Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierLa Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Par : martin
18 juillet 2024 à 08:41

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance.

Autre fait passé inaperçu : la délocalisation à Madagascar d’une partie de travail de Veesion – et la possible remise en cause de l’authenticité de son algorithme.

La surveillance algorithmique, ce n’est pas que pour nos rues, villes, espaces publics. Comme les caméras, ces dispositifs de surveillance s’étendent, se normalisent et s’insinuent petit à petit dans nos quotidiens. Veesion est une start-up française qui vend un logiciel de surveillance algorithmique pour soi-disant détecter les vols en supermarché.

Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage » (pour reprendre l’expression d’un publi-reportage de la société par le journal d’extrême-droite le JDD).

L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé. Dans sa présentation en 2021 (sur un post Medium aujourd’hui supprimé), le créateur de Veesion allait plus loin : son logiciel devait protéger la grande distribution des troubles sociaux à venir du fait de la détresse sociale (comprendre : protéger les grandes surfaces des populations pauvres poussées au vol par la situation économique).

Le problème est double. Non seulement, Veesion se vante de faire du business sur la détresse sociale mais leur logiciel est également illégal. D’autant qu’il n’est pas certain que cet algorithme existe réellement.

Une start-up multiprimée, subventionnée… et purement illégale

La Quadrature du Net avait tiré la sonnette d’alarme dès le début : en surveillant les gestes de ses clients, la start-up analyse des données comportementales – dites biométriques – particulièrement protégées au niveau du droit français et européen. Un tel traitement est par principe interdit par l’article 9 du RGPD et l’article 6 de la loi Informatique et Libertés, et les exceptions à cette interdiction sont strictes. Or, aucune de ces conditions n’est applicable au dispositif de Veesion, qui bafoue donc cette interdiction.

Nous n’étions pas les seul·es à relever l’illégalité de Veesion : la CNIL l’avait dit (via plusieurs médias – en se fondant sur un motif d’illégalité différent), tout comme le ministère de l’intérieur. Même Veesion le savait. Bref, tout le monde savait que le logiciel développé par Veesion ne respectait pas le droit en vigueur (pour plus de détails, voir notre analyse de 2023)

Veesion n’a pourtant pas semblé être inquiétée le moins du monde. Pire encore, ces dernières années, elle attire des subventions, reçoit des prix, fait de la publicité dans les journaux, récupère des centaines de clients… Sur son site, Veesion parle même de milliers de commerçants. Un des co-fondateurs, Benoît Koenig, passe sur les plateaux de BFM, affirmant la légalité de son dispositif. En mars 2023, la start-up lève plus de 10 millions d’euros. En juin 2024, elle annonce plus de 150 salariés et plus de 8 millions de chiffre d’affaires.

Le capitalisme de surveillance n’a pas peur du droit

Après plusieurs années d’indécence, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Prenons les bonnes nouvelles où elles sont : c’est un petit coup d’arrêt à la vidéosurveillance algorithmique dans les supermarchés. À la veille des Jeux Olympiques, célébrations de la normalisation de l’algorithmisation de la surveillance publique, c’est un point positif à conserver.

Difficile néanmoins d’être entièrement convaincu·es.

Si nous n’avons pas accès à la décision de la CNIL, il est fort problable que celle-ci ait considéré le logiciel de Veesion illégal uniquement parce que les client·es des magasins ne peuvent pas s’opposer au traitement de leur image. Ce motif d’illégalité était déjà rappelé par la CNIL dans sa position de 2022 sur la VSA mais nous parait très limité sur le plan politique. C’est en effet une bien faible victoire qui empêche de remettre en cause le fondement même de l’algorithme et son aspect disproportionné et problématique. Non seulement la décision du Conseil d’État est une décision prise dans une procédure d’urgence (il reste à attendre la décision sur le fond de l’affaire qui arrivera dans plusieurs mois) et, de surcroît, Veesion a annoncé depuis que la CNIL avait pour l’instant suspendu sa décision en attente de nouveaux éléments de la part de l’entreprise.

Cette décision ne mettra de toute façon pas à terre plusieurs années de normalisation de ce logiciel. Personne ne demandera aux fondateurs de Veesion et à leurs associés de rembourser l’argent qu’ils ont touché sur leur business sordide. Personne ne viendra compenser les droits et libertés des personnes qui auront été espionné·es ou identifi·eés par cet algorithme. Alors même que les garde-fous contre la surveillance s’amenuisent petit à petit, les maigres barrières qui nous restent sont allégrement méprisées par ces entreprises de surveillance.

C’est d’ailleurs sans aucun doute une stratégie réfléchie, avec laquelle l’écosystème du business numérique s’accorde bien : normaliser une pratique illégale pour créer et asseoir un marché puis attendre du droit qu’il s’adapte à un état de fait, arguant de la création d’emplois et de l’innovation apportée. Lors de la consultation publique lancée par la CNIL sur le sujet en 2022, Veesion plaidait pour sa cause et expliquait à quel point cela serait un drame économique que de freiner cette technologie, sans jamais questionner ses conséquences sur les libertés.

Veesion semble être aussi passée à autre chose et cherche déjà à s’exporter aux États-Unis où le droit à la vie privée et la protection des données personnelles sont encore moins respectés. Médiatiquement, la décision du Conseil d’État ne semble aussi faire que peu de bruit – alors même que les supermarchés clients de Veesion sont nombreux, comme Carrefour, Leclerc ou BioCoop.

Délocalisation de la surveillance en supermarché à Madagascar

Un autre problème pour Veesion a été soulevé par les recherches effectuées par deux sociologues, Clément Le Ludec et Maxime Cornet, chercheurs à Télécom Paris, spécialistes sur le domaine de l’intelligence artificielle. Dans un article sur France Info passé lui-aussi relativement inaperçu (décidemment), les deux chercheurs sont revenus sur la sous-traitance à des travailleur·euses sous-payé·es dans des pays comme Magadascar par l’écosystème de l’IA. Les chercheurs s’inquiètent en particularité de la précarité de ces « travailleurs en bout de chaîne ».

L’article de France Info va plus loin : des personnes ayant été employées à Madagascar pour une société semblable à celle de Veesion disent avoir pour travail de repérer des vols en supermarchés directement sur le flux de vidéosurveillance des magasins : « Notre objectif c’est de trouver les vols. Ce sont eux qui envoient les vidéos, nous on les traite juste. En direct, en temps réel. Nous on envoie juste l’alerte et eux ils font l’arrestation des suspects ». Même si la société s’en défend, Veesion elle-même ne semble pas chercher à Madagascar des personnes pour améliorer un algorithme existant, mais au contraire pour « signaler des vols (…) dans les magasins le plus rapidement possible » ou pour « avertir le magasin d’un comportement douteux ».

En d’autres termes : il est possible que, pour une partie des clients de Veesion, il n’y ait pas vraiment d’algorithme pour repérer des comportements suspects dans un supermarché… mais seulement un·e travailleur·se précaire à l’autre bout du monde chargé·e de visionner le flux de caméra en direct et de repérer « à la main » ces gestes suspects, en imitant l’algorithme. En somme, la fable du turc mécanique.

Cela rejoint le travail des mêmes chercheurs publié en 2023 concernant une société de surveillance en supermarché non explicitement nommée mais qui ressemble beaucoup à Veesion. Clément Le Ludec et Maxime Cornet révèlent, concernant cette société, que les personnes employées à Madagascar « agissent avant tout comme des agents de sécurité à distance, détectant les vols presque en temps réel ».

À noter que Veesion s’appuie sur une double exploitation. Si une grande partie repose sur des personnes exploitées à Madagascar, les caissières et caissiers deviennent aussi des « travailleurs du clic ». Comme l’avait écrit lundimatin dans son article sur l’entreprise, le gérant du magasin conserve en effet le détail des interactions sur les écrans des employé·es, afin de vérifier leur réactivité aux alertes du logiciel : « Libre à lui alors de sommer ses employés d’être plus attentifs aux alertes de la machine en cas de non-retour de leur part ».

Il y a dans la société Veesion le concentré des dérives des start-ups sur le marché du numérique : banalisation des technologies de surveillance, non-respect affiché du droit, dépendance à de la main d’œuvre exploitée à l’autre bout du monde, et forte approximation autour de l’effectivité de son logiciel. Un tel exemple vient interroger l’effectivité du droit comme encadrement. Ces entreprises ne le respectent pas et récoltent pourtant une importante aide financière et médiatique.

Quand un cadre juridique n’est ni respecté par les entreprises concernées, ni appliqué par l’autorité qui en est responsable (ici, la CNIL agit mollement plusieurs années après la mise en œuvre du logiciel), c’est bien l’interdiction explicite de ces systèmes de surveillance qui doit primer. Alors pour agir et vous informer contre la VSA, rendez vous sur laquadrature.net/vsa ou aidez-nous si vous le pouvez en nous faisant un don.

L’activisme écologiste, nouveau terrain d’expérimentation de la Technopolice

Par : martin
19 décembre 2023 à 04:25

Plusieurs affaires récentes ont mis en lumière la surveillance particulièrement intensive subie par les militantes écologistes. Outre l’arsenal administratif et répressif déployé par l’État pour les punir, c’est la nature des moyens utilisés qui interpelle : drones, reconnaissance faciale, marqueurs codés… Le ministère de l’Intérieur expérimente et perfectionne sur les activistes écologiques ses outils technopoliciers.

Plusieurs articles ont révélé le caractère intensif des moyens de surveillance et de répression déployés par l’État pour punir certaines actions militantes écologistes. Si cela avait déjà été documenté pour le mouvement de résistance nucléaire à Bure, c’est dernièrement le cas de l’affaire Lafarge pour laquelle un article paru sur Rebellyon a détaillé les outils mis en œuvre par la police afin d’identifier les personnes ayant participé à une action ciblant une usine du cimentier.

Vidéosurveillance, analyse des données téléphoniques, réquisitions aux réseaux sociaux, relevés ADN, virements bancaires, traceurs GPS… La liste paraît infinie. Elle donne une idée de la puissance que peut déployer l’État à des fins de surveillance, « dans un dossier visant avant tout des militants politiques » – comme le souligne Médiapart dans son article.

Pour avoir une idée de l’étendue complète de ces moyens, il faut y ajouter la création des cellules spécialisées du ministère de l’Intérieur (la cellule Démeter, créée en 2019 pour lutter contre « la délinquance dans le monde agricole » et la cellule « anti-ZAD », mise en place en 2023 à la suite de Sainte-Soline) ainsi que l’alerte donnée par la CNCTR (l’autorité de contrôle des services de renseignement) qui en 2023 a souligné son malaise sur l’utilisation accrue des services de renseignement à des fins de surveillance des organisations écologistes.

Les forces de sécurité semblent continuer de perfectionner et expérimenter sur les organisations écologistes leurs nouveaux outils de surveillance : drones, caméras nomades, reconnaissance faciale, produits de marquages codés… Parce que ces organisations leur opposent une résistance nouvelle, souvent massive, déployée sur un ensemble de terrains différents (manifestations en milieu urbain, ZAD, méga-bassines…), les forces de police semblent trouver nécessaire l’utilisation de ces outils de surveillance particulièrement invasifs.

Capter le visage des manifestantes

Outil phare de la Technopolice, le drone a été expérimenté dès ses débuts sur les écologistes. Difficile d’y voir un hasard quand (d’après la gendarmerie), la première utilisation d’un drone à des fins de surveillance par la gendarmerie a lieu dans le Tarn en 2015, pour évacuer la ZAD du barrage de Sivens. En 2017, c’est Bure (site prévu pour l’enfouissement de déchets nucléaires) qui sert d’expérimentation avant une utilisation officialisée pour la ZAD de Notre-Dame-des-Landes en 2018.

La gendarmerie y décrit dans sa revue officielle un contexte idéal d’expérimentation avec une utilisation permettant un « grand nombre de premières » : utilisation simultanée de drones et d’hélicoptères de surveillance, retransmission en direct des divers flux vidéos, guidage des tirs de lacrymogènes… Des utilisations qui seront ensuite reprises et normalisées dans les futures utilisations des drones, en particulier pour la surveillance des manifestations. À noter dans la revue officielle de la gendarmerie l’utilisation répétée du terme d’ « adversaires » pour décrire les militantes : « marquage d’adversaire », « manœuvre de l’adversaire »….

Ce n’est pas non plus un hasard si dans le Livre blanc de la sécurité intérieure, document publié fin 2020 par le ministère de l’Intérieur pour formuler un ensemble de propositions sur le maintien de l’ordre, l’exemple de Notre-Dame-des-Landes est cité pour justifier l’utilisation massive de drones, comme une « une étape importante dans la planification et l’exécution d’une opération complexe de maintien de l’ordre ».

Résultat : après la généralisation des drones dès 2020 avec le Covid-19, on a ensuite assisté, une fois l’ensemble légalisé à posteriori (et non sans difficultés), à la normalisation de l’usage des drones pour la surveillance des manifestations. Les drones sont aujourd’hui encore bien utiles à la police pour suivre les actions militantes écologistes, que ce soit récemment pour le Convoi de l’eau ou la mobilisation contre les travaux de l’A69.

À noter que l’imagination de la police et de la gendarmerie ne se limite pas aux drones en ce qui concerne les nouveaux moyens de surveillance vidéo. Plusieurs organisations ont documenté l’utilisation de caméras nomades ou dissimulées pour épier les allées et venues des activistes : caméras dans de fausses pierres ou troncs d’arbres pour la ZAD du Carnet, caméras avec vision nocturne en 2018 dans la Sarthe

Ficher le visage des manifestantes

Autre outil phare de la Technopolice : la reconnaissance faciale. Rappelons-le : la reconnaissance faciale est (malheureusement) autorisée en France. La police ou la gendarmerie peuvent identifier des personnes grâce à leurs visages en les comparant à ceux enregistrés dans le fichier du traitement des antécédents judiciaires (TAJ). L’utilisation qui en est faite par les services de sécurité est aujourd’hui massive, estimée à plus de 600 000 fois en 2021 (donc plus de 1600 fois par jour).

Il est néanmoins assez rare d’avoir des exemples concrets de son utilisation pour comprendre comment et sur qui la police utilise ce dispositif. À ce titre, comme souligné dans l’article de Rebellyon, la reconnaissance faciale a été utilisée pour incriminer des personnes censément impliquées dans l’affaire Lafarge, avec l’utilisation d’images tirées de la réquisition des vidéosurveillances des bus de la ville pour les comparer au fichier TAJ. Médiapart dénombre dans son enquête huit personnes identifiées via ce dispositif.

Même chose pour la manifestation de Sainte-Soline : dans un article de juillet 2023, Médiapart relate que les quatre personnes qui ont comparu ont été retrouvées grâce à la reconnaissance faciale. Un premier procès plus tôt, déjà sur Sainte Soline, fait également mention de l’utilisation de la reconnaissance faciale.

Notons bien qu’au vu des chiffres cités plus haut, l’utilisation de la reconnaissance faciale est massive et n’est pas concentrée sur les militant·es écologistes (voir ici une utilisation récente pour retrouver une personne soupçonnée de vol). On constate néanmoins une utilisation systématique et banalisée de la reconnaissance faciale du TAJ, normalisée au point de devenir un outil d’enquête comme les autres, et de plus en plus présentée comme élément de preuve dans les tribunaux.

En 2021, nous avions attaqué devant le Conseil d’État cette reconnaissance faciale en soulevant que celle-ci devait légalement être limitée à la preuve d’une « nécessité absolue », un critère juridique qui implique qu’elle ne soit utilisée qu’en dernier recours, si aucune autre méthode d’identification n’est possible, ce qui n’était déjà pas le cas à l’époque. Cela l’est encore moins aujourd’hui à lire les comptes-rendus de Rebellyon ou de Médiapart.

Marquer les manifestantes

D’autres outils de surveillance, encore au stade de l’expérimentation, semblent testés dans les mobilisations écologistes. Parmi les plus préoccupants, les produits de marquage codés. Il s’agit de produits, tirés par un fusil type paintball, invisibles, indolores, permettant de marquer une personne à distance et persistant sur la peau et les vêtements. Ils peuvent être composés d’un produit chimique ou d’un fragment d’ADN de synthèse, se révélant à la lumière d’une lampe UV, porteurs d’un identifiant unique pour « prouver » la participation à une manifestation.

Comme rappelé par le collectif Désarmons-les, c’est dès 2021 que Darmanin annonce l’expérimentation de ce dispositif. Il semble être ensuite utilisé pour la première fois en 2022 lors d’une première manifestation contre la bassine de Sainte-Soline (via l’utilisation par la police de fusils spéciaux, ressemblant à ceux utilisés par les lanceurs paintball). En 2022, Darmanin dénombrait déjà plus de 250 utilisations de ce dispositif.

En 2023, son utilisation est de nouveau remarquée pour la manifestation contre la bassine de Sainte-Soline. Elle entraîne la garde à vue de deux journalistes qui ont détaillé à la presse la procédure suivie par la police et la gendarmerie pour récupérer et analyser la trace de peinture laissée par le fusil PMC.

Cet usage ne semble être aujourd’hui qu’à ses débuts. Dans le cadre d’un recours contentieux contre les drones, la préfecture de police, dans une surenchère sécuritaire sans limite, avait notamment émis le souhait de pouvoir équiper ses drones d’un lanceur de PMC. Le ministre de la Justice a également vanté l’utilisation de ces outils dans une récente audition sur le sujet, « utiles pour retrouver la trace d’un individu cagoulé ». Un rapport parlementaire de novembre 2023 rappelle néanmoins que son utilisation se fait aujourd’hui sans aucun cadre légal, ce qui la rend purement et simplement illégale. Si certains parlementaires semblent également s’interroger sur son efficacité, d’autres, dans un rapport sur « l’activisme violent », appellent à sa pérennisation et sa généralisation. Côté gouvernement, après l’avoir expérimenté sur les militants sans aucun cadre légal, le ministère de l’intérieur semble pour l’instant avoir suspendu son utilisation.

Les mouvements militants ne sont évidemment pas les seuls à connaître cette intensité dans le déploiement des moyens de surveillance : les exilées, les habitantes des quartiers populaires ont toujours été les premières à subir la militarisation forcenée des forces du ministère de l’Intérieur. Néanmoins, cette expérimentation des technologies sur les organisations écologistes est une nouvelle preuve de l’escalade sécuritaire et déshumanisée de la police et de la gendarmerie en lien avec la criminalisation des mouvements sociaux. La France est à l’avant-garde de la dérive autoritaire en Europe, puisqu’il semble être l’un des pays du continent ayant une pratique régulière et combinée de ces nouveaux outils

Audiosurveillance algorithmique à Orléans : la CNIL donne raison à La Quadrature sur l’illégalité du dispositif

Par : martin
30 septembre 2023 à 08:51

En 2021, La Quadrature du Net avait attaqué un dispositif d’audiosurveillance algorithmique déployé à Orléans dans le cadre d’une convention avec l’entreprise de surveillance Sensivic. Cette semaine, la CNIL vient de nous donner raison en soulignant l’illégalité de ce dispositif technopolicier.

En 2021, la ville d’Orléans concluait avec une startup locale, Sensivic, un contrat pour expérimenter une nouvelle forme de surveillance policière de l’espace public : l’audiosurveillance algorithmique (ASA). Comme ce qui avait été tenté à Saint-Étienne, le projet consistait à déployer des « détecteurs de sons anormaux » (c’est-à-dire des « mouchards ») sur des caméras de surveillance.

L’ASA est un des composantes de la Technopolice qui s’affirme sur le territoire français, aux côtés de la vidéosurveillance algorithmique (VSA), des drones ou de la reconnaissance faciale. Il est essentiel de la freiner et de la combattre partout où elle se déploie. C’est la raison pour laquelle nous avions donc attaqué la convention entre Orléans et Sensivic, aussi bien devant la justice administrative que devant la CNIL. C’est aujourd’hui que la CNIL, après plus de deux ans d’instruction, vient de nous donner raison.

Pas d’oreilles pour les caméras

La CNIL vient ici rappeler ce qu’elle avait déjà dit à Saint-Étienne. En effet, en 2019, avec l’aide de l’entreprise Serenicity, Saint-Étienne avait envisagé un projet similaire de surveillance sonore : la CNIL avait déjà à l’époque considéré qu’il est illégal de capter des sons dans l’espace public pour améliorer la vidéosurveillance.

Le projet orléanais que nous avons attaqué prévoyait bien lui aussi une analyse automatisée de tous les sons de l’espace public dans l’objectif d’aider les caméras à repérer certains comportements suspects. Malgré tout ce qu’a pu baratiner Sensivic dans le cadre de notre contentieux, la CNIL rappelle le droit : ce dispositif de micros, couplé à la vidéosurveillance, est illégal car le droit existant ne permet en aucun cas une telle surveillance.

Après Saint-Étienne, une telle décision à Orléans permet au moins de clarifier les choses et de mettre un frein, aussi petit soit-il, à l’industrie de la surveillance qui cherche par tous les moyens à revendre ses logiciels de surveillance de masse.

La CNIL relègue l’ASA au rang de technologie inutilisable

Cette position de la CNIL est néanmoins décevante.

D’une part, alors qu’il ne s’agissait que de l’application stricte d’une décision déjà prise dans le passé à Saint-Étienne, la CNIL a mis presque trois ans à instruire ce dossier et à prendre une décision. Trois ans pendant lesquels l’ASA a pu se normaliser et se développer. Trois ans de gagnés pour la Technopolice. Notons que nous sommes d’ailleurs toujours en attente de la décision du tribunal administratif sur ce même dossier.

D’autre part, la CNIL limite son raisonnement à la question du couplage de l’ASA avec la vidéosurveillance. A contrario, elle considère que, lorsque l’ASA n’est pas couplée à de la vidéosurveillance, il pourrait ne pas y avoir de traitement de données personnelles. Cette analyse de la CNIL, bien que sans conséquence pratique, reste très contestable juridiquement. En bref, elle semble laisser une marge à l’industrie de la surveillance sur la question de l’analyse automatisée des sons.

Considérer qu’il n’y a de traitement de données personnelles que lorsque l’ASA est couplée avec un dispositif de vidéosurveillance (ou n’importe quel un mécanisme d’identification des personnes) est juridiquement contestable. Mais cela n’a pas de conséquence pratique directe : l’objectif de l’ASA est bien de connaître la source d’un bruit, c’est-à-dire d’être couplée à un autre dispositif. Ce « complément naturel à l’image dans les systèmes de sécurité et de vidéosurveillance », pour reprendre les mots de Sensivic, est bien illégal.

Cette victoire devant la CNIL est une bonne nouvelle. Au tour de la justice administrative, désormais, de rendre sa décision. Il est urgent, aujourd’hui, de mettre un terme définitif à ces projets de surveillance sonore. Alors pour nous aider à continuer la lutte, vous pouvez participer à documenter cette surveillance ou faire un don.

Mise à jour du 24 octobre 2023 : nous venons d’informer le tribunal administratif d’Orléans de la position de la CNIL (notre mémoire est consultable ici).

Veesion, la start-up illégale qui surveille les supermarchés 

Par : martin
4 juillet 2023 à 05:53

Nous en parlions déjà il y a deux ans : au-delà de la surveillance de nos rues, la surveillance biométrique se déploie aussi dans nos supermarchés pour tenter de détecter les vols en rayons des magasins. À la tête de ce business, la start-up française Veesion dont tout le monde, même le gouvernement, s’accorde sur l’illégalité du logiciel mais qui continue à récolter des fonds et des clients en profitant de la détresse sociale

La surveillance biométrique de l’espace public ne cesse de s’accroître. Dernier exemple en date : la loi sur les Jeux Olympiques de 2024 qui vient légaliser officiellement la surveillance algorithmique dans l’espace public pour certains événements sportifs, récréatifs et culturels (on en parlait ici). En parallèle, des start-up cherchent à se faire de l’argent sur la surveillance d’autres espaces, notamment les supermarchés. L’idée est la suivante : utiliser des algorithmiques de surveillance biométrique sur les caméras déjà déployées pour détecter des vols dans les grandes surfaces et alerter directement les agents de sécurité.

L’une des entreprises les plus en vue sur le sujet, c’est Veesion, une start-up française dont on parlait déjà il y a deux ans (ici) et qui vient de faire l’objet d’un article de Streetpress. L’article vient rappeler ce que LQDN dénonce depuis plusieurs années : le logiciel déjà déployé dans des centaines de magasins est illégal, non seulement selon l’avis de la CNIL, mais aussi, selon nos informations, pour le gouvernement.

Le business illégal de la détresse sociale

Nous avions déjà souligné plusieurs aspects hautement problématiques de l’entreprise. En premier lieu, un billet publié par son créateur, soulignant que la crise économique créée par la pandémie allait provoquer une augmentation des vols, ce qui rendait nécessaire pour les magasins de s’équiper de son logiciel. Ce billet avait été retiré aussitôt notre premier article publié.

D’autres déclarations de Veesion continuent pourtant de soutenir cette idée. Ici, c’est pour rappeler que l’inflation des prix, en particulier sur les prix des aliments, alimenteraient le vol à l’étalage, ce qui rend encore une fois nécessaire l’achat de son logiciel de surveillance. Un business s’affichant donc sans gêne comme fondé sur la détresse sociale.

Au-delà du discours marketing sordide, le dispositif est clairement illégal. Il s’agit bien ici de données biométriques, c’est-à-dire de données personnelles relatives notamment à des caractéristiques « physiques ou « comportementales » (au sens de l’article 4, par. 14 du RGPD) traitées pour « identifier une personne physique de manière unique » (ici, repérer une personne en train de voler à cause de gestes « suspects » afin de l’appréhender individuellement, et pour cela analyser le comportement de l’ensemble des client·es d’un magasin).

Un tel traitement est par principe interdit par l’article 9 du RGPD, et légal seulement de manière exceptionnelle et sous conditions strictes. Aucune de ces conditions n’est applicable au dispositif de Veesion.

La Quadrature du Net n’est d’ailleurs pas la seule à souligner l’illégalité du système. La CNIL le redit clairement (à sa façon) dans l’article de Streetpress quand elle souligne que les caméras de Veesion « devraient être encadrées par un texte » . Or ce texte n’existe pas. Elle avait exprimé le même malaise au Monde il y a quelques mois, quand son directeur technique reconnaissait que cette technologie était dans un « flou juridique  » .

Veesion est d’ailleurs tout à fait au courant de cette illégalité. Cela ressort explicitement de sa réponse à une consultation de la CNIL obtenu par LQDN où Veesion s’alarme de l’interprétation du RGPD par la CNIL qui pourrait menacer « 500 emplois en France  » .

Plus surprenant, le gouvernement a lui aussi reconnu l’illégalité du dispositif. Selon nos informations, dans le cadre d’une réunion avec des professionnels du secteur, une personne représentant le ministère de l’Intérieur a explicitement reconnu que la vidéosurveillance algorithmique dans les supermarchés était interdite.

La Technopolice rapporte toujours autant d’argent

Tout cela ne semble pas gêner l’entreprise. Sur leur site , ils annoncent équiper plus de 2500 commerçants, dans 25 pays. Et selon les informations de Streetpress, les clients en France sont notamment Leclerc, Carrefour, G20, Système U, Biocoop, Kiabi ou encore la Fnac. Des enseignes régulièrement fréquentées donc par plusieurs milliers de personnes chaque jour.

Autre point : les financements affluent. En mars, la start-up a levé plus de 10 millions d’euros auprès de multiples fonds d’investissement. Sur le site Welcome to the Jungle, la start-up annonce plus de 100 salariés et plus de 5 millions de chiffre d’affaires.

La question que cela pose est la même que celle que nous rappelons sur ce type de sujets depuis 3 ans : que fait la CNIL ? Pourquoi n’a-t-elle pas fait la moindre communication explicite sur ce sujet ? Nous avions fait il y a deux ans une demande de documents administratifs à cette dernière, elle nous avait répondu qu’il s’agissait d’un dossier en cours d’analyse et qu’elle ne pouvait donc pas nous transmettre les documents demandés. Rien depuis.

Une telle inaction a des conséquences lourdes : outre la surveillance illégale imposée sur plusieurs milliers de personnes, la CNIL vient ici normaliser le non-respect du RGPD et faciliter la création d’une industrie de la Technopolice en laissant les investissements affluer.

Comment encore considérer la CNIL comme une autorité de « protection » de nos libertés quand la communication qui en émane sur ce sujet est qu’elle veut « fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe » ?

Surveillance illégale, détresse sociale, financement massif… Toutes les Technopolices se ressemblent, qu’elles soient en supermarché ou sur notre espace public. Mais pour une fois que tout le monde est d’accord sur l’illégalité d’une de ses représentantes, espérons que Veesion soit arrêtée au plus vite.

Drones : qui fera atterrir le ministère de l’Intérieur ?

Par : martin
23 mai 2023 à 03:50

Mardi dernier, nous avons participé à une audience au Conseil d’État pour demander la suspension du décret autorisant la police nationale à déployer des drones sur le territoire. La décision devrait être rendue dans quelques jours. D’un côté, associations et syndicats dénonçant une nouvelle dérive de surveillance et de militarisation de l’espace public ; de l’autre, un ministère de l’intérieur méprisant ouvertement les principes élémentaires des droits fondamentaux. Épaulé par le contexte sécuritaire, ce dernier se permet même de clamer tout haut ses fantasmes sécuritaires, entre dispositifs de marquage invisible et pilotes de drones à moto.

Nous en parlions ici : l’année dernière, après plusieurs revers pour le gouvernement, celui-ci a réussi à faire voter par le Parlement un texte légalisant l’usage des drones par la police nationale et la gendarmerie. En avril dernier, un décret – attendu depuis longtemps – a été publié par le ministère de l’intérieur. Il permet aux préfets de prendre des arrêtés pour autoriser la police à utiliser des drones pour des missions de surveillance.

Depuis la publication de ce décret, il est rare que quelques jours se passent sans qu’un arrêté vienne prévoir un nouveau déploiement. Manifestations, frontières, rodéos urbains, événements culturels, … Le Monde dénombrait la semaine dernière plus d’une cinquantaine d’usages en à peine un mois. Les drones ne sont d’ailleurs pas les seuls à être autorisés, la police peut également utiliser des caméras fixées sur des hélicoptères – on parle de « boules optroniques », capables d’identifier des individus à plus de 2km.

Pour contrer cette vague sécuritaire d’une rare intensité (parmi d’autres), les associations et organisations syndicales mènent une bataille sur le terrain, en procédures d’urgence directement contre les arrêtés devant les tribunaux administratifs, avec quelques succès mais beaucoup de défaites. En complément, c’est pour lutter en amont contre ce déploiement que l’Association de Défense des Libertés Constitutionnelles (Adelico) a attaqué directement le décret d’autorisation des drones en demandant la suspension en référé (c’est-à-dire une procédure d’urgence) de ce texte, en attendant une décision sur le fond pour son annulation. La Quadrature du Net est intervenue au soutien de cette procédure.

Des dispositifs de surveillance ni nécessaires ni proportionnés

L’audience dans cette affaire s’est déroulée mardi dernier. Comme toute audience de référé, les débats oraux se sont déroulés avec, d’un côté, une représentante du ministère de l’Intérieur (en l’occurence, la directrice des libertés publiques au ministère), et de l’autre les associations et syndicats parties ou intervenants au recours (c’est-à-dire l’Adelico, le Syndicat des avocats de France, le Syndicat de la magistrature et La Quadrature du Net). Entre les deux, le juge des référés, un conseiller d’État, qui décidera seul s’il convient oui ou non de suspendre le texte.

Pendant près de trois heures, les associations ont répété leurs inquiétudes sur la nouvelle atteinte que représente la surveillance par drones : une surveillance mobile, invisible, en capacité de surveiller d’un seul regard plusieurs centaines de milliers de personnes. L’intervention (une requête et une réplique) de LQDN se concentrait sur le principe de nécessité et de proportionnalité, au sens du droit de l’UE (ce même droit, pourtant protecteur dans le domaine de la surveillance, que le Conseil d’État refusait d’appliquer en 2021 en matière de surveillance d’Internet).

Le principe que nous invoquions pour démontrer l’illégalité de ce décret se résume en un mot : le ministère ne démontre à aucun moment la nécessité d’utiliser des drones pour remplir ses missions de protection de l’ordre public, en particulier par rapport à l’armada d’agents, de caméras et de véhicules qu’il a déjà à terre. Pire, les drones étant en capacité de récupérer des données sensibles (comme des opinions politiques lors de la surveillance de manifestations, même si les drones traitent d’autres types de données sensibles dans les autres contextes d’utilisation), le ministère doit prouver la nécessité absolue d’utiliser ce dispositif – ce qu’il ne fait à aucun moment.

Ces principes ont beau être inscrits explicitement dans le droit français et européen (et renforcés par des arrêts de la Cour de justice de l’Union européenne), la représentante du ministère les a balayé d’un revers de main pendant l’audience.

Le ministère clame haut et fort son mépris des droits fondamentaux

Monopolisant la parole et coupant celle des représentant.es des associations, la représentante du ministère de l’intérieur s’est contentée d’affirmer que cet outil leur était désormais bien utile car la police était devenue une « cible » qui « excite les manifestants ». Les débats ont ainsi révélé que l’objectif du ministère n’était pas seulement de protéger la population ou de suppléer à un manque d’effectif mais, particulièrement pendant les manifestations, de protéger la police des manifestant·es.

Le ministère a refusé toute considération sur les libertés, considérant qu’il s’agissait d’une innovation technologique sans gravité particulière par rapport à la vidéosurveillance, nécessaire par rapport au risque terroriste, et qu’on avait heureusement évolué par rapport « aux épées du Moyen-Âge ». Un tel raisonnement passe-partout lui permettra de justifier de toute invention technologique, peu importe les finalités et les conséquences sur nos libertés.

Autre point : le décret reconnaît que les drones pourront filmer l’intérieur des domiciles (ainsi que les entrées ou terrasses ou jardins). Alors qu’il s’agissait auparavant d’une limite infranchissable dans la surveillance, le ministère soutient au contraire qu’il se donne quarante-huit heures pour conserver ces images et les transmettre, si besoin, à l’autorité judiciaire.

Notons que ce mépris du ministère pour le droit n’est pas nouveau. Cela fait plus de 3 ans que nous menons des contentieux contre l’usage des drones par la police, et cela fait plus de 3 ans que le ministère enchaîne les contre-vérités et les approximations devant les juridictions. Il aura fallu deux décisions du Conseil d’État en 2020 et une sanction de la CNIL début 2021 pour les forcer à s’arrêter une première fois – avant que la loi ne vienne les légaliser. Et encore, déjà à l’époque le ministère de l’intérieur ne montrait que du mépris envers les institutions qui le contraignaient : en mai 2020, il inventait une doctrine d’emploi pour tenter d’échapper à la sanction ; à l’été 2020, la préfecture de police de Paris sortait de son chapeau un dispositif de floutage désactivable à souhait ; en 2021, la CNIL justifiait la sanction (décision la plus forte que la CNIL peut prendre) du ministère de l’intérieur par le fait que ce dernier avait annoncé qu’il ne respecterait pas une éventuelle mise en demeure ou avertissement.

La surveillance de l’espace public en surchauffe

Cette surchauffe se fait sur deux lignes parallèles. L’une d’entre elle concerne la multiplication et l’extension des moyens de captation. Caméras de vidéosurveillance fixes, caméras-piétons, caméras sur les véhicules, caméras dans les halls d’immeubles, hélicoptères de surveillance, drones de surveillance. Depuis 1995, cette extension est exponentielle. De l’autre côté, c’est l’utilisation des images captées qui est démultipliée : mutualisation des flux, vidéosurveillance augmentée, reconnaissance faciale

Il devient d’ailleurs difficile de tenir le compte des lois et règlements sur le sujet, entre loi Sécurité Globale en 2021, loi Responsabilité pénale et sécurité intérieure et loi d’orientation et de programmation du ministère de l’intérieur en 2022, loi Jeux olympiques en 2023, et on en oublie sûrement. Le Sénat prépare d’ailleurs déjà la prochaine étape, avec une proposition de loi sur la surveillance biométrique. Le ministère de l’intérieur a par ailleurs annoncé à l’audience qu’un décret encadrant l’usage des drones en police judiciaire (soit pour la recherche d’auteurs d’infractions) était dans les tiroirs.

Toujours plus inquiétant : les préfets et le ministère ne se satisfont déjà plus des drones. Dans les échanges lors de l’audience ou pendant la procédure écrite (comme l’a soulevé Mediapart), le ministère fait déjà part de ses velléités pour le futur : drones équipés de lampes puissantes, pilotes de drones à moto, et drones équipés de dispositifs de produits de marquage codés (spray ou billes tirées à partir de fusils à air comprimé permettant de marquer certains individus lors de manifestations). Où s’arrêtera le ministère de l’Intérieur ?

Nous espérons que le Conseil d’État mettra un coup d’arrêt à cette intensification sans précédent de la surveillance de l’espace public.

Vidéosurveillance biométrique : derrière l’adoption du texte, la victoire d’un lobby

Par : martin
5 avril 2023 à 06:00

Derrière l’adoption la semaine dernière par l’Assemblée nationale du projet de loi sur les Jeux olympiques et son article 7 sur la vidéosurveillance biométrique, il y a aussi la victoire d’un lobby. Mêlant multinationales de la sécurité, start-up de l’intelligence artificielle et décideurs publics adeptes de la répression, ce lobby avance ses pions pour récupérer les parts d’un marché estimé à plusieurs milliards d’euros, bien loin de toute notion de transparence et de débat public.

Cet article est réalisé dans le cadre d’un travail commun entre LQDN et l’Observatoire des multinationales.

La semaine dernière, l’Assemblée nationale a adopté le projet de loi « relatif aux jeux Olympiques et Paralympiques de 2024 ». Déjà voté par le Sénat en janvier dernier, ce texte contient un article 7 qui autorise l’expérimentation de la vidéosurveillance automatisée sur le territoire français.

Comme l’a rappelé La Quadrature du Net, cet article entérine un changement d’échelle sans précédent dans les capacités de surveillance et de répression de l’État et de sa police. La vidéosurveillance automatisée (VSA) est un outil de surveillance biométrique qui, à travers des algorithmes couplés aux caméras de surveillance, détecte, analyse et classe nos corps et comportements dans l’espace public pour alerter les services de police et faciliter le suivi des personnes.

Après le déploiement ininterrompu des caméras de vidéosurveillance (dont le nombre exact n’est toujours pas connu), il s’agit d’une nouvelle étape dans la surveillance du territoire. Alors que la VSA est expérimentée depuis plusieurs années en toute illégalité, ce projet de loi sur les Jeux Olympiques vient la légaliser et donner le champ libre aux industriels pour perfectionner et installer dans la durée leurs outils d’algorithmisation de l’espace public.

Un marché à plusieurs milliards d’euros

Comme tout terrain d’influence des lobbies, la vidéosurveillance automatisée est avant tout un marché en pleine expansion. Si l’on en croit la CNIL, qui se base elle-même sur l’étude d’un cabinet américain, le marché représentait en 2020, au niveau mondial, plus de 11 milliards de dollars, avec une croissance de 7% par an (pour celui de la vidéosurveillance, c’est même 45 milliards en 2020 et 76 milliards estimés en 2025).

L’argent attirant l’argent, les grands groupes et les start-up du secteur enchaînent les levées de fonds, aussi bien auprès des acteurs publics que privés. Dernier exemple en date, la start-up XXII qui a levé il y a quelques semaines 22 millions d’euros pour sa solution de surveillance automatisée auprès de Bpifrance. En 2018, c’était Thales qui avait levé 18 millions d’euros pour sa solution de « Safe City » à Nice et à La Défense. Notons aussi Sensivic, qui développe de l’audiosurveillance automatisée, et qui a levé 1,6 million en juin dernier.

N’oublions pas les financements publics directs qui affluent dans le secteur de la vidéosurveillance et qui motivent d’autant plus les entreprises à se positionner sur le marché pour récolter le pactole. En 2022, ce sont 80 millions d’euros du fonds de prévention contre la délinquance qui ont été alloués principalement à la bien mal nommée vidéoprotection (une augmentation de 10 millions par rapport à l’année précédente).

Tant d’argent qui amène tout un écosystème à s’organiser le plus efficacement possible pour profiter du gâteau.

Lobby multiforme : multinationales, start-ups et associations

Ce lobby de la VSA est avant tout multiforme, c’est-à-dire porté par de multiples acteurs, aussi discrets que puissants, parmi lesquels se trouvent des multinationales bien connues telles que Thales, Safran, Idemia, IBM, Atos ainsi que de nombreuses start-up florissantes. Parmi les plus prometteuses, XXII, Two-I, Datakalab, Aquilae ou encore Sensivic.

La plupart sont enregistrés auprès de la Haute Autorité pour la transparence de la vie publique (HATVP), avec à chaque fois le nombre de « représentants d’intérêts » (lobbyistes), les dossiers ayant donné lieu à lobby et un montant moyen des dépenses de lobbying sur l’année. Thales par exemple déclare entre 400 et 500 000 euros de dépenses de lobbying en 2022, Idemia 10 000 euros. Notons que la start-up XXII déclare près de 200 000 euros de dépenses.

Si l’on additionne rapidement les chiffres des entreprises citées au premier paragraphe, on arrive, et alors même qu’il ne s’agit ici que d’un échantillon restreint des entreprises du secteur, à environ 1,4 million d’euros dépensés en lobbying sur une année (à noter bien évidemment que ces entreprises ne s’occupent pas uniquement de VSA et utilisent cet argent pour sûrement d’autres sujets – cela permet simplement de donner un ordre de grandeur).

Leur toile d’influence est d’ailleurs largement plus vaste et complexe. Chacune de ces entreprises, notamment sur le site de la HATVP, renvoie vers des mandants ou des associations qui sont elles-mêmes actives en matière de lobbying. Et sur le sujet de la vidéosurveillance, il y en a tellement que cela devient presque impossible à suivre. Toutes ces entreprises se regroupent dans des associations professionnelles – des lobbies – chargées de représenter leurs intérêts auprès des institutions, telles que le GICAT, l’Alliance pour la confiance numérique (ACN), la Secure Identity Alliance, le CIGREF, le FIEEC et l’AN2V, l’Association nationale de la vidéoprotection… Suivre les dépenses et les activités d’influence publique de chacune de ces entreprises, de leurs mandants (cabinets de conseils) et de leurs associations devient alors quasiment impossible.

Des noms pour la plupart inconnus du grand public, mais qui sont bel et biens intégrés dans les rouages du système et dotés d’une puissante force de frappe en matière d’influence.

Un lobby de l’intérieur

A tout cela, il faut encore ajouter la couche des responsables publics qui influencent l’appareil étatique de l’intérieur. Les entreprises n’ont pas toujours besoin de dépenser beaucoup d’énergie pour convaincre des décideurs qui semblent eux-mêmes déjà persuadés de la nécessité de transformer nos villes en un fantasme sécuritaire. La liste serait longue à faire mais on peut évoquer les principaux.

Le plus vocal est Christian Estrosi, le maire de Nice, aujourd’hui proche du pouvoir et qui ne cesse de se faire le promoteur de la vidéosurveillance automatisée. Depuis plusieurs années, il expérimente la VSA hors de tout cadre légal et insulte la CNIL dès que celle-ci ose, occasionnellement, lui faire des remontrances. Il n’est bien évidemment pas le seul.

Outre les ministres de l’Intérieur qui sont, par nature, les premiers à défendre les différentes lois sécuritaires (citons Gérarld Darmanin qui lors de l’examen de la loi sur les Jeux Olympiques a défendu la VSA avec passion), plusieurs députés se sont déjà fait les chantres de l’industrie : Jean-Michel Mis, ancien député de la majorité, qui a rédigé un rapport vantant la VSA et proche de l’industrie (voir son portrait ici), Didier Baichère, lui aussi ancien député de la majorité qui a multiplié les entretiens pour faire de la reconnaissance faciale « éthique », Philipe Latombe, député Modem en place qui a donné de sa personne à l’Assemblée pour la défense de la VSA. Citons enfin Marc-Philippe Daubresse, sénateur, qui, on le verra plus bas, a redoublé d’efforts pour convaincre ses collègues de la nécessité de déployer la VSA.

Il n’y a d’ailleurs pas que l’Intérieur. Le secrétariat d’Etat au numérique lui aussi a toujours été un allié de l’industrie de la VSA. Cédric O, ancien de Safran et ancien Secrétaire d’Etat, est allé jusqu’à dire que « expérimenter la reconnaissance faciale est une nécessité pour que nos industries progressent ». Qui retrouve-t-on d’ailleurs aujourd’hui au poste de directeur de cabinet de l’actuel Secrétaire ? Renaud Vedel, ancien préfet engagé sur la stratégie nationale pour l’IA, qui avait déjà prouvé son goût pour la surveillance biométrique.

Autant d’acteurs ou de proches de la majorité se sont fait remarquer pour leur énergie à expliquer l’intérêt et le formidable progrès que représente, selon eux, la surveillance de masse algorithmique. L’influence de ce lobby s’étend la Cour des Comptes qui, en 2023, déclarait sans aucune forme de retenue que « les innovations technologiques qui pourraient être déployées pour assurer une meilleure sécurité des Jeux et réduire les besoins doivent être arbitrées et financées sans délai ».

La stratégie d’influence des industriels est d’autant plus efficace qu’il ne s’agit pas de deux mondes, privé et public, distincts, mais d’un seul système où les uns et les autres s’échangent les postes et responsabilités.

Brassage public-privé

Cette influence passe en effet aussi par des techniques traditionnelles, comme le mécanisme ordinaire des portes tournantes, qui consiste à embaucher des personnes passées par le secteur public, afin de profiter de leur connaissance des rouages du système et de leur réseau personnel.

Quelques exemples. Chez Thales, la directrice des relations institutionnelles Isabelle Caputo a travaillé plusieurs années avant à l’Assemblée nationale. Olivier Andries, le Directeur général de Safran, a commencé sa carrière dans la fonction publique, au ministère de l’Industrie puis à la direction du Trésor, avant de devenir conseiller pour l’industrie dans le cabinet du ministre de l’Économie et des Finances. Toujours chez Safran, le directeur des affaires publiques, Fabien Menant, a quant à lui occupé des postes à la mairie de Paris, au ministère des Affaires étrangères, puis de la Défense.

N’oublions pas les start-up et les associations : François Mattens, lobbyiste pour XXII, est passé par le Sénat, le ministère de l’Intérieur et celui des Affaires étrangères et Axel Nicolas, actuel directeur des affaires publiques pour le GICAT, est un ancien de l’Assemblée nationale.

On pourrait continuer longtemps. Les acteurs du lobby ont en commun le même entremelêment d’expériences dans l’administration, dans le privé, au Parlement qui tendent à en faire une force compacte, qui partage les mêmes réseaux, le même carnet d’adresses – et qui multiplie les possibilités d’échanges occasionnels, discrets, loin des regards du public.

Tout ce monde se retrouve d’ailleurs bien officiellement au COFIS (pour « Comité de la filière industrielle de sécurité ») qui, selon sa page officielle, permet « un dialogue public-privé rénové« , c’est-à-dire, en plus clair, met en relations industriels de la sécurité et hauts fonctionnaires. La liste des participants à son comité de pilotage atteste de cette mixité public-privé. Nous avons cherché à en savoir plus sur ce fameux dialogue public-privé, en sollicitant les documents préparatoires à la signature du contrat stratégique pour la filière « Industries de Sécurité », conclu le 30 janvier 2020 par le gouvernement et le COFIS. Nous n’avons toujours obtenu aucune réponse malgré un avis positif de la Commission d’accès aux documents administratifs (CADA).

Rendez-vous discrets

Les rendez-vous avec les responsables publics se font souvent très discrètement, ce mélange entre public et privé empêchant une réelle publicité des liens entre industries de la sécurité et pouvoirs publics.

Ainsi, malgré l’obligation de les produire chaque année au registre de la HATVP, les déclarations d’activités de lobbying restent sommaires et imprécises, ne permettant pas de rendre compte de l’ampleur et de la portée de ces rencontres, d’autant qu’elles sont soumises au bon vouloir des entreprises.

Par exemple, on sait que des représentants de Thales ont rencontré un « Membre du Gouvernement ou membre de cabinet ministériel – Intérieur » (qui?) sur l’activité « Plan numérique du Gouvernement : Sensibiliser sur les enjeux industriels de l’identité numérique » entre le 1er janvier et le 31 décembre 2020 (quand?). On ne sait donc ni qui, ni quand, ni où, ni la forme de cette rencontre et ce qui en a résulté.

Assez peu d’activités de lobbying sont en réalité déclarées sur le sujet. Par exemple, Thales n’a déclaré que 5 activités tous domaines d’activités confondus en 2021, Idemia aucune, Safran seulement 2 en 2022…

Sans compter que ces déclarations ne prennent pas en compte le lobbying plus insidieux, indirect, qui s’exerce à travers la participation des entreprises aux travaux des think thanks, leurs liens dans les universités, l’organisation de conférences, au sein du COFIS ou aux multiples salons qui pullulent sur le sujet (le plus connu reste Milipol, auto-proclamé évènement mondial de la sécurité intérieure). À quoi il faut encore ajouter les activités des associations professionnelles qui regroupent ces mêmes entreprises.

Du côté des décideurs publics, on ne trouve pas plus d’information. L’agenda public du Ministre des armées, Sébastien Lecornu, annonce un seul rendez-vous avec Patrice Caine, le DG de Thales, le 8 juillet 2022, mais sans dévoiler les sujets discutés.

Le Sénat main dans la main avec les industriels de la VSA

La même alliance complaisante entre décideurs et industriels se remarque dans les rapports parlementaires faisant la promotion de la VSA. Et ils sont nombreux. En 2019, une note de l’OPECST étudie la reconnaissance faciale. En septembre 2021, c’est Jean-Michel Mis qui remet une note au Premier ministre sur le sujet. En mai 2022, c’est Marc Daubresse qui rend son rapport sur la surveillance biométrique sur lequel on reviendra plus bas. Et aujourd’hui, en 2023, la mission d’information de Latombe devrait rendre sous peu son rapport.

Ce sont aussi les modalités de rédaction de ces rapports qui interpellent. À l’occasion de l’examen de la loi JO au Sénat, un rapport général d’information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles a été rendu le 10 mai 2022.

Ont été auditionnés plusieurs entreprises et lobbies du secteur : IDEMIA, ID3 Technologies, Amazon France, Microsoft France, l’Alliance pour la confiance numérique, l’AFNOR et Meta et IBM ont livré des contributions écrites. Par contraste, seules trois associations de défense des libertés – dont la Quadrature du Net – ont été entendues.

Le plus choquant reste les rencontres privilégiées dont ont pu profiter les entreprises à l’occasion de l’élaboration de ce rapport. La mission d’information a organisé plusieurs déplacements de délégués entre février et avril 2022 pour participer à des événements professionnels dédiés à la promotion de la vidéosurveillance ou pour des démonstrations offertes par les industriels. Le jeudi 17 mars 2022 par exemple, la délégation s’est rendue à Nice et pu visiter le Centre de supervision de la Ville, assister à des présentations des travaux en matière de reconnaissance faciale de l’INRIA et du Sophia Antipolis Accenture Labs (un centre de recherche financé par l’entreprise Accenture) avant de participer à une table ronde d’entreprises qui développent des solutions utilisant la reconnaissance faciale. Une journée très productive pour le lobby de la surveillance.

Quelques jours plus tard, le 29 mars 2022, clou du spectacle au centre Thales de Meudon, où les sénateurs ont été invités à participer à différentes activités, présentations des produits Thales et démonstrations vantant l’efficacité de la VSA, une vitrine inestimable pour l’entreprise.

Au cours de ses 5 jours de déplacements entre la France et Londres, la délégation n’a en revanche assisté à aucun événement critique de la VSA. Une simple comparaison entre le temps passé à absorber les élements de langage des industriels de la sécurité et celui à écouter les critiques de la vidéosurveillance suffit à comprendre le caractère absurdement biaisé de cette mission parlementaire.

Il suffit de reprendre les comptes-rendus des débats du Sénat et de l’Assemblée pour voir les effets d’une telle proximité sur la manière dont la loi est examinée et adoptée.

Adoption du texte et victoire du lobby de la VSA

Il n’y a jamais eu de véritable « débat » ou « réflexion » sur la question de la vidéosurveillance biométrique en France. L’adoption de l’article 7 de la loi JO est avant tout l’aboutissement d’un travail d’influence de multinationales, de start-up et de décideurs publics qui veulent se faire une place sur les marchés de la sécurité.

La toute petite partie de ce travail d’influence qu’il nous est possible d’analyser, sur la base des déclarations partielles du registre de transparence de la HATVP, laisse deviner la force de frappe de ce lobby, que ce soit en matière d’argent ou de réseaux. C’est surtout l’entremêlement public-privé qui le caractérise, ce dont personne ne semble se cacher, comme s’il était naturel que les personnes au pouvoir, qui décident et votent sur le sujet, soient aussi proches des industriels qui vendent leurs produits.

Il est toujours effrayant de voir comment à force d’expérimentations illégales, de mirage financier et de déterminisme technologique, ce lobby a réussi à faire voter une loi lui donnant les mains libres dans l’expérimentation de ces technologies.

Surveillance sonore : Orléans baratine la justice

Par : martin
12 janvier 2023 à 03:46

Il y a plus d’un an, La Quadrature du Net a déposé un recours contre un contrat passé par la ville d’Orléans qui autorise l’expérimentation de capteurs sonores dans l’espace public. L’été dernier, la commune défendait sa surveillance privée en adoptant la stratégie du baratin : raconter le plus de bêtises possibles pour embrouiller le tribunal administratif. Nous venons de lui répliquer.

Comme cela a déjà été fait à Saint-Étienne, Marseille, Paris ou Moirans, l’objectif est de faire tomber ce nouveau projet de Technopolice. Il s’agit d’un énième dispositif néfaste issu d’une start-up, ici Sensivic, qui utilise comme tremplin marketing l’avidité de certain·es élu·es pour la surveillance totale des populations.

En octobre 2021, nous avions appris que la ville d’Orléans avait signé une convention avec l’entreprise Sensivic pour expérimenter des « capteurs sonores » sur sa population. Dans la droite lignée de ce qui avait été tenté à Saint-Étienne, le projet consiste à déployer des « détecteurs de sons anormaux » (une douce expression pour « mouchards ») sur des caméras de surveillance.

L’idée, selon les termes de la convention, est « d’analyser en permanence le son ambiant pour pouvoir détecter des anomalies » et ainsi orienter les caméras ou les agents de police vers la source des bruits considérés comme « anormaux » par le micro. En somme, lier à la surveillance automatique visuelle, déjà déployée en masse dans nos villes, une surveillance sonore. En attendant la surveillance des odeurs, comme cela avait été évoqué en 2020 dans un livre blanc du ministre de l’Intérieur ?

La surveillance sonore ne passera pas

Des caméras, des micros, l’ensemble boosté par une supposée « intelligence artificielle » pour effacer toute trace d’anormalité dans nos villes… Non seulement ce projet est un énième fantasme sécuritaire né d’une start-up prête à tout pour rentabiliser son stand à Milipol (le salon parisien de la sécurité), mais il est aussi purement illégal. C’est ce que nous essayons de faire constater au tribunal administratif d’Orléans depuis désormais plus d’un an.

Pour cela, nous nous appuyons sur un précédent très similaire : la CNIL a en effet déjà considéré comme illégal un projet de surveillance sonore déployé quelques années plus tôt à Saint-Étienne. C’est notamment sur la base de cette analyse de la CNIL que nous avons attaqué l’expérimentation d’Orléans, déposant non seulement un recours devant le tribunal administratif mais aussi une plainte devant la CNIL pour la forcer à prendre position.

Si la procédure devant la CNIL n’a pas encore aboutie, la mairie d’Orléans a, en revanche, communiqué à l’été dernier sa défense devant le juge administratif. Nous venons d’y répondre.

Ne dites pas « microphone » mais « détecteur de vibration de l’air »…

La stratégie d’Orléans est simple : pour ne pas avoir à appliquer les règles protectrices du droit des données personnelles qu’elle sait ne pas respecter, la commune tente de faire passer l’idée que son dispositif de surveillance ne traiterait pas de données personnelles. Et par un tour de magie, de faire disparaître toutes les critiques sur les dangers de cette surveillance.

Le débat ressemble beaucoup à ce que l’on observe depuis que ces dispositifs de surveillance sont documentés dans le cadre de notre campagne Technopolice : des collectivités (mais derrière, en fait, des entreprises qui dictent leurs arguments de défense à la collectivité attaquée) qui refusent de se voir appliquer le droit des données personnelles, ou toute règle protectrice des droits fondamentaux.

Orléans fait figure d’exemple type. Ainsi, la ville refuse de voir le produit de la société Sensivic qualifié de micros et préfère parler de « détecteur de vibration de l’air ». Cela ne s’invente pas. La commune pense ainsi perdre le juge et la CNIL en inventant sa novlangue et en préférant des mots creux qui feraient oublier qu’il s’agit d’une surveillance permanente et totale de l’espace public.

La palme de l’absurdité revient de justesse à l’affirmation de la commune selon laquelle « Il convient de préciser que le traitement numérique s’opère par un code “firmware” c’est-à-dire embarqué dans le processeur électronique, et non pas de code “informatique” utilisé dans des ordinateurs classiques. Il s’agit, donc, d’électronique numérique. » La concurrence dans la course à l’aberration juridico-technique était pourtant rude.

Pire ! Le discours de la ville d’Orléans devant la justice entre en contradiction non seulement avec les termes mêmes de la convention passée (la convention que nous attaquons parle de « capteur sonore ») mais aussi avec la communication officielle de Sensivic, qui explique aux communes sur son site que « vos caméras peuvent maintenant avoir des oreilles affûtées ».

Toute l’analyse juridique de la ville d’Orléans repose en réalité sur deux documents inutiles. Le premier est issu d’un laboratoire « indépendant » et déclare, par un grossier argument d’autorité, que les produits de l’entreprise seraient « conformes au RGPD ». Mais comment croire en l’objectivité d’un laboratoire payé par une entreprise pour lui donner un document venant certifier un produit vis-à-vis des acheteurs potentiels ? Surtout lorsque son avis va frontalement à l’encontre du droit en la matière et des avis précédents de la CNIL ?

Le second est un courrier de la CNIL qui dit l’exact opposé de ce que veut démontrer Sensivic. La CNIL y rappelle justement sa position déjà exprimée sur Saint-Étienne : qu’un tel capteur sonore, couplé à une caméra de vidéosurveillance, est susceptible de porter une atteinte disproportionnée à la vie privée et à la liberté d’expression.

Bref, encore une start-up qui pense avoir trouvé un business fructueux en accentuant la surveillance de la population, au mépris de toute considération politique ou juridique – et qui reçoit pour cela le soutien aussi bien des collectivités publiques que des administrations.

Surveiller les gens, cela rapporte de l’argent

Entre temps, et sans être le moins du monde inquiétée par les autorités (qui l’ont plutôt encouragée), Sensivic, l’entreprise qui travaille avec Orléans sur cette surveillance, a tranquillement prospéré, continuant d’amasser les projets et les financements sur son business de surveillance sonore.

Présentant fièrement ses produits de surveillance au salon Viva Technology, la start-up a bénéficié d’une levée de fonds de plus de 1,6 millions d’euros en 2022 auprès d’un ensemble d’investisseurs, dont la BPI (la Banque Publique d’Investissement), fidèle investisseuse des pires projets de la Technopolice (dont le logiciel de surveillance TestWe, sanctionné il y a quelques semaines par la juridiction administrative).

Sur son site, la startup annonce d’ailleurs 1 542 détecteurs installés en France, Belgique et Suisse, et une équipe de 12 salarié·es, tous·tes dédié·es au déploiement d’une surveillance sonore de nos rues et villes, couplée à la vidéosurveillance déjà existante. 

Tout cela gravite dans un petit monde d’entreprises de surveillance, d’associations de lobbys et de financeurs bien habitués entre eux. Sensivic échange sur Youtube avec une autre start-up à tendance sécuritariste, Two-I (qui vend des solutions d’analyse d’image) en discutant analyse d’émotion, surveillance continue de l’espace et partenariat financier. Les deux sont d’ailleurs membres des mêmes associations de professionnels de la surveillance, dont l’AN2V (pour Association Nationale de Vidéoprotection), et sont toutes les deux soutenues par le « Comité Stratégique Filière Sécurité », sorte de lobby des industries de la sécurité officiellement soutenu et encouragé par l’État. 

Nous espérons bien gagner ce nouveau contentieux, devant la juridiction administrative et devant la CNIL, pour mettre un nouveau coup d’arrêt à l’extension de la Technopolice. Après la victoire contre le logiciel de surveillance des étudiant·es TestWe, cela serait une nouvelle encourageante dans la lutte qui s’annonce contre les Jeux Olympiques 2024.

❌
❌