VSA : l’Assemblée discute déjà son extension aux transports

Tue, 14 May 2024 11:43:42 +0000 - (source)

Alors que les expérimentations de vidéosurveillance algorithmique (VSA) prévues par la loi relative aux Jeux Olympiques ont à peine débuté et qu’aucune évaluation n’a encore été réalisée, le gouvernement passe déjà à la vitesse supérieure. Mercredi 15 mai, la commission des lois de l’Assemblée va discuter d’une proposition de loi visant à légaliser une nouvelle forme de VSA, en utilisant cette fois-ci comme excuse la sécurité dans les transports. Derrière ce texte passé presque inaperçu se cache une nouvelle avancée sécuritaire mais surtout un agenda politique assumé : celui de la généralisation sur le long terme des technologies de surveillance algorithmique des espaces publics. Le rapporteur Clément Beaune a refusé de nous auditionner. Pourtant nous aurions eu beaucoup à lui dire sur les dangers de cette technologie et les contradictions du gouvernement qui trahit sans scrupule les promesses formulées il n’y a même pas un an.

Vous vous souvenez de la loi Sécurité globale ? Voici sa petite sœur, la proposition de loi « relative au renforcement de la sûreté dans les transports ». Adoptée en février par le Sénat, ce texte propose les pires projets sécuritaires : captation du son dans les wagons, pérennisation des caméras-piétons pour les agent·es et extension aux chauffeur·euses de bus, autorisation donnée aux régies de transports pour traiter des données sensibles (ce qui permettrait de collecter des données liées à l’origine raciale, les données de santé ou encore les opinions religieuses et politiques) ou encore transmission directe au ministère public des procès-verbaux d’infractions commises dans les transports.

Expérimenter pour banaliser et légitimer

Mais surtout, cette proposition de loi envisage une nouvelle expérimentation de la vidéosurveillance algorithmique jusqu’en 2027. Son article 9 est un quasi copié-collé de l’article 10 de la loi relative aux Jeux olympiques adoptée l’année dernière et qui prévoyait l’utilisation d’algorithmes de reconnaissance de comportements dans un cadre soit-disant « expérimental » pour tout évènement récréatif, sportif et culturel. Alors que les premiers déploiements ont à peine commencé, que des sénateur·rices ont constaté dans un récent rapport que ces dispositifs ne seront pas suffisamment opérationnels pour les JO de Paris et que l’évaluation prévue par la loi n’a pas encore été faite, ce nouveau texte discuté demain propose de rendre légal un autre type de logiciel d’analyse de flux vidéos.

En l’occurrence, il s’agirait d’autoriser des traitements de données ayant pour but d’« extraire et exporter les images » réquisitionnées par la police dans le cadre d’enquêtes pénales. Derrière cette formule floue, nous devinons qu’il s’agit en réalité des algorithmes de VSA dits « a posteriori » dont nous documentons l’usage depuis des années dans le cadre de l’initiative Technopolice.

En effet, s’il est très facile d’effectuer une recherche dans un document texte, la tâche s’avère plus compliquée et chronophage lorsqu’il s’agit d’effectuer une recherche dans un flux vidéo. La VSA « a posteriori » permet d’ automatiser des recherches dans des archives vidéo. Comme nous l’expliquons dans notre brochure détaillée publiée début mai, cela consiste à lancer des requêtes de reconnaissance d’image afin de faire remonter l’ensemble des bandes vidéos correspondant à certains critères thématiques comme détecter l’ensemble des hommes portant un t-shirt jaune et un pantalon noir repérés dans une zone géographique donnée durant les dernières 24h. Concrètement, cela permet de retracer le parcours de quelqu’un dans une ville. La VSA peut également raccourcir le temps de visionnage en condensant des heures ou des jours de vidéos en quelques minutes. Le rôle de la VSA dans cet usage est de sélectionner les passages susceptibles d’intéresser la police et de faire une ellipse sur le reste du temps de vidéo. Cette technologie repose sur l’analyse et le tri des caractéristiques biométriques des personnes, ce qui la rend totalement illégale.

Le plus connu des logiciels permettant de tels usages est celui de Briefcam, une entreprise israélienne rachetée par le groupe japonais Canon. Pas moins de 200 villes françaises seraient dotées de sa technologie de VSA, qui permet aussi de faire de la reconnaissance faciale. Le manuel d’utilisation que nous avons obtenu ainsi que les vidéos promotionnelles¹ Voir notamment cette vidéo à partir de 3:12 sont parlantes quant aux capacités de ces algorithmes de tri et de catégorisation des personnes, considérés comme de simples « objets ».

Comme toute technologie de VSA, elle permet à la police d’augmenter son contrôle de l’espace public, réduisant ainsi l’anonymat et les libertés que l’on y exerce. Mais la VSA étend également les logiques policières en les automatisant. Toute décision opérée sur le logiciel ne fait que refléter un choix humain, en l’occurrence celui des policiers, et généralise les habitudes qu’ils ont en matière de surveillance de l’espace public. Qu’il s’agisse des critères physiques choisis pour mettre en œuvre des filtres de tri et de repérage (par exemple, un homme vêtu d’un jogging et d’une casquette), des lieux ciblés par cette analyse (abords d’un lieu militant ou quartier populaire…) ou encore de la fonctionnalité choisie (pour retrouver le parcours de quelqu’un ou pour ne repérer qu’une certaine catégorie de personne), chacune des utilisations de cette VSA renforce des pratiques policières discriminantes et créé un risque supplémentaire de surveillance.

Une hypocrisie de plus : légaliser l’illégal

Bien que ces logiciels soient massivement utilisés par la police dans de nombreuses villes de France, et ce en toute illégalité, la proposition de loi discutée ce mercredi cantonne « l’expérimentation » aux transports pour trois ans. En pratique, seules la RATP ou la SNCF seront donc autorisées par la loi à avoir recours à ces algorithmes, et uniquement pour répondre à des réquisitions d’enregistrements dans le cadre d’enquêtes pénales. Plutôt que de condamner ces utilisations illégales et massives de VSA, le gouvernement a donc choisi de les légitimer au travers d’un texte qui semble en apparence circonscrit et proportionné. Comme pour la loi relative aux Jeux Olympiques, le gouvernement souhaite avancer par « petit pas » pour mettre en œuvre sa stratégie de légalisation, en concentrant l’attention sur un spectre réduit d’usages encadrés par des lois « expérimentales ».

Ces cadres « expérimentaux » permettent de donner l’apparence d’un aspect éphémère et réversible pour construire l’acceptabilité sociale d’une technologie autoritaire. Mais il ne fait que peu de doute que ces dispositifs seront soit pérennisés soit étendus à de nouveaux usages L’arrivée de ce texte, un an à peine après celui de la loi JO, en est le meilleur exemple. Il n’est d’ailleurs pas étonnant que les transports aient été choisis pour mettre en application cette nouvelle accélération. En effet, ceux-ci jouent un rôle moteur dans la promotion de la VSA en France. En 2022, la CNIL avait lancé une consultation publique sur le sujet et les contributions de la RATP et de la SNCF étaient éloquentes quant à leurs intentions de surveillance.

Aussi, comme l’a rappelé Mediapart, la SNCF expérimente régulièrement depuis 2017, de façon totalement illégale, plusieurs logiciels de surveillance dans les gares achetés auprès de plusieurs entreprises. Début mai, nous avons dénoncé à la CNIL un de ces programmes illégaux mis en œuvre par la SNCF, Prevent PCP, qui vise à faire de la filature automatisée de personnes dans les gares, sur la base de leurs attributs physiques et biométriques, sous prétexte de retrouver les personnes qui abandonneraient un bagage en gare. Quant à la RATP, elle a expérimenté la vidéosurveillance algorithmique dans ses rames et sur ses quais avec Evitech et Wintics. Bref, la proposition de loi apparaît taillée sur mesure pour légaliser une partie des dispositifs de VSA d’ores et déjà utilisés illégalement par la SNCF ou la RATP.

Un Parlement instrumentalisé

Qu’il s’agisse de cette proposition de loi sur les transports ou de la loi relative aux Jeux olympiques adoptée en mai 2023, l’intention qui préside à ces textes n’est pas d’engager une discussion sincère sur l’utilité de la VSA, mais d’entériner des états de fait. Le Sénat et l’Assemblée nationale apparaissent alors comme de simples chambre d’enregistrement du gouvernement, qui trahit ses engagements et multiplie les manœuvres rendant impossible un réel débat parlementaire.

En effet, celui-ci n’a pas peur de s’asseoir sur ses promesses faites l’année dernière aux député·es et sénateur·ices. Lors des débats sur la loi sur les Jeux Olympiques, aussi bien le rapporteur Guillaume Vuilletet que Gerald Darmanin assuraient mordicus aux parlementaires inquiets que de nombreuses garanties avaient été prévues, et notamment puisqu’il s’agissait d’une « expérimentation », que seul l’aboutissement d’un processus d’évaluation permettrait d’aller plus loin. Les modalités de cet examen ont été précisées par un décret du 11 octobre 2023 et un comité a été nommé pour rendre un rapport d’ici fin mars 2025. Mais ces gardes-fous, pourtant votés par la représentation nationale il y a un an, sont balayés d’un revers de main aujourd’hui : sans attendre ce rapport, le gouvernement préfère avancer, en assumant avoir menti aux parlementaires.

D’autre part, le processus législatif qui entoure ce texte sur les transports démontre que le gouvernement refuse au Parlement les conditions d’un débat serein et approfondi. Comme son nom l’indique, ce texte est une proposition de loi, c’est à dire une initiative parlementaire et non gouvernementale, déposée en l’occurrence par Philippe Tabarot, un sénateur LR. Celui-ci n’est pas sans lien avec le sujet puisqu’il a été plusieurs années à la tête de la régie des transports PACA puis vice-président de la Commission des transports de Régions de France.

Or, compte tenu du fait qu’il s’agit d’une proposition de loi de l’opposition, ce texte ne pouvait en théorie être transféré à l’Assemblée qu’au travers d’une « niche » du parti LR. C’était sans compter la volonté de l’exécutif de le mettre à l’ordre du jour de son propre chef. En outre, le gouvernement n’a pas hésité à recourir une fois de plus à l’excuse des Jeux olympiques pour déclencher une procédure accélérée pour l’examen du loi, prétextant que ce texte devait entrer en vigueur avant cet évènement en juillet. Mais ce n’est pas tout. Alors que l’année dernière, pour la loi JO, le gouvernement avait au minimum posé les conditions d’un examen parlementaire informé, ici aucune étude d’impact, aucun avis de la CNIL, aucune explication de la technologie couverte par l’article 9 n’a été publiée ou transmise aux parlementaires.

Les député·es vont donc voter un texte sans comprendre les implications techniques et les conséquences en termes de surveillance de cet usage de la VSA, qui sera très probablement minimisée et mal expliquée par le rapporteur Clément Beaune. D’ailleurs, ce dernier ne semble pas disposé à un quelconque débat : lorsque nous lui avons demandé à être auditionné afin d’en savoir plus sur le contenu de ce texte ainsi que pour alerter sur ses dangers, l’administration de l’Assemblée nationale a refusé, prétextant un « calendrier trop chargé ».

Faire passer un texte à toute vitesse, faire primer l’opportunisme politique sur la transparence démocratique et refuser d’écouter une association de défense des droits qui travaille depuis des années sur le sujet, c’est tout le jeu démocratique qui est bafoué. Une fois de plus, il n’y a aucune volonté de la part des pouvoirs publics d’examiner sincèrement l’utilité ou les dangers de la VSA, et encore moins de démanteler l’infrastructure de surveillance illégalement déployée depuis des années. En réalité, les intérêts politiques et sécuritaires priment et les garde-fous démocratiques sont réduits à de purs instruments cosmétiques.

Cette proposition de loi sur les transports constitue une étape de plus dans le déploiement de la surveillance automatisée des rues, au bénéfice de la police et des industriels de la Technopolice. Alors que le gouvernement ne s’embarrasse même plus à permettre les conditions d’un débat parlementaire, mobilisons-nous ! Interpellez votre député·e sur ce texte ou bien créez vous-même la contestation dans votre ville ou votre département. Car à coté de ces débats législatifs, la VSA continue de s’installer de façon illégale à travers le pays, souvent à l’échelon des collectivité locales. Pour dénoncer cette hypocrisie et refuser le projet de société de surveillance de l’espace public, nous avons lancé un kit de mobilisation il y a deux semaines. Vous pouvez y trouver ressources, modes d’action et des affiches pour faire valoir une opposition populaire à la VSA. Rejoignez la campagne sur www.laquadrature.net/vsa, et si vous le pouvez, faites un don sur www.laquadrature.net/donner !

References[+]

References
↑1	Voir notamment cette vidéo à partir de 3:12

QSPTAG #307 — 3 mai 2024

Fri, 03 May 2024 14:55:06 +0000 - (source)

Lancement de notre campagne contre la VSA

La loi JO de 2023 a légalisé des « expérimentations » de vidéosurveillance algorithmique (VSA) dans un cadre précis : des événements « festifs, sportifs ou culturels », sur une période donnée (jusqu’en mars 2025), et pour surveiller seulement huit critères parmi lesquels les départs de feu, les franchissements de ligne ou les mouvements de foule par exemple. Mais on le sait depuis longtemps grâce à notre campagne Technopolice, la VSA est déjà présente et utilisée dans des dizaines de communes sans aucun cadre légal. La SNCF expérimente par exemple depuis plusieurs mois un dispositif appelé Prevent PCP et qui dépasse largement le cadre délimité par la loi JO.

C’est pourquoi nous lançons cette semaine une grande campagne contre la VSA légale et illégale, en profitant de l’intérêt suscité par les JO, pour dénoncer l’hypocrisie consistant à légaliser petit à petit, et à banaliser par le fait, un système de surveillance qui sert à la fois des intérêts électoraux, industriels et policiers au mépris complet des droits fondamentaux et sans aucun débat démocratique.

Première action de cette campagne : une plainte devant la CNIL contre le dispositif Prevent PCPC de la SNCF. Pour en savoir plus sur la campagne, lisez notre communiqué de lancement ! Et retrouvez sur notre page de campagne les éléments de communication et de sensibilisation que nous avons préparés. Ils seront complétés au fil de la campagne.

Lire le communiqué de lancement de la campagne : https://www.laquadrature.net/2024/05/02/contre-lempire-de-la-videosurveillance-algorithmique-la-quadrature-du-net-contre-attaque/
Le site de campagne : hhttps://www.laquadrature.net/vsa/

Hadopi : la CJUE renonce à protéger l’anonymat en ligne

C’est une affaire qui commence en 2019. Dans le cadre de nos actions contre Hadopi, nous avions soulevé devant le Conseil d’État le problème de l’absence de contrôle préalable à la collecte des adresses IP et de l’identité civile des internautes, et la question de la licéité de cette collecte au regard du droit de l’UE. Après un circuit complet, du Conseil d’État au Conseil constitutionnel et retour, le Conseil d’État avait décidé de transmettre le problème sous forme d’une « question préjudicielle » à la Cour de justice de l’Union européenne (CJUE). Celle-ci a rendu une décision très décevante ce mardi 30 avril. À rebours de sa décision de 2020, la CJUE autorise toujours la collecte massive de l’identité civile des internautes, et admet désormais que l’association de celle-ci avec l’adresse IP et une communication peut se faire pour n’importe quel motif. Elle semble valider de guerre lasse la pratique illicite des États européens depuis des années. Tous les détails de cette décision et de ses conséquences dans notre article de réaction.

Lire notre réaction : https://www.laquadrature.net/2024/04/30/surveillance-et-hadopi-la-justice-europeenne-enterre-un-peu-plus-lanonymat-en-ligne/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024, et nous avons pour le moment atteint 60% de notre objectif de collecte. N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Présentation des grands chantiers de 2024 : https://www.laquadrature.net/donner/ et https://www.laquadrature.net/2023/11/15/de-nouveaux-combats-pour-2024/
Faire un don à La Quadrature : https://don.laquadrature.net/

Agenda

3 mai 2024 : Apéro public dans nos locaux, 115 rue de Ménilmontant, 75020 Paris, à partir de 19h. Venez nous rencontrer !
16 mai 2024 : Causerie mensuelle du groupe Technopolice Marseille, à partir de 19h au Manifesten, 59 Rue Adolphe Thiers, Marseille.
18 mai 2024 : La Quadrature sera au Festival du livre et des cultures libres à l’espace autogéré des Tanneries, à Dijon. Plus d’infos ici : https://festivaldulivre.tanneries.org/.
25 mai 2024 : Journées du logiciel libre à Lyon – Conférence « La vidéosurveillance algorithmique menace nos villes, contre-attaquons ! » à 13h. Plus d’infos sur la conférence et plus d’infos sur les JDLL.
Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

VSA et JO

Hadopi

Divers

Smart Police, le logiciel de police prédictive qui inquiète [Numerama]

Contre l’empire de la vidéosurveillance algorithmique, La Quadrature du Net contre-attaque

Thu, 02 May 2024 14:02:58 +0000 - (source)

L’« expérimentation » de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi « Jeux Olympiques » adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France. Pour contrer cette stratégie, La Quadrature du Net lance aujourd’hui une campagne visant à nourrir l’opposition populaire à la VSA, une technologie basée sur des techniques d’« Intelligence Artificielle » qui s’assimile à un contrôle constant et automatisé des espaces publics, et qui marque un tournant historique dans la surveillance d’État. Une plainte a également été déposée devant la CNIL afin de dénoncer l’hypocrisie des promoteurs de la VSA et pointer l’incurie de l’autorité de protection des données personnelles.

Le prétexte des Jeux Olympiques

Depuis quelques jours, les services de police du pays et les services de sécurité des sociétés de transport ont légalement recours à la VSA¹Voir notre article consacré aux premiers arrêtés préfectoraux autorisant le recours à la VSA.. Fin avril, invoquant des afflux importants de personnes liés à des matchs de foot ou des concerts, la préfecture de police de Paris a en effet autorisé la SNCF et la RATP à utiliser les technologies de la startup Wintics pour croiser les flux des centaines de caméras installées dans certaines gares et stations de métro parisiennes²Les catégories d’événements à repérer par les systèmes de VSA reprennent une partie des catégories prévues par la loi de 2023, en l’espèce : franchissement ou présence d’une personne dans une zone interdite ou sensible, densité trop importante de personnes, mouvement de foule, présence d’objets abandonnés.. Ces « expérimentations » vont se poursuivre jusqu’en mars 2025, dans le cadre juridique fixé par la loi relative aux Jeux Olympiques adoptée l’an dernier.

Qu’importe l’efficacité dérisoire de ces systèmes de surveillance automatisée des espaces publics. Pour le ministère de l’intérieur, les industriels et leurs relais politiques, ces expérimentations servent avant tout à détourner l’attention, alors qu’en parallèle, des centaines de systèmes de VSA sont illégalement utilisés depuis des années par l’État, les collectivités locales ou les régies de transport. Il s’agit aussi de faire oublier qu’au croisement d’intérêts économiques, électoralistes et autoritaires, les promoteurs de la Technopolice travaillent depuis des années à l’imposition de la VSA partout sur le territoire.

Le pire est à venir

De fait, les projets de loi visant à pérenniser la VSA en recourant aux applications les plus sensibles – à l’image de la reconnaissance faciale en temps réel dans l’espace public ou de la vidéoverbalisation automatique des petites infractions – sont pour certains déjà dans les cartons.

La proposition de loi Transports est un parfait exemple : l’Assemblée nationale s’apprête à débattre de cette proposition poussée par la droite sénatoriale et visant à légaliser la VSA dans les transports. Le gouvernement soutient l’initiative parlementaire puisqu’il a activé la procédure accélérée sur ce texte, sans même attendre les évaluations imposées par la loi JO³Guillaume Jacquot. « Transports : le Sénat adopte une proposition de loi qui renforce l’arsenal de sécurité, avec le soutien du gouvernement », Public Sénat, 14 février 2024..

Par ailleurs, en juin 2023, soit moins de trois mois après l’adoption de la loi JO, le Sénat reprenait un projet d’expérimentation d’abord mûri par la majorité macroniste en adoptant une proposition de loi prévoyant une expérimentation de trois ans de la reconnaissance faciale couplée à la vidéosurveillance. « Trop tôt », avait en substance répondu le gouvernement, estimant que les conditions politiques n’étaient pas réunies et préférant s’en tenir à une stratégie des petits pas⁴Simon Barbarit, « Reconnaissance faciale : le Sénat adopte une proposition de loi pour expérimenter cette technologie ». Public Sénat, 12 juin 2023..

Dénoncer l’hypocrisie ambiante

Pour mieux illustrer l’hypocrisie des « expérimentations » liées à la loi JO, La Quadrature du Net vient de déposer une plainte devant la CNIL contre un déploiement de la VSA totalement illégal et resté largement sous les radars : le projet Prevent PCP.

Associant la SNCF et la RATP avec un panel d’entreprises, dont le groupe Atos et ChapsVision (par ailleurs toutes deux prestataires des expérimentations liées à la loi JO), Prevent PCP prend formellement la forme d’un marché public subventionné par l’Union européenne. En pratique, les entreprises voient leurs systèmes de VSA déployés dans des grandes gares à travers l’Europe pour détecter des « bagages abandonnés », via une méthode reposant sur l’identification et le suivi des propriétaires des bagages. En France, ces systèmes de VSA sont ainsi déployés depuis des mois dans la gare du Nord et la gare de Lyon à Paris ou, plus récemment, dans la gare de Marseille-Saint-Charles.

Grâce aux éléments mis au jour par le groupe local Technopolice Marseille, La Quadrature du Net a donc déposé une plainte devant la CNIL contre ce projet, qui n’est qu’un exemple parmi les centaines de déploiements illégaux de la VSA en France. À travers cette démarche, il s’agit de renvoyer l’autorité en charge de la protection des données personnelles au rôle qui devrait être le sien, alors qu’elle laisse proliférer des projets illégaux de VSA tout en accompagnant le processus de légalisation. Cette plainte permet également de souligner l’hypocrisie des protagonistes de Prevent PCP : alors même qu’elles prennent part à l’expérimentation de la VSA prévue par loi JO, la SNCF, la RATP, Atos ou ChapsVision se livrent en parallèle à des déploiements dépourvus de toute base légale.

Nourrir une opposition populaire à la VSA

Aujourd’hui, La Quadrature du Net lance également différents outils destinés à nourrir des mobilisations contre la VSA dans les prochains mois, et résister à sa légalisation programmée. Une brochure détaillée expliquant les dangers de la VSA, ainsi que des affiches destinées à informer la population sont disponibles sur cette page de campagne dédiée, qui sera enrichie dans les semaines et mois à venir⁵La page de campagne est disponible à l’adresse laquadrature.net/vsa..

Cette campagne contre la VSA s’inscrit dans le cadre de l’initiative Technopolice, lancée en 2019 par La Quadrature pour résister au nouvelles technologies de surveillance policière. Le site Technopolice propose un forum public ainsi qu’une plateforme de documentation participative (appelée le « carré »), libre d’utilisation et destinés à organiser et fédérer des collectifs locaux opposés à ces technologies.

Pour faire la lumière sur les arrêtés préfectoraux qui autorisent localement la VSA dans le cadre de la loi JO, nous avons également lancé un compte Mastodon, Attrap’Surveillance, qui analyse les recueils des actes administratifs des préfectures et diffuse des alertes lorsque des autorisations de surveillance policière sont détectées. C’est ce dispositif qui a permis de repérer mi-avril les premiers arrêtés de VSA. Dans les prochaines semaines, il permettra d’être averti des expérimentations de la VSA autorisées par les préfets afin de les dénoncer.

Par tous les moyens, il nous faut faire valoir notre refus d’un contrôle permanent de nos faits et gestes, dénoncer ces expérimentations, documenter les projets illégaux qui continuent de proliférer, et nous organiser localement pour battre en brèche la Technopolice. Ensemble, luttons pour que l’espace public ne se transforme pas définitivement en lieu de répression policière, pour que nos villes et nos villages soient des espaces de liberté, de créativité et de rencontres !

Pour suivre l’actualité de La Quadrature et suivre cette campagne contre la VSA, vous pouvez vous abonner à notre lettre d’information.

References[+]

References
↑1	Voir notre article consacré aux premiers arrêtés préfectoraux autorisant le recours à la VSA.
↑2	Les catégories d’événements à repérer par les systèmes de VSA reprennent une partie des catégories prévues par la loi de 2023, en l’espèce : franchissement ou présence d’une personne dans une zone interdite ou sensible, densité trop importante de personnes, mouvement de foule, présence d’objets abandonnés.
↑3	Guillaume Jacquot. « Transports : le Sénat adopte une proposition de loi qui renforce l’arsenal de sécurité, avec le soutien du gouvernement », Public Sénat, 14 février 2024.
↑4	Simon Barbarit, « Reconnaissance faciale : le Sénat adopte une proposition de loi pour expérimenter cette technologie ». Public Sénat, 12 juin 2023.
↑5	La page de campagne est disponible à l’adresse laquadrature.net/vsa.

Surveillance et Hadopi : la justice européenne enterre un peu plus l’anonymat en ligne

Tue, 30 Apr 2024 09:42:17 +0000 - (source)

Dans son arrêt du 30 avril 2024, la Cour de justice de l’Union européenne (CJUE) vient de rendre sa décision concernant la légalité du système de surveillance massif de la Hadopi. Cet arrêt est décevant. La CJUE tempère très fortement sa précédente jurisprudence, au-delà du cas de la Hadopi. En considérant désormais que l’accès aux adresses IP n’est pas sensible, elle admet la possibilité de surveiller massivement Internet.

La Cour de justice de l’Union européenne vient d’autoriser l’accès massif et automatisé à l’adresse IP associée à l’identité civile et au contenu d’une communication. Le tout pour des finalités triviales et sans contrôle préalable par un juge ou par une autorité administrative indépendante.

L’arrêt du 30 avril 2024 est un revirement de jurisprudence. La CJUE vient d’autoriser un accès massif aux adresses IP associées à l’identité civile de l’internaute. Les polices de toute l’Europe, après une décennie de combat où les États ont délibérément choisi de ne pas appliquer les nombreuses décisions précédentes de la CJUE, viennent de l’emporter. C’est une prime à l’abus, un signe très fort lancé aux pays autoritaires : la CJUE admet qu’elle finira par changer sa jurisprudence si ses décisions ne sont pas appliquées. C’est un affaiblissement inquiétant de l’autorité de la Cour face à la pression des États membres.

Alors qu’en 2020, la CJUE considérait que la conservation des adresses IP constitue une ingérence grave dans les droits fondamentaux et que ces dernières ne peuvent faire l’objet d’un accès, associé à l’identité civile de l’internaute, seulement dans des cas de criminalité grave ou d’atteinte à la sécurité nationale, tel n’est aujourd’hui plus le cas. La CJUE renverse son raisonnement : elle estime désormais que la conservation des adresses IP n’est, par défaut, plus une atteinte grave aux libertés fondamentales, et que dans certains cas seulement cet accès porte une ingérence grave qu’il faut entourer de garanties.

Concernant notre affaire et le cas précis de la Hadopi en France, la Cour pousse seulement la Hadopi à évoluer. Elle estime que dans certaines situations « atypiques » l’accès à l’adresse IP et l’identité civile associée à une œuvre culturelle peut créer une ingérence grave dans le droit à la vie privée (on peut penser au cas d’une œuvre permettant de tirer des conclusions relatives aux opinions politiques, à l’orientation sexuelle, etc.) ; elle estime aussi que cet accès porte une ingérence grave en cas de « réitération » et exige dès lors que l’accès aux adresses IP ne puisse pas être « entièrement automatisé ». Mais dans tous les autres cas la CJUE dit bien que la Hadopi peut accéder de manière massive et automatisée à l’identité civile des personnes.

Autrement dit, la riposte graduée (du nom de la procédure suivie par Hadopi qui consiste à envoyer plusieurs avertissements dans les premiers temps, avant de saisir la justice si l’internaute ne « sécurise » pas sa connexion) devra changer de forme. Le législateur devra inventer une machine à gaz pour prévoir un pseudo contrôle externe indépendant de l’accès à l’identité civile par la Hadopi. Alors qu’aujourd’hui il n’existe aucune obligation de contrôle externe de la Hadopi, l’autorité devra désormais prévoir un tel contrôle lorsqu’elle souhaite, dans ces cas « atypiques » ou en cas de « réitération » de l’internaute, accéder à l’identité civile. En somme, des agent·es externes à la Hadopi seront chargé·es de cliquer sur un bouton « autoriser », là où aujourd’hui la Hadopi se l’autorise elle-même.

Plus généralement, cet arrêt de la Cour européenne a surtout validé la fin de l’anonymat en ligne. Alors qu’en 2020 elle précisait qu’il existait un droit à l’anonymat en ligne concrétisé par la directive ePrivacy, elle l’abandonne aujourd’hui. Et pour cause : en permettant à la police d’accéder largement à l’identité civile associée à une adresse IP et au contenu d’une communication, elle met de facto fin à l’anonymat en ligne.

Nous nous attendons désormais à ce que le Conseil d’État sauve la Hadopi, malgré cet arrêt. La Quadrature du Net continuera son combat contre la surveillance en ligne, y compris celle de la Hadopi. Pour nous aider, vous pouvez nous faire un don.

QSPTAG #306 — 26 avril 2024

Fri, 26 Apr 2024 15:13:12 +0000 - (source)

VSA et JO : top départ

Vous le savez, la loi JO votée en 2023 autorise la vidéosurveillance algorithmique (VSA) à titre « d’expérimentation » sur une période assez étendue, jusqu’à 2025. On attendait les arrêtés préfectoraux nécessaires pour les utilisations de la VSA lors des événements publics qui doivent servir de terrain d’essai. Les premiers arrêtés sont arrivés durant ce mois d’avril.

La RATP et la SNCF ont ainsi pu surveiller automatiquement les personnes à l’occasion du match PSG-OL du 21 au 22 avril et lors du concert des Black Eyed Peas le 20 avril, sur des caméras installées à la Gare de Lyon et près du pont du Garigliano, ainsi que l’ensemble des caméras des stations de métro et de RER dans les gares de Nanterre Préfecture et de La Défense Grande Arche.

La Quadrature du Net s’est mobilisée depuis 2019 contre cette technologie et continue sa bataille. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir !

Lire l’article : https://www.laquadrature.net/2024/04/17/experimentation-de-la-vsa-les-premieres-autorisations-sont-tombees/

La loi SREN aggravée en commission paritaire

Nous avions suivi depuis mai 2023 les discussions de la loi pour « Sécuriser et réguler l’espace numérique » (SREN), qui était encore travaillée en mars dernier par la commission mixte paritaire – un groupe de membres de l’Assemblée nationale et du Sénat à parts égales – pour trouver un accord sur un texte commun entre les deux chambres.

La commission a rendu son travail le 16 mars, et le résultat n’est pas bon. Vérification obligatoire de l’âge des internautes sur les plateformes, retrait des contenus signalés par la police sans validation par un juge (censure administrative), « délit d’outrage en ligne » mal défini, filtrage des sites au niveau du navigateur, etc.

La plupart de ces mesures sont nocives parce qu’elles instaurent des exceptions ou des restrictions à la liberté de communication sous des prétextes populaires (protéger les enfants, en particulier), en autorisant des moyens d’action faciles à utiliser ensuite pour d’autres buts, et placés entre les mains de la police ou des caprices des gouvernements.

Certaines mesures entrent même directement en conflit avec le droit de l’Union européenne. Le texte oblige par exemple les plateformes à vérifier l’âge des internautes. Une obligation qui ne peut être imposée qu’au niveau européen. Pour contourner l’obstacle, la dernière version du texte cible seulement les plateformes situées « en France ou hors de l’Union européenne »…

Découvrez tous les détails diaboliques du texte en lisant notre article.

Lire l’article : https://www.laquadrature.net/2024/04/09/projet-de-loi-sren-le-parlement-saccorde-pour-mettre-au-pas-internet/

Surveillance des militants

Soupçonnées de s’être introduites dans une cimenterie Lafarge en décembre 2023, dans le cadre d’une action écologiste, dix-sept personnes ont été arrêtées le 8 avril 2024. Dans le cadre d’un rassemblement de soutien organisé à Aix-en-Provence, un membre de La Quadrature a lu un texte pour exprimer l’inquiétude de l’association. Sous prétexte de « lutte contre le terrorisme », on a donné à la police et aux services de renseignement des moyens de surveillance numérique démesurés, très intrusifs, peu ou mal contrôlés, utilisés pour monter des dossiers criminels contre des citoyen·nes exerçant des droits politiques légitimes. De l’aveu même des services, la part des militant·es surveillé·es a doublé dans les cinq dernières années. Un texte à lire en intégralité sur notre site.

Lire l’article : https://www.laquadrature.net/2024/04/08/contre-la-criminalisation-et-la-surveillance-des-militant%c2%b7es-politiques/

Soutenir La Quadrature en 2024

Nous avons besoin de vous pour travailler en 2024 ! N’hésitez pas à faire un don de soutien à l’association, ou à faire connaître notre campagne de dons autour de vous. Merci pour votre aide !

Agenda

2 mai 2024 : A-t-on besoin de la vidéosurveillance pour être en sécurité dans nos espaces publics ? À l’occasion d’une conférence à l’ENSAD Paris, nous essayerons d’y répondre en questionnant la notion de sécurité, et la place de la vidéosurveillance dans nos espaces publiques. École des Arts Décoratifs (amphithéatre Rodin), 31 rue d’Ulm, Paris 5e arrondissement, de 18h30 à 20h30. Plus d’informations : https://www.ensad.fr/fr/videosurveillance-espace-public.
3 mai 2024 : Apéro public dans nos locaux, 115 rue de Ménilmontant, 75020 Paris, à partir de 19h. Venez nous rencontrer !
18 mai 2024 : Conférence « Surveillance de masse et gestion des données personnelles », de 16h à 17h30, Médiathèque Visages du Monde, 10 place du Nautilus, à Cergy. Détails dans le programme de la médiathèque.
18 mai 2024 : La Quadrature sera au Festival du livre et des cultures libres à l’espace autogéré des Tanneries, à Dijon. Plus d’infos ici : https://festivaldulivre.tanneries.org/.
25 mai 2024 : Journées du logiciel libre à Lyon – Conférence « La vidéosurveillance algorithmique menace nos villes, contre-attaquons ! », à 13h. Plus d’infos sur la conférence ici : https://pretalx.jdll.org/jdll2024/talk/ZNZL3Z/ et plus d’infos sur les JDLL : https://www.jdll.org/.
Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

VSA et JO

Surveillance : les JO vont-ils créer un précédent ? [RFI]

Algos de contrôle social

Dématérialiser pour mieux régner : l’algorithmisation du contrôle CAF [Le vent se lève]

Loi SREN

Une commission mixte paritaire modifie la contestée loi SREN [Siècle Digital]
Le Parlement rectifie le projet de loi SREN pour répondre aux exigences européennes [Hardware & Co]

Surveillance

Divers

Expérimentation de la VSA : les premières autorisations sont tombées

Wed, 17 Apr 2024 12:25:30 +0000 - (source)

Les premiers arrêtés préfectoraux autorisant la vidéosurveillance algorithmique (VSA) dans le cadre de la loi JO viennent d’être publiés. La RATP et la SNCF peuvent désormais surveiller automatiquement les personnes à l’occasion du match PSG/OL du 19 au 22 avril et du concert des Black Eyed Peas le 20 avril. La Quadrature du Net s’est mobilisée depuis 2019 contre cette technologie et continue sa bataille. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Déployée en toute illégalité depuis des années et autorisée de façon inédite en Europe avec la loi sur les JOP, la vidéosurveillance algorithmique était dans les starting blocks pour être utilisée pour la première fois par la police. C’est maintenant chose faite.

La préfecture de police de Paris a autorisé ce 17 avril 2024 l’utilisation du logiciel de VSA de la société Wintics par la SNCF et la RATP. La surveillance commencera dès le 19 avril sur 118 caméras de la gare de Lyon et du pont du Garigliano à Paris. Elle concernera également le 20 avril l’ensemble des caméras des stations de métro et de RER des gares de Nanterre Préfecture et de La Défense Grande Arche.

La rumeur d’une autorisation de VSA à l’occasion du match PSG-OL circulait depuis plusieurs semaines puisque la SNCF annonçait depuis quelques temps sur des affiches gare de Lyon avoir obtenu une autorisation de la préfecture de Police. On apprenait sur cette affiche que la SNCF procédait déjà à des « tests » liés à la phase de conception de l’algorithme, où les personnes filmées servent de cobayes pour ajuster les logiciels. Des tests ont aussi été effectués lors de deux concerts de Depeche Mode à Paris. Une autre affiche dans les couloirs du métro parisien indiquait que des expérimentations allaient aussi bientôt être mises en œuvre par la RATP.

Nous avons développé un outil de recensement des autorisations préfectorales de surveillance, dont l’information fait quasi systématiquement défaut, ce qui empêche les personnes surveillées d’être au courant de ces mesures. Cet outil, dénommé « Attrap’Surveillance » (pour Automate de Traque des Termes de Recherche dans les Arrêtés Préfectoraux), analyse automatiquement les recueils des actes administratifs de chaque préfecture afin d’y repérer les autorisations préfectorales d’utilisation des drones et de VSA. C’est comme cela que nous avons pu apprendre la publication aujourd’hui de la première autorisation formelle d’une utilisation répressive de la VSA à Paris. En publiant aussi tardivement ces arrêtés, le préfet de police tente d’éviter au maximum les recours en justice, qui n’auront probablement pas le temps d’être jugés avant le début de la surveillance algorithmique.

Face à la concrétisation de cette surveillance, aux abus qui se profilent et à la Technopolice qui avance illégalement en parallèle de la loi JO, La Quadrature du Net s’apprête à répliquer. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Projet de loi SREN : le Parlement s’accorde pour mettre au pas Internet

Tue, 09 Apr 2024 13:10:02 +0000 - (source)

Nous vous parlions l’année dernière du projet de loi SREN (pour « Sécuriser et réguler l’espace numérique »). Il s’agit d’un texte censé réguler les plateformes en ligne, dont nombre de ses mesures ont révélé une vision archaïque d’Internet¹Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.. Le 26 mars dernier, député·es et sénateur·rices de la commission mixte paritaire (CMP) se sont accordé·es sur une version commune du texte. Les modifications apportées ne sont pourtant que cosmétiques. Après son vote la semaine dernière par le Sénat, cette version commune doit encore être votée par l’Assemblée nationale demain. Nous appelons cette dernière à le rejeter.

Vérification de l’âge : s’isoler plutôt que de se conformer au droit européen

Si le projet de loi SREN met autant de temps à être voté, c’est que la France mène depuis plusieurs mois un bras de fer avec la Commission européenne. Normalement, la régulation des plateformes en ligne se décide au niveau de l’ensemble de l’Union européenne. Pourtant, avec ce texte, le gouvernement français a décidé de n’en faire qu’à sa tête. En voulant forcer les plateformes hébergeant du contenu pornographique à vérifier l’âge des internautes, mesure inutile qui n’empêchera pas les mineur·es d’accéder à ces contenus, la France souhaite ainsi s’affranchir des règles européennes qui s’imposent normalement à elle.

La Commission européenne n’a évidemment pas vu cela d’un bon œil. Elle a donc actionné les pouvoirs qui lui sont octroyés dans ce genre de situations, et a bloqué le texte à deux reprises, arguant que le projet de loi SREN empiétait sur le droit de l’Union.

La parade trouvée par la CMP consiste à restreindre l’obligation de vérification de l’âge des internautes aux seules plateformes établies « en France ou hors de l’Union européenne ». Autrement dit, puisque les plateformes européennes ne sont plus concernées par cette vérification d’âge, cette mesure ne rentre plus dans le champ du droit européen, et la Commission européenne n’a plus rien à dire ! Stupide, mais habile formalisme.

La France décide ainsi de s’isoler du reste de l’Union : les plateformes françaises ou non-européennes devront faire cette vérification d’âge, alors que les plateformes européennes en seront épargnées. On félicitera l’audace de la parade : alors qu’habituellement, pour refuser les régulations sur les sujets numériques, le gouvernement français est le premier à brandir la concurrence des États sur Internet et le risque que les acteurs français s’enfuient à l’étranger en cas de « sur-régulation » (argument brandi par exemple pour détricoter le règlement IA ou supprimer l’interopérabilité des réseaux sociaux), il semble ici s’accommoder précisément de ce qu’il dénonce, puisque les plateformes françaises seront pénalisées par rapport à celles situées dans le reste de l’UE. Tout ça pour garder la face.

Ce tour de passe-passe politique ne doit néanmoins pas masquer la réalité de cette vérification d’âge. Au-delà d’une question d’articulation avec le droit de l’Union européenne, cette mesure, comme nous le dénonçons depuis le début, mettra fin à toute possibilité d’anonymat en ligne, notamment sur les réseaux sociaux (voir notre analyse et celle d’Act Up-Paris sur la question de la vérification de l’âge).

Vous reprendrez bien un peu de censure automatisée ?

Le texte final de ce projet de loi prévoit d’étendre la censure automatisée. Ses articles 3 et 3 bis A prévoient une obligation de censure en 24 heures des contenus, respectivement d’abus sexuels sur enfants et de représentation d’actes de torture et de barbarie. Le mécanisme est un calque de la censure automatisée des contenus à caractère terroriste : une notification de la police, une obligation de censure en 24h sous peine de fortes amendes et de plusieurs années de prison, un contrôle par la justice qui n’est pas obligatoire puisque le juge doit être saisi une fois la censure effective par l’hébergeur des contenus et non par la police.

La Quadrature du Net, tout comme de nombreuses autres organisations, dénoncent depuis des années le fait que ce système de censure administrative en très peu de temps aura comme conséquence une automatisation de la censure : face aux sanctions monstrueuses en cas de non-retrait, et alors que les hébergeurs n’ont que très peu de temps pour agir, ils seront nécessairement poussés à ne pas contester la police et à censurer les contenus qu’on leur demande de retirer. C’est d’ailleurs exactement ce mécanisme qu’avait censuré le Conseil constitutionnel en 2020 avec la loi Avia, et qu’avec cinq autres associations nous dénonçons devant la justice à propos du règlement européen de censure terroriste.

Et le prétexte de la lutte contre les abus sexuels sur mineur·es ou la lutte contre les actes de torture ou de barbarie ne peut justifier ces censures. Tout comme le projet de règlement européen CSAR (pour « Child sexual abuse regulation », aussi appelé « Chat Control »), le projet de loi SREN ne résoudra pas le problème des abus sexuels sur mineur·es ni des actes de torture en censurant ces contenus. Une autre politique, ambitieuse, pour lutter contre les réseaux et trafiquants, est pour cela nécessaire.

Prendre les gens pour des schtroumpfs

Les débats sur ce projet de loi auront, une fois de plus, démontré la piètre qualité des débats parlementaires lorsqu’il s’agit de numérique²Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.. Les débats autour du filtre « anti-arnaque » ou de la peine de bannissement ont été particulièrement révélateurs de la manière dont le gouvernement voit les internautes : comme des incapables à qui il faudrait montrer la voie, quitte à mentir.

Le filtre anti-arnaque n’a pas été substantiellement modifié en CMP et la vision paternaliste que nous dénoncions (voir notre analyse) est toujours présente en l’état actuel du texte. Ce filtre fait le constat de l’inefficacité des listes anti-hameçonnages qu’utilisent les principaux navigateurs mais, au lieu de fournir une liste anti-hameçonnage complémentaire, de qualité et transparente, le gouvernement préfère forcer la main des navigateurs en leur imposant de censurer les contenus et de devenir des auxiliaires de police.

Main sur le cœur, le gouvernement nous promet toutefois que seuls les contenus d’hameçonnage seront concernés par ce nouveau dispositif de censure que devront implémenter les navigateurs. N’ayons aucune crainte, cette nouvelle manière de censurer ne sera jamais étendue à tout le reste ! Difficile, en réalité, de croire un gouvernement d’Emmanuel Macron alors que ce dernier a clairement adopté depuis son arrivée à l’Élysée une politique de remise en cause drastique des libertés fondamentales (voir notre récapitulatif en 2022 pour son premier mandat).

Et difficile de croire un gouvernement dont le ministre Jean-Noël Barrot, lorsqu’il était chargé de défendre ce texte avant d’être débarqué des affaires numériques, n’hésitait pas à raconter n’importe quoi pour mieux faire passer la pilule. Car la peine de bannissement de réseaux sociaux, prévue à l’article 5 du projet de loi, nécessite que les plateformes connaissent l’identité des personnes ouvrant un compte (et ce afin d’empêcher que les personnes bannies ne reviennent sur la plateforme). Or, questionné sur France Culture à propos des atteintes à l’anonymat en ligne qu’implique cette mesure, le ministre Barrot a préféré mentir plutôt que d’admettre le problème. Il a affirmé que le projet de loi ne prévoyait qu’« une obligation de moyens [d’empêcher un·e internaute banni·e de se refaire un compte] mais qui n’est pas sanctionnée par une amende ». Sauf que c’est totalement faux : un réseau social qui n’aurait pas empêché un·e internaute banni·e de se refaire un compte risquera jusqu’à 75 000 € d’amende par compte recréé. Et ce point n’a pas évolué lors des débats parlementaires.

Détricoter la loi de 1881 sur la liberté d’expression

Le texte final comporte une grande nouveauté : le délit d’outrage en ligne a été réintroduit par la CMP. Cette disposition, initialement introduite par le Sénat puis supprimée par l’Assemblée nationale car jugée trop dangereuse, consiste à faire des abus d’expression en ligne une circonstance aggravante par rapport aux cas où ils seraient commis hors ligne. Concrètement, le projet de loi SREN sanctionne de 3 750 euros d’amende et d’un an d’emprisonnement le fait de « diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante ».

Il s’agit donc d’un délit extrêmement large puisque la notion de « situation intimidante, hostile ou offensante » n’est nullement définie légalement et sera la porte ouverte aux interprétations larges. De plus, la possibilité de sanctionner ce délit par une amende forfaitaire rajoute des possibilités d’abus, ce que dénoncent déjà des avocat·es et la Défenseure des droits. Mais ce délit peut également être sanctionné par une peine de bannissement.

Surtout, ce délit d’outrage en ligne déroge à la loi de 1881. Cette loi est le socle qui régit aujourd’hui les abus d’expression, y compris en ligne : elle prévoit des mécanismes qui évitent les abus (délais de prescription courts, procédures particulières, etc.). Exit ces garde-fous : en introduisant ce délit d’outrage en ligne dans le code pénal et non dans la loi de 1881, le législateur concrétise une longue envie de la droite autoritaire de détricoter cette loi. Pourquoi, pourtant, faudrait-il abandonner les protections de la loi de 1881 pour le simple fait que ce serait en ligne, alors que la presse papier ou la télévision sont souvent des déversoirs de haine ?

Le projet de loi SREN n’a donc pas fondamentalement évolué. Il s’agit toujours d’un texte fondé sur un mode de régulation d’Internet à la fois vertical et brutal, qui ne peut mener qu’à une impasse et une restriction des libertés. Comme si l’État ne savait pas réguler un média autrement sur ce modèle autoritaire. Les autres modèles de régulation, notamment l’obligation d’interopérabilité des réseaux sociaux, ont été sèchement rejetés par le pouvoir. Le résultat de ce refus de voir ce qu’est Internet est un texte inadapté, dangereux pour les droits fondamentaux et l’expression libre en ligne, et qui ne résoudra aucunement les problèmes auxquels il prétend s’attaquer. L’Assemblée nationale doit donc rejeter ce projet de loi. Et pour nous aider à continuer la lutte, vous pouvez nous faire un don.

References[+]

References
↑1	Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.
↑2	Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.

Contre la criminalisation et la surveillance des militant·es politiques

Mon, 08 Apr 2024 14:44:36 +0000 - (source)

Ce texte a été lu par un·e membre de La Quadrature du Net le 5 avril 2024 lors du rassemblement devant le Tribunal judiciaire d’Aix-en-Provence, à l’occasion des deux nouvelles mises en examen dans l’affaire Lafarge.

On est là aujourd’hui pour dire notre soutien aux personnes convoquées, à toutes les personnes placées en garde à vue et inquiétées dans cette affaire. On est là pour dénoncer l’instrumentalisation de la justice et des services antiterroristes pour réprimer les militantes et militants et dissuader toute forme de désobéissance civile. Là, enfin, pour dire notre indignation face au recours systématique à des formes de surveillance intrusives et totalement disproportionnées.

Les mises en examen de ce jour, ou celles qui les ont précédé dans cette « affaire Lafarge », s’inscrivent dans un contexte plus global. Jusqu’à un passé pas si lointain, de nombreuses formes d’action directes étaient tolérées par les autorités. Mais progressivement, en lien avec la dérive néo-libérale amorcée dans les années 1980, l’espace accordé à la critique d’un système injuste et écocide a fondu comme neige au soleil. De crise en crise, on a assisté à la consolidation d’un État d’exception, à l’inflation des services de renseignement, à la multiplication de dérogations au droit libéral — un droit certes bien trop imparfait, mais qui n’en demeurait pas moins un héritage fondamental des luttes passées. On a également vu un pouvoir politique s’entêter au point de ne plus tolérer la moindre contestation, instrumentalisant le droit commun à coup d’amendes, de dissolutions, de maintien de l’ordre hyper-violent.

Le tout pour réprimer toutes celles et ceux qui ont la dignité de dire leur refus d’un système à la violence décomplexée, et le courage de mettre ce refus en actes. Dans ce processus du criminalisation des militant·es, les services de renseignement, de police judiciaire comme les magistrats du parquet peuvent désormais s’appuyer sur les exorbitants moyens de surveillance. Autant de dispositifs qui se sont accumulés depuis 25 ans et qui, dans l’affaire Lafarge et d’autres jugées récemment, s’emboîtent pour produire une surveillance totale. Une surveillance censée produire des éléments sur lesquels pourront s’édifier le récit policier et la répression.

Cette surveillance, elle commence par l’activité des services de renseignement. Contrôles d’identité qui vous mettent dans le viseur des services, caméras et micro planquées autour de lieux militants ou dans des librairies, balises GPS, interceptions, analyse des métadonnées, … Tout est bon pour servir les priorités politiques et justifier la pérennisation des crédits. L’activité du renseignement consacrée à la surveillance des militant·es – érigée en priorité depuis la stratégie nationale du renseignement de 2019 –, elle a doublé sous Macron, passant de 6 % au moins du total des mesures de surveillance en 2017 à plus de 12% en 2022.

Après le fichage administratif, après les notes blanches du renseignement, vient le stade des investigations judiciaires. Là encore, comme l’illustre l’affaire Lafarge, la surveillance en passe par le recours à la vidéosurveillance – plus de 100 000 caméras sur la voie publique aujourd’hui –, puis par l’identification biométrique systématique, notamment via la reconnaissance faciale et le fichier TAJ, ou quand ce n’est pas possible par le fichier des cartes d’identité et de passeport, l’infâme fichier TES, qui est ainsi détourné.

Pour rappel, le recours à la reconnaissance faciale via le fichier TAJ, ce n’est pas de la science fiction. Ce n’est pas non plus l’exception. Il est aujourd’hui utilisée au moins 1600 fois par jour par la police, et ce alors que cette modalité d’identification dystopique n’a jamais été autorisée par une loi et que, de fait, son usage n’est pas contrôlé par l’autorité judiciaire.

Cette reconnaissance faciale, elle est employée y compris pour des infractions dérisoires, notamment lorsqu’il s’agit d’armer la répression d’opposants politiques comme l’ont illustré les jugements de la semaine dernière à Niort, un an après Sainte-Soline. Et ce alors que le droit européen impose normalement un critère de « nécessité absolue ».

La surveillance découle enfin du croisement de toutes les traces numériques laissées au gré de nos vies et nos activités sociales. Dans cette affaire et d’autres encore, on voit ainsi se multiplier les réquisitions aux réseaux sociaux comme Twitter ou Facebook, l’espionnage des conversations téléphoniques et des SMS, le suivi des correspondances et des déplacements de groupes entiers de personnes via leurs métadonnées, la surveillance de leurs publications et de leurs lectures, la réquisition de leurs historiques bancaires ou des fichiers détenus par les services sociaux, … Le tout, souvent sur la seule base de vagues soupçons. Et à la clé, une violation systématique de leur intimité ensuite jetée en pâture à des policiers, lesquels n’hésitent pas à à s’en servir pour intimider ou tenter d’humilier lors des interrogatoires, et construire une vision biaisée de la réalité qui puisse corroborer leurs fantasmes.

De plus en plus, c’est la logique même de la résistance à la dérive autoritaire qui est criminalisée. Vous utilisez des logiciels libres et autres services alternatifs aux multinationales qui dominent l’industrie de la tech et s’imbriquent dans les systèmes de surveillance d’État ? Cela suffit à faire de vous un suspect, comme le révèle l’affaire du « 8 décembre » jugée il y a quelques mois. Vous choisissez des messageries dotées de protocoles de chiffrement pour protéger votre droit à la confidentialité des communications ? On pourra recourir aux spywares et autres méthodes d’intrusion informatique pour aspirer le maximum de données contenues dans vos ordinateurs ou smartphones. C’est ce dont a été victime le photographe mis en cause dans cette affaire. Et si vous refusez de livrer vos codes de chiffrement lors d’une garde à vue, on retiendra cela contre vous et on intentera des poursuites, quand bien même l’infraction censée légitimer votre garde à vue s’est avérée tout à fait grotesque.

Pour conclure, nous voudrions rappeler que, dans les années 30, alors que l’Europe cédait peu à peu au fascisme, un gouvernement français pouvait faire du pays une terre d’accueil pour les militant·es, les artistes, les intellectuelles. C’était juste avant la fin honteuse de la IIIe république, juste avant le régime de Vichy. Aujourd’hui, alors que, à travers l’Europe comme dans le monde entier, les militant·es des droits humains, les militant·es écologistes, celles et ceux qui dénoncent la violence systémique des États ou les méfaits des multinationales, sont chaque jour plus exposé·es à la répression, l’État français se place aux avant-gardes de la dérive post-fasciste.

Reste à voir si, plutôt que de s’en faire la complice active comme le font craindre les décisions récentes, l’institution judiciaire aura encore la volonté d’y résister.

QSPTAG #305 — 22 mars 2024

Fri, 22 Mar 2024 15:25:36 +0000 - (source)

Pour mieux surveiller ses allocataires, La CAF aura dorénavant accès aux revenus des Français en temps réel

Notre travail d’enquête sur les algorithmes de contrôle social continue. Après avoir obtenu l’algorithme utilisé par la CAF pour contrôler ses allocataires en fonction d’un « score de risque », après avoir analysé cette méthode de calcul et démontré qu’elle ciblait volontairement les personnes les plus précaires, nous poursuivons nos recherches du côté des outils utilisés par d’autres services sociaux : assurance vieillesse, assurance maladie, assurance chômage, etc. Vous pouvez retrouver l’ensemble de ces travaux sur notre page de campagne.

Mais les dernières nouvelles concernant les pratiques de la CAF nous sont arrivées par la presse : tout en se défendant des mauvaises intentions que nous lui prêtions, la CAF continuait/continu ? de demander l’accès à toujours plus de données, pour mieux surveiller ses allocataires. Elle a donc obtenu récemment le droit d’accéder au fichier du Dispositif des ressources mensuelles (DRM), qui recense quotidiennement pour chaque personne l’intégralité de ses sources de revenus : les salaires perçus et les prestations sociales touchées. Créé pour faciliter le calcul des aides personnalisées pour le logement (APL), le fichier connaît donc une déviation flagrante de sa finalité première. Et l’utilisation que compte en faire la CAF n’est pas brillante : il s’agit d’améliorer la « productivité » de son algorithme de contrôle.
Les revenus des allocataires étaient jusqu’à présent connus annuellement au moment de la déclaration de revenus, ou chaque trimestre auprès des allocataires. La surveillance mensuelle des variations de revenus, en permettant une révision plus serrée des droits des allocataires, permettra sans doute de détecter de plus nombreux « trop perçus » – voilà pour la « productivité ». Et qui sont les personnes dont les revenus varient le plus, et ont le plus besoin des aides sociales ? Les plus pauvres, encore une fois.

En plus de cette discrimination automatisée, cette annonce nous paraît révéler deux problèmes : d’une part l’inefficacité du contrôle opéré par la CNIL, pourtant créée pour surveiller l’usage des fichiers, et d’autre part le dévoiement du projet gouvernemental de « solidarité à la source », annoncé comme un moyen de lutter contre le « non recours » aux aides sociales, en passe de devenir un système de centralisation des donnée pléthorique et sans contrôle.

Lire l’article : https://www.laquadrature.net/2024/03/13/notation-des-allocataires-la-caf-etend-sa-surveillance-a-lanalyse-des-revenus-en-temps-reel/

Soutenir La Quadrature en 2024

Nous sommes toujours en campagne de soutien pour financer notre travail en 2024. C’est pour nous l’occasion de présenter les grands chantiers en cours, principalement la lutte contre les algorithmes de contrôle social dans les administrations, la défense du droit au chiffrement des communications, la promotion de l’interopérabilité des services Web, et la réflexion nécessaire autour du numérique dans le contexte de la crise écologique mondiale.

Agenda

29 mars 2024 : apéro public dans nos locaux, 115 rue de Ménilmontant, 75020 Paris, à partir de 19h.
11 avril 2024 : causerie mensuelle du groupe Technopolice Marseille, au Manifesten, 59 rue Adolphe Thiers, 13001 Marseille, à partir de 19h.

La Quadrature dans les médias

Algos de contrôle social

CAF : pourquoi la solidarité à la source n’est pas forcément une bonne nouvelle pour les allocataires du RSA et de la prime d’activité [Midi Libre]

RSA, prime d’activité : la solidarité à la source, un piège pour les allocataires ? [Merci pour l’info]

RSA, prime d’activité : analyse de vos ressources à la source, ce nouveau piège pour les allocataires [Actualité News]

Fraude sociale : les bénéficiaires de l’AAH particulièrement visés par la CAF ? [Econostrum]

CAF : les allocataires du RSA et de la prime d’activité doivent se méfier de la solidarité à la source ! [Les écrans de Paris]

Révélation choc : Comment le RSA et la prime d’activité pourraient devenir des outils de surveillance [Mobeez]

La CAF cible-t-elle particulièrement les bénéficiaires de l’AAH pour le fraude sociale ? [Objeko]

Algorithme CNAF. Quand la branche famille cible les plus précaires? [La CGT Analyses et Propositions]

Surveillance

Ecoutes, géolocalisations : de plus en plus de personnes sont surveillées en France [Basta!]

Extension de la surveillance : « On est en plein solutionnisme technologique » [Basta!]

Technopolice : police prédictive

« Fichage illégal », surveillance sur les réseaux sociaux… La police prédictive est-elle hors-la-loi ? [Usbek & Rica]

« Police prédictive » : les algorithmes peuvent-ils vraiment devancer les délinquants ? [Usbek & Rica]

Technopolice : VSA et JO

Vidéoprotection « intelligente » : « L’objectif, c’est qu’elle soit généralisée plus tard », estime la sénatrice LR Agnès Canayer [Public Sénat]

JO de Paris 2024 : De la vidéosurveillance sans reconnaissance faciale, vraiment ? [20 minutes]

Paris 2024 : un premier test de la vidéosurveillance algorithmique à l’occasion d’un concert de Depeche Mode [Libération]

Derniers préparatifs avant le déploiement de la vidéosurveillance algorithmique [Siècle Digital]

Divers

Comme la quadrature du net, le SMG dénonce le fichage des personnes trans [Syndicat de la médecine générale]

La France crée un fichier des personnes trans [Dijoncter.info]

Loi Avia : la mobilisation de la Quadrature du Net contre une censure « autoritaire » [Salle421.eu]

Notation des allocataires : la CAF étend sa surveillance à l’analyse des revenus en temps réel

Wed, 13 Mar 2024 09:37:17 +0000 - (source)

Retrouvez l’ensemble de nos publications, documentations et prises de positions sur l’utilisation par les organismes sociaux – CAF, Pôle Emploi, Assurance Maladie, Assurance Vieillesse – d’algorithmes à des fins de contrôle social sur notre page dédiée et notre gitlab.

Il y a tout juste deux mois, nous publiions le code source de l’algorithme de notation des allocataires de la CAF. Cette publication démontrait l’aspect dystopique d’un système de surveillance allouant des scores de suspicion à plus de 12 millions de personnes, sur la base desquels la CAF organise délibérement la discrimination et le sur-contrôle des plus précaires. Ce faisant, nous espérions que, face à la montée de la contestation¹Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici., les dirigeant·es de la CAF accepteraient de mettre fin à ces pratiques iniques. Il n’en fut rien.

À la remise en question, les responsables de la CAF ont préféré la fuite en avant. La première étape fut un contre-feu médiatique où son directeur, Nicolas Grivel, est allé jusqu’à déclarer publiquement que la CAF n’avait ni « à rougir » ni à s’« excuser » de telles pratiques. La deuxième étape, dont nous venons de prendre connaissance²Voir l’article « L’État muscle le DRM, l’arme pour lutter contre la fraude et le non-recours aux droits » publié le 01/02/2024 par Emile Marzof et disponible ici., est bien plus inquiétante. Car parallèlement à ses déclarations, ce dernier cherchait à obtenir l’autorisation de démultiplier les capacités de surveillance de l’algorithme via l’intégration du suivi en « temps réel »³Bien que la fréquence de mise à jour des revenus soit majoritairement mensuelle, dans la mesure où les salaires sont versés une fois par mois, nous reprenons ici l’expression utilisée par la Cour des comptes. Voir le chapitre 9 du Rapport sur l’application des lois de financement de la sécurité sociale de 2022 disponible ici. des revenus de l’ensemble des allocataires. Autorisation qu’il a obtenue, avec la bénédiction de la CNIL, le 29 janvier dernier⁴Décret n° 2024-50 du 29 janvier 2024 disponible ici. Voir aussi la délibération n° 2023-120 du 16 novembre 2023 de la CNIL ici. Le décret prévoit une expérimentation d’un an. La surveillance des revenus est aussi autorisée pour le contrôle des agriculteurs·rices par les Mutualités Sociales Agricoles et des personnes âgées par la Caisse Nationale d’Assurance Vieillesse..

Surveillance et « productivité » des contrôles

Pour rappel, le revenu est une des quelque quarante variables utilisées par la CAF pour noter les allocataires. Comme nous l’avions montré, plus le revenu d’un·e allocataire est faible, plus son score de suspicion est élevé et plus ses risques d’être contrôlé·e sont grands. C’est donc un des paramètres contribuant directement au ciblage et à la discrimination des personnes défavorisées.

Jusqu’à présent, les informations sur les revenus des allocataires étaient soit récupérées annuellement auprès des impôts, soit collectées via les déclarations trimestrielles auprès des allocataires concerné·es (titulaires du RSA, de l’AAH…)⁵Voir lignes 1100 du code de l’algorithme en usage entre 2014 et 2018 disponible ici : pour le calcul des revenus mensuels, la CAF utilise soit les déclarations de revenus trimestrielles (dans le cadre des personnes au RSA/AAH) divisées par 3, soit les revenus annuels divisés par 12. Si nous ne disposons pas de la dernière version de l’algorithme, la logique devrait être la même.
. Désormais, l’algorithme de la CAF bénéficiera d’un accès en « temps réel » aux ressources financières de l’ensemble des 12 millions d’allocataires (salaires et prestations sociales).

Pour ce faire, l’algorithme de la CAF sera alimenté par une gigantesque base de données agrégeant, pour chaque personne, les déclarations salariales transmises par les employeurs ainsi que les prestations sociales versées par les organismes sociaux (retraites, chômage, RSA, AAH, APL…)⁶ L’architecture de la base DRM repose sur l’agrégation de deux bases de données. La première est la base des « Déclarations Sociales Nominatives » (DSN) regroupant les déclarations de salaires faites par les employeurs. La seconde, « base des autres revenus » (PASRAU), centralise les prestations sociales monétaires (retraites, APL, allocations familiales, indemnités journalières, AAH, RSA, allocations chômage..). La base DRM est mise à jour quotidiennement et consultable en temps réel. D’un point de vue pratique, il semblerait que le transfert de données de la base DRM à la CAF soit fait mensuellement. La CAF peut aussi accéder à une API pour une consultation du DRM en temps réel. Voir notamment le chapitre 9 du rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici.
: c’est le « Dispositif des Ressources Mensuelles » (DRM). Cette base, créée en 2019 lors de mise en place de la réforme de la « contemporanéisation » des APL⁷Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2019 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
, est mise à jour quotidiennement, et offre des capacités inégalées de surveillance des allocataires.
La justification d’une telle extension de la surveillance à l’œuvre à des fins de notation des allocataires est d’accroître la « productivité du dispositif [de l’algorithme] » selon les propres termes des responsables de la CAF⁸Voir la délibération 2023-120 de la CNIL disponible ici.
. Qu’importe que se multiplient les témoignages révélant les violences subies par les plus précaires lors des contrôles⁹Voir notamment les témoignages collectés par le collectif Changer de Cap, disponibles ici et le rapport de la Défenseure des Droits.. Qu’importe aussi que les montants récupérés par l’algorithme soient dérisoires au regard du volume des prestations sociales versées par l’institution¹⁰Les montants d’« indus » récupérés par la CAF dans le cadre des contrôles déclenchés par l’algorithme représentent 0,2% du montant total des prestations versées par la CAF. Voir ce document de la CAF.. Les logiques gestionnaires ont fait de la course aux « rendements des contrôles » une fin en soi à laquelle tout peut être sacrifié.
Que cette autorisation soit donnée à titre « expérimental », pour une période d’un an, ne peut être de nature à nous rassurer tant on sait combien le recours aux « expérimentations » est devenu un outil de communication visant à faciliter l’acceptabilité sociale des dispositifs de contrôle numérique¹¹Voir notamment notre article « Stratégies d’infiltration de la surveillance biométrique dans nos vies », disponible ici..
La CNIL à la dérive

La délibération de la CNIL qui acte l’autorisation accordée à la CAF de ce renforcement sans précédent des capacités de surveillance de son algorithme de notation laisse sans voix¹²Voir la délibération n° 2023-120 du 16 novembre 2023 disponible ici.. Loin de s’opposer au projet, ses recommandations se limitent à demander à ce qu’une attention particulière soit « accordée à la transparence » de l’algorithme et à ce que… le « gain de productivité du dispositif » fasse l’objet d’un « rapport circonstancié et chiffré ». La violation de l’intimité des plus de 30 millions de personnes vivant dans un foyer bénéficiant d’une aide de la CAF est donc ramenée à une simple question d’argent…

Nulle part n’apparaît la moindre critique politique d’un tel dispositif, alors même que cela fait plus d’un an que, aux côtés de différents collectifs et de la Défenseure des Droits, nous alertons sur les conséquences humaines désastreuses de cet algorithme. La CNIL alerte par contre la CNAF sur le risque médiatique auquelle elle s’expose en rappelant qu’un scandale autour d’un algorithme en tout point similaire a « conduit le gouvernement néerlandais à démissionner en janvier 2021 ». Une illustration caricaturale de la transformation du « gendarme des données » en simple agence de communication pour administrations désireuses de ficher la population.

On relèvera également un bref passage de la CNIL sur les « conséquences dramatiques » du risque de « décisions individuelles biaisées » conduisant l’autorité à demander à ce que l’algorithme soit « conçu avec soin ». Celui-ci démontre – au mieux – l’incompétence technique de ses membres. Rappelons que cet algorithme ne vise pas à détecter la fraude mais les indus ayant pour origine des erreurs déclaratives. Or, ces erreurs se concentrent, structurellement, sur les allocataires aux minima sociaux, en raison de la complexité des règles d’encadrement de ces prestations¹³Voir nos différents articles sur le sujet ici et l’article de Daniel Buchet, ancien directeur de la maîtrise des risques et de la lutte contre la fraude de la CNAF. 2006. « Du contrôle des risques à la maîtrise des risques », disponible ici.
. Le ciblage des plus précaires par l’algorithme de la CAF n’est donc pas accidentel mais nécessaire à l’atteinte de son objectif politique : assurer le « rendement des contrôles ». La seule façon d’éviter de tels « biais » est donc de s’opposer à l’usage même de l’algorithme.

Pire, la CNIL valide, dans la même délibération, l’utilisation du DRM à des fins de contrôle de nos aîné·es par l’Assurance Vieillesse (CNAV)… tout en reconnaissant que l’algorithme de la CNAV n’a jamais « fait l’objet de formalités préalables auprès d’elle, même anciennes »¹⁴Si nous n’avons pas encore la preuve certaine que la CNAV utilise un algorithme de profilage pour le contrôle des personnes à la retraite, la CNIL évoque concernant cette administration dans sa délibération « un traitement de profilage » et « un dispositif correspondant [à l’algorithme de la CNAF] » laissant sous-entendre que c’est le cas. . Soit donc qu’il est probablement illégal. Notons au passage que le rapporteur de la CNIL associé à cette délibération n’est autre que le député Philippe Latombe, dont nous avons dû signaler les manquements déontologiques auprès de la CNIL elle-même du fait de ses accointances répétées et scandaleuses avec le lobby sécuritaire numérique¹⁵Voir aussi l’article de Clément Pouré dans StreetPress, disponible ici, qui pointe par ailleurs les relations du député avec l’extrême-droite..

« Solidarité » à la source et contrôle social : un appel à discussion

Si nous ne nous attendions pas à ce que le directeur de la CAF abandonne immédiatement son algorithme de notation des allocataires, nous ne pouvons qu’être choqué·es de voir que sa seule réponse soit de renforcer considérablement ses capacités de surveillance. C’est pourquoi nous appelons, aux côtés des collectifs avec qui nous luttons depuis le début, à continuer de se mobiliser contre les pratiques numériques de contrôle des administrations sociales, au premier rang desquelles la CAF.

Au-delà du mépris exprimé par la CAF face à l’opposition grandissante aux pratiques de contrôle, cette annonce met en lumière le risque de surveillance généralisée inhérent au projet gouvernemental de « solidarité » à la source. Présenté comme la « grande mesure sociale » du quinquennat¹⁶Pour reprendre les termes de cet article du Figaro., ce projet vise à substituer au système déclaratif une automatisation du calcul des aides sociales via le pré-remplissage des déclarations nécessaires à l’accès aux prestations sociales.

Étant donné la grande complexité des règles de calculs et d’attribution de certaines prestations sociales – en particulier les minima sociaux – cette automatisation nécessite en retour que soit déployée la plus grande infrastructure numérique jamais créée à des fins de récolte, de partage et de centralisation des données personnelles de la population française (impôts, CAF, Assurance-Maladie, Pôle Emploi, CNAV, Mutualités Sociales Agricoles….). De par sa taille et sa nature, cette infrastructure pose un risque majeur en termes de surveillance et de protection de la vie privée.

Et c’est précisément à cet égard que l’autorisation donnée à la CAF d’utiliser le DRM pour nourrir son algorithme de notation des allocataires est emblématique. Car le DRM est lui-même une pierre angulaire du projet de « solidarité » à la source¹⁷Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2010 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
– sa « première brique » selon les termes du Premier ministre – dont il constitue le socle en termes de centralisation des données financières¹⁸Sénat, commission des affaires sociales, audition de M. Gabriel Attal, alors ministre délégué chargé des comptes publics. Disponible ici.. Or, si sa constitution avait à l’époque soulevé un certain nombre d’inquiétudes¹⁹Voir notamment l’article de Jérôme Hourdeaux « Caisse d’allocations familiales : le projet du gouvernement pour ficher les allocataires » disponible (paywall) ici., le gouvernement s’était voulu rassurant. Nulle question qu’il soit utilisée à des fins de contrôle : ses finalités étaient limitées à la lutte contre le non-recours et au calcul des prestations sociales²⁰Décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux disponible ici. La délibération de la CNIL associée est disponible ici.. Cinq années auront suffit pour que ces promesses soient oubliées.

Nous reviendrons très prochainement sur la solidarité à la source dans un article dédié. Dans le même temps, nous appelons les acteurs associatifs, au premier titre desquels les collectifs de lutte contre la précarité, à la plus grande prudence quant aux promesses du gouvernement et les invitons à engager une discussion collective autour de ces enjeux.

References[+]

References

↑1 Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici.

↑2 Voir l’article « L’État muscle le DRM, l’arme pour lutter contre la fraude et le non-recours aux droits » publié le 01/02/2024 par Emile Marzof et disponible ici.

↑3 Bien que la fréquence de mise à jour des revenus soit majoritairement mensuelle, dans la mesure où les salaires sont versés une fois par mois, nous reprenons ici l’expression utilisée par la Cour des comptes. Voir le chapitre 9 du Rapport sur l’application des lois de financement de la sécurité sociale de 2022 disponible ici.

↑4 Décret n° 2024-50 du 29 janvier 2024 disponible ici. Voir aussi la délibération n° 2023-120 du 16 novembre 2023 de la CNIL ici. Le décret prévoit une expérimentation d’un an. La surveillance des revenus est aussi autorisée pour le contrôle des agriculteurs·rices par les Mutualités Sociales Agricoles et des personnes âgées par la Caisse Nationale d’Assurance Vieillesse.

↑5 Voir lignes 1100 du code de l’algorithme en usage entre 2014 et 2018 disponible ici : pour le calcul des revenus mensuels, la CAF utilise soit les déclarations de revenus trimestrielles (dans le cadre des personnes au RSA/AAH) divisées par 3, soit les revenus annuels divisés par 12. Si nous ne disposons pas de la dernière version de l’algorithme, la logique devrait être la même.

↑6 L’architecture de la base DRM repose sur l’agrégation de deux bases de données. La première est la base des « Déclarations Sociales Nominatives » (DSN) regroupant les déclarations de salaires faites par les employeurs. La seconde, « base des autres revenus » (PASRAU), centralise les prestations sociales monétaires (retraites, APL, allocations familiales, indemnités journalières, AAH, RSA, allocations chômage..). La base DRM est mise à jour quotidiennement et consultable en temps réel. D’un point de vue pratique, il semblerait que le transfert de données de la base DRM à la CAF soit fait mensuellement. La CAF peut aussi accéder à une API pour une consultation du DRM en temps réel. Voir notamment le chapitre 9 du rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici.

↑7 Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2019 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.

↑8 Voir la délibération 2023-120 de la CNIL disponible ici.

↑9 Voir notamment les témoignages collectés par le collectif Changer de Cap, disponibles ici et le rapport de la Défenseure des Droits.

↑10 Les montants d’« indus » récupérés par la CAF dans le cadre des contrôles déclenchés par l’algorithme représentent 0,2% du montant total des prestations versées par la CAF. Voir ce document de la CAF.

↑11 Voir notamment notre article « Stratégies d’infiltration de la surveillance biométrique dans nos vies », disponible ici.

↑12 Voir la délibération n° 2023-120 du 16 novembre 2023 disponible ici.

↑13 Voir nos différents articles sur le sujet ici et l’article de Daniel Buchet, ancien directeur de la maîtrise des risques et de la lutte contre la fraude de la CNAF. 2006. « Du contrôle des risques à la maîtrise des risques », disponible ici.

↑14 Si nous n’avons pas encore la preuve certaine que la CNAV utilise un algorithme de profilage pour le contrôle des personnes à la retraite, la CNIL évoque concernant cette administration dans sa délibération « un traitement de profilage » et « un dispositif correspondant [à l’algorithme de la CNAF] » laissant sous-entendre que c’est le cas.

↑15 Voir aussi l’article de Clément Pouré dans StreetPress, disponible ici, qui pointe par ailleurs les relations du député avec l’extrême-droite.

↑16 Pour reprendre les termes de cet article du Figaro.

↑17 Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2010 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.

↑18 Sénat, commission des affaires sociales, audition de M. Gabriel Attal, alors ministre délégué chargé des comptes publics. Disponible ici.

↑19 Voir notamment l’article de Jérôme Hourdeaux « Caisse d’allocations familiales : le projet du gouvernement pour ficher les allocataires » disponible (paywall) ici.

↑20 Décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux disponible ici. La délibération de la CNIL associée est disponible ici.

Autoblog de la La quadrature du net

VSA : l’Assemblée discute déjà son extension aux transports

Expérimenter pour banaliser et légitimer

Une hypocrisie de plus : légaliser l’illégal

Un Parlement instrumentalisé

QSPTAG #307 — 3 mai 2024

Lancement de notre campagne contre la VSA

Hadopi : la CJUE renonce à protéger l’anonymat en ligne

Soutenir La Quadrature en 2024

Agenda

La Quadrature dans les médias

Contre l’empire de la vidéosurveillance algorithmique, La Quadrature du Net contre-attaque

Le prétexte des Jeux Olympiques

Le pire est à venir

Dénoncer l’hypocrisie ambiante

Nourrir une opposition populaire à la VSA

Surveillance et Hadopi : la justice européenne enterre un peu plus l’anonymat en ligne

QSPTAG #306 — 26 avril 2024

VSA et JO : top départ

La loi SREN aggravée en commission paritaire

Surveillance des militants

Soutenir La Quadrature en 2024

Agenda

La Quadrature dans les médias

Expérimentation de la VSA : les premières autorisations sont tombées

Projet de loi SREN : le Parlement s’accorde pour mettre au pas Internet

Vérification de l’âge : s’isoler plutôt que de se conformer au droit européen

Vous reprendrez bien un peu de censure automatisée ?

Prendre les gens pour des schtroumpfs

Détricoter la loi de 1881 sur la liberté d’expression

Contre la criminalisation et la surveillance des militant·es politiques

QSPTAG #305 — 22 mars 2024

Pour mieux surveiller ses allocataires, La CAF aura dorénavant accès aux revenus des Français en temps réel

Soutenir La Quadrature en 2024

Agenda

La Quadrature dans les médias

Notation des allocataires : la CAF étend sa surveillance à l’analyse des revenus en temps réel

Surveillance et « productivité » des contrôles

La CNIL à la dérive

↑1	Le président de la Seine-Saint-Denis a notamment saisi le Défenseur des Droits suite à la publication du code source de l’algorithme. Notre travail pour obtenir le code source de l’algorithme a par ailleurs servi aux équipes du journal Le Monde et de Lighthouse Reports pour publier une série d’articles ayant eu un grand retentissement médiatique. Une députée EELV a par ailleurs abordé la question de l’algorithme lors des questions au gouvernement. Thomas Piketty a écrit une tribune sur le sujet et ATD Quart Monde un communiqué. Le parti EELV a aussi lancé une pétition sur ce sujet disponible ici.
↑2	Voir l’article « L’État muscle le DRM, l’arme pour lutter contre la fraude et le non-recours aux droits » publié le 01/02/2024 par Emile Marzof et disponible ici.
↑3	Bien que la fréquence de mise à jour des revenus soit majoritairement mensuelle, dans la mesure où les salaires sont versés une fois par mois, nous reprenons ici l’expression utilisée par la Cour des comptes. Voir le chapitre 9 du Rapport sur l’application des lois de financement de la sécurité sociale de 2022 disponible ici.
↑4	Décret n° 2024-50 du 29 janvier 2024 disponible ici. Voir aussi la délibération n° 2023-120 du 16 novembre 2023 de la CNIL ici. Le décret prévoit une expérimentation d’un an. La surveillance des revenus est aussi autorisée pour le contrôle des agriculteurs·rices par les Mutualités Sociales Agricoles et des personnes âgées par la Caisse Nationale d’Assurance Vieillesse.
↑5	Voir lignes 1100 du code de l’algorithme en usage entre 2014 et 2018 disponible ici : pour le calcul des revenus mensuels, la CAF utilise soit les déclarations de revenus trimestrielles (dans le cadre des personnes au RSA/AAH) divisées par 3, soit les revenus annuels divisés par 12. Si nous ne disposons pas de la dernière version de l’algorithme, la logique devrait être la même.
↑6	L’architecture de la base DRM repose sur l’agrégation de deux bases de données. La première est la base des « Déclarations Sociales Nominatives » (DSN) regroupant les déclarations de salaires faites par les employeurs. La seconde, « base des autres revenus » (PASRAU), centralise les prestations sociales monétaires (retraites, APL, allocations familiales, indemnités journalières, AAH, RSA, allocations chômage..). La base DRM est mise à jour quotidiennement et consultable en temps réel. D’un point de vue pratique, il semblerait que le transfert de données de la base DRM à la CAF soit fait mensuellement. La CAF peut aussi accéder à une API pour une consultation du DRM en temps réel. Voir notamment le chapitre 9 du rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici.
↑7	Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2019 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
↑8	Voir la délibération 2023-120 de la CNIL disponible ici.
↑9	Voir notamment les témoignages collectés par le collectif Changer de Cap, disponibles ici et le rapport de la Défenseure des Droits.
↑10	Les montants d’« indus » récupérés par la CAF dans le cadre des contrôles déclenchés par l’algorithme représentent 0,2% du montant total des prestations versées par la CAF. Voir ce document de la CAF.
↑11	Voir notamment notre article « Stratégies d’infiltration de la surveillance biométrique dans nos vies », disponible ici.
↑12	Voir la délibération n° 2023-120 du 16 novembre 2023 disponible ici.
↑13	Voir nos différents articles sur le sujet ici et l’article de Daniel Buchet, ancien directeur de la maîtrise des risques et de la lutte contre la fraude de la CNAF. 2006. « Du contrôle des risques à la maîtrise des risques », disponible ici.
↑14	Si nous n’avons pas encore la preuve certaine que la CNAV utilise un algorithme de profilage pour le contrôle des personnes à la retraite, la CNIL évoque concernant cette administration dans sa délibération « un traitement de profilage » et « un dispositif correspondant [à l’algorithme de la CNAF] » laissant sous-entendre que c’est le cas.
↑15	Voir aussi l’article de Clément Pouré dans StreetPress, disponible ici, qui pointe par ailleurs les relations du député avec l’extrême-droite.
↑16	Pour reprendre les termes de cet article du Figaro.
↑17	Plus précisément, cette base a été créée afin de mettre en place la réforme des APL de 2021 et l’information des assuré·es sociaux (voir la délibération de la CNIL 2019-072 du 23 mai 2010 disponible ici et le décret n° 2019-969 du 18 septembre 2019 disponible ici.) La liste des prestations sociales pour lesquelles le DRM peut être utilisé à des fins de calcul s’est agrandie avec le récent décret permettant son utilisation à des fins de contrôle (voir le décret n°2024-50 du 29 janvier 2024 disponible ici. Il peut désormais, entre autres, être utilisée pour le calcul du RSA, de la PPA – prime d’activité –, des pensions d’invalidités, de la complémentaire santé-solidaire, des pensions de retraite… Il est par ailleurs le pilier de la collecte de données sur les ressources dans le cadre du projet de « solidarité » à la source. Concernant la lutte contre la fraude, son utilisation n’était pas envisagée pour détecter des situations « à risque » même si certaines de ces données pouvaient, a priori, être utilisées notamment lors d’un contrôle par les administrations sociales (consultation RNCPS – répertoire national commun de protection sociale…) via l’exercice du droit de communication. Voir aussi le rapport de la Cour des comptes d’octobre 2022 sur l’application des lois de financement de la sécurité sociale, disponible ici ainsi que le rapport de la Cour des comptes de 2021 sur la mise en place du prélèvement à la source disponible ici.
↑18	Sénat, commission des affaires sociales, audition de M. Gabriel Attal, alors ministre délégué chargé des comptes publics. Disponible ici.
↑19	Voir notamment l’article de Jérôme Hourdeaux « Caisse d’allocations familiales : le projet du gouvernement pour ficher les allocataires » disponible (paywall) ici.
↑20	Décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux disponible ici. La délibération de la CNIL associée est disponible ici.