Smart Cities sécuritaires : la CNIL forfait ?

Depuis plusieurs mois, La Quadrature a commencé à se pencher sur les enjeux liés aux Smart City, alors que plusieurs villes françaises invoquent ce terme pour « déguiser » leurs projets de surveillance policière dopée aux Big Data. Il y a quelques semaines, nous rencontrions la CNIL pour discuter de ces enjeux. Résumé des épisodes précédents, et de cette rencontre pas franchement enthousiasmante.

En France, lorsqu’on évoque la police prédictive et les usages policier du Big Data, il est souvent question de l’entreprise américaine Palantir. Celle-ci agit comme une sorte de chiffon rouge : les usages policiers de ses plateformes logicielles aux États-Unis ont en effet de quoi faire froid dans le dos, et le contrat passé fin 2016 entre la firme et les services de renseignement intérieur français, la DGSI, suscite des inquiétudes légitimes. Mais à trop se focaliser sur Palantir – qui endosse à merveille le rôle de la « méchante boîte américaine » –, on risque d’oublier un peu vite qu’en France aussi, plusieurs multinationales comme Thalès, Atos Bull ou Engie se positionnent sur ces marchés sécuritaires en plein essor.

La Safe City « made in France »

Alors que le sujet était jusqu’alors largement passé sous nos radars, cela fait quelques mois que nous avons commencé à suivre ces projets, baptisés « Safe City ©» par leurs concepteurs (ou comment basculer sans rougir de la Smart City à la « ville sécurisée »).

À Marseille puis à Nice, nous avons commencé à documenter les premiers partenariats public-privé en la matière, qui pullulent actuellement sur le territoire. Au travers de ces marchés publics, on voit des multinationales françaises s’allier avec des élus municipaux peu scrupuleux pour mettre la puissance du Big Data et de l’intelligence artificielle au service de leurs polices municipales (dans les applications envisagées : analyses prédictives, repérage des comportements suspects à travers l’analyse automatique de la vidéosurveillance, surveillance des réseaux sociaux, etc). Ces partenariats soutenus par l’Union européenne ou la Banque publique d’investissement permettent à ces consortiums mêlant grands industriels, « start-ups » et instituts de recherche (comme l’INRIA) de faire financer leur recherche et développement de solutions sécuritaires par le contribuable.

L’une des choses qui frappe lorsqu’on regarde les documents relatifs à ces expérimentations, c’est la créativité dont font preuve les rédacteurs pour minimiser les enjeux en termes de libertés publiques, sans jamais vraiment réussir à convaincre. Surtout, ne pas appeler un chat un chat, et caser les mots à la mode du moment qui permettront de rassurer et de « faire moderne ». C’est ce que relevait récemment la section locale de Ligue des droits de l’Homme à Nice :

Le marketing de la sécurité (de la peur ?), utilise volontiers quelques mots clés qui reviennent constamment en boucle : #intelligent, #temps réel ; on y rencontre aussi des #infaillible aux allures jupitériennes, destinés à clouer le bec de tout contradicteur.

Pour ce qui est de la vie privée, les rédacteurs se contentent d’une vague mention du « RGPD » ou de la « Loi informatique et libertés ». Inutile de vraiment plancher sur une analyse juridique qui démonterait que ces projets sont tout simplement illégaux…

On a rencontré la CNIL (et c’est triste)

Il y a quelques semaines, après la réponse que nous a faite la présidente de la CNIL à un courrier de janvier 2018, nous avons rencontré ses services pour en savoir plus sur la manière dont ils suivaient (ou pas) ces dossiers. Côté Quadrature, nous étions trois. En face de nous, il y avait Jean Lessi, conseiller d’État et secrétaire général de la CNIL, et trois autres personnes travaillant de loin sur ces sujets de « Safe City » au titre de leurs attributions. L’échange a été cordial. Nous avons rencontré des gens aimables, prenant au sérieux nos inquiétudes. Et pourtant, notre discussion a débouché sur un constat particulièrement amer quant à la capacité de la CNIL à être à la hauteur des enjeux.

Aucune analyse juridique détaillée

Le premier constat, c’est que la CNIL n’a en réalité pas de politique détaillée sur les Safe Cities. En 2014 déjà, elle échangeait avec le ministère de l’Intérieur sur des expérimentation locales de dispositifs statistiques à visée de police prédictive (sans même le Big Data à l’époque). L’an dernier, la CNIL publiait une étude prospective tout-à-fait lucide sur les enjeux de la Smart City pour les libertés publiques. Mais aujourd’hui, celle-ci ne dispose encore d’aucune analyse juridique qui puisse faire autorité sur la légalité des expérimentations projetées.

Comme le montrait le courrier envoyé par la présidente de la CNIL au maire de Marseille, la CNIL se borne pour l’heure à appeler au respect de garanties procédurales, avec notamment la nécessaire étude d’impact (la mairie en aurait promis une pour cet hiver…) et un « accompagnement obligatoire » à l’issue des expérimentations (prévu pour les « nouvelles technologies » par l’article 70-4 de la loi informatique et liberté modifiée).

Les analyses juridiques qui fleurissent au Conseil de l’Europe ou ailleurs1

  • Conseil de l’Europe. (2018). Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data (Consultative committee of the Convention for the protection of individuals with regard to automatic processing of personal data No. T-PD(2018)01). https://rm.coe.int/practical-guide-use-of-personal-data-in-the-police-sector/1680789a74
  • Conseil de l’Europe. (2018). Algorithms and Human Rights: Study on the human rights dimensions of automated data processing techniques and possible regulatory implications. Strasbourg. https://www.coe.int/en/web/human-rights-rule-of-law/-/algorithms-and-human-rights-a-new-study-has-been-published
  • Commission des libertés civiles, de la justice et des affaires intérieures, Parlement européen. (2017). Rapport sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (No. A8- 0044/2017). Retrieved from http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0044+0+DOC+XML+V0//FR

, et qui tentent de construire une réflexion pratique sur les liens entre Big Data, Intelligence Artificielle et droits de l’Homme, semblent la laisser de marbre.

Dans le silence de la loi, tout et n’importe quoi

Lorsqu’on demande à nos interlocuteurs pourquoi ils ne demandent tout simplement pas l’arrêt de ces expérimentations, comme il fut fait au printemps s’agissant de l’application Reporty à Nice (décision dont nous avons eu communication : la voici), on nous explique qu’à l’inverse de Reporty, la loi ne dit rien de spécifique sur la Safe City, et que les mairies peuvent donc faire peu ou prou ce qu’elles veulent2.

Nous répondons que, justement, c’est parce que la loi ne dit rien non plus de l’utilisation du Big Data à des fins policières, de la surveillance des réseaux sociaux et de toutes ces choses évoquées dans les projets d’expérimentation « Safe City », que ces derniers sont clairement illégaux3. C’est justement pour cela qu’ils mériteraient l’opposition ferme et résolue de la CNIL.

Silence gêné. On en déduit, que sous couvert d’expérimentations, tout ou presque est permis. La CNIL semble ici adhérer au rapport du député Cédric Villani sur l’intelligence artificielle, qui revendiquait de s’affranchir de la loi pour expérimenter les usages de l’IA à des fins de surveillance (visant sans le nommer le partenariat Palantir-DGSI). Dans la Startuffe Nation, il te suffit de parler d’« expérimentation » et d’« innovation smart », de méthodes « lean » en lien avec « l’écosystème startup », et ça te vaut un sauf-conduit pour faire tout et n’importe quoi.

La CNIL résignée face au discours sécuritaire

Bref. On continue donc la discussion, et nos interlocuteurs de la CNIL continuent de se défiler en nous disant en substance ceci : « Même si les projets d’expérimentation font peur sur le papier, il faut bien faire la différence entre le discours marketing des projets d’expérimentation (qui surenchérit dans la dystopie orwelienne) et l’étape de la mise en œuvre (qui s’avérera décevante et bien plus limitée que ce qui est projeté au départ) ».

Alors oui, on peut être d’accord sur le fait que ces expérimentations ne tiendront pas leurs promesses dans les délais impartis. Pour autant, cette position de la CNIL qui tend à minimiser la portée de ces projets oublie deux choses. La première, c’est que les discours marketing participent déjà de la banalisation des systèmes de surveillance. Et ce d’autant plus qu’ils sont repris par les élus qui, tout en masquant les dangers de la Safe City, tentent d’en faire un atout électoral. Le marketing de la surveillance impose partout la société de surveillance, et ce devrait être le rôle de la CNIL que d’utiliser les moyens à sa disposition pour aider à déconstruire ces discours (et tant pis si cela suscite l’ire des élus locaux).

Surtout, vu le rythme auquel croît l’informatique de contrôle (Big Data, IA & co), il est clair que ces systèmes de surveillance verront le jour. À force de balancer des millions d’euros pour les financer, la technocratie nous enfoncera encore un peu plus dans la dystopie orwellienne. De fait, ces outils existent déjà en Chine et, dans une moindre mesure, aux États-Unis et au Royaume-Uni. L’un des buts de ces expérimentations n’est-il pas justement de permettre aux industriels français de rattraper au plus vite leur retard sur la concurrence étrangère ?

Un appel au débat qui ne mange pas de pain

Au fond, si la CNIL botte en touche sur ces sujets ô combien importants, c’est qu’elle accepte d’être condamnée à l’impuissance.

À l’image d’autres autorités de contrôle dévolues à la protection des libertés publiques, ses moyens financiers et humains sont structurellement dérisoires par rapport à l’ampleur de ses missions. Il faut dire que la conjoncture n’est guère favorable : la CNIL doit faire face à l’entrée en vigueur du RGPD en mai dernier, qui la met en première ligne. Nos interlocuteurs ont d’ailleurs commencé la discussion en pointant leur manque de moyens, comme pour s’excuser par avance de leur relative inaction. On nous a fait comprendre que les personnes que nous avions en face sont en réalité les seules parmi un staff d’environ 200 personnes à plancher sur ces sujets de Safe City. Et encore, seulement de loin, en plus de leurs autres missions touchant aux fichiers régaliens… Le projet de budget 2019 envisage bien une augmentation de ses ressources de +4,8 % (+ 860 000 euros), mais cela est largement insuffisant pour palier aux besoins.

Il y a une seconde explication plus générale à l’impuissance de la CNIL : celle-ci est sciemment organisée par les pouvoirs exécutifs et législatifs. L’attentisme actuel apparaît en effet comme le point d’orgue d’une tendance à l’œuvre depuis les années 1980, qui a vu les pouvoirs de la commission progressivement rognés s’agissant de la surveillance d’État. Alors que ses responsables aiment à rappeler le « mythe fondateur » du scandale SAFARI – provoqué en 1974 par le projet d’une interconnexion des fichiers informatiques de la police, des service fiscaux et sociaux –, la CNIL n’a cesse depuis de perdre du terrain sur ces questions.

Ainsi, en 1991, l’État choisit de créer une nouvelle autorité (la CNCIS) plutôt que de lui permettre de contrôler la surveillance des communications par les services de renseignement. En 2004, on lui ôte le pouvoir de s’opposer à la création de fichiers policiers, en rendant son avis sur les projets de décrets afférents purement consultatif. Enfin, depuis presque vingt ans, on met à sa tête des gens proches des hautes sphères administratives ou politiques, comme une manière de garantir sa relative docilité vis-à-vis de l’État dans des dossiers clés.

Dans ce contexte délétère, la CNIL en est réduite à appeler à un grand « débat démocratique », tout en reconnaissant les graves menaces que font peser ces systèmes pour les droits et libertés. Ce qu’elle a fait le 19 septembre dernier. On lit dans son communiqué publié ce jour-là :

Ces dispositifs, qui s’articulent parfois avec des technologies de big data, soulèvent des enjeux importants pour les droits et libertés individuelles des citoyens. Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique.
Il est aujourd’hui impératif que des garde-fous soient prévus afin d’encadrer les finalités pour lesquelles ces dispositifs peuvent être déployés et prévenir tout mésusage des données traitées par leur biais (…).
Aussi, la CNIL appelle d’urgence à un débat démocratique sur cette problématique, et à ce que le législateur puis le pouvoir réglementaire se saisissent de ces questions afin que soient définis les encadrements appropriés, en recherchant le juste équilibre entre les impératifs de sécurisation, notamment des espaces publics, et la préservation des droits et libertés de chacun4.

Un appel de pure forme, qui finira sans aucun doute par être entendu par les ministères de l’intérieur et de la justice. Le gouvernement a en effet affirmé au printemps vouloir réviser la loi renseignement en 2020. Il lui faudra de toute façon légaliser tout un tas d’usages sécuritaires de l’informatique expérimentés ces derniers temps dans la plus grande illégalité (coucou Palantir à la DGSI, coucou le fichier TES et sa myriade d’usages potentiels qu’on voudra bientôt légaliser, etc.). Au train où vont les lois sécuritaires, et vu que les marchands de peur sont récemment passés ceinture marron dans l’art de pourrir le débat sur ces questions, ils accueillent sans doute l’appel de la CNIL avec sérénité.

Au minimum, la CNIL devrait imposer un moratoire sur les expérimentations en cours : exiger leur arrêt tant qu’elles ne sont pas précisément autorisées et encadrées par la loi. Sa position attentiste la rend complice.

References

1.– Conseil de l’Europe. (2018). Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data (Consultative committee of the Convention for the protection of individuals with regard to automatic processing of personal data No. T-PD(2018)01). https://rm.coe.int/practical-guide-use-of-personal-data-in-the-police-sector/1680789a74
– Conseil de l’Europe. (2018). Algorithms and Human Rights: Study on the human rights dimensions of automated data processing techniques and possible regulatory implications. Strasbourg. https://www.coe.int/en/web/human-rights-rule-of-law/-/algorithms-and-human-rights-a-new-study-has-been-published
– Commission des libertés civiles, de la justice et des affaires intérieures, Parlement européen. (2017). Rapport sur les incidences des mégadonnées pour les droits fondamentaux: respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi (No. A8- 0044/2017). Retrieved from http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0044+0+DOC+XML+V0//FR
2.Le raisonnement juridique de la CNIL, détaillé dans un document dont nous avons eu communication, est en gros le suivant : « Reporty s’analysait en droit comme l’extension du système de vidéosurveillance de la ville (à travers les ordiphones des gens) ; or, la vidéosurveillance fait l’objet d’un encadrement dans le code de la sécurité intérieure ; comme pour les caméras piéton des policiers, faut donc que la loi autorise expressément le recours par les collectivités aux ordiphones des gens pour surveiller la population ; or cette autorisation législative qui fait pour l’heure défaut ».
3.C’est la conséquence logique de la jurisprudence de base de de CEDH en la matière : toute forme de surveillance qui ne fait pas l’objet d’une règle juridique claire et intelligible associée à des garde-fous est illégale.
4.https://www.cnil.fr/fr/la-cnil-appelle-la-tenue-dun-debat-democratique-sur-les-nouveaux-usages-des-cameras-video