france culture

France culture: À l’ère de la surveillance numérique

https://www.franceculture.fr/emissions/series/a-lere-de-la-surveillance-numerique

Avec l’Affaire Snowden, le scandale Cambridge Analytica, ou encore les révélations des Spy Files par Wikileaks, j’ai pris conscience que mes activités sur internet étaient surveillées. J’ai beau le savoir, je ne fais pas grand-chose pour l’éviter. Dans ma tête, c’est comme si c’était le prix à payer pour aller sur internet. Je continue à poster mes coups de gueule sur Facebook, je consulte Twitter plusieurs fois par jour, je commande des pizzas sur internet et je fais des milliers de recherches sur google. Mais à cause de l’épidémie de Covid19, quasiment toute ma vie, sociale et professionnelle, passe par mon ordinateur ou mon smartphone. Depuis le premier confinement, les questions se bousculent dans ma tête sans que j’arrive à les ignorer : que sont les données numériques ? Que révèlent-elles sur moi ? Qui les surveille et à quoi peuvent-elles servir ? Dans quelle mesure cette surveillance numérique est-elle problématique ? J’ai donc retroussé mes manches et, armé de mes livres, mon micro et mon clavier, j’ai décidé de mener l’enquête pour comprendre ce qu’il en était.

Une série documentaire d’Antoine Tricot, réalisée par Rafik Zenine 

justice privacy

CJUE : la surveillance de masse, seulement en cas de danger pour la sécurité nationale

Les pays européens sont autorisés à transmettre et sauvegarder des données de communication comme bon leur semble, en cas de présence d’un « grave danger pour la sécurité nationale », a statué la Cour de justice de l’Union européenne (CJUE).

La CJUE a déclaré que de telles pratiques entreprises par les services de sécurité devaient être « limitées au strict nécessaire » et sujettes à un examen effectué par une juridiction d’une autorité administrative indépendante.

Néanmoins, conformément aux conditions générales, les méthodes des États membres obligeant les prestataires de service à éplucher les données de communication transgressent la directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (e-Privacy).

Pour la juridiction sise au Luxembourg, en l’absence de danger avéré à la sûreté de l’État, la surveillance de masse et injustifiée des réseaux de communication, est soumise à la législation européenne, mais elle n’entre pas dans les critères d’exemption de sécurité nationale, comme formulé dans l’article 15 (1) de la directive e-Privacy.

« Nul n’est au dessus des lois»

La décision de la CJUE est tombée à la suite de l’intervention de plusieurs associations de protection de la vie privée. Celles-ci avaient porté l’affaire à l’attention du Royaume-Uni, de la Belgique et de la France, arguant que ces pratiques enfreignaient le droit européen.

Les plaignants, une association caritative britannique intitulée « Privacy International » avaient initialement pris ombrage, lorsque les services de sécurité et de renseignements du pays avaient commencé à récolter des fichiers de données personnelles et des données de communication en masse.

Par conséquent, l’association a salué l’arrêt de la CJUE, en réaffirmant qu’il incombait aux services de police de mener des programmes de surveillance sous certaines conditions seulement.

« Le jugement d’aujourd’hui renforce l’état de droit au sein du navire européen. En ces temps quelque peu chamboulés, la décision de la CJUE sert de piqûre de rappel : nemo est supra legis. Nul n’est au-dessus de la loi. Les sociétés démocratiques doivent instaurer des limites et mener des contrôles relatifs aux compétences de surveillance de nos services de renseignements et de police », a indiqué Caroline Wilson Palow, directrice juridique de Privacy International.

« Les services de sécurité et de renseignements jouent certes un rôle primordial dans le maintien de la sûreté de l’État, mais leurs procédures doivent respecter un certain cadre afin d’éviter qu’ils n’abusent de leur pouvoir », a-t-elle ajouté.

Mardi (6 octobre), la CJUE a également averti que des données de la sorte, collectées dans le cadre de procédures pénales d’une manière qui enfreint le droit européen, ne seraient pas admises lors de procès.

Cependant, l’arrêt rendu hier clarifie également le fait qu’il en va de la responsabilité des États membres de définir quelles activités constituent un danger à la sécurité nationale. De plus, le recours aux outils de surveillance pourrait être autorisé au-delà d’un délai donné, si le danger persiste.

Inquiétudes face au transfert de données UE-GB

La décision de la Cour arrive à un moment éprouvant pour les transferts de données entre l’Union européenne et le Royaume-Uni, étant donné que Bruxelles continue d’évaluer l’adéquation de la protection britannique de données aux normes du bloc.

À l’heure actuelle, en vertu de la loi anglaise de 2016 régissant les pouvoirs d’investigation, les autorités britanniques de surveillance sont soumises au droit européen, tant que le Royaume-Uni demeure un État membre de l’UE. Autrement dit, les services anglais concernés ne sont donc pas conformes à la législation européenne en vigueur. Quelle est l’ampleur de l’écart de Londres conformément à la loi européenne sur la protection de données ? La question reste ouverte.

Si les acteurs européens chargés d’évaluer cette déviance la jugent trop importante, toutes les négociations relatives à la conclusion d’un accord entre l’UE et le Royaume-Uni sur le transfert de données seraient suspendues après le 31 décembre, date butoir de la période de transition.

« Voilà qui renforce les précédents arrêts de la CJUE selon lesquels les compétences des autorités britanniques de surveillance en matière de données personnelles tombent sous la législation européenne, et celles-ci ne la respectent pas », a soutenu Mark Taylor, avocat chez Osborne Clarke.

« Ce point sera très probablement un sujet de discorde entre Londres et Bruxelles, qui examine actuellement la possibilité d’octroyer au Royaume-Uni le statut d’adéquation sur le plan de la protection des données dans le cadre du Brexit. De ce fait, le jugement sur la sûreté de l’État présente bien plus de répercussions pour les entreprises britanniques qu’à première vue », a-t-il renchéri.

Si Londres ne conclut pas d’accord d’adéquation sur le transfert de données avec l’UE, les sociétés britanniques devraient revoir leurs dispositions contractuelles avec leurs clients, afin de faire perdurer la transmission de données en toute légalité, et ce, en y incluant des « clauses contractuelles types » pouvant assurer un niveau minimum de protection de données proportionnel aux normes européennes.

Dans ce contexte, l’exécutif européen soulève plusieurs inquiétudes relatives à certains aspects des systèmes britanniques en la matière. D’après le bloc, ces régimes de protection de données pourraient changer à l’avenir et avoir des répercussions négatives sur la sécurité des données personnelles européennes une fois transférées outre-Manche.

Par : Samuel Stolton | EURACTIV.com | translated by Nathanaël Herman

CJUE : la surveillance de masse, seulement en cas de danger pour la sécurité nationale

reconnaissance facilale

La reconnaissance faciale sème le trouble au sein du Parlement européen

La commission parlementaire des libertés civiles, de la justice et des affaires intérieures remet en cause la volonté du bloc de créer une base de données paneuropéenne de reconnaissance faciale destinée à être utilisée par la police.

Dans le cadre d’une révision du traité de Prüm (2005), qui prévoit l’échange de données génétiques, d’empreintes digitales et de données à caractère personnel au sein du bloc, les États membres ont proposé que les autorités policières soient habilitées à partager des images faciales.

Des experts ont alors averti les députés européens des risques que comprend le projet « next-generation Prüm ». Ainsi, les droits liés à la vie privée pourraient être entravés si de nouvelles catégories de données étaient introduites dans le traité, comme la reconnaissance faciale.

La Dr Niovi Vavoula, de la Queen Mary University à Londres, a soulevé plusieurs inquiétudes auprès des députés européens. D’une part, le risque de « faux positifs » est bien présent. D’autre part, certaines minorités ethniques pourraient être injustement ciblées en raison de préjugés algorithmiques.

L’autorité européenne de protection des données demande un moratoire sur la reconnaissance faciale

Les technologies de reconnaissance automatique doivent être temporairement interdites dans les lieux publics, affirme le Contrôleur européen de la protection des données (CEPD). L’organe, qui surveille l’application des règles en la matière au sein de l’UE, plaide pour un moratoire.

Des points également soulignés par Chloé Berthélémy, membre de l’association européenne pour les droits en ligne (EDRi), pour qui il est était « troublant » de penser à étendre le champ d’action du traité afin de couvrir les images faciales, et ce, au vu des faux positifs et des « préjugés raciaux systémiques entretenus par les forces de l’ordre et le système de justice pénale ».

La Dr Rafaela Granja, de l’Université de Minho, se réfère à une étude récente sur les points de contact nationaux (PCN) à travers le bloc qui permettent de simplifier les échanges transfrontaliers de données.

D’après l’analyse, fondée sur les réponses reçues aux PCN, il semblerait que les « faux positifs et le manque de normes ainsi que les problèmes liés à la responsabilité et la transparence » soient inhérents à l’extension du traité de Prüm.

Les députés européens appréhendent d’ailleurs cette idée. « Même au cours du dernier mandat, nous savions que la qualité des données était de la plus haute importance », a indiqué la législatrice Birgit Sippel (S&D), ajoutant que « pourtant, nous bataillons toujours avec ces thématiques, nous parlons de faux positifs et de concordances erronées, comme si c’était normal ».

« Mais ces faux positifs ont des conséquences néfastes sur les enquêtes, qui pourraient ainsi prendre un mauvais tournant », renchérit-elle.

Une technologie de reconnaissance faciale reçoit le label d’excellence de la Commission

La Commission a décerné son « label d’excellence » à une technologie capable de reconnaître des visages en temps réel et d’analyser le comportement des foules, et qui sera utilisée en cas de nouvelle vague de COVID-19.

Sophie in’t Veld, de Renew Europe, se demande quelle approche l’UE devrait adopter afin de gérer les abus de pouvoir pouvant émaner de certains États qui utilisent les nouveaux instruments prévus dans le « next-generation Prüm ».

Le Parlement européen ne joue qu’un rôle consultatif dans le cadre de ce traité. C’est pourquoi Sergey Lagodinsky des Verts/ALE a laissé entendre qu’il faudrait mener une étude plus minutieuse sur les ramifications possibles de ce nouveau système.

« Je pense que les conclusions à tirer sont très claires : il faut évaluer avant de modifier », a-t-il dit. « Nous devons procéder à un examen du système actuel avant d’aller plus loin. »

Malgré les craintes exprimées, certains législateurs se sont prononcés en faveur de l’extension.

À cet effet, Tomas Tobé (PPE) a souligné qu’un « échange accru » de données entre les forces de l’ordre de l’UE était nécessaire pour lutter contre la criminalité, mais qu’il conviendrait d’abord de mieux comprendre l’utilité de la reconnaissance faciale dans ce contexte.

Les conclusions du Conseil de l’UE datant de 2018 proposent une extension du traité et invitent les experts des États membres – dans le cadre du groupe de travail chargé des échanges d’informations et de la protection des données (DAPIX) – « à étudier les procédures inscrites dans le traité de Prüm afin de peut-être y inclure de nouvelles technologies biométriques, comme la reconnaissance faciale ».

Selon le rapport, la Commission européenne s’est entretenue avec la boîte de consultance Deloitte afin de mener une analyse à ces fins, et ce, pour le prix de 700 000 euros.

L’étude fait désormais l’objet de discussions au sein des groupes de travail au Conseil de l’UE, et une mise à jour publique sur les projets prévus devrait avoir lieu en octobre.

reconnaissance faciale

Sécurité numérique. En Chine, un marché noir des données de reconnaissance faciale

Ces dernières années, les systèmes fondés sur la reconnaissance faciale ont été promus par le pouvoir chinois comme garantie de la sécurité publique et se sont répandus à grande vitesse. Mais des enquêtes sur la vente illégale de ces données en révèlent les dangers.

Cinquante centimes de yuans, soit 0,06 euro, c’est le prix à l’unité d’une image faciale vendue sur Internet en Chine. Un vendeur a ainsi proposé “un total de 20 000 images, prix non négociable”, sur le réseau social WeChat, aux journalistes de l’agence de presse officielle Xinhua, qui enquêtent sur ce trafic. Les journalistes constatent que “de nombreuses personnes vendent ouvertement des données faciales” sur les différentes plateformes de vente en ligne, comme Taobao, poule aux œufs d’or d’Alibaba, le géant du commerce B2B.

À part la vente des données faciales, certains vendeurs proposent également un logiciel d’“animation des photos”. Un outil qui pourra transformer un portrait en animation 3D qui “cligne des yeux, ouvre la bouche, hoche la tête”, des expressions souvent demandées lors de la[…]

https://www.courrierinternational.com/revue-de-presse/securite-numerique-en-chine-un-marche-noir-des-donnees-de-reconnaissance-faciale

Reconnaissance faciale oeil

Reconnaissance faciale : la police européenne envisage une base de données massive

Selon un rapport confidentiel, les forces de police de l’UE rêvent de mettre en place un réseau interconnecté de bases de données de reconnaissance faciale.

Un rapport du Conseil de l’UE, qui aurait circulé entre dix États membres en novembre dernier, détaille les mesures prises par l’Autriche pour légiférer sur la mise en place d’un réseau de base de données de reconnaissance faciale, auquel les forces de police de toute l’UE pourraient accéder.

Les documents, obtenus par The Intercept, comprennent une série de rapports qui examinent la possibilité d’étendre le traité de Prüm, qui régit la coopération policière opérationnelle entre les États membres de l’UE, pour y inclure des images de reconnaissance faciale.

En l’état actuel des choses, des dispositions permettent le partage de l’ADN, des empreintes digitales et des registres d’immatriculation des véhicules entre les pays membres participants. L’initiative avait été lancée par le ministre allemand des Affaires intérieures, Wolfgang Schäuble, en 2005.

Étendre le traité de Prüm pour y inclure des images de reconnaissance faciale avait été envisagé dans des conclusions du Conseil de l’UE en 2018, qui invitaient alors les experts des États membres à « évaluer le déroulement de la procédure Prüm dans l’optique d’une évolution future intégrant éventuellement de nouvelles technologies biométriques, par exemple des systèmes d’identification faciale. »

Afin d’évaluer la faisabilité du projet, les rapports suggèrent que la Commission européenne aurait chargé le cabinet Deloitte de mener une évaluation sur ce type de technologie, pour un coût total de 700 000 euros.

Livre blanc sur l’intelligence artificielle

Cette fuite de documents survient à un moment où l’UE est plongée dans le débat de la réglementation des technologies de reconnaissance faciale dans l’UE.

Précédemment, des documents obtenus par Euractiv montraient que la Commission européenne réfléchissait à un éventuel moratoire de cinq ans sur la technologie dans le contexte de son Livre blanc sur l’intelligence artificielle, une feuille de route sur la manière dont l’exécutif compte atténuer les risques futurs dans ce domaine.

Ces projets ont toutefois été enterrés dans la version finale du Livre blanc publié la semaine dernière, la Commission préférant plutôt opter pour « un débat européen sur l’utilisation de l’identification biométrique à distance ».

L’exécutif a aussi souligné le fait que dans le cadre de la loi européenne sur la protection des données, le traitement des données biométriques pour identifier des personnes était interdit, sauf des conditions spécifiques ayant trait à la sécurité nationale ou à l’intérêt public.

L’article 6 du règlement européen sur la protection des données expose les conditions dans lesquelles des données personnelles peuvent être traitées en toute légalité. L’une d’entre elles impose à l’utilisateur de donner son consentement explicite. L’article 4 (14) du règlement couvre quant à lui le traitement des données biométriques.

Malgré tout, ces derniers mois, les États membres de l’UE ont élaboré des plans dans le domaine des technologies de reconnaissance faciale.

L’Allemagne a fait part de son intention de déployer des outils automatiques de reconnaissance faciale dans 134 gares et 14 aéroports, alors que la France prévoit aussi de mettre en place un cadre légal permettant d’intégrer des technologies de reconnaissance faciale aux systèmes de vidéo surveillance.

Plus largement, le Livre blanc de l’UE sur l’intelligence artificielle met l’accent sur une série de technologies à « haut risque » pouvant servir à une future surveillance. Ces technologies tombent dans deux catégories : celles qui seraient utilisées dans « des secteurs critiques » et celles qui auraient un « usage critique ».

Ces secteurs comprennent la santé, le transport, la police, le recrutement, et le système juridique. Les applications critiques concernent quant à elles les technologies comportant un danger de mort ou de blessures, ou celles ayant des retombées juridiques.

Clearview AI

Partout ailleurs, l’UE a fermement pris position sur l’emploi de la reconnaissance faciale ailleurs dans le monde.

Suite aux récentes révélations selon lesquelles la société technologique américaine Clearview AI a amassé plus de trois milliards de photos de visages d’utilisateurs sur les réseaux sociaux comme YouTube, Facebook et Twitter sans obtenir leur autorisation, la Commission est en discussion avec les autorités européennes de protection des données pour déterminer si les données des citoyens européens auraient pu être en danger.

Bruxelles se penche sur le scandale Clearview AI sur la reconnaissance faciale

La Commission consulte les autorités de protection des données européennes après avoir appris que la firme technologique américaine Clearview AI avait amassé les images de plus de trois milliards de visages d’utilisateurs de réseaux sociaux sans leur permission.

Clearview AI met à disposition des forces de l’ordre une base de données capable de faire correspondre des images de visages avec plus de trois milliards d’autres images de visages récupérées sur des réseaux sociaux.

« La Commission est au courant des rapports de la presse, nous suivons le dossier de près et restons en contact avec les autorités nationales de protection des données ainsi qu’avec le Comité européen de la protection des données », a assuré un porte-parole de l’exécutif.

« Ces technologies n’opèrent pas dans un vide juridique. L’utilisation de données personnelles est soumise aux règles strictes du RGPD. [Celui-ci] prescrit une base juridique bien définie et un objectif légitime ; la personne concernée doit être au courant de la procédure, elle doit pouvoir obtenir réparation et [posséder] des moyens de vérification ».

Reconnaissance faciale : la police européenne envisage une base de données massive