Nouvelle carte nationale d’identité électronique : le ver est dans le fruit ?

Simple – Sécurisée – Rapide – Pratique

Contrôles abusifs – surveillance généralisée – déshumanisant 

La nouvelle carte nationale d’identité électronique (CNIe) s’inscrit dans la logique du « portefeuille numérique européen » voulu par la commission européenne [  ICI  ] Elle est – comme le passeport et, ultérieurement, les titres de séjour – le premier maillon d’un dispositif, qui, à terme, pourrait nous mener vers une société du contrôle généralisé et permanent.

Les informations contenues dans la CNIe servent à constituer le fichier TES et ce même fichier sert à contrôler le service de garantie de l’identité numérique (SGIN) qui va à terme et à travers votre CNIe autoriser vos accès aux services publics, aux banques, à la SNCF, aux compagnies aériennes et à des centaines d’autres services, en « vous identifiant de façon sécurisée »  

La nouvelle carte nationale d’identité électronique (CNIe)

« Une nouvelle carte plus sécurisée, plus pratique, au design modernisé » « protection optimale des données à caractère personnel » « hautement sécurisé » « accès spécifiquement encadré » c’est ainsi que le ministère de l’intérieur présente depuis 2021 la nouvelle carte nationale d’identité électronique.

Avec votre nouvelle carte d’identité numérique et si vous possédez un smartphone muni d’une puce NFC, alors, vous entrez – grâce au service de garantie de l’identité numérique (SGIN) dans un monde merveilleux où tout est facile, rapide, peu contraignant. Finie la bureaucratie lourdingue qui vous oblige à ressortir pour chaque démarche vos actes de naissance, photocopies resto-verso de vos CNI, etc. 

Effectivement, la nouvelle CNIe est surement plus pratique, peut-être plus sécurisée. Toutefois, elle ne peut pas prétendre être totalement sécurisée :  les exemples de serveurs « totalement sécurisés » qui ont fait l’objet de cyberattaques abondent.

La CNIe contient beaucoup plus d’informations que l’ancienne CNI : Le nom de famille, les prénoms, la date et le lieu de naissance, le sexe, la taille, la nationalité, le domicile ou la résidence de l’intéressé, la date de délivrance et la date de fin de validité du document ; le code de lecture automatique (QR code) ; elle comporte également la photographie, l’image numérisée de deux doigts et la signature du titulaire. La CNIe comporte surtout un composant électronique contenant toutes les données, à l’exception de la signature, du QR code et du numéro de support. Le composant électronique contient l’image numérisée de la photographie et celle des empreintes digitales de deux doigts.

Le fichier TES – (Titres électroniques sécurisés)  

Crée à l’origine pour lutter contre l’usurpation d’identité en stockant les données des détenteurs des nouveaux passeports biométriques, ce fichier enregistre désormais aussi les données, y compris biométriques (cf. plus haut), des détenteurs des nouvelles cartes nationales d’identité électronique CNIe et à terme ceux des détenteurs de titres de séjour.

La CNIL (1) a fait observer au gouvernement que plusieurs pays européens comme la Belgique ou l’Allemagne, conservent les données biométriques en base centrale seulement 90 jours ; la France, elle, conservera les données de la CNIe 15 ans ! Une fois de plus, le gouvernement actuel (et tous ceux qui l’ont précédé depuis trente ans), montre une irrésistible et irresponsable appétence pour le fichage généralisé et permanent des citoyens.

La Quadrature du net (2) a déposé plainte le 24 septembre 2022 auprès de la CNIL au motif que cette base biométrique n’est ni nécessaire ni proportionnée à son objet et parce que l’obligation de sécurité qui pèse sur elle n’est pas assurée.

  • Absence de nécessité et proportionnalité

Les passeports et, plus récemment, les cartes nationales d’identité sont dotées d’une puce qui contient, entre autres, la numérisation des empreintes digitales et du visage. Ces données, qui servent à les authentifier et donc à lutter contre l’usurpation d’identité, ils les détiennent dans leurs poches ou leurs sacs. Lorsqu’un voyageur se présente dans un aéroport français devant un guichet « Parafe » le logiciel va comparer son visage avec l’information numérisée de son visage contenue dans la puce de son passeport ; si la comparaison est conforme, le passage est autorisé. Ainsi, il est évident qu’une base de données centralisée n’est pas nécessaire pour authentifier une personne.

Ficher la quasi-totalité de la population dans une base centralisée qui contient des « données biométriques […] susceptibles d’être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu » (3) est proprement irresponsable.

  • Absence de respect de l’obligation de sécurité

Le risque de cyberpiratage  

Dès lors qu’une base de données est centralisée et surtout si elle a vocation à contenir les données biométriques de la quasi-totalité de la population elle fera inévitablement l’objet de cyberattaques. L’expérience prouve que les bases les mieux protégées peuvent faire l’objet d’intrusions.

Le risque de détournement

« les restrictions juridiques seront toujours moins efficaces que les restrictions techniques qui rendent impossibles l‘utilisation de la base [à des fins détournées] » (4) Pour répondre à cette exigence de non utilisation à des fins détournés, la seule solution technique connue à ce jour est celle de la base de données dite « à lien faible ». Selon le rapport sénatorial de M. Philippe Goujon en date du 29 juin 2011, « Dans ce système, plusieurs dizaines ou centaines de milliers d‘empreintes sont associées à plusieurs dizaines ou centaines de milliers d‘identités sans qu‘un lien soit établi entre une de ces empreintes et l‘une de ces identités. Nul ne peut en conséquence être identifié à partir de ses seules empreintes digitales » Autrement dit, le fichier ne pourra être – de par sa conception – utilisé ultérieurement à une autre fin que celle pour laquelle il a été conçu : l’authentification de détenteurs de passeports et de cartes nationales d’identité. Malheureusement, ce n’est pas la solution technique retenue par le gouvernement.

Le gouvernement avait le choix : soit concevoir un système d’authentification « décentralisé » détenu par chaque citoyen sur son passeport ou sa CNIe, soit développer un système centralisé : il a opté pour le système centralisé.

Après avoir opté pour un système centralisé, il pouvait mettre en place une base de données « à liens faibles » qui aurait empêché tout détournement d’usage : il ne l’a pas fait.

Cela est d’autant plus grave que ce méga fichier joue un rôle pivot dans tout l’écosystème du contrôle numérique de l’identité.

Service de garantie de l’identité numérique (SGIN)

Ce traitement, qui vient remplacer feu le très décrié « Alicem » (5) est conçu pour mettre à la disposition des titulaires de la nouvelle CNIe « un moyen d’identification électronique leur permettant de s’identifier et de s’authentifier auprès d’organismes publics ou privés grâce à une application qu’ils installent sur leur équipement terminal de communications électroniques  [en clair, le smartphone]. L’application permet à l’usager, notamment, de générer des attestations électroniques comportant les seuls attributs d’identité dont il estime la transmission nécessaire aux tiers de son choix » . Article 1 du décret 2022-676  [  ICI  ]

Dans le paramétrage actuel, ne sont conservées en historique que les cinq dernières transactions ; qui pourra empêcher – par simple modification réglementaire – que la base conserve ultérieurement vos 300 dernières transactions ? Par recoupement des données, votre profil de citoyen pourra aisément être établi et votre activité pourrait être suivie.

Pub du ministère sur TES : « Enfin, afin de répondre aux interrogations qui se sont fait jour, et notamment de la part des parlementaires, il vient d’être décidé de conditionner le versement dans TES des empreintes digitales des usagers au consentement de ces derniers. Si les usagers n’y consentent pas, le titre sera délivré mais ils ne bénéficieront pas des services associés et recherchés, qu’il s’agisse de la lutte contre l’usurpation d’identité dont ils pourraient être victimes ou du renouvellement simplifié de leur demande de CNI. Mais ils en auront la liberté de choix. »

France Connet et France Identité

« À compter du 21 novembre 2022, l’application France Identité devient un fournisseur d’identité au sein de FranceConnect. Elle permet d’accéder à plus de 1 400 services en ligne de manière plus simple et plus sécurisée […] Grâce à l’application France Identité, plus besoin d’identifiant et de mot de passe, la carte d’identité et le code personnel à six chiffres les remplacent. En plus d’être plus ergonomique, ce système est aussi plus sécurisé ». (Site officiel de France identité).

L’application Docvérif va venir vérifier (comme son nom l’indique !) la validité de la CNIe en consultant le SGIN, avec lequel elle n’échange qu’un nombre limité de données et aucune donnée biométrique.

***

Oui, pour le moment, le smartphone doté d’une puce NFC n’est pas suffisamment généralisé pour que son usage soit, en pratique, obligatoire ; mais songez à la vitesse à laquelle le prix des portables a vertigineusement chuté. 

Oui, en France, la détention d’une CNI n’est pas obligatoire ; mais tenter de vivre sans une CNI pourrait faire l’objet d’une épreuve de Koh-Lanta intitulé « survivre en milieu urbain sans CNI plus d’un mois ».

Oui, le fichier TES ne comporte pas de dispositif de reconnaissance faciale ; mais la CNIL observe (6) que cette précision a été retirée de l’article 2 du décret « La Commission regrette la disparition de cette mention qui permettait de mentionner explicitement qu’aucun traitement supplémentaire de données biométriques ne serait réalisé »

Oui, pour le moment, nous n’avons détecté aucun service public qui rende obligatoire l’utilisation de France Connect par l’intermédiaire d’un smartphone ; mais nous avons testé le service public « Mon compte formation », le passage par France Connect est obligatoire, mais il existe une procédure sans smartphone : comptez cinq étapes et quatre semaines d’attente ! [cliquez ICI ]–  Vous avez le choix : un click ou quatre semaines d’attente.

Oui, le demandeur d’une CNIe peut refuser que l’image numérisée de ses empreintes digitales soit conservée dans le fichier TES ; mais ce faisant, il sera immanquablement repéré comme « mouton noir ».

Oui, le SGIN ne conserve que les cinq dernières transactions ; mais il s’agit d’un simple paramétrage qu’un simple décret modificatif pourrait porter aux 30 ou 40 dernières transactions, avec tous les risques de profilage  

Oui, la désinstallation, toujours possible, de l’application mobile entraîne automatiquement l’effacement des données stockées sur le serveur du SGIN et sur l’ordiphone, à l’exception de celles conservées en vue de la résolution d’éventuels contentieux ; il s’agit d’une disposition, intéressante, mais réversible.

***

La CNIe est un des éléments de l’écosystème électronique français du contrôle de l’identité ; l’architecture de cet écosystème fait que, désormais, il suffirait de déplacer légèrement le curseur de l’un ou l’autre de ses paramètres, ou d’y installer ici ou là un bouton marche-arrêt pour que le dispositif bascule dans le contrôle autoritaire et débouche sur la surveillance généralisée dont rêvent un certain nombre de nos hommes politiques.

***

  1. CNIL – Délibération 2021-022
  2. Ainsi que 15.248 plaignants l’ayant mandatée
  3. Conseil constitutionnel 22/03/2012
  4. CNIL 2012 Mme Falque-Pierrotin
  5. Alicem prévoyait un dispositif de reconnaissance faciale
  6. CNIL délibération n° 2022-011 du 10/02/2022

Décret CNIe : [  ICI  ]

Décret Fichier TES : [  ICI  ]

Décret SGIN : [  ICI  ]

Plus un enfant ne doit dormir dans la rue !

20 novembre : journée internationale des droits de l’enfant

Plus un enfant ne doit dormir dans la rue !

20 novembre dans les Alpes-Maritimes journée de la grande hypocrisie 

Les maires de Nice, Cannes et Antibes – villes pourtant labellisées par l’Unicef « amies des enfants » vont beaucoup communiquer lors de la journée internationale des droits de l’enfant.

Pourtant, aucun des trois maires n’a signé la lettre ouverte de 43 élus de grandes villes françaises, toutes tendances politiques confondues, dans laquelle ils expriment leurs inquiétudes : « les maires de grandes villes et présidents d’agglomérations et métropoles restent très inquiets face à la situation d’enfants parfois très jeunes, pour une part scolarisés dans nos écoles et leurs familles dormant encore dans larue ou dans des squats insalubres et dégradés. »[   ICI   ]

Pendant ce temps, à Nice, on expulse des familles avec enfants qui avaient trouvé un abri, même précaire, sous les ponts et on réclame des mesures expéditives pour pouvoir les expulser encore plus rapidement.

Nice Matin le 09/09/22, à propos des familles avec enfants qui dormaient sous l’autopont constate que « personne ne semble en mesure de savoir où elles vont désormais s’installer »

Les Mineurs Non Accompagnés subissent dans les Alpes-Maritimes une maltraitance policière, administrative et sociale et des entraves systématiques à la reconnaissance de leurs droits. Le préfet refoule en toute impunité des mineurs en Italie. Le Conseil Départemental procède à des entretiens d’évaluation à charge et fait appel de toute décision de justice favorable aux mineurs isolés étrangers afin d’empêcher leur accueil et leur intégration dans notre département.

Dans les Alpes-Maritimes, la journée internationale des droits de l’enfant n’est pas celle de tous les enfants.

*

Habitat et Citoyenneté – Ligue des droits de l’Homme 06 – MRAP 06 –  RESF 06 – Roya Citoyenne –  Syndicat des avocats de France – Tous Citoyens

Nice Halle Gare du Sud

Vous prendrez bien une tranche de caméra sauce surveillance ?

L’idée était pourtant séduisante : proposer aux Niçois une « offre de restauration variée et conviviale tournée vers la thématique des cuisines du monde ».

Si l’opération, hélas, est pour le moment un échec financier retentissant, la machine bureaucratique, elle, semble bien se porter, en distribuant des autorisations de vidéosurveillance à tour de bras, à l’intérieur comme à l’extérieur de la Halle.

On savait déjà que ce lieu, par son volume, son bruit et sa résonance, n’était déjà pas le plus convivial de la ville, mais voici qu’à présent, son gestionnaire est autorisé à vous surveiller en permanence pendant vos repas à l’aide de ses 18 caméras 360° : Bon appétit !

La banalisation de la vidéosurveillance

Pour rappel, dans ce même ensemble immobilier (côté Bd Malausséna), se trouve une médiathèque dans laquelle pas moins de 17 caméras de vidéosurveillance avaient déjà été autorisées (22/01/2014) dont une dans ce qui était à l’époque une salle de réunion associative… Saisie par nos soins, la Commission départementale de la vidéoprotection, présidée par un magistrat du Siège, a estimé (30/11/2016) que « le dispositif est apparu proportionné à la double exigence de libre expression et de sécurité ».
La banalisation de la vidéosurveillance est donc telle que même un magistrat du siège trouve normal que l’on puisse vidéosurveiller ou éventuellement enregistrer les activités d’une association loi de 1091. [lien]

Une étrange mission confiée au privé

A la lecture de l’article 5 de l’arrêté, on constate que la société privée «  La Halle Gare du Sud » se voit confier par l’Etat des missions de « prévention d’actes terroristes » et de « prévention du trafic de stupéfiants », missions en principe éminemment régaliennes ; très étrange.

Arrêté préfectoral du 20 mai 2022 (extrait) :


Nice – Arrêté préfectoral du 29 juin 2022 : Estrosi is watching you

L’arrêté préfectoral du 29 juin 2022 autorise rien de moins qu’un lot supplémentaire de 2.258 caméras de vidéosurveillance, ainsi que le transfert des images du centre de supervision urbain (CSU) vers le bureau de monsieur le maire !

Open Bar

La commission départementale – pourtant présidée par un magistrat du siège – n’a imposé aucune limite au nombre d’écrans possibles dans « le bureau de monsieur le maire » ; cela veut dire qu’il aura tout le loisir d’en faire installer deux, trois, quatre ou plus s’il en ressent l’impérieux besoin (1). 

Tracking sur la voie publique

Le réseau actuel de 4.000 caméras de vidéosurveillance pouvant être couplé à terme avec le logiciel de profilage (tracking) sur la voie publique actuellement en expérimentation à Nice, on imagine toutes les opportunités qui pourraient s’offrir au maire. Allez, il ne faut pas faire preuve de mauvais esprit, le maire dit à la presse que juste pour pouvoir retrouver un enfant ou un pépé Alzheimer qui se seraient perdus…

Banalisation de la vidéosurveillance généralisée de la voie publique

On observe comment on a dérivé silencieusement de la vidéosurveillance statique « de papa » sur quelques caméras, à la vidéosurveillance généralisée sur plusieurs milliers de caméras (cas de Nice) ;

 puis aux transferts tous azimuts d’images captées sur la voie publique  (Décret du 12/8/22 « relatif à l’extension des destinataires des images de vidéoprotection »  [  ICI  ] ) ;

 puis au profilage qui n’est possible qu’avec une vidéosurveillance généralisée.

Prochaine étape : que pourrait-on faire à partir du profilage ?  Le concours d’idées est lancé ! Mais on ne triche pas en regardant sur l’élève Xi Jinping.

***

(1) Article 3 de l’arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance : « Le logiciel permet : 1° La lecture des flux vidéo sans dégradation de la qualité de l’image ; 2° La lecture des flux vidéo en accéléré, en arrière, au ralenti ; 3° La lecture image par image des flux vidéo, l’arrêt sur une image, la sauvegarde d’une image et d’une séquence, dans un format standard sans perte d’information ; 4° L’affichage sur l’écran de l’identifiant de la caméra, de la date et de l’heure de l’enregistrement ; 5° La recherche par caméra, date et heure. »

***

IMREDD Nice : grattez un peu la smart-city et vous trouverez rapidement la police-city

L’IMREDD

L’Institut Méditerranéen du Risque de l’Environnement et du Développement Durable (IMREDD) est un institut de l’université Côte d’Azur (ex université Nice Sophia-Antipolis) qui « s’intéresse à un défi sociétal : le territoire intelligent et résilient, territoire « aimable » face à l’ensemble des problématiques environnementales. »

« Intelligent », « résilient », « aimable » : une avalanche de qualificatifs charmants, qui évoquent plus le confort douillet du cocooning que l’univers de la barbouzerie digitale ; et pour faire bonne mesure, comme c’est désormais le cas assez souvent, on enrobe le tout avec des « problématiques environnementales » : qui pourrait s’opposer à ça ?

Cette technique du « paquet cadeau » qui consiste à mixer, dans un même projet, surveillance généralisée et invasive des populations avec des solutions qui pourraient s’avérer utiles (alertes tremblements de terre, accidents Seveso, etc.) est utilisée par la ville de Nice dans son projet « Safe city » piloté par Thalès  https://site.ldh-france.org/nice/2018/08/27/safe-city-criminogene/

Dans tous les cas, l’objectif est d’éviter de prononcer les mots qui fâchent comme surveillance, contrôle des réseaux sociaux, reconnaissance faciale, etc.

SERENITY

Prenons l’exemple de « Serenity », projet piloté par l’IMREDD :

« L’ambition stratégique de SERENITY est avant tout d’apporter une solution globale et clés en main aux acteurs du tissu urbain, avec des avantages croisés et mutualisés autour des grandes thématiques de la sureté / sécurité et de l’écoresponsabilité. En renforçant au sein même du projet l’acceptabilité de cette technologie disruptive, l’objectif est de supprimer les barrières et freins à l’adoption. »

Il s’agirait de proposer une « solution globale » autour des « grandes thématiques de la sureté/sécurité et de l’écoresponsabilité », sans plus de précisions, sans doute parce que les concepteurs savent parfaitement que la vidéosurveillance généralisée et autres techniques de pistage algorithmique des citoyens, ça passe mal ; c’est pourquoi on inclut dans le paquet cadeau un peu d’écoresponsabilité fort consesuelle.

D’ailleurs, si « Serenity », dont le titre même évoque immanquablement « dormez bien les enfants » est une solution technologique  exempte d’atteintes aux libertés publiques, on se demande bien pourquoi « l’objectif est de supprimer les barrières et freins à l’adoption. » Le directeur de l’IMREDD lui-même tente de convaincre en déclarant sur Twitter (23/06/2022) :  » le premier besoin du citoyen quand il sort de chez lui, c’est de sen sentir en sécurité dans la ville » version à peine modifiée du fameux « la première des libertés, c’est la sécurité » chère chère à tous les marchands de solutions techno-policières.

Le consortium de Serenity

Pour y regarder d’un peu plus près, il suffit de consulter le savoir faire de toutes les entreprises qui composent le consortium de Serenity, pour comprendre que nous n’avons pas à faire à des bisounours  

ONHYS : spécialisée dans la simulation du comportement humain

SIRADEL ENGIE :  l’optimisation d’infrastructures (connectivité 5G/6G, mobilité, vidéosurveillance, etc.), et les territoires dans leurs transformations digitales, énergétiques, environnementales et sociétales

INOCESS : captation des flux par IoT qui permet la mise en place et l’administration d’un ensemble de capteurs sur le terrain, le prétraitement et l’anonymisation des données.

VIDETICS : propose des solutions d’analyse vidéo par intelligence artificielle permettant de se connecter aux réseaux des caméras de vidéoprotection et de retransmettre en temps réel des informations

ATRISC : compétences fortes autour de toutes les questions liées à l’innovation dans les domaines de la gestion des risques, menaces et vulnérabilités des organisations et des territoires. Le sujet de l’acceptabilité des solutions ou méthodes proposées aux usagers. ATRISC assure le pilotage de l’acceptation

Mots clé : Simulation de comportement humain, transformations sociétales, analyse vidéo par intelligence artificielle, caméras de vidéoprotection, vulnérabilités des organisations.

Sans doute, ils pensent que les français sont encore un peu archaïques, un peu trop Amish pour accepter leurs solutions intrusives, mais avec le « pilotage de l’acceptation » (traduisez un bon lobbying) , le groupe de pression sécuritaire espère y arriver.

En appuyant sur un bouton

Lors de l’émission « C Politique » diffusée sur la 5 samedi 7 mai, il a été diffusé un reportage sur la gestion de la pandémie par la Chine avec les méthodes techno-policières que l’on connait. Ci dessous, un extrait de 7 minutes :

(cliquez sur le triangle en bas à gauche)

Dans ce bref extrait, on voit les policiers chinois utiliser toute une gamme d’objets technologiques et de procédures qui existent aussi en France, même s’ils ne sont pas généralisés, systématisés et poussés à leur paroxysme comme en Chine : vidéosurveillance généralisée, reconnaissance faciale, géolocalisation, Pass, drones pour surveiller et  invectiver la population ; nous n’avons pas encore ces effrayants cloportes-robots développés sur le modèle de ceux de Boston Dynamics et munis de hauts parleurs.

Pas de ça chez nous

La première réaction est de penser que tout cela ne peut se produire en France, parce que nous sommes une démocratie, même autoritaire et avec de très forts penchants policiers, même très friande d’états d’urgence prolongés et « régimes transitoires ». Mis à part quelques représentants du tout sécuritaire tels qu’Estrosi et autres Rebsamen, on imagine volontiers la réponse de la majorité des élus : pas de ça chez nous !

Le « Crisis data hub »

 Toutefois, on ne peut s’empêcher de penser à quelques-unes des propositions contenues dans le rapport produit en juin 2021 par nos braves et paisibles sénateurs de la « Délégation sénatoriale à la prospective »  [   ICI   ] dont nous avons extrait quelques propositions :

« Quarantaine obligatoire pour les seules personnes positives, strictement contrôlée grâce à des outils numériques (géolocalisation en temps réel avec alerte des autorités » « Dans les cas les plus extrêmes […] toute violation de quarantaine pourrait conduire à une information en temps réel des forces de l’ordre, à une désactivation du titre de transport, ou encore à une amende prélevée automatiquement sur son compte bancaire »

Mais la proposition phare est celle de la création d’un « Crisis data hub » plateforme de collecte, de concentration de données personnelles (comme par exemple les données médicales) croisées avec celles produites par des tiers (opérateurs télécoms (géolocalisation), entreprises dites « technologiques » , transports, banques, etc. Le tout à mettre en œuvre uniquement en « cas de crise sanitaire ou autre ».

En appuyant sur le bouton

Les sénateurs se placent dans l’hypothèse d’une « situation de crise sanitaire ou autre » pour s’autoriser à « croiser, entre autres, des données médicales avec des données de géolocalisation » ; c’est exactement ce que fait actuellement le gouvernement chinois.

Le très vague et inquiétant « ou autre » devrait alerter tous les défenseurs et défenseuses de l’Etat de droit ; c’est la porte ouverte à tous les abus et à toutes les tyrannies. Que se passera-t-il si un jour est déclenchée dans notre pays une grève générale illimitée et qu’elle dure plusieurs semaines ? Qui est en mesure de garantir que ce dispositif ne sera pas détourné pour surveiller ou entraver les mouvements des syndicalistes, des journalistes ou de simples militants ?

L’expérience montre que lorsqu’un dispositif techno est disponible, son utilisation finit toujours par être dévoyée et utilisée à d’autres fins que celles prévues à l’origine, dans un premier temps illégalement, puis ensuite avalisé par la loi, Cf par exemple : la reconnaissance faciale sur les fichiers du TAJ, les valises IMSI Catcher, l’utilisation policière des drones.  

Les sénateurs  font preuve d’une certaine candeur s’ils pensent qu’ils vont pouvoir venir à bout d’une pandémie « ou autre » « en appuyant sur le bouton » ;  leurs propositions sont très inquiétantes, car « en appuyant sur un bouton » il serait alors possible de porter un coup fatal à l’Etat de droit.  

Les drones policiers au conseil constitutionnel

CONTRIBUTION EXTÉRIEURE SUR LA LOI RELATIVE A LA RESPONSABILITÉ PÉNALE ET LA SÉCURITÉ INTÉRIEURE ADRESSÉE AU CONSEIL CONSTITUTIONNEL LE 30/12/2021

Objet : Contribution extérieure du Syndicat de la Magistrature, du Syndicat des Avocats de France, de la Ligue des Droits de l’Homme et de la Quadrature du Net, sur la loi relative à la responsabilité pénale et la sécurité intérieure (2021-834 DC)

Cette contribution adressée au Conseil Constitutionnel contient 45 pages https://s.42l.fr/contributionloisecuriteinterieure  ; nous proposons ici une brève synthèse de la partie concernant les drones, elle-même contenue dans le chapitre « dispositions relatives à la captation d’images »

Drones

 Ces articles doivent être censurés par votre Conseil pour deux raisons : ils échouent à présenter les garanties qui faisaient déjà défaut dans la loi sécurité globale et qui en avaient justifié la censure par votre Conseil ; ils présentent encore moins de garanties.

En matière de police judiciaire et de police municipale, le législateur a apporté quelques précisions utiles par rapport à la loi sécurité globale (par exemple, en matière municipale, la très large finalité consistant à « assurer l’exécution des arrêtés de police du maire » a été remplacée par une liste de finalités plus explicites : sécurité des événements publics, régulations des transports, assistance aux personnes…

En revanche, en matière de police administrative, la liste des finalités reste inchangée et toujours aussi excessive. De plus, la loi ajoute pour la police judiciaire une nouvelle finalité particulièrement large : la « recherche d’une personne en fuite ». La logique même de la fuite, couplée à la très grande mobilité des drones, est susceptible d’entraîner la surveillance de zones géographiques aussi larges qu’impossibles à anticiper.

• Durée

La loi déférée prévoit que l’autorisation rendue par le préfet en matière de police administrative ou de police municipale peut être renouvelée par le préfet tous les trois mois de façon illimitée (idem pour le Procureur, dans ses attributions). Les autorisations peuvent être renouvelles pour une durée à laquelle le législateur n’a fixé aucune limite maximale, contrairement aux exigences constitutionnelles.

• Périmètre

La loi déférée continue de laisser la délimitation du périmètre surveillé à la discrétion du préfet ou du procureur. En pratique, cette absence de limitation empêchera toute autorité indépendante d’examiner au préalable la nécessité et la proportionnalité de la mesure de surveillance. Ce n’est qu’a posteriori, une fois que l’atteinte aux libertés de la population aura été consommée qu’une autorité extérieure pourra éventuellement y mettre fin.

• Subsidiarité

Votre Conseil a censuré la loi sécurité globale au motif que le déploiement de drones ne présentait « pas un caractère subsidiaire » – autrement dit, que les drones pouvaient être déployés en l’absence de « circonstances liées aux lieux de l’opération [qui] rendent particulièrement difficile le recours à d’autres outils de captation d’image ». Cette garantie de subsidiarité fait toujours défaut dans la nouvelle loi : le préfet et le procureur ne sont toujours pas tenus de vérifier si d’autres outils moins intrusifs permettraient d’atteindre le même objectif avant d’autoriser le déploiement de drones.

• Reconnaissance faciale

La loi remplace cette ancienne interdiction générale par une disposition bien plus limitée : l’interdiction d’installer des logiciels de reconnaissance faciale sur les drones eux-mêmes. En comparaison avec le droit actuel, désormais, plus rien n’empêchera les images captées par drones d’être analysées par des logiciels de reconnaissance faciale installées sur d’autres dispositifs que les drones eux-mêmes. Cette analyse pourra notamment être un rapprochement par reconnaissance faciale avec l’une des 9 millions de photographies contenues dans le fichier de traitement des antécédents judiciaires (TAJ), ce que la loi sécurité globale avait jusqu’alors interdit explicitement.

• Intérieur des domiciles

La loi sécurité globale exigeait que les captations d’image par drones soient « réalisées de telle sorte qu’elles ne visualisent pas les images de l’intérieur des domiciles ». La loi déférée prévoit désormais que les drones pourront capter de telles images si cette captation est réalisée par inadvertance. Ce texte crée à l’inverse une autorisation de filmer à tout moment l’intérieur d’un domicile et de s’en servir pour constater une infraction, sous prétexte que l’enregistrement n’est pas intentionnel.

• Autorisation facultative

Désormais, lorsque les agents de terrain considéreront que « l’urgence résultant d’une exposition particulière et imprévisible à un risque d’atteinte caractérisée aux personnes ou aux biens le requiert », ils pourront se passer de l’autorisation du préfet et faire décoller des drones de leur propre chef pour une durée de 4 heures.

Vous avez aimé le pass sanitaire ? Vous allez adorer les propositions de la commission prospective du Sénat

Observations sur le rapport de la délégation sénatoriale à la prospective

CRISES SANITAIRES ET OUTILS NUMÉRIQUES (juin 2021)

Rapport présenté par :

Véronique Guillotin : Vice-présidente de la délégation sénatoriale à la prospective – Docteur en médecine – Groupe rassemblement démocratique et social européen.

Christine Lavarde :  Vice-présidente de la délégation sénatoriale à la prospective – Ingénieure du corps des Ponts – Groupe Les Républicains.

René-Paul Savary : Vice-président de la délégation sénatoriale à la prospective – Docteur en médecine – Groupe Les Républicains.

*

« quarantaine obligatoire pour les seules personnes positives strictement contrôlée grâce à des outils numériques (géolocalisation en temps réel avec alerte des autorités »

« dans les cas les plus extrêmes [ … ] toute violation de quarantaine pourrait conduire à une information en temps réel des forces de l’ordre, à une désactivation du titre de transport, ou encore à une amende prélevée automatiquement sur son compte bancaire »

« il existe des formes de contrôle ou de contrainte plus implicites, mais non moins efficaces : un portique d’entrée dans le métro qui se mettrait à sonner très fort au passage d’une personne contagieuse ou censée être confinée serait dans la plupart des cas suffisamment dissuasif pour qu’il ne soit même pas nécessaire de transmettre cette information aux autorités chargées de contrôler le respect des règles. Début 2021, la presse a rapporté le cas d’un boîtier connecté, porté autour du cou, qui sonnerait (avec un son de 85 décibels) en cas de non-respect des règles de distanciation par les salariés d’une entreprise. L’initiative a été dénoncée comme anxiogène et inacceptable. Techniquement, toutefois, nul besoin d’un boitier autour du cou : un smartphone peut faire la même chose »

Quatre citations extraites du rapport de 182 pages « Crises sanitaires et outils numériques »  produit par la délégation sénatoriale à la prospective  [  ICI  ]. Nous avons tenté de comprendre les raisonnements qui conduisent la délégation sénatoriale à conclure son rapport par les propositions dignes d’une dictature policière. Prenant exemple sur certaines modalités de gestion de la pandémie observées dans les pays d’Asie Orientale, le rapport s’attache ensuite à démontrer que les concepts fondamentaux de proportionnalité et de nécessité dont la CNIL est la gardienne sont désormais caducs, au moins, dans leur forme actuelle.

La gestion de la pandémie dans les pays d’Asie Orientale

Le rapport débute et prend appui sur une étude de la situation sanitaire de divers pays asiatiques (Chine, Hong-Kong, Taïwan, Singapour, Corée du sud et Japon) réalisée (avril 2020) par l’Institut Montaigne, think tank néo-libéral (1), étude intitulée « L’Asie orientale face à la pandémie »  [ ICI ]. Les rédacteurs de l’étude se proposent de comprendre « comment le Japon, la Corée du Sud ou encore Taïwan sont-ils parvenus à éviter un confinement général de leurs populations ou celui de villes entières ? »

Le rapport du Sénat en tire la conclusion que si les pays asiatiques ont mieux géré la crise sanitaire que les pays occidentaux, c’est parce qu’ils ont massivement mis en œuvre des moyens numériques de contrôle de la population, à l’exception du Japon.  Or, cette conclusion nous semble contestable.

Outre que les données statistiques publiées par certains des pays étudiés, dirigés par des dictatures ou des démocraties autoritaires, sont sujettes à caution, de très nombreux autres paramètres peuvent expliquer d’éventuels meilleurs résultats :

  • Insularité ou quasi insularité (Taïwan, Corée du Sud, Japon, Singapour, Hong-Kong) qui permettent un contrôle très strict des frontières (comparativement à la France)
  • Flux touristiques plus limités qu’en occident.
  • Organisation sociale, encadrement des populations et disposition d’esprit des citoyens plus favorables à une discipline sanitaire stricte. Par exemple, le port du masque est habituel dans plusieurs de ces pays depuis des décennies ; en Chine, le quadrillage et le contrôle physique de la population se fait dans les grandes métropoles jusqu’au niveau du pâté d’immeubles, sans parler du contrôle absolu des médias.
  • Meilleure organisation administrative et surtout, comme le note l’étude de l’institut Montaigne, très grande réactivité des administrations face au danger pandémique, comme par exemple la mise en place très rapide de tests généralisés ou de contrôles sanitaires draconiens aux frontières terrestres et maritimes et l’imposition de sévères mesures de quarantaine aux arrivants.

Le contrôle numérique intrusif des populations a pu jouer un rôle dans les éventuels meilleurs résultats obtenus par les pays d’Asie orientale ; mais laisser entendre – comme le suggère le rapport du Sénat – que ces contrôles intrusifs ont joué un rôle central dans la maîtrise de la pandémie ne relève pas d’une démarche scientifique, parce qu’il est impossible de quantifier la contribution de chacun des items au meilleur résultat qui aurait été obtenu par les pays asiatiques étudiés.  (2)

La CNIL , la proportionnalité et la nécessité

Après avoir tenté de démontrer que les pays d’Asie orientale, en adoptant des procédures numériques extrêmement intrusives, avaient choisi la bonne procédure, le rapport tente de balayer les obstacles qui pourraient s’opposer en France à un développement du numérique intrusif.

Une des premières cibles est la CNIL, autorité administrative indépendante chargée dans notre pays de protéger les données personnelles en veillant, en particulier, au respect de la directive européenne transcrite en droit français sous le nom de règlement général de protection des données (RGPD) applicable en France à compter du 25 mai 2018.  Le rapport affirme que la CNIL fait preuve d’« un conservatisme juridique lourd de conséquences » (page 92), suggérant ainsi que cette autorité administrative a été ou sera indirectement responsable du développement des pandémies en France. (3) C’est un parfait non-sens, puisque le rôle de la CNIL se limite à veiller à la bonne application de la loi voté par le parlement, donc, aussi, par … le Sénat.

On sait que le RGPD pose des principes, traditionnels en droit public français, de proportionnalité et de nécessité.

Concernant la proportionnalité, le rapport critique les positions de la CNIL en ce qu’elles méconnaissent un nouveau concept juridique selon lequel ce sont les      « libertés numériques » qui devraient être subordonnées aux « libertés physiques » (page 103). Par « libertés physiques » les auteurs entendent la liberté de rester en bonne santé. Les limitations aux libertés individuelles pour motifs de santé publique sont anciennes, nombreuses et légitimes : vaccinations obligatoires, hospitalisation d’office, loi Evin, etc. (voir, par exemple, [ ICI ].

Mais ce que propose le rapport est de nature totalement différente :  ce ne sont pas des limitations d’aller et de venir ou des obligations plus ou moins contraignantes de faire ou de ne pas faire, mais une intrusion massive dans la vie privée des citoyens. Au demeurant, cette opposition numérique/physique, qui est centrale dans le raisonnement développé par le rapport, n’a pas beaucoup de sens. En effet, il suffit de penser au cas du logiciel Israélien « Pégasus » utilisé par certaines dictatures pour espionner les opposants (« libertés numériques »), afin de pouvoir plus efficacement porter atteinte à leurs (« libertés physiques »).

Ce concept central du rapport qui priorise les « libertés » physiques Vs les numériques est idéologiquement le pendant du concept conservateur qui voudrait privilégier ou même opposer sécurité et libertés [  ICI  ]. François Sureau explique : « quand on écoute un homme politique parler, il faut toujours voir ce qu’il met en premier ; par exemple s’il vous dit la liberté c’est bien, mais la sécurité ça compte, vous pouvez être sûr que ce dont il parle, c’est de la sécurité » [  ICI  ] . Ce discours est sous-tendu par la même idéologie qui fait dire à M. Ciotti qu’il faut chercher un « équilibre logique entre droits et devoirs pour les bénéficiaires des prestations sociales » (2011) ; à M. Sarkozy que « les droits sans les devoirs, ça n’existe pas » (2012) ou à M. Macron : « vous avez des devoirs avant d’avoir des droits » (2021). Au fond, ce qui est contesté, c’est l’existence des libertés fondamentales dont tout membre de l’espèce humaine est le dépositaire ; les conservateurs voudraient  les contextualiser, voire le contractualiser ! Les libertés fondamentales ne sont pas négociables.

Concernant le principe de nécessité, le rapport observe que la CNIL n’a pas de compétence médicale et est donc amenée à prendre des décisions dont elle ne maîtrise pas tous les paramètres (4) et reproche aussi à la CNIL d’avoir interdit l’utilisation des caméras thermiques sur la voie publique au motif de l’imprécision des mesures et des cas asymptomatiques. Le rapport conclut cette séquence en élargissant le propos : « Enfin, la défiance historique de la société française à l’égard de la collecte des données personnelles, dont la doctrine actuelle de la CNIL est le reflet, tient à une confusion, rarement formulée en tant que telle, entre les fins (protéger les droits et libertés) et les moyens (interdire les croisements de fichiers) » (page 106). Le rapport prétend qu’il est possible de croiser les fichiers tout en protégeant les données personnelles, alors que de nombreux spécialistes expliquent que ce sont précisément les croisements de masses considérables de données (tel que les pratiquent les GAFAM) qui portent atteinte aux libertés individuelles.

Le crisis data hub

Le crisis data hub peut être défini comme étant une base de données alimentée par des croisements de fichiers, en particulier de fichiers de données personnelles (dont médicales), en principe utilisable uniquement en cas de crise, par exemple, pour contrôler un confinement ciblé.

Pour justifier une éventuelle intrusion massive dans les données personnelles des citoyens et en particulier les données personnelles de santé, le rapport développe une série d’arguments :

  • On peut comprendre « la sensibilité française à toute collecte et croisement de données personnelles (allusion, sans doute, à l’utilisation du fichier des juifs sous l’occupation), mais à l’heure actuelle c’est « absurde » puisqu’on donne volontairement aux Gafam « d’avantage d’informations que l’Etat n’en aura jamais ». Cet argument rappelle celui utilisé pour justifier la reconnaissance faciale : « puisque vous mettez vos photos sur les réseaux sociaux, pourquoi la reconnaissance faciale vous poserait un problème ? ». Pour le dire autrement : puisque vous avez mis le petit doigt dans l’engrenage, vous n’avez aucune raison de refuser d’y passer tout le bras, voire plus. Sauf que, d’une part, tous les citoyens ne mettent pas leurs photos sur les réseaux sociaux et, d’autre part, pour le moment, les réseaux sociaux n’ont pas la capacité de nous contraindre physiquement : perquisitions, gardes à vue, prison, etc. (ça viendra peut-être …)
  • « Un des arguments les plus fréquemment évoqués à l’encontre du recours au numérique dans la lutte contre le Covid-19 est qu’il s’agirait de méthodes caractéristiques de régimes autoritaires», mais c’est faux, répond le rapport, regardez le Japon, Israël ou l’Estonie (5). Israël ? un pays en guerre depuis 70 ans, grand pourvoyeur de logiciels espions à toutes les dictatures du monde (cf. affaire Pégasus et autres outils numériques d’espionnage) ; pour l’Estonie, cf. note n°2.
  • « à l’heure de la révolution numérique, du big data et de l’intelligence artificielle, on ne peut plus raisonnablement soutenir que l’intérêt principal des croisements de fichiers est la surveillance policière, ou l’instauration d’un État totalitaire fantasmé. » Certes, le croisement de données personnelles pourrait être utilisé à d’autres fins que des fins policières comme par exemple la recherche médicale ; en France, l’INSERM mène depuis plus de 20 ans des enquêtes épidémiologiques à grande échelle, sur la base du volontariat. En tout état de cause, ces techniques pourraient aussi être utilisées à des fins policières. Un récent projet de loi (juillet 2021) prévoit, que le fichier médical SI-DEP (Système d’Informations de DEPistage) puisse être consulté par des policiers : « On change complètement la finalité d’un fichier. On l’a créé pour qu’il soit médical et il devient finalement un fichier policier ». [  ICI  ]
  • « il existe aujourd’hui des solutions techniques permettant de garantir un très haut niveau de confidentialité et de sécurité » Discours habituel : « faites-nous confiance, tout est sous contrôle ». Or, très régulièrement, la presse se fait l’écho d’intrusions dans des systèmes informatiques parmi les plus protégés au monde comme par exemple le hack de la NSA [  ICI  ]. D’ailleurs, les rédacteurs sont tellement conscients de la faiblesse de cet argument que l’adjectif sécurisé est cité, tel un mantra, 60 fois dans le rapport, pour tenter de bien ancrer l’idée dans la tête du lecteur. Fin août 2021, on apprend que « Plus de 700 000 résultats de tests, et les données personnelles des patients, ont été durant des mois accessibles en quelques clics en raison de failles béantes sur le site de Francetest, un logiciel transférant les données des pharmaciens vers le fichier SI-DEP » (Médiapart 31-8-231)

L’entêtement du rapport à présenter l’intrusion numérique comme l’axe central et incontournable de la politique publique en cas de nouvelle pandémie pose problème ; tout se passe comme si les rapporteurs avaient été hypnotisés par les marchands de solutionnisme techno.  Cette option met de côté toute une série de progrès possibles dans le domaine de la médecine ( tests plus faciles à pratiquer et plus efficaces, nouvelles molécules pour le traitement de la maladie, nouveaux vaccins plus efficaces, faciles à administrer et à diffuser, etc.) ou dans le domaine de l’organisation administrative de la lutte contre la pandémie et particulièrement en tirant les leçons de ce qui a très mal fonctionné lors de l’épisode que nous vivons actuellement et tout particulièrement l’absence de préparation à un tel événement, malgré l’alerte de l’épidémie H1N1 de 2009.

Le rapport insiste à plusieurs reprises sur le caractère limité dans l’espace et dans le temps des procédures ultra intrusives, comme par exemple p 126 : « Le présent rapport propose donc de recourir bien plus fortement aux outils numériques dans le cadre de la gestion des crises sanitaires [ … ] y compris si cela implique d’exploiter des données de manière intrusive et dérogatoire. En contrepartie, ces mesures pourraient être bien plus limitées, à la fois dans leur nature, dans le nombre de personnes concernées, et dans la durée » ; toutefois, l’expérience vécue de ces vingt dernières années montre que les atteintes aux libertés individuelles et collectives présentées comme dirigées contre un unique ennemi (le terrorisme) et pour une durée très brève (état d’urgence) finit toujours, sous la pression policière, par être gravé définitivement dans le marbre de la loi qui s’applique en permanence à tous et plus particulièrement aux opposants, aux journalistes, etc. Il n’y a aucune raison de penser qu’il en irait autrement pour les dispositions si fortement intrusives proposées par la commission prospective du sénat.

*

(1) voir le comité directeur de l’Institut Montaigne [  ICI  ]

(2) Pour parer à toute critique concernant la nature politique des pays étudiés, le rapport étudie aussi le cas d’une démocratie européenne :  l’Estonie, pays doté d’une administration hyper informatisée, a fait l’objet en avril-mai 2007 d’une série de cyber attaques qui ont paralysé administrations et banques  ;  l’exemple de ce très petit pays, le plus septentrional des pays Baltes, avec seulement 1,2 millions d’habitants, peut-il vraiment servir de modèle pour un pays de près de 70 millions d’habitants ?

(3) cette attaque frontale contre les positions de la CNIL se combine de façon assez perverse avec l’assurance donnée que ce ne sont pas les statuts de la CNIL qui sont visés, pas plus que la réglementation européenne du RGPD (Règlement général de protection des données)

(4) comme les tribunaux administratifs, remarque le rapport

(5) Le Japon est cité comme une démocratie qui a utilisé des outils numériques intrusifs (page 101), mais page 22, le rapport indique : « le Japon est, de loin, celui qui a le moins recouru à des mesures fortes, et a fortiori à des outils numériques [ … ]Le Japon est aussi – faut-il y voir un hasard ? – celui de ces pays qui est le plus touché par l’épidémie »

Si les gens ne votent pas, c’est parce qu’on n’a pas la reconnaissance faciale

Le projet de loi 4D pour Différenciation – Décentralisation – Déconcentration et Décomplexification (1) présenté en conseil des ministres le 12/05/2021 sera débattu au parlement sous peu ( date?) ; déjà, certains caciques locaux avancent leurs pions dans la perspective des négociations de ralliement à l’un ou l’autre des candidats à la présidentielle.

Nice-Matin le live (28/06/2021) C. Estrosi déclare, au lendemain des Régionales, pour répondre à l’inquiétant taux de participation :

Nous aurions pu penser que le maire de Nice aurait à cœur de suivre l’expérimentation «Territoire zéro chômeur de longue durée» en collaboration avec ATD Quart Monde et Emmaüs France comme cela a été fait dans plusieurs communes de France https://s.42l.fr/zero_chomeur

Las, non ! l’accès à la reconnaissance faciale municipale et aux fichiers S est le totem qu’il revendiquera, ainsi que la qualification d’OPJ pour certains policiers municipaux, option recalée par le Conseil Constitutionnel (2). Ces revendications du maire de Nice est un indice très clair que les débats lors de la prochaine campagne pour l’éléction présidentielle vont être phagocytés par la question sécuritaire.

Assurer la sécurité des citoyens est une des fonctions fondamentales de l’ Etat ; toutefois, pour certains élus, l’objectif est d’alimenter en permanence le phantasme de la peur, de créer des ambiances anxiogènes, puis faire croire que l’on est capable de trouver des solutions en instituant une surveillance permanente et généralisée des citoyens.

*

(1) ici, une note rédigée par les sections LDH de Nice et Toulon-La Seyne à propos du projet de loi 4D : https://s.42l.fr/projet_loi_quatre_d

(2) « ne sont pas prévues la possibilité pour le procureur de la République d’adresser des instructions aux directeurs de police municipale et chefs de service de police municipale, l’obligation pour ces agents de le tenir informé sans délai des infractions dont ils ont connaissance, l’association de l’autorité judiciaire aux enquêtes administratives relatives à leur comportement, ainsi que leur notation par le procureur général. »

Élections régionales : la sécurité encore et toujours

Selon les enquêtes d’opinion, la sécurité sera un des enjeux majeurs des élections pour les conseils départementaux et régionaux. Sauf que la sécurité n’entre pas dans les compétences des conseils départementaux et régionaux ; cherchez l’erreur !

En France, l’insécurité ne progresse pas, mais la société y est plus sensible

Voir Centre d’observation de la société (Compas) ici :http://www.observationsociete.fr/modes-de-vie/divers-tendances_conditions/evolutioninsecurite.html

La peur est un réflexe protecteur on ne peut plus humain. La vraie question est donc de savoir pourquoi la peur irraisonnée prospère si bien dans notre pays . Il y a sûrement un ensemble de raisons et il faudrait interroger, non seulement la science politique, mais aussi les psychologues, les sociologues et même les anthropologues.  Toutefois, on peut raisonnablement penser que beaucoup de personnes, d’entreprises, de syndicats corporatistes, d’organismes et d’institutions ont un intérêt évident au maintien d’un niveau élevé du sentiment d’insécurité.    

Le chiffre d’affaires annuel du secteur de la sécurité est, en France, de l’ordre de 30 milliards

La sécurité privée, c’est 177.000 salariés

https://rendre-notre-monde-plus-sur.goron.fr/qui-nous-protege-les-effectifs-de-la-securite-en-france/

Au total, 450.000 personnes assurent des fonctions de sécurité en France

https://rendre-notre-monde-plus-sur.goron.fr/qui-nous-protege-les-effectifs-de-la-securite-en-france/