Technopolice : vers la fin de la protection de la vie privée ?

Billet réalisé à partir de l'émission de Blast , Technopolice, vers un néofascisme en France ? (invité :  Félix Tréguer, chercheur associé au centre 'internet et société' du CNRS et militant à la Quadrature du Net) et dans une moindre mesure l'émission du Media, OSAP (invitée Vanessa Codaccioni, professeure au centre Sciences Politiques de Paris 8). Interview passionnant, plus théorique toutefois, mais qui vient apporter un cadre plus général de réflexion.

Un nouveau marché s'est ouvert depuis une bonne dizaine d'année en Occident, comme ailleurs : celui de la techno-sécurité. C'est la promesse de revenus juteux pour les entreprises de ce secteur qui vendent leurs logiciels autant à l'export qu'auprès des Etats démocratiques occidentaux. De nouvelles techniques à base de surveillance algorithmique et de croisement de fichiers ont ainsi été déployées par la police en France depuis 2011 et ce, sans encadrement juridique sérieux. Dans nos sociétés traumatisées par le matraquage médiatique et politique permanent autour des questions de sécurité (ce que V. Codaccioni appelle "la gouvernementalité par la peur"), un déploiement progressif de techniques intrusives de surveillance a forcé toutes les barrières et les garde-fous. Désormais, semble-t-il, les outils sont prêts pour la mise en place d'un Etat sécuritaire mettant en cause l'Etat de droit, au sens où il garantit les libertés fondamentales de l'individu.

Extrait du livre de Felix Treguer

En France, la reconnaissance faciale a commencé à être employée à partir de 2011. Il s'agit de comparaison faciale entre des images de la police et des photos d'identité issues des affaires policières (condamnés, suspects, témoins), mais aussi de documents d'état civil. L'ensemble a été regroupé dans le fichier TAJ de la police : en 2019 20 millions de fiches individuelles et 8 millions de photos faciales pour une utilisation massive (plus de 1600 fois/jour). La technologie algorithmique de reconnaissance a permis d'automatiser et d'accélérer la montée en charge de la constitution et de l'utilisation de ce fichier.

En mai 2021, le gouvernement soumet au Parlement la loi dite "Sécurité globale". Elle élargit et normalise l'usage des moyens de surveillance de la population :

• Les services pouvant visionner les images de vidéoprotection sont élargis. Les polices municipales peuvent visionner les images tirées des caméras aux abords des commerces. Afin de "sécuriser les transports publics", certains agents de la RATP et de la SNCF ont accès à la vidéoprotection de la voie publique sous la responsabilité de l’État.

• L’usage par les policiers et gendarmes des caméras piétons est généralisé. Lorsque la sécurité des agents est engagée, les images peuvent être transmises en direct au poste de commandement ainsi qu'aux agents impliqués dans la conduite et dans l'exécution de l'intervention. La possibilité d'utiliser ces images dans les médias pour l'information du public a été supprimée par le législateur afin de ne pas risquer d'alimenter une "guerre des images".

• Le régime juridique de l’usage des drones par les forces de l’ordre, pratiqué jusqu'alors en l’absence de cadre clair, est défini : les cas de recours aux drones sont précisés et des garanties posées. Sur amendement du gouvernement, à titre expérimental pour cinq ans, les policiers municipaux peuvent également recourir à des drones pour "assurer l’exécution des arrêtés de police du maire".

Cependant, une partie de cet article a été censuré par les juges constitutionnels qui ont jugé que "le législateur n'a pas assuré une conciliation équilibrée entre les objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions et le droit au respect de la vie privée".

Mais comment sont inscrites les photos dans le fichier TAJ, et sur quels critères une personne y est inscrite ? Les images prises par les caméras sont-elles conservées ? Aucun débat public sur ce point et aucun contrôle d'une autorité indépendante : un simple décret en 2012 est venu entériner la pratique policière de la reconnaissance faciale. La surveillance algorithmique des images de caméras (VSA) étant désormais possible, il semble que l'on prenne le même chemin avec le contrôle des mouvements et circulation des individus dans l'espace public. Un décret l'avait autorisé de façon provisoire pour les Jeux Olympiques de Paris (été 2024) et jusqu'en 2025, avec une définition de 6 ou 7 cas d'usage (du port d'armes à la station immobile prolongée dans l'espace publique). Mais récemment, le 1er ministre Michel Barnier vient d'indiquer qu'il avait l'intention de répondre "à une demande forte de sécurité, comme les dernières élections l'ont montré" (sic) par la généralisation de cette méthode qui permet aussi la reconnaissance faciale en direct. Par 226 voix contre 117, en juin 2023 le Sénat avait adopté une proposition de loi destinée à expérimenter pour une durée de trois ans le recours à la reconnaissance faciale "augmentée" dans l’espace publique.

 

Potentiellement, d'ici quelques mois, le temps que les algorithmes progressent et que le cadre légal soit créé, ce sera une surveillance totale de notre espace public qui sera possible. Par l'effet des différentes expérimentations à titre provisoire, des autorisations partielles, et par l'effet de pratiques non réglementées qu'on a imposées par le fait, ces dispositifs se sont disséminés dans la société. Loi après loi, les exceptions sont ôtées et ce qui était au départ inacceptable le devient : les lignes rouges se déplacent, elles finissent inévitablement par sauter. C'est ce qu'on appelle l'effet-cliquet.

(sur le site d'Amnesty. JO 2024 : Pourquoi la vidéosurveillance algorithmique pose problème )

Aller écouter le débat sur le Media avec sénateur EELV Thomas Dossus et Katia Roux, chargée de plaidoyer pour Amnesty France, émission enregistrée à l'occasion du vote du Sénat évoqué plus haut : https://www.youtube.com/watch?v=ZBsxod0nvP8

Quels garde-fous ?

• Les autorités indépendantes : 1978 : création de la CNIL (Commission Nationale Informatique et Libertés)

Or, en 2004 une réforme du droit des données fait perdre à la CNIL sa capacité de blocage (son pouvoir d'avis conforme). L'avis de la CNIL n'est plus que consultatif. D'une manière globale, son rôle a évolué et ses membres le conçoivent davantage comme une agence d' accompagnement du marché de l'innovation dont il s'agirait plutôt de s'assurer de fixer des normes de conformité et de bonnes pratiques (logique de la compliance).

Le droit ?

Le Conseil d'Etat et le Conseil constitutionnel sont les deux plus hautes juridictions de la Justice française et elles doivent s'assurer que les lois (CC) et les actes administratifs (CE) n'outrepassent pas l'état de droit : elles ont un rôle de protection des libertés et des droits des citoyens. Mais les limites que le Conseil Constitutionnel met aux innovations législatives sécuritaires paraissent bien timorées (voir plus haut). Le Conseil d'Etat, plusieurs fois saisi par des référés-liberté a bien sanctionné certaines pratiques abusives de la police et gendarmerie française (per ex. les décisions contre l'usage des drones), mais il statue dans le cadre des lois existantes, qui sont elles de plus en plus nombreuses à permettre la surveillance généralisée. Comme se le demande Vanessa Codaccioni, quel éventuel futur gouvernement remettrait radicalement en cause la logique sécuritaire actuelle et abolirait les lois existantes ? Cela ne s'est quasiment jamais vu dans l'histoire récente de la France.

Le droit européen, de son côté, interdit par principe la cybersurveillance et la conservation de données personnelles (ce qu'est en partie le fichier TAJ). Celle-ci n’est autorisée qu’à titre exceptionnel, lorsqu’elle est nécessaire et proportionnée pour préserver certains intérêts supérieurs. Mais les lois françaises passées sont conformes européens puisque

• les mesures de surveillance généralisée en cas de menace grave pour la sécurité nationale, les mesures de surveillance ciblée pour “la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique”, dès lors que la durée de conservation des données est limitée à ce qui est strictement nécessaire et que les personnes concernées “disposent de garanties effectives contre les risques d’abus” ;
• Et l’analyse automatisée et le recueil des données en temps réel est conforme au droit européen dès lors que “l’État membre se trouve confronté à une menace grave pour la sécurité nationale, qu’il est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme”, et qu’il existe un recours juridictionnel ou administratif effectif.