PROJET AUTOBLOG


La Quadrature du Net

Site original : La Quadrature du Net

⇐ retour index

Covid-19 : l’attaque des drones

mercredi 1 avril 2020 à 17:45

À l’heure de la crise sanitaire, la France bascule dans un État policier. Et c’est l’occasion pour les forces de sécurité de déployer massivement leurs derniers gadgets sécuritaires. À travers le pays, la police déploie des drones pour contrôler l’application du confinement. Non seulement pour diffuser par haut-parleurs les directives du gouvernement, mais aussi pour surveiller la population, en orientant les patrouilles au sol et même en filmant celles et ceux qui leur échapperaient pour mieux les sanctionner après.

Ce déploiement inédit ressemble à une gigantesque opération de communication des autorités, qui mettent ainsi en avant leur arsenal technologique. Cette crise est instrumentalisée pour banaliser l’utilisation d’un outil de surveillance pourtant extrêmement attentatoire à nos libertés. Et le tout dans un cadre juridique flou, voire inexistant. L’État profite ainsi de l’état de sidération pour imposer ses technologies policières.

Christophe Castaner a la mémoire courte. C’est sans doute la raison pour laquelle il n’a pas hésité, la semaine dernière, à expliquer que, si le gouvernement français s’était pour l’heure abstenu de se livrer à une surenchère en matière de surveillance numérique au cours de cette crise sanitaire, c’était parce que le traçage des données « n’est pas dans la culture française ». Oubliés les bons et loyaux services de l’opérateur télécom Orange qui propose de surveiller illégalement ses abonnés pour le compte des autorités ? Oubliés aussi, les programmes de surveillance massifs des services de renseignement français ? Oubliés, le fichier TAJ ou les ventes d’armes numériques aux dictatures ?

Si, pour l’heure, le « traçage numérique » n’est pas la priorité du gouvernement pour lutter contre l’épidémie, reste le flicage tout court. Et dans cette matière, le ministère de l’Intérieur nous fait ces jours-ci une démonstration magistrale de son savoir-faire, n’hésitant pas à étaler ses dernières technologies sécuritaires. Il y a encore quelques semaines, les vidéos de drones qui survolaient des villes en Chine afin de faire respecter les consignes de gouvernement provoquaient en France incrédulité et inquiétude concernant les dangers de ce nouvel « arsenal technologique » pour les « libertés individuelles ». D’aucuns étaient tenté d’y voir une spécificité chinoise, le signe d’un État autoritaire. Moins de deux mois plus tard, tandis que chaque sortie de nos domiciles est conditionnée à une déclaration préalable, que nos déplacements font l’objet de contrôles systématiques, la police française déploie à son tour ces mêmes engins sur tout le territoire.

Il ne s’agit pourtant pas d’un outil anodin : robo-militarisation de l’espace public et aérien, pollution sonore, coût énergétique, danger pour les biens et personnes en cas de défaillance, accès non autorisé aux espaces privés, l’usage policier des drones démultiplie la surveillance.

Tour de France du déploiement des drones et de leurs usages

De rapides recherches donnent pourtant à voir plus d’une quinzaine d’exemples où les drones sont utilisés pour imposer le confinement décidé par le gouvernement et intimider la population. Et il ne s’agit pas seulement d’y brancher un haut-parleur pour diffuser les consignes des autorités, mais bien, à l’aide des caméras, de surveiller la population, de repérer les attroupements, de mieux verbaliser les contrevenants, d’orienter les patrouilles au sol et même, dans certains cas, de filmer les personnes échappant à la police pour mieux les sanctionner après. Petit tour de France de ce déploiement inédit :

A Paris, la préfecture a déployé plusieurs drones pour diffuser des messages incitant au confinement, le tout au sein d’un « dispositif complet de surveillance et de contrôle de l’espace public dans le cadre des mesures de confinement destinées à protéger la population de la transmission du coronavirus » ;

A Ajaccio, la police survole les plages avec un drone pour « prévenir, voire même verbaliser, ceux qui avaient oublié les consignes de confinement » ;

A Nice, un drone « muni d’une caméra et d’un haut-parleur accompagne (…) des patrouilles de la Police nationale » et devrait bientôt être déployé à Cannes ;

En Haute-Garonne, les gendarmes (…) | « peuvent désormais utiliser un drone pour s’assurer que les règles de confinement sont respectées par tous ». La gendarmerie « basée à Muret a pu contrôler 75 personnes et réaliser 10 procès-verbaux en trois opérations avec ce drone équipée d’une caméra avec zoom dont l’image est envoyée sur une tablette » ;

En Moselle-Sud, les drones permettent « de couvrir une zone étendue en quelques minutes et de pouvoir contrôler des endroits difficiles d’accès »

A Metz, c’est avec un drone que « les policiers du commissariat de Metz ont repéré les contrevenants qui ont, ensuite, été verbalisés ;

A Limoges, un drone a été prêté à titre gracieux à la police par les pompiers « afin de surveiller que les mesures de confinement sont respectées ». Ce drone leur « permet effectivement de voir si les gens respectent bien le confinement, s’ils respectent aussi l’espace entre eux (…) de concentrer les patrouilles et les contrôles dans les endroits où il y a des attroupements injustifiés » ;

A Nantes, la police utilise un drone avec caméra et haut-parleur « pour détecter d’éventuels contrevenants » et « faire une capture d’image si un individu venait par exemple à prendre la fuite » ;

A Montpellier, les drones servent « à faire des reconnaissances dans les quartiers sensibles à Montpellier où des délinquants ne respectent pas le confinement », leur but étant de « d’opérer une reconnaissance pour savoir si on a des points de fixation aux abords de certaines cités sensibles pour éviter des embuscades et envoyer les moyens adéquats » ;

A Rennes, où un droneavec caméra « informe, par radio, de la position des contrevenants au confinement à ses collègues patrouillant» ;

Dans le Grand Est, où un drone avec haut-parleur et caméra est utilisé pour faire respecter le confinement, et où la région dit disposer de « 18 drones de gendarmerie opérés par 30 télépilotes [qui] seront mis à contribution en fin de semaine ».

Et la liste s’allonge de jour en jour : dans le Val-d’Oise ou les Côtes-d’Armor, avec haut-parleur et caméra pour orienter les patrouilles, mais aussi à Marseille, Amiens, Lille, Granville, Saint-Malo…. Et un tel déploiement n’est évidemment pas exclusif à la France – il a malheureusement lieu en ce moment partout en Europe (c’est le cas au Royaume-Uni, en Espagne, au Portugal…).

Démultiplication des pouvoirs de la police

C’est un déploiement massif, d’une ampleur inédite, qui décuple le pouvoir de surveillance et de sanction de la police. L’autre conséquence est évidemment la banalisation et la normalisation d’un tel outil, déjà largement utilisé pour la surveillance des migrants et des manifestations. Une banalisation qui pousse chaque personne à s’habituer au survol des espaces publics par des machines. Les agents de police, quant à eux, découvrent un nouveau gadget dans leur arsenal et l’expérimentent comme bon leur semble. Un outil qui, pour les industries du secteur, n’a aujourd’hui plus rien d’ « exotique ».

Car les industriels de la sécurité ne sont évidemment jamais bien loin. Comme pour tout dispositif technopolicier, les autorités délèguent et confient une partie de leur pouvoir de police à des sociétés privés. À Nice, c’est en effet une start-up locale, « Drone 06 » qui fait patrouiller ses drones pour la police (en promettant de ne pas filmer elle-même). Et à Paris, c’est l’entreprise Flying Eye qui loue ses machines à la préfecture de police à travers un accord-cadre, son dirigeant indiquant même qu’il reçoit en ce moment « toutes les deux heures un appel pour me commander du matériel ». Alors que les services de santé sont exsangues, la police et ses partenaires privés profitent de la crise pour multiplier les investissements dans ce coûteux matériel.

Vide juridique

Il n’existe aujourd’hui aucun cadre juridique spécifique pour l’utilisation des drones par la police. Cela avait déjà été souligné en 2015, réaffirmé depuis, et c’est encore et toujours le cas aujourd’hui. En réalité, le seul cadre existant semble constitué de deux arrêtés du 17 décembre 2015, l’un portant sur les normes de conception des drones, et l’autre sur leur utilisation. Les règles fixées par ces deux arrêtés (autorisation préalable, hauteur de vol…) concernent aussi bien les drones à usage civil que ceux de la police. Néanmoins, l’arrêté sur l’utilisation des drones permet, pour des activités de police, de déroger totalement aux règles édictées : « Les aéronefs qui circulent sans personne à bord appartenant à l’État, affrétés ou loués par lui et utilisés dans le cadre de missions de secours, de sauvetage, de douane, de police ou de sécurité civile peuvent évoluer en dérogation aux dispositions du présent arrêté lorsque les circonstances de la mission et les exigences de l’ordre et de la sécurité publics le justifient »

Pour résumer, il suffit donc à la police de considérer que sa mission d’ « ordre » et de « sécurité publique » le justifie, pour ne respecter aucune règle quant à l’utilisation de drones dans l’espace public1Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_9725_1").tooltip({ tip: "#footnote_plugin_tooltip_text_9725_1", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.

C’est d’autant plus étonnant que le code de la sécurité intérieure prévoit des dispositions spécifiques pour la vidéosurveillance (« vidéoprotection » dans la novlangue d’État) mais également pour les caméras-piétons. L’encadrement de ces dernières avait d’ailleurs fait suite à la pression de la Cnil, en 2015, qui avait considéré, qu’au vu des nouveaux dangers que posaient les caméras-piétons pour la vie privée, « un encadrement légal, spécifique et adapté à de tels dispositifs, est nécessaire ». Aucun appel semblable n’a été fait pour les drones. En l’état du droit, ces déploiements dignes d’un État policier sont tout simplement inadmissibles.

À La Quadrature, nous serions évidemment enclins à attaquer en justice ces déploiements pour y mettre un coup d’arrêt. Mais un tel flou juridique rend plus difficile tout contentieux. Il nous est ainsi très difficile de trouver des autorisations, arrêtés ou autres actes administratifs autorisant ces déploiements, et que nous pourrions contester devant les juridictions (or, faute de tels actes, nos recours sont voués à l’échec)2Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_9725_2").tooltip({ tip: "#footnote_plugin_tooltip_text_9725_2", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });. D’ailleurs, si vous en trouvez, n’hésitez pas à nous le signaler sur le forum de notre campagne Technopolice.

References   [ + ]

1. Même si l’on peut considérer que, dans le cas où la police traite des données personnelles, elle se retrouve à devoir respecter la directive dite « police-justice » (l’équivalent du RGPD pour ce qui concerne la recherche d’infractions), cela reste une disposition extrêmement permissive pour les pouvoirs de police.
2. Du côté des services de secours notamment, on trouve plus facilement des arrêtés d’autorisation permanente de vol de drones.
<script type="text/javascript"> function footnote_expand_reference_container() { jQuery("#footnote_references_container").show(); jQuery("#footnote_reference_container_collapse_button").text("-"); } function footnote_collapse_reference_container() { jQuery("#footnote_references_container").hide(); jQuery("#footnote_reference_container_collapse_button").text("+"); } function footnote_expand_collapse_reference_container() { if (jQuery("#footnote_references_container").is(":hidden")) { footnote_expand_reference_container(); } else { footnote_collapse_reference_container(); } } function footnote_moveToAnchor(p_str_TargetID) { footnote_expand_reference_container(); var l_obj_Target = jQuery("#" + p_str_TargetID); if(l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight/2 }, 1000); } }

Orange recycle son service de géolocalisation pour la pandémie

samedi 28 mars 2020 à 11:43

Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au fil la journée). La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

Flux Vision

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance, chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identifier chaque personne, mais elles sont réalisées de façon plus ou moins légale.

Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion1Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_5204_1").tooltip({ tip: "#footnote_plugin_tooltip_text_5204_1", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.

La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement. Pour des raisons encore obscures2Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_5204_2").tooltip({ tip: "#footnote_plugin_tooltip_text_5204_2", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] }); et sans aucune base légale, la CNIL tolère que les opérateurs téléphoniques violent la loi « dans le domaine du tourisme, de l’aménagement du territoire et du trafic routier ». En 2013, Orange avait pu profiter de cette situation mais, coincé entre l’illégalité et la tolérance de la CNIL, l’entreprise n’a plus proposé d’offre nouvelle depuis 7 ans.

Jusqu’à ce que l’occasion se présente enfin. Une crise sanitaire, un gouvernement défaillant, des stratégies à inventer, tout ce qu’il faut pour proposer un nouveau produit.

L’occasion de la crise

Le commissaire européen Thierry Breton, lui aussi, a vu l’occasion d’aider l’industrie qui l’a nourri : il a réuni les huit principaux opérateurs européens (Orange, Deutsche Telekom, Vodafone…) pour annoncer entre grands-techniciens non-médecins leur stratégie pour lutter contre la pandémie en surveillant la population. De quoi mettre en avant leurs offres commerciales.

Et justement, de son côté en France, le PDG d’Orange, Stéphane Richard, enchaîne les interventions média avec une stratégie qui semble assez claire : recycler son offre Flux Vision de 2013 pour la crise actuelle. Si Orange peut déjà informer les villes sur les mouvements de leurs touristes, il le pourra aussi pour leurs malades et leurs confinés. Et si Orange joue les bons élèves en temps de crise, il aura ouvert un nouveau marché durable. Il se sera même rapproché d’autres marchés similaires, encore peu avouables, que ce soit pour tracer les manifestant⋅es, les jeunes des quartiers pauvres, les sans-abris…

Une bien belle occasion pour se diversifier dans le sécuritaire.

Le soutien de la CNIL

Et que fait la CNIL ? Mediapart nous apprend qu’elle pousse le gouvernement vers certaines solutions qui, en pratique, sont principalement celles d’Orange.

Pour se justifier, la CNIL reprend le vocabulaire fallacieux d’Orange, qui se vante de fournir des statistiques « agrégées » afin de donner l’impression qu’il respecte la loi. Or, pour fournir des statistiques de déplacement « anonymes », Orange analyse d’abord des données personnelles, non-anonymes, sans le consentement des personnes. C’est illégal.

La CNIL aurait dû exiger qu’aucune statistique d’Orange ne puisse se fonder sur autre chose que des données purement techniques, sans lien avec les personnes, tel que le nombre de connexions aux antennes-relais. Par exemple, bien qu’on ne sache pas exactement comment Paris a évalué à 17% la baisse de sa population depuis le confinement, la ville aurait simplement pu comparer entre deux dates le nombre de connexions à ses antennes, démontrant qu’il n’est pas nécessaire de violer la loi pour produire des chiffres.

Une surveillance plus poussée

Hélas, la CNIL ne se contente pas de faire la promotion des offres commerciales d’Orange. Elle invite aussi le gouvernement à adopter une nouvelle loi dans l’hypothèse où il faudrait des mesures « plus poussées » – par exemple, cartographier chaque malade ou confiné, sans leur consentement. Pourtant, la directive ePrivacy interdit toute loi de ce type : les données de localisation ne peuvent être collectées sans le consentement des personnes que pour lutter contre les infractions (et seulement les crimes les plus graves, d’après les juges de l’UE) et non pour lutter contre la propagation d’un virus3Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_5204_3").tooltip({ tip: "#footnote_plugin_tooltip_text_5204_3", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });. Contrairement à ce qu’on peut lire dans la presse, le RGPD n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le pourrait. Elle l’interdit en l’espèce.

On aimerait croire que, si la CNIL invite le gouvernement à violer le droit européen, ce n’est pas simplement pour la grandeur industrielle du pays, mais aussi pour protéger notre santé. Sauf que ni la CNIL, ni Orange, ni personne n’a été capable de démontrer la nécessité médicale de surveiller sans leur accord les personnes confinées ou malades – surtout quand celles-ci sont indétectables en l’absence de test. Alors que Singapour propose une application basée sur un protocole ouvert permettant aux personnes de révéler volontairement leurs déplacements, pourquoi la CNIL défend-t-elle la proposition d’Orange, contraire au droit, beaucoup moins respectueuse de nos libertés et qui, elle, n’a fait aucune preuve de son intérêt contre le virus ?

Pour l’instant, le gouvernement semble insensible aux appels d’Orange, occupé par des choses plus importantes. Bien. Contrairement à la CNIL, nous n’hésiterons pas à l’attaquer s’il cédait aux ambitions hasardeuses des profiteurs de crise.

References   [ + ]

1. Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou catégorisées pour une finalité étrangère au service initialement fourni par l’opérateur à ses abonnées.
2. Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web) et autorise à déposer et récupérer des fichiers sur notre ordinateur ou téléphone pour « la production de statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif économique ne justifie de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile.
3. Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de localisation sans le consentement des personnes si cela est justifié par la « sécurité nationale » ou la « sécurité publique ». La « sécurité nationale » est définie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justifie la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc exclu de la notion de « sécurité publique ».
<script type="text/javascript"> function footnote_expand_reference_container() { jQuery("#footnote_references_container").show(); jQuery("#footnote_reference_container_collapse_button").text("-"); } function footnote_collapse_reference_container() { jQuery("#footnote_references_container").hide(); jQuery("#footnote_reference_container_collapse_button").text("+"); } function footnote_expand_collapse_reference_container() { if (jQuery("#footnote_references_container").is(":hidden")) { footnote_expand_reference_container(); } else { footnote_collapse_reference_container(); } } function footnote_moveToAnchor(p_str_TargetID) { footnote_expand_reference_container(); var l_obj_Target = jQuery("#" + p_str_TargetID); if(l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight/2 }, 1000); } }

Surveillance publicitaire : la CNIL se défile de nouveau sur le consentement aux cookies

jeudi 26 mars 2020 à 18:13

La période est à la priorité d’un capitalisme toxique face au respect des libertés. Les entreprises du numérique comptent bien exploiter nos difficultés face à la crise sanitaire pour leurs profits. Si la population reste connectée plus longtemps, il faut lui afficher plus de pub ciblée. La CNIL vient ainsi de repousser encore une fois son rôle d’autorité chargée de faire respecter le RGPD.

Pour rappel, en juillet 2019, la CNIL publiait des lignes directrices où elle rappelait que le RGPD exige que le dépôt de cookie et autres traceurs se fasse avec notre « consentement explicite ». C’est-à-dire que notre consentement ne peut plus être « déduit » du simple fait que nous sommes informé·es par un vulgaire « bandeau cookie ». Tant que nous ne cliquons pas explicitement sur un bouton « J’accepte » (en ayant la même possibilité de refuser), il est strictement interdit de nous pister et de réaliser des profits sur nos données personnelles.

Cette règle était déjà connue et en vigueur depuis l’entrée en application du RGPD, en mai 2018 – date à laquelle ces pratiques délinquantes de l’industrie publicitaire auraient dû cesser et être sanctionnées. Néanmoins, en juillet dernier, la CNIL avait explicitement annoncé qu’elle ne sanctionnerait le non-respect de ces règles qu’à partir de 6 mois après la publication d’une recommandation destinée à décrire les « modalités pratiques possibles de recueil d’un consentement conforme aux règles applicables » (voir notre communiqué de réaction). Un nouveau délai d’un an « bonus » pour la surveillance publicitaire illégale. Nous avions évidemment attaqué cette décision devant le Conseil d’État, qui avait rejeté notre demande (voir notre article).

Or, hier matin, l’industrie publicitaire publiait dans la presse une tribune larmoyante avec une injonction : « Les annonceurs ont mis en suspens leurs investissements. Dans ce contexte, il faut que certaines règles, qui doivent être mises en place par la CNIL sur la protection de la vie privée, dans le prolongement du RGPD, fassent l’objet d’un moratoire ». Quelques heures à peine plus tard, la CNIL s’exécute et décide de reporter de nouveau l’application du RGPD en matière de surveillance publicitaire. Elle nous informe ainsi par courrier que : « Afin d’aborder dans un contexte plus serein ce sujet majeur pour la protection des données personnelles comme pour l’économie de l’écosystème publicitaire, la présentation du projet de recommandation est reportée à une date ultérieure, qui sera fixée en fonction de l’évolution de la situation. »

L’industrie publicitaire pourra donc continuer pendant le confinement et les possibles reprises à traquer les individus en ligne pour les manipuler le mieux possible dans des actes de consommation en violant les libertés.

Si l’on peut tout à fait comprendre que la période soit difficile en termes de travail des agent·es (en remerciant les agent·es consciencieus·es qui souhaitent autant que nous l’arrêt de ces pratiques délictueuses), rien n’empêchait la CNIL d’indiquer que ces règles sur le consentement sont en vigueur depuis 2018, ou même de raccourcir d’autant le délai prévu pour l’application de la recommandation.

La toxicité de la surveillance publicitaire en ligne n’est plus à démontrer tant ses conséquences sociales, écologiques et politiques sont criantes, au point que la question de son interdiction se pose même sérieusement outre atlantique. Il est en effet temps de changer ce système de dépendance à la violation des libertés à des fins publicitaires en économisant aux réseaux ce surcoût indu. C’est aussi le bon moment pour les personnes et les entreprises qui dépendent de ces revenus qui prouvent encore une fois leurs instabilités pour les abandonner et réfléchir aux adaptations requises.

En cette période de confinement et d’augmentation de nos usages d’Internet, La Quadrature du Net et Résistance à l’Agression Publicitaire appelons encore une fois toutes et tous à Bloquer la pub sur le Net en suivant les indications sur bloquelapub.net et en faisant découvrir ces outils à vos proches face à cette industrie délinquante et à ce nouveau recul de l’autorité de contrôle dans l’application de sa mission.

La Quadrature du Net avec Résistance à l’Agression Publicitaire (R.A.P.)

Contre le COVID-19, la géolocalisation déjà autorisée

jeudi 19 mars 2020 à 13:53

Face au COVID-19, de nombreux États annoncent leur intention de recueillir massivement des données de géolocalisation auprès des opérateurs de communication. En Chine, aux États-Unis, en Italie, en Israël, en Corée du Sud, en Belgique. En dépit d’un amendement scélérat proposé par l’opposition, une telle ambition est pour l’heure absente du projet de loi français dédié à l’épidémie, actuellement débattu au Parlement. Et pour cause : depuis 2015, la loi renseignement semble déjà autoriser de telles mesures. L’an dernier, nous avons attaqué cette loi devant le juge de l’Union Européenne, dont nous attendons bientôt la décision. Prenons ici un moment pour en rappeler les dangers.

La loi renseignement adoptée en 2015 permet à l’État de surveiller la population pour une très large variété de finalités, notamment « pour le recueil des renseignements relatifs à la défense [des] intérêts économiques, industriels et scientifiques majeurs de la France ». Si, comme Emmanuel Macron, on admet facilement que « cette crise sanitaire sans précédent aura des conséquences […] économiques majeures », il faut conclure que la loi renseignement autorise déjà l’État à surveiller la population afin de lutter contre l’épidémie. Rien de surprenant au regard de la démesure des pouvoirs que lui a conférés le Parlement en 2015.

Parmi les mesures autorisées par la loi renseignement, l’article L851-1 du code de la sécurité intérieure prévoit que les services de renseignement peuvent exiger la transmission par les opérateurs téléphoniques des « données techniques relatives […] à la localisation des équipements terminaux utilisés » par leurs clients. En application de l’article L851-4, ces données peuvent même être « recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs ». Pour exiger ces transferts, l’administration agit seule, sans le contrôle ou l’autorisation préalable d’un juge.

L’État n’informe jamais la population quant à la façon dont il utilise concrètement la loi renseignement, celle-ci organisant une totale opacité. Nous n’avons à ce stade aucune information permettant de corroborer l’utilisation de ces pouvoirs de surveillance dans le cadre de la lutte contre l’épidémie du virus COVID-19. Mais, en droit, rien n’interdit à l’État d’user de ces pouvoirs, par exemple, pour identifier les personnes se déplaçant de villes en villes ou ayant visité certains lieux sensibles, voire pour s’assurer que les injonctions de confinement soient suffisamment respectées1L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_7564_1").tooltip({ tip: "#footnote_plugin_tooltip_text_7564_1", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.

Si, aujourd’hui, l’administration utilisait la loi de 2015 en ce sens, serait-ce conforme au règlement général sur la protection des données (RGPD) ? En théorie, les données sensibles, telles que les données de santé que révélerait une telle surveillance (par exemple le fait que, en raison de ses déplacements, une personne présente un haut risque d’avoir contracté le virus), peuvent bien être traitées « pour des motifs d’intérêt public dans le domaine de la santé publique ».

À condition toutefois de respecter le reste du RGPD, ce qui n’est pas du tout le cas de la loi renseignement : une fois ces données collectées, cette loi laisse l’administration les ré-utiliser ensuite pour des finalités étrangères à la lutte contre l’épidémie (fichage politique, lutte contre la fraude, etc.). Si l’article L822-2 du code de la sécurité intérieure impose une suppression des données brutes de localisation au bout de 4 ans, il n’en est rien pour les « fiches » constituées sur la base de ces données : ni la durée de conservation, ni l’utilisation ultérieure de ces fiches n’est limitée. Cette violation du droit européen est une de nos principales critiques contre le texte dans notre affaire devant la Cour de justice de l’Union européenne – dont la décision devrait être rendue dans les mois à venir.

Dans cette situation de crise, en dépit des pressions politiques, le gouvernement doit résister à toute fuite-en-avant sécuritaire. Face au risque d’abus engendré par les pouvoirs démesurés que confère d’ores-et-déjà la loi renseignement à l’État, il doit également s’engager à faire immédiatement la transparence sur toutes les mesures de surveillance de la population mises en œuvre pour lutter contre la propagation du COVID-19. En attendant que les pouvoirs exorbitants que lui octroie la loi renseignement soient battus en brèche.

References   [ + ]

1. L’article L821-2 du code de la sécurité intérieure prévoit que le Premier ministre autorise la mise en œuvre des techniques de renseignement à l’encontre de une ou plusieurs personnes qui, lorsque leur nom n’est pas déjà connu, sont « désignées par leurs identifiants ou leur qualité ». Aucun contingent ne limite le nombre de personnes pouvant être géolocalisées en même temps. Le notion de « qualité » des personnes surveillées est si large et indéfinie qu’il faut redouter quelle soit utilisée pour viser des caractéristiques générales telles « a fréquenté tel lieu » ou « a voyagé entre telle ville et telle ville à telle date ». S’agissant des personnes dont le nom est déjà connu des pouvoirs publics, telles que les malades dépistés, l’autorisation du Premier ministre pourrait les viser plus directement, par exemple pour surveiller leurs déplacements.
<script type="text/javascript"> function footnote_expand_reference_container() { jQuery("#footnote_references_container").show(); jQuery("#footnote_reference_container_collapse_button").text("-"); } function footnote_collapse_reference_container() { jQuery("#footnote_references_container").hide(); jQuery("#footnote_reference_container_collapse_button").text("+"); } function footnote_expand_collapse_reference_container() { if (jQuery("#footnote_references_container").is(":hidden")) { footnote_expand_reference_container(); } else { footnote_collapse_reference_container(); } } function footnote_moveToAnchor(p_str_TargetID) { footnote_expand_reference_container(); var l_obj_Target = jQuery("#" + p_str_TargetID); if(l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight/2 }, 1000); } }

Vidéosurveillance automatisée : le tribunal de Marseille refuse l’urgence

jeudi 12 mars 2020 à 12:54

Le tribunal administratif de Marseille vient de rejeter notre action en référé contre la ville de Marseille. Nous lui demandions d’annuler en urgence le déploiement de logiciels d’analyse automatisée sur les caméras de la ville (voir notre requête et l’ordonnance du juge).

Le tribunal nous rejette au motif que nous aurions dû attaquer le marché public conclu dès 2018 par la ville pour déployer ces dispositifs. Nous serions aujourd’hui hors délai pour les contester, quand bien même nous n’avons pu en prendre effectivement connaissance que très récemment et que leurs caractéristiques ont évolué et continueront d’évoluer.

Il faut bien comprendre que notre recours est rejeté pour une raison purement procédurale. Ce n’est en aucun cas le fond du dispositif qui est validé. La juge des référés n’a pas tranché sur la question de l’atteinte aux libertés que nous dénonçons.

Toutefois, en nous disant hors délai, le tribunal conforte les villes sécuritaires dans leur stratégie anti-démocratique : déployer leurs projets dans l’opacité la plus totale afin de freiner toute contestation, politique comme juridique. La stratégie de la mairie consiste depuis le début à œuvrer dans le silence : c’est au détour d’articles de presse que nous avons appris que cette surveillance serait mise en place d’ici fin 2019. Il aura fallu attendre le dernier moment pour qu’une lettre de la mairie du 31 décembre 2019 nous confirme qu’était mis en œuvre « un environnement test de 50 caméras ».

Mais qu’importe, la lutte est loin d’être terminée. Elle ne fait que commencer et ce recours n’en est que la première étape.

Par cette action en référé, nous espérions pouvoir utiliser une voie rapide et directe pour attaquer de tels systèmes qui se déploient déjà partout en France. Le tribunal a mis un coup d’arrêt à la contestation du dispositif marseillais. Mais, s’il nous faut prendre une autre voie contentieuse pour y parvenir, nous la prendrons, et reviendrons attaquer ce dispositif en surmontant l’obstacle posé aujourd’hui. Au-delà de Marseille, il faudra attaquer bien d’autres systèmes de vidéosurveillance automatisée, que nous avons déjà pu identifier à Valenciennes, à Nice, à Toulouse, à La Défense ou dans les Yvelines.

L’obstacle rencontré aujourd’hui démontre combien il est urgent de déchirer l’opacité imposée par nos adversaires. Inscrivez-vous sur Technopolice.fr pour nous aider à documenter puis déconstruire leur monde sécuritaire. Si vous disposez de documents, nous avons une plateforme pour vous permettre de nous les transmettre en toute discrétion. Enfin, nous avons toujours besoin de vos dons qui nous permettent d’engager de telles actions contentieuses.