Révélé et dénoncé par plusieurs associations de défense des droits des personnes transgenres, un récent arrêté ministériel autorise la création d’un fichier de recensement des changements d’état civil. Accessible par la police et présenté comme une simplification administrative, ce texte aboutit en réalité à la constitution d’un fichier plus que douteux, centralisant des données très sensibles, et propice à de nombreuses dérives. Le choix de créer un tel fichier pose d’immenses problèmes aussi bien politiquement que juridiquement.

Brève histoire du RNIPP

Comme beaucoup d’actes réglementaires pris en fin d’année, l’arrêté du 19 décembre 2023 « portant création d’un traitement automatisé de données à caractère personnel dénommé « table de correspondance des noms et prénoms » » aurait pu passer inaperçu. Il est pourtant d’une sensibilité extrême.

Avant d’en détailler le contenu, revenons rapidement sur le contexte et l’origine de ce texte. Celui-ci découle d’un autre acte réglementaire : un décret-cadre de 2019 relatif à l’utilisation du Numéro d’identification au répertoire national des personnes physiques (NIR). Le NIR, c’est ce fameux numéro « de sécurité sociale » attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE. Bien que, dans les années 1970, le projet d’utiliser le NIR pour interconnecter des fichiers d’États ait inquiété et conduit à la création de la CNIL, il est aujourd’hui largement utilisé par les administrations fiscales, dans le domaine des prestations sociales, dans l’éducation ou encore la justice, ainsi que pour le recensement. Le NIR peut également être consulté au travers du répertoire national d’identification des personnes physiques (RNIPP).

Si, en théorie, ce numéro devrait être très encadré et contrôlé par la CNIL, son utilisation est aujourd’hui très étendue, comme le démontre ce fameux décret-cadre de 2019 qui recense la longue liste des traitements utilisant le NIR ou permettant la consultation du RNIPP. Régulièrement mis à jour pour ajouter chaque nouveau traitement lié au NIR ou RNIPP, le décret a ainsi été modifié en octobre 2023 pour autoriser une nouvelle possibilité de consultation du RNIPP lié au changement d’état civil. C’est donc cela que vient ensuite préciser l’arrêté de décembre, objet de nos critiques.

Lorsqu’on lit le décret et l’arrêté ensemble, on comprend qu’il accorde aux services de police un accès au RNIPP « pour la consultation des seules informations relatives à l’identité des personnes ayant changé de nom ou de prénom » en application du code civil, à l’exclusion du NIR, et ce « aux fins de transmission ou de mise à disposition de ces informations aux services compétents du ministère de l’intérieur et des établissements qui lui sont rattachés et de mise à jour de cette identité dans les traitements de données à caractère personnel mis en œuvre par eux ». Il s’agirait du premier accès au RNIPP accordé au ministère de l’intérieur.

Un fichier de données sensibles…

Dans ce nouveau fichier, seront ainsi enregistrées pendant six ans les données liées au changement d’état civil ayant lieu après le 19 décembre 2023 : les noms de famille antérieurs et postérieurs au changement de nom, les prénoms antérieurs et postérieurs au changement de prénom, la date et le lieu de naissance, la date du changement de nom ou de prénom, le sexe et le cas échéant, la filiation.

Ces changements ne concernent pas l’utilisation d’un nom d’usage, tel que le nom de la personne avec qui l’on est marié·e, qui est le changement le plus courant. En pratique, de telles modifications d’état civil concerneraient deux principales situations : le changement de prénom lors d’une transition de genre ou le changement de nom et/ou prénom que des personnes décident de « franciser », notamment après une obtention de papiers. Si le fichier apparaît comme un instrument de simplification administrative au premier regard, il constitue également – comme l’ont dénoncé les associations de défense des droits LGBTQI+ – un fichier recensant de fait les personnes trans et une partie des personnes immigrées.

D’un point de vue juridique, notre analyse nous conduit à estimer que ce fichier contient des données dites « sensibles », car elles révéleraient « la prétendue origine raciale ou l’origine ethnique » ainsi que « des données concernant la santé ». La Cour de justice de l’Union européenne a récemment établi¹Voir l’arrêt de la CJUE, gr. ch., 1er août 2022, OT c. Vyriausioji tarnybin˙es etikos komisija, aff. C-184/20 que la définition des données sensibles devait être interprétée de façon large et considère que si des données personnelles sont susceptibles de dévoiler, même de manière indirecte, des informations sensibles concernant une personne, elles doivent être considérées comme des données sensibles. Dans cette même décision, la Cour ajoute ainsi que si les données traitées ne sont pas sensibles lorsqu’elles sont prises indépendamment mais que, par recoupement avec d’autres données (fait par le traitement ou par un tiers) elles peuvent malgré tout révéler des informations sensibles sur les personnes concernées, alors elles doivent être considérées comme étant sensibles.

C’est exactement le cas ici : les noms et prénoms ne sont pas des données sensibles, mais si une personne tierce a en parallèle l’information que ceux-ci ont été modifiés, elle peut, par recoupement, en déduire des informations sur la transidentité d’une personne (qui changerait de Julia à Félix) ou son origine (qui passerait de Fayad à Fayard pour reprendre l’exemple donné par l’État). Cette table de correspondance crée donc en réalité un traitement de données sensibles. Or celles-ci sont particulièrement protégées par la loi. L’article 6 de la loi informatique et libertés de 1978 et l’article 9 du RGPD posent une interdiction de principe de traiter ces données et prévoient un nombre limité d’exceptions l’autorisant. Pourtant, dans sa délibération sur le décret, d’ailleurs particulièrement sommaire, la CNIL ne s’est pas penchée sur cette conséquence indirecte mais prévisible de création de données sensibles. Celles-ci seraient donc traitées en dehors des règles de protection des données personnelles.

…à destination de la police

Ensuite, la raison d’être de ce fichier particulièrement sensible interroge. La finalité avancée dans l’arrêté est « la consultation de l’identité des personnes ayant changé de nom ou de prénom en application des articles 60, 61 et 61-3-1 du code civil » et « la mise à jour de cette identité dans les traitements de données à caractère personnel que [le ministre de l’intérieur] ou les établissements publics qui lui sont rattachés mettent en œuvre ». En première lecture, on pourrait imaginer qu’il s’agit de simple facilité de mise à jour administrative. Pourtant, celle-ci diffère des procédures existantes. En effet, aujourd’hui, lorsqu’une personne change de prénom et/ou de nom, la mairie ayant enregistré le changement d’état civil informe l’INSEE qui met à jour le RNIPP et prévient les organismes sociaux et fiscaux (Pôle Emploi, les impôts, la CPAM…). En parallèle, la personne concernée doit faire un certain nombre de procédures de modifications de son coté (carte d’identité, de sécurité sociale, permis de conduire…)²L’Amicale Radicale des Cafés Trans de Strasbourg a publié dans un billet de blog un récapitulatif de l’ensemble des démarches à effectuer pour changer d’état civil en France..

Aucune administration n’a donc, à aucun moment, accès à un fichier recensant les changements d’état civil puisque ces modifications sont faites de façon distribuée, soit à l’initiative de l’INSEE soit à celle de la personne concernée. Pourquoi ne pas en rester là ? La raison tient sans doute au fait qu’en réalité, ce fichier est un des instruments de surveillance de la police. La lecture des nombreux destinataires du traitement est éloquente. Il s’agit des agents habilités de la police nationale et de la gendarmerie nationale, des agents habilités des services centraux du ministère de l’Intérieur et des préfectures et sous-préfectures, des agents effectuant des enquêtes administratives (pour des emplois publics ou demandes de séjour) ou des enquêtes d’autorisation de voyage, ou encore de l’agence nationale des données de voyage, du commandement spécialisé pour la sécurité nucléaire et du conseil national des activités privées de sécurité (sécurité privée qui a de plus en plus de pouvoir depuis la loi Sécurité globale…).

On le comprend alors : cette « table de correspondance » a pour unique but d’être consultée en parallèle d’autres fichiers de police, dont le nombre a explosé depuis 20 ans (il y en aurait aujourd’hui plus d’une centaine³Le dernier décompte a été fait en 2018 dans un rapport parlementaire sur le sujet ) et dont les périmètres ne cessent de s’élargir. Ainsi, par exemple, lorsqu’un agent de police contrôle l’identité d’une personne, il ne consultera plus seulement le fichier de traitement des antécédents judiciaires (ou TAJ), mais également ce fichier des personnes ayant changé de nom : le premier lui permettra alors de connaître les antécédents de la personne, et le second de savoir si elle est trans ou étrangère.

Si les deux situations soulèvent des inquiétudes sérieuses, attardons-nous sur le cas des personnes trans. Elles seront outées de fait auprès de la police qui aurait alors connaissance de leur deadname⁴Le lexique du site Wiki Trans définit l’outing comme la révélation « qu’une personne est trans (ou LGBTQIA+). L’outing ne doit JAMAIS se faire sans le consentement de la personne concernée. Et cela peut être considéré, dans le code pénal, comme une atteinte à la vie privée ». Le deadname est le « prénom assigné à la naissance » et peut être source de souffrance pour une personne trans.. Or de nombreux témoignages, tels que ceux recensés chaque année par SOS Homophobie dans ses rapports sur les LGBTI-phobies, démontrent qu’il existe une réelle transphobie au sein de la police. Compte tenu de ces discriminations et des violences qui peuvent y êtres associées, fournir de telles informations à la police aura non seulement pour effet de les renforcer mais peut également mettre en danger les personnes trans confrontées à la police. Ces craintes ont été partagées sur les réseaux sociaux et laissent entendre que certain·es pourraient renoncer à entamer de telles démarches de changement d’état civil face à la peur d’être présent·es dans un tel fichier. De façon générale, les personnes trans sont historiquement et statistiquement davantage victimes de violences policières.

Par ailleurs, les informations de cette « table de correspondance » pourront venir nourrir le renseignement administratif, notamment le fichier PASP qui permet de collecter un grand nombre d’informations, aussi bien les opinions politiques que l’activité des réseaux sociaux ou l’état de santé des dizaines de milliers de personne qui y sont fichées. Alors que ces capacités de surveillance prolifèrent, sans aucun réel contrôle de la CNIL (nous avons déposé une plainte collective contre le TAJ il y a plus d’un an, toujours en cours d’instruction par l’autorité à ce jour), l’arrêté de décembre dernier offre à la police toujours plus de possibilités d’en connaître davantage sur la population et de nourrir son appétit de généralisation du fichage.

Un choix dangereux en question

Au-delà de cette motivation politique, qui s’inscrit dans une extension sans limite du fichage depuis deux décennies, il faut également critiquer les implications techniques liées à la création d’un tel fichier. En centralisant des informations, au demeurant très sensibles, l’État crée un double risque. D’une part, que ces informations dès lors trop facilement accessibles soient dévoyées et fassent l’objet de détournement et autres consultations illégales de la part de policiers, comme pour bon nombre de fichiers de police au regard du recensement récemment effectué par Mediapart.

D’autre part, du fait de la centralisation induite par la création d’un fichier, les sources de vulnérabilité et de failles de sécurité sont démultipliées par rapport à un accès décentralisé à ces informations. Avec de nombreux autres acteurs, nous formulions exactement les mêmes critiques en 2016 à l’encontre d’une architecture centralisée de données sensibles au moment de l’extension du fichier TES à l’ensemble des personnes détentrices d’une carte d’identité, cela aboutissant alors à créer un fichier qui centralise les données biométriques de la quasi-totalité de la population française.

En somme, ce décret alimente des fichiers de police déjà disproportionnés, en y ajoutant des données sensibles en dérogation du cadre légal, sans contrôle approprié de la CNIL et touche principalement les personnes trans et étrangères, facilitant par là le travail de surveillance et de répression de ces catégories de personnes déjà stigmatisées par la police.

Cette initiative n’est pas unique à la France et s’inscrit dans un mouvement global inquiétant. En Allemagne, malgré l’objectif progressiste d’une loi de 2023 sur le changement de genre déclaratif, des associations telles que le TGEU ont dénoncé le fait que les modifications d’état civil soient automatiquement transférées aux services de renseignement. Aux États-Unis, différents États ont adopté des lois discriminatoires vis-à-vis des personnes trans, forçant certaines personnes à détransitionner ou bien à quitter leur État pour éviter de perdre leurs droits. Au Texas, le procureur général républicain a essayé d’établir une liste des personnes trans à partir des données relatives aux modifications de sexe dans les permis de conduire au cours des deux dernières années.

En outre, ce décret crée pour la première fois un accès pour le ministère de l’Intérieur au RNIPP, répertoire pourtant réservé aux administrations sociales et fiscales. Or, l’expérience nous montre que toute nouvelle possibilité de surveillance créé un « effet cliquet » qui ne conduit jamais à revenir en arrière mais au contraire à étendre toujours plus les pouvoirs accordés.

Nous nous associons donc aux différentes organisations ayant critiqué la création de ce fichier stigmatisant et qui participe à l’édification d’un État policier ciblant des catégories de populations déjà en proie aux discriminations structurelles. Nous espérons qu’outre ses dangers politiques, son illégalité sera dénoncée et conduira rapidement à son abrogation.

Article co-écrit par La Quadrature du Net et Act Up-Paris.

Parmi les nombreuses mesures du projet de loi visant à sécuriser et réguler l’espace numérique (« SREN » ou « Espace numérique ») figurent deux articles qui renforcent le contrôle des sites proposant du contenu à caractère pornographique, en leur imposant de vérifier l’âge des internautes pour bloquer l’accès aux mineur·es. Nous revenons, La Quadrature du Net et Act Up-Paris, sur cette mesure et ses dangers (voir aussi l’analyse globale de La Quadrature sur le projet de loi SREN).

Vérification de l’âge et blocage

À l’été 2020, la loi n° 2020-936 a renforcé les obligations pesant sur les sites proposant du contenu à caractère pornographique afin d’empêcher les mineur·es d’accéder à ces derniers. D’une part, elle a renforcé le délit que commet un site à caractère pornographique s’il est accessible à un·e mineur·e : demander à l’internaute de déclarer sur l’honneur qu’il ou elle est majeur·e ne suffit pas. D’autre part, cette loi a introduit une obligation pour ces sites de recourir à des dispositifs de vérification de l’âge des internautes. La sanction en cas d’absence de vérification de l’âge est la censure. L’Arcom, autorité née de la fusion entre le CSA et la Hadopi, est chargée de mettre en demeure les sites ne vérifiant pas correctement l’âge des internautes, puis de saisir la justice pour les faire censurer si les mises en demeures sont restées sans effet.

À l’époque, La Quadrature constatait que, encore une fois, les élu·es n’avaient rien compris à ce qu’est Internet. Vouloir mettre en place une obligation de vérifier l’âge des internautes en empêchant la seule technique respectueuse des libertés fondamentales qu’est l’auto-déclaration de l’internaute revient à supprimer le droit à l’anonymat en ligne. Act Up-Paris s’était prononcée également contre de tels procédés de censure, contre-productifs tant pour protéger les mineur·es de l’exposition aux contenus pornographiques que pour l’indépendance des travailleur·ses du sexe.

Le projet de loi SREN actuellement débattu à l’Assemblée montre que le gouvernement et les élu·es qui soutiennent ce texte n’ont toujours pas compris le fonctionnement d’Internet et les enjeux en termes de libertés fondamentales. En effet, à ses articles 1^er et 2, ce texte va encore plus loin dans l’obligation de vérifier l’âge des internautes qui souhaiteraient accéder à un site à caractère pornographique : si ces deux articles étaient votés en l’état, l’Arcom pourrait imposer aux plateformes ses propres choix techniques pour vérifier l’âge (à travers l’édiction d’un référentiel), puis censurer elle-même, sans passer par un juge, les sites qui ne se plieraient pas à ses exigences (par des injonctions de blocage et de déréférencement).

Contourner le juge

Ce projet de loi prévoit deux contournements du juge : celui-ci ne décidera plus du bien-fondé d’une censure avant que celle-ci ne soit prononcée, et il ne décidera plus de la manière de procéder à la vérification de l’âge.

En effet, premièrement, le ministre Jean-Noël Barrot à l’origine de ce projet de loi ne cache pas que l’objectif est de ne plus attendre la justice pour censurer les sites : le projet de loi confie, dans son article 2, le soin à l’Arcom de censurer elle-même les sites, au lieu de passer par la justice, dans un mouvement de défiance envers cette dernière. M. Barrot justifiait ainsi devant le Sénat le rôle du référentiel qu’édictera l’Arcom : « En réalité, le référentiel vient sécuriser la capacité de l’Arcom à ordonner le blocage et le déréférencement. Et puisque nous prévoyons dans les articles 1^er et 2 d’aller beaucoup plus vite, en contournant la procédure judiciaire, pour procéder à ce blocage, il faut que nous puissions fixer, à tout le moins, les conditions dans lesquelles le blocage et le déréférencement puissent être prononcés par l’Arcom. »

Le ministre a admis également dans la presse que ce mécanisme pourrait parfaitement conduire à censurer des réseaux sociaux comme Twitter. En effet, censurer Twitter est une demande récurrente de certaines associations de protection de l’enfance qui avaient formellement saisi l’année dernière l’Arcom afin qu’elle obtienne le blocage judiciaire du réseau social. Pourtant, à notre connaissance, l’autorité n’a jamais fait droit à cette demande, très certainement parce qu’une telle censure serait refusée par la justice. Demain, si ce texte passait, l’autorité pourrait exiger directement le blocage d’un réseau social comme Twitter, d’autant plus que le gouvernement l’y incite.

Deuxièmement, le contournement du juge réside également dans les règles qui s’appliqueront aux sites pour vérifier l’âge. En effet, l’Arcom sera chargée d’établir un référentiel pour déterminer les caractéristiques obligatoires de la vérification de l’âge. Aujourd’hui, en l’absence de précision dans la loi, c’est le juge qui, lorsqu’il est saisi d’une demande de l’Arcom de censure d’un site, regarde si la vérification de l’âge est techniquement possible et décide de prononcer ou non une censure en fonction des outils disponibles et des conséquences pour les droits fondamentaux. Mais demain, ce sera l’Arcom qui décidera de comment procéder à cette vérification¹On relèvera également le grand risque d’inconstitutionnalité de ce nouveau pouvoir accordé à l’Arcom. Depuis une décision de 1989, le Conseil constitutionnel considère que, s’il est possible de confier à une autorité administrative un pouvoir réglementaire, c’est-à-dire un pouvoir d’édicter des règles contraignantes, celui-ci ne peut porter que sur « des mesures de portée limitée tant par leur champ d’application que par leur contenu ». En l’espèce, le Conseil constitutionnel avait censuré des dispositions qui confiaient au CSA le soin d’édicter des règles générales qui devaient s’imposer aux personnes régulées. Cette jurisprudence s’oppose donc également à ce que le référentiel que l’Arcom devra établir soit édicté par l’autorité elle-même.. Ce référentiel s’imposera aux sites, qui n’auront pas d’autre choix que de s’y conformer sous peine d’être censuré, même si cela aurait des conséquences dramatiques pour les libertés fondamentales.

Ce contournement du juge est particulièrement inquiétant dans un État de droit. La justice est vue par le gouvernement comme un frein, un obstacle qu’il faudrait « contourner ». Pour le ministre, la fin justifie les moyens : parce que la justice est considérée comme trop lente, elle doit être contournée. Les mêmes dangers pour les libertés que dans le reste des cas de censure administrative se poseront ici : la justice pourra toujours se prononcer sur le bien-fondé d’une censure, mais une fois seulement que celle-ci sera mise en place. Agir d’abord, réfléchir ensuite.

Surveillance automatisée des contenus et risques de sur-censure

À première vue, on serait tenté de se dire que l’obligation de vérification de l’âge pour les sites proposant du contenu pornographique n’est pas très grave car elle est limitée. Mais comme on l’a dit juste avant, les réseaux sociaux seront eux aussi concernés.

Pour une plateforme dont l’objet principal est de proposer du contenu à caractère pornographique, l’étendue de cette obligation de vérifier l’âge des internautes est facile à déterminer : avant l’accès à la moindre page de ces sites, la vérification de l’âge devra être faite. Mais il est beaucoup plus difficile pour un site dont l’objet principal n’est pas de proposer un tel contenu, notamment les réseaux sociaux, de distinguer ce qui relèverait de la pornographie ou non.

L’obligation de vérifier l’âge des internautes avant d’accéder à un contenu pornographique va donc, de fait, imposer aux plateformes de réseaux sociaux d’analyser automatiquement tous les contenus que publieraient leurs utilisateur·rices afin de déterminer les contenus à caractère pornographique, pour activer la vérification de l’âge quand cela sera nécessaire. Une analyse humaine n’est en effet pas envisageable en raison de la masse à traiter. Et comme la responsabilité repose sur les plateformes, elles seront nécessairement incitées à englober des contenus qui ne relèvent pas de la pornographie, dans le doute et par crainte d’une sanction pénale et d’une censure administrative²Une telle obligation de surveillance généralisée des contenus est radicalement contraire au droit européen puisque la directive e-commerce précise à son article 15 que « les États membres ne doivent pas imposer aux prestataires (…) une obligation générale de surveiller les informations qu’ils transmettent ou stockent »..

Le résultat sera catastrophique car les plateformes censureront par exemple les contenus de prévention en santé sexuelle. En effet, aujourd’hui, des associations de santé comme le Projet Jasmine de Médecins du Monde font des maraudes virtuelles pour toucher les travailleur·ses du sexe les plus éloigné·es de l’accès au soin. D’autres, comme Grisélidis, effectuent des maraudes en ligne sur les applications pour toucher les personnes mineur·es qui se prostituent. Or, ces différentes actions, qui visent à accompagner et aider ces personnes, seront impactées par cette censure. Aujourd’hui déjà, les campagnes de santé sexuelle sont limitées car les algorithmes invisibilisent tout ce qui touche aux sexualités : la simple mention du mot « sexe » fait perdre de la visibilité aux contenus en ligne et la nudité est censurée (voir par exemple la censure par Meta d’une une de Télérama contre la grossophobie, ou la censure d’une campagne de prévention d’Act-Up Paris). Le public que ces associations tentent d’aider subit aujourd’hui déjà des suppression de comptes sur les réseaux sociaux, et ce projet de loi aggravera cela. Le principal risque pour les associations de santé communautaire est de perdre le contact avec ces personnes particulièrement vulnérables.

Fin de l’anonymat en ligne

Enfin, de manière encore plus grave, cette vérification de l’âge implique la fin de l’anonymat en ligne. On rappellera que le principe est le droit à l’anonymat en ligne, qui est protégé tant par le droit de l’Union européenne³Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat. que par la Convention européenne de sauvegarde des libertés fondamentales (CESDH)⁴La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la CEDH puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119).. Or, le projet de loi SREN remet directement en cause ce principe en ligne.

Le texte ne dit pas comment la vérification de l’âge devra se faire : c’est sur l’Arcom, lorsqu’elle édictera son référentiel, que reposera cette mission. Il existe plusieurs manières de vérifier l’âge en ligne. La plupart sont relativement peu fiables et constitueraient de graves atteintes aux libertés fondamentales (analyse biométrique du visage, analyse de l’historique, utilisation d’une carte bancaire, envoi de sa carte d’identité au site). Il existe également une manière non-fiable mais qui offre l’avantage de ne pas créer d’atteinte disproportionnée aux libertés : l’auto-déclaration par l’internaute. Mais le législateur a explicitement écarté cette dernière en 2020.

La solution qui revient régulièrement, parce qu’elle serait la moins mauvaise solution, est l’identité numérique et on peut s’attendre à ce que l’Arcom s’oriente vers cette solution dans son référentiel. L’identité numérique consiste à s’identifier en ligne à l’aide d’un service autre. Les GAFAM ont leur système d’identité numérique (par exemple Google qui permet de s’identifier sur un site tiers à l’aide du compte Google de l’internaute), l’État également (avec ses services FranceConnect et France Identité). Or, l’identité numérique, si elle est bien implémentée via un tiers de confiance, permet de limiter les informations traitées. Comme le relevait le laboratoire d’innovation numérique de la CNIL (le LINC), passer par un tiers de confiance qui sera chargé de vérifier l’âge pour le compte d’un site internet permet à ce dernier de ne pas connaître l’identité de l’internaute. Avec ce mécanisme, l’internaute se connecte à ce tiers de confiance à l’aide d’une identité numérique d’État pour justifier de son identité donc de son âge. Puis le tiers de confiance délivre un certificat de majorité (aussi appelé ici « jeton » ou « token ») à l’internaute. Enfin, l’internaute transmet au site ce certificat pour prouver qu’il ou elle a 18 ans ou plus. Concrètement, cela prend la forme d’une page de connexion sur la plateforme du tiers de confiance et la transmission du certificat est effectuée automatiquement par le navigateur de l’internaute vers le site qui demande la majorité.

Cette solution, parfois appelée « en double aveugle », a beau être la moins mauvaise, elle reste dangereuse. Certes, le site qui doit vérifier l’âge de l’internaute ne connaît pas son identité réelle (mais seulement s’il a 18 ans ou plus) et le tiers de confiance ne sait pas sur quel site l’internaute se connecte (parce que le certificat de majorité n’est pas présenté directement par le tiers de confiance au site). En revanche, une telle solution implique nécessairement de devoir justifier de son identité à un moment avant de pouvoir accéder à un service en ligne : même si l’internaute ne se connecte pas directement auprès du site voulant vérifier l’âge, il devra justifier de son identité auprès d’un tiers. L’anonymat n’est plus possible si un site impose à ses internautes de s’identifier pour vérifier leur âge. Dit autrement, lorsque le législateur impose de vérifier l’age des internautes, il empêche fatalement tout anonymat en ligne.

Et cette affirmation est d’autant plus vraie que d’autres mesures voulues par la majorité impliquent de vérifier l’âge au-delà des contenus à caractère pornographique.

Interdire, interdire, interdire

Comme La Quadrature du Net le relevait, la vérification de l’identité des internautes avant d’accéder à du contenu à caractère pornographique s’insère dans une série de prises de positions et de lois en défaveur de l’anonymat en ligne. En juillet, le Parlement a adopté une proposition de loi Horizons qui instaure une « majorité numérique ». Cette loi veut imposer aux plateformes en ligne⁵Le texte parle de « réseaux sociaux » mais la définition est tellement large qu’elle englobe également les messageries interpersonnelles ou les sites ayant un espace de discussion, comme par exemple n’importe quel blog en ligne : « On entend par service de réseaux sociaux en ligne toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. » d’empêcher leurs utilisateur·rices de moins de 13 ans de se créer un compte, de s’assurer que celles et ceux ayant entre 13 et 15 ans ont bien l’accord de leurs parents, et, pour les mineur·es entre 15 et 18 ans de permettre à leurs parents de suspendre a posteriori leur compte sans avoir à se justifier. Heureusement que la rapporteure du texte au Sénat a torpillé la loi en soumettant son entrée en vigueur au feu vert de la Commission européenne qui ne devrait jamais être donné⁶Dans une affaire pendante devant la Cour de justice de l’Union européenne (CJUE) concernant les obligations de modération qui s’imposent aux plateformes, l’avocat général (magistrat chargé de rentre un avis à la Cour sur l’affaire) a estimé qu’un État membre ne peut imposer à une plateforme en ligne une obligation générale qui n’est pas prévue par le droit de l’UE. Autrement dit, si la Cour suivait son avocat général (elle n’est pas obligée mais le suit malgré tout très souvent), les obligations de vérifier l’âge des internautes seraient contraires au droit de l’UE car elles constitueraient une obligation supplémentaire qui n’est pas prévue par le droit de l’UE.. En revanche, cette tentative législative montre bien que le législateur est prêt à généraliser le contrôle de l’identité en ligne, parce que pour lui la solution aux problèmes ne peut résider que dans l’interdiction : interdire le porno et les réseaux sociaux aux mineurs, voire peut-être demain également les VPN. Parce que pourquoi pas.

L’art de passer à côté du vrai problème

Sous couvert de réguler les plateformes, le gouvernement évite soigneusement de répondre au problème de l’éducation sexuelle des enfants. Encore une fois, il préfère agir sur les conséquences (l’accès aux contenus à caractère pornographique par les mineur·es) plutôt que de s’occuper du fond du problème, qui est l’échec de l’éducation sexuelle en France.

Il y a un an, le Haut Conseil à l’égalité entre les femmes et les hommes (HCE) tirait la sonnette d’alarme sur le sexisme à l’école. Il notait que, loin d’être un lieu d’éducation des enfants aux questions d’égalité de genre, l’école, au contraire, « entretient et amplifie les stéréotypes de sexe ». S’il relève également que l’accès à la pornographie peut être une des raisons de la culture du viol prégnante (bien que celle-ci ne soit pas propre aux pornographies mais se diffuse dans toutes les strates de la société), il ne préconise pas la censure des sites. Au contraire, le HCE presse les pouvoirs publics de s’attaquer à la racine du problème à l’école : les enseignements obligatoires à la sexualité ne sont pas assurés, le harcèlement, le cyberharcèlement et les violences en ligne ne sont pas traitées à la hauteur des enjeux, il n’existe pas d’obligation de justes représentation et proportion de figures féminines dans les manuels, programmes scolaires et sujets d’examen. En effet, seul·es 15 % des élèves bénéficient des trois séances d’éducation à la sexualité obligatoires pendant l’année scolaire jusqu’à la fin du lycée alors même qu’elles sont prévues dans la loi depuis 2001. Cette carence grave de l’éducation nationale a récemment conduit les associations Sidaction, Planning Familial et SOS Homophobie à saisir la justice pour faire appliquer la loi. Or, comme le rappellent ces associations, « l’éducation à la sexualité, c’est donc moins de grossesses non désirées, moins d’IST, moins de VIH, moins de violences sexistes et sexuelles, moins de discriminations et de violences LGBTIphobes, plus de consentement, plus de comportements responsables, plus d’autonomie, plus de respect de soi même et de l’autre, plus de confiance en soi, plus d’égalité entre les femmes et les hommes ». Le Défenseur des droits faisait le même constat en 2021 de la nécessité d’accompagner et d’aider les enfants au lieu de leur rajouter de nouvelles interdictions : « Il est par ailleurs nécessaire de déployer la prévention à l’école, afin de mieux protéger les enfants de l’exposition précoce à la pornographie. Il convient également de renforcer les campagnes de sensibilisation auprès des enfants, adolescents et de leurs familles (éducation à la vie affective, relationnelle et sexuelle […]) ».

En définitive, le projet de loi SREN est une énième opération de marketing électoral. Non seulement il ne résoudra rien aux problèmes qu’il prétend vouloir régler, mais en plus il signifierait la fin de l’anonymat en ligne. Cette dernière est une vieille demande de la droite française et le symptôme d’une classe politique qui ne comprend toujours pas ce qu’est Internet. Le rejet des articles 1^er et 2 du projet de loi est nécessaire. Ils ne sont pas seulement contraires aux droits fondamentaux, ils feraient sauter la digue de l’anonymat en ligne, pourtant cruciale pour beaucoup de personnes, et feraient entrer encore un peu plus la France dans le club des États autoritaires. Alors n’hésitez pas à nous aider dans notre lutte, en faisant un don à Act-Up Paris ou à La Quadrature du Net et en parlant de ces sujets autour de vous.

Il y a un peu plus d’un an, la Commission européenne proposait l’un des pires textes jamais pensés sur le numérique : le règlement CSAR, également appelé « Chat control ». Affichant l’objectif de lutter contre les abus sexuels sur les enfants, cette proposition vise en réalité à créer un outil inédit de surveillance des communications. Dès le dépôt de ce projet de règlement, partout en Europe, associations et expert·es se sont insurgé·es contre cette initiative car elle reviendrait à mettre fin au chiffrement des communications. Aujourd’hui, bien que les critiques sont aujourd’hui plus nombreuses encore, les discussions avancent rapidement à Bruxelles, laissant présager une adoption très prochaine du texte. Afin de comprendre ses enjeux et aider à renforcer la mobilisation, nous revenons sur le contenu de ce règlement qui pourrait signer la fin de toute confidentialité des échanges en ligne.

La genèse du projet

Le 11 mai 2022, la Commission européenne lâchait une bombe dans le monde du numérique en publiant sa proposition de règlement « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants ». Dénommé « Chat control » ou « CSAR » (pour « Child sexual abuse regulation »), ce texte vise à obliger les fournisseurs de contenus en ligne à détecter des contenus d’abus sexuels de mineurs en analysant les conversations de leurs utilisateur·ices.

Cette initiative s’inspire d’outils mis en œuvre depuis plusieurs années par les grandes entreprises du web. Meta, par exemple, analyse de façon proactive l’ensemble des messages échangés sur Facebook Messenger ainsi que les données non chiffrées de Whatsapp (photos de profil ou groupe, descriptions, …) en vue de détecter des images connues d’exploitation d’enfants. En 2021, Apple annonçait mettre en place un outil d’analyse des données de ses clients hébergées sur iCloud afin de les comparer à une base de données de contenus signalés comme liés à de la pédopornographie, tout comme Microsoft qui a développé l’outil de comparaison PhotoDNA.

Dès 2020, la Commission avait commencé à laisser présager son appétence pour ce type d’outils dans sa « stratégie de lutte contre les abus sexuels commis contre les enfants » qui a débouché en 2021 sur l’adoption d’un règlement sur le sujet. Celui-ci autorisait, de façon temporaire pendant trois ans, les services de communication électronique à faire de l’analyse de contenus en vue de détecter ceux liés à ce type d’abus. Si cette possibilité était facultative et devait reposer sur leurs conditions générales, une telle inscription formelle dans la loi légitimait néanmoins les initiatives et techniques de surveillance des grandes plateformes, renforçant par là même leur pouvoir hégémonique, sans qu’aucune évaluation de la pertinence de ces méthodes ne soit par ailleurs réalisée.

Cette autorisation prend fin en 2024 et c’est pour cette raison que le CSAR a été proposé. Mais contrairement au règlement temporaire qui ne faisait que l’autoriser, ce projet de règlement impose de façon obligatoire la détection de ces contenus pédopornographiques sous certaines conditions, mettant donc fin à toute forme de confidentialité. Depuis le début des discussions il y a un an et demi, le réseau européen EDRi, dont La Quadrature du Net fait partie, a fourni un travail d’analyse considérable sur ce texte, que vous pouvez retrouver dans leur « position paper » ou, de façon plus condensée, dans leur brochure (en anglais). Nous vous résumons ici les principaux enjeux autour de ce règlement.

Le contenu du règlement

Le règlement CSAR vise à s’appliquer à un nombre très important d’acteurs. Entrent ainsi dans le champ d’application tous les « fournisseurs de services de communications interpersonnelles », c’est-à-dire les messageries en ligne telles que Signal, Whatsapp ou Telegram, les fournisseurs de mail, les applications de rencontre mais également les messageries qui ne sont qu’une fonction accessoire à d’autres services, comme dans les jeux par exemple. Rentrent également dans le champ d’application les « fournisseurs de services d’hébergement » tels que NextCloud, iCloud, DropBox ou les hébergeurs associatifs des CHATONS, les boutiques d’applications ainsi que les réseaux sociaux.

Ces fournisseurs seraient contraints à mettre en œuvre une surveillance considérable de leurs utilisateur·ices. D’une part, les articles 3 et 4 prévoient qu’ils obéissent à une obligation d’évaluer et réduire au maximum les risques de partage de contenus pédopornographiques sur les services concernés. Cela impliquerait de fournir, via une étude d’impact, des éléments sur le fonctionnement et l’usage de leur outil afin de théoriquement anticiper les risques pour identifier les mesures d’atténuation correspondantes. Les fournisseurs devraient ainsi être en capacité de donner des informations sur quel type d’utilisateur·rice (personne majeure, mineure..) utilisent leur service et quel type de contenu (vidéo, texte..) y sont échangés. Cette obligation est pourtant incompatible avec un des principes de base de respect de la vie privée sur lesquels repose le fonctionnement de nombreux services : l’absence de collecte de ce type de données personnelles. Ces prestataires seraient alors dans une position intenable car, pour se conformer à cette nouvelle réglementation, ils devront changer de modèle et commencer à recueillir des informations qu’aujourd’hui ils ne possèdent pas. Le règlement CSAR reviendrait pour eux à abandonner leur promesse de confidentialité, garantie notamment par le recours au chiffrement et l’anonymisation de données.

En outre, l’article 6 du CSAR préconise que les fournisseurs aient recours à des solutions de vérification d’âge pour remplir cet objectif de réduction des risques. Or, non seulement aucun outil viable et respectueux de la vie privée n’existe réellement à ce jour mais, surtout, le recours à ce genre de solution pose de sérieux problèmes quant à la protection de l’anonymat en ligne, comme nous le rappelions récemment dans notre analyse de la loi française SREN. Au final, le texte pousse pour privilégier la mise en place de mesures coercitives et remet frontalement en cause le droit à la vie privée.

D’autre part, ces acteurs auront l’obligation de répondre à toute « injonction de détection » émise par un juge ou une autorité administrative. Ainsi, les articles 7 à 11 prévoient que, s’il existe « un risque important que le service soit utilisé à des fins d’abus sexuels sur enfants en ligne », les fournisseurs pourront se voir obligés d’installer au cœur même de leur application ou infrastructure des outils leur permettant de scanner les données qui y transitent, afin d’y détecter de potentiels contenus liés aux abus sexuels d’enfants.

Plus précisément les fournisseurs devront repérer trois types de données :

• Des contenus « connus » c’est-à-dire des images ou des vidéos déjà répertoriées par les autorités comme liées à de la pédopornographie ou des abus sexuels d’enfants.
• Des contenus « inconnus » c’est-à-dire des photos ou vidéos susceptibles de constituer de la pédopornographie, mais qui n’auraient pas été identifiées comme telles. Pour trouver ces contenus, les services devront utiliser des outils fondés sur de l’intelligence artificielle qui identifieront des corrélations entre les contenus partagés et des indicateurs prédéfinis (par exemple de la peau nue).
• Des activités consistant à solliciter des enfants (appelé « pédopiégeage »). Il s’agit de détecter des comportements « types » de personnes qui rentrent en contact avec des enfants, à nouveau à partir de modèles statistiques et probabilistes fondés sur de l’intelligence artificielle.

Concrètement, il s’agira de mettre en œuvre une technique de « client side scanning » (littéralement « analyse côté client »), c’est-à-dire analyser directement sur les appareils des utilisateur·ices les données qui y transitent. Lorsqu’un internaute enverra un message ou postera une publication via un des services concernés par une injonction, ce contenu sera analysé avant envoi. Plus précisément, ce sont des « hash », c’est-à-dire des empreintes numériques liées aux images, qui seront examinées. Ce hash sera alors comparé à une base de données déjà constituée de contenus relatifs à des abus sexuels d’enfants. Si le hash correspond avec une photo de la base, une alerte est déclenchée. Dans le cas contraire, cela signifie que le contenu doit être qualifié d’« inconnu » et un outil d’analyse supplémentaire vérifiera alors s’il existe des corrélations ou similitudes avec des contenus d’abus sexuels pour déclencher une alerte le cas échéant.

Le cheval de Troie de la Commission : vers la fin du chiffrement

En affichant l’objectif de protéger les enfants, l’Union européenne tente en réalité d’introduire une capacité de contrôle gigantesque de l’ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement. Ce texte a fait l’objet de tant de réactions qu’EDRi se demande si le CSAR ne serait pas la loi européenne la plus critiquée de tous les temps. Les critiques contre ce texte viennent des institutions européennes elles-mêmes, mais aussi d’organisations de défense des enfants en passant par les acteurs de la tech, ainsi que de scientifiques et chercheur·es où 465 d’entre eux ont signé une lettre contre cette proposition. Et à raison.

Sur le plan technique, il faut comprendre que les injonctions de détections obligent les fournisseurs à analyser toutes les communications de l’ensemble des utilisateur·ices des services concernés. Et puisque les messages sont alors analysés avant d’être envoyés à leurs destinataires, cela supprime non seulement toute confidentialité mais cela rendra également inutile toute technique de chiffrement appliquée ultérieurement, c’est-à-dire une fois que le message à quitté l’appareil de l’utilisateur·ice. L’objectif premier du chiffrement est d’empêcher un tiers de lire le message. Le CSAR vise pourtant précisément à permettre une telle lecture tierce. De même, la recherche de photo ou vidéo « inconnue » est totalement inacceptable. En pratique, le risque de « faux positifs » est énorme et cela signifie que pourraient faire l’objet d’une alerte des contenus tout à fait légitimes tels le corps d’adulte d’apparence trop juvénile, une photo d’enfant envoyée dans un cadre familial ou encore des ados échangeant de façon consentante.

Enfin, appliqué au cas particulier de la détection de contenus pédopornographiques, envisager la constitution et l’utilisation d’une telle base de données ne prend pas en compte la réalité des humains devant la manipuler, l’alimenter, et qui seront confrontés à des contenus difficiles quotidiennement. Sans parler du fait que les images des enfants victimes seront conservées pour « améliorer » l’efficacité de ces outils.

Non seulement le CSAR crée des obligations disproportionnées et implique des techniques extrêmement intrusives, mais surtout ces mesures sont loin d’être pertinentes pour atteindre l’objectif crucial de protection des enfants et de lutte contre les abus sexuels. En effet, aucune étude sérieuse n’a été fournie sur l’adéquation, la fiabilité ou la pertinence de telles mesures extrêmement intrusives. Au contraire, il a été révélé par l’association allemande Gesellschaft für Freiheitsrechte que la Commission fondait sa proposition sur les seules allégations de l’industrie, particulièrement la fondation Thorn et Meta, pour justifier ce projet de règlement. Des institutions policières et judiciaires, comme en Allemagne par exemple, ont elles aussi exprimé leurs réserves sur l’utilité de ces dispositifs pour leurs enquêtes dès lors que cela ne répond pas aux problématiques qu’ils rencontrent au quotidien.

Par ailleurs, depuis le début de la campagne contre ce texte, beaucoup de ressources ont été produites pour démontrer que la protection des enfants contre les abus passait principalement par des politiques de prévention ou d’éducation et que toute éventuelle réponse pénale devait être encadrée par des mesures ciblées et fondées sur des preuves tangibles. Comment a-t-on pu alors en arriver là ?

La tentation autoritaire des États

Cette proposition législative est une solution largement conçue par l’industrie, et ensuite généralisée par les élites politiques qui illustrent ainsi une nouvelle fois leur absurde propension au « solutionnisme technologique » et au renforcement de la surveillance numérique. Pour rendre acceptable ces mesures de surveillance, elles affichent un objectif qui fait l’unanimité. Mais tout le monde sait que la stratégie consiste avant tout à affaiblir le niveau de sécurité et de confidentialité des communications numériques. Depuis les crypto-wars des années 1990, un certain nombre d’États affirment que les technologies protégeant la vie privée, et principalement le chiffrement des communications, sont un obstacle aux enquêtes policières. De fait, ces technologies sont conçues pour cela, puisque c’est à cette condition qu’elle garantissent à toutes et tous la possibilité de contrôler nos modes d’expression et de communication. L’une des plus importantes conséquences des révélations du lanceur d’alerte de la NSA Edward Snowden, il y a dix ans, fut justement une démocratisation de la pratique du chiffrement et, à l’époque, l’établissement d’un relatif consensus en faveur du droit au chiffrement au plan institutionnel. Mais police et gouvernements sont gênés, et l’on assiste depuis plusieurs années au retour de positionnements autoritaires de dirigeants prenant tour à tour l’excuse du terrorisme, de la criminalité organisée et de la pédopornographie pour obtenir sa remise en cause.

En France, aussi bien Bernard Cazeneuve qu’Emmanuel Macron ont déjà affirmé leur volonté de contrôler les messageries chiffrées, rêvant ainsi de percer l’intimité des millions de personnes qui les utilisent. Au cours d’une audition devant le Sénat le 5 avril dernier, Gérald Darmanin a expressément demandé pouvoir casser le chiffrement des militant·es écologistes et de « l’ultragauche », qui auraient une « culture du clandestin ». Aussi avons-nous récemment exposé comment, dans l’affaire dite du « 8 décembre », les services de renseignement et de police ont construit une narration similaire autour de l’utilisation d’outils respectueux de la vie privée par les personnes inculpées (Signal, Tor, Tails…), afin de dessiner le portrait de personnes criminelles ayant des choses à cacher ou la volonté de fuir la police. Au niveau européen, des fuites ont révélé l’intention de plusieurs États de réduire le niveau de sécurité du chiffrement de bout-en-bout, tels que l’Espagne qui veut tout simplement y mettre fin.

Le règlement CSAR s’inscrit dans cette continuité et constitue une opportunité parfaite pour les États membres pour enfin concevoir et généraliser un outil de surveillance des échanges de la population et ainsi mettre fin aux obstacles posés par les services trop protecteurs de la vie privée. Mais passer ce cap, c’est supprimer toute confidentialité des communications qui passeraient par des infrastructures numériques. L’intégrité et la sécurité de ces dernières ne pourraient alors plus jamais être garanties dès lors que cette « porte dérobée » existe. C’est créer des occasions, aussi bien pour les États que les acteurs malveillants, de détourner et d’abuser de cette capacité d’entrer dans les téléphones et ordinateurs de la population. Enfin, c’est ouvrir une brèche, un espace à surveiller qui n’existait pas auparavant, et qui sera nécessairement étendu dans le futur par de nouvelles législations pour repérer d’autres types de contenus.

Ce risque est dénoncé par des services tels que Signal, Proton ou Matrix, qui proposent des communications chiffrées de bout-en-bout et sécurisées — et promettent donc une confidentialité presque intégrale. Cette proposition viendrait casser leur promesse en les obligeant à analyser les contenus et à créer une vulnérabilité dans leurs technologies. Ce risque a également été récemment dénoncé par Apple : pour justifier la fin de l’analyse des contenus hébergés sur iCloud, l’entreprise expliquait que la technologie utilisée est trop dangereuse en termes de sécurité et de respect de la vie privée¹Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux..

En Grande-Bretagne, où est actuellement discuté un projet de loi similaire, le Online Safety Bill, Signal et Whatsapp ont menacé de supprimer leur service du pays si ce texte venait à passer. Face à cette fronde, les Britanniques ont très récemment annoncé suspendre la mise en œuvre de cette mesure au regard de l’infaisabilité à ce stade de protéger le chiffrement de bout-en-bout. Cependant, la mesure est toujours dans la loi et pourrait donc être applicable un jour. À Londres comme à Bruxelles, la bataille est loin d’être finie.

Refuser et agir

Il est donc urgent d’agir pour arrêter cette nouvelle initiative qui créerait un grave précédent et donnerait aux États une légitimité pour pousser toujours plus loin l’intrusion dans les communications. Mais les discussions avancent vite à Bruxelles. D’un coté, le Conseil, organe regroupant les gouvernements des États membres, doit publier sa position sur ce texte d’ici fin septembre. Celle-ci s’annonce très mauvaise, poussée par plusieurs États – France en tête. Certains États comme l’Allemagne ou l’Autriche auraient néanmoins exprimé des réserves quand à l’incompatibilité de cette dernière version par rapport à leur propre position officielle. Une lettre ouverte a été signée le 13 septembre par plus de 80 organisations, dont La Quadrature, pour que les États membres n’adoptent pas le CSAR dans sa version actuelle.

De l’autre coté, le Parlement européen devra également adopter sa version du texte, d’abord en commission en octobre puis en novembre en séance plénière. Si beaucoup d’eurodéputé·es s’opposent au texte, cela ne suffira sans doute pas à bloquer son adoption. Pour agir, nous vous invitons à rejoindre la campagne « Stop Scanning me » menée par une coalition d’organisations et à partager le plus possible les informations sur la mobilisation en cours²Aussi, vous pouvez regarder cette conférence faite au dernier Chaos Communication Camp sur le combat contre Chat control (en anglais).. Vous pouvez également appeler des parlementaires européens pour les inviter à rejeter ce texte.

Et si vous le pouvez n’hésitez pas à faire un don à La Quadrature ou à EDRi qui agit à Bruxelles. Merci !

Le projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN » ou « Espace numérique ») est actuellement en discussion à l’Assemblée nationale, après avoir été voté en juillet dernier au Sénat. Ce texte, présenté comme une simple adaptation d’une série de règlements européens, change en réalité la manière de concevoir la régulation des plateformes en ligne. En voulant instaurer une censure autoritaire et extra-judiciaire, en voulant mettre fin à l’anonymat en ligne et en répétant les erreurs déjà commises avec la loi Avia, le gouvernement fait une nouvelle fois fausse route. Ce projet de loi étant très dense, commençons par une présentation générale des éléments importants du texte (nous reviendrons plus tard en détails sur certains points avec des articles dédiés).

L’accès au porno, prétexte pour mettre fin à l’anonymat

Les articles 1^er et 2 du projet de loi renforcent l’obligation pour les sites pornographiques de vérifier l’âge de leurs utilisateurs. Pour rappel, depuis une proposition de loi issue de la majorité présidentielle en 2020, les sites proposant du contenu pornographique doivent vérifier l’âge des internautes, une simple case à cocher auto-déclarative ne suffisant pas. En cas de non-respect, une peine de censure peut être prononcée par un juge. Nous dénoncions à l’époque un tel principe d’obliger les personnes à justifier de leur âge, qui passe nécessairement par une mise à mal de l’anonymat en ligne.

Mais en réalité, cette loi de 2020 n’a pas vraiment changé les choses : les sites pornographiques continuent d’afficher un bouton pour que l’internaute déclare sur l’honneur avoir plus de 18 ans, et très peu de censures ont été prononcées par la justice. Pour la simple raison que personne, ni les plateformes, ni le gouvernement, ni la CNIL ne savent comment effectuer cette vérification de l’âge d’une manière qui soit simple techniquement et respectueuse de la vie privée des personnes. Le laboratoire de prospective de la CNIL, le LINC, suggère une solution passant par un tiers de confiance, c’est-à-dire une autorité chargée de délivrer à l’internaute un certificat (un jeton, ou « token ») confirmant qu’il est bien majeur, sans que ce tiers ne connaisse le service réclamant ce certificat. Mais, d’une part, cette solution implique que le tiers de confiance pourra facilement déduire que, quand une personne lui demandera une « preuve de majorité », l’objectif sera de consulter un site pornographique. D’autre part, ce mécanisme du tiers de confiance impose l’utilisation d’une identité numérique d’État, aujourd’hui théoriquement facultative, qui deviendra alors encore plus obligatoire de fait.

Malgré ces obstacles pratiques et en dépit de l’absence de solution viable décidée conjointement par les institutions et les experts techniques, le gouvernement persiste. Mécontent d’une justice qui, à son goût, ne censure pas assez les sites pornographiques, il propose tout simplement de la contourner : le projet de loi SREN passe d’une censure judiciaire des sites ne vérifiant pas l’âge de leurs internautes à une censure administrative, c’est-à-dire extra-judiciaire. Ce n’est donc qu’une fois la censure décidée qu’un juge vérifiera sa légalité. L’Arcom, autorité née de la fusion entre la Hadopi et le CSA, sera chargée de prononcer la censure d’un site pornographique qui ne vérifierait pas l’âge des internautes. Cet entêtement à vouloir fliquer les internautes est d’autant plus surprenant que même la Grande-Bretagne, pourtant pionnière dans la censure des sites pornographiques et source d’inspiration du gouvernement, a abandonné en 2019 un dispositif similaire, faute de solution technique satisfaisante. Très récemment encore, l’Australie a abandonné un tel mécanisme de vérification d’âge et le Texas a été obligé de suspendre une loi similaire parce que la justice américaine a considéré cette loi contraire à la liberté d’expression.

Le retour de la censure obligatoire en 24 heures

L’article 3 du projet de loi renforce les obligations de retrait des contenus à caractère pédopornographique pesant sur les hébergeurs de sites internet. Aujourd’hui, la loi impose que ces derniers doivent retirer ces contenus en 24 heures sur demande de la police, mais il n’y a pas de sanction spécifique en cas d’absence de retrait (seule la responsabilité des hébergeurs pourra être retenue, mais elle s’apprécie en fonction des capacités des plateformes, de la gravité du contenu, de la difficulté à contrôler la légalité de la demande, etc.). La nouveauté du projet de loi réside dans le fait que l’absence de retrait une fois passé le délai de 24 heures constitue automatiquement un délit, sans que ne soient examinées les potentielles raisons ou explications de cette absence d’action. Dès lors, la menace d’une répression systématique accentue le joug de l’État sur ces hébergeurs et renforce le principe de la censure administrative qui est déjà, en soi, un danger pour la liberté d’expression en ligne (voir par exemple ce que nous disions il y a 13 ans à propos de la LOPPSI).

Mais surtout, il est très probable que, par crainte d’une sanction, les hébergeurs préfèrent retirer trop de contenus, quitte à se tromper. C’est exactement ce que voulait la loi Avia qui imposait des délais fixes pour retirer des contenus haineux ou à caractère terroriste. Nous dénoncions alors le risque de surcensure que ce mécanisme impliquait, tout comme le Conseil constitutionnel lorsqu’il a déclaré cette loi contraire à la Constitution.

Malgré cela, le gouvernement ne cache pas vraiment ses intentions de censure généralisée. Dans l’étude d’impact du projet de loi, il explique que l’objectif de l’article 3 est d’« aligner » les régimes de censure administrative sur celui du terrorisme. En effet, après la censure de la loi Avia, la France s’est empressée de pousser un règlement européen qui oblige aujourd’hui les hébergeurs à retirer les contenus à caractère terroristes sous peine de lourdes sanctions pénales, par un mécanisme similaire à feue la loi Avia. Par cet article 3 qui introduit des sanctions similaires pour les contenus pédopornographiques, le gouvernement organise donc le retour masqué de la loi Avia.

Le bannissement des réseaux sociaux, un coup d’épée dans l’eau

Pour lutter contre le harcèlement en ligne, le gouvernement n’envisage pas de donner les moyens humains et financiers à la justice pour faire son travail. À l’inverse, l’article 5 du projet de loi préfère miser sur un réflexe disciplinaire, en créant une peine complémentaire d’interdiction de réseaux sociaux pour les personnes qui seraient condamnées pour harcèlement : sur décision de justice, les plateformes en ligne devront suspendre les comptes détenus par les personnes condamnées et les empêcher de se créer un nouveau compte. Mais comment s’assurer qu’une personne condamnée ne se recrée pas un compte ? Le projet de loi est parfaitement silencieux sur ce point. On peut en revanche légitimement craindre que cette nouveauté ouvre la voie à la généralisation du contrôle d’identité en ligne, afin de s’assurer que l’internaute voulant se créer un compte ne sera pas sur la liste des personnes interdites de réseaux sociaux.

Cette peine d’interdiction des réseaux sociaux et la généralisation de la vérification d’identité qu’elle risque d’induire s’inscrivent dans la même ligne que la récente loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne, adoptée il y a quelques mois. Issue d’une proposition de loi du groupe Horizons, elle instaure une interdiction pour les mineur·es de moins de 13 ans de se créer un compte en ligne, impose à celles et ceux entre 13 et 15 ans d’obtenir l’accord de leurs parents, et permet aux parents d’adolescent·es ayant entre 15 et 18 ans de suspendre leurs comptes jusqu’à leur majorité. Or, ces règles ne peuvent être respectées qu’en vérifiant l’identité de toute personne voulant s’inscrire sur un réseau social.

Cette « majorité numérique » semble non seulement impossible à mettre en œuvre sans atteinte excessive au droit à l’anonymat en ligne, mais également contraire au droit de l’Union européenne. Cette situation inconfortable a poussé le législateur à soumettre, à la toute fin du processus législatif, l’entrée en vigueur de ce texte à une décision de la Commission européenne sur la conformité au droit de l’UE de ce mécanisme.

Pour autant, cela ne rebute toujours pas le gouvernement, qui continue avec le projet de loi SREN et son idée de bannissement des réseaux sociaux. Le Sénat est même allé plus loin : le rapporteur du texte à la chambre haute, Loïc Hervé, a introduit de nouvelles dispositions pour que ce bannissement des réseaux sociaux puisse être prononcé par un juge d’application des peines, voire par un procureur de la République via une composition pénale¹Procédure pénale où procureur et personne mise en cause s’accordent sur une peine puis la font valider par un tribunal..

La censure administrative par le navigateur

Autre surprise du texte : le gouvernement propose une nouvelle manière de faire de la censure administrative, en passant par un blocage des contenus au niveau des navigateurs web. Sous couvert de proposer un filtre « anti-arnaques », l’article 6 du projet de loi impose non seulement aux fournisseurs d’accès à Internet (FAI) et aux fournisseurs de systèmes de résolution de noms de domaine (c’est-à-dire les fournisseurs de DNS alternatifs autres que ceux des FAI) de censurer certaines ressources en ligne que la police aurait identifiées comme étant des « arnaques », mais oblige également les navigateurs web à procéder à une telle censure.

Autrement dit, si demain la police repère un site de phishing, elle pourra imposer à l’éditeur de votre navigateur préféré de procéder à son blocage pur et simple. Et peu importe s’il s’avère que la demande est erronée ou abusive. Peu importe aussi si cela ouvre grand la porte à des censures d’un autre genre, politiques par exemple. Bien évidemment, la fondation Mozilla, qui édite le navigateur Firefox, est vent debout contre cette obligation. Nous vous invitons d’ailleurs à signer leur pétition et à la faire circuler largement.

Et peut-être d’autres mesures autoritaires à venir

Ces quelques articles de ce projet de loi sont déjà très inquiétants, au regard de la mise à mal de l’anonymat en ligne, de l’atteinte à la liberté d’expression et de la négation du droit à la vie privée qu’ils instaurent. Mais ce projet de loi risque encore de s’aggraver au cours des discussions.

En juillet dernier, la réponse du gouvernement et de ses soutiens a été de pointer les réseaux sociaux comme responsables des révoltes en France, pour mieux passer sous silence le malaise social grandissant. À cette occasion, le député Renaissance Paul Midy, rapporteur général de ce projet de loi SREN, avait déjà annoncé qu’il était favorable à l’obligation de justifier de son identité civile avant de pouvoir s’inscrire sur une plateforme en ligne, emboîtant ainsi le pas d’Emmanuel Macron. Cette marotte de la droite française pourrait bien se concrétiser avec ce texte. Suite aux violences estivales, un « groupe de travail » interparlementaire s’est déjà réuni trois fois cet été pour réfléchir à une « évolution législative » de l’encadrement des réseaux sociaux. Seraient pour l’instant envisagées des restrictions temporaires de la géolocalisation ou l’obligation pour les plateformes de conserver les messages éphémères qui y sont échangés.

De plus, tout le monde au gouvernement veut maintenant son petit bout de censure. En réponse à la polémique née autour d’un site de rencontres pour jeunes enfants et adolescents devenu le terrain de chasse de pédophiles, la secrétaire d’État en charge de l’Enfance Charlotte Caubel s’imagine déjà censurer ce type de site. Mais comme la loi instaurant une majorité numérique, qui obligerait à vérifier l’identité de toute personne, n’est pas encore en vigueur, elle pourrait bien profiter de ce projet de loi SREN pour pousser ses idées de censure.

Une grande absente : l’obligation d’interopérabilité des réseaux sociaux

Finalement, il n’est pas surprenant que l’idée d’une interopérabilité obligatoire des réseaux sociaux ne figure pas dans ce projet de loi : il s’agit d’une manière radicalement différente de celle du gouvernement de réguler les contenus en ligne. L’obligation d’interopérabilité des réseaux sociaux consiste à imposer aux grandes plateformes d’ouvrir leurs communautés à d’autres réseaux sociaux. Concrètement, avec une telle obligation, les utilisateur·rices de Mastodon seraient capables de discuter avec leurs contacts restés sur Facebook. Autrement dit : les internautes pourraient partir d’un réseau social dangereux (car il marchanderait la vie privée de ses utilisateur·rices et/ou mettrait en avant des contenus problématiques) sans se couper de leurs ami·es qui y resteraient.

L’obligation d’interopérabilité des réseaux sociaux remettrait largement en question le modèle économique des géants actuels. Celui-ci repose en effet sur le non-respect structurel du droit des données personnelles et la mise en avant algorithmique de contenus haineux. En faisant réagir, ces réseaux sociaux commerciaux gardent les internautes plus longtemps sur la plateforme, augmentant ainsi les revenus publicitaires. En permettant aux internautes de partir d’un Twitter aux mains d’un milliardaire aux choix erratiques et qui met en avant l’extrême-droite ou d’un Meta régulièrement condamné pour ne pas respecter le droit des données personnelles, l’obligation d’interopérabilité de ces plateformes les pousseraient à s’adapter face à la concurrence plus éthique des réseaux sociaux décentralisés. Sans passer par une censure verticale des contenus problématiques en ligne, l’interopérabilité des réseaux sociaux, si elle est obligatoire, permettrait qu’ils ne soient plus mis en avant, et donc de réduire leur impact sur les sociétés.

Ce projet de loi, en ne s’intéressant pas à la question de l’interopérabilité, passe d’autant plus à côté du vrai sujet que les géants du numérique, eux, commencent à s’intéresser à cette question. Cet été, Meta a lancé son concurrent à Twitter, Threads, et a annoncé que son service serait interopérable, notamment avec le reste du fédivers. L’absence d’autorité capable de réguler les ardeurs des géants comme Meta crée alors un danger immédiat pour le fédivers (voir notre explication). Il est aujourd’hui crucial d’empêcher un aussi grand acteur que Meta de prendre ce qui l’intéresse dans l’écosystème des réseaux sociaux interopérables sans donner en retour. Alors que le Digital Markets Act, règlement européen voulant réguler les plateformes, avait un temps envisagé d’instaurer une telle obligation d’interopérabilité des réseaux sociaux, la France était parvenue en bout de course législative à supprimer une telle obligation. On ne peut que déplorer cette stratégie d’ignorer la question de l’interopérabilité des réseaux sociaux.

S’il fallait résumer le projet de loi SREN, nous pourrions le présenter comme l’exemple parfait de ce qu’il ne faut pas faire. Réguler par la censure, l’autoritarisme et les atteintes massives aux droits fondamentaux n’est pas la bonne solution. Il existe pourtant d’autres manières de faire, notamment en passant par l’obligation d’interopérabilité des réseaux sociaux. Nous reviendrons plus en détails sur certaines des dispositions que nous venons de présenter. En attendant, vous pouvez nous aider à continuer de défendre un Internet respectueux des personnes en nous faisant un don.

Le fédivers (de l’anglais fediverse, mot-valise de « fédération » et « univers ») est un ensemble de médias sociaux composé d’une multitude de plateformes et de logiciels, où les uns communiquent avec les autres grâce à un protocole commun. Mastodon est un des logiciels qui permet de proposer une instance sur le fédivers¹Pour en savoir plus sur le fédiverse : fediverse.party. En juin dernier, Meta a annoncé son arrivée sur le fédivers, à travers le lancement d’un concurrent à Twitter, nommé Threads, qui prévoit à terme de pouvoir s’intéropérer avec d’autres instances du fédivers. La Quadrature du Net réclame depuis plusieurs années une obligation d’interopérabilités pour ces grands réseaux sociaux. Alors l’interopérabilité d’un service proposé par Meta est-elle une bonne nouvelle ? Certainement pas.

Le fédivers est important

Depuis 2018, La Quadrature du Net défend le modèle vertueux du fédivers et réclame qu’il soit introduit dans le droit une obligation pour les plateformes de réseaux sociaux d’être interopérables, c’est-à-dire qu’ils puissent s’insérer dans l’écosystème du fédivers. L’objectif premier du fédivers et de notre revendication d’interopérabilité est de faire en sorte que les utilisateur·rices des grandes plateformes ne soient pas piégé·es par l’effet réseau, c’est-à-dire le fait que certaines plateformes deviennent aujourd’hui incontournables parce que les communautés sont dessus. L’interopérabilité permet ainsi de librement décider depuis quelle plateforme communiquer avec ses contacts, sans être poussé avec plus ou moins de force vers un site ou une application en particulier parce que tous·tes ses ami·es y seraient.

L’interopérabilité en matière de messageries interpersonnelles existe déjà depuis des décennies avec le courrier électronique. Avec une adresse chez un fournisseur A, il est possible d’écrire à ses contacts chez un fournisseur B.

Appliquée aux réseaux sociaux, l’interopérabilité permet à une personne sur une instance A d’écrire à une personne sur une instance B. Surtout, cela permet donc de quitter une plateforme sans se couper de ses ami·es, notamment face à un réseau social qui abuserait des données personnelles de ses utilisateur·rices ou qui aurait des politiques de modération ou de mise en avant de certains contenus problématiques.

La Quadrature du Net promeut depuis 2017 l’interopérabilité des réseaux sociaux. Nous pensons qu’il s’agit d’une réponse alternative à la problématique de la régulation des contenus en lignes. Face à des contenus racistes, antisémites, xénophobes, etc., mis en avant par certaines grandes plateformes, permettre à leurs utilisateur·rices de partir sans se couper de ses ami·es permet de faire émerger des alternatives plus vertueuses, au modèle économique différent.

Ainsi, depuis 2017, nous gérons une instance Mastodon, Mamot.fr. Avec cette instance, nous maintenons une petite pierre du grand réseau social fédéré qu’est le fédivers. Nos utilisateur·rices peuvent donc communiquer avec les autres instances du fédivers, sans avoir besoin d’un compte sur chaque autre plateforme, et en pouvant partir du jour au lendemain si notre politique de modération ne convenait pas. En sommes, un réseau social fédéré permet de redonner du pouvoir à l’internaute, en le retirant aux plateformes.

La beauté du fédivers est aussi qu’il ne s’arrête pas à du microblogging. Nous avons aussi une instance Peertube sur video.lqdn.fr, qui fait aussi partie du fédivers : chacun·e peut commenter et partager nos vidéos sans avoir de compte sur notre plateformes, mais simplement sur une instance quelconque du fédivers.

Mais voici que le géant Meta arrive

Qu’on l’appelle Meta ou Facebook, c’est bien le même géant qui est à la manœuvre. On rappellera que le réseau social de Mark Zukerberg à l’origine de nombreux scandales, sur la gestion des données personnelles et le non-respect du RGPD, ou encore le fait qu’il a servi, à travers le scandale de Cambridge Analytica, à des campagnes massives de manipulations électorales.

Meta est peut-être trop gros, sa position dominante et presque monopolistique dans le milieu des réseaux sociaux aujourd’hui lui octroyant une forme d’impunité. C’est bien en regroupant l’ensemble des internautes de Facebook, Instagram, WhatsApp, etc. que le groupe aux plusieurs milliards d’utilisateur·rices peut survivre à ses innombrables scandales.

Mais aujourd’hui Meta est face à un double souci. Premièrement, les réseaux sociaux ne durent pas éternellement et sont régulièrement abandonnés lors des migrations vers d’autres réseaux. Facebook en fait petit à petit les frais, concurrencé par d’autres plateformes qui ont su jouer sur les phénomènes d’addiction comme TikTok. Deuxièmement, sa taille fait de lui une cible prioritaire des différents États, qui cherchent à réguler les plateformes. Le Digital Markets Act (DMA), règlement européen qui, en tandem avec le Digital Services Act (DSA), vise à réguler les plateformes et l’économie numériques, a bien failli imposer aux réseaux sociaux une obligation d’interopérabilité. Si la France, sous l’impulsion de Cédric O, est venue, en toute fin de parcours législatif, retirer les obligations d’interopérabilités pour les réseaux sociaux du texte final, on voit bien que l’idée de la régulation par la décentralisation d’Internet fait son chemin parmi les décideur·euses public·ques et qu’une telle obligation finira probablement par arriver.

L’arrivée de Facebook sur le fédivers ressemble à la stratégie de prendre les devants, d’agir tant qu’il n’existe pas encore d’encadrement, afin de cannibaliser le fédivers en profitant de la circonstance de l’effondrement de Twitter.

L’interopérabilité est importante

Afin de promouvoir le modèle vertueux du fédivers, nous réclamions avec la loi Avia qu’il soit imposée aux grandes plateformes de réseaux sociaux une obligation d’interopérabilité. En permettant aux utilisateur·rices de quitter un réseau social toxique sans se couper de ses ami·es, il s’agit de casser le monopole qu’ont les géants sur les communautés et de permettre aux internautes de choisir l’endroit qui les accueillera, en fonction des préférences, affinités et valeurs de chacun·es.

Alors que la loi Avia proposait comme manière de réguler les plateformes le contrôle, la censure et la confirmation de l’hégémonie des plateformes et de leur pouvoir, nous proposions l’obligation d’interopérabilité comme modèle alternatif à la censure. Si Twitter, Facebook ou TikTok sont nocifs, c’est (entre autres) que leur modèle économique les pousse à mettre en avant des contenus problématiques, haineux, qui feront réagir les internautes et maintiendront leur attention pour engranger plus de revenus publicitaires, au détriment du débat apaisé et du respect de l’autre.

Avec le DSA et le DMA, nous proposions l’obligation d’interopérabilité pour cette même raison : réguler les géants doit passer par leur retirer le contrôle de leurs communautés. Et nos efforts, épaulés par d’autres organisations comme EDRi, Article 19 ou l’Electronic Frontier Foundation (EFF), ont bien failli réussir puisque sans les efforts du gouvernement français et de son ministre de l’époque Cédric O, l’obligation d’interopérabilité des réseaux sociaux aurait pu devenir réalité puisque le Parlement européen avait voté en sa faveur.

Récemment, nous critiquions également l’attitude du gouvernement qui, sourd aux problèmes sociaux qui touchent les banlieues, préfère museler la liberté d’expression sur les réseaux sociaux avec la vieille rengaine de la censure, alors que cela ne résoudra pas les problèmes de fond et que la régulation des plateformes devrait passer par plus de décentralisation au lieu de plus de censure.

S’interopérer, oui, mais pas n’importe comment

Alors finalement, face à ce constat de nécessité de décentraliser les réseaux sociaux, le fédivers ne devrait-il pas accueillir à bras ouverts Meta ? L’histoire nous montre que non.

Déjà, notons que, au moment où nous écrivons ces lignes, Threads n’est pas interopérable. L’annonce a été faite par Meta que son service permettrait de communiquer avec le reste du fédivers, mais il ne s’agit à ce stade que d’une annonce. Notons également que Meta a restreint Threads aux internautes qui ne sont pas dans l’Union européenne, invoquant une incompatibilité avec le RGPD.

Ce contexte étant posé, il est nécessaire, pour comprendre l’ensemble du problème, de revenir sur l’épisode de GTalk et XMPP. XMPP est un protocole ouvert de messagerie interpersonnelle. De manière relativement similaire au courrier électronique, chaque utilisateur·rice a son compte sur un service et peut discuter avec ses ami·es qui peuvent être sur d’autres services. En 2005, Google lance son service de messagerie, GTalk, qui utilise le protocole XMPP et l’année d’après la fédération est activée : il était alors possible de discuter avec un·e utilisateur·rice de GTalk en ayant un compte ailleurs que chez Google. Mais en 2012, après avoir capté une partie des utilisateur·rices externes, l’entreprise annonça qu’elle comptait réorganiser ses produits et fusionner tous ceux de messagerie avec Hangouts. En 2013, Google annonçait que Hangouts ne serait pas compatible avec XMPP, refermant sur elle-même sa communauté qu’il avait fait grossir grâce à l’interopérabilité permise par XMPP.

On le voit, la taille de Google permettait d’imposer ce choix. Couper les internautes de leurs ami·es qui ne seraient pas chez Google n’est pas une décision en faveur des utilisateur·rices. Elle a pourtant été rendue possible par la puissance de Google sur sa communauté.

Lorsque les premières rumeurs sur l’arrivée de Meta sur le fédivers avec Threads (dont le nom de code à l’époque était « Project92 ») ont émergéMeta a demandé à discuter avec des administrateur·rices d’instances Mastodon en exigeant au préalable qu’iels signent un accord de confidentialité (non-disclosure agreement). La méthode cavalière n’a bien entendu pas plu et c’est ainsi que certain·es administateurs·rices, sans connaître le contenu des échanges qu’a pu avoir Meta avec d’autres, ont révélé l’information en dénonçant au passage la méthode., l’initiative du Fedipact a été lancée. Le principe est simple, les signataires de cet engagement s’engageant à bloquer les services de Meta en raison de la nocivité de l’entreprise pour le fédivers : « Je suis un·e administeur·rice/modérateur·rice sur le fédivers. En signant ce pacte, je m’engage à bloquer toute instance de Meta qui pourrait arriver sur le fédivers. Le Projet92 pose un risque sérieux et réel à la santé et à la longévité du fédivers et doit être combattu à chaque occasion. »

La Quadrature du Net partage les craintes mais ne signera pas cet appel

De nombreuses instances du fédivers, francophone ou non, ont décidé de signer cet appel. De nombreux arguments en faveur du blocage de Meta ont été développés (voir, par exemple, l’explication de Ploum et sa traduction en français). D’autres instances ont préféré attendre, ne voulant pas condamner par avance Meta mais ne fermant pas la porte à son blocage si le service venait créer des problèmes de modération.

Si nous ne signons pas le Fedipact, nous partageons les craintes exprimées et l’instance Mastodon que gère La Quadrature du Net, mamot.fr, bloquera Threads et tout service de Meta qui arriverait sur le fédivers tant qu’une obligation d’interopérabilité accompagnée d’un régulateur capable de tenir tête aux GAFAM et autres géants du numérique ne sera pas introduite en droit.

Nous pensons en effet qu’il est possible, et souhaitable, d’avoir Facebook et les autres réseaux sociaux commerciaux sur le fédivers. C’est une condition sine qua non à leur affaiblissement. En revanche, la démarche de Meta avec Threads est tout sauf une stratégie d’affaiblissement de l’entreprise : Meta ne compte pas se tirer une balle dans le pied, son invasion du fédivers vise à le cannibaliser.

Nous demandons toujours que ces réseaux sociaux aujourd’hui fermés par nature deviennent interopérables. Mais pas n’importe comment ni au détriment de l’écosystème existant ni, in fine, au détriment des droits et libertés des utilisateur·rices. Une telle obligation doit passer par un contrôle, un encadrement, pour que Meta ne puisse pas imposer ses choix au reste d’Internet.

Par sa taille, en effet, Threads deviendrait d’office la plus grosse plateforme du fédivers, sans pour autant prendre d’engagement sur le respect du fonctionnement et de la pérennité de la structure interopérable de l’écosystème. Meta pourrait par exemple chercher à influencer le protocole sur lequel repose le fédivers, ActivityPub. Il pourrait même refuser d’utiliser ce protocole, forçant les autres plateformes à s’interopérer avec lui. Ou adopter la stratégie du Embrace, extend and extinguish.

En somme, sans régulateur fort qui puisse empêcher Meta de prendre ce qui l’arrange dans le fédivers sans participer à son développement (le fédivers repose, rappelons-le, sur une conception radicalement opposée à la logique commerciale de Meta), c’est bien un danger de mort qui pèse sur le fédivers.

Tout comme Google a pris ce qui l’arrangeait dans XMPP, sans contrôle externe Meta prendra ce qui lui convient dans le fédivers puis s’en ira, ou fera en sorte de laisser se dégrader la partie interopérée de son service, par exemple en réservant certaines fonctionnalités à ses seul·es utilisateur·rices uniquement. Comme nous l’écrivions par le passé, « en quelques années, les géants se refermèrent sur eux-même et cessèrent de communiquer, même entre eux. Ils n’avaient plus de raisons de permettre de communiquer avec l’extérieur, « tout le monde » était déjà là, prisonnier et ne pouvant s’échapper sous peine de voir un pan de sa vie sociale disparaître. » Nous ne voulons pas revivre cette situation avec le fédivers.

Nous prenons souvent l’exemple du courrier électronique pour montrer la faisabilité technique de l’interopérabilité. Mais en matière d’email aussi, les géants imposent leurs règles. Framasoft écrivait il y a déjà six ans qu’« Être un géant du mail, c’est faire la loi… ». Et pour cause : par leur captation de la majorité des utilisateur·rices, les géants du net peuvent imposer aux plus petits leurs règles, leurs standards techniques, faire en sorte de forcer les petits à s’adapter aux gros, et non les gros à s’adapter aux petits. Le même risque pèse sur le fédivers sans un régulateur pour les en empêcher.

Les conséquences pour les utilisateur·rices de Mamot.fr

Face à ces incertitudes, pour préserver notre possibilité d’agir à l’avenir et pour nous protéger d’un risque que nous jugeons réel, nous pensons que les actions de Meta doivent être observées avec la plus grande prudence.

Pour les raisons évoquées précédemment, Mamot.fr procédera, jusqu’à nouvel ordre, au blocage préventif de Threads ainsi que de tout autre service de Meta qui viendrait sur le fédivers.

Les personnes ayant un compte sur Mamot.fr ne pourrons donc pas être vues ou suivies par celles ayant un compte chez Threads, et vice versa. Si des personnes que vous connaissez sont sur cette instance et aimeraient vous suivre, nous recommandons qu’elles mettent leur données entre les mains de collectifs et d’associations de confiances, notamment les instances gérées par les CHATONS, par exemple.

Un tel blocage n’est bien évidemment pas idéal : c’est l’internaute, in fine, qui se retrouve victime de cette situation. Mais la balle est dans le camp du législateur. Notre position n’a pas changé : nous pensons qu’il est nécessaire que les grosses plateformes soient interopérables, sur des bases techniques et sociales communes, ce qui ne peut se réaliser qu’avec une obligation d’interopérabilité contrôlée par un régulateur qui aura les pouvoirs suffisants pour empêcher les gros d’écraser les petits. Ce qui, aujourd’hui, n’est malheureusement pas le cas. Le projet de loi Espace numérique, qui a été voté au Sénat en juillet et sera débattu à l’Assemblée nationale en octobre, est l’occasion pour le législateur d’introduire cette obligation d’interopérabilité. Nous reviendrons prochainement sur ce texte. En attendant, n’hésitez pas à faire un don à La Quadrature du Net, afin que nous puissions continuer ce combat pour un Internet décentralisé et bénéfique aux internautes.

Illustration : « NoisePlanet_Asteroid belt_2.0 », par Samuel YAN, CC BY-NC-SA 3.0.

Après avoir révélé des informations particulièrement inquiétantes sur l'affaire dite « du 8 décembre »1, où certaines pratiques numériques, légales, sont considérées comme constitutives de preuves de l'existence d'un projet criminel2, La Quadrature du Net publie une tribune pour alerter sur la menace très sérieuse qui pèse sur nos libertés. Cette tribune, que l'April a choisi de signer comme 130 autres personnes physiques et organisations, dénonce la criminalisation du chiffrement des communications et, au-delà de cela, alerte sur une pratique politique et judiciaire qui, au nom de l'anti-terrorisme, revient in fine à remettre en cause l'exercice même des libertés informatiques dans leur ensemble.

Lire la tribune

Le 5 juin 2023, La Quadrature du Net a publié un article sur la criminalisation des pratiques numériques des personnes inculpées dans « l'affaire du 8 décembre ». L'association de défense des libertés fondamentales dans l’environnement numérique révèle comment la Direction générale du renseignement intérieur (DGSI) et le Parquet national antiterroriste (PNAT) entendent justifier leur mise en examen pour « association de malfaiteurs terroristes », en dehors de tout acte délictuel ou criminel, sur la base de leurs habitudes et pratiques numériques, chiffrement en tête.

L'article est édifiant. Il montre à quel point l'exercice d'une bonne hygiène numérique, d'un souci de préserver son intimité en ligne et de maîtriser ses outils informatiques, peuvent être perçus par une partie des pouvoirs publics comme autant de comportements suspects. Il peut s'agir de l'utilisation de messageries chiffrées, d'outils alternatifs à ceux des géants du numérique comme le système d'exploitation /e/ ou le magasin d'applicatifs F-Droid, de la participation à l'organisation d'évènements de formation à l'hygiène numérique, etc. Situation d'autant plus absurde et scandaleuse que nombre de ces pratiques sont par ailleurs encouragées par des administrations comme l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) ou la Commission Informatique et Liberté (CNIL).

Au-delà du chiffrement, il apparaît que l'usage même d'un logiciel peut être considéré comme faisant partie d'un faisceau d'indices pour retenir une qualification pénale aussi grave que celle d'« association de malfaiteurs terroristes », sans qu'aucun fait condamnable, rappelons-le, ne soit par ailleurs établi. Et, partant de là, il semble aisé d'imaginer le fait que développer certains programmes informatiques pourra lui aussi être suspect. Ce sont donc bien les logiciels libres et l'ensemble des libertés informatiques qui sont ici menacés. L'April dénonce sans réserve ces graves atteintes aux libertés informatiques et à l'état de droit.

Le procès des personnes inculpées dans « l'affaire du 8 décembre » doit se tenir en octobre 2023.

Tribune: « Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »

Cette tribune a été rédigée suite à la publication de notre article sur la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre. Cette tribune a été signée par plus de 130 personnes et organisations et publiée hier sur le site du journal Le Monde. La liste complète des signataires est disponible ici.

Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

Rejet de l’amalgame entre protection des données et terrorisme

Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

Pour un numérique émancipateur, libre et décentralisé

De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

• 1. L'affaire du 8 décembre 2020 est une affaire controversée de peines de détention préventive, dont une peine préventive de seize mois à l'isolement, et d'intentions terroristes supposées sans qu'aucun acte terroriste ni projet d'acte terroriste ne soit reproché aux prévenus.
• 2. Lire les éléments révélés par La Quadrature du Net

Après avoir dressé le bilan des évolutions juridiques concernant l’accès aux téléphones en garde à vue, nous revenons dans ce nouveau volet sur l’inscription généralisée des personnes arrêtées au fichier automatisé des empreintes digitales – ou FAED.

La prise d’empreintes relève d’un vieux et sombre rêve de la fin du XIXe siècle de classification, catégorisation et identification de la population criminelle d’après ses caractéristiques physiques. À l’époque du bertillonnage – du nom du criminologue qui a créé l’anthropométrie judiciaire -, les empreintes étaient relevées sur fiches cartonnées. Désormais, les justiciables se voient prendre leurs empreintes digitales et palmaires sur scanner, de gré ou de force.

Que dit la loi ?

Les empreintes digitales et palmaires font systématiquement l’objet d’un relevé signalétique par les policiers lors d’une garde à vue (GAV), puisque, en application de l’article 55-1 du code de procédure pénale, il suffit d’être suspecté d’un délit ou d’un crime pour y avoir droit. Dans ce cadre, la prise de la photographie fait également partie de la signalétique et est versée au fichier des antécédents judiciaires (TAJ) qui sert actuellement de tremplin à la reconnaissance faciale en France. Ce sera l’objet d’un prochain article.

Au 1er janvier 2020, 6,7 millions de personnes étaient enregistrées au FAED. Mais la police nationale annonce détenir seulement 6,5 millions de profils à la fin de l’année 2022. Peut-on croire les chiffres de la police et imaginer qu’un nettoyage des fichiers ait été effectué ? Difficile à imaginer : en septembre 2021, la CNIL sanctionnait le ministère de l’Intérieur après avoir constaté que des données non prévues par la loi y étaient conservées et que l’obligation d’effacement des données en cas d’absence de poursuites était peu respectée, tout comme la durée de conservation des données, qui excédait les limites légales.

De plus, une nouvelle disposition législative a certainement contribué à gonfler les chiffres : la loi du 24 janvier 2022, dite « sécurité intérieure », a en effet introduit la possibilité, en cas de refus de la personne gardée à vue, et s’il s’agit de l’unique moyen de l’identifier, de prendre ses empreintes sans son consentement, ou autrement dit, de force. Cette prise forcée d’empreintes concerne à la fois les adultes et les mineur·es (article 55-1 alinéa 5 du code de procédure pénale et article L413-17 du code de justice pénale des mineurs). Le Conseil constitutionnel a récemment précisé les conditions de cette prise forcée des empreintes dans sa décision n° 2022-1034 QPC du 10 février 2023.

Pour être légale, elle doit remplir l’ensemble de ces conditions : que la personne concernée soit suspectée d’avoir commis un délit puni d’au moins trois ans d’emprisonnement (cinq pour les mineurs), qu’aucun autre moyen ne permette de justifier de l’identité de la personne, avoir l’autorisation écrite du Procureur de la République, que l’avocat·e soit présent, et que la contrainte soit strictement nécessaire et proportionnée (en tenant compte, théoriquement, de la vulnérabilité de la personne ainsi que de la situation particulière du ou de la mineur·e). Aussi, le Conseil constitutionnel a finalement exclu l’audition libre¹L’ audition libre est un régime plus léger que la garde à vue pour entendre une personne suspectée d’avoir commis une infraction. Celle-ci ne doit pas avoir été emmenée sous la contrainte, et peut quitter les lieux à tout instant. du champ des situations où la prise d’empreintes de force est autorisée, ne laissant cette opération possible « que » pendant les gardes à vue. La prise d’empreintes a enfin été modifiée par la LOPMI qui a discrètement donné une base juridique à la comparaison, au moment de leur inscription, des empreintes et des photographies avec les fichiers existants (pratique qui avait déjà cours). Pour rappel, ces données biométriques sont ensuite conservées au FAED entre 15 à 25 ans selon l’infraction (pour laquelle, à ce stade, la personne n’a même pas été encore jugée).

La France condamnée par la CEDH

La Cour européenne des droits de l’homme (CEDH) a considéré en 2013, dans l’arrêt M.K. contre France, que cette durée de conservation des empreintes digitales par l’État français était excessive et constituait une violation du droit au respect de la vie privée, alors même que la personne était uniquement suspectée d’avoir commis un délit et n’avait pas été condamnée. Cependant, les possibilités effectives de consultation, de rectification et d’effacement de ces données au FAED sont traditionnellement considérées comme des garanties suffisantes.

Malgré cette condamnation, cela n’a pas empêché la France de continuer son fichage massif des empreintes digitales. En 2019, elle a reconnu elle-même dans une déclaration publique la violation de l’article 8 de la Convention Européenne des Droits de l’Homme (droit à la vie privée) à l’occasion de la collecte des empreintes et de l’ADN de plusieurs personnes condamnées au pénal pour refus d’inscription au FAED ou à son fichier équivalent pour l’ADN, le FNAEG, alors que ces personnes avaient saisi la CEDH. Mais cette déclaration unilatérale, assortie d’indemnisations, a opportunément et malgré la volonté des requérant·es, mis fin aux recours devant la Cour européenne, qui ne jugera donc jamais cette affaire.

Un récent arrêt d’une autre Cour européenne, la Cour de justice de l’Union européenne (CJUE), pourrait mettre des bâtons dans les roues des politiques de fichage en France. Cette décision du 26 janvier 2023 porte sur le système bulgare de prise d’empreintes en garde à vue. Et le jugement de la Cour est très intéressant : il réaffirme que la collecte systématique de données biométriques est contraire au droit de l’Union, auquel la France est soumise.

En pratique : des violences au service du fichage

Cette nouvelle législation inquiétante sur la prise d’empreintes de force a, sans surprise, occasionné des dérives majeures. Dès les premiers mois après son entrée en vigueur, on pouvait lire le témoignage glaçant d’une personne frappée et tasée en garde à vue. Plus récemment, c’est notamment au cours des très nombreux placements en garde à vue dans le cadre des protestations contre la réforme des retraites que cette pratique a refait surface. Ainsi, la bâtonnière du barreau de Rennes, Catherine Glon, a suspendu les désignations d’avocat·es d’office pour ces procédures, refusant que la présence de l’avocat·e, nécessaire pour la prise d’empreintes sous contrainte, ne serve de caution à une disposition « profondément attentatoire aux libertés individuelles et à la vie privée ». La bâtonnière a été soutenue sans réserve par la conférence des bâtonnier·es qui a dénoncé le recours systématique à ce fichage forcé.

Dans les commissariats, la menace du recours à la force est couramment employée à l’encontre des personnes gardées à vue afin de leur faire accepter le fichage au FAED, y compris pour les personnes qui portent sur elles des papiers d’identité et sont donc censées échapper à la contrainte.

Mais au-delà des menaces et des intimidations, des violences physiques ont également été constatées, particulièrement à Paris. Hanna Rajbenbach, membre elle aussi du collectif d’avocat·es à l’origine du dépôt d’une centaine de plaintes concernant les GAV arbitraires en atteste : « Il y a des violences tout à fait illégitimes exercées : des personnes ont été par exemples tasées ou se sont retrouvées la tête écrasée au sol en vue de procéder au relevé de leurs empreintes digitales.» D’autres témoignages de manifestant·es à ce sujet ont été rapportés par RadioParleur dans une émission du 6 mars dernier. Ces violences font actuellement l’objet d’une saisine auprès du Défenseur des Droits, à l’initiative de plusieurs avocat·es qui pointent la responsabilité du parquet. Ainsi l’État est prêt à brutaliser, à taser et à faire usage de ce qui est somme toute une forme de torture sur des personnes en garde à vue pour s’assurer que celles-ci seront fichées.

Des procédures d’effacement existent : en cas de non-lieu, relaxe ou classement sans suite, cet effacement est en principe acquis (et doit d’ailleurs, en théorie, être effectué d’office par le responsable de traitement). Il est envisageable de le demander dans d’autres cas. La demande d’accès aux données s’effectue auprès du ministère de l’Intérieur et la demande de suppression auprès du procureur de la République. Si besoin, le guide « La folle volonté de tout contrôler » produit par la caisse de solidarité de Lyon propose des lettres types pour accompagner les demandes d’effacement (mise à jour à venir !).

Dans les tribunaux, les réquisitions des procureur·es ne s’embarrassent en tout cas souvent pas de pédagogie quant aux finalités de ce fichage systématique : au-delà des dispositions légales contraignantes, inscrire des personnes aux fichiers se justifie « par la nécessité d’alimentation du fichier ». CQFD.

ÉPISODE 1 : le smartphone

Le mouvement contre la réforme des retraites, qui n’en finit pas de ne pas finir, s’est heurté au maintien de l’ordre « à la française». Violences policières et placements massifs de personnes en garde à vue (GAV) ont suscité les inquiétudes du Conseil de l’ordre du barreau de Paris, de la Défenseure des Droits, et ont entrainé le dépôt d’une centaine de plaintes par un collectif d’avocat·es parisien·nes. Sans parler des inquiétudes internationales quant au respect du droit de manifester en France.

Un nombre croissant de personnes font l’expérience de la garde à vue et de son corollaire: la collecte massive d’un certain nombre de données personnelles. Code de téléphone, ADN, photographie et empreintes : un passage en GAV laisse des traces difficiles à effacer. Alors que le ministère de l’intérieur compte investir dans des capteurs nomades biométriques qui permettront, en vue des JO 2024, le relevé de photos et d’empreintes « en bord de route », nous revenons dans une série d’articles sur le fichage galopant en France, son cadre juridique et les pratiques policières en la matière, qui se développent parfois en toute illégalité.

Cet article, le premier de la série, revient sur les données collectées en GAV par la police sur nos téléphones portables.

Les témoignages de personnes placées en garde à vue relatent que, quasi systématiquement, la police exige la divulgation du code de déverrouillage de téléphone, sous peine d’être sanctionné·e ou de se voir confisquer son appareil. Pourtant, ce n’est pas ce que prévoit la loi, qui a connu plusieurs interprétations et est le plus souvent instrumentalisée pour faire pression sur les personnes arrêtées.

Que dit la loi ?

Les dispositions légales qui entourent la demande du code de déverrouillage d’un téléphone proviennent initialement de lois assez anciennes, adoptées dans la foulée du 11 septembre 2001¹loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne et prévues principalement dans le cadre de l’anti-terrorisme.

À l’origine, ce texte avait pour esprit de pénaliser le fait de ne pas remettre le mot de passe d’un appareil susceptible d’avoir facilité la commission d’un crime ou délit. On est alors dans les années 2000 et on parle de « convention secrète de déchiffrement » et de « moyen de cryptologie ». Le texte prévoit aussi une peine alourdie si la remise de cette clé aurait pu permettre d’éviter la commission dudit délit. Un petit air de Jack Bauer dans 24H Chrono : tous les moyens doivent être mis en œuvre pour récupérer des informations qui permettraient d’éviter un drame. La garde des Sceaux de l’époque précisait d’ailleurs que ce dispositif s’inscrivait dans la « lutte contre l’usage frauduleux de moyens de cryptologie qui interviennent dans la commission d’infractions particulièrement graves liées, on l’a vu, à des actes de terrorisme ou de grande criminalité ». ²Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..

Alors que ces dispositions légales n’étaient quasiment pas mobilisées par les procureurs, elles sont remises au goût du jour en 2016 par la loi qui succède aux attentats de novembre 2015 en France et renforce la lutte contre la criminalité organisée et le terrorisme (loi n° 2016-731 du 3 juin 2016). C’est cette loi qui permet aujourd’hui à un officier de police judiciaire (OPJ) de solliciter le code de déverrouillage d’un téléphone lors d’une garde à vue. Elle pénalise donc le refus de remettre « la convention secrète de déchiffrement d’un moyen de cryptologie » lorsqu’un appareil est « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » (434-15-2 du code pénal).

La loi de 2016 ne fait en réalité qu’aggraver la peine pour non remise d’une convention de chiffrement, mais ne se prononce pas sur le périmètres des délits concernés. C’est d’ailleurs bien ce qui a permis aux parquets de détourner ce dispositif, présenté au départ pour la lutte contre le terrorisme, et de l’utiliser dans tout un tas de situations. En pratique, l’existence d’un simple « groupement en vue de la préparation » d’un délit, infraction introduite en 2010, punie d’un an de prison et très fréquemment utilisée pour justifier l’arrestation de manifestant·es, suffit désormais à ce que la police puisse demander à accéder au téléphone en GAV.

Ainsi, suivant un schéma désormais tristement connu, le champ des procédures d’exception justifiées par la lutte contre le terrorisme s’élargit et finit par concerner une grande partie de la population. On se souvient ainsi de la loi SILT de 2017 qui était venue intégrer certaines dispositions de l’état d’urgence dans le droit antiterroriste : perquisitions administratives, mesures individuelles de contrôle administratif et de surveillance (MICAS), fermeture de lieux de culte et instauration de périmètres de protection… Mais l’atteinte aux droits et libertés fondamentales inhérente à l’antiterrorisme a vite fait de s’étendre à d’autres situations: c’est sur cette notion de « périmètre de protection » que se basent actuellement de nombreux arrêtés préfectoraux pour interdire les manifestations à l’occasion de la visite d’un ministre ou du président.

L’état actuel de la loi aboutit donc à ce que presque n’importe qui, retenu en garde à vue, puisse se voir demander le code de son téléphone dès lors qu’existe le soupçon d’un lien potentiel entre cet appareil et une éventuelle commission d’infraction. Et si la personne refuse, elle commet une nouvelle infraction qui permet de la poursuivre indépendamment des premiers faits délictueux qui lui étaient reprochés.

Une jurisprudence défavorable

Ces différents textes ont donné lieu à plusieurs interprétations par les juges. Mais la jurisprudence n’a pas davantage protégé les droits des personnes et certaines décisions ont, au contraire, donné un nouveau tour de vis sécuritaire à la possibilité d’accéder au contenu des téléphones.

En 2018, le Conseil constitutionnel a été saisi d’une question prioritaire de constitutionnalité (QPC) et La Quadrature était intervenue au soutien dans cette affaire. Nous avions défendu la nécessaire censure de cette obligation de livrer ses clefs de chiffrement, au motif notamment que cette mesure est attentatoire au droit fondamental de chacun·e à ne pas s’auto-incriminer et au droit à la vie privée.

En vain, puisque le Conseil constitutionnel a considéré que le droit au silence et le droit ne pas s’auto-incriminer n’entraient pas en contradiction avec la pénalisation du refus de communiquer son code. Le tour de passe-passe du Conseil constitutionnel consistait à dire que le droit à ne pas s’auto-incriminer ne pouvait être atteint puisque les données étaient déjà entre les mains de la police au moment où la convention secrète de chiffrement est exigée, même si la police ne détenait qu’une forme illisible – car chiffrée – des données.

Quant à la définition de l’« autorité judiciaire » censée requérir la remise du code, la Cour de cassation a décidé en mars 2021 qu’un simple officier de police judiciaire était habilité, sous le contrôle du procureur, à le faire.³Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone. Ce sont les OPJ qui mènent les gardes à vue, en relation avec le procureur et sous son autorité, leur qualité est notamment visible sur les procès verbaux des différents actes de la procédure. Concernant le code de téléphone, une simple réquisition de l’OPJ semble donc suffire d’après la Cour de cassation. Cette même Cour avait par contre estimé que le juge aurait dû vérifier que le téléphone du prévenu était bien équipé d’un moyen de cryptologie.

Un flou subsistait également quant à l’interprétation retenue par les tribunaux de ce qui constitue une « convention secrète de déchiffrement d’un moyen de cryptologie » : le code de déverrouillage d’un téléphone est-il réellement concerné par ces dispositions ? En effet, techniquement, le code de téléphone n’opère pas une mise en clair de données qui seraient chiffrées au préalable mais permet juste un accès au téléphone et à son contenu, qui peut n’avoir jamais été chiffré. Saisie de cette question, la Cour de cassation a rendu le 7 novembre 2022 une décision clairement défavorable en considérant qu’« une convention de déchiffrement s’entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission ». Cette conception extensive empiète nécessairement sur le droit des personnes à la protection de leurs données personnelles.

Plusieurs cas de figure n’ont à notre connaissance pas encore été tranchés : qu’en est-il d’un oubli de code dans les conditions stressantes de la GAV ou d’une défaillance du système d’exploitation ?

Un espoir au niveau européen?

La Cour de justice de l’Union européenne (CJUE) est actuellement saisie d’une affaire concernant l’accès au téléphone d’une personne placée en garde à vue⁴Affaire C-548/21, Bezirkshauptmannschaft Landeck. Cette affaire concerne une tentative d’exploitation d’un téléphone sans l’accord de son détenteur. La CJUE doit donc dire si l’atteinte au droit à la vie privée et à la protection des données personnelles (droits fondamentaux respectivement protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne) est proportionnelle à l’objectif poursuivi.

Malheureusement, l’avocat général, magistrat chargé de proposer à la Cour une décision, a estimé qu’un tel accès au téléphone devrait être relativement large et ne devrait pas être restreint aux faits de criminalité grave. La CJUE n’est pas obligée de suivre les conclusions de son avocat général, mais si elle le faisait elle mettrait gravement à mal les droits fondamentaux, en autorisant l’exploitation des téléphones peu importe la gravité des faits reprochés . Pire, l’avocat général montre une certaine naïveté lorsqu’il se contente de renvoyer à un contrôle au cas par cas de la nécessité d’exploiter un téléphone : on sait très bien que ces mécanismes de contrôles ne fonctionnent pas, par exemple en matière de vidéosurveillance où les préfets sont censés en théorie contrôler les autorisations alors qu’en pratique leur déploiement est massif.

Cette affaire est pourtant l’occasion pour la CJUE, en s’inspirant de sa jurisprudence sur les données de connexion, de poser un cadre exigeant, en limitant au strict nécessaire l’accès à des données qui, étant donné le rôle d’un téléphone aujourd’hui qui devient presque un avatar numérique, révèlent nécessairement l’intimité des personnes. Gageons qu’elle ne suivra pas son avocat général et qu’elle ne cédera pas aux appels des États membres à donner plus de pouvoirs à la police.

En pratique, atteintes à la vie privée et « confiscations sanctions » à Paris

En attendant, côté manifestant·es, le code de déverrouillage du téléphone est quasi systématiquement demandé lors des GAV et il n’est pas rare que les OPJ brandissent la menace d’une mise sous scellé de l’appareil pour une tentative d’exploitation qui mettra des mois ou n’aboutira jamais.

En pratique, de nombreux commissariats se sont vus doter ces dernières années de dispositifs d’aspiration des données d’un téléphone : Cellebrite, société informatique israélienne, a ainsi commercialisé des UFED (pour Universal Forensics Extraction Device, ou « kiosk »), petits dispositifs qui se branchent par USB sur un téléphone pour en copier le contenu. Cellebrite annonce que leur technologie est capable de contourner le chiffrement d’un téléphone. En pratique, on est bien loin du compte et ces kiosks semblent surtout utiles pour copier les données auxquelles le ou la propriétaire du téléphone a donné accès. 

Ainsi, lorsqu’une personne déverrouille son téléphone, seront utilisées pour la procédure toutes les informations que les policiers pourront trouver : messages dans des applications de messagerie (du type Signal, Telegram, WhatsApp, Messenger, etc.), photos, vidéos, identifiants et contenus de réseaux sociaux, messages SMS, etc. Et la liste n’est pas exhaustive. Des photos et des extraits de conversations pourront alimenter un profil à charge, motiver des peines d’interdiction de manifester ou ouvrir la voie à des poursuites pour d’autres faits. On est déjà bien loin de l’enquête sur des faits de préparation ou de facilitation d’un délit grâce à un téléphone, tel que le prévoit la loi. 

En effet, alors que l’exploitation d’un téléphone n’est en théorie possible que lorsqu’un faisceau d’indices montre qu’il aurait servi à commettre une infraction, en pratique cette condition n’est pas réellement respectée dans les commissariats : la présomption est généralisée et toute personne en GAV verra sont téléphone exploité sans qu’aucun indice ne démontre qu’il aurait servi à préparer ou commettre un délit. Coline Bouillon, avocate au barreau de Créteil ayant participé au dépôt de plainte collectif pour gardes à vue arbitraires, nous a confirmé cette pratique : « Le recours à ce procédé hautement intrusif est devenu monnaie courante, et ce même dans les cas où l’infraction poursuivie ne peut être établie par le contenu d’un téléphone. Bien souvent, les services de police font face à des dossiers vides qu’ils essaient de nourrir par l’exploitation du téléphone de la personne gardée à vue. » Elle pointe aussi l’objectif de renseignement inhérent à la demande de consultation du téléphone : « Cette infraction sert autant à condamner des militants qu’à nourrir des fichiers de police ». Les contacts contenus dans les téléphones pourraient ainsi servir à tracer des arborescences d’un milieu militant (le graphe social), toujours intéressantes pour le renseignement.

Dans le paysage français, le parquet de Paris semble particulièrement zélé. Actuellement, en cas de refus de communiquer les codes, deux procédures sont utilisées aux fins de confiscation des appareils : le classement pénal sous conditions, et l’avertissement pénal probatoire (le cousin éloigné du défunt « rappel à la loi ») par lesquels il est demandé aux personnes de « se déssaisir de leur téléphone au profit de l’Etat». Jusqu’à l’absurde, puisqu’un manifestant a récemment reçu un avertissement pénal probatoire pour avoir refusé de donner le code d’un téléphone… qu’il ne possédait pas.

Le procureur peut également demander à l’audience la confiscation du téléphone en cas de refus de communication du code de déverrouillage (voir ce compte-rendu d’audience du procès de Camille, libraire). Autant de confiscations à la limite du droit : à Paris, plusieurs personnes se sont par exemple vues saisir leur téléphone professionnel dans le cadre d’arrestations arbitraires. Coline Bouillon alerte sur ces « “confiscations sanctions” quasi systématiques » et souligne le fait que la justice décide parfois de poursuivre des personnes uniquement pour le refus de donner son code de téléphone, alors même que l’infraction initiale qui a justifié le placement en garde à vue est tombée.

Nous avons également recueilli le témoignage d’un manifestant qui, à l’occasion d’un piquet de grève d’éboueurs à Aubervilliers, le 31 mars dernier, a été obligé, de même que toutes les personnes présentes, à donner aux policiers, non seulement son identité, mais également accès à son téléphone portable pour que les fonctionnaires récupèrent le numéro IMEI (l’identifiant physique du téléphone, consultable en tapant *#06#). Ces pratiques hors de tout cadre légal suscitent de nombreuses questions : les données prélevées sont-elles stockées quelque part? Quel(s) fichier(s) contribuent-elles à enrichir? Qui y a accès? En 2019, déjà, Le Monde avait documenté une pratique similaire à l’occasion des mouvements de Gilets Jaunes, cette fois-ci par la prise en photo des cartes d’identité des manifestant·es.

Ces pratiques sont le reflet d’une politique pénale du parquet pour le moins agressive à l’encontre des personnes gardées à vue : à la privation de liberté qui s’apparente déjà à une sanction s’ajoute la confiscation du téléphone. Il s’agit clairement d’un dévoiement des textes existants, qui s’inscrit dans une politique générale plus large, à la fois de collecte de renseignements mais aussi de dissuasion des manifestant·es.

Cet état des lieux des pratiques policières et de la protection peu cohérente qui a été accordée par la jurisprudence n’est guère réjouissant. Face à ces pratiques abusives, la meilleure protection des données à ce jour semble encore de ne pas emmener son téléphone en manifestation. Des brochures et guides fleurissent également pour protéger au mieux ses données et informations en contexte militant et la legal team de Paris avait par exemple, en mai 2021, publié un article conséquent à ce sujet et proposé des conseils toujours pertinents. Enfin, certaines applications, comme Wasted ou Duress, permettent de configurer son téléphone pour effectuer un effacement de données en urgence, en activant une appli factice, en tapant un code spécifique ou simplement en réaction à la connexion d’un cable USB au téléphone alors qu’il est verrouillé. Quoiqu’il en soit, la lutte pour la protection des données n’est pas terminée et le refus de dévoiler son code de téléphone est un choix qui se plaide dans les tribunaux.

References[+]

References

↑1	loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne
↑2	Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..
↑3	Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone.
↑4	Affaire C-548/21, Bezirkshauptmannschaft Landeck

Après avoir documenté l’utilisation d’un algorithme de notation des allocataires à des fins de contrôle social par la CAF (voir ici et ici), nous revenons ici sur la fuite de plus de 10 000 dossiers d’allocataires suite à un ensemble de négligences de la part de l’institution.

Suite à notre travail sur l’utilisation d’un algorithme de notations des allocataires utilisé afin de sélectionner celles et ceux qui feront l’objet d’un contrôle (voir ici et ici), nous avons été contacté·es par la cellule investigation de Radio France (voir leur article ici) à propos d’une base de données contenant plus de 10 000 dossiers d’allocataires de la CAF disponible en ligne sans aucune protection et accessible par n’importe qui.

Une fuite majeure : état civil, situation familiale, données médicales et multiples informations sur les enfants

Pour chaque dossier, 181 variables sont disponibles¹Pour l’explication des variables présentes, voir ce dictionnaire. La liste des variables est accessible ici. D’autres données relatives à la navigation internet des allocataires sur le site de la CAF étaient disponibles.. On trouve notamment les informations suivantes sur chaque allocataire :

• État civil : sexe, date de naissance, nationalité (française ou non), adresse (sans le nom de la ville)²Voir SEXE, DTNAIRES, NATIFAM, LILI4ADR..
• Logement : type de logement (propriétaire, locataire, sans domicile fixe, hébergement à titre gracieux, hôtel…), informations sur le loyer ³Voir OCCLOG, MTAIDEL, MTLOYREM..
• Situation personnelle : célibataire/veuf·ve/en couple/divorcé·e, personne sous tutelle ou non (civile, judiciaire, médicale…) ⁴Voir SITFAM, NATTUT..
• Situation médicale : grossesse en cours ou non, « niveau » de handicap⁵Voir TITUAAH, TOPGRO, CINCAAH..
• Situation professionnelle : « activité » (chômeurs·es, salarié·e, retraité·e, étudiant·e, handicapé·e, personne « inactive ») ⁶Voir ACTRESPD0..
• Situation du conjoint : activité (chômeurs·es, activité « normale », retraité·e, étudiant·e, handicapé·e, « inactive »), date de naissance ⁷Voir PRESCONJ, DTNAICONJ, ACTCONJ..
• Situation familiale : nombre de personnes du foyer, nombre d’enfants, existence de pensions alimentaires, de garde alternée, revenus du foyer ⁸Voir SITFAM, PERSCOUV, NBENLEFA, TPA, NBUC, RUC..
• Pour chaque enfant de l’allocataire : date de naissance, sexe, s’il ou elle est orphelin, a été abandonné·e à la naissance, sa « qualité » (« infirme », étudiant·e, stagiaire, salarié·e, apprenti·e), s’il ou elle est à charge ou encore en résidence alternée⁹Voir variables DNAIENF, CATEENF, QUALENF, ENFASFVERS..
• Type et montant des allocations : Allocations familiales, APL, RSA, Prime d’activité, Allocation d’adultes Handicapés ¹⁰Voir toutes les variables en *VERS, TITUAAH..

L’exposition de cette base de données révèle donc énormément d’informations personnelles et sensibles sur plus de 10 000 allocataires. Et ce depuis plus d’un an et demi¹¹Les premiers exercices semblent avoir été publiés en mars 2021., sa date de mise en ligne remontant à mars 2021.

L’authenticité de ces données a été vérifiée par des journalistes de Radio France qui ont contacté plusieurs des allocataires identifiés à partir des informations disponibles.

Des données transférées à un prestataire privé sans aucune justification

Ces données ont été mises en ligne par un prestataire privé à qui la CAF avait demandé de former ses agent·es à la manipulation d’un logiciel de traitement statistique. C’est dans le cadre de cette formation que la CAF a communiqué quelques 10 000 dossiers d’allocataires à ce prestataire. Le but était qu’il puisse créer des exercices portant sur des cas réalistes.

À la vue du niveau très basique des exercices proposés dans la formation (manipulation simple de variables, tri de données, export/import de tables…), rien ne justifie l’utilisation de données personnelles des allocataires. En d’autres termes, les exercices auraient pu être réalisés avec des jeux de données complètement anodins (accessibles publiquement par exemple).

Contacté par Radio France, le prestataire a lui-même dit qu’il pensait que les données envoyées étaient « fictives », ajoutant qu’il n’avait pas demandé de données réelles car cela n’était pas nécessaire…

Ce transfert de données semble donc révéler le peu de cas que la CAF fait de nos données personnelles. Ou plutôt un sentiment de propriété de nos données personnelles de la part de ses responsables, qui semblent trouver cela normal de les transférer sans aucune raison à des prestataires privés… Ou de les utiliser pour développer un algorithme de notation ciblant les plus précaires.

Petit rappel aux responsables de la CAF (1/2) : supprimer les noms et prénoms ne revient pas à anonymiser des données

Certes, la CAF avait pris la « précaution » d’enlever du jeu de données les noms et prénoms des allocataires ainsi que le code postal. Mais une simple recherche à partir du reste de l’adresse (numéro et nom de rue), sur un site comme les Pages jaunes, suffit à identifier de nombreuses personnes.

C’est cette approche qu’a adoptée l’équipe de Radio France pour vérifier l’authenticité des données via l’appel à des allocataires dont la trace a été retrouvée.

Ainsi la CAF semble ignorer les principes de base de l’anonymisation des données personnelles. Une anonymisation correcte nécessite bien plus de traitements de manière à ce qu’il ne soit pas possible d’identifier les individus auxquels sont rattachés les données. Il faut par exemple supprimer, ou a minima modifier, les informations directement identifiantes (date de naissance et adresse par exemple). Nous redirigeons ces responsables vers le guide de la CNIL portant sur ce sujet.

Petit rappel aux responsables de la CAF (2/2) : chiffrer ses données, c’est bien

Pire, la base de données a été publiée sans que son accès n’ait été protégé. On aurait pu imaginer, a minima, que le prestataire les chiffrerait avant de les mettre en ligne pour les élèves de la formation à qui il aurait communiqué le mot de passe protégeant le fichier.

Mais même cette mesure de précaution élémentaire a été écartée. Le fichier contenant les informations a été publié sans la moindre protection. Il était donc accessible à toute personne se rendant sur le site du prestataire.

Le « Centre National d’Appui au Datamining » au centre des controverses

L’analyse des adresses des allocataires présentes dans les fichiers révèle que la plupart se trouvent en région bordelaise. Or c’est à Bordeaux que se trouve le « Centre National d’appui au Datamining » (CNAD)¹²Le centre d’appui au datamining (CNAD) a été créé en 2012 à Bordeaux par la CAF de Gironde. Voir notamment l’article de Mathieu Arzel dans le numéro 58 revue Regards publié en 2020 et disponible ici. de la CAF.

Ce centre a été créé en 2012 pour développer le fameux algorithme de notation des allocataires aujourd’hui vivement contesté (voir ici, ici, ici, ici ou encore ici).

Il est ainsi légitime de se demander si la formation ayant conduit à la fuite de données était à destination des agent·es du CNAD. Peut-être même d’agent·es ayant vocation à travailler sur l’algorithme de notation lui-même ?

La CAF doit rendre des comptes sur ses pratiques numériques

Les révélations sur les pratiques numériques nocives et irrespectueuses des données personnelles des allocataires par la CAF s’accumulent. Face aux questions légitimes qui lui sont posées, la CAF préfère s’enfermer dans l’opacité (voir notre article ici).

Nous n’arrêterons pas pour autant de les documenter.

Image d’illustration : reconstitution d’un extrait de la base de données concernée par la fuite.