L’« expérimentation » de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi « Jeux Olympiques » adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France. Pour contrer cette stratégie, La Quadrature du Net lance aujourd’hui une campagne visant à nourrir l’opposition populaire à la VSA, une technologie basée sur des techniques d’« Intelligence Artificielle » qui s’assimile à un contrôle constant et automatisé des espaces publics, et qui marque un tournant historique dans la surveillance d’État. Une plainte a également été déposée devant la CNIL afin de dénoncer l’hypocrisie des promoteurs de la VSA et pointer l’incurie de l’autorité de protection des données personnelles.

Le prétexte des Jeux Olympiques

Depuis quelques jours, les services de police du pays et les services de sécurité des sociétés de transport ont légalement recours à la VSA¹Voir notre article consacré aux premiers arrêtés préfectoraux autorisant le recours à la VSA.. Fin avril, invoquant des afflux importants de personnes liés à des matchs de foot ou des concerts, la préfecture de police de Paris a en effet autorisé la SNCF et la RATP à utiliser les technologies de la startup Wintics pour croiser les flux des centaines de caméras installées dans certaines gares et stations de métro parisiennes²Les catégories d’événements à repérer par les systèmes de VSA reprennent une partie des catégories prévues par la loi de 2023, en l’espèce : franchissement ou présence d’une personne dans une zone interdite ou sensible, densité trop importante de personnes, mouvement de foule, présence d’objets abandonnés.. Ces « expérimentations » vont se poursuivre jusqu’en mars 2025, dans le cadre juridique fixé par la loi relative aux Jeux Olympiques adoptée l’an dernier.

Qu’importe l’efficacité dérisoire de ces systèmes de surveillance automatisée des espaces publics. Pour le ministère de l’intérieur, les industriels et leurs relais politiques, ces expérimentations servent avant tout à détourner l’attention, alors qu’en parallèle, des centaines de systèmes de VSA sont illégalement utilisés depuis des années par l’État, les collectivités locales ou les régies de transport. Il s’agit aussi de faire oublier qu’au croisement d’intérêts économiques, électoralistes et autoritaires, les promoteurs de la Technopolice travaillent depuis des années à l’imposition de la VSA partout sur le territoire.

Le pire est à venir

De fait, les projets de loi visant à pérenniser la VSA en recourant aux applications les plus sensibles – à l’image de la reconnaissance faciale en temps réel dans l’espace public ou de la vidéoverbalisation automatique des petites infractions – sont pour certains déjà dans les cartons.

La proposition de loi Transports est un parfait exemple : l’Assemblée nationale s’apprête à débattre de cette proposition poussée par la droite sénatoriale et visant à légaliser la VSA dans les transports. Le gouvernement soutient l’initiative parlementaire puisqu’il a activé la procédure accélérée sur ce texte, sans même attendre les évaluations imposées par la loi JO³Guillaume Jacquot. « Transports : le Sénat adopte une proposition de loi qui renforce l’arsenal de sécurité, avec le soutien du gouvernement », Public Sénat, 14 février 2024..

Par ailleurs, en juin 2023, soit moins de trois mois après l’adoption de la loi JO, le Sénat reprenait un projet d’expérimentation d’abord mûri par la majorité macroniste en adoptant une proposition de loi prévoyant une expérimentation de trois ans de la reconnaissance faciale couplée à la vidéosurveillance. « Trop tôt », avait en substance répondu le gouvernement, estimant que les conditions politiques n’étaient pas réunies et préférant s’en tenir à une stratégie des petits pas⁴Simon Barbarit, « Reconnaissance faciale : le Sénat adopte une proposition de loi pour expérimenter cette technologie ». Public Sénat, 12 juin 2023..

Dénoncer l’hypocrisie ambiante

Pour mieux illustrer l’hypocrisie des « expérimentations » liées à la loi JO, La Quadrature du Net vient de déposer une plainte devant la CNIL contre un déploiement de la VSA totalement illégal et resté largement sous les radars : le projet Prevent PCP.

Associant la SNCF et la RATP avec un panel d’entreprises, dont le groupe Atos et ChapsVision (par ailleurs toutes deux prestataires des expérimentations liées à la loi JO), Prevent PCP prend formellement la forme d’un marché public subventionné par l’Union européenne. En pratique, les entreprises voient leurs systèmes de VSA déployés dans des grandes gares à travers l’Europe pour détecter des « bagages abandonnés », via une méthode reposant sur l’identification et le suivi des propriétaires des bagages. En France, ces systèmes de VSA sont ainsi déployés depuis des mois dans la gare du Nord et la gare de Lyon à Paris ou, plus récemment, dans la gare de Marseille-Saint-Charles.

Grâce aux éléments mis au jour par le groupe local Technopolice Marseille, La Quadrature du Net a donc déposé une plainte devant la CNIL contre ce projet, qui n’est qu’un exemple parmi les centaines de déploiements illégaux de la VSA en France. À travers cette démarche, il s’agit de renvoyer l’autorité en charge de la protection des données personnelles au rôle qui devrait être le sien, alors qu’elle laisse proliférer des projets illégaux de VSA tout en accompagnant le processus de légalisation. Cette plainte permet également de souligner l’hypocrisie des protagonistes de Prevent PCP : alors même qu’elles prennent part à l’expérimentation de la VSA prévue par loi JO, la SNCF, la RATP, Atos ou ChapsVision se livrent en parallèle à des déploiements dépourvus de toute base légale.

Nourrir une opposition populaire à la VSA

Aujourd’hui, La Quadrature du Net lance également différents outils destinés à nourrir des mobilisations contre la VSA dans les prochains mois, et résister à sa légalisation programmée. Une brochure détaillée expliquant les dangers de la VSA, ainsi que des affiches destinées à informer la population sont disponibles sur cette page de campagne dédiée, qui sera enrichie dans les semaines et mois à venir⁵La page de campagne est disponible à l’adresse laquadrature.net/vsa..

Cette campagne contre la VSA s’inscrit dans le cadre de l’initiative Technopolice, lancée en 2019 par La Quadrature pour résister au nouvelles technologies de surveillance policière. Le site Technopolice propose un forum public ainsi qu’une plateforme de documentation participative (appelée le « carré »), libre d’utilisation et destinés à organiser et fédérer des collectifs locaux opposés à ces technologies.

Pour faire la lumière sur les arrêtés préfectoraux qui autorisent localement la VSA dans le cadre de la loi JO, nous avons également lancé un compte Mastodon, Attrap’Surveillance, qui analyse les recueils des actes administratifs des préfectures et diffuse des alertes lorsque des autorisations de surveillance policière sont détectées. C’est ce dispositif qui a permis de repérer mi-avril les premiers arrêtés de VSA. Dans les prochaines semaines, il permettra d’être averti des expérimentations de la VSA autorisées par les préfets afin de les dénoncer.

Par tous les moyens, il nous faut faire valoir notre refus d’un contrôle permanent de nos faits et gestes, dénoncer ces expérimentations, documenter les projets illégaux qui continuent de proliférer, et nous organiser localement pour battre en brèche la Technopolice. Ensemble, luttons pour que l’espace public ne se transforme pas définitivement en lieu de répression policière, pour que nos villes et nos villages soient des espaces de liberté, de créativité et de rencontres !

Pour suivre l’actualité de La Quadrature et suivre cette campagne contre la VSA, vous pouvez vous abonner à notre lettre d’information.

Dans le cadre d’une enquête sur les technologies de police prédictive dont nous vous reparlerons très bientôt, La Quadrature s’est intéressée de près à Edicia. Cette startup est peu connue du grand public. Elle joue pourtant un rôle central puisqu’elle équipe des centaines de polices municipales à travers le pays. Son logiciel Smart Police, dont nous avons obtenu le manuel d’utilisation, permet de faire un peu tout et n’importe quoi. Loin de tout contrôle de la CNIL, Smart Police encourage notamment le fichage illégal, une pratique policière en vogue…

L’entreprise Edicia a été créée en 2013 et a son siège à Nantes. Cette année-là, Vincent Loubert, un ancien consultant de Cap Gemini, rachète, avec le soutien du fonds d’investissement Newfund, une société de logiciels du nom d’Access, lancée à l’origine par un policier à la retraite qui cherchait à développer une application simplifiant le travail des policiers. Sous l’égide d’Edicia, ce logiciel va prendre le nom de Smart Police.

En 2019, après une expansion rapide en France (Edicia prétend alors équiper près de 600 villes à travers le pays)¹, la startup s’internationalise en développant ses activités aux États-Unis, vendant notamment son logiciel à la police de Denver, dans le Colorado, où elle ouvre même une antenne avec une trentaine de salariés. En France, cette année-là, la startup emploie une quarantaine de personnes et réalise des bénéfices pour la première fois depuis son lancement. Loubert affirme alors avoir consacré près de 10 millions d’euros à la R&D.

Depuis, il est possible que l’entreprise ait connu quelques difficultés financières. Le site d’Edicia comme ses comptes sur les réseaux sociaux sont globalement inactifs. Elle semble également embaucher moins de salariés. Pour autant, son logiciel Smart Police continue d’être utilisé au quotidien par des milliers de policier municipaux à travers le pays.

Aperçu de Smart Police

À quoi sert Smart Police ? À un peu tout et n’importe quoi. Il permet aux agents de police d’utiliser leur téléphone ou tablette pour rédiger leurs rapports directement depuis le terrain, d’ajouter à une base de donnée des clichés photographiques, de rapporter des évènements ou encore d’établir des procès-verbaux (voir les captures d’écran du logiciel à la fin de cet article, ou explorer le manuel d’utilisation au format HTML²). Smart Police est aussi utilisé par les officiers pour suivre depuis leurs bureaux les équipes sur le terrain, cartographier les incidents, consulter leurs rapports et recevoir divers indicateurs statistiques en temps réel, de même que les photographies prises en intervention (par exemple lors d’une manifestation).

Les villes de Marseille, Nice, Élancourt, Antony, Le Pré-Saint-Gervais, Libourne, Chinon, Coignères, Maurepas, ou encore la communauté de communes Grand Paris Sud- Seine Essonne Sénart comptent parmi les clientes d’Edicia (avec en tout 350 villes clientes d’après les derniers chiffres fournis sur le site d’Edicia). Mais bien évidemment, en dehors des affirmations péremptoires des patrons d’Edicia ou de quelques édiles relayés dans la presse, aucune étude disponible ne permet de démontrer le prétendu surcroît d’efficacité policière induit par Smart Police. Par ailleurs, une demande CADA nous a appris qu’une ville comme Cannes avait été cliente d’Edicia, avant de décommissionner le logiciel sans qu’on sache exactement pourquoi. Il est possible qu’à l’image de certains logiciels utilisés aux États-Unis puis abandonnés, le rapport coût-efficacité ait été jugé trop faible.

Fichage en mode YOLO ?

L’une des composantes les plus importantes de Smart Police, dont le manuel d’utilisation nous a été communiqué via une demande CADA et est désormais disponible, réside dans son menu « Activités de terrain », que les agents utilisateurs manient quotidiennement. Il leur permet de créer de nouvelles « mains courantes », d’écrire et de référencer des rapports de police (procès-verbaux) documentant diverses infractions que les agents de la police municipale sont autorisés à constater. Lorsqu’ils créent ces fiches, les agents doivent fournir des informations générales, la localisation géographique de l’événement, le type d’infraction, l’identité et les coordonnées du suspect ou des témoins (qui peuvent être enregistrées facilement en scannant une carte d’identité), etc. En tant que telles, ces fiches de signalement peuvent être détournées pour des finalités qui dépassent les prérogatives de la police municipale – lesquelles sont limitées, notamment en matière de contrôle d’identité³ –, et devraient être soumises à un contrôle étroit.

Un autre module présente un risque encore plus important de fichage illégal : il s’agit du module « Demande administré », qui comme son nom l’indique, permet d’enregistrer les signalements faits par des administrés à la police municipale (bruit, dégradation, présence d’un animal dangereux, etc.). Là encore, l’interface rend possible l’ajout de données géolocalisées et de photographies.

Enfin, Smart Police comporte un module « Vigilance active », au sein duquel les agents peuvent rassembler des informations non officielles sur des événements passés ou futurs. Par exemple, si un agent de police a rapporté une rumeur entendue dans la rue ou repérée sur les réseaux sociaux (par exemple concernant un « rassemblement non autorisé », ainsi que l’illustre le manuel), une fiche peut être créée pour la consigner. Celle-ci peut très bien comporter toutes sortes de données dont le traitement par la police est, dans un tel cadre, totalement illégal (identité des personnes suspectées d’organiser ce rassemblement, des photographies extraites des réseaux sociaux, etc.). Ces fiches de renseignement peuvent ensuite être transformées en « missions » assignées aux agents depuis l’interface à disposition des managers, conduire à la création de nouvelles fiches « mains courantes », mais aussi alimenter le module « Analyse prédictive » si la ville cliente d’Edicia y a souscrit (nous y reviendrons dans un prochain article).

On le comprend au regard de ces descriptions, Smart Police comporte un risque important de voir consignées des données identifiantes, et donc là encore de conduire à des opérations de fichage illégal. Notamment, il ne semble pas respecter le cadre réglementaire s’agissant des traitements automatisés utilisés par les polices municipales pour gérer les mains courantes, puisque ce dernier exclut la prise de photographies⁴.

Loin de tout contrôle

Par deux fois, nous avons interrogé la CNIL via des demandes CADA pour savoir si elle s’était penchée sur l’utilisation de Smart Police en France. Par deux fois, la même réponse nous a été faite : en dehors de quelques formalités préalables réalisées par une demi-douzaine de communes avant l’entrée en vigueur du RGPD, nada (voir ici pour la dernière réponse en date). Nous avons bien mis la main sur l’attestation de conformité RGPD, délivrée à Edicia par le cabinet Olivier Iteanu et obtenue via une demande CADA à la ville de Libourne, ainsi qu’un document relatif à la politique de gestion des données d’Edicia, mais celles-ci n’offrent aucun élément réellement rassurant s’agissant du risque de voir Smart Police servir à des opérations de fichage illégal. Enfin, aucune des dizaines de demandes CADA envoyées aux mairies s’agissant d’Edicia n’a mis en évidence de contrôle réalisé par les personnes déléguées à la protection des données au sein des villes.

Nos inquiétudes à ce sujet sont évidemment renforcées par des révélations récentes. La presse locale s’est récemment faite l’écho de pratiques de policiers municipaux dans une commune de la région PACA consistant à échanger, sur des boucles WhatsApp privées et à partir de leurs smartphones personnels, des données sensibles relatives à des personnes : images extraites de la vidéosurveillance, photos des personnes contrôlées, plaques d’immatriculation, pièces d’identité, etc⁵. Des pratiques totalement illégales mais dont on peut supposer qu’elles sont monnaie courante, non seulement au sein des polices municipales mais aussi au sein de la police nationale.

Quant au dernier rapport de l’Inspection générale de la police nationale (IGPN)⁶, il note une hausse sensible des faits de détournements de fichiers (56 enquêtes, contre 38 en 2021 et 27 en 2020), une évolution qu’elle qualifie de « préoccupante » :

Ces faits sont de gravité très inégale selon qu’ils procèdent de la curiosité « malsaine » (passage aux fichiers d’une ex-compagne ou d’un nouveau compagnon, de membres de sa famille, d’une personne connue, d’un chef de service, sans argent versé ou contrepartie) ou du commerce des informations récoltées. Ces cas sont les plus sensibles, lorsque les informations confidentielles issues des fichiers de police sont remises à des tiers, avec ou sans but lucratif. Si la preuve de la consultation illégale est assez simple à rapporter par les enquêteurs, il en va différemment pour la preuve éventuelle d’une rétribution à titre de contrepartie.

Pour l’institution, « cette situation tient à la fois à la multiplication du nombre de fichiers de police et une meilleure accessibilité », notamment du fait d’un déploiement croissant des tablettes et smartphones Neo, lesquelles permettent un accès plus aisé aux fichiers de police pour les agents de la police nationale et de la gendarmerie nationale. L’IGPN estime que l’intelligence artificielle pourrait permettre de détecter plus aisément ces consultations illégales.

Et maintenant ?

Pour notre part, plutôt qu’un solutionnisme technologique abscons, la réponse tiendrait plutôt à une désescalade techno-sécuritaire, à savoir le fait de battre en brèche l’augmentation exponentielle du fichage de la population, le recul constant des garanties concrètes apportées aux droits fondamentaux (recul auquel le RGPD et les textes associés ont participé par de nombreux aspects). Au minimum, les contre-pouvoirs institutionnels, comme la CNIL, devraient faire leur travail, à savoir lutter contre les illégalismes policiers, plutôt que d’instaurer une impunité de fait par leur coupable laisser-faire.

De ce point de vue, un premier pas dans la bonne direction consisterait à procéder à un contrôle résolu des polices municipales clientes d’Edicia, en n’hésitant pas à prononcer de vraies sanctions contre les responsables hiérarchiques dès lors que des infractions seront constatées.

Pour soutenir notre travail, vous pouvez faire un don à La Quadrature du Net.

---

1. À noter : sur son site web, Edicia se targue également de compter parmi ses clients quelques services du ministère de l’Intérieur, mais nos demandes CADA envoyées au ministère sur ces collaborations sont restées infructueuses, le ministère prétendant qu’il n’existe aucun lien avec Edicia. ︎
2. Le manuel d’utilisation de Smart Police est disponible à l’adresse suivante : https://technopolice.fr/police-predictive/manuel-edicia/Edicia.html. ︎
3. Lorsqu’ils créent des procès-verbaux dans Edicia, les agents sont invités à choisir parmi une liste d’infractions présélectionnées et tirées d’une base de données nationale catégorisant tous les types d’infractions (la base de données NATINF). Rappelons que les types d’infractions que les agents de police municipale peuvent constater sont très limités. Ils peuvent par exemple sanctionner les propriétaires de chiens dangereux qui ne respectent pas la loi, inspecter visuellement et fouiller (avec l’autorisation du propriétaire) les sacs et bagages lors de manifestations publiques ou à l’entrée d’un bâtiment municipal, délivrer des amendes en cas d’incivilités telles que le dépôt d’ordures dans la nature, le tapage nocturne, le fait de laisser des animaux dangereux en liberté, et constater la plupart des infractions au code de la route commises sur le territoire communal dès lors qu’elles ne nécessitent pas d’enquête. Cependant, les agents de la police municipale disposent de pouvoirs beaucoup plus étendus que ne le laisse supposer le code pénal : arrestation en flagrant délit d’une personne ayant commis un crime ou un délit passible de prison pour l’amener au poste de police nationale ou de gendarmerie le plus proche, établissement de rapports et procès-verbaux concernant tout crime, délit ou contravention dont les agents municipaux seraient témoins, documents qui peuvent soit être directement transmis à la police nationale ou à la gendarmerie, soit au maire. Celui-ci, ayant qualité d’officier de police judiciaire, transmet alors l’information au procureur de la république. Bien que la loi ne les autorise pas à procéder à des contrôles d’identité, les agents de police municipaux peuvent collecter l’identité d’une personne, tant qu’ils ne demandent pas de produire une pièce attestant de celle-ci, et sont autorisés à demander une preuve d’identité dans le cas des quelques délits qui rentrent dans leurs prérogatives. Le logiciel d’Edicia semble donc offrir des fonctionnalités qui vont bien au-delà du cadre juridique. Voir « Mémento policiers municipaux et gardes champêtres ». Ministère de l’Intérieur, 10 novembre 2021. https://www.interieur.gouv.fr/content/download/129786/1033871/file/memento-polices-muni-gardes-champetres.pdf. ︎
4. Arrêté du 14 avril 2009 autorisant la mise en œuvre de traitements automatisés dans les communes ayant pour objet la recherche et la constatation des infractions pénales par leurs fonctionnaires et agents habilités, consulté le 9 décembre 2023, https://www.legifrance.gouv.fr/loda/id/JORFTEXT000020692173. ︎
5. Éric Galliano, « Saint-Laurent-du-Var : Les policiers municipaux ont constitué leurs propres fichiers de délinquants », Nice Matin, 20 novembre 2023, https://www.nicematin.com/justice/a-saint-laurent-du-var-les-policiers-municipaux-ont-constitue-leurs-propres-fichiers-de-delinquants-886441. ︎
6. Voir le rapport d’activité de l’Inspection générale de la Police nationale pour l’année 2022, disponible à l’adresse : https://www.interieur.gouv.fr/Publications/Rapports-de-l-IGPN/Rapport-annuel-d-activite-de-l-IGPN-2022 ︎ ︎