They call it the Silent Talker. It is a virtual policeman designed to strengthen Europe’s borders, subjecting travelers to a lie detector test before they are allowed to pass through customs.
Prior to your arrival at the airport, using your own computer, you log on to a website, upload an image of your passport, and are greeted by an avatar of a brown-haired man wearing a navy blue uniform.
“What is your surname?” he asks. “What is your citizenship and the purpose of your trip?” You provide your answers verbally to those and other questions, and the virtual policeman uses your webcam to scan your face and eye movements for signs of lying.
At the end of the interview, the system provides you with a QR code that you have to show to a guard when you arrive at the border. The guard scans the code using a handheld tablet device, takes your fingerprints, and reviews the facial image captured by the avatar to check if it corresponds with your passport. The guard’s tablet displays a score out of 100, telling him whether the machine has judged you to be truthful or not.
A person judged to have tried to deceive the system is categorized as “high risk” or “medium risk,” dependent on the number of questions they are found to have falsely answered. Our reporter — the first journalist to test the system before crossing the Serbian-Hungarian border earlier this year — provided honest responses to all questions but was deemed to be a liar by the machine, with four false answers out of 16 and a score of 48. The Hungarian policeman who assessed our reporter’s lie detector results said the system suggested that she should be subject to further checks, though these were not carried out.
Travelers who are deemed dangerous can be denied entry, though in most cases they would never know if the avatar test had contributed to such a decision. The results of the test are not usually disclosed to the traveler; The Intercept obtained a copy of our reporter’s test only after filing a data access request under European privacy laws.
guard-photo-1000-1564076275
The iBorderCtrl project’s virtual policeman.
Image: iBorderCtrl
The virtual policeman is the product of a project called iBorderCtrl, which involves security agencies in Hungary, Latvia, and Greece. Currently, the lie detector test is voluntary, and the pilot scheme is due to end in August. If it is a success, however, it may be rolled out in other European Union countries, a potential development that has attracted controversy and media coverage across the continent.
IBorderCtrl’s lie detection system was developed in England by researchers at Manchester Metropolitan University, who say that the technology can pick up on “micro gestures” a person makes while answering questions on their computer, analyzing their facial expressions, gaze, and posture.
An EU research program has pumped some 4.5 million euros into the project, which is being managed by a consortium of 13 partners, including Greece’s Center for Security Studies, Germany’s Leibniz University Hannover, and technology and security companies like Hungary’s BioSec, Spain’s Everis, and Poland’s JAS.
The researchers at Manchester Metropolitan University believe that the system could represent the future of border security. In an academic paper published in June 2018, they stated that avatars like their virtual policeman “will be suitable for detecting deception in border crossing interviews, as they are effective extractors of information from humans.”
Join Our Newsletter
Original reporting. Fearless journalism. Delivered to you.
I’m in
However, some academics are questioning the value of the system, which they say relies on pseudoscience to make its decisions about travelers’ honesty.
Ray Bull, professor of criminal investigation at the University of Derby, has assisted British police with interview techniques and specializes in methods of detecting deception. He told The Intercept that the iBorderCtrl project was “not credible” because there is no evidence that monitoring microgestures on people’s faces is an accurate way to measure lying.
“They are deceiving themselves into thinking it will ever be substantially effective and they are wasting a lot of money,” said Bull. “The technology is based on a fundamental misunderstanding of what humans do when being truthful and deceptive.”
In recent years, following the refugee crisis and a spate of terrorist attacks in France, Belgium, Spain, and Germany, police and security agencies in Europe have come under increasing political pressure to more effectively track the movements of migrants. Border security officials on the continent say they are trying to find faster and more efficient new ways, using artificial intelligence, to check the travel documents and biometrics of the more than 700 million people who annually enter the EU.
“They are wasting a lot of money.”
The European Commission — the EU’s executive branch — has set aside a proposed €34.9 billion for border control and migration management between 2021 and 2027. Meanwhile, in September last year, European lawmakers agreed to establish a new automated system that will screen nationals from visa-free third countries — including the United States — to establish whether or not they should be allowed to enter the EU.
In the future, a visa-free traveler who, for whatever reason, has not been able to submit an application in advance will not be granted entry into the Schengen zone, an area covering 26 countries in Europe where travelers can move freely across borders without any passport checks.
IBorderCtrl is one technology designed to strengthen the prescreening process. But transparency activists say that the project should not be rolled out until more information is made available about the technology — such as the algorithms it uses to make its decisions.
Earlier this year, researchers at the Milan-based Hermes Center for Transparency and Digital Human Rights used freedom of information laws to obtain internal documents about the system. They received hundreds of pages; however, they were heavily redacted, with many pages completely blacked out.
“The attempt to suppress debate by withholding the documents that address these issues is really frightening,” said Riccardo Coluccini, a researcher at the Hermes Center. “It is absolutely necessary to understand the reasoning behind the funding process. What is written in those documents? How does the consortium justify the use of such a pseudoscientific technology?”
A study produced by the researchers in Manchester tested iBorderCtrl on 32 people and said that their results showed the system had 75 percent accuracy. The researchers noted, however, that their participant group was unbalanced in terms of ethnicity and gender, as there were fewer Asian or Arabic participants than white Europeans, and fewer women than men.
Giovanni Buttarelli, head of the EU’s data protection watchdog, told The Intercept that he was concerned that the iBorderCtrl system might discriminate against people on the basis of their ethnic origin.
“Are we only evaluating possible lies about identity or we are also trying to analyze some of the person’s somatic traits, the edges of the face, the color of the skin, the cut of the eyes?” Buttarelli said. “Who sets the parameters to establish that a certain subject is lying or not lying?”
A spokesperson for iBorderCtrl declined to answer questions for this story. A website for the project acknowledges that the lie detection system will “have an impact on the fundamental rights of travellers” but says that, because the test is currently voluntary, “issues with respect to discrimination, human dignity, etc. therefore cannot occur.”
The reporting for this story was supported by the Investigative Journalism for Europe grant and the Otto Brenner Foundation.
Des enregistrements des questions posées à Siri sont écoutées par Apple et peuvent révéler des informations très sensibles.
«Ce qui se passe dans votre iPhone reste dans votre iPhone.» proclamait un immense panneau publicitaire affiché dans Las Vegas lors du dernier CES, un grand salon dédié aux nouvelles technologies. Une bravade d’Apple, qui n’a de cesse de vanter sa supériorité sur ses concurrents en terme de protection des données.
Mais comme Amazon et Google l’ont admis avant elle, la firme de Cupertino écoute elle aussi les extraits audio enregistrés par son assistant vocal Siri, selon les révélations d'un lanceur d'alertes au Guardian.
Comme chez Google et Amazon, une petite portion des enregistrements de Siri, moins de 1% selon Apple, sont sélectionnés au hasard puis envoyés à des reviewers afin de vérifier si Siri a correctement compris ce qui lui était demandé, qu’il n’a pas répondu à coté, que l’activation était bien intentionnelle, etc.
Apple précise auprès du Guardian que les enregistrements, qui ne durent que quelques secondes, ne sont pas liés aux identifiants de leurs client·es, et que toutes les personnes en mesure de les écouter ont signé des accords stricts de confidentialité.
Mais même si les identités ne sont pas directement reliées aux enregistrements, le personnel a tout de même accès aux coordonnées, contacts et données des applis liées à l'appareil utilisé.
Ce processus permet d’identifier les failles de l’assistant et de l’améliorer. Seulement, ce ne sont pas des personnes directement employées par Apple qui consultent ces fichiers. Ce sont des sous-traitants dont les employé·es, selon la source du Guardian, ne sont pas vraiment trié·es sur le volet.
Or, beaucoup d’enregistrements sont déclenchés par erreur. Il arrive à Siri de penser à tort que sa phrase d’activation («Hey Siri») a été prononcée, notamment quand il entend le bruit d’une fermeture éclair. Quand une Apple Watch est soulevée puis entend des paroles, Siri est aussi automatiquement déclenché, ce qui cause un nombre de déclenchement accidentels «incroyablement haut».
Ainsi, «on peut entendre un médecin et son patient, on ne peut pas être sûrs mais certaines conversations ressemblent beaucoup à un deal de drogue. Parfois, des gens en train de coucher ensemble sont accidentellement enregistrés par une enceinte connectée ou une montre».
Contrairement à Amazon et Google, qui permettent à leur clientèle de refuser que leurs enregistrements soient utilisés pour améliorer le service, le seul moyen pour y échapper chez Apple est de désactiver Siri entièrement.
Lundi dernier, La Quadrature du Net a déposé un recours devant le Conseil d’État pour demander l’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM », pour « Authentification en ligne certifiée sur mobile ». En y conditionnant la création d’une identité numérique à un traitement de reconnaissance faciale obligatoire, le gouvernement participe à la banalisation de cette technologie, et cela au mépris de l’avis préalable de la CNIL qui avait pourtant souligné son illégalité. Les récentes déclarations de Christophe Castaner qui a mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet ne peuvent qu’alerter.
L’application ALICEM, développée par l’Agence des Titres Sécurisés (ANTS), vise à permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux. Comme l’explique la notice même du décret qui en autorise la création, « ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » (…). Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect » (par exemple, impots.gouv, l’Assurance maladie… voir une liste des partenaires ici).
Concrètement, cela fonctionne ainsi : une personne détenant un titre avec une puce biométrique (passeport ou titre de séjour) télécharge l’application sur son smartphone (pour l’instant seulement sur les téléphones Android), pour y créer un compte. Pour cela, il doit procéder à la lecture avec son téléphone de la puce de son titre électronique. L’application a alors accès aux données qui y sont stockées, hors les empreintes digitales (notons que le décret du fichier TES est donc modifié pour permettre la lecture des informations stockées sur la puce électronique). Enfin, pour activer le compte, il faut se subordonner à un dispositif de reconnaissance faciale (dit « statique » et « dynamique », c’est à dire une photo et une vidéo avec des gestes à accomplir devant la caméra) pour vérifier l’identité. Alors seulement, l’identité numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services en ligne [1].
Reconnaissance faciale obligatoire
Alors pourquoi l’attaquer ? Car l’application ALICEM oblige, au moment de l’activation du compte, de recourir à ce dispositif de reconnaissance faciale, sans laisser aucun autre choix à l’utilisatrice ou l’utilisateur. L’article 13 du décret énonce ainsi que l’ANTS informe l’usager « concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques ». Or, au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (Considérant 42). Ici, la personne voulant utiliser ALICEM n’a pas le choix de passer ou non par ce dispositif de reconnaissance faciale et le consentement dont se revendique le gouvernement n’est donc pas valable.
Cette analyse est d’ailleurs celle de la CNIL qui a rendu un avis sur ce décret, préalablement à sa publication. Dans cet avis, elle énonce clairement que, vu que la reconnaissance faciale est obligatoire et qu’il n’existe aucune autre alternative pour se créer une identité via ALICEM, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ». Malgré cet avis et les alternatives imaginées par la CNIL au dispositif de reconnaissance faciale, le gouvernement n’a pas modifié son décret en le publiant.
À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisée sur les conséquences d’un tel dispositif pour notre société et nos libertés [2], en général dans une large illégalité, et alors que des villes aux États-Unis en interdisent explicitement l’utilisation pour les services municipaux [3], le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. Et même s’il ne s’agit ici pas de reconnaissance faciale « en temps réel » par des caméras de surveillance, il s’agit néanmoins bien de normaliser la reconnaissance faciale comme outil d’identification, en passant outre la seule condition qui devrait être acceptable pour son utilisation : notre consentement libre et explicite. Le gouvernement révèle par ailleurs son mépris pour la CNIL, dont l’influence semble diminuer de plus en plus. Fléchissant il y a quelques mois devant les publicitaires en leur laissant encore un an de plus pour respecter le RGPD (voir notre article), elle apparaît ici plus faible que jamais quand elle alerte le gouvernement sur la violation du consentement d’une personne quand au traitement de ses données biométriques et que le gouvernement ne la respecte clairement pas.
La haine, l’anonymat et ALICEM
Attaquer ce décret est d’autant plus nécessaire quand on voit les dangereux liens que tisse le ministre de l’Intérieur Christophe Castaner entre anonymat, haine et identité numérique. Il écrit ainsi, en tête de son rapport « État de la menace liée au numérique en 2019 » : « La liberté, justement, voilà tout le paradoxe d’internet. L’anonymat protège tous ceux qui répandent des contenus haineux et permet à des faux-comptes de se multiplier pour propager toutes sortes de contenus. Nous ne pouvons pas laisser les publications illicites se multiplier. Nous devons donc relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ». Et quand il parle, plus loin, d’identité numérique, c’est pour directement mentionner le dispositif ALICEM. Le débat sur l’identité numérique arrive donc à grande vitesse et l’utilisation que souhaite en faire le gouvernement ne peut qu’alerter : un outil non pas au service du citoyen mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet.
Un projet d’identité numérique, fondé sur un dispositif de reconnaissance faciale obligatoire (au mépris du RGPD) et ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat ne peut qu’être combattu. C’est l’objet de ce recours.
—
[1] Voir également l’analyse de Marc Rees sur Next Inpact.
[2] Lire notre analyse des enjeux politiques de la reconnaissance faciale.
[3] La ville de San Francisco a récemment adopté une telle interdiction, bientôt rejointe par une autre ville du Massachusetts.
Home DNA testing can be fun. I’ve done it for myself and for my dog. One of us unexpectedly turned out to be 3.1% Italian. The other is mostly Saint Bernard.
The less-fun side of the DNA-testing industry is the brave new world of genetic privacy.
What are these companies doing with our genetic data?
What happens if they find a DNA marker for cancer, diabetes or any other potential illness that insurers and employers would be very interested in knowing about?
How much genetic privacy is a consumer entitled to?
Congress is now pondering federal privacy rules that probably will address such questions, so some of the top DNA-testing firms have come together to make sure lawmakers keep the industry’s interests front and center.
The so-called Coalition for Genetic Data Protection is backed by Ancestry, 23andMe and Helix, with an open invitation for other companies to join the club.
The group’s website says it seeks “reasonable and uniform privacy regulation that will ensure the responsible and ethical handling of every person’s genetic data.”
That sounds high-minded and well-intended.
In fact, the coalition is run by a prominent Washington, D.C., lobbying firm — Mehlman Castagnetti Rosen & Thomas — and its goal is to shape privacy rules for an industry that now largely operates on the honor system.
“We are great stewards of customers’ privacy,” declared Steve Haro, a principal at Mehlman Castagnetti who is serving as executive director of the coalition. “These companies welcome a data privacy law.”
Within reason, that is.
Haro told me he wants to make sure there are no carve-outs in a federal privacy law for genetic information. In other words, no provisions that place more stringent rules on DNA testing companies than on, say, Facebook or Google.
Rather, the coalition wants any privacy protections to be one-size-fits-all.
Experts say that would be a big mistake.
“Genetics is totally different,” said David Agus, a professor of medicine at USC and co-founder of Navigenics, a pioneering DNA-testing company. “We need totally different rules.”
He cited the case of the Golden State Killer, in which a 73-year-old suspect was charged last year with 26 counts of murder and kidnapping based on a DNA match not for himself but for a relative, which allowed investigators to home in on the alleged perpetrator.
“That’s the thing about genetic information,” Agus said. “It says something about you as well as all your family members.”
Therefore, he said, such information needs to be treated differently, even for something as relatively benign as consenting to your DNA being used for research purposes.
“Should you also have to get the consent of all your brothers and cousins?” Agus asked. “Why wouldn’t you, seeing as it could affect them.”
Mildred Cho, associate director of the Stanford Center for Biomedical Ethics, said genetic information should have the same privacy safeguards as other medical data, which typically are stricter than for other forms of personal information.
She said that in light of the complexity of DNA and its potential uses, “it becomes more difficult to justify a caveat-emptor approach.”
This is new territory for lawmakers. In 2008, Congress passed the Genetic Information Nondiscrimination Act, which prohibits discrimination by employers or insurers based on genetic data. But lawmakers have had little guidance as to how DNA fits into the broader context of digital privacy.
The Coalition for Genetic Data Protection, as first reported by the Hill, wants Congress to base any official policy on an industry study issued last year that defines privacy “best practices” for DNA-testing firms.
Even though the study says it “recognizes that genetic data is sensitive information that warrants a high standard of privacy protection,” a close reading reveals the industry prefers that customers trust it to do the right thing.
For example, it says that “companies should clearly specify the uses of the genetic data, who will have access to test results and how that data will be shared.”
Should, not must.
The study also says that “genetic data, by definition linked to an identifiable person, should not be disclosed or made accessible to third parties, in particular, employers, insurance companies, educational institutions or government agencies, except as required by law or with the separate express consent of the person concerned.”
Again, should, not must.
I asked Haro, the coalition’s executive director and chief lobbyist, what sort of teeth the industry desires for regulatory oversight. That is, how would it like to see any privacy law enforced?
He offered no specifics.
“We plan to engage constructively with policymakers on the best enforcement regime,” Haro said, reiterating that the coalition wants “a uniform national data privacy law” that treats all companies the same.
I have a suggestion. The DNA-testing industry’s disdain for special treatment notwithstanding, lawmakers should do just that and impose, at least on an interim basis, the same privacy standards applied to other medical data.
The federal Health Insurance Portability and Accountability Act, a.k.a. HIPAA, includes penalties ranging from $100 to $50,000 per violation — that is, per hacked record. Violations also can carry criminal charges resulting in jail time.
To really make their point that genetic information is a serious business, lawmakers also could consider mirroring penalties in Europe’s recently enacted privacy law, the General Data Protection Regulation. It can result in fines of up to 20 million euros ($23 million) or 4% of a company’s annual revenue, whichever is greater.
“American law already embraces health exceptionalism in the protection of privacy surrounding medical information,” said Judith Daar, dean of Northern Kentucky University’s Chase College of Law. “To continue or expand that protection in the genetic realm makes sense given the highly personal nature of the information. Most of us would likely assert a high expectation of privacy in the makeup of our genome.”
DNA-testing firms say you have nothing to worry about — they take people’s privacy really seriously.
You know who also says that? Facebook.
And you trust them, right?
NOTE DE KAT : Cet article comprend aussi les liens vers les 16 articles précédents sur ce sujet délicat de la généalogie génétique.
On continue la visite du monde merveilleux de la généalogie génétique !
Elizabeth Joh professeur de droit à l'Université de Davis en Californie, voit quatre problèmes à ce que la police exploite les données ADN des sites de généalogie génétique
La portée, si on peut accepter que ce soit le cas pour des crimes, ne faut-il pas l'interdire pour des délits ?
Le consentement éclairé, en acceptant l'investigation sur son ADN, on engage ses frères et sœurs, ses parents, ses enfants, ses cousins, ses cousins éloignés que l'on a peut-être jamais vu et même toutes les générations futures. Est-il acceptable qu'un seul individu décide pour tous, juste en cliquant OUI dans des conditions de vente
La vie privée, sa définition et ses limites deviennent la propriété d'entreprises qui décident ou non de faire des entorses à leurs propres conditions de vente. La police a pu utiliser Gedmatch dans un cas d'agression parce que cette entreprise a fait une exception à ses règles. Depuis Gedmatch a changé ses termes et l'utilisateur peut faire un choix d'opt-in mais si l'un de nos proches a également fait un choix d'opt-in, il n'y a aucune possibilité pour nous de faire un choix d'opt-out ! Et rien n'empêche Gedmatch de changer à nouveau ses conditions.
La collecte de données ADN a partir d'éléments abandonnés par le suspect. Que penserions nous d'un agent de liaison police/école qui attendrait à la cafétéria pour récupérer des données ADN sur des objets touchés par un adolescent ?
Cette tribune d'Elizabeth Joh est à lire en anglais sur le site du New-York Times
De nouvelles entreprises cherchent à vendre encore plus de "compléments" aux tests généalogique. Par exemple la société XCode Life, vends des tests qui prétendent donner des informations sur 10 grands sujets (Nutrition, Santé, Fitness, Allergie, Peau, Méthylation, Cancer du Sein, Ancêtres, Porteur sain de maladies et Traits de personnalité (sic)). Juste pour rire ou pleure c'est selon, détaillons un peu le dernier : empathie, potentiel de leadership, ouverture d'esprit, extraversion, affabilité, personnalité de guerrier ... Vous comprendrez qu'on ne mette pas le lien.
Airbnb a conclus un partenariat avec 23andMe pour que les personnes ayant fait un test puissent visiter la région de leurs ancêtres. Comme le fait remarquer Le Parisien, c'est offre est bien sûr illégale en France où il est interdit sous peine de 3750 euros d'amende de faire des tests récréatifs. Le journal interroge l'avocat Thierry Vallat, spécialiste du droit numérique qui pose plusieurs points intéressants :
A ce jour pour l'avocat, il ne semble pas encore y avoir eu de décision judiciaire de condamnation pour ces faits (bien que de nombreux internautes publient haut et fort leurs résultats, espérons pour eux qu'un procureur tatillon ne se saisisse pas du dossier)
Airbnb n'est pas innocent dans sa communication, la plateforme communique sur son partenariat en français et sur une page accessible depuis la France ! La réponse du site est que cela s'adresse aux francophones vivant dans les pays où ces tests sont légaux comme la Belgique. Il existe pourtant des moyens techniques simples pour restreindre la consultation de cette page. La plateforme pourrait géolocaliser l'accès, en fonction de l'adresse IP.
Bref, ces sociétés semblent faire peu de cas de la législation hexagonale.
Le site Future nous informe, en anglais, que les USA voudraient changer leur droit sur les brevets pour autoriser les entreprises à breveter les gènes humains, faudra-t-il demain payer parce qu'on est porteur d'un gène ? Le précédent de Myriad Genomics (qui a détenu pendant plusieurs années un brevet sur 2 gènes associés à un risque accru de cancer du sein et des ovaires, cf les commentaires de l'épisode 12) n'auraient-il rien appris au législateur américain ou celui-ci défend-il juste le droit ce certains qui peuvent déposer un dossier avec tout ce que cela suppose de temps et d'investissement à trouver un moyen d'engranger de l'argent ?
Huawei, menace pour les États-Unis relevant de l'urgence nationale ? Ce genre d'arguments sécuritaires à la solidité débattue est courant dans les discours politiques sur le numérique. Voici ce que les chercheurs en sécurité ont à nous apprendre sur ce phénomène de « sécuritisation ».
L’occupant de la Maison-Blanche n’est connu ni pour ses mots de velours ni pour sa constance dans les idées. L’équipementier chinois Huawei a pu en faire l’amère expérience les mois passés.
Le 15 mai 2019, au nom de l’« urgence nationale », Donald Trump interdisait par décret aux réseaux télécoms américains de se fournir en équipements posant un risque de « sabotage » ou d’ « effets catastrophiques sur la sécurité ou la résilience d’infrastructure critique des États-Unis ». Huawei est clairement visé du fait de soupçons d’espionnage pourtant non confirmés. Une semaine plus tard, le président américain déclarait que « Huawei est quelque chose de très dangereux »… avant de souligner la possibilité d’un accord commercial avec la firme.
Puis au G20 début juillet 2019, après que Google, ARM ou Toshiba ont coupé leurs liens avec Huawei, le chef d’État a rétropédalé et annoncé que les firmes américaines pourront de nouveau faire des affaires avec le géant chinois. Il y a de quoi suggérer que l’affaire n’était qu’un bluff dans la guerre commerciale entre Washington et Pékin. Alors, Donald Trump ne brasse-t-il que du vent ? Pas si vite.
En guise de mise en bouche, il faut savoir que certains mots ont comme des pouvoirs magiques. Les enfants apprennent que tel est le cas de « s’il te plaît » et « merci ». Mais vous remarquerez aussi que le simple fait de dire « je promets » constitue une promesse, et que ces deux mots ne doivent pas être employés à la légère. En disant quelque chose (« je promets »), vous faites quelque chose (une promesse) avec de vraies répercussions sur le monde réel. De même, si vous dites « si on gagne ce match, je me rase la tête », vous faites un pari que vous avez intérêt à honorer.
Dire « je promets » ou « je parie » est ce qu’on appelle un speech act (« acte du langage »), terme défini par le philosophe John Austin en 1955 dans une série de cours à Harvard intitulée Comment faire des choses avec les mots. Si les actes du langage sont courants dans notre vie quotidienne, il y en a certains, comme le fait de parler de « sécurité », qui peuvent envoûter les appareils politiques au point de devenir des armes redoutables et parfois inquiétantes.
Nous vous proposons une formation rapide à cette sorcellerie de la sécurité, pour apprendre à reconnaître ses formules magiques et à en déjouer les sortilèges.
La recherche en sécurité internationale a longtemps été très américaine, militariste, et axée sur la notion de sécurité nationale. Les menaces sécuritaires étaient vues comme objectives et bien définissables (en gros, des frappes militaires hostiles). La seule grande concession à cela était l’idée qu’on pouvait accidentellement voir une menace là où il n’y en avait pas, ou inversement.
Dans les années 1980, des voix discordantes s’élèvent contre ce focus sur le militaire. On commence à parler pêle-mêle de sécurité humaine, environnementale, économique, sociétale — à tel point que plus personne ne sait ce que le mot « sécurité » veut vraiment dire. Divers courants de pensée émergent en Europe en tentant de faire le ménage, que ce soit au Pays de Galles où l’on se concentre sur l’émancipation des individus, ou en France où l’on préfère faire la sociologie des milieux de la défense.
Mais la réponse la plus influente et la plus révolutionnaire à ce capharnaüm vient sans doute du chercheur danois Ole Wæver. Difficile de le rater si vous le croisez aujourd’hui dans un colloque : arborant un look d’entraîneur de football, il s’amuse d’un rien et parle très vite avec de grands gestes. Lui qui a un jour commencé un papier de recherche par une citation de Dark Vador est à l’origine du concept de « sécuritisation », autrement dit le fait de « transformer quelque chose en problème de sécurité ».
Cette notion est devenue emblématique de l’école de Copenhague – à ne pas confondre avec l’interprétation de Copenhague en mécanique quantique, même si Wæver nous tweete avec humour que les deux sont sûrement liés – et a fait de la capitale du Danemark « la Mecque des études de sécurité ». Mais ici, « sécurité » n’a pas le même sens banal et quotidien que quand on parle par exemple de sécurité informatique. Voilà pourquoi.
Imaginons que le monde politique normal est un grand jeu de gestion d’une ville. Les joueurs, qui remplissent le rôle des décideurs politiques, s’accordent sur une série de règlements pour que tout se passe bien : pour que les ordures soient ramassées, que la police puisse attraper les criminels, etc. Des débats éclatent parfois sur comment gérer au mieux tel sujet – on parle de sujets « politisés » – mais dans l’ensemble, la vie poursuit son cours.
Entre maintenant le problème de sécurité : un méchant dragon arrive sur la ville et s’apprête à la réduire en cendres. Face à cette menace existentielle, les joueurs ne vont probablement pas continuer à suivre bêtement les règles de leur propre jeu politique – parce que s’ils font cela, il n’y aura plus de jeu ! Pour sauver le jeu, ils vont paradoxalement s’affranchir des règles et mettre en place des mesures d’exception, comme une mobilisation militaire, ou un État d’urgence avec restrictions aux libertés fondamentales comme celui connu en France après les attentats de 2015.
C’est là qu’Ole Wæver arrive avec un plot twist : le dragon, ce problème de sécurité, n’existe pas. Du moins, pas objectivement. Tout comme dire « je promets », dire « sécurité » est un speech act. Dans notre ville-jeu, chaque joueur dispose donc d’une formule magique nommée sécuritisation. En prononçant le mot « sécurité », « dragon » ou équivalent, il peut transformer tout ce qu’il veut en problème de sécurité, et ce en ensorcelant des gens pour leur faire « voir » des dragons.
Certains diront par exemple « le crime est un dragon qui va brûler la ville », et si le sortilège réussit, ils débloqueront ces moyens d’exception qui les mettront au-delà du politique et des simples débats politisés. Ce but ultime est très important, car si on ne cherche pas des mesures exceptionnelles, on ne fait pas de la sécuritisation mais simplement du sensationnalisme.
La sécuritisation marche aussi dans l’autre sens, et un incident peut être minimisé pour ne pas avoir à y appliquer des mesures exceptionnelles. Aux États-Unis, alors que les ouragans majeurs font normalement l’objet de grandes opérations d’aide aux sinistrés, l’ouragan Maria à Puerto Rico en septembre 2017 a ainsi été largement ignoré par l’administration de Donald Trump malgré un bilan humain très lourd.
La sécuritisation doit se faire selon quelques règles de l’art. Voici donc un cas pratique que l’on retrouve régulièrement en tech. Supposons que vous êtes au gouvernement, et que vous voulez faire adopter une loi vous autorisant à espionner les sites web que visitent vos citoyens. Peu importe que vous ayez une bonne ou une mauvaise raison de le faire : vous êtes dans un état de droit, et une telle loi ne passera pas comme une lettre à la poste. Vous êtes l’acteur sécuritisant, personnage généralement issu de l’autorité même si tout le monde peut participer au processus.
Votre but est de persuader un public que les mesures extraordinaires que vous voulez prendre (en l’occurrence, porter atteinte à la vie privée des gens) sont tout à fait justifiées. Dans notre exemple, votre public est constitué de citoyens — nous sommes en démocratie — mais aussi de vos collègues au gouvernement, et surtout des parlementaires d’opposition qui devront laisser passer votre projet de loi. Si tout ce beau monde ne croit pas suffisamment à vos arguments, la sécuritisation échoue.
Pour convaincre, vous avez besoin d’un objet référent que votre public aime, qui suscite les passions, et qui pourrait plausiblement courir une terrible menace existentielle. Parmi quelques objets référents courants, on trouve la sécurité nationale (menace : « le terrorisme »), celle des individus (« le crime »), l’identité nationale (« l’immigration »), la souveraineté (« l’Union européenne »), l’emploi et le pouvoir d’achat (« la mondialisation »), ou encore l’environnement (« le réchauffement climatique », qu’on aimerait plus performatif…). L’important n’est pas que la menace soit réelle ou non, mais que votre public y croît.
Dans votre cas, votre objet référent pourrait être les enfants. La menace serait alors les pédophiles, et en particulier les visiteurs de sites pédopornographiques. Vous faites là le lien entre la menace et les mesures extraordinaires que vous visez. Pour arrêter les internautes se rendant sur tels sites, vous avez besoin de savoir quels sites visitent les gens, et donc d’instaurer des mesures de surveillance.
Ainsi armé, vous pouvez réaliser votre speech act de sécuritisation. Quand on vous interpellera sur le respect de la vie privée dans votre projet de loi, vous pourrez ainsi rétorquer, avec la même élégance qu’un ministre canadien en 2012 : « vous êtes soit avec nous, soit avec les pédophiles ».
La sécuritisation abonde dans les discours politiques autour du numérique, en particulier sur la surveillance. Vous la reconnaîtrez quand une ville justifie l’installation de caméras de surveillance à reconnaissance faciale, écartant les questions de vie privée en affirmant lutter contre des menaces qui deviendraient « pires et pires et pires ». De même quand les autorités françaises valident la conservation massive de données personnelles par les FAI au nom de la « sécurité nationale ». Puis encore quand le patron du FBI considère le chiffrement comme « un problème urgent de sécurité publique ».
Parfois, même les entreprises s’y mettent : quand Apple refuse en 2016 de développer une backdoor pour le FBI, la firme retourne le discours sécuritisant et se justifie par « la sécurité de données de centaines de millions de personnes » qui seraient « en état de siège ». Dans la même veine en 2018, Tim Cook affirme à Bruxelles que nos informations personnelles sont « transformées en armes contre nous avec une efficacité militaire », et l’on voit Apple utiliser des arguments de vie privée pour opérer un spectaculaire black-out dans les QG de Facebook et Google.
Vous l’aurez compris, la sécuritisation est aussi là quand Donald Trump déchaîne le feu et la fureur sur Huawei par les simples mots de « sécurité nationale ». Toute la force du concept s’expose quand l’on voit que des entreprises non américaines comme ARM, Panasonic et Toshiba, pourtant non concernées par le décret de Trump, ont emboîté le pas en se détournant de la firme chinoise.
L’école de Copenhague avertit que la sécuritisation est un jeu dangereux, prompt à outrepasser les gardes fous de la politique normale. Pour Wæver et ses collègues, la gestion des problèmes doit le plus possible relever du débat politisé standard, au lieu d’agiter constamment le drapeau de la menace existentielle. En attendant que nos décideurs fassent preuve de sagesse, nous autres citoyens pouvons apprendre à faire preuve de recul lorsque l’on voit dégainer l’argument sécuritaire.
De quelle manière contourner la tyrannie de la transparence et revenir à une approche plus sensorielle du monde qui nous entoure?
Le géant américain reconnait enregistrer les conversations avec son assistant vocal. Mais aussi partager des informations avec des tiers...
Depuis leur apparition dans les foyers, les assistants vocaux intégrés à des objets connectés suscitent des doutes et des inquiétudes. Notamment quant à la confidentialité des conversations et de toutes les informations à caractère privé qu'elles recèlent. Comment les requêtes sont-elles analysées ? Les échanges sont-ils enregistrés ? Que deviennent les données collectées ? Les appareils sont-ils en écoute permanente ? Autant de questions que de nombreux utilisateurs se posent, et qui traduisent une légitime méfiance vis-à-vis d'intelligences artificielles toujours plus performantes mises au point par des sociétés commerciales.
Parmi ces dernières, Amazon concentre les craintes, surtout depuis que l'on a appris que les conversations engagées avec Alexa, son assistant intelligent, étaient enregistrées et transmises à des prestataires externes pour analyse, à fin d'amélioration (voir [actualité]). Des craintes qui devraient encore s'accentuer avec les informations recueillies par le sénateur américain Chris Coons, suite à une lettre qu'il avait envoyée en mai dernier aux dirigeants d'Amazon. Car la réponse du géant du commerce en ligne a de quoi donner des frissons...
Dans son courrier adressé le 28 juin au sénateur (et reproduit par nos confrères américains de Cnet), Brian Huseman, vice-président chargé des politiques publiques d'Amazon, confirme bien qu'Amazon conserve les enregistrements vocaux d'Alexa ainsi que leurs transcriptions indéfiniment. Il précise en outre les requêtes impliquant des transactions (achat de biens et de services) laissent des traces qui sont également enregistrées et utilisées, de même que certaines informations comme le réglage d'alarmes ou de rappels. Autant d'informations à caractère privé qui alimentent de gigantesques bases de données. Le tout, dans le but officiel d'améliorer la personnalisation de l'assistant vocal et d'optimiser les services rendus aux utilisateurs. – conformément à leurs propres demandes, dixit Amazon.
Une réponse qui n'a pas rassuré Chris Coons. Et qui ne l'a pas convaincu non plus. Le sénateur doute même que les conversations soient effectivement détruites, même après effacement manuel par l'utilisateur, et notamment par la commande vocale idoine (voir actualité). S'interrogeant toujours sur la nature des éléments conservés sur les serveurs de l'entreprise, il déplore également le flou qu'Amazon entretient sur le partage avec des tiers des informations collectées via Alexa. It est fort probable que l'affaire n'en reste pas là et qu'Amazon soit sommé de fournir davantage d'explications aux autorités comme à ses clients, voire de modifier les conditions d'utilisation d'Alexa et de clarifier ses pratiques.
«Plus de 18 milliards de requêtes ont été faites sur notre moteur de recherche en 2018», souligne le vice-président de Qwant qui reverse à la presse 5% de ses revenus publicitaires.
«Plus de 18 milliards de requêtes ont été faites sur notre moteur de recherche en 2018», souligne le vice-président de Qwant qui reverse à la presse 5% de ses revenus publicitaires. DR
Dernière annonce d’une longue série: le moteur de recherche niçois sort ce matin Qwant Maps et Qwant Masq, deux applis web fidèles à ses valeurs de respect de la vie privée des utilisateurs.
Ces derniers temps, Qwant, le moteur de recherche éthique et niçois, a multiplié les annonces. Après un accord de partenariat avec Microsoft et la décision par le secrétaire d’État à l’Économie numérique de faire de Qwant le navigateur de recherche par défaut de l’Administration, la société fondée en 2013 par Eric Léandri sort ce matin deux applis web: Qwant Maps et Qwant Masq.
Qu’ont-elles de particulier? Déjà, elles sont fidèles aux valeurs de confidentialité et de respect de la vie privée des utilisateurs prônées par celui que se veut le concurrent européen de Google. «Qwant Maps, notre service de cartographie du monde est désormais disponible en version bêta», explique Tristan Nitot, vice-président Advocacy de Qwant.
Comme son nom l’indique, il s’agit d’une cartographie du monde pour rechercher un lieu, une adresse, un point d’intérêt et de donner un itinéraire à pied, à vélo ou en voiture. «D’autres fonctionnalités, comme les transports en commun, seront rajoutées au fil des mois», précise le dirigeant.
Stocker les données sur les appareils
La plus-value par rapport à d’autres services similaires? Premier cocorico, cette appli est faite en France et vise l’Europe «notre cœur de marché, souligne Tristan Nitot. Il n’y a pas de raison que la cartographie européenne soit faite par des Américains.» Pas faux.
«Et surtout, on respecte la vie privée. C’est un service ouvert et transparent pour l’utilisateur qui reste maître de ses informations de navigation.» En clair, cela signifie que Qwant ne connaît pas les utilisateurs et, contrairement à ses concurrents, ne veut surtout pas les connaître. Ce qui n’est pas sans poser un problème en termes de personnalisation du service. Comment fournir un itinéraire si l’utilisateur ne souhaite pas être géolocalisé?
Écueil que la PME qui emploie désormais 160 collaborateurs a contourné en développant Masq, «Une technologie qui stocke les données personnelles (paramètres, préférences, autorisations d’application...) en local, sur le disque dur de l’appareil.»
Plus besoin de cloud, l’utilisateur reprend le contrôle. «Qwant peut utiliser la data mais sans la connaître, résume le dirigeant. Maps est la première application à utiliser Masq. D’autres suivront comme Qwant Pay ou Qwant.com, le moteur de recherche qui mémorisera votre historique localement.»
Faire des émules
Pour plus de transparence, cette techno sera ouverte à des services tiers désireux, eux aussi, de respecter les données personnelles de l’utilisateur.
De ce point de vue là, l’idée a fait son chemin. Des collectivités territoriales comme la Métropole Nice Côte d’Azur, la Région Sud qui recense 125.000 postes informatiques, la Région Bretagne ont adopté le moteur de recherche Qwant. Le privé aussi. A l’instar de la Caisse d’Épargne, de la BNP, de Safran, de Thales ou de la MGEN… ont suivi. L’Administration n’est pas en reste. Le secrétaire d’État à l’Economie au numérique Cédric O a annoncé à Vivatech que le moteur de recherche éthique serait installé par défaut sur quelque quatre millions de postes.
Pour Qwant qui revendique 5% de parts de marché et qui est le 38e site Internet français (la première place est trustée par Google.fr), «C’est de la croissance à moindre coût», s’enthousiasme Tristan Nitot.
Autre bonne nouvelle, le partenariat il y a quelques semaines avec Microsoft aux termes duquel Qwant ferait partie des options préremplies dans les prochaines versions du navigateur Edge livré avec toutes les nouvelles machines Windows. Et le vice-président de se frotter les mains: «Ce sont des centaines de millions de machines dont on parle.»
Enfin, la PME va s’implanter à Cannes pour créer le moteur de recherche consacré à l’art et la culture. «Après Qwant Junior et Qwant Music, Qwant Art sera dédié aux internautes et aux professionnels de la culture.»
Avec cette série d’annonces, Qwant poursuit sa croissance. Certes, il est encore loin de faire de l’ombre à l’ogre Google mais le «petit» moteur de recherche a faim et grignote des parts de marché: «Notre croissance est de plusieurs pour cent par semaine», confirme Tristan Nitot qui vise entre 10 et 20 millions d'euros de chiffre d’affaires en 2018.
Aux États-Unis, les quartiers résidentiels les plus aisés ne sont pas toujours les mieux pourvus en caméras de vidéosurveillance publiques. C’est pourtant dans ces quartiers que se développe une nouvelle forme de surveillance, popularisée notamment par le succès de Ring, la sonnette vidéo d’Amazon, explique le journaliste Alfred NG (@alfredwkng) sur Cnet (@cnet).
A l’origine Ring est une startup ukrainienne rachetée en janvier 2018 par Amazon pour un milliard de dollars. Elle fait partie des nombreux investissements que l’entreprise américaine a réalisés pour structurer et diversifier son offre de produits connectés domestiques. Moins connus que l’emblématique assistant vocal Alexa, des dizaines de milliers d’Américains ont pourtant équipé leur porte d’entrée de cette sonnette vidéo qui ne se déclenche pas seulement quand on sonne, mais aussi quand elle détecte un mouvement. La caméra ne surveille pas que ceux qui cherchent à venir chez vous… mais également les mouvements de la rue ou de la cour devant votre domicile. Pour tout bon défenseur de la liberté individuelle, cette épidémie de caméras privatives ne devrait pas prêter à discussion… sauf qu’elles ne sont pas si privatives qu’annoncées et que la somme de ces actes individuels n’est pas sans conséquence sur la société.
D’une manière surprenante, nombre de services de police américains ont largement promu ces nouveaux objets auprès des habitants, en proposant même des réductions voire un équipement gratuit… Cette promotion un peu particulière n’était pas sans contrepartie : la police a promu l’équipement en échange d’un accès aux vidéos enregistrés par les caméras (un accès qui n’est pas automatique, mais qui se fait sur demande de la police). Ring s’est pourtant défendue de promouvoir ces offres. Les clients de Ring ont le contrôle de leurs vidéos, a déclaré récemment l’enseigne. Ils décident seuls de partager ou non leurs enregistrements et s’ils veulent acheter ou pas un service de stockage des enregistrements (à partir de 3$ par mois). Si Ring a offert des appareils à des services de police ou à des associations, Ring ne soutient pas de programmes qui obligent les utilisateurs à partager leurs vidéos avec d’autres, s’est défendue la marque. Mais dans les faits, rapporte Alfred NG, ce n’est pas exactement ce qu’on constate…
Aux États-Unis, plus de 50 services de police locaux se sont associés à Ring pour promouvoir le service, souvent en échange d’un accès aux images dans des zones où la police est souvent dépourvue de moyens de surveillance. Autant de caméras qui permettent à la police de bénéficier de nouvelles sources d’enregistrement vidéo, tout en proposant un service visant à tranquilliser les usagers. Ceux-ci bénéficient également d’une application sociale de partage des vidéos des caméras baptisée Neighbors (Voisins). Cette application (qui aurait déjà plus d’un million d’utilisateurs) permet de partager, regarder et commenter des vidéos et des informations sur la sécurité des quartiers. On y croise bien sûr des vidéos de vols et de crimes, des vidéos de comportements suspects ou délictueux, des vidéos d’incidents urbains…
Pour Mohammad Tajsar avocat de l’American civil liberties union (@aclu), nous avons là « un mariage parfait entre forces de l’ordre, particuliers et grandes entreprises pour créer les conditions d’une société dont peu de gens voudraient faire partie ». Sur Ring, la police a accès à un tableau de bord où elle peut demander des séquences filmées à des moments précis sur requête auprès des utilisateurs ou directement auprès de Ring.
Carte montrant la densité des caméra vidéos Ring à BloomfieldÀ Bloomfield, New Jersey, le quartier est presque entièrement couvert de caméras. En 2017, le responsable de la police de Bloomfield avait tenté de lancer un programme de vidéosurveillance volontaire. À l’époque, 442 lieux équipés de caméras s’étaient inscrits, surtout des entreprises. Aujourd’hui, il estime que le réseau Ring sur Bloomfield représente un accès à plus de 4000 caméras ! Pire, rapporte Cnet : installer un plan de vidéosurveillance en ville est souvent compliqué ! Il faut décider où les implanter, faire voter la proposition au Conseil municipal… pour une technologie où chaque caméra coûte encore très cher et dont le rapport efficacité/coût peut-être très discuté (voir Vidéosurveillance : où avons-nous failli ?). Or, Ring permet à la fois d’économiser l’argent public et surtout de contourner le processus démocratique qui décide de son installation… Le réseau de vidéosurveillance n’a plus besoin d’une décision collective ou publique pour devenir effectif !
À Mountain Brook, Alabama, le responsable de la police explique d’ailleurs qu’il n’a désormais plus besoin d’un réseau de vidéosurveillance public ! À Hammond, Indiana, la ville a subventionné l’achat de caméra avec l’aide de Ring : les 500 caméras sont parties en une semaine ! 600 autres ont été installées grâce à un programme de réduction proposé par la ville. Pour l’avocat de l’ACLU, « le public subventionne les atteintes à la liberté en agissant ainsi ». À Houston, la police a lancé un concours pour gagner des caméras à condition que les lauréats acceptent d’ouvrir un accès à la police lorsqu’elle en ferait la demande… Et dans plusieurs villes, quand 20 personnes s’inscrivent, Ring offre une caméra ! Pour le juriste Eric Piza, la police agit désormais dans l’intérêt d’entreprises commerciales (qui se rémunèrent surtout sur l’abonnement mensuel pour stocker les images). À Bloomfield pourtant, les gens n’ont pas inondé d’images la police. Les demandes de la police restent souvent sans réponses, sauf lorsque les agents se déplacent pour les demander en personne… dans ce cas, il est souvent plus difficile de refuser !
En décembre dernier, Ring a envisagé introduire une technologie de reconnaissance faciale pour ses sonnettes, permettant de reconnaître des personnes suspectes et d’en alerter directement la police. Mais la proposition n’a pas été très bien reçue… Amazon qui développe son propre logiciel de reconnaissance faciale, Rekognition (que l’entreprise vend aux forces de l’ordre) a rencontré également une forte contestation, notamment du fait des erreurs et des biais de genres, de classes et de race de ces outils. Mais malgré les contestations externes comme internes, le récent conseil d’administration d’Amazon a rejeté l’abandon du logiciel. Cela n’empêche pas dès à présent la police, elle, d’utiliser les technologies qu’elle souhaite sur les vidéos récupérées depuis Ring, comme celles lui permettant de lire et reconnaître les plaques minéralogiques des voitures suspectes…
Brian X Chen (@bxchen), responsable de la rubrique Tech Fix pour le New York Times revient sur le développement des réseaux de surveillance de quartiers aux États-Unis, comme Nextdoor, Streety ou Citizen (des réseaux sociaux locaux de surveillance de quartiers), trois des applications parmi les plus téléchargées aux États-Unis. Si ces applications ne reposent pas sur la vidéosurveillance, elles dispensent souvent des alertes préoccupantes dès que quelque chose d’inquiétant se déroule dans le quartier où vous habitez. Le problème, estime le journaliste du New York Times, c’est que ces applications sont particulièrement anxiogènes, alors même que la criminalité n’a cessé de chuter ces dernières années… Comment ne pas succomber à la paranoïa en les utilisant ? Et ce d’autant que Citizen ou Neighbors de Ring notifient par défaut sur leurs applications les incidents signalés dans le quartier sur les 30 derniers jours, comme pour rendre chaque quartier plus criminogène qu’il n’est. Pour s’en prémunir, le journaliste recommande de changer ce paramètre par défaut pour ne faire s’afficher que les incidents du dernier jour. De désactiver les notifications et de ne les utiliser qu’en cas de besoin. Les promoteurs de ces applications soulignent néanmoins que sur Ring comme sur Nextdoor, l’essentiel des signalements ne concerne pas la criminalité ou la sécurité, mais plutôt des animaux perdus ou des rues en travaux…
Pourtant, les solutions proposées par Brian Chen sont peu satisfaisantes : elles remettent toujours la responsabilité sur l’utilisateur final, sans interroger les choix par défauts que proposent ces systèmes. Ces entreprises proposent des outils par nature anxiogènes qui, par leurs choix de conception mêmes, renforcent l’angoisse de ceux qui les utilisent. Sous prétexte de liberté individuelle, ils ont un impact direct sur nos libertés collectives… Le choix des individus s’impose à tous les autres, sans offrir aux autres le moindre recours pour s’y opposer…
Le panopticon sécuritaire d’Amazon annonce déjà ses prochaines extensions. Un brevet, repéré par Quartz, projette de proposer prochainement une surveillance par drone des habitations. Et de nouveaux produits Ring sont annoncés : notamment des caméras embarquées pour les voitures… En janvier 2019, The Intercept avait révélé que des employés de Ring était capables de regarder des images en direct à partir des caméras de leurs clients (une information démentie par l’entreprise, mais maintenue par le journal d’investigation), soi-disant pour permettre aux employés d’aider les algorithmes à mieux catégoriser les objets – et ce alors que Ring assure ne pas utiliser d’outils de reconnaissance d’image…
La mise en réseau de fonctions de surveillance privatives en transforme assurément la nature et la puissance. Les capacités d’affiliation proposées par Amazon à la police ou aux utilisateurs de Ring sont de puissants leviers pour conquérir et élargir le public qui a recours à ces outils, normalisant insidieusement la vidéosurveillance ainsi que la surveillance de voisinage. La promotion et la subvention publique également. Pour le professeur Chris Gilliard (@hypervisible), de telles plateformes sécuritaires favorisent le racisme et l’intolérance, explique-t-il sur Vice. Vice, qui a fait une rapide recension de vidéos postées sur l’application sociale de Ring note qu’une majorité d’entre elles sont clairement racistes alors qu’elles concernent des délits souvent mineurs… beaucoup par exemple se plaignent de livreurs qui ne sont pas suffisamment précautionneux dans leur travail.
Chris Gilliard parle de Digital Redlining pour désigner ces pratiques. Le Redlining fait référence à une pratique discriminatoire consistant pour les banques, les assurances et les services de santé de refuser d’investir dans certains quartiers (bien évidemment les plus pauvres et les plus noirs des États-Unis) délimités d’une ligne rouge par les investisseurs… Si la pratique a été interdite dès la fin des années 60, le numérique lui donne une nouvelle réalité, souligne Gilliard. En 2016, une enquête de Bloomberg avait révélé qu’Amazon avait tendance à refuser l’accès à la livraison dans la journée à la plupart des quartiers de minorités. À Boston, le quartier noir de Roxbury, était le seul où la livraison le jour même n’était pas disponible, alors que tous les quartiers qui entouraient Roxbury, eux, étaient livrés dans la journée ! Pour Gilliard, plus de caméras ne signifient pas plus de sécurité, en tout cas pas pour les communautés les plus marginalisées. Plus de caméras, c’est d’abord moins de sécurité pour ceux qui sont contrôlés par celles-ci. Et le professeur de rappeler qu’il y a une différence très significative entre une alarme qui se déclenche lors d’une intrusion à son domicile et un système qui surveille et enregistre en permanence tous types de signaux dont l’interprétation est libre…
Un récent rapport de l’ACLU qui faisait le point sur le développement de la vidéosurveillance aux États-Unis recommande que les acteurs du secteur de l’analyse vidéo ne puissent être autorisés à déployer des fonctions d’analyse sans approbation législative, sans contrôle extérieur et sans analyse d’impact de leurs effets sur les droits civils notamment. Depuis 2016, l’ACLU a d’ailleurs lancé CCOPS, une initiative de projets de règlements locaux pour permettre aux communautés d’exercer un contrôle sur les méthodes de surveillance de la police et obtenir plus d’information sur les modalités de surveillance utilisées par les forces de police.
Un exemple qui montre bien qu’il n’y a pas que la question de la reconnaissance faciale qui est problématique avec la vidéosurveillance. Le contrôle démocratique du déploiement même du réseau à l’heure de son ubérisation par Ring l’est tout autant !
Hubert Guillaud
Depuis le 9 mai, il faut donner son nom, prénom et date de naissance pour acheter un billet de train sur les lignes TGV et Intercités. Seuls les TER proposent encore des billets qui ne sont pas nominatifs.
Question posée par François L. le 14/06/2019
Nom, prénom et date de naissance : à en croire une affichette de la SNCF, les usagers doivent désormais décliner leur identité pour obtenir un «billet émis au format e-billet» (où le «e» signifie «électronique»). Et «justifier de cette identité» une fois à bord du train. «Un espace de liberté de moins», regrette la journaliste du Monde Ariane Chemin, qui a pris en photo cette affichette le mois dernier en gare de Saint-Lazare, au moment d’acheter un billet Intercités pour la Normandie.
Encore un espace de liberté de moins. Le train, c’était voyager libre, sans traces, incognito. Depuis le 9 mai, au guichet ou au distributeur, même en argent liquide, chacun doit donner son nom pic.twitter.com/7RBgWzAsd9
— Ariane Chemin (@ArianeChemin) 12 juin 2019
Alors que s’est-il passé le 9 mai 2019 ? Il s’agit de la date de la refonte des tarifs et cartes de réduction mise en place par Voyages SNCF, la branche du groupe chargée des voyages grandes lignes et de la vente des billets sur le site Oui.sncf. Depuis cette date, «tout le système est pensé autour du e-billet» car «c’était une vraie attente des gens, d’avoir un système facile et fluide», explique le service de presse.
A l’exception de quelques tarifs très spécifiques (comme ceux prévus pour les militaires par exemple), l’ensemble des billets grandes lignes (TGV et Intercités) sont donc désormais vendus exclusivement sous format électronique. Ce type de titres de transport étant «nominatif et incessible», il est donc «demandé de renseigner les noms, prénoms et date de naissance de chaque passager» et ce quel que soit le canal de distribution, précise Voyages SNCF à CheckNews : «Gares, bornes libre-service, internet, agence de voyages, etc.»
Pourquoi ne pas conserver des billets papiers (aussi appelés «IATA» dans le jargon) non nominatifs pour ceux qui le souhaiteraient ? «Cela impliquerait de rester avec deux systèmes, ce qui engendre des coûts. L’évolution est d’ailleurs la même partout, que ce soit dans l’aérien ou pour la dématérialisation du carnet de tickets de métro à Paris.»
89% de billets électroniques
En plus des avantages que le système représente en termes de coût pour la SNCF, l’entreprise publique met en avant ceux pour les «clients», qui peuvent désormais gérer échanges, remboursements ou demandes de compensation en ligne, et qui n’ont «plus à craindre de perdre» leur billet ou «besoin de se déplacer pour retirer leur billet ou le recevoir à domicile».
En avril, juste avant la généralisation, plus de 89 billets grandes lignes vendus sur 100 étaient déjà électroniques, précise Voyages SNCF, qui assure au passage «ne pas conserver les données» récoltées sur les usagers.
Voyager de manière anonyme, un droit fondamental pour la Cnil
La Cnil estime pourtant de façon constante (avis rendus en 1991 puis 2003 et 2004) que les entreprises de transport ne doivent pas «priver les usagers de la possibilité d’utiliser un service de transport public de manière anonyme». Elle précise même à CheckNews que «le droit à voyager de manière anonyme est un droit fondamental pour chaque passager».
La SNCF peut toutefois se baser sur une évolution législative récente, qui a mis à mal ce «droit fondamental». En mars 2016, la loi Savary sur la sécurité dans les transports (qui vise entre autres à lutter contre «les incivilités», «les atteintes à la sécurité publique» et «les actes terroristes») a ainsi autorisé les entreprises de transports collectifs à «subordonner le voyage de ses passagers à la détention d’un titre de transport nominatif».
Il reste quand même une possibilité pour les usagers soucieux de rester anonymes qui veulent voyager en train en France : acheter un billet TER (et/ou Transilien en Ile-de-France). Si vous ne passez pas par Oui.sncf ou l’application SNCF, mais que vous l’achetez directement au guichet ou sur une borne libre service, aucun nom ou date de naissance ne vous seront demandés.
Cordialement
Vincent Coquaz
Les services de police des États-Unis se sont associés à Ring, une filiale d’Amazon, pour offrir des programmes de sonnettes de porte intelligentes Ring gratuitement ou à des prix subventionnés à des résidents des villes américaines. Mais ce qui inquiète les défenseurs de la vie privée est que certains services de police ont ajouté leurs propres conditions aux programmes qui leur permettent d'obtenir, sur demande, des images enregistrées par les appareils Ring installés sur les portes des résidents. Ce qui donnerait à la police des capacités de surveillance sans précédent et pourrait poser de graves problèmes en matière de protection de la vie privée, selon un rapport.
Ses sonnettes intelligentes sont devenues populaires tout comme les autres gadgets intelligents qui améliorent la qualité de vie des utilisateurs en rendant leurs maisons plus intelligentes. Mais des portes plus intelligentes vont de pair avec plus de caméras et par conséquent plus d’images disponibles pour des usages divers.
Ring fabrique une sonnette intelligente qui, installée sur la porte d’entrée d’une maison, améliore la sécurité de l’habitation et procure la tranquillité d'esprit aux propriétaires. Ces sonnettes servent à surveiller les entrées des domiciles à l'aide de caméras à détection de mouvement, et elles enregistrent et sauvegardent les images de toute personne qui appuie sur la sonnette, tant que vous disposez d'un abonnement mensuel au programme Ring. Amazon a acquis Ring en 2018 pour un milliard de dollars.
En mai 2018, Ring a lancé l'application Neighbors, en initialisant ainsi ce qu’il appelle « un grand pas vers une sécurité accessible et abordable pour tous ». L’application est une solution de sécurité que chaque membre de la communauté, qu'il possède ou non un périphérique Ring, peut utiliser. Elle permet aux membres de la communauté et, dans certains cas, aux forces de l'ordre, de travailler ensemble afin de réduire la criminalité, d’après Ring. Les utilisateurs reçoivent une notification sur leurs appareils mobiles lorsque quelqu'un sonne à la porte, et ils peuvent regarder des images en direct de la caméra intelligente de la sonnette de porte de n'importe où dans le monde.
La facilité d’utilisation, le confort et la tranquillité d’esprit que ces sonnettes intelligentes apportent, ont fait que les quartiers résidentiels dans de nombreuses villes américaines, comme Bloomfield dans le New Jersey, autrefois avec moins de caméras de surveillance, sont aujourd’hui équipées de réseaux de surveillance privés alimentés par Amazon et promus par les services de police, selon un rapport.
Selon le rapport, les services de police, des grandes villes plus peuplées aux petites villes de moins de 30 000 habitants, ont offert ces sonneries d’Amazon gratuitement ou à prix réduit aux citoyens, utilisant parfois l'argent des contribuables pour payer les produits Amazon. Cette promotion est un programme commun des services de police et d’Amazon qui participe à la subvention des périphériques Ring.
Mais, alors que Ring a déclaré, dans un article de blog publié en février, que les utilisateurs ont un contrôle total sur leurs séquences enregistrées sur Ring et peuvent choisir avec qui partager ces séquences, donnant ainsi le choix aux propriétaires de Ring de fournir ou pas des enregistrements à la police, dans certains cas, la police exige de ces derniers qu'ils lui remettent les séquences sur demande, selon le rapport. Ces contraintes supplémentaires ajoutées par les forces de police contredisent la vision de Ring, qui consiste à éviter les cambriolages à domicile. « Nos clients nous font part de leurs histoires sur la façon dont Ring les a aidés à identifier un voleur ou comment Ring les a aidés à prévenir un cambriolage chaque jour », peut-on lire dans l’article de blog de Ring.
Ring a déclaré à site Web qu'il n’était pas impliqué dans des programmes des services de police qui obligent les utilisateurs à partager leurs séquences vidéo ou les programmes qui les obligent à s'abonner à un plan d'abonnement pour l'enregistrement d'images. L'entreprise a même indiqué qu'elle serait en train de travailler avec ses partenaires pour s'assurer que sa vision pour ses sonnettes intelligentes se reflète dans ses programmes de partenariat et qu’elle commencerait à sévir ensuite. Dans un communiqué, Ring a déclaré :
« Les clients de Ring ont le contrôle de leurs vidéos, quand ils décident de les partager et s'ils veulent ou non acheter un plan d'enregistrement. Ring a fait don d'appareils aux partenaires des forces de l'ordre des pays voisins pour qu'ils les fournissent aux membres de leurs communautés ». « Ring ne prend pas en charge les programmes qui exigent des destinataires qu'ils s'abonnent à un plan d'enregistrement ou que les images des appareils Ring soient partagées comme condition pour recevoir un appareil donné. Nous travaillons activement avec nos partenaires pour nous assurer que cela se reflète dans leurs programmes », a ajouté l’entreprise.
Selon un rapport, plus de 50 services de police locaux à travers les États-Unis se seraient associés à Ring, au cours des deux dernières années, dans des programmes de promotion des sonnettes intelligentes d’Amazon, se félicitant de la façon dont le produit d’Amazon leur permet d'accéder à des séquences de sécurité dans des zones qui n'ont généralement pas de caméras, comme dans les banlieues. Le service de police de Bloomfield se réjouit également de l’abondance de ces caméras dans tous les quartiers de Bloomfield.
« Notre ville est maintenant entièrement couverte par des caméras », a déclaré le capitaine Vincent Kerney, commandant du bureau de détectives de la police de Bloomfield. « Dans tous les quartiers de la ville, il y a des caméras Ring », a-t-il ajouté.
M. Kerney avait déjà commencé un programme de surveillance volontaire en 2017 et il y avait environ 442 endroits qui se s’étaient inscrits, surtout des entreprises. Ce qui représentait, selon M. Kerney, une goutte d'eau dans l'océan par rapport au réseau de sonnettes intelligentes de Ring actuel. M. Kerney a expliqué :
« Il y a probablement 10 fois plus de caméras Ring que ce que nous n'avons autre chose ». « En général, la plupart des gens n'ont pas de système de surveillance à grande échelle dans leur maison », explique-t-il. « Mais quelque chose de simple comme Ring, où vous avez juste à le brancher ? Les gens accepteront ».
Des services de police s’associent à Ring pour offrir, gratuitement ou à faibles coûts, la vidéo surveillance aux résidents dans la plupart des villes aux Etats-Unis, mais malgré ces avantages, la relation entre les services de police et Amazon soulève des préoccupations au sujet de la surveillance. Les défenseurs de la vie privée soutiennent que ce partenariat permet aux organismes d'application de la loi d'exercer une surveillance sans précédent, les services de police s'appuyant sur ce réseau de Ring pour développer leurs réseaux de surveillance.
Un avocat de l’ACLU de la Californie a déclaré à ce sujet : « Ce que nous avons ici, c'est un mariage parfait entre les forces de l'ordre et l'une des plus grandes entreprises du monde, créant les conditions d'une société dont peu de gens voudraient faire partie ». Mais dans une déclaration, Ring a dit : « Nos clients et les utilisateurs des applications Neighbors nous font confiance pour protéger leurs maisons et leurs communautés, et nous prenons cette responsabilité très au sérieux ».
Nous savons déjà que le géant du commerce en ligne, propriétaire de Ring, vend déjà sa technologie de reconnaissance faciale au gouvernement américain. Selon les experts, Rekognition est à l’origine de plusieurs discriminations basées, entre autres, sur la couleur de peau. Les organisations de protection de la vie privée ont insisté pour qu’Amazon arrête de fournir cette technologie aux forces de police, mais ce n’est pas encore le cas et Amazon devrait continuer à commercialiser sa technologie de reconnaissance faciale aux forces de l’ordre si l’on s’en tient aux résultats du vote des actionnaires lors de sa dernière assemblée annuelle.
Business Insider a également publié un article en avril dernier selon lequel les employés d'Amazon qui travaillent à améliorer son assistant vocal Alexa écouteraient les enregistrements vocaux de ce qui se dit dans les maisons et les bureaux des propriétaires d’Echo, lorsque ce dernier est activé. Selon l’article, ces employés peuvent écouter jusqu'à 1000 enregistrements par jour.
Aussi en janvier dernier, The Intercept a rapporté que les utilisateurs des caméras de sécurité Ring d'Amazon seraient espionnés à leur insu, mais un porte-parole de la société avait tout nié en bloc. Espérons que les utilisateurs n’auront rien à craindre des sonnettes intelligentes, un autre produit d’Amazon, et des programmes additionnels des services de police, qui pourraient leur faire obligation de partage de séquences vidéo Ring.
Source : Département de Police Bloomfield, Ring
Imagine you are shopping in your favorite grocery store. As you approach the dairy aisle, you are sent a push notification in your phone: “10 percent off your favorite yogurt! Click here to redeem your coupon.” You considered buying yogurt on your last trip to the store, but you decided against it. How did your phone know?
Your smartphone was tracking you. The grocery store got your location data and paid a shadowy group of marketers to use that information to target you with ads. Recent reports have noted how companies use data gathered from cell towers, ambient Wi-Fi, and GPS. But the location data industry has a much more precise, and unobtrusive, tool: Bluetooth beacons.
These beacons are small, inobtrusive electronic devices that are hidden throughout the grocery store; an app on your phone that communicates with them informed the company not only that you had entered the building, but that you had lingered for two minutes in front of the low-fat Chobanis.
Most location services use cell towers and GPS, but these technologies have limitations. Cell towers have wide coverage, but low location accuracy: An advertiser can think you are in Walgreens, but you’re actually in McDonald’s next door. GPS, by contrast, can be accurate to a radius of around five meters (16 feet), but it does not work well indoors.
Bluetooth beacons, however, can track your location accurately from a range of inches to about 50 meters. They use little energy, and they work well indoors. That has made them popular among companies that want precise tracking inside a store.
Most people aren’t aware they are being watched with beacons, but the “beacosystem” tracks millions of people every day. Beacons are placed at airports, malls, subways, buses, taxis, sporting arenas, gyms, hotels, hospitals, music festivals, cinemas and museums, and even on billboards.
In order to track you or trigger an action like a coupon or message to your phone, companies need you to install an app on your phone that will recognize the beacon in the store. Retailers (like Target and Walmart) that use Bluetooth beacons typically build tracking into their own apps. But retailers want to make sure most of their customers can be tracked — not just the ones that download their own particular app.
So a hidden industry of third-party location-marketing firms has proliferated in response. These companies take their beacon tracking code and bundle it into a toolkit developers can use.
The makers of many popular apps, such as those for news or weather updates, insert these toolkits into their apps. They might be paid by the beacon companies or receive other benefits, like detailed reports on their users.
Location data companies often collect additional data provided by apps. A location company called Pulsate, for example, encourages app developers to pass them customer email addresses and names.
Companies like Reveal Mobile collect data from software development kits inside hundreds of frequently used apps. In the United States, another company, inMarket, covers 38 percent of millennial moms and about one-quarter of all smartphones, and tracks 50 million people each month. Other players have similar reach.
Location data companies have other disturbing tricks up their sleeve. For example, inMarket developed “mindset targeting” techniques that predict when individuals are most receptive to ads. These techniques are based on statistical probabilities calculated through millions of observations of human behavior. Brands like Hellman’s, Heineken and Hillshire Farms have used these technologies to drive product campaigns.
What is an S.D.K.? A Software Development Kit is code that's inserted into an app and enables certain features, like activating your phone's Bluetooth sensor. Location data companies create S.D.K.s and developers insert them into their apps, creating a conduit for recording and storing your movement data.
Location marketing aims to understand “online-offline attribution.” If a Starbucks coffee ad is sent to your email, for example, marketers want to know if you actually went there and bought a coffee. The only way to know is to monitor your online and offline habits at all times.
Beacons are also being used for smart cities initiatives. The location company Gimbal provided beacons for LinkNYC kiosks that provoked privacy concerns about tracking passers-by. Beacon initiatives have been started in other cities, including Amsterdam (in partnership with Google), London and Norwich.
Familiar tech giants are also players in the beacosystem. In 2015, Facebook began shipping free Facebook Bluetooth beacons to businesses for location marketing inside the Facebook app. Leaked documents show that Facebook worried that users would “freak out” and spread “negative memes” about the program. The company recently removed the Facebook Bluetooth beacons section from their website.
Not to be left out, in 2017, Google introduced Project Beacon and began sending beacons to businesses for use with Google Ads services. Google uses the beacons to send the businesses’ visitors notifications that ask them to leave photos and reviews, among other features. And last year, investigators at Quartz found that Google Android can track you using Bluetooth beacons even when you turn Bluetooth off in your phone.
For years, Apple and Google have allowed companies to bury surveillance features inside the apps offered in their app stores. And both companies conduct their own beacon surveillance through iOS and Android.
It should not be lost on the public that Apple created the first Bluetooth system of commercial surveillance. Apple’s chief executive, Tim Cook, recently wagged his finger at the “data-industrial complex.” Unlike other tech giants that monetize surveillance, Apple relies upon hardware sales, he said. But Mr. Cook knew what Apple was creating with iBeacon in 2013. Apple’s own website explains to developers how they can use iBeacon to micro-target consumers in stores.
Companies collecting micro-location data defend the practice by arguing that users can opt out of location services. They maintain that consumers embrace targeted ads because they’re more relevant. Industry players further claim that data is anonymized through techniques that mask the identification of users. Your data may be stored as “ID-67aGb9ac72r” instead of “Jane Doe.” Yet studies have shown that it is relatively easy to deanonymize mobility data. Moreover, the process of “informed consent” fails to protect user privacy. As The Times noted in an investigation into smartphone location tracking, “The explanations people see when prompted to give permission are often incomplete or misleading.”
For informed consent using beacons, you have to first know that the beacons exist. Then, you have to know which places use them, but venues and stores don’t put up signs or inform their customers. You can download an app like Beacon Scanner and scan for beacons when you enter a store. But even if you detect the beacons, you don’t know who is collecting the data. Let’s say you visit Target; it might be collecting data from you, but it might rent its beacons out to other businesses, allowing them to monitor your location. Moreover, some beacons are not secured, so third parties can “piggyback” off public beacons and use them to collect your location. There is no way to know if a store has secured its beacons.
Apple and Google could be tracking you through iOS and Android, but they don’t make their Bluetooth beacon collection methods transparent. There is no easy way to determine which apps on your phone have the beacon location tracking built in.
Even if you did know which companies have access to your beacon data, there’s no way to know what kind of data is collected through the app. It could be your micro-location, dwell time or foot traffic, but it can also include data from the app, such as your name, and your app data can be combined with other data sets compiled about you by data brokers. There is simply no transparency.
To protect yourself from beacons in the short term, you can delete any apps that may be spying on you — including apps from retailers — and shut off location services and Bluetooth where they are not needed. You can also follow The Times’s guide on how to stop apps from tracking your location. For Android users, the F-Droid app store hosts free and open- source apps that do not spy on users with hidden trackers.
Most of our concerns about privacy are tied to the online world, and can feel theoretical at times. But there is nothing theoretical about Bluetooth beacon technology that follows you into retail stores (and other venues) and tracks your movement down to the meter.
Michael Kwet is a visiting fellow at the Information Society Project at Yale Law School, and host of the Tech Empire podcast.
Follow The New York Times Opinion section on Facebook, Twitter (@NYTopinion) and Instagram.
Ce ne sont là que quelques-uns des moyens ingénieux par lesquels la police de la sûreté de l’Etat – mieux connue sous le nom de Stasi – espionna des individus entre 1950 et 1990, dont beaucoup sont maintenant exposés au musée de la Stasi à Berlin.
À l’heure actuelle, la police allemande – à l’instar de nombreuses forces de l’ordre – souhaite non seulement avoir accès à des données téléphoniques, mais également à des informations recueillies par des assistants numériques tels que Google Home et Amazon Echo.
L'Allemagne prévoit de discuter de cette question la semaine prochaine lors d'une réunion des ministres de l'intérieur. Mardi, un porte-parole du ministère de l'Intérieur a abordé la question lors d'une conférence de presse: "Pour lutter efficacement contre la criminalité, il est très important que les autorités fédérales et des États aient accès aux données collectées par ces appareils".
Cela a déclenché des sonneries d'alarme pour ceux qui surveillent les droits à la vie privée numérique.
"Ils savent que c'est anticonstitutionnel, ce qu'ils vont faire et je suppose que les autorités de protection des données s'impliquent", a déclaré Jeanette Hofmann, professeure de politique Internet à la Freie Universität Berlin et experte de recherche sur Internet et Internet à la société allemande du Bundestag. ,
Le problème du cartel de Tech est ouvert depuis des années
"La maison est toujours considérée comme un lieu sacré par rapport à ce qui se passe en public, la possibilité que tout ce que vous faites à la maison soit surveillé et que les données ne soient mises à la disposition des autorités répressives que sur décision de justice, est assez effrayant. "
L’Allemagne n’est certainement pas le seul pays à s’occuper de la question de la délimitation de la confidentialité des données numériques. Cependant, en raison de son histoire, l'Allemagne est particulièrement sensible au droit à la vie privée et a adopté certaines des lois les plus strictes au monde en matière de protection de la vie privée.
Sven Herpig, expert en cybersécurité, a déclaré que la politique allemande prenait traditionnellement en charge le cryptage pour cette raison.
"La politique que nous avons au cours des 20 dernières années dit:" Nous ne compromettons pas le cryptage, nous ne l'affaiblissons pas, nous ne faisons pas de backdoors, les forces de l'ordre doivent trouver un autre moyen d'accéder aux données ", a-t-il déclaré.
"Vous devez regarder l'expérience historique de la surveillance NS, puis nous avons une longue histoire contre la surveillance gouvernementale."
Toutefois, avec les assistants numériques tels que Google Home ou Amazon Echo, de nombreuses données collectées ne sont pas stockées en Allemagne, mais à l'étranger, notamment aux États-Unis. Jeudi, l'Union de sécurité de la Commission européenne s'est réunie pour évaluer les propositions permettant à tout membre, y compris l'Allemagne, d'accéder aux preuves numériques recueillies dans un autre pays.
"Trop longtemps, les criminels et les terroristes abusent de la technologie moderne pour commettre leurs crimes", a déclaré Julian King, commissaire de l'Union pour la sécurité, dans un communiqué. "En établissant des normes internationales pour l'accès aux preuves électroniques, nous franchissons un pas supplémentaire vers la fermeture de la zone dans laquelle ils exercent leurs activités en garantissant que les services répressifs puissent plus efficacement enquêter sur eux et les poursuivre, tout en respectant pleinement les droits fondamentaux. ".
Preuve numérique comme preuve pénale
Selon la Commission européenne, environ 85% des enquêtes pénales nécessitent des preuves numériques et dans 2/3 de ces cas, les preuves doivent être obtenues auprès de fournisseurs de services externes, en particulier aux États-Unis.
Cependant, les groupes allemands de défense des droits numériques ont critiqué les propositions de l'UE en soulignant que les lois strictes en matière de protection des données en Allemagne peuvent être mises à mal et ont soutenu que les propositions actuelles ne tiennent pas compte du fait qu'un crime dans un pays est nécessairement un crime dans un autre est vu.
Le nouveau plan de Facebook ne protège pas votre vie privée et la FTC ne
"Un tel régime n'aurait de sens que s'il existait un consensus au sein de l'UE ou au niveau international sur ce qui constitue un crime et que les mêmes garanties procédurales s'appliquent", a déclaré Elisabeth Niekrenz de Digital Society, un organisme de surveillance des droits numériques. "Si l'avortement est une infraction pénale dans un État et pas dans un autre, les fournisseurs de services de cet État ne devraient pas être contraints de prouver de tels événements."
Expériences de surveillance personnelle
Les Allemands savent par expérience à quel point la surveillance de masse peut être mal utilisée. Aujourd'hui, un citoyen allemand peut voir dans ses archives personnelles dans les archives de la Stasi les informations que la police a recueillies sur lui et sa famille, et utiliser ces informations pour harceler les dissidents et contrôler les simples citoyens.
Pour les appareils numériques, toutefois, ce sont les entreprises privées qui réduisent les données collectées grâce à cette surveillance dans le monde entier. Maintenant, prévient le professeur Hofmann, les gouvernements dans le contexte des enquêtes pénales veulent également avoir accès à cette richesse de données. Il incombe donc aux activistes des droits numériques de défendre leur cas devant les tribunaux.
L'agence nationale de sécurité arrête son programme de surveillance
"C’est un problème international. Nous sommes scandalisés d’avoir entendu nos conversations privées chez nous, mais le gouvernement dit qu’il en fera de même", a déclaré Hofmann.
"Nous avons privatisé de nombreuses infrastructures et transféré le pouvoir décisionnel aux marchés. Ainsi, dans le passé, lorsque les citoyens estimaient que le marché abusait de ces pouvoirs, ils pouvaient se tourner vers les gouvernements et exiger une réglementation, mais le système judiciaire reste la seule alternative C'est un gros problème pour toute démocratie. "
Un an après l’entrée en vigueur du règlement européen RGPD sur la vie privée, de très nombreux sites ont recours à un service de cette société, pourtant peu connue pour recueillir votre consentement.
Par Damien Leloup Publié le 25 mai 2019 à 14h00
C’est un sigle qui a pris beaucoup d’importance il y a un an, le 25 mai 2018, lorsque le règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur. CMP, pour Consent Management Platform (« plate-forme de gestion du consentement »). Comme Monsieur Jourdain la prose, quasiment tous les internautes en utilisent quotidiennement sans le savoir : ce sont les services qui affichent les messages désormais bien connus vous demandant d’accepter que vos données soient utilisées pour, selon les cas, « vous proposer une expérience personnalisée », « analyser le trafic », ou « personnaliser les publicités ».
Notre enquête : Que s’est-il passé en un an de RGPD, la loi censée protéger vos données ?
Si la quasi-totalité des sites Web se sont mis à afficher des messages de ce type il y a un an, c’est parce que le RGPD a fortement renforcé la manière dont les sites Internet doivent recueillir le consentement de leurs visiteurs, avant de pouvoir enregistrer ou utiliser des données sur leur navigation. Tous les sites commerciaux « pistent » leurs visiteurs, au mieux pour savoir quelles pages sont les plus visitées, au pire pour suivre de manière très détaillée la navigation des internautes et afficher des publicités ciblées. Le RGPD impose, dans tous les pays européens, de recueillir le consentement des internautes avant de commencer à les pister.
Or, même si la mise en place du RGPD était prévue depuis des années, de très nombreuses entreprises ont été prises de court par son entrée en vigueur ; d’autres ne disposaient pas des outils ou des compétences techniques pour gérer ce « recueil du consentement ». De très nombreux sites ont donc préféré avoir recours à une solution « clés en main », proposée par des sociétés comme Quantcast, qui offrait aux éditeurs de site, avec Quantcast Choice, un outil gratuit, simple d’utilisation et conforme à la réglementation. Les sites américains, souvent pris de court, ont massivement opté pour ces solutions toutes prêtes.
Fenêtre très reconnaissable
Et l’outil de Quantcast a été un succès : installé selon l’entreprise sur plus de 26 000 sites, il devance largement ses concurrents, et l’entreprise a annoncé cette semaine la sortie d’une version « premium » payante. Sa fenêtre très reconnaissable, avec son bouton en général bleu, et parfois son menu permettant de sélectionner les données dont la collecte est autorisée (au choix de l’administrateur du site), accueille les visiteurs sur de très nombreuses pages Web.
Sauf que Quantcast, comme la plupart de ses concurrents dans ce domaine, n’est pas une entreprise spécialisée dans la vie privée, mais… dans la publicité. Fondée en 2006 aux Etats-Unis, la société s’est fortement développée ces dix dernières années, et a ouvert des bureaux dans une dizaine de pays, dont la France. Les outils qu’elle propose sont utilisés sur « plus de 100 millions de [sites et applications] Web et mobiles », selon Quantcast. Jusqu’à l’an dernier, ses deux principaux produits étaient Quantcast Measure, un outil de suivi de la fréquentation, et Quantcast Advertise, une « place de marché » publicitaire qui collecte et utilise de très importants volumes de données sur les internautes ; son service Choice ne collecte, lui, que les données de consentement de l’utilisateur, qui ne sont pas utilisées à des fins publicitaires, explique l’entreprise sur son site.
Enquête du régulateur irlandais
En revanche, son outil publicitaire a été épinglé, il y a six mois, par l’ONG Privacy International, qui listait Quantcast parmi les sept entreprises « dont vous n’avez jamais entendu parler, mais à propos desquelles nous avons saisi les régulateurs ». « Le RGPD fixe des limites claires à l’utilisation des données personnelles, et pourtant les pratiques de ces entreprises ne respectent pas les standards fixés. Nos documents démontrent l’ampleur et le caractère systématique de ces violations des lois protégeant la vie privée », affirmait à l’époque l’association.
Dans le cas de Quantcast, le régulateur irlandais de la vie privée a jugé les éléments fournis par Privacy International suffisamment solides pour ouvrir une enquête formelle le 2 mai. « L’enquête devra établir si la compilation et l’analyse de données personnelles, en vue de la création de profils destinés à l’affichage de publicités ciblées, sont en conformité avec le RGPD », écrit le régulateur. « Le respect des principes établis par le RGPD sur la conservation des données et la transparence seront également examinés ». Quantcast avait à l’époque affirmé qu’elle « coopérera[it] totalement avec l’enquête ».
Damien Leloup
À Londres, en Angleterre, un homme a été arrêté après avoir tenté d'échapper aux caméras de reconnaissance faciale. La police avait pourtant indiqué dans un communiqué que "quiconque refusera d'être scanné ne sera pas nécessairement considéré comme suspect".
L'homme en question se serait couvert le visage lorsqu'il passait devant les caméras déployées par la ville, rapporte le journal britannique The Independant. Alerté par un homme qui avait vu des pancartes avertissant le public que des caméras les filmaient, il aurait alors relevé le haut de son pull afin de camoufler son identité. Arrêté par la police, il a été condamné à payer une amende de 90 livres, soit un peu plus de 100 euros.
Selon un porte-parole de la police, "des policiers ont arrêté un homme soupçonné d’agir dans le centre-ville de Romford lors du déploiement de la technologie de reconnaissance faciale. Après avoir été arrêté, l’homme est devenu agressif et a menacé les agents. En conséquence, un avis de pénalité pour désordre public lui a été délivré".
Considérant que la reconnaissance faciale était une atteinte à la liberté individuelle et la vie privée des gens, certaines villes ont décidé de la bannir. C'est le cas de San Francisco, première ville d'Amérique du Nord, à interdire à la police et autres agences gouvernementales de se servir de ce système. Le Conseil municipal entend ainsi garantir les droits civils des habitants.
TECHNOLOGIE - San Francisco est devenue mardi 14 mai la première ville des États-Unis à interdire l’utilisation de la technologie de reconnaissance faciale par la police et d’autres agences gouvernementales.
Huit des neuf membres du conseil municipal de San Francisco se sont prononcés en faveur de cette nouvelle réglementation, qui doit encore faire l’objet d’un vote de procédure la semaine prochaine avec néanmoins peu de probabilité que cela change la donne. Cette interdiction ne concerne pas les aéroports ni les sites régulés par les autorités fédérales.
“La propension à ce que la technologie de reconnaissance faciale mette en danger les droits civils et les libertés civiques contrebalance de manière importante ses soi-disant bénéfices”, relève la décision, estimant que cette technologie “va exacerber l’injustice raciale et menacer notre capacité à vivre libre de toute surveillance permanente par le gouvernement”.
Empiètement sur la vie privée et mauvais coupables
Cette interdiction s’inscrit dans le cadre d’une réglementation plus vaste sur l’utilisation des systèmes de surveillance et l’audit des politiques en la matière, avec des conditions plus strictes et la nécessité d’une approbation préalable du conseil pour les agences municipales concernant de tels systèmes. Une mesure similaire d’interdiction est envisagée à Oakland, de l’autre côté de la baie de San Francisco.
La surveillance par reconnaissance faciale suscite chez certains des craintes liées au risque que des personnes innocentes soient identifiées à tort comme étant des délinquants et que ces systèmes empiètent au quotidien sur la vie privée.
Mais d’autres estiment que cette technologie peut aider la police à lutter contre la criminalité et à rendre les rues plus sûres. L’arrestation de criminels par la police a été portée à son crédit mais elle est également responsable d’identifications erronées.
L’exemple du profilage racial en Chine
“La reconnaissance faciale peut être utilisée pour la surveillance générale en association avec des caméras vidéos publiques et peut être utilisée d’une manière passive ne requérant pas la connaissance, le consentement ou l’adhésion de la personne concernée”, a relevé l’Association de défense des droits civiques (ACLU) sur son site internet. “Le plus grand danger est que cette technologie soit utilisée pour des systèmes de surveillance classiques et haut dessus de tout soupçon”, a-t-elle poursuivi.
Selon le New York Times, les autorités chinoises se servent de cette technologie intégrée aux vastes réseaux de caméras du surveillance du pays pour repérer les membres de la minorité musulmane des Ouïghours, après avoir été programmée avec leurs caractéristiques physiques pour ne chercher qu’eux.
Ce serait le premier exemple connu de l’utilisation par un gouvernement de l’intelligence artificielle pour faire du profilage racial.
La Quadrature du Net publie et analyse les documents obtenus auprès de la mairie de Saint-Etienne sur son projet de « Safe City ». Micros couplés à la vidéosurveillance, drones automatisés, application de dénonciation citoyenne… Ils révèlent la ville sous-surveillance telle que fantasmée par son maire, Gaël Perdriau.
Au début du mois de mars, nous apprenions que la mairie de Saint-Étienne prévoyait d’installer, au titre d’une expérimentation, plusieurs dizaines de microphones dans un quartier de la ville afin d’en capter les « bruits suspects » et d’aider à l’intervention plus rapide des services de police.
Cette expérimentation ressemblant fortement aux projets de Smart Cities sécuritaires que nous dénonçons depuis plus d’un an, nous avons aussitôt fait une demande de communication des documents administratifs, nous adressant non seulement à la ville mais aussi la CNIL qui avait été abondamment citée dans les articles de presse. Il y a une semaine, nous avons eu les réponses à nos demandes. Tandis que la CNIL nous indique n’avoir rien à nous transmettre, la ville de Saint-Étienne nous a communiqué plus de deux cent pages de rapports, compte-rendus de réunions, courriers électroniques que nous publions ici (après un peu de caviardage pour protéger les données personnelles – voir la liste à la fin de l’article).
Ces documents permettent bien de dévoiler la « Safe City » telle que fantasmée par le maire Les Républicain de la ville, Gaël Perdriau : capteurs sonores couplés à la vidéosurveillance, drones automatisés, application type « Reporty » … le tout sous couvert de « tranquillité urbaine », d’ « attractivité du territoire » et surtout d’ « innovation technologique ». Ces documents mettent en lumière les similitudes que nous commençons à percevoir entre ces différents projets : surveillance accrue et déshumanisation de l’espace public, transformation de la ville en un terrain d’expérimentation pour des sociétés privées (ici Verney-Carron, une société spécialisée dans l’armement), subventionnement public de ces nouvelles technologies sécuritaires (ici par l’intermédiaire surprenant de l’ANRU – « Agence nationale pour la rénovation urbaine »), caractère secret et volontairement opaque de leur mise en place…
NOUVELLES TECHNOLOGIES - ”Ça, c’est l’avenir [...] gros, gros danger.” Face à un assistant vocal, Alain Damasio fait de la prospective, et le tableau n’est pas des plus joyeux. Ceux qui connaissent les oeuvres de l’écrivain savent que l’auteur des Furtifs entretient un rapport complexe avec la technologie. Dans la vidéo en tête de cet article, nous l’avons confronté à différents objets du quotidien, devenus pour certains essentiels dans la vie de tous les jours.
Du smartphone, dont il a jusqu’ici réussi à se passer (“je ne supportais pas l’idée d’être géolocalisé en permanence”), jusqu’au casque de réalité virtuelle qu’il juge “absolument pas abouti”, Alain Damasio n’est pas vraiment émerveillé par le monde des nouvelles technologies. Sans pour autant les rejeter toutes, l’écrivain les évalue à l’aune des valeurs qui traversent ses écrits: celle de “l’empuissantement” individuel en particulier.
Pouvoir contre puissance
Certes, explique-t-il, ces inventions qui ont changé notre manière de nous déplacer, de communiquer ou de nous informer, ont souvent permis d’externaliser des actions, de les confier à la machine, donnant aux humains du “pouvoir supplémentaire”. Mais cette délégation a un coût élevé: “En faisant ça, on perd en puissance. On perd en capacité de faire, nous, directement.” À l’image du GPS qui, en nous permettant de nous déplacer plus facilement, nous donne du pouvoir, mais nous fait perdre, à l’usage, la puissance de nous repérer par nous-mêmes.
“C’est un problème philosophique et psychologique” auquel nous confrontent ces innovations, séduisantes et souvent pratiques, à l’image des assistants personnels, dans lesquels Damasio voit une forme encore inaboutie du futur de la relation homme-machine. “On revient à l’interface ultime pour l’être humain, qui est le langage”, donnant une facilité d’accès à l’intelligence artificielle encore jamais vue. “C’est la convergence de tout sur une seule interface, le rêve des GAFA” prévient-il, construisant un futur où la technologie nous enferme.
À l’arrivée, “une espèce d’alter ego digital, de jumeau digital, sur lequel on va projeter [...] nos fantasmes, nos envies, nos besoins...”. Esclave docile et taillé sur mesure par nos données personnelles, l’assistance sera devenue indispensable, et modifiera notre rapport au monde. “On aura du mal à comprendre que notre copine, que notre père...ne sache pas tout sur nous, et tout sur ce dont on a besoin, comme le sait l’IA”.
Le salut par le bricolage
À ce tableau sombre, Damasio oppose pourtant certains objets qui permettent, eux, “l’empuissantement”, et non seulement le pouvoir. Il a bien sûr l’ordinateur portable, compagnon inestimable d’un écrivain qui rature, reprend, réorganise ses textes en permanence. Mais d’autres outils ont droit à son indulgence, comme le Rapsberry Pi, bien connu des technophiles tendance bricolage.
Il faut dire que le petit ordinateur entièrement programmable correspond tout à fait à la philosophie développée par l’écrivain: “Il faut redonner aux gens la puissance sur l’outil, de le bricoler, de se le réapproprier [...] de redevenir autonome”. Une approche qui oppose machines “ouvertes” et “fermées”, où l’homme ne peut intervenir qu’en surface, sans en changer le fonctionnement. “Si tu m’avais montré une tablette, j’aurais hurlé. Je ne supporte pas les tablettes, notamment les tablettes Apple”. On l’a échappé belle.
Confrontées à la pression des consommateurs, des associations et de certains gouvernements, les grandes entreprises de la tech espèrent démontrer qu’elles sont prêtes à protéger la vie privée de leurs utilisateurs. Jusqu'à tenter de se différencier les unes des autres sur cette question sensible.
Saviez-vous que votre téléphone est capable de détecter l’instant où vous sortez d’une voiture et de communiquer l’information à Google? Dans le salon d’un palace parisien, jeudi 11 avril, c’est la démonstration que fait une équipe du géant américain des services informatiques Oracle. L’entreprise a mis sur pied une expérience. Acheter un smartphone fonctionnant avec Android, le système d’exploitation mobile de Google, n’y installer aucune carte SIM, le démarrer et ensuite, observer. «Nous l’avons allumé, accepté les paramètres par défaut comme l’aurait fait ma maman et ensuite nous n’avons lancé aucune application, passé ou reçu aucun appel, SMS ou email, nous n’avons pas navigué sur Internet. Nous n’avons strictement rien fait», explique Ken Glueck, vice-président exécutif d’Oracle, alors que s’affichent des lignes de texte sur un écran d’ordinateur, comme un journal détaillé de ce qui se passe quand on ne fait «strictement rien» avec un smartphone.