Nous avons pris la décision de quitter X, anciennement Twitter, ce lundi 20 janvier 2025. Cette décision est mûrement réfléchie ; Twitter encourage depuis longtemps les discours de haine et le harcèlement mais, ces derniers mois, il est devenu l’espace d’expression privilégié de l’extrême droite.

Nous nous joignons donc, comme des milliers de personnes, à l’initiative HelloQuitX afin de réamorcer la désertion des réseaux sociaux commerciaux centralisés vers de meilleurs espaces. Elle facilite notamment le départ en Twitter en proposant un outil de migration.

En effet, le retour de Donald Trump au pouvoir marque un tournant dans l’histoire de X. Le soutien d’Elon Musk, patron de X, à la candidature de D. Trump a conduit à des changements significatifs dans la modération et l’algorithme de la plateforme. Les contenus fascistes ont été fortement mis en avant, tandis que les contenus issus des luttes pour l’émancipation ont vu leur portée réduite. Nous l’avons personnellement constaté, notre compte ayant une portée bien moindre qu’auparavant, ce qui nous a aussi amené à réfléchir à la pertinence de notre présence sur cette plateforme.

Depuis notre création, nous luttons contre la centralisation des plateformes numériques et ses conséquences. Nous avons notamment régulièrement souligné les risques d’une concentration excessive du pouvoir dans les mains d’entreprises privées. Nous reconnaissions malgré tout l’importance de l’effet de réseau dont bénéficiait Twitter et c’est pour ça que jusqu’à présent nous y étions resté.es. Il s’agissait de garder le contact avec nos sympathisant.es et les organisations qui partagent nos valeurs.

Cependant, maintenant qu’un départ collectif se met en place grâce à HelloQuitX, nous considérons qu’il est temps de prendre une décision courageuse et de participer à montrer l’exemple, en attendant que des initiatives similaires puissent bientôt s’organiser contre d’autres réseaux sociaux centralisés et toxiques, à commencer par ceux de Mark Zuckerberg, patron de Meta.

Des alternatives existent, et nous gérons depuis longtemps un serveur faisant partie du réseau Mastodon : mamot.fr. Mastodon est un réseau qui permet une modération propre à chaque serveur, qui soit à l’image de sa communauté. Avec déjà plusieurs millions d’utilisateurices, nous sommes convaincu.es que Mastodon est la meilleure alternative à Twitter pour nous.

BlueSky existe également, mais nous craignons que ce réseau répète les erreurs de Twitter. La décentralisation de cette plateforme est pour l’heure limitée et nous sommes inquiet.es quant au contrôle qu’une entreprise unique pourrait exercer sur elle.

Afin de vous permettre de quitter X tranquillement, nous avons aussi pris la décision d’ouvrir temporairement les inscriptions sur Mamot.fr, notre instance Mastodon où sont déjà inscrites 43 000 personnes. Vous pouvez vous y faire un compte dès maintenant, gratuitement. Vous pouvez aussi trouver d’autres serveurs sur joinmastodon.org . Et grâce à l’interopérabilité, vous pouvez suivre les millions d’autres personnes inscrites sur d’autres serveurs Mastodon depuis Mamot.fr, ainsi que suivre des comptes sur Peertube, Pixelfed et d’autres.

Notre compte Mastodon est sur https://mamot.fr/@LaQuadrature. Nous serons heureux de discuter avec vous sur ce réseau social fédéré !

Nous vous invitons à rejoindre le mouvement qui se met en place grâce à HelloQuitX. Rejoignez-nous sur Mastodon et parlez-en avec vos amis et autour de vous ! Ensemble, nous pouvons créer un avenir meilleur et des réseaux sociaux libres.

Après Google et Amazon, c’est au tour de Microsoft d’être condamnée pour non respect du droit des données personnelles. Hier, l’autorité de protection des données irlandaise a adressé à Microsoft une amende de 310 millions d’euros suite à notre plainte contre son service LinkedIn, au motif du non respect du consentement de ses utilisateurs.

Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrait en application, venant renforcer le droit des données personnelles. Il donnait une place particulière au consentement, qui devenait la principale base légale à appliquer pour la collecte et l’usage des données personnelles. Le RGPD apportait également deux autres nouveautés : la possibilité de déposer des plaintes de manière collective, ainsi qu’un pouvoir de sanction donné aux CNIL de l’Union européenne. Les CNIL, responsables de l’application du règlement, peuvent dès lors adresser des amendes à hauteur de 4% du chiffre d’affaire mondial des entreprises ne respectant pas le droit. Les CNIL européennes travaillent de concert sur les plaintes, guidées par une CNIL dite « cheffe de file », celle du pays ou le siège social de l’entreprise attaquée est établi.

Quelques mois avant son entrée en application, nous avions lancé un appel aux utilisateurices de certains services des GAFAM en leur proposant de se joindre à nous pour déposer une plainte contre chacune de ces grosses entreprises. Nos plaintes, déposées avec plus de 12 000 personnes, se fondaient sur le présupposé que ces entreprises ne respecteraient pas le RGPD une fois que le règlement serait applicable, notamment car leur modèle économique est en partie construit autour de l’exploitation sans consentement des données, particulièrement Google et Facebook. Comme nous l’avions parié, plus de six ans après, ces entreprises ne respectent toujours pas notre droit fondamental à la vie privée. Amazon fut condamnée par la CNIL luxembourgeoise à une amende de 746 millions d’euros en 2021. Google, n’ayant à l’époque du dépôt des plaintes pas de siège social dans l’Union européenne, avait été condamnée par la CNIL française (lieu du dépôt de la plainte) à 50 millions d’euros d’amende, puis s’était empressée de localiser son siège social en Irlande.

L’Irlande, connue pour sa politique fiscale avantageuse, héberge les sièges sociaux de nombreuses entreprises. C’est donc l’autorité irlandaise qui s’est retrouvée cheffe de file pour la plupart de nos plaintes : celle contre Microsoft (LinkedIn) mais aussi celles contre Apple (iOS) et Meta (Facebook et Instagram) qui sont encore en cours d’instruction, ainsi qu’Alphabet (Google Search, Youtube et Gmail).
Hier, elle a donc prononcé à l’encontre de Linkedin un rappel à l’ordre, une injonction de mise en conformité du traitement et trois amendes administratives d’un montant total de 310 millions d’euros. Cette sanction est donc de bon augure pour la suite de nos plaintes, et pour le respect du droit des données personnelles. Elle vient une nouvelle fois confirmer notre interprétation du RGPD selon laquelle les services en ligne doivent garantir un accès sans contraindre leurs utilisateurices à céder leurs données personnelless. Dans le cas contraire, le consentement donné ne peut être considéré comme libre.

En revanche, il faut relever qu’il a fallu plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise.

Si nous nous réjouissons de cette petite victoire, elle reste faible. La plus grosse partie de l’Internet reste entre les mains de grosses entreprises. Ce sont elles qui hébergent nos échanges en ligne et gardent les pleins pouvoirs dessus : malgré le RGPD, la plupart d’entre elles continueront de récolter nos données sans notre consentement afin de nourrir leurs algorithmes de profilage publicitaire, transformant par la même occasion nos moindre faits et gestes en ligne en marchandises.

D’autant que ce système repose sur de la puissance de calcul et de l’énergie afin d’afficher ces images publicitaires sur nos écrans. Le tout pour toujours nous faire consommer davantage alors que la crise écologique prend de l’ampleur de jour en jour. Dans ce contexte, nous attendons avec hâte les décisions de la CNIL irlandaise concernant nos autres plaintes et espérons qu’elle sera vigilante quant au respect de la mise en conformité de LinkedIn.

Pour nous soutenir dans la suite de ce combat, n’hésitez pas à nous faire un don !

Mise à jour du 12 juillet 2024 : le directeur général de France Travail a souhaité utiliser son droit de réponse. Vous la trouverez à la suite de l’article.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion »… France Travail multiplie les expérimentations de profilage algorithmique des personnes sans emploi.

Après avoir traité de l’utilisation par la CAF d’un algorithme de notation des allocataires, nous montrons ici que cette pratique est aussi partagée par France Travail, ex-Pôle Emploi. À France Travail, elle s’inscrit plus largement dans le cadre d’un processus de numérisation forcée du service public de l’emploi. Retrouvez l’ensemble de nos publications sur l’utilisation par les organismes sociaux d’algorithmes à des fins de contrôle social sur notre page dédiée et notre Gitlab.

Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social.

De la CAF à France Travail : vers la multiplication des « scores de suspicion »

C’est, ici encore, au nom de la « lutte contre la fraude » que fut développé le premier algorithme de profilage au sein de France Travail. Les premiers travaux visant à évaluer algorithmiquement l’honnêteté des personnes sans emploi furent lancés dès 2013 dans la foulée de l’officialisation par la CAF de son algorithme de notation des allocataires. Après des premiers essais en interne jugés « frustrants »¹Voir cette note de synthèse revenant sur les premières expérimentation faites par Pôle Emploi., France Travail – à l’époque Pôle Emploi – se tourne vers le secteur privé. C’est ainsi que le développement d’un outil de détermination de la probité des demandeur·ses d’emploi fut confié à Cap Gemini, une multinationale du CAC40²Voir cet article sur l’implication de Cap Gemini dans la réalisation de l’outil de scoring..

La notation des chômeur·ses est généralisée en 2018. La présentation qui en est faite par France Travail donne à voir, comme à la CAF, l’imaginaire d’une institution assiégée par des chômeur·ses présumé·es malhonnêtes. Ses dirigeant·es expliquent que l’algorithme assigne un « score de suspicion » – dans le texte – visant à détecter les chômeur·ses les plus susceptibles « d’escroquerie » grâce à l’exploitation de « signaux faibles »³L’expression « score de suspicion » est extraite de l’analyse d’impact disponible ici, celle de « signaux faibles » d’une note de suivi des travaux OCAPI 2018 disponible ici, celle d’« indices » de l’article présentant la collaboration de France Travail avec Cap Gemini. Quant au terme d’« escroquerie », il est issu d’un échange de mails avec un·e responsable de France Travail.. Une fois l’ensemble des personnes sans emploi notées, un système d’« alertes » déclenche ainsi des contrôles lorsque l’algorithme détecte des situations « suspectes » (emploi fictif, usurpation d’identité, reprise d’emploi non déclarée)⁴L’algorithme utilisé semble se baser sur des arbres de décisions, sélectionnés via XGBoost. Les principaux cas d’entraînement semblent être la détection de périodes d’activité dites « fictives » – soit des périodes de travail déclarées mais non travaillées – d’usurpation d’identité et de reprise d’emploi non déclarée. Voir ce document..

Pour l’heure, France Travail s’est refusé à nous communiquer le code source de l’algorithme. Au passage, notons que ses dirigeants ont par ailleurs refusé, en violation flagrante du droit français, de fournir la moindre information aux demandeur·ses d’emploi que nous avions accompagné·es pour exercer leur droit d’accès au titre du RGPD⁵Nous accompagnons différentes personnes dans des demandes d’accès à leurs données personnelles. Pour l’instant, France Travail s’est systématiquement opposé à leur donner toute information, en violation du droit.. Nous avons cependant obtenu, via l’accès à certains documents techniques, la liste des variables utilisées.

On y retrouve une grande partie des données détenues par France Travail. Aux variables personnelles comme la nationalité, l’âge ou les modalités de contact (mails, téléphone…) s’ajoutent les données relatives à notre vie professionnelle (employeur·se, dates de début et de fin de contrat, cause de rupture, emploi dans la fonction publique, secteur d’activité…) ainsi que nos données financières (RIB, droits au chômage…). À ceci s’ajoute l’utilisation des données récupérées par France Travail lors de la connexion à l’espace personnel (adresse IP, cookies, user-agent). La liste complète permet d’entrevoir l’ampleur de la surveillance numérique à l’œuvre, tout comme les risques de discriminations que ce système comporte⁶Voir notamment nos articles sur l’algorithme de la CAF, en tout point similaire à cette page..

Profilage psychologique et gestion de masse

Fort de ce premier « succès », France Travail décide d’accroître l’usage d’algorithmes de profilage. C’est ainsi que, dès 2018, ses dirigeant·es lancent le programme Intelligence Emploi⁷Ce programme, financé à hauteur de 20 millions d’euros par le Fond de Transformation de l’Action Publique a été construit autour de 3 axes et s’est déroulé de 2018 à 2022. Voir notamment la note de 2020 envoyée à la DINUM par France Travail, disponible ici.. Son ambition affichée est de mettre l’intelligence artificielle « au service de l’emploi » pour « révéler à chaque demandeur d’emploi son potentiel de recrutement »⁸Rapport annuel 2018 de Pôle Emploi disponible ici..

Un des axes de travail retient notre attention : « Accélérer l’accès et le retour à l’emploi [via un] diagnostic “augmenté” pour un accompagnement plus personnalisé ». Ici, l’IA doit permettre de d’« augmenter la capacité de diagnostic » relative aux « traitements des aspects motivationnels » via la « détection de signaux psychologiques »⁹Voir cette note envoyée par Pôle Emploi à la DINUM.. En son sein, deux cas d’usage retenus sont particulièrement frappants.

Le premier est le développement d’algorithmes visant à « anticiper les éventuels décrochages », prévenir les « risques de rupture »¹⁰Voir cette note envoyée par Pôle Emploi à la DINUM. ou encore « détecter les moments où ils [les personnes au chômage] peuvent se sentir découragés ou en situation de fragilité »¹¹Voir ce support de webinaire..

Ces travaux ont trouvé, au moins en partie¹²En partie puisqu’au cœur des algorithmes du JRE, nulle trace de machine learning ou de traitements statistiques complexes. Chaque score résulte de l’application de règles simples, bien loin des ambitions initiales de recours à l’intelligence artificielle. Les dirigeant·es de France Travail semblent ici avoir éprouvé les limites d’un techno-solutionnisme béat. Voir ce document. À noter aussi que ce document évoque une « brique IA Mire » portant sur la détection de « situations de décrochage ». Il se pourrait donc que des algorithmes plus avancés soient en développement., un premier aboutissement dans l’outil du Journal de la Recherche d’Emploi (JRE) actuellement expérimenté dans plusieurs régions de France¹³Le JRE est une refonte de l’interface numérique. Voir à ce sujet l’excellent article de Basta disponible ici. Si le JRE ne semble pas avoir été créé dans le cadre du programme Intelligence Emploi, il semble avoir été le cadre d’expérimentations de plusieurs des solutions produites. Voir ici.. Le JRE assigne à chaque incrit·e quatre scores de « profilage psychologique » visant respectivement à évaluer la « dynamique de recherche » d’emploi, les « signes de perte de confiance », le « besoin de redynamisation » ou les « risques de dispersion »¹⁴Voir le document « Fiches pratiques à destination des conseillers » portant sur le JRE disponible ici..

Ces informations sont synthétisées et présentées aux conseiller·es sous la forme d’un tableau de bord. « Parcours à analyser », « Situations à examiner », « Dynamique de recherche faible » : des alertes sont remontées concernant les chômeur·ses jugé·es déficient·es par tel ou tel algorithme. Le ou la conseiller·e doit alors faire un « diagnostic de situation » – via l’interface numérique – afin d’« adapter l’intensité » des « actions d’accompagnement ». Et là encore, ils et elles peuvent s’appuyer sur des « conseils personnalisés » générés par un dernier algorithme¹⁵Les documents les plus parlants sur la mécanisation de l’accompagnement via le JRE sont ce support et ce document à destination des conseiller·es. Voir aussi les documents que nous mettons en ligne sur l’utilisation d’IA pour générer des conseils automatisés, consultables par les personnes sans emploi et les conseiller·es..

Contrôle, mécanisation et déshumanisation de l’accompagnement : voilà la réalité de ce que le directeur de France Travail appelle « l’accompagnement sur mesure de masse »¹⁶Voir cette interview du directeur actuel de France Travail..

Diagnostic et score d’employabilité

Le second cas d’usage est tout aussi inquiétant. Il s’agit de déterminer la « qualité » d’un·e demandeur·se d’emploi. Ou, pour reprendre les termes officiels, son « employabilité »¹⁷Pour un aperçu historique de la notion d’employabilité, voir le chapitre 5 de France Travail : Gérer le chômage de massse de J.-M Pillon.. Ce projet n’est pas encore déployé à grande échelle, mais nous savons qu’une première version – basée, elle, sur des techniques d’intelligence artificielle¹⁸Voir cette note envoyée par Pôle Emploi à la DINUM en 2020. – a été développée en 2021¹⁹Voir cette autre note envoyée par Pôle Emploi à la DINUM en 2021..

L’algorithme alloue à chaque inscrit·e un score prédisant ses « chances de retour à l’emploi ». Véritable outil automatique de tri des chômeur·ses, il vise à organiser la « priorisation des actions d’accompagnement »²⁰Voir cette note envoyée par Pôle Emploi à la DINUM en 2020. en fonction d’un supposé degré d’autonomie de la personne sans emploi.

Si les informations disponibles sur ce projet sont limitées, on peut imaginer que ce score permettra le contrôle en temps réel de la « progression de la recherche d’emploi » via les actions entreprises pour améliorer « l’attractivité [de leur] profil »²¹Voir ce document sur l’utilisation de l’IA à Pôle Emploi.. Il serait alors un indicateur d’évaluation en continu de la bonne volonté des chômeur·ses.

Mais on peut aussi penser qu’il sera utilisé pour inciter les personnes sans emploi à se diriger vers les « métiers en tension », dont une majorité concentre les conditions de travail les plus difficiles. En demandant aux chômeur·ses d’améliorer leur score, via une réorientation, ils et elles seraient encouragé·es à accepter un emploi au rabais.

Agenda partagé & agences virtuelles

Mais l’étendue du processus de numérisation à l’oeuvre à France Travail va bien au-delà de ces exemples. Côté contrôle numérique, citons l’interface « XP RSA »²²Voir ce document de présentation de XP RSA., l’outil numérique déployé dans le cadre de la récente réforme du RSA. Cette interface n’est rien d’autre qu’un agenda partagé permettant de déclarer, et de contrôler, les quinze à vingt « heures d’activité » hebdomadaires dont vont devoir s’acquitter les bénéficiaires du minima social. Son remplissage forcé est un pas supplémentaire vers le flicage des plus précaires.

Côté IA, France Travail a lancé en 2024 le programme « Data IA »²³Voir ce document de présentation du programme Data IA., successeur d’Intelligence Emploi mentionné plus haut. Présenté avec fracas au salon de l’« innovation technologique » VivaTech – organisé par le groupe Publicis –, on retrouve parmi les projets en développement une IA générative visant à numériser l’accompagnement et la recherche d’emploi (« Match FT »)²⁴Pour Match FT, voir cet entretien, ce tweet et cet article de la Banque des Territoires. Voir aussi Chat FT, l’IA générative pour l’instant dédiée aux conseillers·es, dans ce document.. France Travail s’intéresse aussi aux « maraudes numériques » pour « remobiliser les jeunes les plus éloignés de l’emploi »²⁵Voir ce tweet. et au développement d’« agences virtuelles »²⁶Voir ce tweet..

Austérité, automatisation et précarisation

La numérisation de France Travail signe la naissance d’un modèle de gestion de masse où coexistent une multitude d’algorithmes ayant chacun la tâche de nous classifier selon une dimension donnée. Risque de « fraude », de « dispersion », de « perte de confiance », suivi des diverses obligations : les capacités de collecte et de traitements de données sont mises au service de la détection, en temps réel, des moindres écarts à des normes et règles toujours plus complexes²⁷Sur la réforme à venir, voir notamment cet article du Monde. Sur le triplement des contrôles, voir cet article du même journal.. Cette numérisation à marche forcée sert avant tout à contrôler les personnes sans emploi²⁸Sur l’histoire du contrôle à France Travail, voir le livre Chômeurs, vos papiers de C. Vivès, L. Sigalo Santos, J.-M. Pillon, V. Dubois et H. Clouet, le rapport Le contrôle des chômeurs de J.-M. Méon, E. Pierru et V. Dubois disponible ici et le livre France Travail : gérer le chômage de masse de Jean-Marie Pillon..

À l’heure où Gabriel Attal annonce une énième réforme de l’assurance-chômage passée en force alors que l’Assemblée nationale est dissoute, ce contrôle ne cache plus son but : forcer les plus précaires à accepter des conditions de travail toujours plus dégradées²⁹Sur la réforme à venir, voir notamment cet article du Monde. Sur le triplement des contrôles, voir cet article du même journal..

Loin des promesses de « libérer du temps pour les conseillers » ou d’offrir un accompagnement « plus réactif et plus personnalisé »³⁰Voir, entre autres, cette vidéo du responsable du programme Data IA. aux personnes sans emploi, cette numérisation contribue à la déshumanisation d’un service essentiel et à l’exclusion des plus précaires, voire tend à une généralisation du non-recours aux droits. Il ne s’agit pas d’idéaliser le traitement « au guichet », mais de rappeler que la numérisation forcée accentue les écueils de ce dernier. En accompagnant la fermeture des points d’accueil, elle transfère une partie du travail administratif aux personnes usagères du service public, participant à l’éloignement de celles et ceux qui ne sont pas en mesure de le prendre en charge³¹Voir le livre L’Etat social à distance de Clara Deville..

En standardisant les processus d’accompagnement, via la quantification de chaque action et le profilage de toute une population, elle restreint les possibilités d’échange et supprime toute possibilité d’accompagnement réellement personnalisé³²Voir le texte Déshumaniser le travail social de Keltoum Brahan et Muriel Bombardi, publié dans le numéro de février 2017 de CQFD..

En facilitant le contrôle généralisé, elle accentue enfin la stigmatisation des plus précaires et participe activement à leur paupérisation.

Mise à jour du 12 juillet 2024

À la suite de notre article, France Travail, via son directeur général Thibaut Guilly, a souhaité exercer son droit de réponse que nous publions ci-dessous in extenso.

Notre réponse :

À la suite de notre article, France Travail, via son directeur général Thibaut Guilly, nous a initialement écrit pour faire des remarques d’ordre général sur notre article. Puis, dans une nouvelle lettre reçue aujourd’hui, il est subitement passé aux menaces : nous n’aurions, selon lui, pas fait droit à sa prétendue « demande de publication d’un droit de réponse ». Ces menaces sont particulièrement malvenues et, au demeurant, totalement vaines, puisque rien dans son courrier initial n’indiquait qu’il s’agissait d’une demande de droit de réponse…

Le directeur général de France Travail s’en tient à une poignée d’éléments de langage sans jamais répondre sur le fond. Pas un mot sur la multiplication des algorithmes de profilage à des fins de contrôle. Tout au plus y apprend-on que des algorithmes d’IA sont aussi utilisés à des fins de « contrôle de la recherche d’emploi », ce que nous ignorions.

Cette lettre se borne ainsi à un simple exercice, maladroit et malvenu, de communication. Elle s’essaye vainement à réfuter l’expression de « flicage des plus précaires » pour décrire les outils de surveillance des allocataires du RSA. La mise en place d’un agenda partagé pour le contrôle des 15 à 20 heures d’activité de ces dernier·ès serait ainsi – il faut savoir apprécier l’humour – une mesure visant à « renforcer l’accompagnement humain ».

Quant à l’impact de la numérisation sur l’accueil des plus précaires, le directeur général de France Travail nie la réalité, tout comme son homologue de la CNAF, afin de minimiser l’étendue de la surveillance et le projet politique sous-jacent. Qu’a-t-il donc à répondre à la Défenseure des droits qui, en 2022 dans son deuxième rapport sur la dématérialisation des services publics, rappelait la hausse des inégalités et des réclamations en raison de cette dématérialisation « à marche forcée » ?

Enfin, opposer, comme le fait cette lettre, le travail des salarié·es de France Travail et notre action de documentation et d’alerte sur les abus de l’administration est stérile : la déshumanisation et le changement de nature du service public se font non seulement au détriment des personnes au chômage mais également des agent·es de France Travail, comme l’ont dénoncé syndicats et associations au moment de la réforme de l’assurance chômage et la transformation de Pôle Emploi en France Travail³³La CGT a dénoncé une réforme qui n’« est pas favorable » aux personnes sans emploi. La CGT Pôle Emploi y voit une numérisation du service public qui « détruira les nécessaires relations humaines, et accentuera la fracture numérique et donc la précarité » et une réforme qui va « renforcer les devoirs au détriment des droits », ou encore « accroître les tensions entre les agents et les demandeurs d’emploi ». Solidaires a dénoncé le caractère « trompeur » de l’accompagnement. Côté personnes sans emploi, le constat est le même : cette transformation rend les personnes « Coupable[s] d’être au chômage » d’après le comité National CGT des Travailleurs Privés d’Emploi et Précaires. Enfin, les associations de solidarité et des syndicats ont ensemble dénoncé dans le Monde le « risque des contrôles abusifs de la situation globale des ménages »..

Ce que cette lettre souligne avant tout c’est donc l’absence de recul, de capacité de remise en cause et d’esprit critique du directeur général de France Travail quant à l’extension des logiques de contrôle numérique au sein de son institution. Ou sa pleine adhésion à ce projet.

Révélé et dénoncé par plusieurs associations de défense des droits des personnes transgenres, un récent arrêté ministériel autorise la création d’un fichier de recensement des changements d’état civil. Accessible par la police et présenté comme une simplification administrative, ce texte aboutit en réalité à la constitution d’un fichier plus que douteux, centralisant des données très sensibles, et propice à de nombreuses dérives. Le choix de créer un tel fichier pose d’immenses problèmes aussi bien politiquement que juridiquement.

Brève histoire du RNIPP

Comme beaucoup d’actes réglementaires pris en fin d’année, l’arrêté du 19 décembre 2023 « portant création d’un traitement automatisé de données à caractère personnel dénommé « table de correspondance des noms et prénoms » » aurait pu passer inaperçu. Il est pourtant d’une sensibilité extrême.

Avant d’en détailler le contenu, revenons rapidement sur le contexte et l’origine de ce texte. Celui-ci découle d’un autre acte réglementaire : un décret-cadre de 2019 relatif à l’utilisation du Numéro d’identification au répertoire national des personnes physiques (NIR). Le NIR, c’est ce fameux numéro « de sécurité sociale » attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE. Bien que, dans les années 1970, le projet d’utiliser le NIR pour interconnecter des fichiers d’États ait inquiété et conduit à la création de la CNIL, il est aujourd’hui largement utilisé par les administrations fiscales, dans le domaine des prestations sociales, dans l’éducation ou encore la justice, ainsi que pour le recensement. Le NIR peut également être consulté au travers du répertoire national d’identification des personnes physiques (RNIPP).

Si, en théorie, ce numéro devrait être très encadré et contrôlé par la CNIL, son utilisation est aujourd’hui très étendue, comme le démontre ce fameux décret-cadre de 2019 qui recense la longue liste des traitements utilisant le NIR ou permettant la consultation du RNIPP. Régulièrement mis à jour pour ajouter chaque nouveau traitement lié au NIR ou RNIPP, le décret a ainsi été modifié en octobre 2023 pour autoriser une nouvelle possibilité de consultation du RNIPP lié au changement d’état civil. C’est donc cela que vient ensuite préciser l’arrêté de décembre, objet de nos critiques.

Lorsqu’on lit le décret et l’arrêté ensemble, on comprend qu’il accorde aux services de police un accès au RNIPP « pour la consultation des seules informations relatives à l’identité des personnes ayant changé de nom ou de prénom » en application du code civil, à l’exclusion du NIR, et ce « aux fins de transmission ou de mise à disposition de ces informations aux services compétents du ministère de l’intérieur et des établissements qui lui sont rattachés et de mise à jour de cette identité dans les traitements de données à caractère personnel mis en œuvre par eux ». Il s’agirait du premier accès au RNIPP accordé au ministère de l’intérieur.

Un fichier de données sensibles…

Dans ce nouveau fichier, seront ainsi enregistrées pendant six ans les données liées au changement d’état civil ayant lieu après le 19 décembre 2023 : les noms de famille antérieurs et postérieurs au changement de nom, les prénoms antérieurs et postérieurs au changement de prénom, la date et le lieu de naissance, la date du changement de nom ou de prénom, le sexe et le cas échéant, la filiation.

Ces changements ne concernent pas l’utilisation d’un nom d’usage, tel que le nom de la personne avec qui l’on est marié·e, qui est le changement le plus courant. En pratique, de telles modifications d’état civil concerneraient deux principales situations : le changement de prénom lors d’une transition de genre ou le changement de nom et/ou prénom que des personnes décident de « franciser », notamment après une obtention de papiers. Si le fichier apparaît comme un instrument de simplification administrative au premier regard, il constitue également – comme l’ont dénoncé les associations de défense des droits LGBTQI+ – un fichier recensant de fait les personnes trans et une partie des personnes immigrées.

D’un point de vue juridique, notre analyse nous conduit à estimer que ce fichier contient des données dites « sensibles », car elles révéleraient « la prétendue origine raciale ou l’origine ethnique » ainsi que « des données concernant la santé ». La Cour de justice de l’Union européenne a récemment établi¹Voir l’arrêt de la CJUE, gr. ch., 1er août 2022, OT c. Vyriausioji tarnybin˙es etikos komisija, aff. C-184/20 que la définition des données sensibles devait être interprétée de façon large et considère que si des données personnelles sont susceptibles de dévoiler, même de manière indirecte, des informations sensibles concernant une personne, elles doivent être considérées comme des données sensibles. Dans cette même décision, la Cour ajoute ainsi que si les données traitées ne sont pas sensibles lorsqu’elles sont prises indépendamment mais que, par recoupement avec d’autres données (fait par le traitement ou par un tiers) elles peuvent malgré tout révéler des informations sensibles sur les personnes concernées, alors elles doivent être considérées comme étant sensibles.

C’est exactement le cas ici : les noms et prénoms ne sont pas des données sensibles, mais si une personne tierce a en parallèle l’information que ceux-ci ont été modifiés, elle peut, par recoupement, en déduire des informations sur la transidentité d’une personne (qui changerait de Julia à Félix) ou son origine (qui passerait de Fayad à Fayard pour reprendre l’exemple donné par l’État). Cette table de correspondance crée donc en réalité un traitement de données sensibles. Or celles-ci sont particulièrement protégées par la loi. L’article 6 de la loi informatique et libertés de 1978 et l’article 9 du RGPD posent une interdiction de principe de traiter ces données et prévoient un nombre limité d’exceptions l’autorisant. Pourtant, dans sa délibération sur le décret, d’ailleurs particulièrement sommaire, la CNIL ne s’est pas penchée sur cette conséquence indirecte mais prévisible de création de données sensibles. Celles-ci seraient donc traitées en dehors des règles de protection des données personnelles.

…à destination de la police

Ensuite, la raison d’être de ce fichier particulièrement sensible interroge. La finalité avancée dans l’arrêté est « la consultation de l’identité des personnes ayant changé de nom ou de prénom en application des articles 60, 61 et 61-3-1 du code civil » et « la mise à jour de cette identité dans les traitements de données à caractère personnel que [le ministre de l’intérieur] ou les établissements publics qui lui sont rattachés mettent en œuvre ». En première lecture, on pourrait imaginer qu’il s’agit de simple facilité de mise à jour administrative. Pourtant, celle-ci diffère des procédures existantes. En effet, aujourd’hui, lorsqu’une personne change de prénom et/ou de nom, la mairie ayant enregistré le changement d’état civil informe l’INSEE qui met à jour le RNIPP et prévient les organismes sociaux et fiscaux (Pôle Emploi, les impôts, la CPAM…). En parallèle, la personne concernée doit faire un certain nombre de procédures de modifications de son coté (carte d’identité, de sécurité sociale, permis de conduire…)²L’Amicale Radicale des Cafés Trans de Strasbourg a publié dans un billet de blog un récapitulatif de l’ensemble des démarches à effectuer pour changer d’état civil en France..

Aucune administration n’a donc, à aucun moment, accès à un fichier recensant les changements d’état civil puisque ces modifications sont faites de façon distribuée, soit à l’initiative de l’INSEE soit à celle de la personne concernée. Pourquoi ne pas en rester là ? La raison tient sans doute au fait qu’en réalité, ce fichier est un des instruments de surveillance de la police. La lecture des nombreux destinataires du traitement est éloquente. Il s’agit des agents habilités de la police nationale et de la gendarmerie nationale, des agents habilités des services centraux du ministère de l’Intérieur et des préfectures et sous-préfectures, des agents effectuant des enquêtes administratives (pour des emplois publics ou demandes de séjour) ou des enquêtes d’autorisation de voyage, ou encore de l’agence nationale des données de voyage, du commandement spécialisé pour la sécurité nucléaire et du conseil national des activités privées de sécurité (sécurité privée qui a de plus en plus de pouvoir depuis la loi Sécurité globale…).

On le comprend alors : cette « table de correspondance » a pour unique but d’être consultée en parallèle d’autres fichiers de police, dont le nombre a explosé depuis 20 ans (il y en aurait aujourd’hui plus d’une centaine³Le dernier décompte a été fait en 2018 dans un rapport parlementaire sur le sujet ) et dont les périmètres ne cessent de s’élargir. Ainsi, par exemple, lorsqu’un agent de police contrôle l’identité d’une personne, il ne consultera plus seulement le fichier de traitement des antécédents judiciaires (ou TAJ), mais également ce fichier des personnes ayant changé de nom : le premier lui permettra alors de connaître les antécédents de la personne, et le second de savoir si elle est trans ou étrangère.

Si les deux situations soulèvent des inquiétudes sérieuses, attardons-nous sur le cas des personnes trans. Elles seront outées de fait auprès de la police qui aurait alors connaissance de leur deadname⁴Le lexique du site Wiki Trans définit l’outing comme la révélation « qu’une personne est trans (ou LGBTQIA+). L’outing ne doit JAMAIS se faire sans le consentement de la personne concernée. Et cela peut être considéré, dans le code pénal, comme une atteinte à la vie privée ». Le deadname est le « prénom assigné à la naissance » et peut être source de souffrance pour une personne trans.. Or de nombreux témoignages, tels que ceux recensés chaque année par SOS Homophobie dans ses rapports sur les LGBTI-phobies, démontrent qu’il existe une réelle transphobie au sein de la police. Compte tenu de ces discriminations et des violences qui peuvent y êtres associées, fournir de telles informations à la police aura non seulement pour effet de les renforcer mais peut également mettre en danger les personnes trans confrontées à la police. Ces craintes ont été partagées sur les réseaux sociaux et laissent entendre que certain·es pourraient renoncer à entamer de telles démarches de changement d’état civil face à la peur d’être présent·es dans un tel fichier. De façon générale, les personnes trans sont historiquement et statistiquement davantage victimes de violences policières.

Par ailleurs, les informations de cette « table de correspondance » pourront venir nourrir le renseignement administratif, notamment le fichier PASP qui permet de collecter un grand nombre d’informations, aussi bien les opinions politiques que l’activité des réseaux sociaux ou l’état de santé des dizaines de milliers de personne qui y sont fichées. Alors que ces capacités de surveillance prolifèrent, sans aucun réel contrôle de la CNIL (nous avons déposé une plainte collective contre le TAJ il y a plus d’un an, toujours en cours d’instruction par l’autorité à ce jour), l’arrêté de décembre dernier offre à la police toujours plus de possibilités d’en connaître davantage sur la population et de nourrir son appétit de généralisation du fichage.

Un choix dangereux en question

Au-delà de cette motivation politique, qui s’inscrit dans une extension sans limite du fichage depuis deux décennies, il faut également critiquer les implications techniques liées à la création d’un tel fichier. En centralisant des informations, au demeurant très sensibles, l’État crée un double risque. D’une part, que ces informations dès lors trop facilement accessibles soient dévoyées et fassent l’objet de détournement et autres consultations illégales de la part de policiers, comme pour bon nombre de fichiers de police au regard du recensement récemment effectué par Mediapart.

D’autre part, du fait de la centralisation induite par la création d’un fichier, les sources de vulnérabilité et de failles de sécurité sont démultipliées par rapport à un accès décentralisé à ces informations. Avec de nombreux autres acteurs, nous formulions exactement les mêmes critiques en 2016 à l’encontre d’une architecture centralisée de données sensibles au moment de l’extension du fichier TES à l’ensemble des personnes détentrices d’une carte d’identité, cela aboutissant alors à créer un fichier qui centralise les données biométriques de la quasi-totalité de la population française.

En somme, ce décret alimente des fichiers de police déjà disproportionnés, en y ajoutant des données sensibles en dérogation du cadre légal, sans contrôle approprié de la CNIL et touche principalement les personnes trans et étrangères, facilitant par là le travail de surveillance et de répression de ces catégories de personnes déjà stigmatisées par la police.

Cette initiative n’est pas unique à la France et s’inscrit dans un mouvement global inquiétant. En Allemagne, malgré l’objectif progressiste d’une loi de 2023 sur le changement de genre déclaratif, des associations telles que le TGEU ont dénoncé le fait que les modifications d’état civil soient automatiquement transférées aux services de renseignement. Aux États-Unis, différents États ont adopté des lois discriminatoires vis-à-vis des personnes trans, forçant certaines personnes à détransitionner ou bien à quitter leur État pour éviter de perdre leurs droits. Au Texas, le procureur général républicain a essayé d’établir une liste des personnes trans à partir des données relatives aux modifications de sexe dans les permis de conduire au cours des deux dernières années.

En outre, ce décret crée pour la première fois un accès pour le ministère de l’Intérieur au RNIPP, répertoire pourtant réservé aux administrations sociales et fiscales. Or, l’expérience nous montre que toute nouvelle possibilité de surveillance créé un « effet cliquet » qui ne conduit jamais à revenir en arrière mais au contraire à étendre toujours plus les pouvoirs accordés.

Nous nous associons donc aux différentes organisations ayant critiqué la création de ce fichier stigmatisant et qui participe à l’édification d’un État policier ciblant des catégories de populations déjà en proie aux discriminations structurelles. Nous espérons qu’outre ses dangers politiques, son illégalité sera dénoncée et conduira rapidement à son abrogation.

Après avoir révélé des informations particulièrement inquiétantes sur l'affaire dite « du 8 décembre »1, où certaines pratiques numériques, légales, sont considérées comme constitutives de preuves de l'existence d'un projet criminel2, La Quadrature du Net publie une tribune pour alerter sur la menace très sérieuse qui pèse sur nos libertés. Cette tribune, que l'April a choisi de signer comme 130 autres personnes physiques et organisations, dénonce la criminalisation du chiffrement des communications et, au-delà de cela, alerte sur une pratique politique et judiciaire qui, au nom de l'anti-terrorisme, revient in fine à remettre en cause l'exercice même des libertés informatiques dans leur ensemble.

Lire la tribune

Le 5 juin 2023, La Quadrature du Net a publié un article sur la criminalisation des pratiques numériques des personnes inculpées dans « l'affaire du 8 décembre ». L'association de défense des libertés fondamentales dans l’environnement numérique révèle comment la Direction générale du renseignement intérieur (DGSI) et le Parquet national antiterroriste (PNAT) entendent justifier leur mise en examen pour « association de malfaiteurs terroristes », en dehors de tout acte délictuel ou criminel, sur la base de leurs habitudes et pratiques numériques, chiffrement en tête.

L'article est édifiant. Il montre à quel point l'exercice d'une bonne hygiène numérique, d'un souci de préserver son intimité en ligne et de maîtriser ses outils informatiques, peuvent être perçus par une partie des pouvoirs publics comme autant de comportements suspects. Il peut s'agir de l'utilisation de messageries chiffrées, d'outils alternatifs à ceux des géants du numérique comme le système d'exploitation /e/ ou le magasin d'applicatifs F-Droid, de la participation à l'organisation d'évènements de formation à l'hygiène numérique, etc. Situation d'autant plus absurde et scandaleuse que nombre de ces pratiques sont par ailleurs encouragées par des administrations comme l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) ou la Commission Informatique et Liberté (CNIL).

Au-delà du chiffrement, il apparaît que l'usage même d'un logiciel peut être considéré comme faisant partie d'un faisceau d'indices pour retenir une qualification pénale aussi grave que celle d'« association de malfaiteurs terroristes », sans qu'aucun fait condamnable, rappelons-le, ne soit par ailleurs établi. Et, partant de là, il semble aisé d'imaginer le fait que développer certains programmes informatiques pourra lui aussi être suspect. Ce sont donc bien les logiciels libres et l'ensemble des libertés informatiques qui sont ici menacés. L'April dénonce sans réserve ces graves atteintes aux libertés informatiques et à l'état de droit.

Le procès des personnes inculpées dans « l'affaire du 8 décembre » doit se tenir en octobre 2023.

Tribune: « Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »

Cette tribune a été rédigée suite à la publication de notre article sur la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre. Cette tribune a été signée par plus de 130 personnes et organisations et publiée hier sur le site du journal Le Monde. La liste complète des signataires est disponible ici.

Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

Rejet de l’amalgame entre protection des données et terrorisme

Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

Pour un numérique émancipateur, libre et décentralisé

De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

• 1. L'affaire du 8 décembre 2020 est une affaire controversée de peines de détention préventive, dont une peine préventive de seize mois à l'isolement, et d'intentions terroristes supposées sans qu'aucun acte terroriste ni projet d'acte terroriste ne soit reproché aux prévenus.
• 2. Lire les éléments révélés par La Quadrature du Net