Presse & blogs Lecteur de flux musclé avec (souvent) des articles complets dedans!

❯ Flux Isérois
La Quadrature du Net

Fri, 20 Jul 2018 17:00:56 +0200

Teemo, Fidzup : la CNIL interdit la géolocalisation sauvage - l'UE pense à la légaliser

20 juillet 2018 - Hier, la CNIL a déclaré illicites les activités de deux start-ups françaises, Teemo et Fidzup, qui géolocalisent des millions de personnes à des fins publicitaires et sans leur consentement. Elles ont trois mois pour cesser ces activités. Hélas, sur le long terme, leur modèle pourrait devenir licite : c'est en tout cas ce sur quoi l'Union européenne débat via un futur règlement ePrivacy.

Teemo

Teemo est l'emblème des start-ups qui n'existent pas pour durer, mais pour amasser un maximum de profits par une activité qui, depuis le début, est illicite. En mode « take the money and run ». Employant 35 salariés pour un chiffre d'affaires de 2,6 millions (en 2016), Teemo ne pourra pas survivre à la décision rendue hier par la CNIL.

Teemo analyse les données de géolocalisation de 14 millions de téléphones, obtenues via les applications mobiles de ses partenaires commerciaux, afin de faire de la publicité ciblée localement. Évidemment, les personnes surveillées ne sont pas informées de ce pistage et n'ont pas leur mot à dire. La CNIL exige aujourd'hui le consentement de ces personnes - ce que la loi « informatique et libertés » impose sans ambiguïté.

Teemo peut donc fermer boutique, puisque son chiffre d'affaires repose désormais sur l'espoir absurde que des utilisateurs renoncent à leur vie privée, sans contrepartie, mais simplement pour enrichir la start-up.

Bien. Mais que dire de ses nombreux partenaires qui ont financé et bénéficié de ce système de surveillance généralisée ? Sur le site de Teemo, on peut lire les témoignages de LeaderPrice, ToysRus, InterSport ou Volkswagen se réjouissant qu'une telle violation massive de nos libertés ait pu faciliter leurs activités publicitaires. Plus loin, parmi les entreprises qui ont « fait confiance » à Teemo (sans avoir consulté aucun juriste, on imagine), on retrouve encore Carrefour, Macdo, Decathlon ou la Fnac.

Par ailleurs, il y a un an, Numérama publiait une enquête sur Teemo qui, probablement, a conduit la CNIL à se saisir de l'affaire. L'enquête expliquait que Teemo s'était notamment infiltrée sur les applications mobiles du Figaro, du Parisien, de l'Équipe ou de Closer, avec l'accord de ceux-ci.

Depuis, Exodus Privacy a décrit précisément le fonctionnement de Teemo et les applications l'intégrant.

Aujourd'hui, l'ensemble de ces entreprises nous doivent de sérieuses explications : comment ont-elles pu se permettre de financer et d'autoriser une violation aussi manifeste de la loi au détriment des libertés fondamentales de leurs clients ? Leur responsabilité juridique et politique est en jeu.

Fidzup

Le cas de Fidzup est plus complexe.

La start-up, plus petite (24 salariés, 500 000€ de chiffre d'affaires), opère en deux étapes. Dans une première étape, elle installe des bouts de code sur les applications mobiles de ses partenaires commerciaux. La CNIL décompte neuf applications différentes, qui lui auraient permis d'infiltrer 6 millions de téléphones. Ces bouts de code permettent à Fidzup de collecter certaines données techniques sur les téléphones espionnés. Dans une seconde étape, Fidzup fournit à une centaine de magasins des boîtiers qui identifient les téléphones qui passent à proximité, à partir des données techniques collectées dans la première étape. Les magasins peuvent donc tracer leurs clients, tant en ligne que hors-ligne.

Cette seconde étape est particulièrement pernicieuse. Techniquement, nos téléphones émettent régulièrement des données techniques afin de se connecter aux bornes WiFi environnantes. Les boîtiers fournis par Fidzup interceptent ces données techniques pour identifier les téléphones, alors même qu'ils ne sont pas du tout des bornes WiFi.

Exodus Privacy décrit en détail le fonctionnement et les applications mobiles collaborant avec Fidzup.

Heureusement, en droit, cette technique d'interception est explicitement interdite. La directive 2002/58 de l'Union européenne, dite « ePrivacy », prévoit depuis 2002 à son article 5 qu'il est interdit « à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés ». Les données captées par Fidzup sont ici des « données relatives au trafic », car destinées à réaliser une connexion avec une borne WiFi.

Reprenant assez facilement cette logique, la CNIL a exigé que Fidzup demande le consentement préalable des personnes avant de collecter ces données - ce qui n'était pas le cas.

On pourrait ici donner la même conclusion que pour Teemo : aucun utilisateur n'acceptera de céder sa vie privée, sans contrepartie, pour enrichir Fidzup. L'avenir de la start-up semblerait donc aussi compromis.

Hélas, la situation est plus inquiétante.

ePrivacy

La directive ePrivacy, qui interdit aujourd'hui l'activité de Fidzup, est en cours de révision par l'Union européenne.

Il y a un an, le Parlement européen arrêtait sa position sur le texte (relire notre bilan sur ce débat). À l'article 8, §2, du nouveau texte, le Parlement a autorisé la collecte sans consentement des « informations émises par les terminaux des utilisateurs » - abandonnant ainsi une protection fondamentale qui nous est aujourd'hui offerte.

Le Parlement autorise cette surveillance en imposant une poignée de conditions aussi vagues que creuses : l'analyse doit être limitée à des fins de « comptage statistique » (c'est déjà le service que fournit Fidzup), les données doivent être anonymisées dès que la finalité est remplie (dès que Fidzup a fini de nous compter), les utilisateurs disposent d'un droit d'opposition (qui leur est indiqué par une affiche plus ou moins visible dans le magasin surveillé - ce que fait déjà Fidzup).

Aujourd'hui, la réforme de la directive ePrivacy est débattue entre les États membres de l'Union. Peu d'États membres semblent vouloir contrer les dérives du Parlement en matière de géolocalisation.

D'une main, l'Union européenne prétend nous offrir une protection importante avec le règlement général sur la protection des données (RGPD). D'une autre main, elle réduit la protection de nos libertés afin de sauver quelques start-ups illicites et néfastes (inutiles).

Si les débats sur le règlement ePrivacy se confirmaient comme allant dans ce sens, il faudra s'opposer à toute idée de réformer le droit actuel - qui, couplé au RGPD, nous protège encore aujourd'hui des volontés de surveillance de sociétés telles que Teemo ou Fidzup et de leurs partenaires.

neurone345

Wed, 18 Jul 2018 13:08:25 +0200

Tor est pour tout le monde

Tribune de Lunar, membre de La Quadrature du Net

Il y a quelques mois, Nos oignons, une association qui participe au réseau Tor, a une nouvelle fois été contactée par un·e journaliste qui souhaitait « expliquer aux lecteurs comment on va dans le web profond (via Tor) et quel intérêt il y aurait à y aller, en oubliant tous les sites “dark” de type ventes d’armes ». Mais après quelques échanges, le sujet semble finalement difficile à vendre à la direction : « À ce stade nous manquons franchement d’arguments, au point que je me demande si l’article va finalement sortir. » À notre connaissance l’article n’est finalement jamais sorti.

Ce manque d’« arguments » nous semble provenir d’une erreur fondamentale de compréhension : l’usage de Tor (ou des sites .onion) n’est pas différent de l’usage du web et d’Internet en général. Si Internet est pour tout le monde, Tor l’est tout autant.

Sur Internet, on lit la presse. Pourtant, l’expérience est différente de celle de lire de la presse sur papier. Une personne qui attrape la dernière édition d’un quotidien sur le comptoir d’un café n’informe pas l’équipe du journal qu’elle vient de gagner en audience. Elle ne les prévient pas non plus être dans un café, ni du nom du café, ni de quelles pages elle a lu, ni de combien de temps elle a pu passer sur chacun des articles…

Or, si cette même personne se rend sur le site web du journal, alors il pourra au moins connaître la connexion utilisée, quelles pages ont été lues et pendant combien de temps. Mais ces informations ne sont pas uniquement accessibles au journal : la régie publicitaire en apprendra autant, tout comme Google qui fournit les polices de caractères, Facebook avec son bouton «  Like », Twitter pour son bouton « Tweet », pour ne citer que les plus courants.

Alors soyons clair : qu’il soit en papier ou en ligne, quand on lit un journal, on ne s’attend pas à ce qu’il nous lise en retour…

Lorsqu’on remplace Firefox ou Chrome par le navigateur Tor, on rend beaucoup plus difficile cette collecte d’information contre notre gré. On retrouve un Internet conforme à nos attentes.

Voir Tor principalement comme un outil pour l’anonymat ou le contournement de la censure, c’est penser son usage comme nécessairement marginal. Alors qu’au contraire, Tor constitue un pas vers un Internet davantage conforme aux intuitions les plus courantes sur son fonctionnement.

Le temps où Internet était réservé aux personnes ayant un bagage en science informatique est terminé. La plupart des internautes ne peuvent pas faire un choix informé sur les données et les traces enregistrées et partagées par les ordinateurs impliqués dans leur communications. Même les personnes qui développent des applications ont parfois bien du mal à mesurer l’étendue des données que fuitent les outils qu’elles conçoivent ! Utiliser le navigateur Tor permet justement de limiter les informations que nous communiquons à des tiers sans en avoir explicitement l’intention.

Maîtriser les informations que nous partageons lors de nos communications ne devrait pas être réservé à une élite. Voilà pourquoi Tor se destine au plus grand nombre.

Nos oignons contribue modestement au fonctionnement du réseau Tor en faisant fonctionner des relais en France. L’association démarre aujourd’hui une nouvelle campagne de financement afin de récolter les 12 000 € nécessaires pour fonctionner une année supplémentaire. La Quadrature du Net, qui veille à ce que l'usage de tels outils reste autorisé en France et en Europe, relaye donc cet appel. Soutenons Nos Oignons, ainsi que le projet Tor qui développe les logiciels.

neurone376

Tue, 10 Jul 2018 16:55:17 +0200

Demain, la surveillance française devant le Conseil d'État !

10 juillet 2018 - Demain à 14h se tiendront au Conseil d'État deux audiences décisives sur la loi renseignement et sur le régime de conservation généralisée des données de connexion. Ces deux contentieux ont été engagés il y a bientôt trois ans par La Quadrature du net, FDN et FFDN avec le soutien des Exégètes amateurs. Ces affaires pourraient bien connaître la conclusion espérée.

Venez avec nous assister à l'audience !

Avant de voir l'enjeu précis de l'audience de demain, revenons sur ces trois riches années de procédure, déjà cousues de quelques belles victoires et des centaines de pages écrites par les Exégètes amateurs contre une dizaine de textes différents.

À l'attaque de la loi renseignement

Il y a trois ans, le 24 juillet 2015, la loi renseignement était publiée. Elle venait d'être examinée une première fois par le Conseil constitutionnel, devant qui nous avions produit de nombreux arguments - en partie suivis par le Conseil pour, déjà, censurer certaines parties de la loi.

Voir l'amicus curiae que nous produisions contre la loi devant le Conseil constitutionnel

Deux mois après, une série de décrets étaient adoptés pour appliquer cette loi : ces décrets nous offraient l'opportunité, en les attaquant devant le Conseil d'État, de contester la loi dans son ensemble.

C'est donc deux mois plus tard que, le 30 novembre 2015, La Quadrature du Net, FDN et FFDN déposaient leur « requête introductive », qui conduira à l'audience de demain.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Quatre mois après, le 6 mai 2016, nous soulevions une question prioritaire de constitutionnalité (QPC) : nous invitions le Conseil d'État à demander au Conseil constitutionnel si la loi renseignement violait la Constitution lorsqu'elle prévoyait un régime de surveillance généralisée des communications « empruntant la voie hertzienne » (ce qui veut à peu près tout dire).

Six mois plus tard, le 21 octobre 2016, nous gagnions cette manche : cette partie de la loi était censurée !

Voir la décision du Conseil constitutionnel censurant la surveillance hertzienne

Toutefois, nous avions formulé bien d'autres arguments contre la loi renseignement. Le Conseil d'État, devant qui le reste de l'affaire était revenue, devait encore les examiner.

Pendant un an et huit mois, nous sommes restés sans nouvelles du Conseil d'État et pensions qu'il avait oublié l'affaire...

Il y a douze jours, après quasiment deux années de silence, le Premier ministre et le ministère de l'intérieur ont subitement envoyé des arguments pour défendre la loi.

Cinq jours plus tard, sans crier gare, le Conseil d'État a fixé une date d'audience (demain), qui marquera la fin des débats. Il ne nous laissait ainsi qu'une poignée de jours pour contre-attaquer.

Voir notre dernier mémoire en réplique déposé ce matin par Patrice Spinosi, l'avocat qui nous représente devant le Conseil d'État dans cette affaire

Un problème de conservation généralisée

La loi renseignement n'est pas ici le seul problème. Elle s'ajoute à un régime distinct qui, en France et depuis sept ans, impose aux opérateurs téléphonique et Internet, ainsi qu'aux hébergeurs de contenus en ligne, de conserver pendant un an des « données de connexion » sur l'ensemble des utilisateurs (qui parle à qui, d'où, avec quelle adresse IP, etc.). Les services de renseignement peuvent ainsi accéder, pendant un an, aux données concernant toute la population.

Il nous fallait aussi, en parallèle, attaquer cette conservation généralisée.

Il y a quatre ans, en avril 2014, la Cour de justice de l'Union européenne rendait une décision capitale dans l'affaire « Digital Right Ireland ». Elle annulait une directive européenne qui, depuis 2006, imposait un même régime de conservation généralisée dans toute l'Union. Pour la Cour, la Charte des droits fondamentaux de l'Union européenne s'opposait à une telle surveillance qui, par définition, considère comme suspecte l'ensemble de la population.

Voir la décision du 4 avril 2014 de la Cour de justice

Il y a trois ans, le 1er septembre 2015, La Quadrature du Net, FDN et FFDN saisissaient cette occasion pour contester le régime de conservation généralisée en droit français devant le Conseil d'État, dans une affaire en parallèle à celle contre la loi renseignement.

Voir l'ensemble des écritures produites dans cette affaire sur le site des Exégètes amateurs

Dix mois plus tard, en juin 2016, le ministère de la justice envoyait ses arguments pour défendre la conservation généralisée. Ici encore, le gouvernement restera ensuite muet pendant deux ans....

Toutefois, entre-temps, il y a dix-huit mois, le 21 décembre 2016, la Cour de justice rendait une autre décision déterminante dans l'affaire « Tele2 Sverige ». Interrogée par des juges suédois et anglais, elle avait reconnu que les lois de ces deux pays, qui prévoyaient une conservation généralisée des données de connexion, violaient elles-aussi la Charte de l'Union.

Voir l'article des Exégètes amateurs analysant l'arrêt Tele2

C'est exactement la solution que nous recherchions depuis le début : nous demandons au Conseil d'État, à l'instar des juges suédois et anglais, d'interroger la Cour de justice de l'Union européenne sur la validité de notre régime.

En effet, depuis dix-huit mois, le droit français viole le droit de l'Union en refusant d'abroger son régime de conservation généralisée, ce que la Cour de justice impose pourtant de façon évidente.

Lire la tribune des Exégètes amateurs publiée sur Libération

Il y a vingt jours, le Premier ministre sortait enfin de son silence de deux ans pour défendre la loi française. Comme pour l'affaire sur la loi renseignement, le Conseil d'État a fixé l'audience pour demain.

Voir notre dernier mémoire en réplique déposé aujourd'hui

Demain, c'est donc la voie pour mettre fin à l'incohérence du droit français qui, enfin, semble s'ouvrir.

Le débat passe au niveau européen

Il y a quinze jours, nous lancions une campagne européenne pour pousser la Commission européenne à agir contre les dix-sept États membres de l'Union européenne qui, comme la France, violent le droit de l'Union en maintenant un régime de conservation généralisée des données de connexion.

Dans le même temps, depuis un an, les gouvernements européens - dont le gouvernement français - tentent difficilement de modifier le droit européen pour contourner la jurisprudence de la Cour de justice. C'est notamment ce à quoi La Quadrature du Net s'oppose dans les débat sur le règlement ePrivacy.

Face à ces nombreuses et vives difficultés, il semble que le gouvernement français, dos au mur, renonce enfin à fuir le débat.

Après deux années de silence, dans ses toutes dernières écritures, le Premier ministre a admis que, dans les deux procédures que nous avons engagées devant le Conseil d'État, il serait utile d'interroger la Cour de justice sur la validité de la conservation généralisée française. Sans doute espère-t-il convaincre la Cour de revenir sur ses décisions passées, pour les contredire : nous acceptons ce débat car, de notre côté, nous espérons convaincre la Cour d'éloigner encore plus fermement la surveillance de masse !

Ce matin, le rapporteur public du Conseil d'État (chargé d'assister ce dernier dans la prise de ses décisions) a indiqué que, lors de l'audience de demain, il comptait conclure en faveur de la transmission d'un tel débat à la Cour de justice.

Ainsi, tout porte à croire que, demain soir, nous aurons une autre victoire à fêter ! Si le Premier ministre et le rapporteur public épousent notre volonté de porter la question au niveau européen, il semble très peu vraisemblable que le Conseil d'État le refuse lorsqu'il rendra sa décision dans quelques semaines.

Nous devrons ensuite nous préparer pour la bataille finale devant la Cour de justice qui, si nous l'emportons, changera radicalement et durablement le cadre de la surveillance française, mettant un coup d'arrêt aux ambitions de surveillance de masse de François Hollande puis d'Emmanuel Macron.

D'ici là, vous êtes toutes et tous invités à venir assister avec nous à l'audience de demain qui clôturera ces trois années de débat français. Elle aura lieu à 14h (mais venez à l'avance !) au Conseil d'État, 1 place du Palais-Royal à Paris (comment s'y rendre).

À demain !

neurone345

Fri, 06 Jul 2018 10:41:42 +0200

La Smart City policière se répand comme traînée de poudre

En mars, nous levions un bout du voile qui entoure encore le projet orwellien de la « Smart City™ » marseillaise. Mais force est de constater que le cas de Marseille n'est que l'arbre qui cache la forêt. Car la police prédictive et les centres de surveillance policière dopés aux Big Data pullulent désormais sur le territoire français. Une dérive qu'illustre très bien le cas de Nice : la ville de Christian Estrosi, grand obsédé sécuritaire, a fait appel à Engie Inéo et Thalès, par ailleurs concurrents sur ce marché en plein essor, pour deux projets censés faire advenir la « Safe City™ » niçoise. Or, face à cette fuite en avant dans les technologies de contrôle social que nos élus assument sans rougir, la présidente de la CNIL semble trouver qu'il urgent de... suivre la situation. Ce qui revient à laisser faire.

Cet hiver, Christian Estrosi, maire de Nice, a encore fait parler de lui. Il paradait, tout fier du contrat passé avec une entreprise israëlienne pour permettre, via une application smartphone, aux citoyens de se faire auxiliaires de police. Sollicitée par le conseil municipal de la ville, la CNIL a fait savoir fin mars son opposition, pointant le manque de base légale du dispositif ainsi que l'atteinte « disproportionnée » au droit à la vie privée qui en résultait.

Mais cette controverse relayée dans les médias a masqué l'essentiel. Car depuis l'an dernier, Nice aussi se prépare à devenir la Smart City™ du turfu en misant sur des partenariats avec de grandes entreprises des technologies de contrôle. Et on ne parle pas d'une petite boîte israélienne. On parle de Thales, bien connue, ou d'Engie-Inéo, une filiale Big Data du groupe Engie (Suez) (dans lesquelles l'État français détient respectivement 26,4% et 32,76% de parts). On ne parle pas non plus d'une simple « app » permettant de faire entrer le vigilantisme et la délation à l'ère 3.0, non. On parle de centres de contrôle-commande équipés de tout l'attirail moderne pour sonder quantités de bases de données issues des services publics ou d'entreprises privées, surveiller en temps réel l'espace public urbain et ce qui se dit sur les réseaux sociaux, faire de la police « prédictive »...

À Nice, première expérimentation d'Engie Inéo

D'une part, il y a le projet d'Engie Inéo, une expérimentation annoncée à l'été 2017 (on devait être à la plage, on était en tout cas passé à côté), qui aurait pris fin en février 2018. L'an dernier la mairie présentait le projet en ces termes :

ENGIE Ineo expérimentera à Nice une solution globale de sécurité inédite : un centre de contrôle et de commandement basé sur une table tactile et tactique « DECIDE » et la plateforme SenCity.

Le développement progressif de ce dispositif a pour but de mettre à disposition, notamment des autorités policières, une plateforme tactique et tactile pour assurer une coordination globale en temps réel.

(...) En s’appuyant sur les ressources locales et sur l’ensemble des données collectées par la métaplateforme SenCity, (caméras, bornes escamotables, feux de circulation, boutons d’alerte, contrôles d’accès des bâtiments) ce dispositif révolutionne les solutions de sécurité mises à disposition des décideurs.

C'est du « totalement inédit », à en croire Thierry Orosco, Directeur des Stratégies de Sécurité d’Engie Inéo. Ça ressemble à s'y méprendre à ce qui se trame à Marseille, et dont nous soulignions les dangers il y a quelques semaines. Cette « révolution » marque en tout cas une nouvelle étape dans la privatisation des forces de sécurité, alors que ces outils techniques sont appelés à jouer un rôle central non seulement dans la préemption et la répression policières, mais aussi plus largement dans le « management » des forces de l'ordre. Comme le rappelle le premier syndicat de la police municipale en réaction à l'affaire Reporty : « Il n'est jamais bon, sur le plan moral, de déléguer le service public de la sécurité à des personnes privées ».

La team Thales dans la roue

Quant à Thales, elle semble reprendre le flambeau à la tête d'un consortium qui propose une nouvelle « expérimentation ». Le mois dernier, le conseil municipal de Nice votait en effet une convention d'expérimentation « Safe City » (pdf), en dépit des critiques d'une partie de l'opposition.

Thales a aussi jeté son dévolu sur le quartier de La Défense en région parisienne. Le groupe se targue de son expérience dans le domaine de la sécurité et du numérique. Non, il ne s'agit pas de la Plateforme nationale des informations judiciaire des interceptions (PNIJ) (qui, pour le coup, est un fiasco total, très coûteux). Il s'agit de « vidéosurveillance intelligente ».

La vidéosurveillance devient « smart »

C'est la grande mode. Après avoir dépensé des centaines de millions d'euros pour des caméras aux résultats insignifiants, les industriels ne jurent désormais que par l'analyse automatique des images. Le ministre de l'Intérieur, Gérard Collomb, s'en faisait le VRP encore récemment, alors qu'il dissertait le 8 juin dernier sur la répression des mouvements sociaux (il parlait des ZAD et des manifestations). Et le ministère amer d'indiquer :

En matière d’exploitation des images et d’identification des personnes, on a encore une grande marge de progression. L’intelligence artificielle doit permettre, par exemple, de repérer dans la foule des individus au comportement bizarre1.

On imagine, demain, ce que donnera l'utilisation de la reconnaissance faciale en lien avec des fichiers biométriques comme le fichier TES dans ces nouveaux dispositifs répressifs. Ce n'est pas céder à la facilité que de dire qu'en la matière, la Chine montre le chemin.

Vers un « Waze de la sécurité »

À Nice, dans le cadre de ce nouveau « Projet d'expérimentation Safe City » (pdf) voté par la Ville en juin (et que La Quadrature s'est procuré), , Thales et le consortium qu'il dirige veulent aller plus loin, en créant le « Waze de la sécurité » à la sauce Big Data. Pour aider les « décideurs », il s'agit de « collecter le maximum de données existantes et d'en chercher les corrélations et les signaux faibles » (p. 23), de « développer les nouveaux algorithmes d’analyse et de corrélation permettant de mieux comprendre une situation et de développer des capacités prédictives » (p. 24). Comme à Marseille, la surveillance des réseaux sociaux et autres « données ouvertes » sont en ligne de mire, notamment pour les « textes courts et mal écrits » chers à Twitter qui passeront à la moulinette d'outils d'analyse sémantique pour aider à la gestion des foules, à l'analyse des rumeurs, et le « suivi des actions de certains individus ou groupes de personnes » (là, le spécialiste du consortium est l'entreprise GEOLSemantics).

Les partenaires du projet « Safe City » piloté par Thales.

Certes, pour l'heure, tout cela relève aussi et surtout d'un discours marketing destiné à appâter des élus en mal de sensationnel. Ces projets sont bien des expérimentations, avec des « cas d'usage » en apparence délimités. Ils permettent en fait à ces grands groupes de faire financer par l'État et les collectivités françaises, avec l'aide de l'Europe2 ou de la Banque publique d'investissement3, leur recherche et développement, et de disposer de « démonstrateurs » grandeur nature pour alimenter leurs campagnes de marketing sécuritaire.

Smart City policière, realpolitik industrielle ?

Pour ces grands groupes français et leurs émanations institutionnelles telles que le CoFIS (le comité de la filière industrielle de sécurité, organisé au niveau du ministère de l'Intérieur), il s'agit en effet de se positionner dans le marché en plein essor de la Smart City™, alors que les grandes multinationales américaines comme Google ou chinoises comme Huawei sont en embuscade.

Car tout cela va évidemment bien au-delà du champ de la sécurité. Dans le viseur, l'ensemble des services publics sont concernés, des transports à l'énergie en passant par la gestion des déchets. Sur tous ces sujets, des entreprises comme Thalès ou Engie Inéo espèrent pousser les ville à faire exploser leurs budgets. Et Pierre Cunéo, en charge de la Stratégie, recherche et technologie chez Tales, de regretter que « pour l'instant pas une ville ne demande de tout mettre en réseau (...). Tout cela ne concerne que la sécurité. Les budgets des villes ne permettent pas encore d'aller plus loin ». Là aussi, ces projets d'expérimentation ont valeur de test pour des stratégies de séduction des agents, et convertir ainsi les services publics à leurs « solutions » et les rendant toujours plus dépendants de l'expertise privée. Avec à la clé pléthore de juteux contrats publics.

Mais revenons-en à la police. Si, aux États-Unis, les incursions de plus en plus marquées des GAFAM dans le complexe militaro-industriel suscitent des oppositions en interne4, on n'attend pas forcément grand-chose de la part des employés de grandes boîtes associées depuis longtemps aux politiques sécuritaires (mais si on se trompe, des lanceurs d'alerte peuvent nous écrire ou répondre à l'appel de Mediapart !).

À Nice, autour du projet de Big Data policier, Estrosi appelle aussi à « faire vivre un éco-contexte favorable à l’innovation en renforçant ses collaborations avec de grands groupes industriels, des PME et des start-up locales, notamment liées au réseau de la French Tech, ainsi qu’avec le monde de la recherche et de l’enseignement ». De fait, les acteurs qui participent au développement et à la banalisation de ces outils de surveillance sont nombreux. Côté recherche, l'origine et la structure des financements et les rapprochements marqués des champs sécuritaires et universitaires sont un véritable problème qui devrait interroger (plusieurs des solutions proposées à Nice par le consortium de Thales sont issues des projets de recherche de la Commission européenne ou de l'Agence nationale de la recherche). Quant à la French Tech, peut-être voudra-t-elle bien, dans un futur pas trop lointain, faire connaître sa volonté de ne pas devenir « pigeon des espions » ? Ou pas.

La CNIL attentiste

Dans le Sud-Est, on est habitué aux délires sécuritaires. Mais ne vous y trompez pas : tout le monde risque d'y passer dans un futur proche. À Toulouse, à Valenciennes, à Paris, à Dijon, des initiatives similaires sont achevées ou en cours. La vague de la Smart City policière déferle sur la France.

En janvier dernier, La Quadrature écrivait à la CNIL pour demander un rendez-vous et discuter de l'action du gendarme de la vie privée dans ces dossiers, et notamment du cas marseillais. Les travaux du comité de prospective de la CNIL l'an dernier5, de même que la « jurisprudence » Reporty qui pointait l'absence de base légale, laissaient augurer d'une opposition claire à l'ensemble de ces projets. Après plusieurs demandes et relances, nous avons finalement reçu un courrier fin juin, qui a pour le moins douché nos espoirs. Isabelle Falque Pierrotin, présidente de la CNIL, nous y écrit :

La CNIL entend se montrer particulièrement vigilante quant au développement de dispositifs de ce type qui, à l'évidence, sont susceptibles d'engendrer des risques élevés pour les droits et libertés des individus. (...) J'ai adressé au maire de Marseille un courrier soulignant l'impérieuse nécessité de tenir compte du nouveau cadre juridique relatif à la protection des données personnelles, tel qu'issu de la Directive (UE) 2016/680 et du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

S’agissant d'un projet visant à exploiter à grande échelle des données potentiellement identifiantes et à la sensibilité particulière (infractions, santé, situation sociale, localisation, opinions, etc.), au moyen d'un outil technologique innovant axé sur une mécanique de combinaison d'informations issues de sources diverses et collectées à des fins différentes, intégrant également des activités de surveillance, d'évaluation et de prédiction, j'ai tout particulièrement attiré son attention sur l'obligation lui incombant de procéder à une analyse de l'impact du traitement projeté sur la vie privée et les libertés des personnes concernées.

La Commission suivra attentivement la façon dont la Ville a apprécié la pertinence et la proportionnalité des données et opérations auxquels elle envisage de recourir, comme la compatibilité des finalités de réutilisation de ces informations avec celles ayant présidé à leur collecte. Elle s'attachera également à contrôler que l'exploitation de celles-ci, dans les conditions projetées, ne se heurte pas à des dispositions légales encadrant leur traitement et si les intérêts légitimes des individus ont été suffisamment pris en compte. Enfin, elle sera très attentive aux mesures d'encadrement techniques et organisationnelles, prises par la ville pour garantir aux informations un niveau de sécurité approprié.

« Vigilance », « analyse d'impact », « suivi attentif ». Autant le diagnostic technique est juste, autant la réponse esquissée s'apparente à un inquiétant laisser-faire. Pour nous, en jugeant sur la base des documents obtenus, il est évident qu'en l'absence d'un cadre législatif ad hoc, et comme le soulignait la CNIL elle-même dans l'affaire Reporty6, ces dispositifs sont illégaux. À l'heure où tout le monde se gausse de l'entrée en vigueur des nouveaux textes européens sur la vie privée, il est pour le moins surprenant de voir ces nouvelles techniques fondamentalement contraires aux grands principes qui fondent ces textes s'imposer au cœur de nos villes .

Quant aux études d'impact sur la vie privée que la CNIL appelle de ses vœux, les projets en cours ne l'envisagent pas (ou alors en des termes très vagues). Si elles sont finalement menées, tout porte à croire que ce sont les prestataires retenus qui seront priés de les réaliser à l'issue de ces expérimentations... Cette posture attentiste de la CNIL permet juste de temporiser, le temps que Ministère de l'Intérieur nous sorte un projet de loi sur la « police 3.0 » chère à Gérard Collomb, pour venir légaliser le tout7.

Bref, si l'on veut éviter d'être une nouvelle fois mis devant le fait accompli (comme en 2015 avec la loi renseignement), ce n'est pas la vigilance qu'il nous faut, c'est un moratoire sur l'ensemble de ces projets de Smart City policière. Et des gens qui, sur le terrain, puissent tenir en échec ces technocratie obsédée par le contrôle social.

neurone730

Thu, 05 Jul 2018 16:50:34 +0200

Zwiebelfreunde, la police allemande s'en prend à nos oignons

Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.

Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

neurone345