Résistons à la surveillance - La Quadrature du Net

LQDN

Titre : Résistons à la surveillance
Intervenants : Okhin - Camille Polloni - Alexis - Benjamin Sonntag - Félix
Lieu : La chaîne LQDN
Date : décembre 2018
Durée : 18 min 47
Visionner la vidéo
Licence de la transcription : Verbatim
Illustration : copies d'écran de la vidéo
NB : trancription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

La surveillance d’État est supposée ne cibler que les personnes qui pourraient porter atteinte à son intégrité. Pourtant, la multiplication des mesures de fichage et l'usage des technologies issues du modèle de ciblage publicitaire tendent à étendre cette surveillance à l'ensemble de la population.
Ce sont nos libertés qui s'en trouvent entravées.

Transcription

Voix off : Au commencement Internet n’était qu’un petit espace où l’on pouvait échanger sans crainte d’être surveillé.

Okhin : La surveillance est une technique utilisée par l’État pour essayer de déterminer quelles sont les personnes ou les entités qui pourraient mettre à mal sa fonction d’État. Ça reste sur un critère qui est très exceptionnel : on a un renseignement humain qui permet de détecter quelques individus qui pourraient être dangereux et menacer la raison d’État et c’est sur ceux-là qu’on va utiliser des mesures exceptionnelles de surveillance telles que espionner leurs conversations, ouvrir leurs lettres, écouter leurs communications téléphoniques, ce genre de choses-là.

La grosse différence des années 60-70 par rapport à aujourd’hui c’est l’échelle à laquelle on est capable de faire ces fichiers de populations. À l’époque, les fichiers étaient créés par des dénonciations, par des gens qui saisissaient des données à la main ; il fallait les lire, il fallait les parcourir ; c’était stocké dans des grandes armoires. Il y avait un temps de traitement qui faisait qu’on ne pouvait pas surveiller l’intégralité des citoyens américains. Maintenant, avec la technologie qu’on a, cette classification qui avant était manuelle peut être extrêmement automatisée et donc être appliquée à une plus grande échelle, à l’échelle d’une population.

Voix off : Pour surveiller, l’État rassemble des informations sur les gens au sein de différents fichiers.

Camille Polloni : La fiche S1 ce n’est pas un fichier déjà, ça n’existe pas le fichier S comme on le lit parfois dans les journaux. Ce qui existe c’est un fichier qui s’appelle le fichier des personnes recherchées, qui regroupe tout un tas de catégories et la catégorie S, pour Sûreté de l’État, est simplement l’une des catégories de ce fichier.
Donc quand on dit « fichier des personnes recherchées », ce n’est pas comme dans un film américain, ça ne veut pas dire que toutes les personnes qui sont dedans doivent être retrouvées et mises en prison, ça peut être tout un tas de choses et le S, pour Sûreté de l’État, regroupe en fait tout un tas de personnes dont l’État souhaite savoir à quel endroit elles se trouvent quand elles sont contrôlées par la police. C’est le service de renseignement qui demande l’inscription de tout un tas de personnes dans le fichier FPR [fichier des personnes recherchées] comme dans la catégorie S. Ça peut être des gens qui appartiennent à des groupes considérés comme d’extrême gauche, d’extrême droite, certains supporters de foot considérés comme violents. Et ça peut être, pour une grande part des gens qui sont fichés S aujourd’hui, des gens considérés comme islamistes.
Ça sert simplement pour l’État à savoir où sont ceux que l’État surveille sur le territoire, quand est-ce qu’ils passent une frontière, où est-ce qu’ils vont. Et c’est pour ça que souvent les gens s’aperçoivent qu’ils sont fichés S parce qu’il y a un comportement assez ritualisé du policier qui contrôle, qui va être de demander : « Où est-ce que vous allez ? D’où vous venez ? », de contrôler l’identité des personnes qui accompagnent le fiché S et en général, sur la fiche qui apparaît à l’écran, le policier a pour consigne de ne pas attirer l’attention.
Une personne qui est fichée S depuis des années et qui a un peu l’habitude de ces procédures bizarres à l’aéroport peut repérer, au bout d’un moment, qu’elle est fichée S.

Alexis : D’abord le fichier TES2. TES est un acronyme qui veut dire titres électroniques sécurisés. L’idée de ce fichier c’est de ficher la totalité des personnes qui renouvellent leur carte d’identité ou leur passeport. C’est pour ça qu’on l’appelle le fichier des honnêtes gens parce que vous n’y êtes pas parce que vous avez fait quelque chose de répréhensible, parce que vous avez commis une infraction, vous y êtes simplement parce que vous voulez avoir un passeport ou une carte d’identité.
Aujourd’hui, le fait d’avoir des données biométriques centralisées dans un fichier de cet ordre-là, ça va probablement entraîner un jour une faille et le problème c’est que les données biométriques peuvent ensuite être utilisées pour un vol d’identité. Et le gros problème c’est qu’une donnée biométrique, à la différence d’un mot de passe, c’est que vous ne pouvez pas la changer : vos empreintes vous ne pouvez pas les changer ; votre visage vous ne pouvez pas le changer non plus.
C’est un fichier, à La Quadrature3, qu’on a attaqué et malheureusement le Conseil d’État a rendu une décision il y a un peu moins de deux mois dans laquelle il a rejeté notre requête.
Est-ce que c’est normal d’avoir un fichier qui regroupe la quasi-totalité de la population ? La question se pose en termes de légitimité.

Camille Polloni : Ce qui était très intéressant au début, en tout cas, de l’état d’urgence c’est que tout le monde a pu découvrir l’existence des notes blanches. Les notes blanches, ce sont des notes qui sont faites par des services de renseignement sur quelqu’un ou sur une situation, qui ne sont pas signées – c’est pour ça qu’on les appelle blanches parce qu’elles n’ont pas d’en-tête – et qui, par exemple, ont permis souvent, et surtout dans les débuts de l’état d’urgence, d’assigner à résidence des personnes à partir d’informations glanées par les services de renseignement, mises ensemble dans une note, et qui donnaient une idée de la dangerosité supposée de la personne qu’il fallait assigner.
Je pense que l’un des avantages de l’état d’urgence ça a été de faire un petit peu éclater cette question-là aux yeux du grand public, puisque les notes blanches ne devaient plus exister au moment de l’état d’urgence ; elles avaient été supprimées par Nicolas Sarkozy depuis des années, mais en fait, elles étaient toujours là visiblement, donc on a redécouvert leur existence. Et puis on a découvert aussi ce qu’elles pouvaient contenir, ce qui était un peu nouveau parce que ça pouvait contenir parfois du grand n’importe quoi, mélanger des condamnations judiciaires de quelqu’un avec des ragots de voisinage, avec des problèmes avec son employeur, des litiges. C’est une synthèse de fichages finalement. C’est : dans un fichier de service de renseignement il y a des informations biographiques sur quelqu’un et puis un jour, pour faire une assignation à résidence, ces informations biographiques sont triées, sont mises en forme dans une note blanche et données au préfet, au ministre de l’Intérieur pour créer l’assignation à résidence, pour la fonder.

Initialement, en fait, j’ai essayé de savoir si l’État détenait des fiches de renseignement me concernant et pour ça j’ai fait une demande qui est assez simple, que tout le monde peut faire auprès de la CNIL [Commission nationale de l'informatique et des libertés]. Il suffit d’envoyer une lettre et de lister les fichiers qu’on veut interroger et auxquels on veut accéder. Ça peut être des fichiers de police assez simples. En général, quand on est amené à rentrer dans un commissariat soit parce qu’on est en garde à vue soit parce qu’on dépose plainte, on est ensuite fiché en tant qu’auteur d’une infraction ou victime d’une infraction. C’est le fichier de police le plus répandu.
Au départ, c’était plutôt sur celui-là que je m’interrogeais parce que, à l’époque où je l’ai fait c’est-à-dire en 2011, il y avait une étude de la CNIL qui venait de paraître et qui disait que seules 17 % des fiches dans ce fichier étaient exactes. J’avais plutôt une curiosité envers ce fichier-là qui est assez facile à obtenir. Au bout d’un an, quand même, la CNIL répond et dit : « Vous avez été un jour victime d’un vol de portable » ; c’était exact, je me suis arrêtée là pour ce fichier-là.
En revanche, la CNIL m’a répondu que c’était beaucoup plus compliqué pour ce qui concernait les fichiers de renseignement et qu’elle avait besoin de faire des recherches plus longues. À ma grande surprise, les services de renseignement qui dépendaient du ministère de l’Intérieur et du ministère de la Défense ont répondu qu’ils ne souhaitaient pas que j’ai accès aux informations qui me concerneraient éventuellement, sans dire si j’avais une fiche ou non.
En fait aujourd’hui, depuis la loi renseignement et le renforcement du secret autour de ces fichiers, l’accès est de plus en plus difficile ; on ne peut plus savoir si on est fiché ou pas, alors qu’auparavant il était assez simple, par exemple, de consulter son dossier aux renseignements généraux. On peut juste savoir si quelque chose d’illégal a été fait.

Voix off : La surveillance d’État, initialement restreinte à quelques personnes, tend à devenir une surveillance de masse.

Okhin : La surveillance de masse arrive vraiment avec toute cette intersection entre d’un côté les acteurs commerciaux qui veulent faire de la pub, qui nous surveillent et qui sont sûrs et sur lesquels bon OK, ils font des trucs mal, mais on peut leur taper dessus avec le système de justice ; c’est compliqué, c’est long, c'est épuisant, on n’y arrive pas forcément, mais globalement, ce que je risque de pire en étant censuré sur Facebook et Google, c’est de l’invisibilité.
Quand l’État applique ces méthodes-là à des populations, on risque plutôt de la taule, un minimum, ce qui n’est quand même pas du tout la même chose et surtout, on se retrouve avec des systèmes automatisés complexes, dont on ne sait pas comment ils fonctionnent, qui ne sont pas documentés, qui te disent : « Il y a 30 % de chances que cette personne-là soit un terroriste », après si ton seuil est à 30 %, eh bien voilà ! Si ton seuil est plus élevé que ça, tu ne vas pas l’accepter. Tu as un humain qui prend une décision derrière, mais qu’on va complètement dédouaner en disant « c’est la machine qui a déterminé ça et la machine a raison ». Et une décision prise par une machine ça ne s’attaque pas en justice, parce qu’une machine, c’est fiable !
Et en fait, l’ordinateur ce n’est pas tellement qu’il se plante, c’est qu’il utilise ce qu’on appelle des outils statistiques sur des populations, qui marchent très bien sur des populations, à 10 % près. Mais 10 % de 70 millions ça fait 7 millions de personnes.
Donc si vous êtes capable de déterminer des terroristes à 10 % près, il y a 7 millions de personnes qui vont être concernées et que vous allez mettre en prison parce qu’il y a un biais statistique. Sur ces 7 millions de personnes-là, vous n’allez pas pouvoir dire globalement « elles ont été mises en prison parce qu’on a un risque statistique ». Vous allez dire « elles ont été mises en prison parce qu’elles ont eu des comportements et donc on suppose qu’elles vont devenir terroristes ». Donc de manière préventive on vous met en prison et ça sert à alimenter votre dossier au juge qui va voir que oui, effectivement, vous êtes allé visiter deux fois ce site-là. Est-ce que vous pouvez le justifier ? Du coup tout notre historique de surf, toutes nos habitudes en ligne se retrouvent associées à des systèmes qui vont essayer de déterminer quels sont les bons et les mauvais citoyens pour que l’État puisse donner ses allocations aux bons uniquement et pas aux mauvais.

Benjamin Sonntag : Que sait votre opérateur mobile ou Google pour Android ici, sur votre localisation. Par défaut, dans Maps, Google enregistre automatiquement et de manière régulière vos coordonnées GPS. Et si nous allions voir, par exemple depuis le 27 octobre. Je suis allé à Valence puis en Ardèche pour une cryptopartie. On voit mon voyage en train, puis la petite promenade en forêt, 10 km dans les montagnes. Avec le GPS la précision de cette localisation est extrême. Mais votre opérateur mobile lui aussi, même sans GPS, sait où vous êtes et il a l’obligation légale de conserver ces informations pendant un an.

Alexis : La rétention généralisée des données de connexion qu’est-ce que c’est ? C’est un régime qui force les fournisseurs d’accès à Internet et les hébergeurs à conserver ce qu’on appelle les données de connexion ou les métadonnées, en France pendant une durée de un an.
Qu’est-ce que c’est que les métadonnées ? Eh bien pour schématiser, c’est l’enveloppe du message. Ça veut dire que ce n’est pas le contenu mais c’est tout ce qu’il y a autour. C’est-à-dire c’est la date à laquelle le message a été envoyé, l’heure, la localisation du message ; également le destinataire, la source du message et toutes ces données-là.
Pourquoi ça pose problème parce qu’on pourrait considérer que, finalement, ce n’est pas du contenu ? Donc est-ce que l’atteinte est importante alors que ce sont uniquement des données de connexion ? Eh bien oui, parce qu’en réalité les données de connexion révèlent énormément de choses sur un individu, sur nous, et elles sont facilement traitables de manière informatique en utilisant des algorithmes et des outils de traitement de ces données. Par exemple, le fait que vous alliez voir tel type de médecin, ça va révéler nécessairement des informations très précises sur votre état de santé, surtout s’il s’agit d’un médecin spécialisé dans telle ou telle maladie. Et le fait de souhaiter que vos proches ou même des tiers ne soient pas au courant de votre état de santé c’est quelque chose qui est quand même légitime et normal. C’est également le cas si vous allez voir un avocat, ça va révéler d’autres choses sur vous. Et si vous êtes en contact à tel moment de la journée avec telle personne, selon telle fréquence, ça va aussi révéler des informations très précises sur vous.

Voix off : Pour surveiller plus finement, des politiques sont mises en œuvre pour faciliter la récolte de données au sein même de nos villes.

Okhin : Smart on traduit ça en français par « intelligent », mais une bonne définition ce serait plutôt « astucieux ». Et la Smart City c’est la ville astucieuse. Et pourquoi est-ce qu’elle est astucieuse ? Parce qu’en fait, elle récupère des données sur les habitants de la ville, donc nous, les citoyens, puisque les habitants de la cité ce sont les citoyens, pour essayer de leur fournir un meilleur service public. On veut faire une autoroute, eh bien on ne veut pas la faire n’importe comment : on veut savoir d’où viennent les gens et où est-ce qu’ils vont. Donc on a besoin de compter les voitures pour savoir d’où est-ce qu’elles partent et où est-ce qu’elles arrivent, pour voir quels sont nos flux de transport et voir où est-ce qu’il faut construire une autoroute, où est-ce qu’on va mettre une ligne de chemin de fer ; est-ce qu’il faut qu’on ouvre une nouvelle zone de bureaux commerciaux en plein milieu de cette zone pavillonnaire ou est-ce qu’il n’y en a pas besoin.

Félix : Dans les logiques de la logique de la Smart City il y a effectivement prévenir la délinquance, la police prédictive, etc., mais, de manière plus générale, c’est réguler les flux de populations, de véhicules et ce genre de choses. Ça peut être très invasif et très intrusif en termes de vie privée.
On n’est plus toujours sur des logiques de cibler des comportements très marginaux, délinquants, que de réguler des masses d’individus. Donc il faut aussi se poser la question, en fait, du type de société que ça fait advenir, un type de société complètement normée. Tout l’imaginaire de la science-fiction qui n’est pas complètement hors-propos lorsqu’on réfléchit aux effets de long terme, aux effets politiques du déploiement de ces technologies de contrôle et des effets normalisants lorsqu’on met toutes ces technologies de surveillance non seulement sur Internet mais dans la vraie vie, dans le midspace et qu’on met ces capteurs et ces technologies de surveillance dans l’ensemble de notre environnement physique, urbain.

Okhin : Et mine de rien, quand vous êtes surveillé en permanence dans la rue, quand vous vous baladez dans la rue et que vous avez des caméras de surveillance partout, eh bien, en fait, vous mettez une casquette, vous mettez une capuche, vous changez votre façon de vous comporter dans l’espace public. Il y a des choses que vous ne faites plus. Et là où c’est hallucinant, et c’est d’ailleurs tout le principe dans le panoptique tel qu’il a été défini, c’est qu’on n’a même pas besoin d’avoir quelqu’un qui nous surveille. On a besoin de mettre un contexte qui fait croire qu’on te surveille. On a besoin d’avoir des caméras qui n’ont même pas besoin d’être alimentées pour que tu changes ton comportement.
Quand on va par exemple dans les grands centres commerciaux maintenant, les gens arrivent, les personnes, tout le monde, et pour gagner du temps ils commencent à ouvrir leur sac pour que le vigile puisse regarder dedans à l’entrée. Déjà c’est illégal. Le vigile n’a pas à regarder dans vos affaires ; c’est illégal, il n’a pas le droit. Il faudrait qu’il soit mandaté par la police, un truc dans ce genre-là. Bon ! Il ne l’est pas. Mais surtout, ça veut dire qu’on a bien changé nos comportements et qu’on trouve ça parfaitement normal et acceptable d’aller montrer son sac. Donc les personnes qui n’ont pas envie de le faire sont de fait suspectes. Et c’est ça, en fait, le problème de la surveillance de masse. C’est qu'à partir du moment où on applique une surveillance de masse, on va définir un comportement acceptable, dans lequel il est parfaitement possible de suivre, comme quand on regarde des reportages ou des recommandations de ce que peut écrire ISIS ou ce genre de choses-là, qu'ils sont vraiment dans le truc qu'il faut infiltrer la société, donc il faut que vous vous comportiez comme tout le monde.

Félix : En fait, tel qu’on voit aujourd’hui — ça demande de l’analyse et il faudrait vraiment suivre le fruit de ces expérimentations —, mais il y a au moins trois technologies qui sont au cœur de ces projets de safe city mis en place à Marseille ou à Nice.
D’une part, la détection des comportements suspects à travers les vastes réseaux de vidéosurveillance de ces villes. Donc c’est en gros utiliser des technologies de traitement de l’image et de reconnaissance faciale pour identifier des patterns et repérer des comportements suspects, voire repérer des individus. À Marseille en 2016, on parlait de flasher automatiquement l’ensemble des 10 000 et quelques fichés S à travers le réseau de vidéosurveillance. Donc première chose : vidéosurveillance et reconnaissance faciale, sachant qu’on voit aussi à Marseille et à Nice d’ailleurs, sur les budgets de la région PACA, financer des contrôles d’entrée-sortie des établissements scolaires, des lycées en particulier, par ces systèmes de reconnaissance faciale.
Deuxième chose, c’est la surveillance des réseaux sociaux et toutes les informations publiques sur les individus et les groupes politiques actifs, notamment au niveau d’une ville. Ça c’est très clair notamment dans le projet à Marseille où ils parlent de surveiller Twitter, surveiller Facebook.
Il y a une troisième brique technique qui est celle de l’interconnexion de plein de bases de données différentes. À Marseille comme à Nice c’est envisagé : ils parlent de croiser les données des hôpitaux publics, des services municipaux évidemment, peut-être demain les fichiers de la police nationale. On peut penser aussi au fichier biométrique, le fichier TES. Croiser ça avec des données sur où est-ce que bornent les téléphones cellulaires à l’échelle de la ville afin de faire des cartes de chaleur de la répartition de la population ou de la délinquance avec le volet police prédictive. Ça c’est une brique technique, disons très large, mais qui consiste à faire de l’analyse statistique sur des grandes quantités de données puisées sur des bases de données très diverses qui viennent soit des services publics, des pouvoirs publics, soit de partenaires privés.

Okhin : Le principe c’est de prendre une infrastructure commune, la ville, qui est quelque chose que normalement on élabore en commun : on construit un tissu social, la ville, qui normalement est adaptable à tout le monde. Avant de faire de la Smart City, je pense qu’on pourrait faire de la ville accessible, c’est-à-dire que les gens en fauteuil roulant puissent entrer dans les lieux publics.

Félix : Si on veut résister à ces systèmes et au déploiement de ces technologies de surveillance au niveau des villes, il y a trois volets urgents, c’est d’abord documenter. C’est ce qu’on a commencé à faire en faisant des demandes d’accès aux documents administratifs pour comprendre précisément quels sont les projets en cours, qu’est-ce qui est déployé. Il y a un vrai manque de connaissance en la matière.
Le second plan c’est de développer un argumentaire juridique pour tenter de faire obstacle par le droit à ces systèmes. Là la CNIL n’est pas du tout une alliée pour le moment et il faut mettre la pression sur la CNIL, il faut faire en sorte qu’elle ait des moyens pour travailler sur ces questions.
Et le troisième plan, c’est d’arriver à sensibiliser au niveau local, dans sa ville, organiser des mobilisations, sensibiliser des acteurs, par exemple des militants qui ne seraient pas au courant et construire des coalitions au niveau local, relayées au niveau national aussi et La Quadrature pourra y aider.

Okhin : Le problème qu’on a sur le renseignement c’est qu’à la base c’est une suspension momentanée des droits fondamentaux, du droit à une confidentialité de communication, du droit à une liberté d’information et d’accès à l’information, d’un droit à la libre circulation, ce genre de choses-là.
Je ne suis pas sûr qu’on ait vraiment de solutions individuelles, qu’est-ce que moi je peux faire ? Par contre, ce qu’on peut faire, c’est faire passer des infos. On peut se renseigner, on peut relayer les actions de La Quadrature du Net ; on peut donner des sous à La Quadrature du Net ; on peut donner des sous à d’autres associations comme Framasoft4 ; on peut donner des sous à des choses comme le projet Tor5 qui essaie de fournir un protocole qui permet d’anonymiser le plus possible notre activité sur Internet. On peut aller questionner nos gouvernements. On peut demander à nos députés de nous rendre des comptes.

Alexis : L’État est là pour organiser notre vie en société et également, bien évidemment, pour assurer notre sécurité autant que possible. Mais est-ce que c’est normal, légitime, de sacrifier notre vie privée et notre intimité et de considérer que l’État doit avoir ces informations sur tout le monde ? Non ! Moi je suis convaincu que ce n’est absolument pas légitime, ce n’est absolument pas normal et c’est même dangereux.

Voix off : Au quotidien La Quadrature du Net dénonce et attaque les lois et politiques autoritaires afin de faire vivre un monde qui respecte nos opinions, nos différences et nos libertés.