Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierLa Quadrature du Net

L’algorithme de notation de la CNAF attaqué devant le Conseil d’État par 15 organisations

Par : bastien
16 octobre 2024 à 06:13

En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

Cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé·e est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisé·es dans leurs parcours de vie. En assimilant précarité et soupçon de fraude, cet algorithme participe d’une politique de stigmatisation et de maltraitance institutionnelle des plus défavorisé·es. Les contrôles sont des moments particulièrement difficiles à vivre, générateurs d’une forte charge administrative et d’une grande anxiété. Ils s’accompagnent régulièrement de suspensions du versement des prestations, précédant des demandes de remboursements d’indus non-motivés. Dans les situations les plus graves, des allocataires se retrouvent totalement privé·es de ressources, et ce en toute illégalité. Quant aux voies de recours, elles ne sont pas toujours compréhensibles ni accessibles.

Alors que l’utilisation de tels algorithmes de notation se généralise au sein des organismes sociaux, notre coalition, regroupant des organisations aux horizons divers, vise à construire un front collectif afin de faire interdire ce type de pratiques et d’alerter sur la violence dont sont porteuses les politiques dites de « lutte contre la fraude sociale ».

« Cet algorithme est la traduction d’une politique d’acharnement contre les plus pauvres. Parce que vous êtes précaire, vous serez suspect·e aux yeux de l’algorithme, et donc contrôlé·e. C’est une double peine. » déclare Bastien Le Querrec, juriste à La Quadrature du Net.

Associations requérantes:


Retrouvez l’ensemble de nos travaux sur la numérisation des administrations sociales et la gestion algorithmique des populations sur notre page de campagne France contrôle.

Après les Jeux de Paris, la bataille de la VSA est loin d’être finie

Par : bastien
9 octobre 2024 à 08:06

Les Jeux Olympiques et Paralympiques se sont achevés il y a un mois. Alors que les rues de Marseille ou de Paris et sa banlieue sont encore parsemées de décorations olympiennes désormais désuètes, les promoteurs de la surveillance s’empressent d’utiliser cet événement pour pousser leurs intérêts et légitimer la généralisation des dispositifs de vidéosurveillance algorithmique (VSA). Si nous ne sommes pas surpris, cette opération de communication forcée révèle une fois de plus la stratégie des apôtres de la Technopolice : rendre à tout prix acceptable une technologie dont le fonctionnement reste totalement opaque et dont les dangers sont complètement mis sous silence. Les prochains mois seront cruciaux pour peser dans le débat public et rendre audible et visible le refus populaire de ce projet techno-sécuritaire.

Des algos dans le métro

Comme prévu, la vidéosurveillance algorithmique a été largement déployée pendant les Jeux Olympiques. Il le fallait bien, puisque c’est au nom de ce méga événement sportif qu’a été justifiée l’« expérimentation » de cette technologie d’analyse et de détection des comportements des personnes dans l’espace public. Pour rappel, la loi du 19 mai 2023 relative aux Jeux Olympiques et Paralympiques de 2024 a permis aux préfectures d’autoriser un certain nombres d’acteurs à déployer des logiciels dopés à l’« intelligence artificielle » sur les images des caméras publiques afin de repérer un certain nombre de comportements soi-disant « suspects » et déclencher des alertes auprès des agents de sécurité ou des forces de l’ordre.

Contrairement à ce que le nom de la loi indique, cette capacité de mettre en place une surveillance algorithmique dépasse largement le moment des seuls Jeux Olympiques. Les policiers peuvent ainsi réquisitionner la VSA pour des « manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ». Or, ce critère de « risque » a rapidement été apprécié de façon très large. La VSA a été déployée à l’occasion de concerts, de matchs de foot, de festivals ou encore lors du défilé du 14 juillet. Également, la durée de l’expérimentation dépasse largement celle des seuls Jeux et s’étend jusqu’en mars 2025. La ville de Cannes a ainsi annoncé qu’elle déploiera la VSA à l’occasion de cinq événements à venir : les NRJ Music Awards, le Marathon des Alpes-Maritimes, le marché de Noël, le feu d’artifice du Nouvel An et… le Marché international des professionnels de l’immobilier 2025. On le comprend, il ne s’agit pas tant de prouver un lien avec un risque particulier pour la sécurité que de trouver un prétexte pour tester ces technologies.

Mais revenons aux Jeux et à ce moment de « vraie vie » selon les termes employés par Emmanuel Macron. Que s’y est-il passé ? D’abord, les algorithmes de détection de l’entreprise Wintics ont été déployés dans 46 stations de métros et 11 gares SNCF ou RER. Comme cela avait déjà pu être le cas pour d’autres expérimentations, les stations concernées n’avaient parfois aucun rapport avec les lieux où se déroulaient les épreuves des Jeux. De nouveau, les acteurs de la surveillance tordent le cadre juridique pour le plier à leurs volontés. Aussi, alors que les pouvoirs publics sont tenus d’informer les personnes filmées qu’elles sont transformées en cobayes, ceux-ci se sont contentés du service minimum. Des petites affichettes ont été placardées dans le métro, peu visibles pour les passant⋅es dont le regard était davantage incité à lire une propagande sécuritaire « légèrement » plus grande.

Deux affiches de vidéosurveillance dans une station de métro : en très grand à droite, l'affiche de vidéosurveillance classique, en tout petit à gauche, l'affichette VSA.
En très grand à droite, l’affiche de vidéosurveillance classique, en tout petit à gauche, l’affichette VSA.

Ensuite, la VSA s’est étendue aux images de l’espace public aux alentours de 11 sites des Jeux Olympiques (comme le Stade de France ou la Place de la Concorde). Pour cette surveillance des rues, la préfecture de police n’a publié que le 30 juillet au soir l’autorisation préfectorale nécessaire à cette expérimentation, qui avait pourtant débuté… le 26 juillet. Comme on suivait cela de près, nous avons déposé une plainte auprès la CNIL, et ce afin de la pousser à faire son travail en sanctionnant l’État pour ces quatre jours de surveillance illégale. Les mêmes dispositifs de VSA ont ensuite été renouvelés lors des Jeux Paralympiques pour prendre fin le 9 septembre dernier. Depuis cette date, la course à la promotion de ces outils a repris de plus belle au sein des acteurs du système de surveillance qui n’hésitent pas à jouer des coudes pour imposer leur agenda.

Opération mal masquée

Théoriquement, la loi sur les JO prévoit que cette « expérimentation » de VSA soit soumise à une évaluation par un comité créé pour l’occasion, regroupant expert·es de la société civile, parlementaires et policiers. Ce comité est chargé d’analyser l’efficacité et l’impact de cette technologie selon des critères prévus par décret. Un rapport doit ensuite être remis au Parlement, le 31 décembre 2024 au plus tard. Si nous n’avions déjà que peu d’espoir quant à la capacité pour le comité de travailler de manière indépendante et d’être entendu dans ses conclusions, il n’empêche que celui-ci existe. Le Parlement a en effet choisi de conditionner une éventuelle pérennisation du cadre expérimental de la loi JO à son évaluation. Un garde-fou minimal dont le Conseil constitutionnel a souligné l’importance pour assurer toute éventuelle pérennisation du dispositif, qui serait alors à nouveau soumise à un examen de constitutionnalité.

Cela n’empêche pourtant pas les promoteurs de la VSA de placer leurs pions en communiquant de manière opportuniste afin de faire pression sur le comité d’évaluation et l’ensemble des parlementaires. Ainsi, le 25 septembre dernier, le préfet de police et ancien ministre Laurent Nuñez a ouvert le bal lors d’une audition par les député⋅es de la commission des lois. Sans apporter aucun élément factuel étayant ses dires, sans même faire part des très probables bugs techniques qui ont certainement émaillé le déploiement d’algorithmes de VSA qui pour certains étaient testés pour la première fois à grande échelle, il affirme alors que la VSA aurait d’ores et déjà « démontré son utilité », et appelle à sa prorogation. Et il s’emploie à minimiser les atteintes pour les libertés publiques : le préfet de police assure ainsi qu’il ne s’agirait en aucun cas de surveillance généralisée mais d’une simple aide technique pour trouver des flux anormaux de personnes. Comme si la légalisation des cas d’usage les plus problématiques de la VSA, dont la reconnaissance faciale, n’étaient pas l’un des objectifs des promoteurs de la Technopolice. Même le journal Le Monde s’est inquiété de cette déclaration de Nuñez dans un éditorial dénonçant la technique du « pied dans la porte » utilisée par le préfet.

Ensuite est venu le tour du gouvernement. Dans sa déclaration de politique générale, Michel Barnier a prononcé la phrase suivante, floue au possible : « Le troisième chantier est celui de la sécurité au quotidien : les Français nous demandent d’assurer la sécurité dans chaque territoire. Nous généraliserons la méthode expérimentée pendant les Jeux olympiques et paralympiques. ». À aucun moment le Premier ministre ne précise s’il a en tête la VSA ou la concentration ahurissante de « bleus » dans les rues, ou d’autres aspects du dispositif policier massif déployé cet été. Cela n’a pas empêché France Info de publier un article largement repris dans les médias annonçant, sur la base de cette déclaration, que le gouvernement envisageait de prolonger l’expérimentation de la vidéosurveillance algorithmique. En réalité, il s’agissait d’une « interprétation » venant du ministère de l’Intérieur, pressé d’imposer l’idée d’une pérennisation, quitte à faire fi du cadre légal de l’évaluation (le nouveau ministre Bruno Retailleau ayant bien fait comprendre que le respect du droit n’était pas sa tasse de thé). Résultat de cette opération d’intox de Beauvau : Matignon, soucieux de ne pas froisser le comité, « rectifie » auprès de France Info et affirme que le gouvernement attendra bien le rapport du comité. Bref, des petites phrases et des rétropédalages qui permettent au final au gouvernement de miser sur les deux tableaux : d’un côté, il tente de préempter le débat en imposant d’emblée la perspective d’une pérennisation et, de l’autre, il s’efforce de sauver les apparences, en laissant entendre qu’il suivra scrupuleusement le processus défini dans la loi. Reste qu’à Beauvau et très certainement aussi à Matignon, la pérennisation de la VSA est un objectif partagé. Le désaccord, si désaccord il y a, semblerait plutôt porter sur le tempo des annonces.

Tout ceci nous rappelle une chose : la bataille qui se joue maintenant est celle de l’acceptabilité de la VSA. Il s’agit pour les pouvoirs publics de fabriquer le consentement de la population à une technologie présentée comme évidente et nécessaire, alors qu’elle porte en elle un projet d’accaparement sécuritaire de l’espace public, de discrimination et de contrôle social, portés à la fois par une industrie de la surveillance en croissance et un régime de moins en moins démocratique.

Pour vous informer sur la VSA et vous y opposer, retrouvez notre brochure sur le sujet et d’autres ressources sur notre page de campagne. Et pour soutenir notre travail, n’hésitez pas à faire un don.

Affaire Telegram : des inquiétudes dans un contexte de guerre contre les messageries, les réseaux sociaux et le chiffrement

Par : bastien
3 septembre 2024 à 07:15

Le dirigeant de la plateforme Telegram, Pavel Durov, a été placé en garde à vue il y a une dizaine de jours puis mis en examen mercredi dernier. Le parquet de Paris, qui communique opportunément sur l’affaire depuis le début, met en avant l’absence de modération sur la plateforme pour justifier les poursuites. Au-delà de cette question de modération et sans tomber dans la défense d’un service en ligne peu recommandable, les quelques éléments qu’a bien voulu rendre public le parquet et sa manière de présenter l’affaire interrogent fortement, dans un contexte de mise sous pression de la France et de l’Union européenne des messageries interpersonnelles et des réseaux sociaux.

Une confusion entre messagerie et réseau social entretenue par le parquet

Telegram est à la fois une messagerie personnelle et un réseau social. C’est une messagerie personnelle puisque ses utilisateur·rices peuvent avoir des conversations privées, via des discussions individuelles ou des groupes fermés. En cela, Telegram est similaire, sur le principe, à des SMS ou des messages sur Signal ou Whatsapp. Mais c’est également un réseau social dans la mesure où Telegram offre une fonctionnalité de canaux publics, dans lesquels il est possible de diffuser massivement un contenu, à un nombre très large de personnes qui peuvent s’abonner au canal.

Dans son dernier communiqué de presse sur l’affaire Telegram, le parquet de Paris se borne pourtant à présenter Telegram comme « une application de messagerie instantanée », ce qui laisse penser que la justice ne s’intéresserait qu’aux messages privés. Pourtant, les faits reprochés à la plateforme démontrent que c’est bien l’aspect « réseau social » qui est en cause. Cette confusion est étonnante puisqu’on ne pourra pas reprocher la même chose si les messages sont publics ou s’ils sont privés.

L’absence de modération des contenus publics signalés à Telegram est un problème. Comme le rappelait Access Now en début de semaine dernière, cette critique est faite à Telegram depuis plusieurs années. Mais l’absence de modération reprochée à la plateforme ne peut que concerner des contenus publiquement accessibles, c’est-à-dire ceux publiés sur des canaux publics de Telegram ou des conversations de groupe largement ouvertes. En effet, les intermédiaires techniques comme Telegram bénéficient d’un principe d’irresponsabilité du fait des usages faits par les utilisateur·rices de leur service, irresponsabilité qui ne peut être levée que lorsque la plateforme a été notifiée du caractère illicite d’un contenu qu’elle héberge et qui, malgré cette notification, a décidé de maintenir en ligne ce contenu. Pour que Telegram puisse avoir connaissance que certains messages sont illicites, il faut donc que ces derniers soient publics1Pour faciliter la compréhension du propos, on écartera volontairement le cas très particulier d’un message privé non-sollicité et illicite qui serait notifié par le destinataire : dans ce cas très précis, Telegram devrait également retirer de sa plateforme le contenu. afin de pouvoir être notifiés par des tiers.

Or, la communication du parquet est floue puisqu’elle entretient une confusion entre des messages privés et des messages publics. En lisant ses éléments de langage, on a le sentiment que le parquet reprocherait à Telegram de ne pas modérer les conversations privées. Une telle « modération » de contenus privés ne serait pourtant possible qu’en forçant la plateforme à surveiller de manière généralisée l’ensemble des contenus échangés sur son service, au mépris des principes éthiques et politiques les plus fondamentaux de secret des correspondances et de droit à la vie privée, et qui est explicitement interdit par le droit aujourd’hui.

Une affaire à remettre dans un contexte plus large

Notre crainte d’un parquet qui tenterait de forcer une interprétation du droit allant dans le sens d’une obligation de surveillance des conversations privées est notamment fondée par un contexte français de mise sous pression des messageries et des moyens de communication en général. Dans son dernier communiqué, le parquet reprend le même récit que dans les affaires Encrochat ou SkyECC : des téléphones avec Telegram sont apparus dans des dossiers criminels, ce qui justifierait l’enquête actuelle qui, aujourd’hui, conduit à poursuivre le dirigeant de la plateforme. Or, dans ces affaires Encrochat et SkyECC, la police française n’a pas hésité à compromettre l’intégralité de ces plateformes au motif, décidé au doigt mouillé, qu’elles seraient massivement utilisées par la grande criminalité. Le tri entre ce qui intéresse l’enquête pénale et le reste est fait après avoir décidé de la surveillance de toutes les communications échangées sur ces plateformes. Une telle logique est dangereuse : estimer qu’un service de messagerie pourrait être compromis dans son ensemble parce que la police estime que ses utilisateur·rices sont massivement des criminels est la porte ouverte aux pires abus : une surveillance de masse, décidée sur la base des seules analyses de la police (les affaires Encrochat et SkyECC ont montré que la présence d’un juge d’instruction n’est pas de nature à empêcher ces dérives) alors que n’importe quel service en ligne sera nécessairement utilisé un jour ou l’autre pour des activités illicites. Voici un scoop pour le parquet de Paris : Signal, Whatsapp ou Olvid sont aussi utilisées par des criminels.

La France n’est pas la seule à s’attaquer aux messageries. Depuis 2 ans et demi, la Commission européenne tente de forcer les messageries privées à surveiller automatiquement les conversations de leurs utilisateur·rices, avec son projet de règlement dit « CSAR », également appelé « Chat Control ». Malgré les multiples scandales autour de ce texte, la commissaire européenne Ylva Johansson continue son passage en force alors qu’elle est accusée de faire la promotion de l’industrie de la surveillance et de manipuler l’opinion en faisant de la communication en faveur du CSAR sur les réseaux sociaux grâce au ciblage de certaines personnes en fonction de leurs opinions politiques. Et dans cette bataille, la Commission européenne a réussi à rallier la France à sa position. La légitimité du CSAR est d’autant plus questionnable qu’il existe plétore d’autres moyens pour lutter contre les abus sur enfant que la surveillance des communications : éducation, prévention, réforme des institutions pour accompagner les victimes, …

À côté de cette mise sous pression des messageries, on assiste également en France à une attaque sans précédent contre les réseaux sociaux. Il y a à peine un an, alors que des violences urbaines éclataient suite au meurtre par un policier d’un adolescent en banlieue parisienne, le gouvernement accusait les réseaux sociaux de tous les maux. Emmanuel Macron annonçait qu’il voulait plus de pouvoir entre les mains de la police pour que celle-ci soit autorisée à bloquer l’accès à l’intégralité d’un réseau social en temps de crise, ou a minima pouvoir désactiver certaines fonctionnalités. En plein débat sur la loi SREN, et alors que le rapporteur du texte au Sénat était prêt à offrir ce nouveau pouvoir à la police, le gouvernement s’adonnait alors à un chantage inédit envers les plateformes consistant à brandir la menace d’une plus grande régulation des réseaux sociaux (avec plus de pouvoirs de censure policière) si ces derniers ne collaborent pas volontairement avec le gouvernement pour retirer des contenus. C’est dans ce contexte que Snapchat a admis devant l’Assemblée nationale avoir, suite à une convocation du ministère de l’intérieur, collaboré activement avec la police pour retirer des contenus dont l’illégalité n’était pas flagrante.

Pire encore, au moment des révoltes en Nouvelle-Calédonie en mai dernier, c’est le blocage de tout Tiktok qui a été exigé par le gouvernement à l’opérateur public calédonien qui fournit Internet sur l’archipel. Par une décision non-écrite, dont la justification fluctuait en fonction des commentaires dans la presse, le gouvernement a fini par trouver comme excuse à cette censure le fait que des contenus violents (mais probablement pas illégaux !) étaient diffusés sur Tiktok.

Avec cette affaire Telegram, nous espérons donc que le parquet n’est pas en train de passer à l’étape suivante, à savoir reprocher une complicité de Telegram du fait que des messages privés illicites, dont la plateforme ne pouvait avoir connaissance sans violer le secret des correspondances, auraient été échangés. À défaut d’avoir plus d’informations sur l’affaire, en particulier tant que nous n’en saurons pas plus sur la nature des messages ou des publications qui sont ciblées par le parquet, nous ne pouvons, au regard du contexte dans lequel s’inscrit cette affaire, exclure cette grave hypothèse.

L’affaire Telegram est aussi une attaque contre le chiffrement

L’affaire Telegram ne se résume pas à ces problèmes de modération : le parquet de Paris a précisé que l’affaire concerne également le « refus de communiquer, sur demande des autorités habilitées, les informations ou documents nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Il fait ici référence à l’article L. 871-2 du code de la sécurité intérieure, qui exige des opérateurs et des plateformes qu’elles collaborent avec l’autorité judiciaire en lui transmettant les « informations ou documents qui [lui] sont nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Autrement dit, opérateurs et plateformes doivent divulguer toute information qui permettrait une interception des communications dans le cadre d’une procédure judiciaire. C’est cet article qui, par exemple, oblige un opérateur téléphonique à donner à la police les éléments nécessaires pour mettre sur écoute un de ses clients. Mais la formulation de cette obligation est extrêmement floue, ouvrant la voie à des interprétations très larges2Cette disposition a d’ailleurs servi à couvrir l’accès illégal à des centaines de milliers de données de connexion par les services de renseignement intérieur avant leur légalisation en 2013 (Jean-Jacques Urvoas et Patrice Verchère, Rapport en conclusion des travaux d’une mission d’information sur l’évaluation du cadre juridique applicable aux services de renseignement, Commission des Lois de l’Assemblée nationale, 14 mai 2013, https://www.assemblee-nationale.fr/14/controle/lois/renseignement.asp). : au-delà du cas d’écoutes téléphoniques, elle s’applique également à d’autres formes de communications, et notamment au cas d’écoutes de l’ensemble du trafic Internet d’un internaute.

Pour comprendre quels documents Telegram pourrait divulguer pour qu’une interception judiciaire soit mise en place, il faut comprendre son fonctionnement technique. Lorsqu’un message est transmis via Telegram, les données sont envoyées depuis le téléphone ou l’ordinateur (c’est le « client ») jusqu’aux serveurs de Telegram. Ces messages du client aux serveurs sont chiffrés à l’aide de deux couches. La première couche de chiffrement utilisée est le fait que la connexion entre le client et les serveurs de Telegram est chiffrée par la technologie HTTPS. Puis, les messages entre le client et le serveur sont chiffrés par une deuxième couche de chiffrement, à l’aide d’un protocole maison appelée MTProto3Pour en savoir plus sur le chiffrement de Telegram, voir la synthèse de Matthew Green sur son blog et la présentation technique faite par Telegram. et qui fonctionne de manière assez similaire à HTTPS. Enfin, dans un cas très marginal activable sur demande explicite de l’internaute via la fonction de « message secret » (disponible uniquement pour les discussions individuelles), une fonctionnalité optionnelle de chiffrement de bout-en-bout est utilisée comme troisième couche de chiffrement entre deux clients.

Quels documents ou informations Telegram pourrait-il alors divulguer pour permettre à la justice de procéder à des interceptions ? Rien d’autre que les clés de chiffrement entre ses serveurs et chaque utilisateur·rice utilisées pour les deux premières couches de chiffrement : la clé privée du certificat HTTPS utilisé pour la première couche de chiffrement, et la clé privée du serveur utilisée par la deuxième couche de chiffrement. Lorsque la troisième couche de chiffrement n’est pas utilisée, une compromission des deux premières permet d’accéder aux conversations. Autrement dit, la seule manière pour l’autorité judiciaire de faire des interceptions de communications serait d’obtenir ces clés qui servent à chiffrer toutes les communications vers les serveurs de Telegram, donc d’obtenir de quoi violer le secret de toute correspondance sur Telegram qui ne serait pas également chiffrée par la fonctionnalité optionnelle de « message secret ».

Alors que le refus de communiquer ces informations est lourdement puni de deux ans d’emprisonnement et de 150 000 € d’amende, il semble qu’aucune condamnation n’ait jamais été prononcée (nous n’avons en tout cas trouvé aucune décision par un tribunal), probablement parce que forcer les plateformes à une telle compromission pose de sérieuses questions de conformité à la Constitution, notamment au regard du droit à la vie privée et du droit à la liberté d’expression.

Ici encore, en absence de plus de détails sur l’affaire, nous ne pouvons qu’émettre des hypothèses. Mais notre crainte est fondée sur un contexte d’attaques incessantes contre le chiffrement. Il faut ici rappeler l’affaire du 8-Décembre, dans laquelle La Quadrature s’est largement mobilisée aux côtés de plus de 130 personnes et organisations : le jugement de première instance a retenu, pour caractériser un soi-disant comportement clandestin justifiant une condamnation, le fait que les personnes mises en cause utilisaient des messageries chiffrées. Signalons également les attaques du gouvernement contre la confidentialité des communications : après l’attentat d’Aras, Gérald Darmanin surfait sur ce drame pour exiger l’ajout de portes dérobées dans les messageries, ciblant explicitement « Signal, Whatsapp, Telegram », tout en reconnaissant que le droit ne l’autorisait actuellement pas. Le parquet serait-il en train de forcer une autre interprétation du droit ? Nous le craignons.

De manière toute aussi choquante, le parquet invoque également une vieille obligation de déclarer « la fourniture ou l’importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité », qui exige notamment de mettre à disposition le code source dudit outil à l’ANSSI. Le fait de ne pas procéder à cette déclaration est punie d’un an d’emprisonnement et d’une amende de 15 000 euros. Il s’agit d’un délit archaïque en 2024, qui n’a d’ailleurs jamais été sanctionné à notre connaissance. Et pour cause : réguler ainsi les outils de chiffrement est anachronique, alors que le chiffrement est omniprésent au quotidien. Nouveau scoop pour le parquet : chaque responsable d’un site web sécurisant en HTTPS la connexion des internautes à son service fournit ou importe un « moyen de cryptologie ».

Des questions en suspens et un parquet à la manœuvre communicationnelle

Dans cette affaire, on observe également une communication millimétrée de la part du parquet. Ainsi, dès le lendemain de la garde à vue du dirigeant de Telegram, le parquet faisant fuiter par l’AFP le fait qu’était reproché à Telegram une absence de modération. Alors que, on l’a dit plus haut, l’absence de modération sur les canaux publics de Telegram est effectivement un problème, les « sources proches du dossier » (comprendre : le parquet) passaient sous silence les charges relatives à la fourniture ou l’importation d’un « moyen de cryptologie » sans déclaration et le délit de ne pas divulguer les documents permettant la mise en place d’interceptions judiciaires.

Autre coup de communication étrange du parquet : il semble avoir fait fuiter via Politico des extraits de documents judiciaires qui indiqueraient que « la messagerie a laissé “sans réponse” une demande d’identification d’un de ses utilisateurs dans une enquête de la police française sur des faits de pédopornographie »4Par souci de rigueur, on rappellera que cette fuite pourrait aussi provenir de la défense de Pavel Durov. Mais cela est peu probable compte tenu de la description négative de Telegram faite par cette fuite.. Cette information est, depuis, reprise un peu partout dans la presse. Il est vrai qu’une plateforme comme Telegram est tenue de communiquer, sur demande de la justice, les informations qu’elle détient sur un de ses utilisateur·rices (souvent il s’agit de l’adresse IP associée à un compte). Mais ne pas répondre à une telle réquisition judiciaire n’est sanctionné au maximum que d’une amende de 3750€. Il ne s’agit donc pas de faits qui justifient une garde à vue de 96 heures (ce qui n’est possible que pour des faits de criminalité grave).

On peut supposer qu’il est vrai que Telegram n’a pas répondu à une réquisition judiciaire demandant d’identifier un·e de ses utilisateur·rices ; ce serait cohérent avec la politique d’absence de retrait de contenu de la plateforme. Mais il ne s’agit ici que d’un élément de contexte, et non une incrimination : le communiqué de presse du parquet, qui liste les faits reprochés au dirigeant de Telegram ne fait d’ailleurs pas référence à l’absence de réponse aux réquisitions judiciaires.

Beaucoup de questions restent donc encore sans réponse. En l’absence d’éléments précis sur l’affaire, on ne peut à ce stade faire que des hypothèses. Mais les quelques éléments distillés par le parquet, qui n’est pas neutre dans cette affaire puisqu’il conduit l’enquête, sont préoccupants. Telegram n’est pas une plateforme recommandable : non-sécurisée, centralisée, aux mains d’une entreprise opaque, elle est aux antipodes des valeurs que défend La Quadrature. Mais comme lorsque le réseau social toxique Tiktok a été bloqué en Nouvelle-Calédonie, il s’agit ici de s’opposer à un dévoiement des règles du droit pénal dont les prochaines victimes seront les personnes que nous défendons : les internautes soucieux·ses de protéger leur vie privée, les messageries réellement chiffrées, les réseaux sociaux décentralisés. Alors pour nous permettre de continuer de jouer notre rôle de vigie, vous pouvez nous faire un don.

References[+]

References
1 Pour faciliter la compréhension du propos, on écartera volontairement le cas très particulier d’un message privé non-sollicité et illicite qui serait notifié par le destinataire : dans ce cas très précis, Telegram devrait également retirer de sa plateforme le contenu.
2 Cette disposition a d’ailleurs servi à couvrir l’accès illégal à des centaines de milliers de données de connexion par les services de renseignement intérieur avant leur légalisation en 2013 (Jean-Jacques Urvoas et Patrice Verchère, Rapport en conclusion des travaux d’une mission d’information sur l’évaluation du cadre juridique applicable aux services de renseignement, Commission des Lois de l’Assemblée nationale, 14 mai 2013, https://www.assemblee-nationale.fr/14/controle/lois/renseignement.asp).
3 Pour en savoir plus sur le chiffrement de Telegram, voir la synthèse de Matthew Green sur son blog et la présentation technique faite par Telegram.
4 Par souci de rigueur, on rappellera que cette fuite pourrait aussi provenir de la défense de Pavel Durov. Mais cela est peu probable compte tenu de la description négative de Telegram faite par cette fuite.

Première victoire contre l’audiosurveillance algorithmique devant la justice

Par : bastien
17 juillet 2024 à 08:38

Plus de trois ans après notre recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Une claque pour Orléans et Sensivic

La ville d’Orléans et l’entreprise Sensivic se sont vu rappeler la dure réalité : déployer des micros dans l’espace public pour surveiller la population n’est pas légal. Les allégations de Sensivic d’un soi-disant produit « conforme RGPD » et les élucubrations d’Orléans en défense pour faire croire qu’il ne s’agirait que d’un inoffensif « détecteur de vibrations de l’air » n’auront servi à rien.

Dans son jugement, le tribunal administratif est sévère. Il commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Mais le tribunal administratif va plus loin. Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait sans frémir que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Un avertissement pour la Technopolice

Ce jugement est un avertissement pour les promoteurs de cette surveillance toujours plus débridée de l’espace public. Si la vidéosurveillance algorithmique (VSA) reste la technologie la plus couramment utilisée – illégalement, sauf malheureusement dans le cadre de la loi JO – l’audiosurveillance algorithmique (ASA) n’est pas en reste pour autant. Avant la surveillance à Orléans par Sensivic, on l’a retrouvée à Saint-Étienne grâce à un dispositif d’ASA développé par Serenicity que la CNIL avait lourdement critiqué et fait mettre à l’arrêt.

Avec ce jugement, le tribunal administratif d’Orléans ne déclare pas seulement l’ASA illégale : il estime également qu’un contrat passé entre une commune et une entreprise pour mettre en place ce type de surveillance peut-être attaqué par une association comme La Quadrature. Cet élément est loin d’être un détail procédural, alors que des communes comme Marseille ont pu par le passé échapper au contrôle de légalité de leur surveillance en jouant sur les règles très contraignantes des contentieux des contrats.

La question du couplage de l’ASA à la vidéosurveillance classique

En septembre 2023, la CNIL, que nous avions saisie en parallèle du TA d’Orléans, considérait que cette ASA était illégale dès lors qu’elle était couplée à la vidéosurveillance en raison de la possibilité de « réidentifier » les personnes. Mais elle ajoutait qu’elle ne trouvait plus rien à redire depuis que le dispositif orléanais était découplé de la vidéosurveillance locale. Une analyse que nous avons contestée devant le TA d’Orléans1Voir nos observations d’octobre 2023 et celles de janvier 2024..

Dans son jugement, le tribunal administratif d’Orléans n’a pas explicitement considéré que l’ASA orléanaise ne serait pas un traitement de données si elle n’était plus couplée à la vidéosurveillance. Puisqu’il était saisi de la légalité de la convention entre Sensivic et Orléans, laquelle prévoyait ce couplage, il s’est borné à dire que le dispositif ASA et vidéosurveillance était illégal.

Dans tous les cas, ce point est annexe : l’audiosurveillance algorithmique exige, par nature, d’être couplée avec une source supplémentaire d’information permettant de traiter l’alerte émise. Que ce soit par un couplage avec la vidéosurveillance ou en indiquant à des agent·es de police ou de sécurité de se rendre à l’endroit où l’événement a été détecté, l’ASA visera toujours à déterminer la raison de l’alerte, donc d’identifier les personnes. Elle est donc par nature illégale.

Laisser-faire de l’État face à une technologie manifestement illégale

Impossible toutefois de passer sous silence la lenteur de l’administration (ici, la CNIL) et de la justice devant les dispositifs de surveillance manifestement illégaux de l’industrie sécuritaire. Alors même qu’un dispositif semblable avait été explicitement et très clairement sanctionné à Saint-Étienne en 2019, Sensivic a pu conclure sans difficulté une convention pour installer ses micros dopés à l’intelligence artificielle. Il aura fallu une double saisine de la part de La Quadrature pour mettre un terme à ce projet.

Un tel dossier prouve que l’industrie sécuritaire n’a que faire du droit et de la protection des libertés, qu’elle est prête à tout pour développer son marché et que l’État et le monde des start-ups s’en accommode bien. Comment Sensivic, avec une technologie aussi manifestement illégale, a-t-elle pu récolter 1,6 millions en 2022, dont une partie du fait de la BPI (Banque Publique d’Investissement) ? L’interdiction explicite de ces technologies de surveillance est la seule voie possible et tenable.

Ce jugement reste une victoire sans équivoque. Il annonce, nous l’espérons, d’autres succès dans notre combat juridique contre la Technopolice, notamment à Marseille où notre contestation de la VSA est toujours en cours de jugement devant la cour administrative d’appel. Alors pour nous aider à continuer la lutte, vous pouvez nous faire un don ou vous mobiliser dans votre ville.

References[+]

Blocage de TikTok en Nouvelle-Calédonie : retour sur un fiasco démocratique

Par : bastien
5 juin 2024 à 08:51

Le 23 mai dernier, le Conseil d’État a rejeté le recours en urgence de La Quadrature du Net contre la mesure de blocage de TikTok en Nouvelle-Calédonie. Pour justifier cette décision inique, le juge des référés a affirmé qu’il n’y aurait pas d’urgence à statuer puisque ce blocage serait, selon les dires du gouvernement, bientôt levé. Il aura fallu attendre plus de 24 heures après la levée de l’état d’urgence pour que le réseau social soit de nouveau accessible. Cet épisode marquera un tournant dans la montée autoritaire en France et dans l’échec de nos institutions à l’empêcher.

Les mensonges du Premier ministre

Lorsque nous déposions notre référé mi-mai, nous n’imaginions pas un tel arbitraire. Le Premier ministre a en effet annoncé le blocage de TikTok le 15 mai dernier en même temps qu’il annonçait l’entrée en vigueur de l’état d’urgence sur le territoire de la Nouvelle-Calédonie. Juristes et journalistes estimaient alors que la décision de blocage ne pouvait avoir été prise qu’en application d’une disposition de la loi sur l’état d’urgence qui prévoit la possibilité pour le ministre de l’intérieur de bloquer « tout service de communication au public en ligne provoquant à la commission d’actes de terrorisme ou en faisant l’apologie ». En réalité, la mesure de blocage était justifiée par un autre fondement juridique. Le gouvernement a sciemment gardé le silence dessus, entretenant confusion et opacité pendant que La Quadrature et d’autres associations déposaient leurs recours.

En parallèle, l’exécutif a rapidement distillé dans la presse, dès le 16 mai, un autre élément de langage : le blocage de TikTok serait justifié par une opération d’ingérence étrangère de la part de l’Azerbaïdjan. En réalité, si l’Azerbaïdjan veut tirer bénéfice depuis plusieurs mois des tensions en Nouvelle-Calédonie, aucune opération de désinformation de sa part n’a été lancée sur TikTok. Et ce sont les services du Premier ministre eux-mêmes qui l’ont dit, par une fiche établie par Viginum, un service relevant du Premier ministre chargé d’étudier les opérations d’ingérence étrangère en ligne.

Sur ces deux points, le Premier ministre s’est retrouvé face à sa malhonnêteté et ses mensonges lorsque ses services ont dû justifier la mesure devant la justice. Dans le mémoire envoyé au Conseil d’État, on a ainsi pu découvrir que le fondement juridique de ce blocage n’était non pas l’état d’urgence, mais la « théorie des circonstances exceptionnelles », qui consiste à admettre dans des cas très exceptionnels des dérogations à certaines règles de droit. Admise par les juges il y a une centaine d’années, cette théorie est d’une certaine manière l’ancêtre de l’état d’urgence, mais jurisprudentiel. La loi de 1955, imaginée dans le contexte colonial de la guerre d’Algérie, a ensuite pris le relai avec un cadre précis. Comme cela a été relevé lors de l’audience, c’est la première fois que ces deux régimes d’exception se retrouvent invoqués en même temps. Derrière cette situation juridique inédite, on sent surtout que le gouvernement ne savait pas sur quel pied danser et avait décidé le blocage du réseau social avant d’avoir déterminé sa justification en droit. La presse l’a d’ailleurs confirmé : fin mai, La Lettre révélait que, en coulisses, le gouvernement avait passé un accord avec TikTok pour que la plateforme ne conteste pas en justice la décision de blocage qu’il n’arrivait pas à justifier légalement.

Cependant, cette théorie des « circonstances exceptionnelles » ne permet pas pour autant de sacrifier la liberté d’expression en ligne sur l’autel d’une sacro-sainte sécurité. Devant le Conseil d’État, le Premier ministre a notamment justifié le blocage de TikTok par de soi-disant contenus violents ou incitant à la violence. Le 20 mai, ses services écrivaient ainsi au Conseil d’État que « l’organisation de ces exactions a été largement facilitée par l’utilisation des réseaux sociaux, et particulièrement, du fait des caractéristiques spécifiques, du réseau social “TikTok” ». Mais lorsque le gouvernement fut sommé par le Conseil d’État d’apporter la preuve de ces contenus prétendument problématiques, il n’a produit que des captures d’écran… de contenus légaux. Les exemples choisis pour illustrer le besoin d’une censure n’étaient en réalité que des vidéos dénonçant les violences policières et l’organisation de milices civiles. En somme, des expressions politiques plus ou moins radicales, critiquant la situation, mais en rien des appels à la violence. Les services du Premier ministre ont admis sans peu de scrupules à l’audience que TikTok a été choisi car « le profil des émeutiers correspondait au profil des utilisateurs », c’est-à-dire les jeunes. Sans détour, le gouvernement assumait ainsi vouloir bâillonner la parole et l’expression de la jeunesse kanake alors même que ce qui était dénoncé dans les vidéos incriminées sur le moment s’est révélé être vrai : la presse a révélé ces derniers jours les cas de violences policières, la complicité de la police avec les milices, ou encore une agression raciste d’un policier kanak.

Enfin, le gouvernement a poursuivi dans la malhonnêteté lorsqu’il a assuré au Conseil d’État, dans un mémoire daté du 22 mai, que la mesure de blocage ne durerait pas. Il s’engageait ainsi à mettre fin au blocage lorsque « l’évolution de la situation sur le territoire de Nouvelle-Calédonie permettrait d’envisager une levée de la mesure », laissant même croire que cela pourrait intervenir « avant la lecture de l’ordonnance » (c’est-à-dire avant même la décision du Conseil d’État). En réalité, il aura fallu attendre plus de 24 heures après la levée de l’état d’urgence en Nouvelle-Calédonie pour que TikTok soit de nouveau accessible.

Le Conseil d’État allié du gouvernement

C’est ce dernier mensonge relatif à la levée de l’état d’urgence qui a semblé aider le Conseil d’État à ne pas sanctionner le gouvernement, donc à ne pas lui ordonner de rétablir l’accès à TikTok. En effet, pour que le juge administratif prenne une décision en référé, il faut, avant même de parler de l’illégalité de la situation, justifier d’une urgence à agir. On pourrait se dire que bloquer une plateforme majeure dans les échanges en ligne, sur l’ensemble du territoire de Nouvelle-Calédonie (270 000 habitant·es), pour une durée indéterminée, est une situation suffisamment urgente. C’est notamment ce qui a été défendu par les avocat·es présent·es à l’audience, rappelant l’aspect entièrement inédit d’un tel blocage en France et même dans l’Union européenne. Le Conseil d’État a d’ailleurs été moins exigeant par le passé : en 2020, quand nous lui demandions d’empêcher les drones de la préfecture de police de Paris de voler, ici aussi par un recours en référé, il constatait qu’il y avait bien une urgence à statuer.

Mais pour TikTok, le juge des référés a préféré jouer à chat perché : dans sa décision, il estime que « les requérants n’apportent aucun élément permettant de caractériser l’urgence à l’intervention du juge des référés », et précise, pour affirmer qu’il n’y a pas d’urgence, que « la décision contestée porte sur le blocage d’un seul réseau social sur le territoire de la Nouvelle-Calédonie, l’ensemble des autres réseaux sociaux et moyens de communication, la presse, les télévisions et radios n’étant en rien affectés ». Très belle preuve de l’incompréhension de ce que représente un réseau social aujourd’hui et de comment l’information circule en ligne. Le Conseil d’État oublie notamment que la Cour européenne des droits de l’Homme (CEDH) estime que bloquer l’ensemble d’une plateforme en ligne équivaut à empêcher un journal de paraître ou à un média audiovisuel de diffuser. Ici, nos institutions donnent l’impression de ne pas tenter de comprendre la réalité d’Internet et minimisent de fait l’atteinte qui découle de ce blocage.

Pour enfoncer le clou sur l’absence d’urgence à statuer, le juge des référés termine en reprenant à son compte la promesse malhonnête du gouvernement : « cette mesure de blocage doit prendre fin dans de très brefs délais, le gouvernement s’étant engagé, dans le dernier état de ses écritures, à lever immédiatement la mesure dès que les troubles l’ayant justifiée cesseront ». Il a donc laissé faire, octroyant au gouvernement un pouvoir discrétionnaire sur la date de rétablissement de la plateforme.

Un constat amère peut donc être fait : en France, comme en Russie ou en Turquie, le gouvernement peut bloquer d’un claquement de doigt un réseau social sans que la justice ne soit capable de l’en empêcher. Alors que le Conseil d’État aurait pu faire passer un message fort et exercer son rôle de contre-pouvoir, il est venu au secours du gouvernement en tolérant une atteinte sans précédent et totalement disproportionnée à la liberté d’expression et d’information.

Ne pas laisser faire

Bien que le blocage de TikTok soit levé, le précédent politique et juridique existe désormais. Nous pensons qu’il faut tout faire pour que celui-ci ne se reproduise pas et reste un cas isolé. Que ce soit par la Cour européenne des droits de l’Homme ou par le Comité des droits de l’Homme des Nations Unies, ce type de censure est unanimement condamné. Nous ne pouvons donc pas laisser le Conseil d’État se satisfaire de ce blocage et devons exiger de lui qu’il rappelle le droit et sanctionne le gouvernement.

C’est pourquoi nous avons donc déposé la semaine dernière un recours en excès de pouvoir contre cette décision. Il s’agit de la voie contentieuse classique, mais plus longue, lorsque l’on veut contester une décision administrative. Un tel recours prendra un à deux ans avant d’être jugé et nous espérons que le Conseil d’État sortira de sa torpeur et confirmera que le blocage était illégal. Car pour bloquer TikTok, le gouvernement ne s’est vu opposer aucun obstacle, aucun garde-fou, et n’a jamais eu à justifier sa mesure. La seule opposition à laquelle il a été confronté a été la saisie de la justice par les associations et la société civile. L’échec qui en a résulté est une preuve supplémentaire de la défaillance de plus en plus flagrante des leviers démocratiques.

Depuis de nombreuses années, nous constatons l’effondrement progressif de l’État de droit en France. Nous constatons que la politique toujours plus autoritaire des gouvernements successifs, et notamment ceux d’Emmanuel Macron, ne se voit opposer aucun obstacle institutionnel majeur. Avec le blocage arbitraire de TikTok, une nouvelle étape a été franchie. Nous ne cachons pas notre inquiétude face à ce constat, mais nous continuerons d’agir. Pensez, si vous le pouvez, à nous aider avec un don.

Surveillance et Hadopi : la justice européenne enterre un peu plus l’anonymat en ligne

Par : bastien
30 avril 2024 à 05:42

Dans son arrêt du 30 avril 2024, la Cour de justice de l’Union européenne (CJUE) vient de rendre sa décision concernant la légalité du système de surveillance massif de la Hadopi. Cet arrêt est décevant. La CJUE tempère très fortement sa précédente jurisprudence, au-delà du cas de la Hadopi. En considérant désormais que l’accès aux adresses IP n’est pas sensible, elle admet la possibilité de surveiller massivement Internet.

La Cour de justice de l’Union européenne vient d’autoriser l’accès massif et automatisé à l’adresse IP associée à l’identité civile et au contenu d’une communication. Le tout pour des finalités triviales et sans contrôle préalable par un juge ou par une autorité administrative indépendante.

L’arrêt du 30 avril 2024 est un revirement de jurisprudence. La CJUE vient d’autoriser un accès massif aux adresses IP associées à l’identité civile de l’internaute. Les polices de toute l’Europe, après une décennie de combat où les États ont délibérément choisi de ne pas appliquer les nombreuses décisions précédentes de la CJUE, viennent de l’emporter. C’est une prime à l’abus, un signe très fort lancé aux pays autoritaires : la CJUE admet qu’elle finira par changer sa jurisprudence si ses décisions ne sont pas appliquées. C’est un affaiblissement inquiétant de l’autorité de la Cour face à la pression des États membres.

Alors qu’en 2020, la CJUE considérait que la conservation des adresses IP constitue une ingérence grave dans les droits fondamentaux et que ces dernières ne peuvent faire l’objet d’un accès, associé à l’identité civile de l’internaute, seulement dans des cas de criminalité grave ou d’atteinte à la sécurité nationale, tel n’est aujourd’hui plus le cas. La CJUE renverse son raisonnement : elle estime désormais que la conservation des adresses IP n’est, par défaut, plus une atteinte grave aux libertés fondamentales, et que dans certains cas seulement cet accès porte une ingérence grave qu’il faut entourer de garanties.

Concernant notre affaire et le cas précis de la Hadopi en France, la Cour pousse seulement la Hadopi à évoluer. Elle estime que dans certaines situations « atypiques » l’accès à l’adresse IP et l’identité civile associée à une œuvre culturelle peut créer une ingérence grave dans le droit à la vie privée (on peut penser au cas d’une œuvre permettant de tirer des conclusions relatives aux opinions politiques, à l’orientation sexuelle, etc.) ; elle estime aussi que cet accès porte une ingérence grave en cas de « réitération » et exige dès lors que l’accès aux adresses IP ne puisse pas être « entièrement automatisé ». Mais dans tous les autres cas la CJUE dit bien que la Hadopi peut accéder de manière massive et automatisée à l’identité civile des personnes.

Autrement dit, la riposte graduée (du nom de la procédure suivie par Hadopi qui consiste à envoyer plusieurs avertissements dans les premiers temps, avant de saisir la justice si l’internaute ne « sécurise » pas sa connexion) devra changer de forme. Le législateur devra inventer une machine à gaz pour prévoir un pseudo contrôle externe indépendant de l’accès à l’identité civile par la Hadopi. Alors qu’aujourd’hui il n’existe aucune obligation de contrôle externe de la Hadopi, l’autorité devra désormais prévoir un tel contrôle lorsqu’elle souhaite, dans ces cas « atypiques » ou en cas de « réitération » de l’internaute, accéder à l’identité civile. En somme, des agent·es externes à la Hadopi seront chargé·es de cliquer sur un bouton « autoriser », là où aujourd’hui la Hadopi se l’autorise elle-même.

Plus généralement, cet arrêt de la Cour européenne a surtout validé la fin de l’anonymat en ligne. Alors qu’en 2020 elle précisait qu’il existait un droit à l’anonymat en ligne concrétisé par la directive ePrivacy, elle l’abandonne aujourd’hui. Et pour cause : en permettant à la police d’accéder largement à l’identité civile associée à une adresse IP et au contenu d’une communication, elle met de facto fin à l’anonymat en ligne.

Nous nous attendons désormais à ce que le Conseil d’État sauve la Hadopi, malgré cet arrêt. La Quadrature du Net continuera son combat contre la surveillance en ligne, y compris celle de la Hadopi. Pour nous aider, vous pouvez nous faire un don.

Expérimentation de la VSA : les premières autorisations sont tombées

Par : bastien
17 avril 2024 à 08:25

Les premiers arrêtés préfectoraux autorisant la vidéosurveillance algorithmique (VSA) dans le cadre de la loi JO viennent d’être publiés. La RATP et la SNCF peuvent désormais surveiller automatiquement les personnes à l’occasion du match PSG/OL du 19 au 22 avril et du concert des Black Eyed Peas le 20 avril. La Quadrature du Net s’est mobilisée depuis 2019 contre cette technologie et continue sa bataille. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Déployée en toute illégalité depuis des années et autorisée de façon inédite en Europe avec la loi sur les JOP, la vidéosurveillance algorithmique était dans les starting blocks pour être utilisée pour la première fois par la police. C’est maintenant chose faite.

La préfecture de police de Paris a autorisé ce 17 avril 2024 l’utilisation du logiciel de VSA de la société Wintics par la SNCF et la RATP. La surveillance commencera dès le 19 avril sur 118 caméras de la gare de Lyon et du pont du Garigliano à Paris. Elle concernera également le 20 avril l’ensemble des caméras des stations de métro et de RER des gares de Nanterre Préfecture et de La Défense Grande Arche.

La rumeur d’une autorisation de VSA à l’occasion du match PSG-OL circulait depuis plusieurs semaines puisque la SNCF annonçait depuis quelques temps sur des affiches gare de Lyon avoir obtenu une autorisation de la préfecture de Police. On apprenait sur cette affiche que la SNCF procédait déjà à des « tests » liés à la phase de conception de l’algorithme, où les personnes filmées servent de cobayes pour ajuster les logiciels. Des tests ont aussi été effectués lors de deux concerts de Depeche Mode à Paris. Une autre affiche dans les couloirs du métro parisien indiquait que des expérimentations allaient aussi bientôt être mises en œuvre par la RATP.

Affiche de la SNCF Affiche de la RATP
 

Nous avons développé un outil de recensement des autorisations préfectorales de surveillance, dont l’information fait quasi systématiquement défaut, ce qui empêche les personnes surveillées d’être au courant de ces mesures. Cet outil, dénommé « Attrap’Surveillance » (pour Automate de Traque des Termes de Recherche dans les Arrêtés Préfectoraux), analyse automatiquement les recueils des actes administratifs de chaque préfecture afin d’y repérer les autorisations préfectorales d’utilisation des drones et de VSA. C’est comme cela que nous avons pu apprendre la publication aujourd’hui de la première autorisation formelle d’une utilisation répressive de la VSA à Paris. En publiant aussi tardivement ces arrêtés, le préfet de police tente d’éviter au maximum les recours en justice, qui n’auront probablement pas le temps d’être jugés avant le début de la surveillance algorithmique.

Face à la concrétisation de cette surveillance, aux abus qui se profilent et à la Technopolice qui avance illégalement en parallèle de la loi JO, La Quadrature du Net s’apprête à répliquer. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Projet de loi SREN : le Parlement s’accorde pour mettre au pas Internet

Par : bastien
9 avril 2024 à 09:10

Nous vous parlions l’année dernière du projet de loi SREN (pour « Sécuriser et réguler l’espace numérique »). Il s’agit d’un texte censé réguler les plateformes en ligne, dont nombre de ses mesures ont révélé une vision archaïque d’Internet1Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.. Le 26 mars dernier, député·es et sénateur·rices de la commission mixte paritaire (CMP) se sont accordé·es sur une version commune du texte. Les modifications apportées ne sont pourtant que cosmétiques. Après son vote la semaine dernière par le Sénat, cette version commune doit encore être votée par l’Assemblée nationale demain. Nous appelons cette dernière à le rejeter.

Vérification de l’âge : s’isoler plutôt que de se conformer au droit européen

Si le projet de loi SREN met autant de temps à être voté, c’est que la France mène depuis plusieurs mois un bras de fer avec la Commission européenne. Normalement, la régulation des plateformes en ligne se décide au niveau de l’ensemble de l’Union européenne. Pourtant, avec ce texte, le gouvernement français a décidé de n’en faire qu’à sa tête. En voulant forcer les plateformes hébergeant du contenu pornographique à vérifier l’âge des internautes, mesure inutile qui n’empêchera pas les mineur·es d’accéder à ces contenus, la France souhaite ainsi s’affranchir des règles européennes qui s’imposent normalement à elle.

La Commission européenne n’a évidemment pas vu cela d’un bon œil. Elle a donc actionné les pouvoirs qui lui sont octroyés dans ce genre de situations, et a bloqué le texte à deux reprises, arguant que le projet de loi SREN empiétait sur le droit de l’Union.

La parade trouvée par la CMP consiste à restreindre l’obligation de vérification de l’âge des internautes aux seules plateformes établies « en France ou hors de l’Union européenne ». Autrement dit, puisque les plateformes européennes ne sont plus concernées par cette vérification d’âge, cette mesure ne rentre plus dans le champ du droit européen, et la Commission européenne n’a plus rien à dire ! Stupide, mais habile formalisme.

La France décide ainsi de s’isoler du reste de l’Union : les plateformes françaises ou non-européennes devront faire cette vérification d’âge, alors que les plateformes européennes en seront épargnées. On félicitera l’audace de la parade : alors qu’habituellement, pour refuser les régulations sur les sujets numériques, le gouvernement français est le premier à brandir la concurrence des États sur Internet et le risque que les acteurs français s’enfuient à l’étranger en cas de « sur-régulation » (argument brandi par exemple pour détricoter le règlement IA ou supprimer l’interopérabilité des réseaux sociaux), il semble ici s’accommoder précisément de ce qu’il dénonce, puisque les plateformes françaises seront pénalisées par rapport à celles situées dans le reste de l’UE. Tout ça pour garder la face.

Ce tour de passe-passe politique ne doit néanmoins pas masquer la réalité de cette vérification d’âge. Au-delà d’une question d’articulation avec le droit de l’Union européenne, cette mesure, comme nous le dénonçons depuis le début, mettra fin à toute possibilité d’anonymat en ligne, notamment sur les réseaux sociaux (voir notre analyse et celle d’Act Up-Paris sur la question de la vérification de l’âge).

Vous reprendrez bien un peu de censure automatisée ?

Le texte final de ce projet de loi prévoit d’étendre la censure automatisée. Ses articles 3 et 3 bis A prévoient une obligation de censure en 24 heures des contenus, respectivement d’abus sexuels sur enfants et de représentation d’actes de torture et de barbarie. Le mécanisme est un calque de la censure automatisée des contenus à caractère terroriste : une notification de la police, une obligation de censure en 24h sous peine de fortes amendes et de plusieurs années de prison, un contrôle par la justice qui n’est pas obligatoire puisque le juge doit être saisi une fois la censure effective par l’hébergeur des contenus et non par la police.

La Quadrature du Net, tout comme de nombreuses autres organisations, dénoncent depuis des années le fait que ce système de censure administrative en très peu de temps aura comme conséquence une automatisation de la censure : face aux sanctions monstrueuses en cas de non-retrait, et alors que les hébergeurs n’ont que très peu de temps pour agir, ils seront nécessairement poussés à ne pas contester la police et à censurer les contenus qu’on leur demande de retirer. C’est d’ailleurs exactement ce mécanisme qu’avait censuré le Conseil constitutionnel en 2020 avec la loi Avia, et qu’avec cinq autres associations nous dénonçons devant la justice à propos du règlement européen de censure terroriste.

Et le prétexte de la lutte contre les abus sexuels sur mineur·es ou la lutte contre les actes de torture ou de barbarie ne peut justifier ces censures. Tout comme le projet de règlement européen CSAR (pour « Child sexual abuse regulation », aussi appelé « Chat Control »), le projet de loi SREN ne résoudra pas le problème des abus sexuels sur mineur·es ni des actes de torture en censurant ces contenus. Une autre politique, ambitieuse, pour lutter contre les réseaux et trafiquants, est pour cela nécessaire.

Prendre les gens pour des schtroumpfs

Les débats sur ce projet de loi auront, une fois de plus, démontré la piètre qualité des débats parlementaires lorsqu’il s’agit de numérique2Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.. Les débats autour du filtre « anti-arnaque » ou de la peine de bannissement ont été particulièrement révélateurs de la manière dont le gouvernement voit les internautes : comme des incapables à qui il faudrait montrer la voie, quitte à mentir.

Le filtre anti-arnaque n’a pas été substantiellement modifié en CMP et la vision paternaliste que nous dénoncions (voir notre analyse) est toujours présente en l’état actuel du texte. Ce filtre fait le constat de l’inefficacité des listes anti-hameçonnages qu’utilisent les principaux navigateurs mais, au lieu de fournir une liste anti-hameçonnage complémentaire, de qualité et transparente, le gouvernement préfère forcer la main des navigateurs en leur imposant de censurer les contenus et de devenir des auxiliaires de police.

Main sur le cœur, le gouvernement nous promet toutefois que seuls les contenus d’hameçonnage seront concernés par ce nouveau dispositif de censure que devront implémenter les navigateurs. N’ayons aucune crainte, cette nouvelle manière de censurer ne sera jamais étendue à tout le reste ! Difficile, en réalité, de croire un gouvernement d’Emmanuel Macron alors que ce dernier a clairement adopté depuis son arrivée à l’Élysée une politique de remise en cause drastique des libertés fondamentales (voir notre récapitulatif en 2022 pour son premier mandat).

Et difficile de croire un gouvernement dont le ministre Jean-Noël Barrot, lorsqu’il était chargé de défendre ce texte avant d’être débarqué des affaires numériques, n’hésitait pas à raconter n’importe quoi pour mieux faire passer la pilule. Car la peine de bannissement de réseaux sociaux, prévue à l’article 5 du projet de loi, nécessite que les plateformes connaissent l’identité des personnes ouvrant un compte (et ce afin d’empêcher que les personnes bannies ne reviennent sur la plateforme). Or, questionné sur France Culture à propos des atteintes à l’anonymat en ligne qu’implique cette mesure, le ministre Barrot a préféré mentir plutôt que d’admettre le problème. Il a affirmé que le projet de loi ne prévoyait qu’« une obligation de moyens [d’empêcher un·e internaute banni·e de se refaire un compte] mais qui n’est pas sanctionnée par une amende ». Sauf que c’est totalement faux : un réseau social qui n’aurait pas empêché un·e internaute banni·e de se refaire un compte risquera jusqu’à 75 000 € d’amende par compte recréé. Et ce point n’a pas évolué lors des débats parlementaires.

Détricoter la loi de 1881 sur la liberté d’expression

Le texte final comporte une grande nouveauté : le délit d’outrage en ligne a été réintroduit par la CMP. Cette disposition, initialement introduite par le Sénat puis supprimée par l’Assemblée nationale car jugée trop dangereuse, consiste à faire des abus d’expression en ligne une circonstance aggravante par rapport aux cas où ils seraient commis hors ligne. Concrètement, le projet de loi SREN sanctionne de 3 750 euros d’amende et d’un an d’emprisonnement le fait de « diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante ».

Il s’agit donc d’un délit extrêmement large puisque la notion de « situation intimidante, hostile ou offensante » n’est nullement définie légalement et sera la porte ouverte aux interprétations larges. De plus, la possibilité de sanctionner ce délit par une amende forfaitaire rajoute des possibilités d’abus, ce que dénoncent déjà des avocat·es et la Défenseure des droits. Mais ce délit peut également être sanctionné par une peine de bannissement.

Surtout, ce délit d’outrage en ligne déroge à la loi de 1881. Cette loi est le socle qui régit aujourd’hui les abus d’expression, y compris en ligne : elle prévoit des mécanismes qui évitent les abus (délais de prescription courts, procédures particulières, etc.). Exit ces garde-fous : en introduisant ce délit d’outrage en ligne dans le code pénal et non dans la loi de 1881, le législateur concrétise une longue envie de la droite autoritaire de détricoter cette loi. Pourquoi, pourtant, faudrait-il abandonner les protections de la loi de 1881 pour le simple fait que ce serait en ligne, alors que la presse papier ou la télévision sont souvent des déversoirs de haine ?

Le projet de loi SREN n’a donc pas fondamentalement évolué. Il s’agit toujours d’un texte fondé sur un mode de régulation d’Internet à la fois vertical et brutal, qui ne peut mener qu’à une impasse et une restriction des libertés. Comme si l’État ne savait pas réguler un média autrement sur ce modèle autoritaire. Les autres modèles de régulation, notamment l’obligation d’interopérabilité des réseaux sociaux, ont été sèchement rejetés par le pouvoir. Le résultat de ce refus de voir ce qu’est Internet est un texte inadapté, dangereux pour les droits fondamentaux et l’expression libre en ligne, et qui ne résoudra aucunement les problèmes auxquels il prétend s’attaquer. L’Assemblée nationale doit donc rejeter ce projet de loi. Et pour nous aider à continuer la lutte, vous pouvez nous faire un don.

References[+]

References
1 Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.
2 Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.

Une coalition de 6 organisations attaque en justice le dangereux règlement de l’UE sur les contenus terroristes

Par : bastien
9 novembre 2023 à 06:15

Le 8 novembre 2023, une coalition de six organisations – La Quadrature du Net (LQDN), Access Now, ARTICLE 19, European Center for Not-for-Profit Law (ECNL), European Digital Rights (EDRi) et Wikimedia France – a déposé un recours devant la plus haute juridiction administrative française, le Conseil d’État, contre le décret français adaptant le règlement européen relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne (également connu sous le nom de « TERREG »).

Elles demandent au Conseil d’État de saisir la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle sur la validité du TERREG au regard des droits fondamentaux protégés par le droit de l’UE.

Ce règlement permet aux forces de police d’un pays de l’UE d’ordonner à un site web, à un réseau social ou à tout fournisseur de services en ligne hébergeant des contenus créés par les utilisateurs de bloquer, dans un délai d’une heure, tout contenu supposé être à caractère terroriste – et cela dans tous les États membres de l’UE. Ces fournisseurs de services peuvent également être contraints de mettre en œuvre des « mesures spécifiques » pour prévenir la publication de contenus terroristes. Ces « mesures spécifiques » – dont la nature reste à la discrétion des fournisseurs de services – peuvent inclure, par exemple, des dispositifs de filtrage automatisé, afin d’analyser l’ensemble des contenus avant leur publication. Ces systèmes automatisés sont incapables de prendre en compte le contexte de la publication et sont notoirement prédisposés à commettre des erreurs, entraînant la censure de contenus protégés tels que le travail de journalistes, la satire, l’art ou les contenus documentant les violations des droits humains. En outre, l’obligation d’adopter des « mesures spécifiques » peut violer l’interdiction d’imposer une obligation générale de surveillance en vertu du règlement sur les services numériques (Digital Services Act, ou DSA).

Depuis que la proposition législative a été publiée par la Commission européenne en 2018, les organisations de la société civile parties au litige – comme beaucoup d’autresont dénoncé le risque de violation des droits fondamentaux qu’implique le TERREG. Bien que la lutte contre le terrorisme soit un objectif important, le TERREG menace la liberté d’expression et l’accès à l’information sur internet en donnant aux forces de l’ordre le pouvoir de décider de ce qui peut être dit en ligne, sans contrôle judiciaire indépendant préalable. Le risque d’excès et d’abus des forces de l’ordre en matière de suppression de contenu a été largement décrit, et augmentera inévitablement avec ce règlement. Cette législation renforce également l’hégémonie des plus grandes plateformes en ligne, car seules quelques plateformes sont actuellement en mesure de respecter les obligations prévues par le TERREG.

« La question de la modération des contenus en ligne est grave et la réponse ne peut être une censure policière technosolutionniste, simpliste mais dangereuse », déclare Bastien Le Querrec, juriste à La Quadrature du Net, l’ONG cheffe de file de la coalition.

La défense de l’affaire par le gouvernement français est attendue pour les prochains mois. La décision du Conseil d’État n’est pas attendue avant l’année prochaine.

La Quadrature du Net (LQDN) promeut et défend les libertés fondamentales dans le monde numérique. Par ses activités de plaidoyer et de contentieux, elle lutte contre la censure et la surveillance, s’interroge sur la manière dont le monde numérique et la société s’influencent mutuellement et œuvre en faveur d’un internet libre, décentralisé et émancipateur.

Le European Center for Not-for-Profit Law (ECNL) est une organisation non-gouvernementale qui œuvre à la création d’environnements juridiques et politiques permettant aux individus, aux mouvements et aux organisations d’exercer et de protéger leurs libertés civiques.

Access Now défend et améliore les droits numériques des personnes et des communautés à risque. L’organisation défend une vision de la technologie compatible avec les droits fondamentaux, y compris la liberté d’expression en ligne.

European Digital Rights (EDRi) est le plus grand réseau européen d’ONG, d’expert·es, de militant·es et d’universitaires travaillant à la défense et à la progression des droits humains à l’ère du numérique sur l’ensemble du continent.

ARTICLE 19 œuvre pour un monde où tous les individus, où qu’ils soient, peuvent s’exprimer librement et s’engager activement dans la vie publique sans crainte de discrimination, en travaillant sur deux libertés étroitement liées : la liberté de s’exprimer et la liberté de savoir.

Wikimédia France est la branche française du mouvement Wikimédia. Elle promeut le libre partage de la connaissance, notamment à travers les projets Wikimédia, comme l’encyclopédie en ligne Wikipédia, et contribue à la défense de la liberté d’expression, notamment en ligne.

Projet de loi SREN et filtre « anti-arnaque » : les navigateurs comme auxiliaires de police

Par : bastien
5 octobre 2023 à 11:37

Le projet de loi visant à sécuriser et réguler l’espace numérique (« SREN », parfois appelé projet de loi « Espace numérique »), qui est actuellement débattu en hémicycle à l’Assemblée nationale, comporte un article 6 qui crée une nouvelle excuse pour imposer un mécanisme de censure administrative : la protection contre les « arnaques » en ligne. Cet article ne se contente pas de créer un nouveau prétexte pour faire retirer un contenu : pour la première fois, il exige également que les fournisseurs de navigateurs Internet participent activement à cette censure.

L’article 6 du projet de loi SREN prévoit en effet d’obliger les navigateurs Internet à censurer les sites qui proposeraient des « arnaques ». Cette censure administrative se ferait sur demande de la police (c’est-à-dire sans passer par un juge) si celle-ci estime qu’un contenu en ligne constitue une « arnaque ». Il faut entendre par « arnaque » les contenus qui usurperaient l’identité d’une personne, collecteraient de manière illicite des données personnelles, exploiteraient des failles de sécurité pour s’introduire dans le terminal de l’internaute ou tenteraient de tromper l’internaute par une fausse page de paiement ou de connexion (phishing, ou hameçonnage). Pour comprendre ce texte, présentons d’abord comment la censure se passe aujourd’hui en France.

La faible efficacité de la censure par DNS

Aujourd’hui, lorsqu’une censure d’un site est demandée, soit par un juge, soit par la police, elle passe par un blocage DNS. Pour simplifier, le DNS est le système qui traduit un nom de domaine en une adresse IP (par exemple www.laquadrature.net correspond à l’adresse IP 185.34.33.4). Quand un internaute veut consulter un site Internet, son périphérique interroge un service appelé « serveur DNS » qui effectue cette traduction. Chaque fournisseur d’accès Internet (FAI) fournit des serveurs DNS, de manière transparente pour l’abonné·e, qui n’a pas besoin de configurer quoi que ce soit : les serveurs DNS du FAI sont paramétrés par défaut.

Les injonctions de censure jouent aujourd’hui sur ce paramétrage par défaut : les FAI soumis à une obligation de censurer un site font mentir leur service DNS. Ainsi, au lieu de retourner à l’internaute la bonne adresse IP, le serveur DNS du FAI répondra qu’il ne connaît pas l’adresse IP du site censuré demandé, ou répondra par une adresse IP autre que celle du site censuré (par exemple pour rediriger l’internaute vers les serveurs du ministère de l’intérieur, comme c’est le cas avec la censure des sites terroristes ou des sites pédopornographiques).

La censure par DNS menteur a deux problèmes majeurs. Premièrement, elle est facilement contournable : il suffit à l’internaute de changer de serveur DNS. L’internaute peut même, lorsque sa box Internet le permet, paramétrer des serveurs DNS différents de ceux de son FAI, pour ne pas avoir à faire ce changement sur chaque périphérique connecté à son réseau. Deuxièmement, cette censure n’est pas précise : c’est tout le nom de domaine qui est bloqué. Il n’est ainsi pas possible de bloquer une page web seule. Si un FAI voulait bloquer avec un DNS menteur l’article que vous êtes en train de lire, il bloquerait aussi tous les autres articles sur www.laquadrature.net.

Lorsque le principe de la censure sur Internet a été introduit en droit, les législateurs dans le monde ont tâtonné pour trouver un moyen de la rendre effective. Différentes techniques ont été expérimentées avec la censure par DNS, et toutes posaient de sérieux problèmes (voir notamment l’article de Benjamin Bayart sur le site du FAI associatif French Data Network). Finalement, la censure par DNS menteur, lorsqu’elle ne consiste pas à renvoyer vers les serveurs d’un ministère1Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée., a l’avantage de ne poser que peu de restrictions aux libertés fondamentales. Et le status quo aujourd’hui est de préférer cette technique de censure peu efficace à d’autres qui poseraient des problèmes techniques ou conduiraient à devoir surveiller tout le trafic.

En France, on n’a pas de pétrole, mais on a des idées

C’est là que le gouvernement français innove avec son idée de censure par les navigateurs Internet. L’article 6 du projet de loi SREN vise à obliger les navigateurs à censurer des sites qui auraient été notifiés par la police parce qu’ils proposeraient des « arnaques ». Pour cela, le gouvernement compte sur une technologie déjà présente dans les principaux navigateurs : les filtres anti-phishing.

Aujourd’hui, les principaux navigateurs protègent leurs internautes en comparant les URL des sites visités avec une liste d’URL connues pour être dangereuses (par exemple, si le site héberge des applications malveillantes ou un faux formulaire de connexion pour tenter de voler des identifiants). Il existe différentes listes d’URL dangereuses, notamment Google Safe Browsing (notamment utilisée par Firefox) ou Microsoft Defender SmartScreen (utilisée par Edge) : le navigateur, à partir d’une copie locale de cette liste, va vérifier que l’internaute n’est pas en train de naviguer vers une URL marquée comme dangereuse. Et si c’est le cas, un message d’avertissement est affiché2Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration..

Mais cette censure n’est pas obligatoire : l’internaute peut passer outre l’avertissement pour un site et il peut désactiver totalement cette censure dans les paramètres de son navigateur. Celle-ci est également transparente : les listes d’URL bloquées sont téléchargées localement, c’est-à-dire qu’elle sont intégralement connues par l’ensemble des internautes (voir, pour Firefox, l’explication du fonctionnement sur le site de Mozilla).

Or, avec ce projet de loi SREN, le législateur entend s’inspirer de ces filtres, mais en changeant leur esprit. Les navigateurs devront obligatoirement intégrer un mécanisme de censure des sites d’« arnaques » et, même si l’internaute pourra passer outre un avertissement, ce mécanisme ne pourra pas être désactivé dans son ensemble.

Certes, le gouvernement voulait initialement aller plus loin : dans la version du texte présentée en juillet au Sénat, il n’était pas question de laisser la possibilité à l’internaute de contourner un blocage. Exit le bouton « J’ai compris » : si la police avait décidé qu’une URL était dangereuse, il n’était pas envisagé que vous puissiez accéder à cette adresse. En commission spéciale à l’Assemblée nationale, des député·es ont modifié le texte issu des travaux du Sénat pour ajouter la possibilité de contourner un blocage exigé d’un navigateur. Leur élément de langage était tout trouvé : ne parlez plus de « censure », il ne s’agit désormais que de « filtrage ». Bon, peut-être n’avaient-ils pas ouvert un dictionnaire : « Filtrage, n.m. […] Censure des informations jugées non conformes à la loi ou aux bonnes mœurs » nous rappelle le Wiktionnaire.

Malgré cette maigre atténuation des dangers de cette censure par rapport à la version du Sénat, le principe de cet article 6 n’a pas été remis en cause par les député·es en commission spéciale : les navigateurs devront toujours, en l’état actuel du projet de loi, censurer les URL notifiées par la police.

Un texte flou qui sapera la confiance dans les navigateurs

Ce nouveau mécanisme de blocage comporte énormément de parts d’ombre. Par exemple, le texte ne précise pas comment les navigateurs devront l’intégrer. Le décret d’application que devra adopter le gouvernement pour préciser la loi pourrait très bien, en raison du flou de la rédaction actuelle, exiger l’utilisation d’une sorte de boîte noire non-libre pour faire cette censure. Cela aurait comme conséquence que les navigateurs Internet aujourd’hui libres, comme Firefox, ne le seraient plus réellement puisqu’ils intégreraient cette brique non-libre du gouvernement.

Par ailleurs, le projet de loi est également flou sur la question de la transparence des URL bloquées. En l’état actuel du texte, les URL censurées ne doivent être rendues publiques que 72h après une injonction de censure. Autrement dit, la police pourrait exiger des navigateurs qu’ils ne dévoilent pas aux internautes quelles URL sont censurées. Dès lors, à défaut de ne pouvoir embarquer la liste complète des URL bloquées, les navigateurs devraient interroger la police (ou un tiers agissant pour son compte) à chaque fois qu’une page web serait demandée par l’internaute pour vérifier si celle-ci n’est pas soumise à une injonction de blocage. Ce faisant, la police (ou ce tiers) connaîtrait l’intégralité de la navigation Internet de tout internaute.

Au-delà du flou entretenu sur cet article 6, les navigateurs deviendront, avec ce texte, des auxiliaires de police. Ils devront opérer pour le compte de la police cette censure. Ils devront assumer à la place de l’État les cas de surcensure qui, vu la quantité de contenus à traiter, arriveront nécessairement3Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.. Ils devront engager leur crédibilité lorsque des abus seront commis par la police. Alors que ce filtre anti-arnaque voulait redonner confiance aux internautes lorsqu’ils ou elles naviguent en ligne, c’est bien l’inverse qui se produira : le gouvernement retourne les navigateurs contre leurs utilisateur·rices, en imposant à ces dernier·es des censures possiblement injustifiées et potentiellement arbitraires. Comment, dans ce cas, faire confiance à un navigateur dont le comportement est en partie dicté par la police ?

Et c’est sans parler de cet effet cliquet qui se met en place à chaque nouvelle mesure sécuritaire. Il est impossible de revenir sur de nouvelles formes de contrôle par l’État : initialement présentées comme limitées, elles finissent inévitablement par être étendues. Avec son texte, le gouvernement envoie un signal fort à sa police et aux autres administrations : une fois l’État capable de faire bloquer sans juge les « arnaques » par les navigateurs, tout le monde pourra avoir sa part du gâteau de la censure par navigateur. Demain, la police voudra-t-elle faire censurer les discours politiques ou d’actions écologistes sous prétexte de lutte contre le terrorisme ? Les parlementaires voudront-ils faire bloquer des contenus haineux comme au temps de la loi Avia ? L’Arcom, qui a récupéré les pouvoirs de l’Hadopi en matière de droit d’auteur, voudra-telle bloquer les sites de streaming ?

Prendre les internautes pour des enfants incapables

Une fois encore, la CNIL est brandie en garde-fou qui permettrait de neutraliser et faire oublier tous les dangers de ce texte. Le projet de loi prévoit ainsi qu’une « personnalité qualifiée » de la CNIL sera notifiée des URL censurées et pourra enjoindre à la police de cesser un blocage abusif.

Or, ce « garde-fou » n’est pas sans rappeler celui, similaire et totalement défaillant, que l’on retrouve en matière de censure des sites terroristes ou pédopornographiques : lorsque la police veut faire censurer un contenu à caractère terroriste ou pédopornographique, une personnalité qualifiée de l’Arcom est chargée de vérifier que la demande est bien légitime. Avant l’Arcom, c’était à une personnalité qualifiée de la CNIL, Alexandre Linden, que revenait cette tâche. En 2018, il dénonçait le manque de moyens humains à sa disposition, ce qui a conduit à l’impossibilité de contrôler l’ensemble des demandes de censure. En 2019, il réitérait son appel et rappelait que les moyens nécessaires à son contrôle n’étaient toujours pas là. En 2020, il alertait sur les obstacles techniques mis en place par le ministère de l’intérieur.

Avec la censure des contenus terroristes ou pédopornographiques, ce sont déjà près de 160 000 contenus qui ont été vérifiés en 2022. Or, ce filtre « anti-arnaque » opèrerait un changement d’échelle : avec environ 1000 nouvelles menaces quotidiennes, il faudrait deux à trois fois plus de vérifications. Autant dire qu’il est illusoire de compter sur un tel garde-fou. Pire ! La police n’aura pas à motiver ses décisions de blocage lorsqu’une « mesure conservatoire » est prise, c’est-à-dire dans les cinq jours suivants la détection de l’arnaque, lorsque la police attend l’explication du site concerné. La personnalité qualifiée devra donc vérifier la véracité des « mesures conservatoires » sans connaître la raison pour laquelle la police a ordonné la censure.

En quoi la protection des internautes justifie-t-elle d’imposer une censure qu’ils ou elles ne pourront que contourner au cas par cas avec un message dont l’objectif est de dissuader de continuer ? Le gouvernement adopte une nouvelle fois une posture paternaliste auprès des internautes qui, pour leur bien, devraient accepter d’être pris·es par la main et de se voir imposer des mesures coercitives.

Reconnaissons un point : ce filtre « anti-arnaques » part d’une bonne intention. Mais l’imposer comme le fait l’article 6 du projet de loi SREN est un non-sens. Ce filtre aurait sa place dans un ensemble de mesures facultatives, mais qui ne relèvent pas de la loi : si le gouvernement est persuadé qu’il peut proposer un filtre « anti-arnaques » complet, fiable et à jour, pourquoi ne confie-t-il pas à la police le soin de maintenir une liste anti-phishing concurrente à celles de Google ou Microsoft ? Si ce filtre est de qualité, les navigateurs seront incités à l’intégrer, de leur plein gré et en laissant la liberté à l’internaute de le désactiver. Non, au contraire, le législateur préfère imposer sa solution, persuadé d’avoir raison et que forcer la main des navigateurs et des internautes serait une bonne chose. Et tant pis si cette censure ne sert à rien puisque, comme pour la censure des sites pornographique, les origines du problème ne sont pas abordées : rien n’est prévu dans ce projet de loi pour éduquer les citoyen·nes aux risques sur Internet, aucun nouveau moyen pour la CNIL ou l’ANSSI et son service cybermalveillance.gouv.fr n’est envisagé.

La vision paternaliste qui se dégage de ce filtre « anti-arnaque » montre bien la philosophie de l’ensemble de ce projet de loi : réguler Internet par l’excès d’autorité. Taper du poing sur la table, montrer que le gouvernement agit même si cela est parfaitement inefficace, et finalement sacrifier les libertés fondamentales sur l’autel du marketing politique en se ménageant de nouveaux moyens de surveillance et de censure. Le législateur ne doit pas tomber dans le piège, tendu par la commission spéciale, d’un « filtrage » qui serait acceptable : ce texte prévoit bel et bien une censure administrative par les navigateurs inacceptable en elle-même. Il est donc fondamental que cet article 6 et, au-delà, l’ensemble du projet de loi soient rejetés. Alors pour nous aider à continuer à défendre un Internet libre, vous pouvez nous faire un don !

References[+]

References
1 Lorsque les serveurs DNS d’un FAI répondent par une adresse IP qui n’appartient pas au site demandé mais à un tiers, ce tiers, qui recevra le trafic ainsi redirigé, sera capable de savoir quels sites censurés un·e abonné·e a voulu consulter. Ainsi, lorsqu’un serveur DNS répond par une adresse IP du ministère de l’intérieur lorsqu’on lui demande un site terroriste ou pédopornographique censuré (dans le but d’afficher le message d’avertissement du gouvernement), le ministère de l’intérieur sait que tel·le abonné·e a voulu accéder à tel site censuré. Qu’un gouvernement puisse connaître les détails d’une partie de la navigation d’un·e internaute pose d’évidents problèmes de vie privée.
2 Vous pouvez tester vous-même dans Firefox avec cette adresse de test de Mozilla. Rassurez-vous, le site en question n’est pas dangereux, il ne s’agit que d’une démonstration.
3 Cette surcensure arrive déjà aujourd’hui avec les filtres anti-phishing intégrés par défaut. Cela s’est par exemple produit avec des instances Mastodon.

Projet de loi SREN et accès au porno : identifier les internautes ne résoudra rien

Par : bastien
19 septembre 2023 à 05:16

Article co-écrit par La Quadrature du Net et Act Up-Paris.

Parmi les nombreuses mesures du projet de loi visant à sécuriser et réguler l’espace numérique (« SREN » ou « Espace numérique ») figurent deux articles qui renforcent le contrôle des sites proposant du contenu à caractère pornographique, en leur imposant de vérifier l’âge des internautes pour bloquer l’accès aux mineur·es. Nous revenons, La Quadrature du Net et Act Up-Paris, sur cette mesure et ses dangers (voir aussi l’analyse globale de La Quadrature sur le projet de loi SREN).

Vérification de l’âge et blocage

À l’été 2020, la loi n° 2020-936 a renforcé les obligations pesant sur les sites proposant du contenu à caractère pornographique afin d’empêcher les mineur·es d’accéder à ces derniers. D’une part, elle a renforcé le délit que commet un site à caractère pornographique s’il est accessible à un·e mineur·e : demander à l’internaute de déclarer sur l’honneur qu’il ou elle est majeur·e ne suffit pas. D’autre part, cette loi a introduit une obligation pour ces sites de recourir à des dispositifs de vérification de l’âge des internautes. La sanction en cas d’absence de vérification de l’âge est la censure. L’Arcom, autorité née de la fusion entre le CSA et la Hadopi, est chargée de mettre en demeure les sites ne vérifiant pas correctement l’âge des internautes, puis de saisir la justice pour les faire censurer si les mises en demeures sont restées sans effet.

À l’époque, La Quadrature constatait que, encore une fois, les élu·es n’avaient rien compris à ce qu’est Internet. Vouloir mettre en place une obligation de vérifier l’âge des internautes en empêchant la seule technique respectueuse des libertés fondamentales qu’est l’auto-déclaration de l’internaute revient à supprimer le droit à l’anonymat en ligne. Act Up-Paris s’était prononcée également contre de tels procédés de censure, contre-productifs tant pour protéger les mineur·es de l’exposition aux contenus pornographiques que pour l’indépendance des travailleur·ses du sexe.

Le projet de loi SREN actuellement débattu à l’Assemblée montre que le gouvernement et les élu·es qui soutiennent ce texte n’ont toujours pas compris le fonctionnement d’Internet et les enjeux en termes de libertés fondamentales. En effet, à ses articles 1er et 2, ce texte va encore plus loin dans l’obligation de vérifier l’âge des internautes qui souhaiteraient accéder à un site à caractère pornographique : si ces deux articles étaient votés en l’état, l’Arcom pourrait imposer aux plateformes ses propres choix techniques pour vérifier l’âge (à travers l’édiction d’un référentiel), puis censurer elle-même, sans passer par un juge, les sites qui ne se plieraient pas à ses exigences (par des injonctions de blocage et de déréférencement).

Contourner le juge

Ce projet de loi prévoit deux contournements du juge : celui-ci ne décidera plus du bien-fondé d’une censure avant que celle-ci ne soit prononcée, et il ne décidera plus de la manière de procéder à la vérification de l’âge.

En effet, premièrement, le ministre Jean-Noël Barrot à l’origine de ce projet de loi ne cache pas que l’objectif est de ne plus attendre la justice pour censurer les sites : le projet de loi confie, dans son article 2, le soin à l’Arcom de censurer elle-même les sites, au lieu de passer par la justice, dans un mouvement de défiance envers cette dernière. M. Barrot justifiait ainsi devant le Sénat le rôle du référentiel qu’édictera l’Arcom : « En réalité, le référentiel vient sécuriser la capacité de l’Arcom à ordonner le blocage et le déréférencement. Et puisque nous prévoyons dans les articles 1er et 2 d’aller beaucoup plus vite, en contournant la procédure judiciaire, pour procéder à ce blocage, il faut que nous puissions fixer, à tout le moins, les conditions dans lesquelles le blocage et le déréférencement puissent être prononcés par l’Arcom. »

Le ministre a admis également dans la presse que ce mécanisme pourrait parfaitement conduire à censurer des réseaux sociaux comme Twitter. En effet, censurer Twitter est une demande récurrente de certaines associations de protection de l’enfance qui avaient formellement saisi l’année dernière l’Arcom afin qu’elle obtienne le blocage judiciaire du réseau social. Pourtant, à notre connaissance, l’autorité n’a jamais fait droit à cette demande, très certainement parce qu’une telle censure serait refusée par la justice. Demain, si ce texte passait, l’autorité pourrait exiger directement le blocage d’un réseau social comme Twitter, d’autant plus que le gouvernement l’y incite.

Deuxièmement, le contournement du juge réside également dans les règles qui s’appliqueront aux sites pour vérifier l’âge. En effet, l’Arcom sera chargée d’établir un référentiel pour déterminer les caractéristiques obligatoires de la vérification de l’âge. Aujourd’hui, en l’absence de précision dans la loi, c’est le juge qui, lorsqu’il est saisi d’une demande de l’Arcom de censure d’un site, regarde si la vérification de l’âge est techniquement possible et décide de prononcer ou non une censure en fonction des outils disponibles et des conséquences pour les droits fondamentaux. Mais demain, ce sera l’Arcom qui décidera de comment procéder à cette vérification1On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.. Ce référentiel s’imposera aux sites, qui n’auront pas d’autre choix que de s’y conformer sous peine d’être censuré, même si cela aurait des conséquences dramatiques pour les libertés fondamentales.

Ce contournement du juge est particulièrement inquiétant dans un État de droit. La justice est vue par le gouvernement comme un frein, un obstacle qu’il faudrait « contourner ». Pour le ministre, la fin justifie les moyens : parce que la justice est considérée comme trop lente, elle doit être contournée. Les mêmes dangers pour les libertés que dans le reste des cas de censure administrative se poseront ici : la justice pourra toujours se prononcer sur le bien-fondé d’une censure, mais une fois seulement que celle-ci sera mise en place. Agir d’abord, réfléchir ensuite.

Surveillance automatisée des contenus et risques de sur-censure

À première vue, on serait tenté de se dire que l’obligation de vérification de l’âge pour les sites proposant du contenu pornographique n’est pas très grave car elle est limitée. Mais comme on l’a dit juste avant, les réseaux sociaux seront eux aussi concernés.

Pour une plateforme dont l’objet principal est de proposer du contenu à caractère pornographique, l’étendue de cette obligation de vérifier l’âge des internautes est facile à déterminer : avant l’accès à la moindre page de ces sites, la vérification de l’âge devra être faite. Mais il est beaucoup plus difficile pour un site dont l’objet principal n’est pas de proposer un tel contenu, notamment les réseaux sociaux, de distinguer ce qui relèverait de la pornographie ou non.

L’obligation de vérifier l’âge des internautes avant d’accéder à un contenu pornographique va donc, de fait, imposer aux plateformes de réseaux sociaux d’analyser automatiquement tous les contenus que publieraient leurs utilisateur·rices afin de déterminer les contenus à caractère pornographique, pour activer la vérification de l’âge quand cela sera nécessaire. Une analyse humaine n’est en effet pas envisageable en raison de la masse à traiter. Et comme la responsabilité repose sur les plateformes, elles seront nécessairement incitées à englober des contenus qui ne relèvent pas de la pornographie, dans le doute et par crainte d’une sanction pénale et d’une censure administrative2Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent »..

Le résultat sera catastrophique car les plateformes censureront par exemple les contenus de prévention en santé sexuelle. En effet, aujourd’hui, des associations de santé comme le Projet Jasmine de Médecins du Monde font des maraudes virtuelles pour toucher les travailleur·ses du sexe les plus éloigné·es de l’accès au soin. D’autres, comme Grisélidis, effectuent des maraudes en ligne sur les applications pour toucher les personnes mineur·es qui se prostituent. Or, ces différentes actions, qui visent à accompagner et aider ces personnes, seront impactées par cette censure. Aujourd’hui déjà, les campagnes de santé sexuelle sont limitées car les algorithmes invisibilisent tout ce qui touche aux sexualités : la simple mention du mot « sexe » fait perdre de la visibilité aux contenus en ligne et la nudité est censurée (voir par exemple la censure par Meta d’une une de Télérama contre la grossophobie, ou la censure d’une campagne de prévention d’Act-Up Paris). Le public que ces associations tentent d’aider subit aujourd’hui déjà des suppression de comptes sur les réseaux sociaux, et ce projet de loi aggravera cela. Le principal risque pour les associations de santé communautaire est de perdre le contact avec ces personnes particulièrement vulnérables.

Fin de l’anonymat en ligne

Enfin, de manière encore plus grave, cette vérification de l’âge implique la fin de l’anonymat en ligne. On rappellera que le principe est le droit à l’anonymat en ligne, qui est protégé tant par le droit de l’Union européenne3Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat. que par la Convention européenne de sauvegarde des libertés fondamentales (CESDH)4La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).. Or, le projet de loi SREN remet directement en cause ce principe en ligne.

Le texte ne dit pas comment la vérification de l’âge devra se faire : c’est sur l’Arcom, lorsqu’elle édictera son référentiel, que reposera cette mission. Il existe plusieurs manières de vérifier l’âge en ligne. La plupart sont relativement peu fiables et constitueraient de graves atteintes aux libertés fondamentales (analyse biométrique du visage, analyse de l’historique, utilisation d’une carte bancaire, envoi de sa carte d’identité au site). Il existe également une manière non-fiable mais qui offre l’avantage de ne pas créer d’atteinte disproportionnée aux libertés : l’auto-déclaration par l’internaute. Mais le législateur a explicitement écarté cette dernière en 2020.

La solution qui revient régulièrement, parce qu’elle serait la moins mauvaise solution, est l’identité numérique et on peut s’attendre à ce que l’Arcom s’oriente vers cette solution dans son référentiel. L’identité numérique consiste à s’identifier en ligne à l’aide d’un service autre. Les GAFAM ont leur système d’identité numérique (par exemple Google qui permet de s’identifier sur un site tiers à l’aide du compte Google de l’internaute), l’État également (avec ses services FranceConnect et France Identité). Or, l’identité numérique, si elle est bien implémentée via un tiers de confiance, permet de limiter les informations traitées. Comme le relevait le laboratoire d’innovation numérique de la CNIL (le LINC), passer par un tiers de confiance qui sera chargé de vérifier l’âge pour le compte d’un site internet permet à ce dernier de ne pas connaître l’identité de l’internaute. Avec ce mécanisme, l’internaute se connecte à ce tiers de confiance à l’aide d’une identité numérique d’État pour justifier de son identité donc de son âge. Puis le tiers de confiance délivre un certificat de majorité (aussi appelé ici « jeton » ou « token ») à l’internaute. Enfin, l’internaute transmet au site ce certificat pour prouver qu’il ou elle a 18 ans ou plus. Concrètement, cela prend la forme d’une page de connexion sur la plateforme du tiers de confiance et la transmission du certificat est effectuée automatiquement par le navigateur de l’internaute vers le site qui demande la majorité.

Cette solution, parfois appelée « en double aveugle », a beau être la moins mauvaise, elle reste dangereuse. Certes, le site qui doit vérifier l’âge de l’internaute ne connaît pas son identité réelle (mais seulement s’il a 18 ans ou plus) et le tiers de confiance ne sait pas sur quel site l’internaute se connecte (parce que le certificat de majorité n’est pas présenté directement par le tiers de confiance au site). En revanche, une telle solution implique nécessairement de devoir justifier de son identité à un moment avant de pouvoir accéder à un service en ligne : même si l’internaute ne se connecte pas directement auprès du site voulant vérifier l’âge, il devra justifier de son identité auprès d’un tiers. L’anonymat n’est plus possible si un site impose à ses internautes de s’identifier pour vérifier leur âge. Dit autrement, lorsque le législateur impose de vérifier l’age des internautes, il empêche fatalement tout anonymat en ligne.

Et cette affirmation est d’autant plus vraie que d’autres mesures voulues par la majorité impliquent de vérifier l’âge au-delà des contenus à caractère pornographique.

Interdire, interdire, interdire

Comme La Quadrature du Net le relevait, la vérification de l’identité des internautes avant d’accéder à du contenu à caractère pornographique s’insère dans une série de prises de positions et de lois en défaveur de l’anonymat en ligne. En juillet, le Parlement a adopté une proposition de loi Horizons qui instaure une « majorité numérique ». Cette loi veut imposer aux plateformes en ligne5Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. » d’empêcher leurs utilisateur·rices de moins de 13 ans de se créer un compte, de s’assurer que celles et ceux ayant entre 13 et 15 ans ont bien l’accord de leurs parents, et, pour les mineur·es entre 15 et 18 ans de permettre à leurs parents de suspendre a posteriori leur compte sans avoir à se justifier. Heureusement que la rapporteure du texte au Sénat a torpillé la loi en soumettant son entrée en vigueur au feu vert de la Commission européenne qui ne devrait jamais être donné6Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.. En revanche, cette tentative législative montre bien que le législateur est prêt à généraliser le contrôle de l’identité en ligne, parce que pour lui la solution aux problèmes ne peut résider que dans l’interdiction : interdire le porno et les réseaux sociaux aux mineurs, voire peut-être demain également les VPN. Parce que pourquoi pas.

L’art de passer à côté du vrai problème

Sous couvert de réguler les plateformes, le gouvernement évite soigneusement de répondre au problème de l’éducation sexuelle des enfants. Encore une fois, il préfère agir sur les conséquences (l’accès aux contenus à caractère pornographique par les mineur·es) plutôt que de s’occuper du fond du problème, qui est l’échec de l’éducation sexuelle en France.

Il y a un an, le Haut Conseil à l’égalité entre les femmes et les hommes (HCE) tirait la sonnette d’alarme sur le sexisme à l’école. Il notait que, loin d’être un lieu d’éducation des enfants aux questions d’égalité de genre, l’école, au contraire, « entretient et amplifie les stéréotypes de sexe ». S’il relève également que l’accès à la pornographie peut être une des raisons de la culture du viol prégnante (bien que celle-ci ne soit pas propre aux pornographies mais se diffuse dans toutes les strates de la société), il ne préconise pas la censure des sites. Au contraire, le HCE presse les pouvoirs publics de s’attaquer à la racine du problème à l’école : les enseignements obligatoires à la sexualité ne sont pas assurés, le harcèlement, le cyberharcèlement et les violences en ligne ne sont pas traitées à la hauteur des enjeux, il n’existe pas d’obligation de justes représentation et proportion de figures féminines dans les manuels, programmes scolaires et sujets d’examen. En effet, seul·es 15 % des élèves bénéficient des trois séances d’éducation à la sexualité obligatoires pendant l’année scolaire jusqu’à la fin du lycée alors même qu’elles sont prévues dans la loi depuis 2001. Cette carence grave de l’éducation nationale a récemment conduit les associations Sidaction, Planning Familial et SOS Homophobie à saisir la justice pour faire appliquer la loi. Or, comme le rappellent ces associations, « l’éducation à la sexualité, c’est donc moins de grossesses non désirées, moins d’IST, moins de VIH, moins de violences sexistes et sexuelles, moins de discriminations et de violences LGBTIphobes, plus de consentement, plus de comportements responsables, plus d’autonomie, plus de respect de soi même et de l’autre, plus de confiance en soi, plus d’égalité entre les femmes et les hommes ». Le Défenseur des droits faisait le même constat en 2021 de la nécessité d’accompagner et d’aider les enfants au lieu de leur rajouter de nouvelles interdictions : « Il est par ailleurs nécessaire de déployer la prévention à l’école, afin de mieux protéger les enfants de l’exposition précoce à la pornographie. Il convient également de renforcer les campagnes de sensibilisation auprès des enfants, adolescents et de leurs familles (éducation à la vie affective, relationnelle et sexuelle […]) ».

En définitive, le projet de loi SREN est une énième opération de marketing électoral. Non seulement il ne résoudra rien aux problèmes qu’il prétend vouloir régler, mais en plus il signifierait la fin de l’anonymat en ligne. Cette dernière est une vieille demande de la droite française et le symptôme d’une classe politique qui ne comprend toujours pas ce qu’est Internet. Le rejet des articles 1er et 2 du projet de loi est nécessaire. Ils ne sont pas seulement contraires aux droits fondamentaux, ils feraient sauter la digue de l’anonymat en ligne, pourtant cruciale pour beaucoup de personnes, et feraient entrer encore un peu plus la France dans le club des États autoritaires. Alors n’hésitez pas à nous aider dans notre lutte, en faisant un don à Act-Up Paris ou à La Quadrature du Net et en parlant de ces sujets autour de vous.

References[+]

References
1 On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.
2 Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent ».
3 Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat.
4 La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).
5 Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. »
6 Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.

Projet de loi SREN : le gouvernement sourd à la réalité d’internet

Par : bastien
12 septembre 2023 à 11:04

Le projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN » ou « Espace numérique ») est actuellement en discussion à l’Assemblée nationale, après avoir été voté en juillet dernier au Sénat. Ce texte, présenté comme une simple adaptation d’une série de règlements européens, change en réalité la manière de concevoir la régulation des plateformes en ligne. En voulant instaurer une censure autoritaire et extra-judiciaire, en voulant mettre fin à l’anonymat en ligne et en répétant les erreurs déjà commises avec la loi Avia, le gouvernement fait une nouvelle fois fausse route. Ce projet de loi étant très dense, commençons par une présentation générale des éléments importants du texte (nous reviendrons plus tard en détails sur certains points avec des articles dédiés).

L’accès au porno, prétexte pour mettre fin à l’anonymat

Les articles 1er et 2 du projet de loi renforcent l’obligation pour les sites pornographiques de vérifier l’âge de leurs utilisateurs. Pour rappel, depuis une proposition de loi issue de la majorité présidentielle en 2020, les sites proposant du contenu pornographique doivent vérifier l’âge des internautes, une simple case à cocher auto-déclarative ne suffisant pas. En cas de non-respect, une peine de censure peut être prononcée par un juge. Nous dénoncions à l’époque un tel principe d’obliger les personnes à justifier de leur âge, qui passe nécessairement par une mise à mal de l’anonymat en ligne.

Mais en réalité, cette loi de 2020 n’a pas vraiment changé les choses : les sites pornographiques continuent d’afficher un bouton pour que l’internaute déclare sur l’honneur avoir plus de 18 ans, et très peu de censures ont été prononcées par la justice. Pour la simple raison que personne, ni les plateformes, ni le gouvernement, ni la CNIL ne savent comment effectuer cette vérification de l’âge d’une manière qui soit simple techniquement et respectueuse de la vie privée des personnes. Le laboratoire de prospective de la CNIL, le LINC, suggère une solution passant par un tiers de confiance, c’est-à-dire une autorité chargée de délivrer à l’internaute un certificat (un jeton, ou « token ») confirmant qu’il est bien majeur, sans que ce tiers ne connaisse le service réclamant ce certificat. Mais, d’une part, cette solution implique que le tiers de confiance pourra facilement déduire que, quand une personne lui demandera une « preuve de majorité », l’objectif sera de consulter un site pornographique. D’autre part, ce mécanisme du tiers de confiance impose l’utilisation d’une identité numérique d’État, aujourd’hui théoriquement facultative, qui deviendra alors encore plus obligatoire de fait.

Malgré ces obstacles pratiques et en dépit de l’absence de solution viable décidée conjointement par les institutions et les experts techniques, le gouvernement persiste. Mécontent d’une justice qui, à son goût, ne censure pas assez les sites pornographiques, il propose tout simplement de la contourner : le projet de loi SREN passe d’une censure judiciaire des sites ne vérifiant pas l’âge de leurs internautes à une censure administrative, c’est-à-dire extra-judiciaire. Ce n’est donc qu’une fois la censure décidée qu’un juge vérifiera sa légalité. L’Arcom, autorité née de la fusion entre la Hadopi et le CSA, sera chargée de prononcer la censure d’un site pornographique qui ne vérifierait pas l’âge des internautes. Cet entêtement à vouloir fliquer les internautes est d’autant plus surprenant que même la Grande-Bretagne, pourtant pionnière dans la censure des sites pornographiques et source d’inspiration du gouvernement, a abandonné en 2019 un dispositif similaire, faute de solution technique satisfaisante. Très récemment encore, l’Australie a abandonné un tel mécanisme de vérification d’âge et le Texas a été obligé de suspendre une loi similaire parce que la justice américaine a considéré cette loi contraire à la liberté d’expression.

Le retour de la censure obligatoire en 24 heures

L’article 3 du projet de loi renforce les obligations de retrait des contenus à caractère pédopornographique pesant sur les hébergeurs de sites internet. Aujourd’hui, la loi impose que ces derniers doivent retirer ces contenus en 24 heures sur demande de la police, mais il n’y a pas de sanction spécifique en cas d’absence de retrait (seule la responsabilité des hébergeurs pourra être retenue, mais elle s’apprécie en fonction des capacités des plateformes, de la gravité du contenu, de la difficulté à contrôler la légalité de la demande, etc.). La nouveauté du projet de loi réside dans le fait que l’absence de retrait une fois passé le délai de 24 heures constitue automatiquement un délit, sans que ne soient examinées les potentielles raisons ou explications de cette absence d’action. Dès lors, la menace d’une répression systématique accentue le joug de l’État sur ces hébergeurs et renforce le principe de la censure administrative qui est déjà, en soi, un danger pour la liberté d’expression en ligne (voir par exemple ce que nous disions il y a 13 ans à propos de la LOPPSI).

Mais surtout, il est très probable que, par crainte d’une sanction, les hébergeurs préfèrent retirer trop de contenus, quitte à se tromper. C’est exactement ce que voulait la loi Avia qui imposait des délais fixes pour retirer des contenus haineux ou à caractère terroriste. Nous dénoncions alors le risque de surcensure que ce mécanisme impliquait, tout comme le Conseil constitutionnel lorsqu’il a déclaré cette loi contraire à la Constitution.

Malgré cela, le gouvernement ne cache pas vraiment ses intentions de censure généralisée. Dans l’étude d’impact du projet de loi, il explique que l’objectif de l’article 3 est d’« aligner » les régimes de censure administrative sur celui du terrorisme. En effet, après la censure de la loi Avia, la France s’est empressée de pousser un règlement européen qui oblige aujourd’hui les hébergeurs à retirer les contenus à caractère terroristes sous peine de lourdes sanctions pénales, par un mécanisme similaire à feue la loi Avia. Par cet article 3 qui introduit des sanctions similaires pour les contenus pédopornographiques, le gouvernement organise donc le retour masqué de la loi Avia.

Le bannissement des réseaux sociaux, un coup d’épée dans l’eau

Pour lutter contre le harcèlement en ligne, le gouvernement n’envisage pas de donner les moyens humains et financiers à la justice pour faire son travail. À l’inverse, l’article 5 du projet de loi préfère miser sur un réflexe disciplinaire, en créant une peine complémentaire d’interdiction de réseaux sociaux pour les personnes qui seraient condamnées pour harcèlement : sur décision de justice, les plateformes en ligne devront suspendre les comptes détenus par les personnes condamnées et les empêcher de se créer un nouveau compte. Mais comment s’assurer qu’une personne condamnée ne se recrée pas un compte ? Le projet de loi est parfaitement silencieux sur ce point. On peut en revanche légitimement craindre que cette nouveauté ouvre la voie à la généralisation du contrôle d’identité en ligne, afin de s’assurer que l’internaute voulant se créer un compte ne sera pas sur la liste des personnes interdites de réseaux sociaux.

Cette peine d’interdiction des réseaux sociaux et la généralisation de la vérification d’identité qu’elle risque d’induire s’inscrivent dans la même ligne que la récente loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne, adoptée il y a quelques mois. Issue d’une proposition de loi du groupe Horizons, elle instaure une interdiction pour les mineur·es de moins de 13 ans de se créer un compte en ligne, impose à celles et ceux entre 13 et 15 ans d’obtenir l’accord de leurs parents, et permet aux parents d’adolescent·es ayant entre 15 et 18 ans de suspendre leurs comptes jusqu’à leur majorité. Or, ces règles ne peuvent être respectées qu’en vérifiant l’identité de toute personne voulant s’inscrire sur un réseau social.

Cette « majorité numérique » semble non seulement impossible à mettre en œuvre sans atteinte excessive au droit à l’anonymat en ligne, mais également contraire au droit de l’Union européenne. Cette situation inconfortable a poussé le législateur à soumettre, à la toute fin du processus législatif, l’entrée en vigueur de ce texte à une décision de la Commission européenne sur la conformité au droit de l’UE de ce mécanisme.

Pour autant, cela ne rebute toujours pas le gouvernement, qui continue avec le projet de loi SREN et son idée de bannissement des réseaux sociaux. Le Sénat est même allé plus loin : le rapporteur du texte à la chambre haute, Loïc Hervé, a introduit de nouvelles dispositions pour que ce bannissement des réseaux sociaux puisse être prononcé par un juge d’application des peines, voire par un procureur de la République via une composition pénale1Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal..

La censure administrative par le navigateur

Autre surprise du texte : le gouvernement propose une nouvelle manière de faire de la censure administrative, en passant par un blocage des contenus au niveau des navigateurs web. Sous couvert de proposer un filtre « anti-arnaques », l’article 6 du projet de loi impose non seulement aux fournisseurs d’accès à Internet (FAI) et aux fournisseurs de systèmes de résolution de noms de domaine (c’est-à-dire les fournisseurs de DNS alternatifs autres que ceux des FAI) de censurer certaines ressources en ligne que la police aurait identifiées comme étant des « arnaques », mais oblige également les navigateurs web à procéder à une telle censure.

Autrement dit, si demain la police repère un site de phishing, elle pourra imposer à l’éditeur de votre navigateur préféré de procéder à son blocage pur et simple. Et peu importe s’il s’avère que la demande est erronée ou abusive. Peu importe aussi si cela ouvre grand la porte à des censures d’un autre genre, politiques par exemple. Bien évidemment, la fondation Mozilla, qui édite le navigateur Firefox, est vent debout contre cette obligation. Nous vous invitons d’ailleurs à signer leur pétition et à la faire circuler largement.

Et peut-être d’autres mesures autoritaires à venir

Ces quelques articles de ce projet de loi sont déjà très inquiétants, au regard de la mise à mal de l’anonymat en ligne, de l’atteinte à la liberté d’expression et de la négation du droit à la vie privée qu’ils instaurent. Mais ce projet de loi risque encore de s’aggraver au cours des discussions.

En juillet dernier, la réponse du gouvernement et de ses soutiens a été de pointer les réseaux sociaux comme responsables des révoltes en France, pour mieux passer sous silence le malaise social grandissant. À cette occasion, le député Renaissance Paul Midy, rapporteur général de ce projet de loi SREN, avait déjà annoncé qu’il était favorable à l’obligation de justifier de son identité civile avant de pouvoir s’inscrire sur une plateforme en ligne, emboîtant ainsi le pas d’Emmanuel Macron. Cette marotte de la droite française pourrait bien se concrétiser avec ce texte. Suite aux violences estivales, un « groupe de travail » interparlementaire s’est déjà réuni trois fois cet été pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Seraient pour l’instant envisagées des restrictions temporaires de la géolocalisation ou l’obligation pour les plateformes de conserver les messages éphémères qui y sont échangés.

De plus, tout le monde au gouvernement veut maintenant son petit bout de censure. En réponse à la polémique née autour d’un site de rencontres pour jeunes enfants et adolescents devenu le terrain de chasse de pédophiles, la secrétaire d’État en charge de l’Enfance Charlotte Caubel s’imagine déjà censurer ce type de site. Mais comme la loi instaurant une majorité numérique, qui obligerait à vérifier l’identité de toute personne, n’est pas encore en vigueur, elle pourrait bien profiter de ce projet de loi SREN pour pousser ses idées de censure.

Une grande absente : l’obligation d’interopérabilité des réseaux sociaux

Finalement, il n’est pas surprenant que l’idée d’une interopérabilité obligatoire des réseaux sociaux ne figure pas dans ce projet de loi : il s’agit d’une manière radicalement différente de celle du gouvernement de réguler les contenus en ligne. L’obligation d’interopérabilité des réseaux sociaux consiste à imposer aux grandes plateformes d’ouvrir leurs communautés à d’autres réseaux sociaux. Concrètement, avec une telle obligation, les utilisateur·rices de Mastodon seraient capables de discuter avec leurs contacts restés sur Facebook. Autrement dit : les internautes pourraient partir d’un réseau social dangereux (car il marchanderait la vie privée de ses utilisateur·rices et/ou mettrait en avant des contenus problématiques) sans se couper de leurs ami·es qui y resteraient.

L’obligation d’interopérabilité des réseaux sociaux remettrait largement en question le modèle économique des géants actuels. Celui-ci repose en effet sur le non-respect structurel du droit des données personnelles et la mise en avant algorithmique de contenus haineux. En faisant réagir, ces réseaux sociaux commerciaux gardent les internautes plus longtemps sur la plateforme, augmentant ainsi les revenus publicitaires. En permettant aux internautes de partir d’un Twitter aux mains d’un milliardaire aux choix erratiques et qui met en avant l’extrême-droite ou d’un Meta régulièrement condamné pour ne pas respecter le droit des données personnelles, l’obligation d’interopérabilité de ces plateformes les pousseraient à s’adapter face à la concurrence plus éthique des réseaux sociaux décentralisés. Sans passer par une censure verticale des contenus problématiques en ligne, l’interopérabilité des réseaux sociaux, si elle est obligatoire, permettrait qu’ils ne soient plus mis en avant, et donc de réduire leur impact sur les sociétés.

Ce projet de loi, en ne s’intéressant pas à la question de l’interopérabilité, passe d’autant plus à côté du vrai sujet que les géants du numérique, eux, commencent à s’intéresser à cette question. Cet été, Meta a lancé son concurrent à Twitter, Threads, et a annoncé que son service serait interopérable, notamment avec le reste du fédivers. L’absence d’autorité capable de réguler les ardeurs des géants comme Meta crée alors un danger immédiat pour le fédivers (voir notre explication). Il est aujourd’hui crucial d’empêcher un aussi grand acteur que Meta de prendre ce qui l’intéresse dans l’écosystème des réseaux sociaux interopérables sans donner en retour. Alors que le Digital Markets Act, règlement européen voulant réguler les plateformes, avait un temps envisagé d’instaurer une telle obligation d’interopérabilité des réseaux sociaux, la France était parvenue en bout de course législative à supprimer une telle obligation. On ne peut que déplorer cette stratégie d’ignorer la question de l’interopérabilité des réseaux sociaux.

S’il fallait résumer le projet de loi SREN, nous pourrions le présenter comme l’exemple parfait de ce qu’il ne faut pas faire. Réguler par la censure, l’autoritarisme et les atteintes massives aux droits fondamentaux n’est pas la bonne solution. Il existe pourtant d’autres manières de faire, notamment en passant par l’obligation d’interopérabilité des réseaux sociaux. Nous reviendrons plus en détails sur certaines des dispositions que nous venons de présenter. En attendant, vous pouvez nous aider à continuer de défendre un Internet respectueux des personnes en nous faisant un don.

References[+]

References
1 Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal.

La justice refuse de sanctionner la vidéosurveillance algorithmique marseillaise

Par : bastien
30 août 2023 à 08:37

Par un jugement rendu début juin, le tribunal administratif de Marseille a refusé de constater l’illégalité de la vidéosurveillance algorithmique (VSA) de la cité phocéenne. En se retranchant derrière des considérations procédurales contestables, et après trois ans de procédure, la justice administrative marseillaise déçoit. La Quadrature du Net a fait appel de ce jugement et compte bien rappeler à la cour administrative d’appel de Marseille – désormais saisie de l’affaire – que la VSA, mise en place par la ville sous l’ère Gaudin et soutenue aujourd’hui par le Printemps marseillais, est bien illégale.

Une ville tombée dans la facilité du technosolutionnisme

L’affaire remonte à fin 2019. Alors que nous venions de lancer la campagne Technopolice, un des premiers projets documentés était celui de la vidéosurveillance algorithmique (VSA) à Marseille. La mairie, sous l’ère de son ancien maire Jean-Claude Gaudin, a commencé à mettre en œuvre ses premières caméras de VSA vers la fin de l’année 2019, comme le révélait Télérama à l’époque. Nous avons donc attaqué ce dispositif mais le tribunal administratif a estimé que la procédure d’urgence alors choisie n’était pas adéquate, et a donc rejeté notre recours.

Les élections municipales qui ont suivi, en 2020, nous ont alors laissé penser qu’il ne serait peut-être pas nécessaire de saisir de nouveau la justice pour faire retirer la VSA de l’espace public marseillais. En effet, la droite a été battue aux élections municipales par la liste du Printemps marseillais, alliance de gauche ayant pris position pendant la campagne électorale contre ce projet de surveillance de l’espace urbain. Mais une fois élue, la liste qui voulait réinventer la politique à Marseille préféra poursuivre la politique de la précédente majorité en matière de sécurité. Faute de dialogue avec la nouvelle équipe municipale, nous avons alors attaqué, à nouveau, le contrat prévoyant cette surveillance. Plus précisément nous avons contesté devant le tribunal administratif de Marseille le contrat suite au refus de la ville de résilier le marché public de la VSA.

L’enfumage de l’équipe municipale marseillaise

Face à ce nouveau recours (voir également notre premier mémoire en réplique puis notre second), la ville a adopté une stratégie de l’enfumage. Alors qu’elle affirmait à qui voulait l’entendre, y compris à la justice, que ce projet serait suspendu, la réalité était pourtant toute autre : par « suspension », il ne fallait pas croire que les caméras de VSA déjà en place avait été retirées ou, a minima, désactivées. La ville a joué sur les mots pendant les trois années de procédure en affirmant que le projet était suspendu alors que seul le déploiement de nouvelles caméras étaient arrêté ; les caméras de VSA déjà en place (« une cinquantaine » indiquait la ville au tribunal administratif, se refusant à donner plus de détails) ont toujours continué de fonctionner. Non seulement la mairie a choisi de défendre la surveillance qu’elle dénonçait pendant sa campagne électorale, mais a également joué sur les mots pour essayer de s’en sortir à moindre frais.

Et cette stratégie s’est révélée payante puisque le tribunal administratif a considéré que, le projet étant soi-disant suspendu, et ce malgré nos éléments prouvant l’inverse, il n’y avait pas lieu d’exiger la résiliation du marché public.

Un dangereux signal adressé aux communes

Le cadre contentieux de cette affaire est particulier : parce que nous attaquons un contrat passé entre la ville et un industriel local (la société SNEF), la seule illégalité du contrat ne suffit pas. Il faut démontrer que cette illégalité porte une atteinte manifeste à l’intérêt général. Or, pour rejeter notre recours, le tribunal administratif estime, en substance, que surveiller l’ensemble des marseillais·es qui passeraient devant l’une des cinquante caméras de VSA ne suffit pas pour qualifier une atteinte manifeste à l’intérêt général, peu importe que cette surveillance puisse être illégale. C’est parce que nous refusons cette manière de voir les choses que nous avons fait appel.

Ainsi, le tribunal administratif n’a même pas eu à se pencher sur le fonctionnement concret de la VSA, ni sur la légalité des traitements de données qu’elle implique, pour maintenir cette surveillance. Et pour cause. À part le ministre Darmanin qui fait faussement le naïf en parlant d’un pseudo « vide juridique » de la VSA, tout le monde s’accorde à dire que la VSA est illégale1À l’exception, désormais, de celle autorisée par la loi JO lorsque les décrets d’application seront publiés, mais le cas de Marseille ne rentre pas dedans. : la CNIL2Dans son rapport sur la VSA, la CNIL retient l’absence de base légale de la VSA, donc son illégalité., le Conseil d’État3Dans une étude de 2022 sur l’usage de l’IA par les administrations, le Conseil d’État rejoint la position de la CNIL en indiquant page 137 de son rapport que les bases légales du RGPD, de la directive « police-justice » et de la loi Informatique et Libertés ne sont pas mobilisables pour la VSA dans l’espace public., ou encore la rapporteure de la loi JO au Sénat4Dans son rapport fait à la commission des Lois du Sénat, la rapporteure Agnès Canayer se range derrière l’avis de la CNIL et du Conseil d’État, et mentionne même un avis non publié de ce dernier qui confirmerait l’illégalité de ces dispositifs.. Il a simplement eu à se retrancher derrière la soi-disant suspension du contrat pour ne pas avoir à se prononcer sur le fond.

Ce faisant, le tribunal administratif de Marseille envoie un signal dangereux aux communes : cachez vos surveillances illégales dans des contrats, faites semblant de les suspendre, et personne ne pourra venir les contester. Ce qui est inconcevable dans un État de droit.

Bien entendu, nous continuons à penser que la ville de Marseille agit dans l’illégalité en maintenant en place son dispositif de VSA. Nous continuons de penser que cette VSA constitue une surveillance biométrique des personnes filmées. Combien de temps encore faudra-t-il pour que la ville de Marseille et, au-delà de cette affaire, l’ensemble des villes utilisatrices de dispositifs de VSA, soient contraintes de respecter les droits fondamentaux des habitant·es ?

Pour que nous puissions continuer cette lutte, n’oubliez pas que vous pouvez nous aider en faisant un don ou en aidant à documenter ces dispositifs technopoliciers.

References[+]

References
1 À l’exception, désormais, de celle autorisée par la loi JO lorsque les décrets d’application seront publiés, mais le cas de Marseille ne rentre pas dedans.
2 Dans son rapport sur la VSA, la CNIL retient l’absence de base légale de la VSA, donc son illégalité.
3 Dans une étude de 2022 sur l’usage de l’IA par les administrations, le Conseil d’État rejoint la position de la CNIL en indiquant page 137 de son rapport que les bases légales du RGPD, de la directive « police-justice » et de la loi Informatique et Libertés ne sont pas mobilisables pour la VSA dans l’espace public.
4 Dans son rapport fait à la commission des Lois du Sénat, la rapporteure Agnès Canayer se range derrière l’avis de la CNIL et du Conseil d’État, et mentionne même un avis non publié de ce dernier qui confirmerait l’illégalité de ces dispositifs.
❌
❌