SURVEILLANCE NUMÉRIQUE : DU PISTAGE COMMERCIAL À LA TECHNOPOLICE D’ÉTAT
« Quand on dit surveillance, ça englobe beaucoup de choses. On a un imaginaire collectif qui pense tout de suite à la surveillance de masse, globale, l’écoute de tous à n’importe quel moment, avec de grands programmes clandestins des gouvernements. Mais on voit depuis quelques années maintenant qu’il y a aussi une surveillance beaucoup plus routinière, avec ce qu’on fait sur nos téléphones, les endroits où on se rend… Toutes les interactions qu’on a dans le monde réel qui sont ensuite retranscrites dans un signal informatique qui ensuite est exploitable. Et on a une industrie de la surveillance qui fait se rejoindre les deux extrémités du spectre. »
(Olivier Tesquet, journaliste pour Télérama.)
L’affaire Pegasus dévoilée en juillet 2021 connaît des répercussions que l’on pourrait qualifier de décevantes. L’enquête menée par un consortium d’associations et de médias, menée par Amnesty International, Forbidden Stories et The Citizen Lab dévoilait comment plusieurs milliers de journalistes, d’activistes et de responsables politiques du monde entier avaient vu leurs téléphones espionnés par le moyen de ce logiciel développé par la société israélienne NSO.
Une fois au centre de l’attention médiatique, ce software de surveillance ciblée a mis un coup de projecteur sur le marché de la surveillance. Pour les clients prêts à y mettre le prix, on apprenait qu’il était possible de placer n’importe qui sous surveillance grâce à des outils développés spécifiquement pour cela.
NSO a refusé de dévoiler la liste de ses clients. Le résultat est catastrophique, puisqu’il confirme que ces outils ont été employés dans des dictatures, à l’image de l’Arabie Saoudite, pour surveiller leurs opposants, comme Hatice Cengiz, qui devait épouser le journaliste Jamal Kashoggi, assassiné dans un consulat saoudien en Turquie. Il a également servi à espionner des journalistes (et leurs sources) ou même des dirigeants de pays « alliés », comme dans le cas du Maroc ayant mis sur écoute Emmanuel Macron, mais aussi Edwy Plenel et Lénaïg Bredoux, respectivement rédacteur en chef et journaliste à Mediapart.
Mais alors qu’on aurait pu espérer une réaction importante, et notamment des chefs d’État concernés, les répercussions de l’affaire Pegasus sont presque imperceptibles. Et les personnes surveillées sont loin d’obtenir réparation. Il est possible qu’elles n’aient pas toutes été identifiées. Et certaines ne connaissent pas le commanditaire qui les a placées sous surveillance. Le journal britannique The Guardian ajoutait dans son éditorial :
« NSO affirme ne vendre son logiciel qu’à des gouvernements “approuvés” pour lutter contre le “terrorisme et les crimes sérieux”. Et ce n’est pas seulement NSO. C’est plutôt une industrie globale qui a grandi dans l’ombre pour fournir des outils d’espionnage bon marché autrefois exclusifs aux services secrets les plus avancés. »
Désormais, ce sont aussi les services de police, la caisse des allocations familiales ou le fisc qui souhaitent utiliser toute la gamme des outils possibles de surveillance.
En Europe et en France, il faut procéder à des attaques systématiques sur tous les garde-fous légaux : cela se fait de deux manières. La première consiste à amender les lois. La seconde, plus pernicieuse, consiste à installer les outils hors de tout cadre légal, de les rendre anodins, puis de les faire admettre comme acquis. C’est ce qui est communément appelé l’« effet cliquet ».
Le ver est dans le fruit : en janvier 2022, Europol, l’agence européenne de police, a été condamnée par le Contrôleur européen de la protection des données (CEPD) à effacer les données d’au moins 250 millions de personnes.
Compilé à partir des polices européennes, ce traitement n’était pas autorisé par le droit à la protection des données européen : il fallait donc les supprimer toutes, ou bien trouver un cadre légal permettant de justifier la conservation d’une partie d’entre elles. Plus inquiétant, Europol opposait un refus généralisé aux personnes souhaitant exercer leur droit d’accès : il devient alors presque impossible de savoir si l’on est inclus dans cette base de données, pour quelles raisons, et quelles informations y sont contenues. The Guardian écrit à ce propos :
« La confrontation oppose le gardien européen de la protection des données à une puissante agence de maintien de l’ordre qui se destine à devenir le centre de l’apprentissage-machine et de l’IA à des fins policières [et qui se rêve en] équivalent européen de la National Security Agency (NSA) aux États-Unis ».
Les outils numériques déployés pour faciliter et automatiser la surveillance sont légion. Dans un article précédent, nous rappelions que le secteur du numérique est né aux États-Unis dans les années 1950, associé dès le début aux agences de surveillance et au secteur militaire.
Rien de surprenant alors dans le fait que les outils de surveillance numérique constituent désormais un marché florissant en Europe. Mais son développement est entravé légalement. Un effort concerté porte désormais sur la législation française et européenne, qui associe acteurs privés, responsables politiques, et agences publiques pour (dé)réguler le marché de la surveillance numérique.
Vidéosurveillance algorithmique, libéralisation du fichage, traitement automatisé de grandes bases de données de citoyens, drones, expérimentations sur la reconnaissance faciale, logiciels espions, etc. La France et l’Union Européenne imitent les États-Unis et se cherchent leurs champions régionaux.
Les Cassandre et le Cheval de Troie
« Quand on dit surveillance, ça englobe beaucoup de choses. On a un imaginaire collectif qui pense tout de suite à la surveillance de masse, globale, l’écoute de tous à n’importe quel moment, avec de grands programmes clandestins des gouvernements. Mais on voit depuis quelques années maintenant qu’il y a aussi une surveillance beaucoup plus routinière, avec ce qu’on fait sur nos téléphones, les endroits où on se rend… Toutes les interactions qu’on a dans le monde réel qui sont ensuite retranscrites dans un signal informatique qui ensuite est exploitable. Et on a une industrie de la surveillance qui fait se rejoindre les deux extrémités du spectre. » ( 1 )
L’affaire Pegasus dévoilée en juillet 2021 connaît des répercussions que l’on pourrait qualifier de décevantes. L’enquête menée par un consortium d’associations et de médias, menée par Amnesty International, Forbidden Stories et The Citizen Lab dévoilait comment plusieurs milliers de journalistes, d’activistes et de responsables politiques du monde entier avaient vu leurs téléphones espionnés par le moyen de ce logiciel développé par la société israélienne NSO.
Une fois au centre de l’attention médiatique, ce software de surveillance ciblée a mis un coup de projecteur sur le marché de la surveillance. Pour les clients prêts à y mettre le prix, on apprenait qu’il était possible de placer n’importe qui sous surveillance grâce à des outils développés spécifiquement pour cela.
NSO a refusé de dévoiler la liste de ses clients. Le résultat est catastrophique, puisqu’il confirme que ces outils ont été employés dans des dictatures, à l’image de l’Arabie Saoudite, pour surveiller leurs opposants, comme Hatice Cengiz, qui devait épouser le journaliste Jamal Kashoggi, assassiné dans un consulat saoudien en Turquie. Il a également servi à espionner des journalistes (et leurs sources) ou même des dirigeants de pays « alliés », comme dans le cas du Maroc ayant mis sur écoute Emmanuel Macron, mais aussi Edwy Plenel et Lénaïg Bredoux, respectivement rédacteur en chef et journaliste à Mediapart.
Mais alors qu’on aurait pu espérer une réaction importante, et notamment des chefs d’État concernés, les répercussions de l’affaire Pegasus sont presque imperceptibles. Et les personnes surveillées sont loin d’obtenir réparation. Il est possible qu’elles n’aient pas toutes été identifiées. Et certaines ne connaissent pas le commanditaire qui les a placées sous surveillance. Le journal britannique The Guardian ajoutait dans son éditorial :
« NSO affirme ne vendre son logiciel qu’à des gouvernements “approuvés” pour lutter contre le “terrorisme et les crimes sérieux”. Et ce n’est pas seulement NSO. C’est plutôt une industrie globale qui a grandi dans l’ombre pour fournir des outils d’espionnage bon marché autrefois exclusifs aux services secrets les plus avancés. »
Car le marché de la surveillance est un gros gâteau. Les agences de renseignement nationales s’y adonnent en professionnelles, mais elles apprécient de s’adjoindre les compétences techniques d’un secteur privé qui y voit un débouché massif. Et ces procédés se répandent. Désormais, ce sont aussi les services de police, la caisse des allocations familiales ou le fisc qui souhaitent utiliser toute la gamme des outils possibles de surveillance.
En Europe et en France, il faut procéder à des attaques systématiques sur tous les garde-fous légaux : cela se fait de deux manières. La première consiste à amender les lois. La seconde, plus pernicieuse, consiste à installer les outils hors de tout cadre légal, de les rendre anodins, puis de les faire admettre comme acquis. C’est ce qui est communément appelé l’« effet cliquet ».
Les agences européennes contre les citoyens européens et non-européens
Le ver est dans le fruit : en janvier 2022, Europol, l’agence européenne de police, a été condamnée par le Contrôleur européen de la protection des données (CEPD) à effacer les données d’au moins 250 millions de personnes.
Compilé à partir des polices européennes, ce traitement n’était pas autorisé par le droit à la protection des données européen : il fallait donc les supprimer toutes, ou bien trouver un cadre légal permettant de justifier la conservation d’une partie d’entre elles. Plus inquiétant, Europol opposait un refus généralisé aux personnes souhaitant exercer leur droit d’accès : il devient alors presque impossible de savoir si l’on est inclus dans cette base de données, pour quelles raisons, et quelles informations y sont contenues. The Guardian écrit à ce propos :
« La confrontation oppose le gardien européen de la protection des données à une puissante agence de maintien de l’ordre qui se destine à devenir le centre de l’apprentissage-machine et de l’IA à des fins policières [et qui se rêve en] équivalent européen de la National Security Agency (NSA) aux États-Unis ».
L’Union Européenne emploie également des outils de surveillance à ses frontières. Via l’agence Frontex, elle expérimente avec des drones, des radars, ou des « plateforme[s] intégrant les données d’analyseurs de fréquence radio (employés pour localiser des signaux de téléphones portables) ». D’autres outils sont déployés à l’intérieur des frontières : dispositifs de reconnaissance faciale et de prise d’empreintes digitales ou encore logiciels automatisés d’« aide à la décision », tous employés en Grèce afin d’« attraper les migrants illégaux ».
C’est une tendance sur le long terme. En 2018, une proposition de règlement européen proposait d’élargir la base de données Eurodac pour identifier les arrivants dans les pays membres de l’Union. Le Parlement européen voulait y inclure empreintes digitales, photos, informations contenues dans les cartes d’identité et les passeports, et ce pour en faire un « outil de surveillance de masse ».
Toutes ces méthodes procèdent d’une expérimentation sur les plus vulnérables. Clandestins, sans-papier et non-Européens : les migrants sont les moins susceptibles d’essayer de se défendre lorsqu’ils sont fichés illégalement et brutalisés par les polices aux frontières de l’Europe.
Mais considérons un instant à quoi ces outils ne sont pas employés. Les 27 personnes qui se sont noyés dans la Manche en novembre 2021 avaient appelé les garde-côtes français et anglais pendant des heures. Ils ont été ignorés jusqu’au naufrage de leur embarcation. Auraient-ils pu être secourus plus rapidement si le signal de leurs téléphones avait été retracé avec les « analyseurs de fréquence » déployés aux frontières de l’Europe ? Ce n’est, de toute évidence, pas leur fonction principale. Mais si des naufrages peuvent être empêchés en Méditerranée ou dans la Manche et qu’ils ne le sont pas, alors il s'agit de véritables tragédies et non de simples drames : des noyades annoncées que l’Europe ne souhaite pas empêcher. Le 15 décembre 2022, quatre autres personnes sont mortes en tentant de traverser la Manche.
Du pain, des jeux (olympiques) et des caméras partout
Considérons maintenant l’annonce faite en avril dernier : le ministère de l’intérieur français publie un appel d’offres pour « 7 000 capteurs d’empreintes digitales nomades ». Dans la droite lignée des expérimentations aux frontières, les Jeux olympiques de 2024 sont le prétexte pour générer cet « effet cliquet ». La mise en place d’outils de surveillance se banalise après avoir été testée sur des populations vulnérables. Le site Numerama, répondant par la négative à la question « peut-on refuser de donner ses empreintes digitales ? », rappelle dans un article :
« L’arrivée des capteurs portatifs permettant de prendre et de contrôler les empreintes digitales sur la voie publique ouvre de nouvelles pistes en matière de sécurité publique. Si aujourd’hui, c’est l’argument du contrôle d’étrangers en situation irrégulière qui est avancé, demain d’autres motifs pourraient aussi être présentés pour envisager d’autres cas d’usage. »
Ces méthodes sont répandues : séduites par le discours autour de la « vidéoprotection », agglomérations et communes dépensent de grosses sommes afin d’installer leurs propres caméras. Le dossier thématique « Les caméras au village », publié par la CNIL en septembre 2021, recensait plusieurs estimations : d’après le ministère de l’Intérieur, 60 000 caméras au moins étaient installées par les communes. La gendarmerie et la police nationale, elles, en comptaient plus de 76 000 – hors Paris. Ce chiffre aurait doublé en moins de dix ans.
Et certains n’hésitent pas à aller beaucoup plus loin. Avec 3300 caméras de surveillance, Christian Estrosi, maire de Nice, est le champion français du saut d’obstacles légaux, bondissant allègrement par-dessus le droit en vigueur et ignorant royalement les recommandations de la Commission nationale informatique et libertés (CNIL). Récidiviste notoire, il aime à faire parler de lui en installant des caméras à reconnaissance faciale devant un lycée (projet interdit), ou en proclamant des expérimentations pour « automatiser la surveillance ». Car installer des caméras implique de recruter et de former des agents pour suivre les flux vidéos : il faut donc automatiser cette étape.
Depuis longtemps, l’Europe est convertie au culte de la « protection » – en réalité de la surveillance. Les directives et les injonctions se multiplient : « censurer les contenus terroristes », « lutter contre la pédopornographie », ou encore réguler les solutions de cryptage. Cette dernière proposition émane de la directrice d’Europol, Catherine de Bolle, qui signait avec le procureur de New York, Cyrus Vance, une tribune dans Politico en juillet 2021, benoîtement intitulée « Le dernier refuge des criminels : les téléphones cryptés ».
Le gouvernement français n’est pas en reste. En juillet 2021, trois fichiers de police (PASP, GIPASP et EASP), ont été élargis par décret, autorisant désormais un fichage des associations, élargissant les justifications de ce fichage, et permettant d’enrichir les données s’y trouvant. Gérald Darmanin avait répondu aux critiques : « Il ne faut pas y voir une sorte de Big Brother ». Il faut croire que si. Le droit et les libertés civiles sont sacrifiés au nom de l’« innovation » par les entrepreneurs du privé, et de la sécurité par les États. Il s’agit bien là d’une union objective du pouvoir public et du secteur privé.