les conflits interpersonnels non-souhaités sur Internet. Ainsi, les juridictions n’auront plus à trancher autant de conflits qu’il en existe sur les plateformes géantes et pourront se recentrer sur les infractions les plus graves.

Faire cohabiter les petits hébergeurs et les grandes plateformes par l’interopérabilité

En pratique, pour ne pas perdre nos liens tissés sur les géants, nous n’avons pas d’autre choix que de continuer à les utiliser. C’est une chose qui peut être corrigée si les géants deviennent « interopérables » avec d’autres services : si nous les forçons à nous permettre de continuer de parler avec nos « ami·es Facebook » sans être nous-mêmes encore inscrit·es sur Facebook. 

Techniquement, cette « interopérabilité » passe par l’application de « standards de communication » : un langage partagé par plusieurs services afin de communiquer entre eux. Par exemple, le standard ActivityPub (évoqué plus haut) propose un standard pour « réseaux sociaux décentralisés » – et nous y voyons l’espoir concret de l’essor d’un Web décentralisé. De plus, appliquer de tels standards serait une façon de rendre effectif le « droit à la portabilité » (possibilité pour une personne de récupérer tout ou partie de ses données dans un format ouvert et lisible) créé par le RGPD (à l’article 20) et qui, sans interopérabilité entre plateformes, peine pour l’instant à démontrer son utilité.

Concrètement, nous pourrions quitter un géant (par exemple Twitter) pour migrer vers un autre service (tel que par exemple Mamot.fr, le service décentralisé de micro-bloging Mastodon proposé par La Quadrature du Net, ou encore l’instance mstdn.fr). Depuis ce nouveau service, nous pourrions continuer de recevoir et d’envoyer des messages aux personnes restées sur le géant (Twitter), sans rompre nos liens avec elles.

Ainsi, dès lors qu’un géant abandonnerait son pouvoir de contrainte, nous pourrions librement échapper au cadre destructeur de sa capitalisation de notre attention. Le « cercle vertueux de la décentralisation » reprenant le pas, le pouvoir de contrainte de ce géant-ci pourrait diminuer, jusqu’au point où, éventuellement, il pourrait revenir dans le statut plus souple des hébergeurs.

Dans tous les cas, il serait tenu, comme n’importe quel hébergeur, d’afficher clairement et en toute transparence ses règles de hiérarchisation des contenus, nous permettant de nous y soumettre ou non en pleine connaissance de cause. De même, revenir à un cadre d’hébergeur « plus souple » ne signifie en aucun cas alléger les obligations en matière de protection des données personnelles : ces données ne doivent jamais permettre de hiérarchiser les contenus sans le consentement explicite de chaque personne concernée.

La Quadrature du Net travaille actuellement sur cette question de l’interopérabilité, et est à l’origine d’une lettre ouverte sur le sujet, publié en mai 2019.

Et pour mieux comprendre cette question de l’interopérabilité, on peut lire cet excellent billet de Stéphane Bortzmeyer sur le Framablog ou encore notre fiche « Nos propositions positives sur l’interopérabilité ».

<script type="text/javascript"> function footnote_expand_reference_container_16566_2() { jQuery('#footnote_references_container_16566_2').show(); jQuery('#footnote_reference_container_collapse_button_16566_2').text('−'); } function footnote_collapse_reference_container_16566_2() { jQuery('#footnote_references_container_16566_2').hide(); jQuery('#footnote_reference_container_collapse_button_16566_2').text('+'); } function footnote_expand_collapse_reference_container_16566_2() { if (jQuery('#footnote_references_container_16566_2').is(':hidden')) { footnote_expand_reference_container_16566_2(); } else { footnote_collapse_reference_container_16566_2(); } } function footnote_moveToAnchor_16566_2(p_str_TargetID) { footnote_expand_reference_container_16566_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.2 }, 380); } }

La CNIL vient de rendre son avis sur les drones et caméras de la PPL Sécurité globale. L’époque où la CNIL prétendait se faire l’écho des inquiétudes populaires est bien morte et oubliée. Dans un triste spectacle d’équilibriste déserteur, elle parvient à contourner toutes les questions juridiques qui auraient pu remettre en question le projet sécuritaire du gouvernement.

Derrière l’apparente critique de la proposition de loi, la CNIL s’emploie en réalité à valider l’objectif sécuritaire du texte. Aucune disposition n’est remise en cause dans son essence même et l’avis de la CNIL, de même que l’audition de sa présidente ce matin devant la commission des lois du Sénat, n’a qu’un seul objectif : donner le mode d’emploi au législateur pour faire passer son texte.

La CNIL prend ainsi soin de ne surtout rien dire sur la « nécessité absolue » ou le contrôle préalable du déploiement des drones et des caméras-piétons. Et pour cause : ces garanties, exigées tant par la Constitution que le droit européen, sont incompatibles avec le projet du gouvernement et suffiraient à l’invalider.

De même, elle est parfaitement silencieuse sur le fait qu’en pratique les personnes surveillées par drones ou caméras mobiles ne pourront pas en être véritablement informées, comme l’exigent la Constitution et le droit européen. Alors que l’avis de la CNIL relève que l’usage de drone est intrinsèquement dangereux de part leur miniaturisation et leurs capacités techniques, il n’en tire aucune conséquence sur l’information du public. Silence total aussi sur la reconnaissance faciale associée aux caméras-piétons, débat que la CNIL écarte en affirmant qu’elle serait interdite car non explicitement prévue par le texte alors qu’il a tant animé le débat public et que cette possibilité est offerte par d’autres pans de l’arsenal répressif de l’État.

Contorsion absolue : la CNIL propose que les drones soient d’abord expérimentés avant d’être autorisés définitivement dans la loi. Comme si les drones n’avaient pas déjà été largement déployés pendant des années et n’avaient pas déjà eu l’occasion de démontrer encore et encore leur incompatibilité intrinsèque à la Constitution et au droit européen. Même le Conseil d’État a déjà commencé à dénoncer l’inutilité des drones dans le travail de la police, mais la CNIL refuse absolument de contrarier Gérald Darmanin et lui offre un nouveau délai d’expérimentation que rien ne justifie en pratique ni en droit.

L’avis de la CNIL nous offre également une scène de béatitude totale devant les possibilités de floutage, faisant passer cette rustine inefficace comme la clé du respect de la vie privée. Or, un dispositif de floutage des images prises par drones, en plus d’être désactivable à souhait par la police et techniquement très aléatoire, ne fera que donner un faux sentiment de protection alors que ces dispositifs renforcent le pouvoir de la Technopolice qui pourra filmer tout, tout le temps, et sans contrôle, au mépris de l’ensemble des règles de droit françaises et européennes.

Car les 12 pages de son avis sont largement dépourvues de droit, tant sur le fond (la CNIL ne vise aucune norme précise mais son seul sentiment) que sur la forme (un contrôle rigoureux de la proportionnalité de chaque disposition l’aurait empêchée d’esquiver les très graves manquements qu’elle passe sous silence).

Plus que jamais, la CNIL tord le droit et sa propre mission pour venir au secours d’un État policier qu’elle était supposée limiter. Ayant démissionné de son rôle historique, elle est réduite à conseiller l’État sur la meilleure façon de renforcer ses capacités de surveillance tandis que, dans le même temps et paradoxalement, c’est le Conseil d’État lui-même qui apparaît comme dernier contre-pouvoir du gouvernement dans cette affaire.

Non, contrairement à ce qu’elle affirme dans son avis, la CNIL n’a jamais « mis en lumière […] sur les questions particulières en matière de vie privée soulevées par l’usage des drones, des caméras embarquées sur des véhicules ou des personnes et des dispositifs dits de « vidéo intelligente » ou de « vidéo assistée » ». C’est même le contraire : après cinq annés d’utilisation des drones par la police en toute illégalité, il nous aura fallu tirer la sonnette d’alarme, déposer des recours contentieux à plusieurs reprises pour que ces sujets avancent. Face à cette démobilisation de la CNIL qui ne date pas d’aujourd’hui, nous avons d’autant plus besoin de votre aide pour continuer le travail que devrait faire l’autorité.

Cet article a été écrit dans le courant de l’année 2019 et participe d’un dossier réalisé pour Ritimo “Faire d’internet un monde meilleur” et publié sur leur site.

L’administration, au sens public du terme, prend tous les jours un certain nombre de décisions : lorsqu’elle accorde une allocation, lorsqu’elle retire un permis de conduire, lorsqu’elle accepte un·e étudiant·e dans une formation supérieure, lorsqu’elle est chargée d’appliquer une loi, etc. Décider est le quotidien de l’administration et administrer, nous dit le dictionnaire Larousse, signifie « diriger, gérer des affaires publiques ou privées ». La Constitution nous prévient également que « le Gouvernement détermine et conduit la politique de la nation » et « dispose de l’administration » (article 20). Le rôle de l’administration dans la conduite des affaires publiques est donc fondamental. À cette fin, son pouvoir de décision l’est tout autant.

Décider est donc une fonction intrinsèque à l’administration, mais décider n’est pas toujours le fruit d’un processus entièrement humain. L’administration s’est toujours dotée de règles, de documents, de cadres, pour décider, quand bien même aucune obligation ne le lui imposerait : ce pouvoir discrétionnaire dont jouit très souvent l’administration est limité par elle-même, c’est-à-dire qu’elle va décider que, parmi l’éventail de possibilités dans la prise de décision, elle en choisira une seule.

De plus, l’arrivée ces derniers temps d’un nouvel outil pour l’administration, l’algorithme, change radicalement la manière dont on peut concevoir la décision administrative. Skip Machine lave plus blanc que blanc ; l’algorithme décide plus efficacement que l’humain. Il en résulte un miracle : la décision administrative algorithmique. Le législateur est intervenu, pour répondre à un certain nombre de craintes. Mais la pratique administrative tend à contourner ces protections grâce à un nouvel outil, l’algorithme d’aide à la prise de décision.

Avant toute chose, il est nécessaire de s’entendre sur la notion de décision et celle d’algorithme. Nous entendons ici un algorithme (ou son équivalent juridique de « traitement algorithmique ») comme une suite d’opérations mathématiques avec en entrée plusieurs paramètres et en sortie un résultat unique (mais pas forcément reproductible, comme nous le verrons plus tard). Un algorithme n’a donc pas à être compliqué : un rapport sénatorial a ainsi pu comparer une recette de cuisine à un algorithme¹. Il ne s’agit pas forcément non plus d’un programme informatique ou de lignes de codes exécutables : un algorithme peut également être une séries de formules dans une feuille de calcul².

On classera toutefois les algorithmes en deux catégories : les algorithmes auto-apprenants et les autres. Les premiers (on parlera également d’« intelligence artificielle », de « machine learning » ou de « deep learning ») fonctionnent avec une phase d’apprentissage préalable. Dans un premier temps, l’algorithme auto-apprenant s’entraîne sur un jeu de données dont le résultat attendu est connu (par exemple : « cette image est un chaton » ou « cette image n’est pas un chaton ») et s’adapte en comparant ses résultats à ceux attendus. Une fois cette phase terminée, il est utilisé alors que le résultat attendu n’est pas connu (dans notre exemple, il sera censé distinguer les images de chatons des autres). Le résultat d’un algorithme auto-apprenant n’est pas reproductible puisqu’il dépendra de la phase d’apprentissage et de la qualité du jeu de données initial. Les autres algorithmes, ceux qui ne sont pas auto-apprenants, ont un résultat reproductible puisqu’il ne reposent pas sur une phase préalable d’apprentissage.

Une décision administrative, quant à elle, est un acte administratif (au sens de document émanant d’une administration ³) décisoire. Lorsque l’administration constate quelque chose (ce que font beaucoup d’autorités de régulation, par exemple), elle ne fait pas de choix et son acte n’est donc pas une décision.

Enfin, nous entendrons une décision administrative algorithmique comme un type de décision administrative dans laquelle un algorithme a été utilisé durant le processus de prise de décision. L’algorithme n’a pas à être le seul fondement à la décision pour que celle-ci soit qualifiable de décision administrative algorithmique. Il faut distinguer la décision algorithmique de l’algorithme d’aide à la prise de décision : le premier fonde la décision, le deuxième est utilisé en amont de la décision et ne la fonde alors pas.

Arrêtons-nous tout d’abord sur ce qui motive l’administration à utiliser des algorithmes (I). Voyons ensuite les barrières prévues par le droit pour les décision algorithmique (II) et comment l’administration les contourne grâce aux algorithmes d’aide à la prise de décision (III). Enfin, étudions les conséquences de ces algorithmes d’aide à la prise de décision sur nos droits fondamentaux (IV).
I. Un recours aux décisions algorithmiques de plus en plus important

Il est difficile – pour ne pas dire impossible – de systématiser l’utilisation d’un algorithme. L’administration n’est jamais tenue d’y avoir recours, ce n’est qu’une faculté (explicitement admise par la loi depuis 2016⁴).

En tout état de cause, lorsqu’elle y a recours, cela peut être pour atteindre deux objectifs. Premièrement, il peut s’agir d’une situation dans laquelle l’administration doit prendre beaucoup de décisions dans un laps de temps restreint. Elle veut alors accélérer la prise de décision. Dans ce cas, l’algorithme est souvent très simple et il s’agit principalement de décisions administratives individuelles (c’est-à-dire dont le destinataire est une personne nommée ou un groupe de personnes individualisées). Le cas des algorithmes locaux de Parcousup illustre parfaitement cette situation : les universités doivent, en quelques semaines, classer des milliers de candidatures en attribuant à chaque candidat un rang précis ; les algorithmes locaux de Parcoursup appliquent à l’ensemble des candidats une même règle pour donner in fine un rang à chaque candidature. Les algorithmes locaux de Parcoursup sont une simple feuille de calcul sur laquelle les commissions de classement ont donné une importance plus ou moins grande à certains critères académiques parmi ceux transmis par la plateforme aux universités (notes, appréciations, lycée d’origine, etc.⁵).

Deuxièmement, il peut s’agir de détecter ce que l’on estime impossible à trouver par une analyse humaine : il s’agit de la recherche de signaux faibles. Un signal faible est un élément tellement difficile à discriminer de la masse qu’un humain ne peut pas le faire : c’est l’aiguille dans la botte de foin. Dans cette situation, le recours aux algorithmes auto-apprenants est le plus souvent nécessaire. Par exemple, la surveillance algorithmique des réseaux de communication (parfois appelée « boîtes noires ») permises depuis la loi renseignement de 2015⁶ repose sur des algorithmes auto-apprenants dont le but est de détecter des risques à caractère terroriste qu’on estime indétectable par un analyste du renseignement.
II. L’algorithme comme fondement de la décision administrative : une protection théorique contre les abus de la décision administrative algorithmique

Ce panorama étant posé, une peur peut légitimement naître : comment être certain qu’un algorithme a pris la bonne décision ? Il est intellectuellement plus facile de contester une décision prise par un humain que de contester une décision prise par une machine dont l’aléatoire est réputé neutralisé.

Le droit offre un certain nombre de mesures protectrices – bien qu’insuffisantes en pratique – lorsqu’un traitement algorithmique a été le fondement d’une décision. Autrement dit, lorsque l’administration, pour prendre sa décision, se base sur les résultats d’un algorithme, le droit pose des limites. L’article L. 311-3-1 du code des relations entre le public et l’administration énonce ainsi le droit de se faire communiquer les « règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre »⁷ dans le cas d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique. Ainsi, lorsque l’administration prend une décision individuelle à l’aide d’un algorithme, un droit à se faire communiquer certaines informations sur l’algorithme naît au bénéfice du destinataire de la décision. Une forme de transparence est ainsi posée et d’elle découle une forme de contrôle sur la qualité de l’algorithme, donc de la décision qui en découle.

Le Conseil constitutionnel est également venu poser un garde-fou important à l’usage d’algorithmes dans les décisions administratives. Il a ainsi précisé que l’administration doit pouvoir expliquer et reproduire ses résultats : les algorithmes auto-apprenants sont donc théoriquement exclus de la prise de décision⁸.

Enfin, précisons également que le code source des algorithmes sont des documents administratifs au sens de la loi⁹. À ce titre, il est possible, en dehors des cas de décisions administratives individuelles, de se faire communiquer de tels documents¹⁰.
III. L’algorithme comme simple aide : l’absence de toute garantie contre les algorithmes d’aide à la prise de décision

La pratique administrative tend à exclure de plus en plus les algorithmes de la prise de décision. Si l’algorithme n’est plus considéré comme ayant fondé une décision, alors les limites posées (notamment l’interdiction de recourir à des algorithmes auto-apprenants donc aux résultats non reproductibles) n’existent plus du tout.

C’est ce qu’il se passe avec le recours des algorithmes dits « d’aide à la prise de décision ». Ces algorithmes sont utilisés bien en amont de la prise de décision : il s’agit de guider l’administration dans son action au quotidien, avant qu’une décision ne soit prise. On retrouve de tels algorithmes par exemple dans la lutte contre la fraude fiscale et douanière, dans la lutte contre le terrorisme, la police prédictive, etc.

Ces algorithmes d’aide à la prise de décision fonctionnent selon une même logique : une alerte ou une recommandation est levée par l’algorithme. Un·e agent de l’administration reçoit cette alerte ou cette recommandation, puis décide de prendre ou non une décision. Le fondement de la décision n’est donc plus l’algorithme, qui a seulement invité l’agent à s’intéresser à une situation particulière. L’algorithme d’aide à la prise de décision n’est plus au fondement de la décision, il est est détaché.

Ainsi, l’algorithme Paved (« plateforme d’analyse et de visualisation évolutive de la délinquance ») de la gendarmerie ne fait qu’afficher les zones à risques : il ne détermine pas les zones dans lesquelles les patrouilles seront positionnées. L’agent choisira seul·e de placer ses patrouilles dans les zones à risque ou non. Il en va de même pour les boites noires utilisées par les services de renseignement (cf. supra pour leur présentation) : elles ne lèvent qu’une alerte sur une potentielle menace, libre ensuite à l’analyste du renseignement de procéder ou non à une surveillance plus ciblée. Ce même fonctionnement vaut également pour les algorithmes de Bercy chargés de détecter les potentielles fraudes fiscales : les agents du fisc sont toujours libres de procéder ou non au contrôle fiscal.

Ces exemples sont réels et l’hypocrisie est flagrante. Si l’administration demande à un algorithme de l’aider, soit en augmentant le nombre de situations traitées, soit en détectant ce qu’un humain ne pourrait pas voir, pourquoi ne pas suivre ses recommandations ? On pourrait répondre que lorsqu’une alerte ou une recommandation est émise, l’agent pourrait refaire le traitement sur la situation spécifique afin de vérifier la qualité du résultat de l’algorithme. Cependant, premièrement, aucune obligation n’impose à l’administration une telle vérification. Deuxièmement, ce serait omettre les résultats négatifs qui impliquent une forme de validation de la situation par l’algorithme : passer à travers le filet ne serait-il pas une approbation donnée par l’algorithme ? Troisièmement, ce serait réduire drastiquement les gains de productivité demandés à ces algorithmes dans certaines situations, Quatrièmement, enfin, certains cas ne se prêtent tout simplement pas à une telle vérification, notamment lorsqu’il est demandé à l’algorithme de repérer les signaux faibles.

En réalité, lorsque une alerte ou une recommandation est levée par un algorithme d’aide à la prise de décision, l’administration se bornera à vérifier les erreurs grossières pour les cas positifs. Elle ne vérifiera jamais les résultats négatifs. L’humain chargé de réceptionner les alertes ou recommandations n’aura qu’un rôle de vérification a minima, au risque, autrement, d’aller à l’encontre des gains de production demandés. Le doute sera donc nécessairement au détriment de l’administré·e. Éventuellement, il peut être demandé à l’agent d’opérer un classement pour ne prendre en considération qu’un nombre limité de cas. On peut penser qu’un tel choix est fait dans les domaines où un contingentement existe en fait ou en droit (nombre limité de gendarmes mobilisables sur le terrain, quota de mises sous surveillance, etc.). Mais rien n’indique que ce choix ne soit pas dû au hasard (notamment lorsque l’humain n’est pas censé pouvoir apprécier la situation).
IV. Des conséquences négatives concrètes sur les droits fondamentaux

Le résultat de tout cela est assez décevant. D’une part, l’usage même de ces algorithmes d’aide à la prise de décision implique un droit à un recours effectif limité. Dès 2016¹¹, la Cour suprême du Wisconsin affirmait qu’il n’est pas possible de contester le résultat d’un algorithme d’aide à la prise de décision puisque seul l’humain a pris la décision : la seule décision attaquable devant un juge est celle prise par un humain, et elle seule, même si un algorithme a aidé à cette prise de décision. Il n’existe donc pas de recours direct contre ces algorithmes puisqu’ils sont passés par le truchement d’un humain avant la prise de décision en tant que telle.

Mais, même dans le cas des décisions administratives algorithmiques – c’est-à-dire celles dont le fondement est un algorithme, contrairement au cas des algorithmes d’aide à la prise de décision –, les droits fondamentaux sont limités. Dans ces situations, on se heurtera au pouvoir discrétionnaire de l’administration : l’administration, très souvent, a une large possibilité d’action (nous l’avons rappelé en introduction) et le rôle du juge se limite alors à vérifier l’absence d’« erreur manifeste d’appréciation », c’est-à-dire l’absence d’erreur grossière dans la décision. Une décision administrative algorithmique ne sera qu’une décision dans laquelle l’administration a voulu, de son chef, limiter son aléa. Mais la manière de le limiter, les paramétrages de l’algorithme, restent un choix qui n’est pas vraiment contestable puisqu’il entrera très souvent dans le champ du pouvoir discrétionnaire de l’administration. La transparence (lorsqu’elle est applicable) permettra à l’administré·e de vérifier ces erreurs grossières (on peut par exemple penser aux cas de discriminations), mais le doute se fera toujours au bénéfice de l’administration.

D’autre part, l’usage de tels algorithmes va de pair avec une augmentation du nombre de données traitées. Pour utiliser des algorithmes, encore faut-il avoir des informations pour les nourrir. L’administration est donc incitée à collecter et traiter de plus en plus de données. La récente volonté de Bercy de récolter les données publiques des réseaux sociaux n’est que le dernier exemple d’une liste très longue. Avec cette collecte, ce sont le droit à la vie privée et familiale ou encore le droit à la liberté d’expression et d’information qui se retrouvent limités¹².

Le résultat n’est pas réjouissant. L’administration se sert d’algorithmes, mais parfois tellement en amont dans son travail qu’il ne sont pas considérés comme ayant fondé la décision administrative, sapant au passage les garanties posées par le droit. Un problème de taille se pose : la notion de décision administrative, telle qu’elle est conçue aujourd’hui, a-t-elle encore une légitimité à l’heure des algorithmes ? Doit-elle évoluer pour réintégrer dans son champ les algorithmes d’aide à la prise de décision ?

<script type="text/javascript"> function footnote_expand_reference_container_16563_2() { jQuery('#footnote_references_container_16563_2').show(); jQuery('#footnote_reference_container_collapse_button_16563_2').text('−'); } function footnote_collapse_reference_container_16563_2() { jQuery('#footnote_references_container_16563_2').hide(); jQuery('#footnote_reference_container_collapse_button_16563_2').text('+'); } function footnote_expand_collapse_reference_container_16563_2() { if (jQuery('#footnote_references_container_16563_2').is(':hidden')) { footnote_expand_reference_container_16563_2(); } else { footnote_collapse_reference_container_16563_2(); } } function footnote_moveToAnchor_16563_2(p_str_TargetID) { footnote_expand_reference_container_16563_2(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.34 }, 380); } }

Le 11 janvier dernier, la commission LIBE du Parlement européen (pour Commission des libertés civiles, de la justice et des affaires intérieures) a voté le règlement sur le retrait des contenus « à caractère terroriste ». C’est la dernière étape avant le vote en plénière au Parlement, peut-être dès le mois d’avril.

Un silence assourdissant

Ce texte prévoit que n’importe quelle autorité d’un Etat membre de l’Union européenne puisse imposer à n’importe quel hébergeur sur Internet de retirer en une heure un contenu que cette autorité aura considéré comme étant à « caractère terroriste ». Concrètement, en France, cela permettra à la police de faire censurer en une heure n’importe quel texte ou vidéo sans l’autorisation préalable d’un juge.

Outre les dangers de surveillance et de censure politique que nous soulignons depuis plusieurs années, cette obligation de retrait en une heure est exactement celle qui, au sein de la loi Avia, a été censurée par le Conseil constitutionnel en juin 2020 dans le cadre de sa décision sur la loi Avia.

Le vote en commission LIBE de lundi ne donne pourtant lieu qu’à un silence assourdissant. Côté presse, la dernière actualité est celle d’un communiqué de l’AFP intervenu à la suite du compromis trouvé entre le Parlement et le gouvernement européens sur le texte. On y voit le gouvernement français se féliciter de cet accord, sans aucune mention du débat extrêmement vif qu’avait suscité la réplique de ce texte dans la loi Avia ni, évidemment, de la décision du Conseil constitutionnel de juin 2020.

À part ce communiqué, bien pauvre et partiel… rien. La suppression du compte de Donald Trump était manifestement un sujet plus léger et agréable à discuter que la censure de milliers de militants européens qu’il faudra redouter dès que l’ensemble du Web sera soumis à l’arbitraire de toutes les polices européennes.

Côté gouvernement par contre, on se félicite de cette situation. Que ce soit Clément Beaune, le secrétaire d’Etat aux affaires européennes, qui parle sans gêne d’une « avancée majeure, portée par la France ». Ou Emmanuel Macron qui se félicite de l’aboutissement d’un processus qu’il a engagé en 2017. Impossible aussi de ne pas mentionner les parlementaires français du Parlement européen qui se sont vantés de cette adoption, telles que Nathalie Loiseau et Fabienne Keller. Comme si tout l’appareil gouvernemental n’avait plus honte à admettre instrumentaliser l’Union européenne pour contourner la Constitution française et violer frontalement nos libertés.

Une saisine pour préparer le vote final

Nous avons donc décidé de saisir la Défenseure des droits sur ce sujet. Elle est en effet compétente pour veiller « au respect des droits et libertés par les administrations de l’Etat ». Or, le gouvernement français, et particulièrement le secrétaire d’Etat aux affaires européennes, Clément Beaune, a activement participé à faire avancer le processus d’adoption de dispositions déclarées en juin 2020 comme violant la Constitution.

Nous espérons également que, devant ce silence médiatique et ces abus anticonstitutionnels du gouvernement, toutes les organisations et journalistes qui étaient montés au créneau contre les dangers de la loi Avia feront de même sur ce dossier.