Le Parlement s’apprête à voter une proposition de loi qui veut interdire d’accès aux réseaux sociaux les jeunes de moins de 15 ans. Sous couvert de protection des mineur·es, ce texte imposerait à toute personne souhaitant accéder à ces plateformes de prouver leur âge. Derrière cette vérification d’âge se cache en fait un contrôle d’identité, que la France et la Commission européenne poussent chacune de leur coté pour le généraliser à l’échelle de l’Union européenne. Avec comme conséquence une remise en cause toujours plus grande du droit à l’anonymat en ligne.

Un mouvement global d’interdiction des réseaux sociaux aux jeunes

Ce n’est pas la première fois que des dirigeants essayent d’introduire une vérification d’âge sur internet. En France, les contenus pornographiques ne doivent pas être accessibles aux mineur·es. Jusqu’en 2020, les plateformes pornographiques demandaient aux internautes une auto-déclaration, c’est-à-dire de cliquer sur un bouton « J’ai plus de 18 ans ». Puis, une loi de 2020 a précisé que cette auto-déclaration n’était pas suffisante. Cette loi n’a toutefois jamais été appliquée faute de possibilités techniques. Autre tentative en 2023, la loi Marcangeli, a voulu créer un système d’autorisation parentale avant qu’un·e mineur·e de moins de 15 ans puisse se créer un compte sur un réseau social. Mais cette loi non plus n’est jamais entrée en application car le législateur, doutant fortement de sa conformité au droit de l’UE, a conditionné son application à un feu vert de la Commission européenne qui n’est jamais arrivé.

Puis, en 2024, la loi dite « SREN » (pour « sécuriser et réguler l’espace numérique ») a changé la donne. Depuis cette loi, les plateformes proposant du contenu pornographique doivent vérifier l’âge des internautes, une auto-déclaration ne suffisant plus. Surtout, depuis cette loi, lorsqu’une plateforme ne vérifie pas l’âge des internautes, ce n’est plus la justice qui décide de la sanction (une censure et une amende), mais l’Arcom, l’autorité administrative chargée, entre autres, de réguler la télévision. La loi SREN est donc la première loi a réellement imposer une vérification d’âge en ligne, pour l’instant cantonnée aux contenus pornographiques (même si le ministre du numérique de l’époque, Jean-Noël Barrot, se rêvait l’imposer aussi aux réseaux sociaux).

En dehors de la France, nous assistons également à un mouvement général d’interdiction des réseaux sociaux aux mineur·es. Au niveau de l’Union européenne d’abord, rappelez-vous du règlement Chat Control qui voulait imposer de scanner les correspondances échangées sur les messageries chiffrées. Si ce volet a certes été repoussé en raison de l’absence croissante de soutien des États membres et du Parlement européen, le texte comporte toujours une obligation faites aux magasins d’application (Apple Store, Google Play, Microsoft Store, etc.) d’empêcher leurs utilisateur·rices de télécharger certaines applications si ils ou elles sont mineur·es. Aux États-Unis, la moitié des États obligent les sites pornographiques à vérifier l’âge de leurs utilisateur·rices. La Grande-Bretagne est même allée plus loin, puisque depuis l’été 2025 et l’entrée en application de l’Online Safety Act, ce sont tous les contenus dits « harmful » (dangereux) qui doivent être cachés derrière des systèmes de vérification d’âge (une notion particulièrement floue qui a conduit au blocage de contenus sur le génocide à Gaza ou sur la guerre en Ukraine). L’Australie également s’est lancée dans la course à l’échalote de la vérification d’âge sur les réseaux sociaux : depuis fin 2025, une loi interdit aux mineur·es de moins de 16 ans d’avoir un compte sur un réseau social. Mais, de l’aveu même du régulateur australien, cette loi n’empêche cependant pas les deux-tiers des mineur·es concerné·es de réussir à contourner l’interdiction. La course est également lancée au sein des pays européens. L’Espagne, l’Autriche, la Grèce, la partie flamande de la Belgique, ou encore le Danemark ont annoncé leurs lois pour interdire aux mineur·es l’accès aux réseaux sociaux. Le chancelier allemand est également favorable à une telle mesure.

À Paris comme à Bruxelles, la volonté de bannir les mineur·es d’internet

Côté français, l’attaque vient du gouvernement et de son groupe parlementaire, appuyé par la droite et une partie de la gauche. Fin 2025, la députée EPR Laure Miller présentait une proposition de loi visant à interdire l’accès aux réseaux sociaux aux mineur·es de moins de 15 ans. La version initiale du texte prévoyait même l’instauration d’un « couvre-feu » numérique pour les mineur·es, qui n’est pas sans rappeler une mesure similaire en vigueur depuis 2019 en Chine et visant les services de jeux vidéo en ligne.

Le gouvernement a rapidement fait sienne cette proposition de loi. Il l’a inscrite sur le temps parlementaire dédié au gouvernement, a demandé au Conseil d’État un avis sur le texte, puis a enclenché la procédure accélérée pour qu’il n’y ait qu’une seule lecture par l’Assemblée nationale et le Sénat. Suite à l’avis très critique du Conseil d’État, l’autrice de la proposition de loi a réécrit en partie son texte et a supprimé le couvre-feu numérique. Puis, en séance publique à l’Assemblée, le gouvernement a lui aussi réécrit le texte : il a préféré instaurer une obligation de contrôle d’âge pour tous les réseaux sociaux, là où l’autrice de la proposition de loi suggérait plutôt un système de liste où seules les plateformes inscrites dessus par le gouvernement auraient dû vérifier l’âge des internautes. Une fois voté par l’Assemblée nationale, le texte est passé au Sénat, qui l’a validé dans son principe mais en revenant à un système de liste, contre l’avis du gouvernement. Nous attendons désormais que la commission mixte paritaire (CMP), qui réunit sept sénateur·ices et sept député·es, se réunisse pour se mettre d’accord sur un texte commun que les deux chambres du Parlement voteraient ensuite définitivement.

Côté européen aussi, l’offensive pour instaurer un contrôle d’âge en ligne s’est accéléré. Mi-avril, la Commission européenne a, par la voix de sa présidente Ursula von der Leyen et de sa commissaire à la société numérique Henna Virkkunen, annoncé le lancement d’une application de vérification d’âge, qui était en développement depuis l’année dernière. Cette application n’est pas destinée à être directement utilisée par les internautes, mais sert de vitrine technique à destination des États membres : l’objectif est de montrer qu’il est techniquement possible de faire de la vérification d’âge en ligne, afin de les inciter à suivre ce mouvement en leur offrant une « brique technique » clé en main.

« Double-anonymat », double-tromperie

Techniquement, l’application de la Commission européenne repose sur un concept cryptographique appelé « ZKP », pour zero knowledge proof, ou preuve à divulgation nulle de connaissance. Il s’agit d’un concept en réalité très simple : une attestation d’âge est délivrée par un tiers de confiance. Avec ce système, lorsqu’une plateforme en ligne veut confirmer l’âge d’un internaute, elle va confier cette tâche à un tiers, c’est-à-dire une entreprise sous-traitante qui, elle, procédera à la vérification d’âge pour le compte de la plateforme. Concrètement, l’internaute est redirigé temporairement vers le site internet de ce tiers le temps de procéder à la vérification d’âge. À l’issue du contrôle, le tiers redirige l’internaute vers le site internet qu’il ou elle voulait initialement consulter, et transmet en même temps à la plateforme un jeton signé électroniquement indiquant que l’internaute a l’âge requis. En confiant la vérification d’âge à un tiers, le but est d’ajouter une couche de confidentialité : la plateforme en ligne n’a pas connaissance des informations qui ont permis au tiers de faire cette vérification d’âge, et le tiers n’est pas censé savoir à quoi sert l’attestation qu’il délivre. Est-ce une bonne chose pour autant ? Absolument pas.

Parce que ce système repose, par essence, sur un contrôle d’identité. Pour vérifier l’âge d’une personne, il existe principalement deux techniques : la vérification des papiers d’identité (l’internaute prend en photo un titre d’identité sur lequel sa date de naissance est visible) ou l’utilisation d’une identité numérique d’État (par exemple, en France, en se connectant à l’aide de France Connect). Dans les deux cas, pour prouver son âge, il faut être en capacité de prouver son identité civile. Ce contrôle d’identité n’est, certes, pas fait directement par la plateforme et celle-ci ne pourra pas connaître l’identité réelle de l’internaute (en théorie), mais il force malgré tout l’internaute à divulguer son identité avant de pouvoir accéder à un service en ligne. Certains sites utilisent une troisième technique pour vérifier l’âge qui n’implique pas de connaître l’identité civile de l’internaute : il s’agit de la technique d’estimation d’âge (la personne prend son visage en vidéo et un traitement biométrique estime, à la grosse louche, l’âge de la personne), mais cette méthode est notoirement défaillante¹C’est pour cette raison que la CNIL l’a interdite pour les bureaux de tabac., notamment parce qu’il ne sera jamais possible de faire coïncider une réalité juridique (l’âge, calculé de la même manière pour tous·tes, qui ouvre des droits) avec une réalité biologique (chaque personne vieillit différemment)²Il existe d’autres techniques pour faire de la vérification d’âge : obliger l’internaute à effectuer un paiement avec une carte bancaire (ce qui ne fonctionne pas si les mineur·es ont accès à ce moyen de paiement), analyser le comportement de navigation (c’est-à-dire qu’une machine espionne la navigation d’un internaute pour dire si cela correspond à un·e mineur·e ou pas), ou analyser la forme de la main (au lieu du visage). Mais ces technologies, en plus d’être pour certaines inapplicables en pratique ou de constituer une surveillance vraiment disproportionnée, sont particulièrement imprécises et, de ce fait, leur usage reste aujourd’hui marginal.. En raison de leur absence de fiabilité³Une récente étude britannique vient par exemple de mettre en évidence le fait que se dessiner une moustache sur le visage peut permettre de tromper le système. Le media Next a également mis en évidence le fait que des vidéos issues de banques d’images sont validées par certains dispositifs d’estimation d’âge., on peut s’attendre à ce que la technique d’estimation d’âge soit progressivement exclue pour vérifier l’âge en ligne.

Ainsi, contrairement à ce qu’affirme la présidente de la Commission européenne, la technique du ZKP n’est aucunement une manière « complètement anonyme » de prouver son âge. Il ne s’agit pas d’une opération indolore puisque tous·tes les internautes souhaitant accéder à un réseau social devront présenter leur identité à ce tiers : pour empêcher les mineur·es d’accéder à des réseaux sociaux il faut bien entendu contrôler l’âge de toute personne voulant se faire un compte, et donc leur identité.

En France, la guerre des mots va encore plus loin puisque les pouvoirs publics parlent même de « double-anonymat », laissant penser que la technique du ZKP permettrait d’offrir deux fois plus d’anonymat. Cet élément de langage a notamment été mobilisé à partir de 2023 par Jean-Noël Barrot, alors ministre du numérique qui planchait sur la loi SREN. C’est ensuite la CNIL qui a adopté ce terme dans une étude technique. Enfin, l’Arcom a suivi le mouvement dans son référentiel des techniques utilisables pour procéder à la vérification d’âge dans le cadre de la loi SREN. Redisons-le : le « double-anonymat » n’offre aucun anonymat. Au mieux, il offre une étanchéité des données entre la plateforme qui exige une preuve d’âge et le tiers vérificateur d’âge. Mais c’est à la condition que ce cloisonnement soit techniquement correctement réalisé, ce qui n’est pas toujours le cas : en 2025, AI Forensics révélait que AgeGo, une entreprise vérifiant l’âge pour de nombreux sites pornographiques, collectait l’URL complète de la vidéo que l’internaute souhaitait consulter, foulant ainsi aux pieds la promesse technologique de cloisonnement. Après l’enquête de AI Forensics, l’entreprise a limité les données collectées et connaît « seulement » le site auquel l’internaute souhaite accéder.

De plus, la vérification d’âge mettra de côté bon nombre de personnes, et pas seulement les mineur·es. Et le fait que ce contrôle d’identité soit effectué par un tiers ne résoudra pas ce problème. En particulier, les personnes qui n’ont pas de carte d’identité, par exemple certaines personnes migrantes, seront exclues des plateformes qui décideront de faire de la vérification de titres d’identité. Celles qui ne maîtrisent pas assez bien la technologie et qui ne comprendront pas pourquoi elles doivent se prendre en selfie, alors qu’elles veulent simplement voir les photos de vacances postées dans un groupe familial sur un réseau social, abandonneront lorsqu’un service en ligne exigera une estimation d’âge. Sans oublier que les personnes non-blanches, déjà victimes de systèmes automatisés pensés et testés par des ingénieurs blancs, seront encore plus discriminées par des systèmes qui reproduisent par nature les biais sexistes et racistes de nos sociétés.

Le résultat sera que les internautes seront face à un dilemme : liberté d’expression ou vie privée. Nous devrons, demain, choisir entre sacrifier notre vie privée pour nous exprimer en ligne, ou bien abandonner notre liberté d’expression pour nous protéger de fuites de données qui arriveront nécessairement, à l’image de ce qui s’est passé pour 70 000 utilisateur·rices de Discord. Et ce n’est pas le « double-anonymat » qui changera cela.

Un système illégal

Il y a pas que la structure technique qui est bancale : la justification juridique pour pousser l’outil dans l’Union européenne l’est tout autant. Dans l’UE, le Digital Services Act (DSA, ou « règlement sur les services numériques ») est le principal texte qui régule les plateformes en ligne. Il comporte à son article 28 une obligation faite aux plateformes de prendre des mesures pour garantir aux mineur·es « un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service ». Autrement dit, le DSA impose aux plateformes de rendre leur espace en ligne sûr, pour que les mineur·es puissent utiliser leurs services en toute sécurité, par exemple avec des règles de modération particulières ou des paramètres de confidentialité restreints par défaut.

Pourtant, pour faire passer leur vérification d’âge, la France et la Commission européenne se basent sur une interprétation farfelue de cet article 28. La Commission estime en effet que ce texte permettrait d’imposer une obligation de vérification d’âge pour empêcher les mineur·es d’accéder à certaines plateformes. Il s’agit pourtant là d’une interprétation contraire à l’esprit de cet article : empêcher les mineur·es d’accéder à un réseau social, ce n’est pas leur offrir un espace en ligne sûr, c’est les exclure d’un lieu.

Encore plus éclairant : le paragraphe 3 de l’article 28 du DSA précise qu’il « n’impose pas aux fournisseurs de plateformes en ligne de traiter des données à caractère personnel supplémentaires afin de déterminer si le destinataire du service est un mineur ». Une obligation de vérification d’âge consiste pourtant en l’inverse : c’est obliger une plateforme à traiter des données de tout le monde (même si cela se fait via un tiers), pour exclure les mineur·es.

L’article 28 du DSA est donc détourné et ne constitue pas une base juridique suffisante en droit de l’UE pour imposer cette vérification d’âge, contrairement à ce que défend la Commission. Et puisque le droit de l’UE exige également que la régulation des plateformes en ligne se fasse en principe à l’échelle européenne (on appelle cela le « domaine coordonné »), cela veut dire que les États membres ne peuvent pas agir pour autant à leur niveau.

Une affaire en cours de jugement devant la Cour de justice de l’Union européenne (CJUE) et qui concerne l’obligation de vérification d’âge imposée en France pour les contenus pornographiques par la loi SREN vient rappeler ce principe. Dans cette affaire, la loi SREN est accusée de ne pas respecter le domaine coordonné. Or, l’avocat général (le juge chargé d’éclairer la juridiction, même si cette dernière n’est pas liée par ses conclusions) a sérieusement mis en doute la conformité de la loi française au droit de l’Union⁴C’est aussi ce que nous disions dès les débats législatifs français.. Si la Cour suivait ce raisonnement, c’est tout un pan de la vérification d’âge qui tomberait car la France n’a aucune liberté d’agir⁵La position de l’avocat général n’est pas nouvelle puisque la CJUE avait déjà rappelé à l’ordre l’Autriche en 2023 pour cette même raison : un État membre ne peut légiférer dans son coin en matière de régulation des contenus en ligne.. C’est peut-être en raison de ces incertitudes juridiques que la Commission vient tout juste de laisser entendre qu’elle est en train de travailler sur un projet de règlement européen pour permettre explicitement aux États membres d’imposer une vérification d’âge.

Au-delà de la coordination entre droit national et droit de l’UE, il ne faut pas oublier pour autant qu’une vérification d’identité porte une atteinte extrêmement grave à la liberté d’expression et au droit au respect de la vie privée, et qu’une loi européenne ne changera rien à cela. Rappelons que le principe sur internet est l’anonymat : contrairement à une croyance que se plaisent à répandre les autorités, il existe bel et bien un droit à l’anonymat en ligne, entendu comme le droit de ne pas faire l’objet d’une surveillance lorsqu’on navigue sur internet. Ainsi, la directive e-commerce (qui a précédé le DSA mais qui est toujours en vigueur) rappelle que le principe est « l’utilisation anonyme de réseaux ouverts tels qu’Internet ». Pour la CJUE, cela signifie que « les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » La Cour européenne des droits de l’Homme (CEDH) partage cet avis en rattachant ce principe à la liberté d’expression. Or, exiger d’une personne qu’elle justifie son identité avant de pouvoir s’exprimer en ligne, c’est l’exact opposé de l’anonymat : c’est l’identification préalable à l’utilisation d’une plateforme.

Les États contre l’internet artisanal

N’oublions pas que l’idée de contrôler l’identité des internautes pour bannir les mineur·es vient du fait que le danger des plateformes commerciales est de plus en plus largement admis et que la législation actuelle se montre insuffisante. En 2025, Amnesty International dénonçait le fait que l’algorithme de Tiktok mettait en avant pour les adolescent·es des contenus relatifs au suicide (attention, le rapport d’Amnesty International est difficile à lire). Mais les dangers de ces plateformes ne sont pas limités aux plus jeunes, d’ailleurs parfois mieux outillés que les adultes face à ces problèmes. Depuis son rachat par le milliardaire néo-nazi Elon Musk, X est devenu un lieu d’influence de l’extrême droite et son algorithme sert à la manipulation politique (ce qui a poussé le parquet de Paris à demander la mise en examen de la société X, de son ancienne directrice générale Linda Yaccarino et d’Elon Musk). Cette année, Meta et Google ont été condamnés aux États-Unis en raison des dangers de leurs algorithmes de recommandation fondés sur des mécanismes d’addiction. Il ne s’agit-là que des exemples les plus récents du danger, y compris pour les adultes et nos démocraties, des réseaux sociaux commerciaux.

Et la réaction des États ? Bannir les mineur·es pour faire semblant d’agir mais ne surtout pas s’attaquer au fond du problème qu’est le modèle économique de ces réseaux sociaux. Parce qu’il s’agit d’entreprises commerciales dont l’objectif est de maximiser le profit, les réseaux sociaux commerciaux se rémunèrent sur la publicité en ligne. Il faut donc non seulement que les publicités affichées soient le plus ciblées possible (cela nécessite donc une surveillance la plus intrusive possible), mais il faut également en afficher le plus possible. Plus les personnes restent longtemps sur une plateforme, plus elles verront de publicités. C’est pour cela que les réseaux sociaux commerciaux essaient de susciter l’addiction, avec des interfaces conçues à cette fin (par exemple par le doom scroling, c’est-à-dire un fil d’actualités qui ne finit jamais) et des contenus haineux qui feront réagir.

À l’inverse, ce n’est pas pour rien qu’il n’existe pas d’algorithme de recommandation sur les réseaux sociaux fédérés tels que Mastodon : l’algorithme, c’est vous. Ce qui importe dans les réseaux sociaux non commerciaux, c’est la qualité de la discussion, pas la capitalisation boursière et les dividendes. L’humain·e est au centre des préoccupations de ces réseaux, pas le fait de savoir comment optimiser au mieux avec une IA les retombées économiques. Et pourtant, ces réseaux sociaux non commerciaux sont mis en danger par les obligations de vérification d’âge.

Dans le texte voté par l’Assemblée tel qu’issu de la réécriture faite par le gouvernement, tout « service de réseaux sociaux en ligne » à l’exception des encyclopédies en ligne et des forges logicielles devra vérifier l’âge de ses utilisateur·rices. Aucune taille minimale n’est exigée, ni aucune caractéristique autre qu’être un « service de réseaux sociaux en ligne »⁶C’est un autre texte européen, le Digital Markets Act (DMA, règlement sur les marchés numériques), qui définit cette notion : il s’agit d’« une plateforme permettant aux utilisateurs finaux de se connecter ainsi que de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils et, en particulier, au moyen de conversations en ligne (chats), de publications (posts), de vidéos et de recommandations ».. Le champ d’application particulièrement large de la proposition de loi française signifie que toute plateforme permettant de se créer un compte puis de communiquer sera concernée, incluant donc les réseaux sociaux interopérables tels qu’une instance Mastodon ou Peertube.

Cette proposition de loi pose donc un sérieux problème pour l’internet que nous voulons défendre : contrôler l’identité des internautes est incompatible avec les valeurs que défendent les petits réseaux sociaux décentralisés. Elle offre une réponse inadaptée à un problème issu du mode de fonctionnement des réseaux sociaux commerciaux qu’on ne retrouve pas ailleurs. C’est l’internet artisanal, décentralisé, fabriqué humainement de bric et de broc, qui est mis en danger.

La vérification d’âge et le contrôle d’identité qu’elle implique sont la traduction d’une vision autoritariste de la régulation des contenus en ligne et d’une défiance envers les jeunes. Ces politiques ne peuvent mener qu’à plus d’arbitraire et de censure, comme ce fut le cas au moment des révoltes suite à la mort de Nahel Merzouk, ou du blocage de Tiktok en Nouvelle-Calédonie. La suite autoritaire logique à cette proposition de loi est déjà connue : après les réseaux sociaux, le gouvernement compte forcer les fournisseurs de VPN (principal outil pour contourner les mesures de vérification d’âge) à procéder à leur tour à une vérification d’âge. Pourtant, une autre réponse que le contrôle et la surveillance existe : forcer les plateformes à changer leur mode de fonctionnement, remettre en question le contrôle qu’elles exercent sur leurs communautés en les forçant à s’ouvrir, grâce à l’interopérabilité. Alors pour nous aider à continuer la lutte, vous pouvez nous aider par un don.

Vous souvenez-vous du kit de test génétique offert par votre proche à Noël ou pour votre anniversaire ? Curieux·se d’en savoir plus sur vos origines, vous avez soigneusement emballé votre échantillon de salive pour l’envoyer à l’étranger. Puis, vous avez reçu les résultats du test, parfois évidents, parfois surprenants, mais surtout peu fiables. Avec le projet de loi « SURE » adopté le 15 avril au Sénat, vos données génétiques, et les millions d’autres récupérées et stockées par les entreprises privées réalisant les tests ADN, majoritairement situées aux États-Unis, pourront être exploitées par la police française à votre insu.

Ce texte, intitulé « Projet de loi sur la justice criminelle et le respect des victimes » et surnommé S.U.R.E. pour « Sanction Utile, Rapide et Effective », est porté par l’actuel ministre de la justice, Gérald Darmanin. Prétextant raccourcir les délais d’enquête et de jugement pour le bien des victimes, il rouvre la boîte de Pandore de l’analyse ADN. En effet, l’article 3 du projet de loi donne le feu vert à une manipulation massive des données génétiques par les services de police.

L’appétit insatiable de l’État pour la collecte de données sur sa population l’amène, à travers ce projet de loi, à rogner les gardes-fous entourant l’utilisation des données génétiques par la police, sans se soucier des dérives du fichage génétique déjà constatées dans d’autres pays.

Extension du fichier de police centralisant l’ADN

En France, l’ADN récolté par les services de police sur les scènes d’infraction (à partir de sang, salive, cheveux…) est conservé dans un endroit spécifique : le fichier national automatisé des empreintes génétiques (ou « FNAEG »). Comme son nom l’indique, ce n’est pas l’intégralité de l’ADN d’une personne qui est stockée dans ce fichier de police mais uniquement son empreinte génétique, soit certaines séquences de son ADN qui la distinguent des autres individus (sachant que 99 % de l’ADN des êtres humains est identique)¹Les séquences enregistrées dans le fichier portent uniquement sur les marqueurs non codants de l’ADN, c’est-à-dire les segments d’ADN qui organisent le génome et qui ne sont pas censés révéler les caractéristiques les plus sensibles d’une personne, comme son ethnie ou son état de santé, à l’exception du marqueur du sexe qui lui peut apparaître dans le fichier. À noter que la distinction entre ADN codant et non codant tend aujourd’hui à être remise en question à l’aune des nouvelles découvertes scientifiques, ce qui interroge sur la nature des informations inscrites au FNAEG..

Créé en 1998 en réaction à l’émotion suscitée par l’affaire « Guy Georges », le FNAEG était d’abord destiné à centraliser uniquement les profils génétiques des individus condamnés pour infraction sexuelle. Depuis, son périmètre n’a cessé d’être élargi.

D’une part, la liste des infractions susceptibles de donner lieu à un enregistrement au FNAEG (prévue à l’article 706‑55 du code de procédure pénale) a été progressivement rallongée, s’éloignant de l’esprit initial affiché du fichier qui ne visait que les crimes les plus graves. D’autre part, le relevé des empreintes génétiques n’est plus limité aux personnes condamnées ; il peut notamment concerner une personne suspectée d’avoir commis une infraction, donc présumée innocente. Concrètement, lorsqu’elle est placée en garde-à-vue, des policiers prélèvent sa salive, en extraient l’ADN, reportent les marqueurs distinctifs dans le FNAEG et conservent ses données génétiques. Les données peuvent rester dans le fichier même si elle est innocentée par la suite car il faut que le procureur ou que cette personne en demande expressément la suppression, qui n’a rien d’automatique.

Afin de faciliter la récolte d’ADN, le législateur a créé une infraction spécifique sanctionnant le refus de se soumettre à un prélèvement destiné à alimenter le fichier. Ainsi, une personne simplement soupçonnée d’avoir tagué une affiche, volé des plants d’OGM ou versé de la peinture sur un·e politique peut aujourd’hui voir son empreinte génétique archivée dans le FNAEG, sans son consentement et pendant potentiellement 40 ans.

Résultat de cette boulimie politique pour notre ADN : au 1^er janvier 2025, le FNAEG contenait plus de 7,4 millions d’empreintes, dont les trois-quarts appartiennent à des personnes simplement suspectées.

Une pente glissante : le fichage croissant de données ultra sensibles

L’article 3 du projet de loi SURE agrandit encore le champ du FNAEG en y associant de nouvelles infractions. Deux délits interpellent particulièrement : l’aide à l’entrée, à la circulation et au séjour irréguliers ; et le fait de participer à une manifestation ou à une réunion publique en étant porteur d’une arme. Ce faisant, le texte autorise le fichage génétique des militant·es et associations portant secours aux étranger·es ainsi que celui des manifestant·es dans leur ensemble car l’interprétation de la notion d’arme est généralement très large (par exemple, des pancartes ont déjà été qualifiées d’armes par destination).

Outre le coup porté à l’action militante, cette mesure traduit une « stratégie d’extension continue de fichage judiciaire de la population, avec un glissement toujours plus important vers des infractions de plus faible intensité » comme le dénonce le Syndicat de la magistrature. L’Institut national de la santé et de la recherche médicale (INSERM) abonde en ce sens : « Il faut noter une préoccupante dérive sécuritaire présentée comme légitimant le fichage de données individuelles identifiantes. ». La Cnil relève aussi que l’article 3 du projet de loi participe à « banaliser l’usage des données génétiques » dans son avis du 5 mars 2026.

De manière générale, le fichage n’est jamais neutre et le récent scandale de l’usage illégal de la reconnaissance faciale par les policiers, mettant en cause le fichier de traitement des antécédents judiciaires (TAJ), a mis en lumière les dérives d’un tel système de surveillance étatique. L’extension du FNAEG prévue par le projet de loi SURE est particulièrement préoccupante dans la mesure où les données génétiques sont extrêmement sensibles et identifiantes à vie. De plus, il ne s’agit pas de données uniquement personnelles, comme les empreintes digitales, mais de données pluripersonnelles car elles sont transmissibles et partagées par les membres d’une même famille. Or, lorsque le nombre de données génétiques conservées dépasse un certain seuil, il devient possible de déduire les caractéristiques génétiques de l’ensemble d’une population, à l’image de ce qui est sur le point de se produire aux États-Unis à cause de la banalisation des test ADN.

Par conséquent, plus les données versées au FNAEG sont nombreuses, plus la possibilité qu’il soit utilisé à des fins de contrôle de masse ou de discrimination génétique se concrétise. Or, au regard des chiffres de 2025, 11 % de la population française a déjà son empreinte génétique enregistrée au FNAEG (mais il est à noter que ce chiffre prend en compte des doublons). Le FNAEG est donc un danger aussi bien pour sa vie privée individuelle que pour le collectif.

Au-delà de son extension potentielle, l’existence même du FNAEG est actuellement remise en question par la Cour de justice de l’Union européenne (CJUE). En effet, dans l’affaire Comdribus, la CJUE a récemment déclaré contraire au droit de l’UE des relevés systématiques et non motivés des données biométriques par la police (en l’espèce il s’agissait des empreintes digitales, mais le raisonnement peut s’appliquer à l’ADN). Et en 2017 déjà, la France avait été condamnée pour fichage abusif par la Cour européenne des droits de l’Homme. Or, en droit français, il n’existe aucune obligation de motiver les raisons de l’inscription d’une personne au FNAEG, ce qui laisse penser que la France pourrait à nouveau se faire condamner.

Poursuivant sa fuite en avant, le gouvernement ouvre aux services de police l’accès aux bases de données génétiques constituées par des entreprises privées situées à l’étranger notamment grâce aux tests ADN vendus sur Internet.

Piochage tous azimuts dans les stocks d’ADN à l’étranger

En France, tout examen des caractéristiques génétiques dites « constitutionnelles »²La génétique constitutionnelle désigne l’ensemble des informations sur un patrimoine génétique transmis par la voie héréditaire, par opposition à un patrimoine modifié au cours de la vie, en présence de tumeurs cancéreuses par exemple. d’une personne est interdit en dehors du cadre médical ou de la recherche scientifique. Et même dans ce cadre, un examen ne peut être mené sans le consentement explicite de la personne (à la seule exception du dopage où une simple information préalable suffit).

Un individu ne peut donc pas en principe procéder lui-même à un test ADN sans l’intermédiaire d’un professionnel de santé. C’est pourquoi les fameux kits offerts par milliers à Noël sont interdits en France (pour des raisons éthiques mais aussi de fiabilité et de sécurité des données) sous peine d’amende pour les particuliers (article 226-28-1 du code pénal) et de dissolution pour les entreprises proposant ce type de service (article 226-30 du code pénal). Mais, malgré cette interdiction, entre 1,5 et 2 millions de Français auraient transmis leurs données génétiques à des entreprises localisées à l’étranger, principalement aux États-Unis. C’est sur ces données que lorgne désormais le gouvernement.

Afin que la police puisse les exploiter, l’article 3 du projet de loi introduit une nouvelle exception à l’interdiction de procéder à l’examen des caractéristiques génétiques d’un individu : la recherche et l’identification des personnes dans une procédure pénale. Contrairement aux autres exceptions (cadre médical et recherche scientifique), il supprime purement et simplement l’exigence de consentement, sans même lui substituer une obligation d’information comme pour le dopage. Cela signifie que s’il est adopté, une personne pourra avoir son ADN exploitée par la police sans même en être au courant !

Concrètement, cette exception autoriserait la comparaison de l’ADN détecté sur une scène de crime avec des bases de données étrangères et commerciales afin de trouver des parents du suspect pour remonter jusqu’à lui. Cette technique est appelée généalogie génétique d’investigation.

Si aujourd’hui, il est déjà possible de comparer une trace biologique avec celles recensées dans le FNAEG, la faible quantité de marqueurs caractéristiques extraits de l’ADN (une vingtaine) ne permet pas de remonter ou descendre très loin dans la lignée de l’auteur présumé de l’infraction (parents, enfants et frères et sœurs seulement). Avec l’intégration des bases de données commerciales, qui contiennent des milliers de marqueurs (notamment codants donc révélateurs des caractéristiques physiques, entre autres) pour chaque échantillon d’ADN collecté, il deviendrait possible d’avoir une correspondance avec un cousin jusqu’au sixième degré de la personne dont l’identité est recherchée. Aux enquêteur·rices ensuite de remonter la piste de l’inconnu·e en reconstituant l’arbre généalogique de son parent puis en éliminant, via les procédés classiques d’enquête, les membres de la famille dont le profil n’est pas compatible (personne décédée, sexe opposé, âge trop avancé, …). Il s’agit donc d’un enchaînement d’hypothèses à partir d’un lien familial parfois très mince.

En résumé, si vous n’êtes pas fichés dans le FNAEG mais que vous avez effectué un test ADN auprès d’une entreprise du style 23andMe, la police pourra s’en servir pour retrouver votre cousin, grande-tante ou petit-fils et inversement, sans vous avertir. Les banques de données génétiques étrangères et privées deviendraient ainsi une sorte de prolongement du FNAEG, sans les quelques garde-fous associés à ce fichier déjà très critiquable.

Alors que cette technique n’est pas légale aujourd’hui, la police française y a déjà eu recours en sollicitant
son homologue américaine, le FBI, pour accéder aux données génétiques stockées par les entreprises étasuniennes. Darmanin souhaite donc sécuriser un procédé illégal, au mépris du paradoxe juridique et éthique que cela engendrerait. De fait, de nombreux acteur·ices, comme la vice-présidente du comité éthique de l’Inserm, Catherine Bourgain, dénoncent le caractère contradictoire de la mesure dans le journal Le Monde  : « Ce sont des données sensibles, qui concernent toute votre famille, qui sont gérées dans un cadre commercial […] On va autoriser la justice à utiliser des informations génétiques détenues par des entreprises privées étrangères, dont le business est jugé, chez nous, illégal. On marche sur la tête. »

Un accès aux allures de cheval de Troie

Selon le texte, la généalogie génétique d’investigation serait cantonnée aux enquêtes portant sur les crimes de meurtre, d’assassinat, d’actes de torture et de barbarie, de viol et d’enlèvement et de séquestration. Mais il ne fait aucun doute que cette liste sera rallongée par la suite, à l’image d’autres dispositifs de surveillance. De plus, alors que dans chaque pays ayant légalisé cette technique le droit affirme qu’elle ne peut être employée qu’en dernier recours, lorsque l’enquête est au point mort, cette condition ne figure pas dans le projet de loi où il suffirait d’avoir consulté le FNAEG au préalable.

En dehors des lacunes du projet de loi, les risques inhérents à la généalogie génétique d’investigation s’opposent à sa légalisation. En effet, une telle mesure ouvrirait une brèche en droit français dans laquelle pourraient s’engouffrer toutes les dérives de la collecte des données génétiques constatées à l’étranger : marchandisation des données génétiques pour faire de la publicité ciblée³Exemple : « Au mois de juin dernier, l’entreprise américaine 23andMe a brisé un tabou dans l’utilisation commerciale de ses données en permettant à Airbnb d’afficher des publicités ciblées, proposant des voyages correspondant à l’“héritage” génétique des internautes ciblés »., surveillance collective accrue⁴L’Union des Jeunes Avocats de Paris relève ainsi : « Ce dispositif présente également un risque de biais social, certaines populations étant surreprésentées dans les bases de données et susceptibles d’être davantage surveillées, ce qui accentuerait les inégalités et les discriminations existantes. L’exploitation de données étrangères soulève par ailleurs des problèmes de régulation et de souveraineté juridique, tandis que la limitation annoncée aux seules affaires anciennes et plus graves apparaît largement illusoire. Une fois introduite, cette technique pourrait facilement être détournée à d’autres enquêtes, ouvrant la voie à une surveillance génétique généralisée. » ou encore discrimination génétique. Par exemple, en Australie et en Nouvelle-Zélande, les compagnies d’assurance peuvent désormais augmenter le montant de l’assurance-vie, voire refuser d’en octroyer une, à une personne dont le test génétique révèle des prédispositions à certaines maladies. Autre exemple : au Canada, l’agence des frontières a créé un projet pilote visant à déterminer la nationalité des demandeurs d’asile par le biais de tests ADN.

Finalement, avec le projet de loi SURE, la collecte de masse des données génétiques à l’étranger serait légitimée et risquerait d’être détournée par les services de police en France, mais aussi en dehors du cadre judiciaire, à l’image de ce qui s’est déjà produit ailleurs.

Face à tous ces dangers, pour convaincre le grand public, le gouvernement soutient, dans l’exposé des motifs du projet de loi, que la généalogie génétique permettra de « mettre hors d’état de nuire de dangereux criminels en série » et d’élucider des affaires vieilles de plusieurs années (les fameux « cold cases »). Or, cet argument est à nuancer, car la qualification de l’ADN comme « reine des preuves » relève davantage du fantasme : elle est assez éloignée de la réalité des procédures judiciaires et les erreurs judiciaires liées à une prise en compte démesurée de l’ADN comme preuve sont plus fréquentes qu’on ne l’imagine. De manière générale, il n’existe aucune technique révolutionnaire qui permettrait de résoudre toutes les affaires. Cependant, cet argument technosolutionniste est ressassé à chaque fois qu’une nouvelle technique de surveillance émerge. Elle est ainsi présentée comme décisive et indispensable afin d’écarter tout débat sur sa proportionnalité.

Multiplication des agents capables de consulter des fichiers de police

Aujourd’hui, l’article 15-5 du code de procédure pénale prévoit que la consultation des fichiers de police est réservée à des agents « spécialement et individuellement habilités ». En d’autres termes, en théorie, l’accès aux fichiers n’est pas open bar mais réservé à un nombre restreint et défini de personnes. L’article 3 du projet vient vider de sens cette disposition en octroyant cette faculté à quasiment l’ensemble du personnel de la police judiciaire : officiers, agents, adjoints et même les fonctionnaires et agents administratifs dotés de fonctions de police judiciaire. Une habilitation spéciale n’est plus exigée.

Cette mesure permet ainsi un accès quasi total et non encadré aux fichiers de police. Elle vise clairement à empêcher les avocats de soulever une nullité procédurale, le ministre ne s’en cachant même pas, au mépris des droits de la défense et de la protection des données personnelles contenues dans ces fichiers.

En résumé, l’article 3 du projet de loi gave les fichiers de police de toujours plus de données sensibles tout en ouvrant leur accès à des personnels de moins en moins formés et encadrés. Le projet de loi SURE sera examiné prochainement à l’Assemblée nationale. De nombreuses organisations se sont mobilisées pour exiger son retrait et nous nous joignons à leurs revendications pour appeler les député·es à le rejeter. Pour nous permettre de continuer notre travail contre les lois liberticides, vous pouvez nous aider en nous faisant un don.

Le 5 mai 2026, l’Assemblée nationale a voté une version durcie du projet de loi « relatif à la lutte contre les fraudes sociales et fiscales ». Le Sénat devrait également voter ce texte la semaine prochaine. En plus d’avoir validé les principales mesures de surveillance que nous dénoncions lors de l’examen du texte au Sénat, les député·es ont voté l’extension du droit de communication aux agents de contrôles RSA des départements¹Amendement AS483, disponible ici.. Ce pouvoir extrêmement large permettra notamment aux départements d’accéder aux relevés bancaires des allocataires du RSA à des fins de contrôle. Cette mesure, votée alors que la contestation monte contre les pratiques de contrôles RSA par les départements, représente un cap en termes de contrôle social, en particulier au vu des risques d’instrumentalisation politique de ces contrôles par les président·es des conseils départementaux.

Le 15 juin prochain, le président du conseil départemental du Finistère comparaîtra devant le tribunal correctionnel pour répondre aux accusations de « harcèlement moral institutionnel »²L’action en justice vise Maël de Calan et son directeur de l’emploi. Voir notamment ce communiqué de la CGT 29 et les articles de Splann, L’Humanité, Mediapart et Libération.. L’accusation est portée par six allocataires du RSA, avec le soutien de la CGT. Tous·tes ont en commun d’avoir subi un contrôle RSA initié par le département du Finistère³Les allocataires du RSA peuvent faire l’objet de contrôles de la part de la CAF, de la Mutualité sociale agricole (MSA) ou des départements. Par ailleurs, depuis la loi Plein Emploi et leur inscription obligatoire à France Travail, des contrôles peuvent également être menés par France Travail.. Demandes abusives, remarques déplacées et logique de suspicion : leurs témoignages, appuyés par ceux d’une trentaine d’autres allocataires du département, dressent un tableau glaçant des pratiques de contrôle dans ce département, et des abus que le système actuel permet déjà et que le projet de loi Fraudes accentuera.

L’accès aux comptes bancaires : un outil d’humiliation et de répression sociale

Au centre du récit des victimes se trouvent les demandes systématiques de transmission des relevés bancaires par le conseil départemental, sur une période allant de deux mois à plusieurs années⁴D’après les témoignages, un premier courrier demande l’envoi des relevés sur les deux derniers mois. Il est généralement suivi par un second étendant la période à une ou deux années, mais un allocataire s’est même vu demander trois années de relevés bancaires.. Les courriers précisent qu’en cas de refus, le RSA sera suspendu.

Ces demandes sont un pilier du harcèlement administratif qu’ils et elles ont subi. Les relevés sont minutieusement analysés par les équipes de contrôle qui exigent, pour chaque rentrée d’argent, une explication et une attestation sur l’honneur de la personne ayant versé l’argent. Le but semble clair : humilier, tout en imposant une charge administrative démesurée jusqu’à ce que les allocataires renoncent à leurs droits.

Parmi les exemples remontés : le remboursement d’une plante détruite par le chat d’une amie, des cagnottes organisées lors d’anniversaires, un remboursement suite à une sortie en week-end, ou des factures médicales pour une allocataire ayant été aidée par ses proches pour une opération. Les montants importent peu, des justificatifs étant demandés pour des virements parfois inférieurs à 10 euros.

À cela s’ajoute un sentiment d’humiliation via l’incursion dans l’intimité de la personne contrôlée. Rappelons que, si les demandes de justificatifs portent principalement sur les entrées d’argent, les contrôleur·ses ont aussi accès aux dépenses des allocataires. Or, ces dernières renseignent tant sur les problèmes médicaux, les orientations sexuelles, les pratiques religieuses que les habitudes alimentaires ou les loisirs.

Tous·tes racontent comment la charge administrative démesurée que représente la production des pièces justificatives, associée aux menaces de suspension et à des délais de réponse très courts, les a plongé·es dans une situation de stress intense s’accompagnant de syndrômes dépressifs nécessitant un suivi médical.

Départements : des contrôles politiques ouverts à l’arbitraire

Le Finistère n’est pas un cas isolé. Des campagnes de contrôle similaires ont notamment été documentées dans les départements du Nord, du Vaucluse, du Bas-Rhin ou de l’Eure⁵Pour le Vaucluse, voir notamment cet article de Mediapart, cet article de Michel Abhervé et celui-ci de La Provence pour les chiffres récents de ce département. Pour le département du Nord, voir cet article de Michel Abhervé recensant des articles sur le sujet, en particulier le travail du journal La Brique. Sur le Bas-Rhin, voir cet article de Rue89 Strasbourg. Cet article de Libération évoque des demandes de relevés dans l’Eure, le Haut-Rhin et le Bas-Rhin..

Partout le même scénario : un·e président·e de conseil départemental décide d’instrumentaliser la « lutte contre l’assistanat » à des fins politiques. Un mot d’ordre qui se traduit par un renforcement des politiques de contrôle via la mobilisation d’équipes de contrôleur·ses placé·es sous son autorité. À chaque fois, ces équipes envoient des demandes de relevés bancaires à des milliers d’allocataires en leur demandant de justifier leurs rentrées d’argent en échange du maintien de leur allocation.

Si les chiffres disponibles ne permettent pas d’établir avec précision l’impact de ces politiques, plusieurs éléments indiquent qu’elles renforcent les difficultés d’accès aux droits. Ainsi, le Vaucluse et le Finistère – deux des départements dont les politiques de contrôle sont les plus critiquées – ont vu leur nombre d’allocataires du RSA baisser respectivement de 13,9 % et 9,6 % en 2024, alors qu’à l’échelon national le nombre d’allocataires au RSA augmentait de 0,2 %. Une tendance vérifiée sur la période 2021-2025⁶Pour les chiffres 2024, voir cet article de Michel Abhervé. Entre 2021 et 2025, les baisses du nombre d’allocataires sont respectivement de 32%, 32% et 17% dans le Vaucluse, les Alpes Maritimes ou le Finistère alors qu’elle s’établit à 4% au niveau national. Voir notamment cette carte produite par Ouest-France. Pour le Finistère, voir les chiffres de radiations de cet article de Michel Abhervé. Pour le Vaucluse voir cet article et cet article de Michel Abhervé.. Une enquête de Ouest-France portant sur ces mêmes départements documente que cette baisse s’explique notamment par l’incapacité des allocataires à répondre aux innombrables demandes de justificatifs, se soldant par leurs radiations.

Ces résultats sont annoncés sur un ton triomphaliste par les responsables politiques locaux qui mettent en avant le succès de leurs politiques « de retour à l’emploi » – et les gains financiers pour le département, financeur du RSA – tout en taisant la réalité des mécanismes répressifs⁷Voir notamment cet interview de Dominique Santoni pour le Vaucluse ou la page « plan RSA » du Finistère..

Des contrôles réalisés en toute illégalité

Mais il est une seconde chose que taisent les conseils départementaux : les demandes de communication des relevés bancaires sont en réalité faites dans l’illégalité la plus totale. Une preuve supplémentaire de l’arbitraire dans lequel sont réalisés ces contrôles.

Car les textes sont clairs, comme le rappelle la Défenseure des Droits dans un récent rapport. Les politiques de contrôle des allocataires du RSA sont de la responsabilité des CAF et non des départements. À ce titre, les agents des CAF disposent de pouvoirs étendus, dont le droit de communication, qui leur permet d’accéder aux relevés des allocataires directement auprès des banques.

Les prérogatives de contrôle des départements se limitent à la possibilité de demander des informations sur les allocataires du RSA auprès des administrations publiques (par exemple l’administration fiscale ou France Travail), et non directement auprès des bénéficiaires⁸Article L. 262-40 du code de l’action sociale et des familles.. À cela s’ajoute la possibilité de déclencher «  une évaluation forfaitaire des éléments de train de vie » sur la base d’éléments se limitant au patrimoine et à certaines dépenses (personnels « domestiques », voyages, …), sans que jamais ne soit évoquée la possibilité de demander l’accès aux comptes bancaires⁹Article L. 262-41 et les articles R. 262-74 et suivants du code de l’action sociale et des familles. Ce type d’enquête ne peut être enclenché que sur demande de la CAF ou après consultation de cette dernière, et l’allocataire doit en être informé·e..

Le Parlement sécurise des procédures aujourd’hui illégales

Comme le souligne la Défenseure des droits dans son rapport, le code de l’action social et des familles ne prévoit absolument pas qu’un département puisse, sous couvert d’opérations de contrôle, demander des pièces justificatives arbitraires aux allocataires, a fortiori des informations aussi intrusives que les relevés bancaires, le tout sous la menace de suspension du RSA. Mais, continue le rapport, « il ressort des observations effectuées par le Défenseur des droits que certains conseils départementaux adressent directement aux allocataires du RSA des demandes de justificatifs […] dans le cadre de contrôles globaux de leur situation ». Une pratique illégale que le projet de loi Fraudes veut corriger.

L’objectif de l’octroi du droit de communication aux conseils départementaux est donc double. À court terme, il servira à protéger contre les poursuites juridiques les président·es de conseils départementaux qui organisent, en toute connaissance de cause, des politiques de contrôles aujourd’hui illégales. À moyen terme, il donnera les mains libres aux présidents de conseils départementaux qui le souhaitent pour mener les politiques répressives de leur choix.

Pire encore : s’il est principalement utilisé pour obtenir l’accès aux relevés bancaires, le droit de communication a un champ d’application potentiellement bien plus large. Il s’agit d’une sorte de pouvoir de réquisition, similaire à celui dont disposent les forces de police, qui permet aux contrôleur·ses d’obtenir les documents et renseignements de leur choix auprès d’un très grand nombre d’acteurs publics et privés¹⁰Voir l’article L. 114-19 du code de sécurité sociale et l’article 115 de la loi de financement de sécurité sociale pour 2008 qui l’introduit pour les organismes de protection sociale.. Outre les demandes adressées aux banques, ce droit est mobilisable auprès des opérateurs de téléphonie, des fournisseurs d’énergie, des associations, des organismes de formation, des professionnels de santé ou encore des employeurs¹¹À titre d’exemple, voir le rapport annuel 2024 de lutte contre les fraudes de l’assurance maladie, détaillant les organismes auprès de qui ce droit a été exercé..

Le droit de communication : une extension continue

Cette mesure s’inscrit dans un processus d’extension continue du droit de communication à des fins de « lutte contre la fraude sociale ». Dans un contexte de radicalisation toujours plus à droite du discours politique, notamment sur les questions sociales, les limites à ce droit de communication et les garanties associées sont peu à peu supprimées.

Accordé en 2008 aux agent·es de contrôle des organismes de sécurité sociale (CAF, CNAM, CNAV), il a depuis fait l’objet d’une dizaine de modifications, afin d’étendre tant les organismes pouvant l’utiliser – notamment, depuis 2021, aux agent·es de lutte contre la fraude de France Travail – que les informations communicables ou les sanctions en cas de non-réponse¹²La loi de finances 2021 l’a étendu aux agents chargés de la lutte contre la fraude à France Travail en modifiant l’article L. 5312-13-2 du code du travail..

Ici, outre les agents départementaux, rappelons que le projet de loi prévoit, comme nous le détaillions ici, son élargissement à des agent·es des CAF et des CPAM qui ne sont ni agréé·es ni assermenté·es, une garantie dont la CNIL avait pourtant rappelé l’importance en 2017¹³Délibération n° 2017-053 du 9 mars 2017, disponible ici.. Notons enfin qu’en 2021, alors que le Parlement discutait de la loi « 3DS »¹⁴Acronyme pour « Loi relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale »., le Sénat avait déjà tenté d’obtenir cette extension du droit de communication pour les départements. Et c’est grâce à un rapporteur macroniste à l’Assemblée que cette extension n’a finalement pas eu lieu, puisque, pour s’y opposer, il a fait voter, avec succès, un amendement supprimant cette extension introduite au Sénat¹⁵Cette mesure avait été introduite au Sénat en 2021 par un amendement de la droite créant un nouvel article au projet de loi 3DS. Cet article a finalement été supprimé en commission des affaires sociales, par un amendement du rapporteur qui rappelait la disproportion de l’atteinte créée au droits fondamentaux..

Un espoir européen

Une décision récente de la Cour européenne des droits de l’Homme (CEDH) ouvre des perspectives juridiques intéressantes. Dans un arrêt du 8 janvier dernier¹⁶CEDH, 8 janvier 2026, Ferrieri et Bonassisa c. Italie, nos 40607/19 et 34583/20., la CEDH a condamné l’Italie pour violation de la vie privée en raison d’un droit de communication octroyé au fisc italien similaire au droit de communication français. Pour la CEDH, ce pouvoir n’est pas suffisamment encadré par la législation italienne, ce qui laisse la porte ouverte aux demandes de communication abusives. Et alors que le droit de communication italien est plus strict que ce qui est prévu en droit français pour les administrations sociales.

La CEDH exige notamment qu’un tel droit de communication soit entouré de nombreuses garanties tout au long de son utilisation : une notification des personnes pour leur permettre de contester l’usage de ce droit, y compris avant que les données communiquées n’aient été utilisées dans le cadre d’un contrôle, et y compris si le résultat du contrôle n’a pas conduit à une sanction ; une motivation précise par l’administration expliquant pourquoi elle a besoin d’accéder à ces données ; un contrôle indépendant de la demande pour que le droit de communication ne puisse pas être utilisé systématiquement et s’assurer de la nécessité de l’accès. L’absence de ces garanties dans la loi française est criante et le projet de loi Fraudes ne corrige absolument pas cela¹⁷Pour une analyse plus complète, voir notre note d’analyse envoyée aux députés..

Il est donc nécessaire de lutter collectivement. Face à une violence administrative institutionnalisée et encouragée par le législateur, il est plus que nécessaire de trouver les manières d’y répondre ensemble. Nous appelons celles et ceux qui souhaitent discuter de cette lutte à nous écrire à algos@laquadrature.net. Et pour celles et ceux qui le peuvent, vous pouvez faire aussi nous faire un don.

Aujourd’hui, le Conseil d’État a donné raison à La Quadrature du Net, French Data Network (FDN), Franciliens.net et la Fédération FDN. Il a reconnu que le système de surveillance de la Hadopi (opéré depuis 2021 par l’Arcom) n’est pas compatible avec le respect des droits fondamentaux protégés par l’Union européenne. En conséquence, il a enjoint au gouvernement de procéder à l’abrogation d’une partie d’un décret central de la Hadopi qui organise la riposte graduée. Ce combat contre la Hadopi, que La Quadrature mène depuis les premiers débats législatifs à l’Assemblée en 2009, est emblématique de la vision archaïque qu’ont les différents gouvernements, de gauche comme de droite, sur la question du partage de la culture et de la connaissance en ligne. Il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé.

La Hadopi est bien une machine de surveillance

La Hadopi, c’est la loi qui créa l’autorité éponyme : la « Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet ». Le mécanisme mis en place fonctionne en deux temps : dans un premier temps, les ayants droit constatent que des internautes partagent de la culture sur Internet en peer-to-peer ; ils notent leur adresse IP et l’envoie à la Hadopi ; dans un deuxième temps, la Hadopi, à partir de ces listes d’adresses IP, demande aux fournisseurs d’accès à Internet l’identité civile et les coordonnées des abonné·es repéré·es et conservent ces informations dans un fichier des téléchargeur·euses. S’enclenche alors la riposte graduée : la première fois qu’un·e internaute est repéré·e, la Hadopi commence par envoyer un premier e-mail d’avertissement, puis un second en cas de récidive, puis une lettre recommandée en cas de réitération, et peut enfin transmettre le dossier à la justice pour les internautes qui ignoreraient ces avertissements. L’autorité judiciaire peut alors sanctionner l’internaute d’une contravention de cinquième classe (pouvant aller jusqu’à 1 500 € d’amende ; 3 000 en cas de récidive) pour « défaut de sécurisation d’une connexion Internet »¹La Hadopi ne sanctionne pas directement le fait d’avoir téléchargé puisqu’il n’est pas possible, techniquement, de s’assurer que l’abonné·e est bien la personne qui a téléchargé. La parade du législateur a donc été de créer une obligation de sécurisation de son accès à Internet dont le défaut est sanctionné..

En 2021, le législateur a fusionné le CSA (Conseil supérieur de l’audiovisuel) avec la Hadopi pour donner naissance à l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique). Mais l’Arcom n’a fait qu’hériter des missions de la Hadopi, et ce système de surveillance a continué.

Christine Albanel, ministre sarkozyste de la culture qui a défendu en 2009 la première loi Hadopi, affirmait que son texte permettrait de concilier vie privée et lutte contre le piratage, alors qu’elle ne comprenait pas les réalités et enjeux techniques de sa loi. On savait pourtant déjà en 2009 que cela ne fonctionnerait pas, que les internautes allaient arrêter de télécharger en peer-to-peer pour se tourner vers le streaming ou le téléchargement direct (ce qui a, inévitablement, créé un marché pour des plateformes marchandes illégales), et que les questions de piratage sont intrinsèquement liées à l’accessibilité des offres légales (le piratage baisse lorsque l’offre l’égale est facilement accessible et augmente lorsque les offres légales se dégradent ou quand les plateformes sont inaccessibles).

On sait aujourd’hui que les atteintes aux droits fondamentaux sont telles que ce système ne peut pas continuer.

Sept ans de combat judiciaire

En 2019, nous avons demandé au Conseil d’État l’abrogation du décret central de la Hadopi, qui autorise le stockage des données personnelles nécessaires à la riposte graduée (les adresses IP, l’identité civile et les œuvres téléchargées). L’affaire a été renvoyée devant le Conseil constitutionnel et en 2020 nous avons obtenu une première victoire partielle : le Conseil constitutionnel a censuré l’accès large de la Hadopi aux données personnelles (la loi prévoyait à l’époque qu’elle pouvait accéder à « tous documents »). Mais, contrairement à notre analyse immédiate, cela ne signifiait pas nécessairement la fin de la Hadopi.

De retour devant le Conseil d’État pour tirer les conséquences de cette censure partielle de la loi, nous avons alors souligné que la jurisprudence de la Cour de Justice de l’Union européenne (CJUE) s’opposait au système Hadopi : en principe, avant qu’une autorité puisse accéder à des données de connexion (telles que l’adresse IP ou l’identité civile associée à cette IP), il doit y avoir un contrôle indépendant de la légalité et de la proportionnalité de cet accès. Contrôle qui n’existe pas pour la Hadopi. Le rapporteur public du Conseil d’État, mécontent de devoir reconnaître l’illégalité de la Hadopi, admettait tout de même le problème : « Cette affaire devrait, hélas, réjouir des millions d’internautes puisqu’elle met en jeu, indirectement, l’existence même de la [Hadopi]. » Mais, mauvais joueur, au lieu d’inviter le Conseil d’État à mettre un terme à la Hadopi, il lui suggéra de demander à la CJUE une « exception Hadopi » : assouplir les exigences européennes pour que la surveillance de masse de la Hadopi puisse continuer.

Cette requête nous a ainsi amené devant la CJUE. Pour un résultat décevant puisque nous avons perdu sur le principe : la CJUE a accepté d’affaiblir sa position. Elle a accepté qu’un accès à des données de connexion puisse, dans certains cas, ne pas être précédé d’un contrôle indépendant. Mais elle assorti cette possibilité de nombreuses conditions, tant sur les conditions de conservation de ces données que des condition de contrôle indépendant préalable.

Dans sa décision, le Conseil d’État nous donne finalement raison sur ces deux points. Premièrement, il estime que la conservation des données de connexion n’est pas faite de manière à préserver les libertés. La CJUE exigeait une conservation dite « étanche » entre l’adresse IP et les données d’identité civile (qu’on peut comprendre comme deux bases de données, ou deux fichiers, distinct·es, qui ne peuvent être techniquement recoupé·es qu’après une demande d’accès en bonne et due forme par l’Arcom). Le Conseil d’État constate qu’« aucune disposition légale n’impose une telle conservation, dans ces conditions, aux opérateurs de communications électroniques ».

Deuxièmement, il constate également que l’accès à ces données n’est pas précédé d’un contrôle indépendant. Il s’en remet parfaitement aux conclusions déjà tirées par la CJUE, qui est que l’Arcom ne peut être juge et partie : elle ne peut demander l’accès et contrôler elle-même la légalité de cet accès, même si elle est une autorité indépendante. Mais, comme le fait la CJUE, le Conseil d’État estime que cette absence de contrôle ne pose problème qu’à partir du troisième accès aux données, l’étape où une lettre recommandée est envoyée.

La nécessité de trouver un nouveau modèle

Concrètement, cela signifie que la riposte graduée est grippée. L’Arcom ne peut plus vous envoyer devant la justice, puisque les exigences requises par la CJUE ne sont pas remplies. Et elle ne peut vous envoyer de mail que si elle s’est assurée auparavant que les données de connexion ont été conservées de manière « étanche » par votre fournisseur d’accès à Internet²La ministre de la culture affirme avoir demandé à SFR, Free, Orange et Bouygues Telecom si cette conservation était faite de manière étanche. Ces opérateurs lui ont répondu que oui, mais l’Arcom devra s’en assurer. L’occasion de vous inviter à prendre votre abonnement à Internet chez un opérateur éthique de la Fédération FDN !. Elle est donc aujourd’hui reléguée au rôle d’immense machine à spams.

Cela ne veut pas dire pour autant que la Hadopi est définitivement morte. Le gouvernement pourrait revenir à la charge, créer une forme d’autorité de contrôle de l’Arcom pour se mettre en conformité. S’il s’engageait dans cette voie, le gouvernement s’obstinerait à maintenir à flot un système de surveillance illégitime. En se concentrant sur la pénalisation des internautes qui partagent de la culture sur internet, le système Hadopi a manqué sa cible. Il n’a jamais permis de s’attaquer aux plateformes illégales marchandes qui vendent des accès privilégiés à leur catalogue sur le dos des artistes. Au contraire, il a créé un espace pour cette offre illégale. Le système Hadopi n’a pas non plus mis fin à l’exploitation des sociétés d’ayants droit, ces « moines copistes » qui maintiennent les artistes dans une sujétion politique ou économique dont quelques-un·es seulement peuvent se défaire. Commencer par mettre fin à la criminalisation du partage non-marchand de la culture est la première étape à une nécessaire refonte.

 

La Quadrature du Net se mobilise depuis 2009 contre la Hadopi et cette victoire résonne donc particulièrement pour nous. Le combat n’est toutefois pas terminé. Ni contre une Hadopi qui pourrait sortir, telle un zombie, de son tombeau. Ni contre toutes ces lois qui voudraient faire d’Internet une zone de non-droits fondamentaux. Alors vous pouvez nous aider en nous faisant un don.

Depuis la loi « Chevènement » du 15 avril 1999, les services municipaux de police se sont multipliés sur l’ensemble du territoire français. Aujourd’hui, environ 28 000 agents répartis dans 4 600 communes y sont rattachés. En parallèle de l’augmentation des effectifs, huit réformes successives ont renforcé les équipements et missions des policiers municipaux. Le projet de loi sur les polices municipales, présenté fin octobre 2025 par Laurent Nuñez, accentue ce mouvement en les dotant (ainsi que les gardes champêtres¹Les gardes champêtres sont des agents communaux bénéficiant d’une compétence de police spéciale, la police des campagnes, et qui sont chargés de rechercher les contraventions aux règlements et arrêtés de police municipale.), de moyens de surveillance et de sanction supplémentaires : drones, caméras individuelles, amendes forfaitaires ou encore accès au fichier TAJ. La plupart de leurs nouvelles prérogatives sont calquées sur celles des policiers et gendarmes nationaux. Le Conseil constitutionnel avait pourtant, à deux reprises, censuré des articles de lois qui prévoyaient une extension similaire des pouvoirs de la police municipale²En 2011, dans la loi Loppsi 2, et en 2021, dans la loi Sécurité globale.. Le gouvernement, main dans la main avec les sénateur·rices qui ont adoubé le texte à une écrasante majorité le 10 février dernier, tente donc à nouveau de franchir le Rubicon.

Le timing du projet de loi n’est pas anodin car il tombe en plein milieu de la campagne pour les élections municipales, période généralement favorable aux penchants sécuritaires. En effet, à chaque élection, la même rengaine populiste sur la hausse exponentielle de l’insécurité monopolise le devant de la scène politique et médiatique. Qu’importe si les chiffres disent le contraire³Voir également le rappel du Centre d’observation de la société ou le rapport de la Cour des comptes de 2020 sur les polices municipales (pp. 69–71)., élu·es et candidat·es entretiennent cette chimère et rivalisent d’inventivité pour proposer des remèdes miracles, quitte à flirter avec l’illégalité. La lutte contre l’insécurité, terme fourre-tout qui désigne tout aussi bien des festivités bruyantes, des ordures sur la voie publique, que des cambriolages ou des homicides, est ainsi devenue l’alibi idéal pour instaurer des mesures toujours plus attentatoires aux libertés, à l’image des textes sécuritaires présentés par le gouvernement ces dernières semaines.

Au milieu de cette surenchère, le projet de loi en cause investit les policiers municipaux de pouvoirs toujours plus importants sans véritablement renforcer leur formation ou leur encadrement en parallèle. L’objectif affiché par le ministre de l’intérieur avec ce texte est de donner (encore) plus de place à la police locale dans l’édifice de la « sécurité globale » en France. Aussi, à travers ce texte, ce sont non seulement les libertés qui sont sacrifiées sur l’autel du sacro-saint « continuum de sécurité », mais aussi, paradoxalement, la sécurité elle-même.

Drones, caméras embarquées, LAPI : les nouveaux joujoux de la police municipale

Les drones

L’article 6 du projet de loi autorise, à titre expérimental les policiers municipaux à se servir de drones, dans cinq situations aux contours flous, incluant notamment tout « grand rassemblement de personnes particulièrement exposées à des risques de troubles graves à l’ordre public ».

Le gouvernement, après deux camouflets du Conseil constitutionnel⁴Décision n° 2021-817 DC du 20 mai 2021, Loi pour une sécurité globale préservant les libertés ; Décision n° 2021-834 DC du 20 janvier 2022, Loi relative à la responsabilité pénale et à la sécurité intérieure., tente donc de réintroduire cette mesure. Cette fois, pour échapper à une énième censure, il subordonne le déploiement des drones à la délivrance d’une autorisation préfectorale écrite et motivée, qui mentionne le nombre maximal de caméras pouvant procéder simultanément aux enregistrements, d’une durée maximale de 3 mois et révocable à tout moment par le préfet.

Néanmoins, il ne faut pas être dupe de ces faibles garde-fous qui sont, dans d’autres cadres déjà en place, régulièrement enjambés par les autorités. Même la CNIL déplore que les finalités qui justifieraient le recours à des drones par les services de police municipale soient « à la fois très larges, diverses et d’importance inégale », et juge la durée de l’expérimentation disproportionnée.

Et surtout, les précédents déploiements de drones par la police et la gendarmerie nationales ont montré les dérives de la surveillance aérienne via cette technologie. En plus de devenir un réflexe qui n’est pas toujours adapté à la situation, les préfectures court-circuitent la contestation de leur autorisation en les multipliant, en les republiant après une première annulation par un tribunal administratif, ou en les promulguant tardivement. Cette pratique de contournement de la loi par les préfectures a été particulièrement visible durant le mouvement « Bloquons tout » : autorisations très larges (parfois couvrant tout un département ou toute une agglomération), adoptées la veille au soir d’un rassemblement prévu le matin (empêchant ainsi quasiment tout recours dans les délais), refus par les préfectures de cesser des drones lorsque la justice l’ordonne, etc.

Les caméras piéton et embarquées

En plus des drones, l’article 6 quater lance une expérimentation quinquennale pour doter les policiers municipaux de caméras embarquées dans leurs moyens de transport. L’article 7 du projet de loi, quant à lui, pérennise l’expérimentation relative au port de caméras-piétons par les gardes champêtres, issue de la loi Sécurité globale de 2021. Cependant, cette pérennisation rime avec banalisation alors même que leur pertinence n’est pas étayée : l’expérimentation n’a concerné que 17 caméras pour une quarantaine de gardes champêtres…

De plus, cette pérennisation s’accompagne d’un affaiblissement des garanties juridiques : certaines interdictions prévues dans la loi expérimentale, comme la transmission des enregistrements en temps réel au poste de commandement et la consultation en direct des enregistrements par les agents, ont purement et simplement disparu du projet de loi.

De manière générale, les caméras-piétons sont un dispositif néfaste qui participe à la «  robocopisation  » des policiers et par conséquent à creuser le fossé entre la police et la population (voir notre brochure sur la VSA ou encore le récent sujet de Last Week Tonight sur le sujet aux États-Unis).

Les dispositifs de lecture automatisée des plaques d’immatriculation (LAPI)

L’article 8 du projet de loi étend la capacité des policiers municipaux à utiliser des dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour l’ensemble des infractions au code de la route. Ces dispositifs sont composés :

• d’un capteur vidéo, mobile ou fixe permettant de prendre en photo les données signalétiques du véhicule ainsi que ses occupants ;
• d’un logiciel de traitement de l’image qui permet de numériser la plaque (dans tous les cas) et de détecter des comportements prédéfinis (dans certains cas seulement).

Ils captent donc des images portant sur des données personnelles : numéro d’immatriculation du véhicule, photographie du véhicule et de ses éventuels occupants, ce qui remet en question le principe d’anonymat dans l’espace public. Ces données feront ensuite l’objet de traitements automatisés, notamment une consultation du système d’immatriculation des véhicules (SIV).

Or, l’unique garantie prévue par le projet de loi se résume à une autorisation préfectorale qui se bornerait à préciser les modalités d’information de la mise en œuvre des dispositifs LAPI. Cela est largement insuffisant comme le dénoncent le Conseil d’État et la CNIL qui plaident pour l’instauration de garanties supplémentaires. Le Conseil d’État estime par exemple que le champ des données recueillies est trop important, la photographie des occupants n’étant « pas nécessaire pour constater les nouvelles infractions autorisées ».

Finalement, le projet de loi ouvre (ou élargit) l’accès de la police locale à des technologies défaillantes et dangereuses pour les libertés. Le tout financé généreusement (et plus illégalement) par les régions comme en rêvait Valérie Pécresse.

Un arsenal technologique financé par la région

L’article 9 du projet de loi prévoit que les régions puissent « contribuer au financement des projets […] concourant à l’équipement des polices municipales ou à la mise en œuvre de systèmes de vidéoprotection. » Il balaye ainsi discrètement un principe fondamental du droit administratif : l’incompétence des régions en matière de sécurité, d’ordre public ou de forces de police.

Le gouvernement justifie cette disposition par la nécessité de financer les coûts de la formation supplémentaire des policiers municipaux dotés de missions de police judiciaire. Or, cette finalité n’est absolument pas mentionnée dans l’article. En réalité, il s’agit de légitimer le programme sécuritaire déjà mis en œuvre par certain·es président·es de région, à l’instar de Valérie Pécresse, en toute illégalité. En l’état des discussions parlementaires, l’article 9 du projet de loi légaliserait les subventions (à l’instar de celle de la région PACA annulée il y a quelques années par la justice⁵TA Marseille, Préfet des Bouches-du-Rhône 17 décembre 2019, n° 1703337.) de communes par une région pour financer l’équipement des polices municipales, comme des drones, et sauverait l’actuel « bouclier de sécurité » de la région Île-de-France que nous contestons actuellement en justice aux côtés d’élu·es d’opposition. L’ancien ministre de l’intérieur, Bruno Retailleau, avait d’ailleurs explicitement promis à une sénatrice proche de Valérie Pécresse, en juillet 2025, qu’un article du futur projet de loi polices municipales donnerait compétence aux régions en matière de sécurité. Cet article est donc clairement le résultat du lobbying de Valérie Pécresse et de ses allié·es pour sauver son « bouclier de sécurité » devenu la colonne vertébrale de la Technopolice francilienne.

Ce projet de loi montre bien toute l’hypocrisie des dirigeants, qui rognent sur la moindre dépense pour mener une politique sociale ou écologique tout en faisant couler à flots les subventions pour les politiques sécuritaires (depuis 2016, la région Île-de-France a octroyé 145 millions d’euros de subventions aux communes pour l’équipement des polices municipales ou la vidéoprotection). En s’enfermant dans cette rhétorique de la peur, le gouvernement et ses partisans privilégient la coercition à la prévention et ne traitent à aucun moment les causes de la délinquance à la racine.

Amendes, consultation des fichiers, contrôles d’identité… : les nouveaux pouvoirs démesurés de la police municipale

En plus d’autoriser de nouvelles technologies de surveillance pour les polices municipales, le projet de loi renforce aussi les pouvoirs des agents, rendant toujours plus floue la frontière entre police nationale et police municipale.

Par principe, la police municipale remplit des missions de police administrative, c’est-à-dire qui visent à prévenir les atteintes à l’ordre public, et non à réprimer des infractions comme la police judiciaire. Toutefois, les policiers municipaux ne sont pas complètement étrangers aux missions de police judiciaire : en leur qualité d’agents de police judiciaire adjoints (APJ), ils détiennent la faculté de constater certaines infractions en établissant un procès-verbal. Néanmoins, ils ne sont compétents ni pour infliger des amendes, ni pour arrêter les auteur·rices de l’infraction, ni pour enquêter, ces pouvoirs étant réservés à la police et la gendarmerie nationales.

L’article 2 du projet de loi déséquilibre cette répartition en octroyant d’importantes prérogatives judiciaires aux policiers municipaux. En pratique, les maires n’auront qu’à demander à leur conseil municipal pour que soit créé un « service de police municipale à compétence judiciaire élargie » (SPMCJE), composé de policiers municipaux encadrés par chefs et les directeurs de service (appelés « personnel d’encadrement »)⁶La police municipale est composée de différentes catégories de fonctionnaires : les agents de police municipale et gardes champêtres (catégorie C) ; les chefs de service (catégorie B) dont la fonction est accessible par concours externe sans avoir jamais travaillé dans le corps de la police municipale ; et les directeurs de service (catégorie A) qui doivent justifier d’une longue expérience dans la police municipale..

Dans la version votée par le Sénat, les policiers municipaux des SPMCJE pourront constater une vingtaine d’infractions supplémentaires : occupation illicite d’un hall d’immeuble, vol, conduite avec permis de conduire invalide ou en grand excès de vitesse, usage de stupéfiants, pénétration sur une aire de compétition sportive, intrusion dans un établissement d’enseignement scolaire, abandon ou dépôt illicite de déchets, etc. Petit détail non négligeable : afin de constater le délit d’occupation illicite, l’article 2 bis autorise les polices municipales à pénétrer dans les parties communes des habitations sans formalité préalable.

Surtout, les policiers municipaux pourront désormais infliger une amende forfaitaire délictuelle (AFD), en cas de flagrant délit, sans être supervisés. Or, cette généralisation des AFD est particulièrement préoccupante car il s’agit d’une sanction pénale prononcée en dehors de tout procès, au mépris des principes du droit pénal (présomption d’innocence, droit au recours et au procès équitable, individualisation des peines, etc.). De plus, il a aujourd’hui été démontré, comme l’a rappelé le Conseil national des barreaux dans un avis, que l’AFD est un instrument discriminatoire car elle cible d’abord les personnes en situation de précarité, à l’image de personnes sans abri se réfugiant des les halls d’immeuble ou les établissements scolaires, et est parfois sciemment dévoyée à l’encontre des personnes jugées « indésirables » dans certains quartiers (voir l’avis de la CNCDH, § 33, et le communiqué du Syndicat de la magistrature).

D’ailleurs, face aux multiples dysfonctionnements de la procédure d’AFD, un rapport de la Mission d’urgence relative à la déjudiciarisation, commandé par le ministère de la justice, préconisait début 2025 une « pause » dans son développement. Le même gouvernement ayant diligenté cette mission va donc à rebours des conclusions de ses propres services en s’entêtant à déployer un dispositif défaillant.

Par effet boule de neige, l’octroi du pouvoir d’infliger des AFD aux policiers municipaux a été assorti de l’autorisation de consulter deux fichiers. D’une part, le fichier des véhicules terrestres à moteur assurés, pour vérifier si le véhicule est assuré ou non. D’autre part, le fichier des traitement d’antécédents judiciaires (TAJ), dans le cadre de quatre infractions uniquement, pour déterminer si la personne visée par une amende est en état de récidive (une AFD ne pouvant pas être prononcée si c’est le cas). Seul le personnel d’encadrement pourra effectuer de telles consultations.

En dehors de la verbalisation des infractions, une panoplie de prérogatives qui étaient auparavant l’apanage exclusif de la police nationale et de la gendarmerie sont mises à disposition de la police municipale : dépistage du taux d’alcoolémie ou de l’usage de stupéfiants, y compris en l’absence de raisons plausibles de soupçonner une infraction, inspection visuelle des véhicules (dont le coffre) lorsque leur conducteur ou passager commet un crime ou délit flagrant, et enfin contrôle de l’identité sur la base d’un simple soupçon. Le tout sous la houlette d’un personnel d’encadrement qui n’est pas spécialement formé aux fonctions de direction (ni d’encadrement…).

La police municipale est ainsi amenée (et incitée⁷Les sénateurs ont adopté trois amendements identiques instaurant le reversement partiel ou total du produit des AFD aux communes dotées d’un SPMCJE, ce qui les poussera nécessairement à inciter leurs agents à verbaliser.) à accomplir davantage de missions répressives au détriment de ses missions habituelles de prévention. Ce « glissement » de l’activité des polices municipales et des gardes-champêtres vers les missions traditionnelles de la police et de la gendarmerie nationale contribue à la dérive des pouvoirs de police. Ainsi, il confie des pouvoirs répressifs à des agents peu ou mal formés, à l’image des missions confiées à des agents de sécurité privés.

Mais, également, il conduit les policiers municipaux à se substituer aux policiers nationaux au lieu de les compléter. La Cour des compte s’alarmait dès 2020, dans son rapport sur les polices municipales, du fait que « le développement des polices municipales conduit les forces de l’État – et principalement la police nationale en zone urbaine – à les utiliser comme force d’appui, au risque de créer une relation de dépendance ». Elle concluait que « l’assimilation de certaines polices municipales aux forces nationales est préjudiciable pour les communes, qui exposent leurs agents à des risques auxquels ils ne sont pas formés à faire face, et pour l’État, dont la mission régalienne de sécurité repose sur des moyens extérieurs », sans oublier la population qui subit ce double préjudice par ricochet. Ce changement de paradigme va donc nécessairement tendre les relations entre policiers municipaux et habitant·es, et plus largement peser sur les relations police-population.

Un imbroglio juridique

Le débordement de la police municipale sur le domaine judiciaire repose en outre sur un montage juridique kafkaïen. Pour éviter une troisième censure du Conseil constitutionnel, le gouvernement prévoit un système de double tutelle : celle du maire, lorsque les policiers municipaux exercent leurs missions classiques de police municipale, et celle du procureur de la République, lorsqu’ils exercent des missions de police judiciaire.

Le problème est qu’en pratique, ce système engendrera une forte confusion pour les usagers car rien ne permettrait de déterminer à quel titre les policiers municipaux interviennent, et donc de savoir s’ils outrepassent leurs compétences. Par exemple, en l’état actuel des discussions parlementaires, l’article 2 du projet de loi prévoit que les policiers municipaux d’un SPMCJE sont compétents pour procéder à des contrôles d’identité. Les policiers municipaux d’un service de police classique (c’est-à-dire un service qui n’est pas un SPMCJE) pourront ainsi jouer sur l’opacité de leur statut pour contrôler l’identité des habitant·es de la commune en toute impunité.

Ce chevauchement opérationnel complique également les contrôles par les autorités compétentes : qui, du maire ou du procureur, se déclarera compétent pour vérifier les modalités d’exécution d’une mission administrative qui a dérivé en mission judiciaire, ou inversement ? Les abus passeront mécaniquement plus facilement à travers les mailles du filet.

Dans son avis sur le texte, le Conseil d’État pointe les multiples dysfonctionnements du montage juridique envisagé : « l’extension des prérogatives judiciaires des agents de police municipale, le rôle nouveau joué par les personnels d’encadrement et le contrôle renforcé de l’autorité judiciaire vont nécessairement accroître les zones d’incertitude en termes d’articulation des compétences (compétences complémentaires ou concurrentes, caractère distinct ou mixte des infractions constatées…), au risque, notamment de fragiliser les procédures engagées et, en fin de compte, d’affaiblir l’efficacité du dispositif envisagé. […] le fonctionnement d’un tel régime de procédure pénale à géométrie variable sera complexe à mettre en œuvre compte tenu des risques de mésusage ou de confusion des compétences détenues ou non par les agents de police municipale, en fonction du contexte ».

En plus d’être illisible, l’encadrement des policiers municipaux par l’autorité judiciaire est illusoire : il est certain que le parquet n’aura pas la capacité de les contrôler car c’est ce qui se produit déjà à l’égard de la police nationale, en raison d’un déficit structurel de moyens et d’effectifs, comme l’ont déjà rappelé la Cour des comptes et la Défenseure des droits.

Dans la même veine, si le texte prévoit la création d’un numéro d’identification individuel, calqué sur le référentiel des identités et de l’organisation (RIO) de la police nationale, en pratique, le port du RIO n’est aujourd’hui déjà pas systématique en pratique et son absence est rarement sanctionnée. Cette mesure n’est donc en réalité qu’un pur effet d’annonce.

On ne peut même pas compter sur une amélioration de la formation des agents pour limiter la casse. Déjà, la formation de base des policiers municipaux constitue une version très allégée de celle dispensée aux policiers et gendarmes nationaux (6 mois contre 1 an minimum de formation). Ensuite, si le projet de loi met en place des formations spécifiques pour les agents des SPMCJE, il prévoit en même temps que ces derniers puissent en être partiellement ou totalement dispensés. Enfin, le contenu des formations complémentaires n’est absolument pas détaillé.

Aussi, le projet de loi confie aux policiers municipaux des missions délicates qui peuvent rapidement virer à la confrontation, comme le contrôle d’identité, sans déontologie ni formation appropriées. Cette asymétrie entre niveau de formation et niveau de responsabilité crée un risque non négligeable d’atteintes aux droits fondamentaux, accentué par les moyens invasifs mis à disposition de la police municipale.

En résumé, le projet de loi dote les policiers municipaux de prérogatives et de moyens plus importants qui sont particulièrement dangereux pour les libertés individuelles et collectives. Il sera examiné à partir du 7 avril prochain à l’Assemblée nationale en commission des lois et nous appelons les député·es à le rejeter. Et pour nous permettre de continuer notre travail contre la Technopolice, vous pouvez nous aider en nous faisant un don.

Le 15 janvier dernier, la Caisse nationale des allocations familiales (CNAF) a dévoilé le code source de la dernière version de son algorithme de notation des allocataires. Cette annonce s’est accompagnée d’une campagne de communication de l’administration visant à présenter cette nouvelle version comme répondant aux critiques auxquelles l’algorithme fait face depuis plusieurs années, alors que 25 organisations européennes menées par La Quadrature du Net attaquent la CNAF en justice. À l’entendre, ce nouvel algorithme garantirait « la protection des droits des personnes » et « l’équité » de tous·tes face aux pratiques de contrôle de l’institution. Mais cette opération de communication vise à masquer l’essentiel : l’analyse du code et une étude de la CNAF elle-même montrent que le nouvel algorithme discrimine toujours les mêmes populations.

Rappelons l’affaire avant de continuer : depuis 2010, la CNAF (Caisse nationale des allocations familiales), utilise un algorithme pour orienter ses contrôles. Cet algorithme recherche les indus, c’est-à-dire les foyers qui auraient reçu plus de prestations sociales que ce à quoi ils ont droit. La plupart du temps, ces indus existent en raison d’erreurs de déclaration, parce que les conditions pour recevoir des prestations sociales se complexifient lorsqu’elles concernent les personnes les plus pauvres. Chaque mois, chaque foyer se voit attribuer par l’algorithme un score, compris entre 0 et 1, qui représente la probabilité que, si un contrôle était ouvert, un indu de plus de 600€ par mois sur 6 mois soit trouvé. Et comme l’objectif de cet algorithme est d’orienter les contrôles vers les dossiers les plus faciles, la conséquence est que plus le score d’un foyer est élevé, plus le risque de contrôle est important.

Quatre versions de l’algorithme ont été utilisées depuis la mise en place de ce système : une version conçue en 2010 (où trois « sous-modèles » calculaient trois scores, le plus élevé étant retenu) ; une version conçue en 2014 (cette fois à modèle unique) ; une version de 2018 (à modèle unique aussi, que la CNAF vient tout juste de publier en catimini) ; et la toute nouvelle version conçue en 2025 et mise en œuvre en 2026 (publiée par la CNAF en janvier).

En 2022, La Quadrature du Net a commencé à travailler sur cet algorithme. Nous avons donc demandé à obtenir le code source et – plus important encore – les variables et pondérations. Si l’algorithme en cours d’utilisation (version 2018 à cette date) ne nous avait alors pas été communiqué, nous avions eu accès à une ancienne version de l’algorithme et nous avions pu démontrer son caractère intrinsèquement discriminant (voir notre analyse et nos explications).

Un nouvel algorithme ?

En début d’année, la CNAF a modifié son algorithme et a publié le code de cette « nouvelle » version. Cette version, utilisée depuis janvier dernier, apporte des modifications mineures par rapport à l’algorithme que nous avions pu analyser en 2023 (version 2014). Ainsi, on ne retrouve plus de critère qui augmente le score si la personne bénéficie de l’allocation adulte handicapé (AAH) et travaille, ce qui avait fait grand bruit quand nous l’avions révélé. Exit également l’analyse des comportements : la CNAF n’utilise désormais plus le nombre de connexions au site caf.fr, le nombre d’e-mails envoyés ou le nombre de changements de code postal, comme c’était le cas auparavant. La toute récente publication de la version 2018 de l’algorithme montre que la CNAF a également fait le ménage parmi des critères particulièrement scandaleux : ne sont notamment plus utilisés des critères comme le fait d’avoir attaqué en justice sa CAF, de ne pas être de nationalité française, ou de vivre dans un quartier défavorisé¹D’autres critères discriminatoires qui étaient présents dans la version 2018 ont été supprimés comme le fait de vivre dans une résidence sociale, un foyer de jeunes travailleurs ou dans une chambre d’hôtel, ou encore de garder son logement étudiant pendant l’été..

Mais derrière cette amélioration de façade, rien ne change. Les personnes pauvres ou précaires sont toujours directement ciblées. Le score de risque augmente ainsi toujours lorsque les personnes bénéficient de certaines prestations sociales (revenu de solidarité active, complément familial, allocation de soutien familial, allocation de rentrée scolaire ou encore l’allocation d’éducation de l’enfant handicapé) ou pour celles qui auraient le droit à une pension alimentaire (qu’elle ait été touchée ou non). Également, le fait d’avoir des revenus faibles fait toujours augmenter le score²Les foyers ayant entre 0,6 et 1,5 fois le SMIC auront un score plus élevé. La CNAF ne précise pas si le calcul se fait par personne ou pour l’ensemble du foyer..

Pire encore : la CNAF avait introduit dans son algorithme de 2018 des critères ciblant sans équivoque les personnes précaires, critères qui sont aujourd’hui encore utilisés dans la version 2025 et multipliés. Un critère de cumul des prestations sociales a notamment été introduit dans la version 2025 pour cibler les personnes bénéficiant de plus de trois prestations. Les personnes qui touchent plus de 200 euros d’allocations par mois verront également leur score augmenter, comme c’était déjà le cas dans la version 2018 (seul le seuil a changé). Ce nouvel algorithme recherche également toujours la précarité professionnelle puisque les personnes subissant l’ubérisation du monde du travail et qui déclarent une activité non-salariée, les personnes dont le conjoint ne travaille pas, ou celles qui entrent ou sortent du RSA (parce qu’elles ont pu trouver un revenu leur retirant temporairement le droit au RSA) subiront encore un score plus élevé.

Les mêmes populations concernées

Dès lors, quel impact attendre de ces changements sur les profils des personnes ciblées par l’algorithme ? Aucun, et c’est ici un document de la CNAF elle-même qui le prouve.

En octobre 2025, la direction des statistiques, des études et de la recherche (DSER) de la CNAF a réalisé une étude consistant à « simuler » les scores pour différents types de profils socio-économiques (allocataires au RSA, mères isolées, personnes à faibles revenus, …) afin d’identifier les cas de « sur-ciblage », donc les discriminations, dont les allocataires peuvent faire l’objet. Pour cela, cette étude a analysé la part des différentes catégories d’allocataires étudiées dans les 5 % des plus hauts scores – soit les personnes qui auront le plus de risque de se faire contrôler. L’étude a été réalisée pour le modèle 2018 et le nouveau modèle 2025.

Présentée par la CNAF en octobre dernier à son comité d’éthique sur les usages des données, des algorithmes et de l’intelligence artificielle, organe consultatif lancé en mars 2025³Ce comité, dont l’objectif est d’aiguiller les choix de la CNAF sur l’usage de nouvelles technologies, notamment l’usage d’algorithmes, n’a qu’un pouvoir consultatif (il n’a pas le pouvoir d’empêcher la CNAF d’utiliser une technologie). Il est composé d’expert·es, de directeur·rices de la CNAF, des membres du conseil d’administration de la CNAF, et de représentant·es d’associations. La Quadrature ne fait pas partie de ce comité, mais d’autres associations parties au contentieux en cours le sont : notre coalition d’organisations a donc pu utiliser les résultats de cette étude dans le recours actuel contre l’algorithme (voir le mémoire en réplique de décembre 2025 qui revient sur la version 2018 de l’algorithme et le mémoire en observations de janvier 2026 qui revient sur le nouveau modèle 2025)., cette étude montre que, tout comme pour le modèle précédent de 2018, les personnes précaires sont surreprésentées dans le nouvel algorithme 2025 au sein du groupe des 5 % des plus hauts scores. C’est-à-dire qu’elles subissent une discrimination par la plus forte probabilité de devoir faire face à des contrôles.

Ainsi, les bénéficiaires du RSA représentaient 13 % des allocataires en 2024 mais entre 39 et 41% des 5% des scores les plus élevés dans le modèle 2025⁴Au total, la DSER identifie que sont surreprésenté·es les bénéficiaires de la prime d’activité ; du RSA ; de l’aide au logement ; du complément familial ; de l’allocation de soutien familial ; de l’allocation de rentrée scolaire ; de l’allocation d’éducation de l’enfant handicapé.. Les mères isolées, quant à elles, représentaient 14 % des allocataires en 2024 mais 37 à 40 % des plus hauts scores dans les simulations sur le modèle 2025. Cette étude a également mis en lumière une surreprésentation des personnes qui ont plus de trois prestations sociales, celles qui touchent plus de 600 euros de prestations par mois ou encore les foyers dont une des personnes est au chômage.

Enfin, la CNAF a beau mettre l’accent dans sa communication sur le fait qu’elle n’utilise plus de critère de nationalité, l’étude montre cependant que les foyers composés au moins d’une personne de nationalité étrangère ont, dans les faits, toujours plus de risque d’avoir un score plus élevé. Et la situation est encore aggravée pour les personnes ayant une nationalité hors de l’Union européenne. Un cas d’école de discrimination fondée sur la nationalité…

Les surreprésentations mises en évidence par cette étude de la DSER s’expliquent par le fait que les personnes en situations de pauvreté ou de précarité vont cumuler différents critères, qui sont autant de « facteurs de risques » utilisés par l’algorithme. La surreprésentation des personnes au RSA ou des mères isolées peut ainsi s’expliquer par des revenus plus faibles, ou des instabilités dans les revenus. On voit alors tout l’intérêt de réaliser des analyses par profils plutôt que d’analyser les variables prises isolément.

Ne surtout pas se remettre en question

Face à ces éléments, la CNAF s’est lancé aujourd’hui dans une stratégie d’intimidation face à nos organisations qui contestent la légalité de son algorithme en prenant appui sur cette étude de la DSER. Dans son mémoire de janvier dernier, la CNAF a écrit qu’elle s’« interroge sur ses conditions d’obtention » et se montre menaçante puisqu’elle n’exclue pas que « des suites [puissent] être réservées à cet élément » (bien qu’elle reste floue sur lesdites « suites » envisagées).

La Quadrature dénonce une tentative d’intimidation sur nos organisations : ce document a été envoyé par la CNAF elle-même aux organisations de son comité d’éthique, dont certaines sont également requérantes dans ce contentieux⁵Précisons, par souci de transparence, que La Quadrature du Net, qui ne fait pas partie du comité d’éthique de la CNAF et n’a donc pas eu accès à ce document, a fait une demande de communication de document administratif pour obtenir cette étude. La CNAF a refusé de faire droit à notre demande. La Commission d’accès aux documents administratifs (CADA) est saisie de l’affaire et nous espérons que son avis arrivera très prochainement..

Cette étude que ne veut pas publier la CNAF traduit en creux l’absence de remise en question de sa propre politique de contrôle. En 2023, interrogée par Le Monde et Lighthouse Reports, la CNAF déclarait qu’elle n’avait jamais fait de travail d’analyse des personnes principalement concernées par son algorithme⁶Ce qui, en réalité, est faux puisqu’elle le savait dès 2016, grâce au travail des chercheur·euses Vincent Dubois, Morgane Paris et Pierre-Edouard Weill dans leur étude « Politique de contrôle et lutte contre la fraude dans la branche Famille ». En analysant les données de la CNAF, ils et elles ont démontré que l’introduction de cet algorithme en 2010 a eu pour conséquence de réorienter les contrôles vers les personnes précaires. Ce travail universitaire de 2016, pendant longtemps publié sur le site internet de la CNAF, a été discrètement retiré en 2024 (mais vous pouvez toujours en consulter une copie).. Avec cette étude de la DSER, la CNAF ne peut désormais plus nier savoir que son algorithme cible de façon discriminatoire les personnes les plus précaires. Et ce, d’autant plus que les associations tirent également la sonnette d’alarme sur les pratiques de la CNAF. En juin 2025, la question du ciblage des familles monoparentales a par exemple été abordée au sein du comité d’éthique, en s’appuyant notamment sur des témoignages.

Cela n’empêche pas la CNAF de tordre la réalité pour continuer de nier la violence de ses pratiques de contrôle. Ainsi, en février 2025, pour se défendre devant le Conseil d’État, elle écrivait que son algorithme n’avait pas d’« effet significatif sur l’allocataire » parce que « l’ouverture du contrôle expose[rait] simplement à la nécessité de répondre aux demandes qui peuvent être présentées par le contrôleur ». On sait pourtant combien ces contrôles peuvent être intrusifs et engendrer un stress intense en raison des enjeux pour les personnes qui ont besoin de ce filet social de sécurité pour survivre. Celles et ceux ayant déjà subi un contrôle de la CNAF apprécieront l’euphémisme de l’administration…

Une transparence forcée

Dans un publireportage autour de ce nouvel algorithme, Nicolas Grivel, le directeur de la CNAF, affirme que l’administration aurait choisi « d’ouvrir le capot ». En somme, que cette transparence serait de son initiative et qu’il faudrait la féliciter pour cela. Ce qu’il omet pourtant de dire c’est qu’il n’avait plus vraiment le choix.

Il existe en droit de la non-discrimination un principe fondamental : l’aménagement de la charge de la preuve. Parce qu’il est très souvent impossible d’apporter la preuve « parfaite » d’une discrimination, le droit exige plutôt de la part de la partie défenderesse (c’est-à-dire celle qui est attaquée) qu’elle démontre l’absence de discrimination. Nous demandions depuis le début de notre contentieux contre l’algorithme que ce principe soit appliqué : puisque la CNAF avait refusé de nous transmettre la version actuelle de son algorithme mais continuait d’affirmer que celui-ci ne serait pas discriminatoire, c’était à elle de démontrer l’absence de discrimination. Par exemple en transmettant au Conseil d’État et aux organisations requérantes une copie de son code source, ce qu’elle s’était, jusqu’en janvier dernier, refusé de faire.

La Défenseure des droits est venue enfoncer le clou : en octobre 2025, elle s’est exprimée sur notre contentieux en considérant que la CNAF ne prouvait pas l’absence de discrimination indirecte⁷On distingue en droit deux types de discriminations. La discrimination directe est constituée lorsqu’une variable relative à un critère protégé par la loi est utilisée. La discrimination indirecte est constituée lorsqu’un algorithme a des effets négatifs sur des populations protégées.. Autrement dit, comme la CNAF n’a jamais voulu communiquer son algorithme dans le cadre du contentieux, la Défenseure des droits lui a donné tort.

La CNAF était donc coincée : pour se défendre, elle était en réalité dans l’obligation de publier son algorithme devant le Conseil d’État. Dès lors, le « choix » de le publier en ligne plutôt que de ne l’envoyer qu’au Conseil d’État et à nos organisations ressemble plus à une opération de communication qu’à une volonté de transparence. Notamment pour contrôler le narratif et répéter ad nauseam que ce nouvel algorithme serait réparé, et ainsi doubler nos organisations qui auraient voulu communiquer sur cette affaire d’abord. Surtout, le choix de ne pas publier l’étude de la DSER, puis de publier en catimini la version 2018 de son algorithme qui était encore plus discriminatoire que le nouvel algorithme de 2025, montre à quel point cet « effort » de transparence est loin d’être complet et désintéressé.

De notre côté, nous continuons de nous battre pour exiger la fin de cet algorithme et la remise en cause drastique de la politique de contrôle discriminatoire de la CNAF. La coalition d’organisations que nous menons et qui se mobilise dans ce contentieux a d’ailleurs été rejointe par dix nouvelles structures. Tout le monde déteste cet algorithme. Alors pour nous aider à continuer la lutte, vous pouvez nous faire un don.

Il y a un peu plus d’un an, 15 organisations de la société civile ont contesté l’algorithme d’évaluation des risques utilisé par la Caisse nationale d’allocations familiales (CNAF), la branche familiale du système français de protection sociale. Le recours a été porté devant le Conseil d’État au nom du droit de la protection des données personnelles et du principe de non-discrimination. Cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Chaque mois, l’algorithme analyse les données personnelles de plus de 32 millions de personnes et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH).

Aujourd’hui, notre coalition est fière d’accueillir 10 nouvelles organisations dans ce litige. Nous sommes désormais 25 à demander l’interdiction de l’algorithme de notation de la CNAF. La diversité de la coalition, qui rassemble des collectifs de personnes concernées, des syndicats ainsi que des ONG françaises et européennes de défense des droits fondamentaux, témoigne de la large opposition à l’algorithme de la CNAF et, plus largement, aux algorithmes discriminatoires visant les personnes vulnérables.

Notre action en justice débutée en octobre 2024 devant le Conseil d’État vise à la fois l’étendue de la surveillance mise en place et la discrimination perpétrée par cet algorithme. Alimenté par les données personnelles de millions de personnes, il cible délibérément les personnes les plus défavorisées. La grave discrimination inhérente à l’algorithme a été confirmée par la Défenseure des droits dans des observations transmises à la justice en octobre dernier.

Enfin, le 15 janvier 2026, la CNAF a publié le code source de son algorithme actuel. Si nous saluons les efforts de transparence — la CNAF avait auparavant refusé de divulguer le code source de l’algorithme utilisé —, la transparence seule ne suffit pas. Cela ne doit pas détourner l’attention sur le fait qu’une étude interne de la CNAF datant de 2025, dont nous avons obtenu copie, a reconnu les effets discriminatoires de l’algorithme. Notre coalition a inclus cette étude dans un nouveau mémoire envoyé à la justice en décembre.

« Notre nouvelle coalition élargie rassemble diverses organisations européennes et françaises issues de domaines variés. Cela montre que le Conseil d’État devrait renvoyer l’affaire devant la Cour de justice de l’Union européenne afin que celle-ci puisse rendre une décision applicable à l’ensemble de l’Europe », déclare Bastien Le Querrec, juriste à La Quadrature du Net.

Le Conseil d’État a informé les plaignants que la phase écrite du contentieux prendra fin à la fin du mois. Nous nous attendons à ce que l’audience publique ait lieu au printemps prochain.

Nouvelles organisations plaignantes :

• Confédération Générale du Travail (CGT)
• Union Syndicale Solidaires
• Fédération Syndicale Unitaire Travail Emploi Insertion Organismes Sociaux (FSU TEIOS)
• Data for Good
• European Digital Rights (EDRi)
• AlgorithmWatch
• European Network Against Racism
• Panoptykon Foundation
• Mouvement des mères isolées
• Féministes contre le cyberharcèlement

Premières organisations requérantes :

• La Quadrature du Net (LQDN)
• Association d’Accès aux Droits des Jeunes et d’Accompagnement vers la Majorité (AADJAM)
• Aequitaz
• Amnesty International France
• Association nationale des assistant·e·s de service social (ANAS)
• APF France handicap
• Collectif Changer de Cap
• Fondation pour le Logement des Défavorisés
• Groupe d’information et de soutien des immigré·es (Gisti)
• Le Mouton numérique
• La Ligue des droits de l’Homme (LDH)
• Mouvement national des chômeurs et précaires (MNCP)
• Mouvement Français pour un Revenu de base (MFRB)
• CNDH Romeurope
• Syndicat des avocats de France (SAF)

Au milieu de l’hiver, la loi Narcotrafic est arrivée à toute vitesse et, avec elle, ont déferlé des propositions sécuritaires et de surveillance qui dépassaient largement la question du trafic de stupéfiants. Avec vous, nous avons mené campagne pour alerter sur les risques de ce texte. Son examen au Parlement est désormais terminé et nous avons envoyé nos arguments au Conseil constitutionnel pour le convaincre de censurer ces dispositions dangereuses et révoltantes. Sa décision sera rendue cette semaine.

Il s’agit de l’ultime étape du processus législatif. Saisi par les députés insoumis, écologistes et socialistes, le Conseil constitutionnel doit désormais analyser si un certain nombre de mesures de la loi « Narcotrafic » sont conformes aux principes constitutionnels. De la même manière que nous avons alerté les député·es de l’inconstitutionnalité de certaines mesures lors des débats parlementaires, nous avons envoyé au Conseil constitutionnel nos critiques en ce qui concerne les dispositifs de surveillance contenus dans la loi (la contribution est accessible ici).

Des cadeaux pour le renseignement

Nous dénonçons d’abord l’extension des pouvoirs des services de renseignement. D’une part, la loi supprime l’obligation pour les services d’obtenir une autorisation explicite du Premier ministre et de la Commission nationale de contrôle des techniques de renseignement (CNCTR) avant la transmission d’informations entre les différents services (article 1^er). De ce fait, ils pourraient s’échanger beaucoup plus facilement des informations récoltées dans des contextes différents et pour des finalités différentes. D’autre part, l’échange d’information avec la justice est également assoupli (article 13), en totale contradiction avec le principe de séparation des pouvoirs, qui devrait impliquer que les services de renseignements n’ont pas à recevoir des éléments liés à des enquêtes. En effet, ils ne sont pas une autorité judiciaire et n’ont aucune compétence de répression pénale. Le mélange des genres est donc complet.

Surtout, les services de renseignement pourraient demain utiliser plus largement ce que l’on appelle les « boites noires » (article 15), ces algorithmes qui analysent un réseau pour trouver des comportements de connexion qui seraient « suspects ». Ces boites noires constituent, depuis leur création en 2015, de la surveillance de masse. Elles peuvent notamment cibler les personnes protégeant leur vie privée : lors des débats, le député Sacha Houlié, membre de la Délégation parlementaire au renseignement (DPR) et qui a ainsi accès à plus d’informations que ses collègues sur le fonctionnement précis des services de renseignement, expliquait que les personnes faisant attention à leur « hygiène numérique » sont la cible de ces boites noires. Le député mentionnait ainsi les personnes utilisant des « messageries cryptées » comme « Whatsapp » ou « Signal », et on suppose que ces boites noires visent également les internautes utilisant un VPN ou Tor.

Après avoir été autorisées pour la lutte contre le terrorisme puis contre les ingérences étrangères, ces boites noites pourraient, si la loi passait le filtre constitutionnel, alors être installées pour la lutte contre la « criminalité et la délinquance organisée », soit un périmètre très large. De plus, depuis une modification de 2021, ces algorithmes analysent également les adresses URL des sites consultés sur un réseau, ce qui peut donner accès à des informations très précises sur les contenus consultés. Nous avons donc rappelé au Conseil constitutionnel que cette technique de surveillance porte une atteinte disproportionnée au droit à la vie privée, à la liberté d’expression et au secret des correspondances.

De nouveaux outils de surveillance pour la police et l’administration

Loin de se limiter aux seuls services de renseignement, la loi « Narcotrafic » dote aussi la police judiciaire de nouveaux pouvoirs de surveillance extrêmement intrusifs, dès lors qu’une affaire serait liée à la criminalité organisée. Nous avons rappelé à de nombreuses reprises que ce régime juridique d’exception, qui ne peut, en principe, être mobilisé que pour les seules enquêtes portant sur des faits très graves, est en réalité utilisé de façon très large, loin de se limiter au « haut du spectre » (pour reprendre une expression abondamment utilisée par les défenseurs de ce système) et qui, déjà aujourd’hui, fait l’objet d’utilisations abusives, notamment pour poursuivre des militant·es.

Ainsi, la police pourrait, pour certaines infractions, activer à distance les micros et caméras des objets connectés (articles 38 et 39), en compromettant les appareils grâce à des failles de sécurité. Nous n’avons pas manqué de rappeler au Conseil constitutionnel qu’il a déjà déclaré ce dispositif inconstitutionnel en raison de l’atteinte disproportionnée au droit au respect de la vie privée. Aussi, la loi introduit une nouvelle procédure dénommée « dossier-coffre », ou « procès-verbal distinct », consistant à ne pas verser au dossier pénal certains actes de procédure relatifs à des mesures de surveillance (article 40). Dénoncée par les avocat·es et les magistrat·es, cette mesure porte atteinte au principe du contradictoire et au procès équitable car elle empêche les personnes de pouvoir se défendre, faute de pouvoir savoir comment cette surveillance dissimulée s’est concrètement faite et si les exigences légales ont bien été respectées.

De son coté, l’administration n’est pas en reste sur l’extension de ses pouvoirs. Les enquêtes administratives de sécurité, qui conditionnent l’accès à certains emplois, pourraient être très largement étendues à tout emploi public et privé lié à des menaces de corruption (article 54). Ces enquêtes impliquent la consultation de nombreux fichiers de police et de renseignement et reposent sur des critères opaques. Elles ont pourtant des conséquences bien concrètes puisque, pendant les Jeux Olympiques, elles ont conduit à empêcher certaines personnes perçues comme militantes par les autorités de travailler. Nous avons expliqué au Conseil constitutionnel en quoi ces discriminations fondées sur les opinions politiques portent atteinte au principe d’égalité.

Par ailleurs, la plateforme Pharos, chargée d’exiger des plateformes en ligne qu’elles censurent des contenus, aura de nouvelles compétences puisqu’elle pourra agir contre les contenus relatifs à la cession de stupéfiants (article 28). Depuis des années, nous critiquons le principe de cette censure administrative, qui permet à la police de décider elle-même de retirer un contenu sans qu’un juge n’intervienne, laissant la possibilité de multiples abus.

Une nouvelle escalade sécuritaire

Nous avons également attiré l’attention du Conseil constutionnel sur l’obligation radicalement disproportionnée faite aux opérateurs de communication électronique de conserver pendant cinq années l’identité civile de toute personne achetant des cartes SIM prépayées (article 29). Non seulement il s’agirait d’une nouvelle forme de contrôle de l’expression en ligne, mais la loi est tellement mal rédigée que ce sont tous les services de communication en ligne (notamment les messageries) qui pourraient être concernés par cette obligation de contrôle d’identité à partir du moment où certaines fonctionnalités sont payantes (comme c’est par exemple le cas pour Olvid, la messagerie plébiscitée par les macronistes).

Enfin, nous avons longuement expliqué que l’extension de l’utilisation des drones en prison (article 56) viole la Constitution, pour trois raisons. Premièrement le législateur a violé le principe de séparation des pouvoirs en confiant à l’administration pénitentiaire un pouvoir de répression pénale constitutionnellement réservé à l’autorité judiciaire. Deuxièmement, cette surveillance par drones mise en œuvre par l’administration n’est ni nécessaire ni proportionnée au regard des très nombreux dispositifs déjà existants pour surveiller les prisons. Et, troisièmement, cette nouvelle autorisation de drones prévoit qu’ils puissent être utilisés sans aucune information, publicité ou transparence, rendant impossible la moindre contestation en justice, déjà en pratique extrêmement compliquée.

Malheureusement, la loi Narcotrafic contient d’autres mesures répressives qui repoussent toujours plus loin les limites du droit et généralisent l’exception, telle que l’extension de la durée de garde à vue pour les « mules » ou les personnes arrêtées avec des substances stupéfiantes dans le sang, l’interdiction administrative de paraître dans certains quartiers, la facilitation de l’expulsion de logements, la création de la notion vague d’« organisation criminelle »… D’autres organisations ont dénoncé ces nombreux risques pour les libertés.

Si nous n’avons que des espoirs mesurés dans la future décision du Conseil constitutionnel, nous regardons aussi les prochains combats à venir. En effet, si l’obligation de mettre en place une porte dérobée au sein des messageries chiffrées a bel et bien été retirée du texte, le président de la commission des lois, Florent Boudié, a annoncé vouloir remettre le sujet sur la table. En parallèle, les ministres Gerald Darmanin et Bruno Retailleau ont brandi la criminalité organisée et le « narcotrafic » comme excuse pour rendre acceptable une potentielle légalisation de la reconnaissance faciale en temps réel mais aussi justifier la confiscation extrajudiciaire des téléphones.

Quoi qu’il arrive, nous continuerons d’agir et dénoncer cette escalade vers un État de surveillance de plus en plus généralisée. Pour nous aider dans cette lutte, n’hésitez pas à faire un don !

On aurait préféré que ce soit un poisson d’avril : dans une décision rendue ce 1^er avril 2025, le Conseil d’État a validé le principe de la censure arbitraire et opaque d’un réseau social. Derrière l’apparente annulation de la décision du Premier ministre de l’époque, Gabriel Attal, de bloquer Tiktok, la plus haute juridiction française offre en réalité le mode d’emploi de la « bonne censure ». Cette décision est inquiétante, tant cette affaire aura montré l’inefficacité du Conseil d’État à être un rempart efficace contre le fascisme montant.

Le 15 mai 2024, alors que la Nouvelle-Calédonie était le théâtre d’une très forte contestation sociale dans un contexte de passage en force d’une réforme du collège électoral calédonien, le Premier ministre Gabriel Attal annonçait, en même temps que l’activation de l’état d’urgence, la censure de Tiktok sur tout le territoire de Nouvelle-Calédonie.

Comme La Ligue des droits de l’homme, ainsi que des habitant·es calédonien·nes, La Quadrature du Net avait attaqué en référé cette décision. Ce premier recours avait été rejeté dans les jours qui suivirent pour défaut d’urgence, mais nous n’avions pas voulu lâcher l’affaire et avions continué notre combat contre cette mesure de blocage en l’attaquant à nouveau, cette fois par la procédure classique -dite « au fond »- qui a conduit à la décision d’hier.

Formellement, le Conseil d’État a annulé le blocage de Tiktok. Mais derrière cette apparente victoire se cache une décision qui ouvre la voie à de futures censures de plateformes en ligne en dehors de tout contrôle démocratique.

La validation d’un arbitraire d’État

Cette affaire aura été l’occasion de tous les arbitraires. Pour justifier factuellement son blocage, le gouvernement a toujours louvoyé (voir notre récapitulatif de l’affaire), laissant croire que ce serait d’abord pour lutter contre le terrorisme, puis contre des ingérences étrangères, pour enfin expliquer que de simples contenus violents l’autorisaient à procéder à un tel blocage (nous revenons sur ce point plus bas). Par la suite, il justifiait légalement ce blocage en sortant de son chapeau la « théorie des circonstances exceptionnelles ». Cette théorie est une invention du juge administratif datant de plus d’un siècle. Elle a été élaborée à l’occasion d’une guerre – c’est-à-dire dans un contexte de suspension du pouvoir civil – et n’avait jamais été utilisée jusqu’à présent pour justifier de porter atteinte à la liberté d’expression.

Dans sa décision, le Conseil d’État admet que cette « théorie des circonstances exceptionnelles » puisse être invoquée, pour justifier légalement le blocage d’une plateforme en ligne dans le cas d’une « période de troubles à l’ordre public d’une gravité exceptionnelle ». Arrêtons-nous déjà sur cette première brèche à l’État de droit : cela signifie que lorsque cette condition de « trouble » est remplie, un gouvernement peut donc porter des atteintes à la liberté d’expression, alors qu’aucune loi existante ne l’y autorise et donc qu’aucune condition prévue par le législateur n’est à respecter. Cette « théorie des circonstances exceptionnelles » n’a jamais été reprise par le législateur : elle ne comporte aucune limite précise et n’est présente nulle part ailleurs que dans les quelques décisions du Conseil d’État. Ce dernier autorise donc un empiétement pur et simple du pouvoir exécutif sur le pouvoir législatif.

Et quels sont ces « troubles à l’ordre public d’une gravité exceptionnelle » qui permettent de nier le principe de séparation des pouvoirs ? On peut légitimement se demander si les manifestations des gilets jaunes en 2018 et 2019, émaillées de violences souvent entretenues par une politique de maintien de l’ordre désastreuse, auraient pu être qualifiées de suffisamment graves. De même, les révoltes suite à la mort de Nahel Merzouk auraient-elles pu justifier le blocage des réseaux sociaux alors que la droite réactionnaire française voyait dans ces derniers le coupable idéal et que Emmanuel Macron s’était, à cette occasion, prononcé en faveur de leur censure ?

Ne soyons pas naïf·ves : tout est « exceptionnellement grave » pour l’exécutif et la police. Grâce à cette notion floue, la voie à tous les abus est ouverte. N’importe quoi servira de prétexte, demain, pour continuer dans la direction de la censure, de la réponse répressive facile au lieu d’une remise en cause profonde du système qui a conduit aux violences.

Et l’arbitraire d’État ne s’arrête pas là : le Conseil d’État a, d’une certaine manière, autorisé le gouvernement à ne pas respecter la loi lorsque celle-ci ne lui convient pas. En effet, au moment de la censure, la loi sur l’état d’urgence avait été déclenchée. Celle-ci autorisait bel et bien le blocage d’une plateforme, mais uniquement dans le cadre de la lutte contre le terrorisme. Or, dans le cas du blocage de Tiktok, il ne s’agissait justement pas de lutte contre le terrorisme. Alors qu’une telle possibilité de censure visant une plateforme en ligne, prévue par la loi sur l’état d’urgence, est déjà très contestable en soi¹Nous avions initialement demandé à ce qu’une question prioritaire de constitutionnalité (QPC) soit transmise au Conseil constitutionnel. Celle-ci a été rejetée par le Conseil d’État parce qu’il estimait que la loi sur l’état d’urgence n’était pas applicable au litige puisqu’il ne s’agissait pas de lutte contre le terrorisme., le Conseil d’État neutralise encore plus le législateur en permettant d’avoir recours à une théorie jurisprudentielle qui permet de contourner ces limites.

Un contrôle juridictionnel de pacotille

L’auditoire optimiste pourrait se dire que le juge administratif resterait présent pour empêcher les abus de ce recours à la censure en cas de « troubles à l’ordre public d’une gravité exceptionnelle . Et après tout, en ce qui concerne Tiktok, on pourrait être tenté de se rassurer par le fait que la décision de censurer le réseau social a finalement été annulée par le Conseil d’État. Pourtant, dans cette affaire, après avoir refusé d’agir au moment où sa décision aurait été utile, c’est-à-dire lorsqu’il était saisi en référé l’année dernière, le Conseil d’État a repris à son compte toutes les affirmations grossières du gouvernement pour justifier le besoin de bloquer la plateforme.

La question de l’existence de certains contenus qui seraient illégaux au point de couper tout le réseau social a été longuement débattue en mai 2024 à l’occasion de notre référé. Après avoir été mis en difficulté lors de l’audience de référé, le gouvernement s’était enfin décidé à produire des exemples de contenus prétendument illicites… qui étaient en fait totalement légaux. Nous publions ces contenus²Politico avait déjà publié certains de ces contenus l’année dernière. pour que chacun·e puisse constater que leur illégalité ne saute pas aux yeux : dénoncer des violences policières, la constitution de milices privées avec le soutien des forces de l’ordre, les agressions racistes sur des policiers kanaks, ou encore prendre des photos ou vidéos de lieux en flamme comme l’a fait la presse locale est donc, pour le gouvernement, susceptible de justifier une restriction à la liberté d’expression…

Depuis ces quelques exemples produits l’année dernière, le gouvernement n’a pas complété ses dires. On devine un certain embarras à travers ce silence sur ces fameux contenus censés être « violents » : cette décision de bloquer Tiktok ne semble en réalité pas avoir été prise en raison d’un besoin impératif pour restaurer l’ordre sur l’archipel, mais pour couvrir une décision politique du Haut-Commissaire (l’équivalent du préfet en Nouvelle-Calédonie). Fin mai 2024, La Lettre écrivait ainsi que « Très vite, cependant, le premier ministre a été averti de la fragilité juridique de cette décision, prise par le haut-commissaire Louis Le Franc, à la demande du Gouvernement de la Nouvelle-Calédonie, l’organe exécutif de la collectivité présidé par Louis Mapou. » Le média spécialisé précisait également que « l’exécutif a écarté l’hypothèse de désavouer publiquement le haut-commissaire et les élus locaux » et que le gouvernement n’avait « aucun grief contre TikTok ». Ce qu’a admis en creux le représentant de Tiktok quelques jours après devant le Sénat : il a indiqué, sous serment, que la plateforme n’a non seulement pas reçu de demande de retrait de contenus de la part de l’exécutif, mais n’a également pas détecté lui-même de contenus illicites une fois le blocage décidé par le gouvernement.

Tout cela n’a pourtant pas empêché le Conseil d’État de valider l’obsession gouvernementale. Pour les juges, il s’agit bien de « contenus incitant au recours à la violence »³Les juristes remarqueront probablement que le Conseil d’État ne parle plus de contenus « manifestement illicites », mais adopte une formulation beaucoup plus englobante.. Pour appuyer l’illégalité des contenus diffusés à l’époque sur Tiktok, le Conseil d’État explique que les « algorithmes » de ce réseau social favoriseraient leur diffusion très rapide. Il est vrai que des études, notamment d’Amnesty International, ont montré la grande toxicité des choix algorithmiques de Tiktok. Et nous ne nous cachons pas sur le fait que nous combattons en général ce modèle économique et technique de réseau social. Mais, pour ce qui est de la Nouvelle-Calédonie, le gouvernement s’est contenté d’affirmations non-sourcées, sans rien démontrer. Dans son mémoire, le Premier ministre affirmait ainsi simplement que le choix de bloquer Tiktok était justifié par « les caractéristiques des algorithmes utilisés par “Tiktok”, qui amplifient l’effet de valorisation mimétique » sans fournir d’étude ni même de constatations par ses services. Autrement dit, le Conseil d’État se contente d’affirmations du gouvernement pour en faire une généralité, créant ainsi une forme de présomption de nécessité de bloquer Tiktok. Et, à supposer même qu’il y ait eu quelques contenus manifestement illicites sur Tiktok, cela ne devrait pourtant pas permettre de prendre une mesure aussi grave que limiter ou bloquer toute un réseau social. Ce qu’autorise pourtant le Conseil d’État.

En fin de compte, dans cette affaire, le seul point qui a permis au Conseil d’État d’affirmer que le blocage était illégal réside dans le fait que le gouvernement n’a pas cherché à d’abord limiter certaines fonctionnalités de la plateforme avant d’en ordonner le blocage complet. En d’autres mots, la décision de bloquer est jugée disproportionnée uniquement sur le fait que le gouvernement aurait d’abord dû prévenir Tiktok et lui demander de limiter les contenus, avant de pouvoir ordonner le blocage du réseau social. Le principe même de bloquer n’est pas remis en question.

Cet argument s’inscrit dans la continuité d’une idée exprimée par Emmanuel Macron, après les révoltes faisant suite à la mort de Nahel Merzouk, de limiter certaines fonctionnalités des réseaux sociaux, voire les bloquer lors de prochaines émeutes. Le Conseil d’État légitime le chantage auquel s’était déjà adonné le gouvernement en 2023 : fin juin 2023, les représentants de TikTok, Snapchat, Twitter et Meta étaient convoqués par le ministre de l’intérieur, dans le but de mettre une « pression maximale » sur les plateformes pour qu’elles coopèrent et qui a conduit à des demandes de retraits de contenus hors de tout cadre légal (voir notre analyse de l’époque). Désormais, le gouvernement a une nouvelle arme, la menace de censure, fraîchement inventée par le Conseil d’État, pour forcer les plateformes à collaborer, quitte à retirer des contenus légaux.

Mode d’emploi pour le fascisme montant

Il ne s’agit donc absolument pas d’une victoire. Le Conseil d’État valide quasiment toute la démarche du Premier ministre. Désormais, même pour sauver la face d’un préfet qui préfère censurer avant de réfléchir, un gouvernement peut bloquer une plateforme en ligne, à la condition de trouver sur cette plateforme quelques contenus vaguement violents et de justifier de « troubles à l’ordre public d’une gravité exceptionnelle ».

Pas besoin de justifier d’une habilitation par le législateur. Pas besoin de justifier de manière rigoureuse des contenus incriminés. Pas besoin de faire la moindre publicité autour de cette décision. Les associations se débrouilleront pour comprendre l’ampleur et les raisons du blocage, et le gouvernement pourra même changer de version si les premières justifications qu’il aura trouvées s’avèrent bancales.

Lors de l’audience publique, l’avocat de la Ligue des droits de l’Homme, elle aussi requérante dans cette affaire, avait prévenu que les futurs régimes illibéraux s’empareront du mode d’emploi ainsi apporté par le Conseil d’État. De notre côté, nous avions rappelé que les régimes qui se sont jusqu’alors aventurés dans la voie de la censure arbitraire d’Internet et qui se sont fait condamner par la Cour européenne des droits de l’Homme sont tous des régimes autoritaires, Russie et Turquie en tête. Et peut-être, demain, la France.

Car cette décision doit être replacée dans son contexte : celui d’un autoritarisme qui fait la courte-échelle depuis des années à un fascisme désormais aux portes du pouvoirs ; celui de garde-fous qui s’avèrent inefficaces lorsque l’accompagnement de l’État dans ses délires sécuritaires prend la place de la protection des droits ; celui de proximités entre décideurs publics et lobbys sécuritaires qui interrogent ; celui d’un pouvoir politique qui préfère la réponse facile ou la désinformation plutôt que de revoir de fond en comble le système de violence qu’il renforce ; celui de la remise en question quotidienne d’un du principe fondateur de nos démocraties modernes qu’est l’État de droit, par un ministre de l’intérieur récidiviste, ou par une alliance inquiétante entre une extrême droite prise la main dans le pot de confiture, un Premier ministre qui sait qu’il sera peut-être le prochain, et une gauche qui a manqué une occasion de se taire.

Quand on voit avec quelle rapidité l’État de droit est en train de s’écrouler aux États-Unis, on ne peut que s’inquiéter. Car même si Tiktok est une plateforme intrinsèquement problématique, utilisée comme caisse de résonance pour la désinformation et autres contenus extrêmement toxiques, la fin ne peut pas tout justifier. L’État de droit se décompose et le fascisme est aux portes du pouvoir. Il est urgent de porter une voix hautement critique sur ces institutions incapables de protéger la démocratie alors qu’elles devraient être à l’avant-garde de la lutte contre l’extrême droite et l’autoritarisme. Alors si vous le pouvez, vous pouvez nous aider en nous faisant un don.

Victoire totale aujourd’hui au tribunal administratif de Grenoble ! L’affaire opposant La Quadrature du Net à la ville de Moirans, en Isère, s’achève par une décision reconnaissant l’illégalité du logiciel de vidéosurveillance algorithmique Briefcam. La justice ordonne à la commune de cesser immédiatement l’utilisation de ce logiciel.

Le logiciel de Briefcam est installé en toute opacité dans de très nombreuses communes de France. Techniquement, il permet d’appliquer des filtres algorithmiques sur les images de vidéosurveillance pour suivre ou retrouver les personnes en fonction de leur apparence, leurs vêtement, leur genre ou encore leur visage via une option de reconnaissance faciale. Depuis des années, nous dénonçons la dangerosité de cette vidéosurveillance algorithmique (VSA) qui est un outil inefficace et utilisé surtout pour le contrôle des populations dans l’espace public. En parallèle, nous rappelons constamment son illégalité manifeste et le laisser-faire des pouvoirs publics.

Ainsi, nous avons récemment critiqué la prise de position de la CNIL venue au secours de la police et la gendarmerie nationale, qui utilisaient ce logiciel depuis 2015 et 2017 sans l’avoir déclaré. La CNIL avait validé leur interprétation juridique farfelue pour sauver leur utilisation de ce logiciel dans le cadre d’enquête.

Or, dans cette affaire contre l’utilisation de Briefcam à Moirans, la CNIL était opportunément intervenue quelques semaines avant l’audience pour affirmer que Briefcam serait légal si utilisé par une commune pour répondre à des réquisitions judiciaires. La décision du tribunal administratif de Grenoble vient donc contredire frontalement cette position : il estime que le logiciel Briefcam met en œuvre un traitement de données personnelles disproportionné et qui n’est pas prévu par la loi, y compris dans le cas particulier d’enquêtes judiciaires.

Cette décision d’illégalité est une victoire sans précédent dans notre lutte contre la VSA. Les habitant·es de toute ville, à l’instar de Saint-Denis, Reims ou encore Brest qui ont choisi de mettre en place ce type de surveillance algorithmique, peuvent légitimement en demander l’arrêt immédiat. Les promoteurs politiques et économiques de la Technopolice doivent faire face à la réalité : leurs velléités de surveillance et de contrôle de la population n’ont pas leur place dans notre société. La CNIL n’a plus d’autre choix que d’admettre son erreur et sanctionner les communes qui continueraient d’utiliser de la VSA.

C’est grâce à vos dons que nous avons pu mener cette lutte jusqu’à son dénouement heureux aujourd’hui, et nous avons toujours besoin de votre aide pour continuer demain !

Un des obstacles les plus importants dans la lutte contre la Technopolice est l’opacité persistante de l’utilisation des technologies de surveillance. Pour contrer cette difficulté, La Quadrature du Net lance aujourd’hui Attrap (pour « Automate de Traque de Termes et de Recherche dans les Arrêtés Préfectoraux »), un moteur de recherche d’arrêtés préfectoraux qui contribue ainsi à une plus grande transparence de l’action de l’administration. Cet outil est destiné aux journalistes, militant·es, avocat·es, habitant·es qui souhaitent faire des recherches facilement et rapidement dans la masse d’arrêtés préfectoraux, et ainsi pouvoir connaître quels sont les outils de surveillance et de contrôle utilisés par l’État sur elles et eux.

Ces dernières années, la multiplication des outils de surveillance à disposition des autorités publiques s’est accompagnée d’une augmentation du pouvoir des préfets, émanations locales de l’État. Par exemple, depuis 1995, il revient aux préfets de département d’autoriser les communes ou commerces à mettre en place de la vidéosurveillance. On retrouve ce même mécanisme d’autorisation préfectorale pour les drones depuis 2023 ou, depuis la loi sur les Jeux Olympiques, pour la vidéosurveillance algorithmique dont la première autorisation a été délivrée en avril 2024.

Les préfets sont également dotés de pouvoirs d’interdictions ou de restrictions. Ils peuvent ainsi interdire des manifestations, créer des locaux de rétention administrative (équivalent temporaire des centres de rétention administratifs, CRA, qui servent à enfermer les personnes étrangères avant de les expulser) ou, depuis la loi SILT (qui introduisait en 2017 dans le droit commun les mesures de l’état d’urgence), mettre en place des « périmètres de sécurité ».

En théorie, toutes ces décisions des préfets doivent être publiées. Mais en pratique, il est très difficile d’accéder à cette information. Parfois, les préfectures communiquent sur les réseaux sociaux. Mais cela reste exceptionnel et cantonné à quelques grands événements. La plupart du temps, toutes ces décisions sont enterrées au fond des recueils des actes administratifs des préfectures.

Les recueils des actes administratifs, triste exemple d’inaccessibilité

Les recueils des actes administratifs (RAA) sont les journaux officiels des préfectures : dans un objectif très théorique de transparence, beaucoup de décisions prises par les préfectures doivent être publiée dans ces RAA. Cette publicité est cependant limitée en pratique : les RAA sont délibérément organisés de manière à être les moins accessibles possibles.

Prenons un cas pratique pour illustrer cette inaccessibilité. De passage à Antibes le week-end du 25-26 août 2024, vous avez constaté qu’un drone survolait le centre-ville. Vous souhaitez alors connaître la décision (en l’occurrence ici, un arrêté) qui a autorisé cette surveillance et voir les justifications avancées par les pouvoirs publics pour son déploiement, la durée d’autorisation ou encore les personnes responsables.

Une recherche sur le site de la préfecture des Alpes-Maritimes ne retourne aucun résultat. Vous devez alors rechercher par vous-même dans les RAA. Mais ceux de la préfecture des Alpes-Maritimes sont dispersés dans une multitude de fichiers PDF, eux-même éparpillés dans de nombreuses pages et sous-pages du site de l’administration. Vous devez donc scruter l’ensemble des recueils mensuels, spéciaux et spécifiques. Mais gare à vous si vous ouvrez trop rapidement plusieurs fichiers PDF : vous vous retrouverez bloqué·e par la plateforme et devrez attendre plusieurs dizaines de minutes avant de pouvoir continuer ! De plus, en utilisant la fonction Recherche de votre navigateur dans les fichiers PDF des RAA publiés autour de la date recherchée, vous ne trouvez nulle part le terme « aéronef » (expression légalement consacrée pour désigner les drones).

Finalement, en recherchant « drone », vous trouvez une petite ligne dans le sommaire du RAA spécial du 14 août. En vous rendant à la page indiquée dans le sommaire, vous constaterez qu’il s’agit bien de l’arrêté préfectoral que vous cherchez. Mais il n’est pas possible de sélectionner le texte (donc de faire une recherche dans le corps des arrêtés du RAA) parce que les services de la préfecture ont publiée sa version scannée…

Il ne s’agit pas du pire exemple, même si certaines préfectures rendent leurs recueils d’actes administratifs un peu plus accessibles que celle des Alpes-Maritimes. Et, dans notre cas pratique, il s’agissait de retrouver un arrêté précis. Autant dire qu’il n’est pas possible de faire une veille efficace, et donc d’exercer un contrôle sur les actes pris par les préfectures, notamment en termes de surveillance de la population.

Une interface unique pour rendre accessible les recueil des actes administratifs

Pour contourner ces obstacles pratiques, nous avons créé Attrap. Il s’agit d’un moteur de recherche qui analyse automatiquement les sites des préfectures, télécharge les différents fichiers PDF des RAA, reconnaît les caractères, extrait le texte et rend tout cela disponible dans une interface web unique. À partir de cette dernière, vous pouvez alors rechercher des mots-clés dans les RAA de toutes les préfectures ou certaines seulement, trier les résultats par pertinence ou chronologiquement, ou encore faire des recherches avancées avec les mots « AND » ou « OR ». Ainsi, l’arrêté d’autorisation de drones de notre exemple peut se trouver en quelques instants.

Mieux ! Si vous savez coder et voulez développer des fonctionnalités que n’offre pas Attrap (par exemple un système de statistiques, de veille, ou d’analyse plus poussée des arrêtés préfectoraux), vous pouvez utiliser librement l’API du service. C’est grâce à celle-ci que nous avons créé les robots de veille Mastodon Attrap’Surveillance (qui détecte la vidéosurveillance, la VSA et les drones), Attrap’Silt (qui détecte les périmètres de sécurité de la loi Silt) et Attrap’LRA (qui détecte les créations de locaux de rétention administrative). Et le code source de notre robot est lui aussi libre.

Redonner du pouvoir aux individus

Attrap est un nouvel outil pour, par exemple, les groupes locaux Technopolice qui documentent et veillent sur le développement des technologies de surveillance, dans nos quartiers, villes et villages. Cet outil permet ainsi de rendre visible, en alertant les habitant·es, de ce que la police voudrait invisible : la surveillance de nos rues et donc de nos vies. Il permettra également de documenter qui seront les futurs cobayes de la vidéo surveillance algorithmique (VSA) dans le cadre de la loi JO qui se poursuit jusqu’en mars 2025.

Ainsi, c’est grâce à Attrap que nous avons pu par exemple visibiliser les usages de VSA cette année, y compris saisir la CNIL d’une plainte lorsque la préfecture de police de Paris a utilisé cette technologie illégalement. C’est également grâce à cet outil que le groupe Technopolice Marseille a pu documenter les usages massifs de drones dans la cité phocéenne, notamment lors des « opérations place nette », vaste séquence médiatique de Gérald Darmanin au bilan très critiqué, ou pour surveiller le centre de rétention administrative du Canet (arrêté qui vient d’être suspendu par la justice suite à un recours de l’Ordre des avocats au barreau de Marseille et de La Cimade, soutenus par le Syndicat des Avocats de France, le Syndicat de la magistrature et le Gisti).

Attrap comporte encore quelques limites. Pour l’instant, seule une trentaine de préfectures de département et deux préfectures de région sont supportées. L’ajout d’une nouvelle administration nécessite du temps puisqu’il faut s’adapter à la manière qu’a chaque préfecture de répertorier en ligne ses RAA. Également, pour la plupart des préfectures, seuls les RAA de l’année 2024 sont indexés. Mais la couverture d’Attrap s’améliorera dans les prochains mois.

Pour améliorer Attrap, nous organisons un hackathon lors du 38^ème Chaos Communication Congress (38C3) à Hambourg en Allemagne. Si vous aimez le Python, n’hésitez pas à venir ! Mais si vous n’êtes pas au 38C3, vous pouvez également vous rendre sur notre canal Matrix dédié pour commencer à contribuer ! 🤓

À l’avenir, d’autres fonctionnalités seront également ajoutées. Nous prévoyons notamment d’ajouter un système de veille, qui vous permettra d’être notifié·e par email des derniers résultats sans avoir à créer vous-même votre propre robot de veille.

Par cet outil, nous souhaitons donner plus de pouvoirs aux personnes concernées par les décisions préfectorales. Vous pouvez dès aujourd’hui avoir un aperçu des mesures les moins acceptables que les préfectures ont tendance à enterrer au fond de leurs RAA : interdictions de manifestations, vidéosurveillance, drones, vidéosurveillance algorithmique, interdictions de festivals de musique clandestins, mesures de police justifiées par des appels au « zbeul » sur les réseaux sociaux, etc.

Nous espérons qu’Attrap permettra de mieux visibiliser l’action locale (et les abus) de l’État. L’opacité entretenue par les préfectures vient de perdre un peu de terrain. Pour nous aider à continuer nos actions, vous pouvez nous faire un don. Et si vous voulez contribuer à Attrap, rendez-vous sur le canal Matrix dédié.

Depuis 2021, nous documentons via notre campagne France Contrôle les algorithmes de contrôle social utilisés au sein de nos administrations sociales. Dans ce cadre, nous avons en particulier analysé le recours aux algorithmes de notation. Après avoir révélé que l’algorithme utilisé par la CAF visait tout particulièrement les plus précaires, nous démontrons, via la publication de son code¹Plus précisément, nous avons eu accès à l’ensemble des odds ratio associés aux variables, ce qui nous a permis de rétro-ingéniérer le code de l’algorithme., que l’Assurance Maladie utilise un algorithme similaire ciblant directement les femmes en situation de précarité.

Depuis 2018, un algorithme développé par l’Assurance Maladie (CNAM) attribue une note, ou score de suspicion, à chaque foyer bénéficiant de la Complémentaire Santé Solidaire gratuite (C2SG), soit 6 millions de personnes parmi les plus pauvres de France²La C2S gratuite (C2SG) est une complémentaire santé gratuite accordée sous conditions de revenus et de composition familiale. Réservée aux foyers les plus précaires, elle bénéficiait, en 2023, à 5,9 millions de personnes (voir ici). Le plafond annuel de ressources de la C2SG a été fixé à 9 719 € pour une personne seule, en métropole, au 1^er avril 2023, modulable en fonction de la composition du foyer du demandeur (voir ici). Attribuée au niveau du foyer et non au niveau individuel, elle sert à couvrir tout ou partie des frais restant à la charge de l’assuré·e. La C2S peut aussi être soumise à participation financière en cas de revenus légèrement supérieurs (1,5 million de personnes).. Cette note sert à sélectionner les foyers devant faire l’objet d’un contrôle. Plus elle est élevée, plus la probabilité qu’un foyer soit contrôlé est grande. Suite à une erreur de la CNAM, nous avons pu avoir accès au code source de cet algorithme que nous rendons public avec cet article. Le constat est accablant.

L’algorithme cible délibérément les mères précaires. Ces dernières, ouvertement présentées dans des documents officiels par les responsables de la CNAM comme étant « les plus à risques d’anomalies et de fraude »³Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM., reçoivent un score de suspicion plus élevé que le reste des assuré·es. En retour, elles subissent un plus grand nombre de contrôles. Notons que les – trop rares – témoignages dont nous disposons montrent que ces contrôles peuvent notamment aboutir à des suspensions abusives de couverture santé entraînant des ruptures d’accès aux soins aux conséquences particulièrement graves, et ce, pour l’ensemble des ayants droit du foyer dont les enfants⁴Si la violence des contrôles organisés par la CAF sont particulièrement bien documentés – voir notamment les travaux des collectifs Changer de Cap et Stop Contrôles –, il n’existe pas, à notre connaissance, de travail équivalent sur les contrôles CNAM. Nous avons cependant pu échanger avec des associations de défense des droits des assuré·es qui ont confirmé l’existence de suspensions abusives de couverture santé..

Stigmatiser les femmes précaires

« Première demande dont le demandeur est une femme de plus de 25 ans avec plus d’un majeur et au moins un mineur dans le foyer »⁵Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM.. Voici, mot pour mot, comment est décrit, au détour d’une slide PowerPoint, ce que les responsables de la CNAM appellent le « profil-type du fraudeur »⁶L’expression « profil-type du fraudeur » est tirée du rapport 2020 de lutte contre la fraude de l’Assurance Maladie disponible ici.. C’est ce « profil-type » que l’algorithme est chargé d’aller détecter parmi les assuré·es. Plus une personne se rapproche de ce profil, plus son score de suspicion est élevé et sa probabilité d’être contrôlée est grande.

L’analyse du code de l’algorithme vient confirmer cette description. Parmi les variables utilisées par l’algorithme et augmentant le score de suspicion, on trouve notamment le fait d’être une femme, d’avoir des enfants mineurs ou d’être âgé·e de plus de 25 ans⁷Un premier modèle a été utilisé par l’Assurance Maladie entre 2018 et 2021. Visant à prédire le risque d’indus, il est basé sur une régression logistique simple comprenant 5 variables en entrée, dont le sexe, l’âge ou la composition du foyer. En 2021, ce modèle a été modifié à la marge. L’entraînement semble être réalisé dans les « règles de l’art », à partir de la sélection aléatoire de plusieurs milliers de dossiers, envoyés aux équipes de contrôle puis utilisés comme base d’apprentissage. Pour plus de détails, voir l’analyse sur notre Gitlab..

Si cet algorithme ne fait pas directement apparaître de critères liés à la précarité économique, c’est tout simplement que ce critère est déjà présent de base dans la définition de la population analysée. Bénéficiaire de la C2SG, cette « femme de plus de 25 ans » fait partie des 6 millions de personnes les plus pauvres de France, dont la majorité est allocataire du RSA et/ou privée d’emploi⁸Pour une présentation du public concerné par la C2SG, voir notamment le rapport annuel 2023 portant sur la Complémentaire Santé Solidaire de la Direction de la Sécurité Sociale disponible ici..

Vers un ciblage des personnes malades ou en situation de handicap ?

En complément du code de l’algorithme utilisé depuis 2018, nous avons obtenu celui d’un modèle expérimental développé en vue d’évolutions futures. En plus de cibler les mères précaires, ce modèle ajoute aux critères venant augmenter le score de suspicion d’un·e assuré·e le fait d’être en situation de handicap (« bénéficier d’une pension d’invalidité »), d’être malade (être « consommateur de soin » ou avoir « perçu des indemnités journalières », c’est-à-dire avoir été en arrêt maladie) ou encore… d’être « en contact avec l’Assurance Maladie »⁹Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM. Ajoutons qu’il est possible que les équipes de la CNAM aient réalisé des traitements illégaux pour arriver à ces tristes conclusions. Si le modèle alternatif nécessite des croisements de données illégaux – rappelons par ailleurs qu’il est question de données de santé – il est légitime de s’interroger sur la base légale à partir de laquelle son « efficience » a pu être testée..

Une précision s’impose. Le fait que ce modèle expérimental n’ait pas été généralisé n’est en rien lié à un sursaut de décence de la part de la CNAM. Son « efficience » fut au contraire vantée dans des documents distribués lors de sa présentation en « Comité de direction Fraude » début 2020¹⁰Voir ce document de présentation du modèle de datamining en « Comité de Direction Fraude » le 11 janvier 2020. C’est ce document qui a été mal occulté par les équipes de la CNAM.. Le seul problème, y expliquent les équipes de statisticien·nes de la CNAM, est que son utilisation n’est pas légale car ce nouveau modèle nécessiterait un « croisement de données non autorisé ». Pour pouvoir le mettre en place, les équipes cherchent à appâter les dirigeant⸱es de la CNAM afin de gagner leur appui pour obtenir le changement réglementaire nécessaire à la mise en place de ce croisement de données¹¹Le croisement demandé semble concerner notamment la base SIAM Erasme, soit une base de données nominatives particulièrement intrusives puisque portant sur les dépenses de santé. Voir ce rapport de la Cour des Comptes. L’accès aux données des comptes bancaires semble aussi être au centre des « limitations réglementaires » empêchant la CNAM de généraliser les modèles expérimentaux..

Opacité et indécence

S’il est une chose cruciale que montrent les documents que nous rendons publics, c’est que les dirigeant⸱es de la CNAM sont parfaitement au courant de la violence des outils qu’ils et elles ont validé. Nul besoin d’être expert·e en statistique pour comprendre les descriptions retranscrites ci-dessus relatives du « profil-type du fraudeur »¹²L’expression « profil-type du fraudeur » est tirée du rapport 2020 de lutte contre la fraude de l’Assurance Maladie disponible ici. que l’algorithme est chargé de cibler.

Mais plutôt que de s’y opposer, les responsables de la CNAM ont préféré utiliser l’opacité entourant son fonctionnement pour en tirer profit. Technique « à la pointe de la technologie », « intelligence artificielle » permettant une « détection proactive » de la fraude, outil prédictif « à la Minority Report » : voici comment, au gré de rapports officiels ou d’interventions publiques, ce type d’outil est vanté¹³Ces citations se réfèrent globalement à l’ensemble des algorithmes de notation utilisé par la CNAM à des fins de contrôle, ce qui inclut tant l’algorithme de notation des bénéficiaires de la C2SG que les algorithmes utilisé pour le profilage et le contrôle des professionnels de santé. Voir le site de l’assurance maladie, le rapport annuel 2021 de lutte contre la fraude à l’assurance maladie disponible ici et l’article publié en 2022 sur Challenges, « Pour débusquer les fraudeurs, la Sécu met le paquet sur l’IA et les cyber-enquêteurs » et le 30 septembre 2022 disponible ici.. L’absence de transparence vis à vis du grand public quant aux critères de ciblage de l’algorithme permet de masquer la réalité des politiques de contrôles. Cette situation permet alors aux dirigeant.es de l’Assurance Maladie de faire briller leurs compétences gestionnaires et leur capacité d’innovation sur le dos des plus précaires.

Au caractère indécent d’une telle présentation, ajoutons ici qu’elle est en plus mensongère. Car, contrairement à la manière dont il est présenté, l’algorithme n’est pas construit pour détecter les seules situations de fraudes. La documentation technique montre qu’il est entraîné pour prédire le fait qu’un dossier présente ce que l’Assurance Maladie appelle une « anomalie », c’est à dire le fait que les revenus d’un·e assuré·e dépasse le plafond de revenus de la C2S¹⁴Pour qu’une anomalie soit déclarée comme fraude, il faut que le niveau de revenu constaté après contrôle soit supérieur à 3 fois le plafond de la C2S. Voir notamment le rapport annuel 2021 de lutte contre la fraude disponible ici.. Or seule une partie de ces « anomalies » – lorsque l’écart entre les revenus et le plafond dépasse un certain montant – est classifiée comme fraude par l’Assurance-Maladie. Tout laisse à penser que la majorité des « anomalies » détectées par l’algorithme résulte avant tout d’erreurs involontaires, liées à la complexité des critères d’attribution de la C2SG qui inclut notamment l’ensemble des revenus dont le foyer dispose, et ce, jusqu’aux cadeaux et dons familiaux¹⁵Si nous n’avons pu trouver de chiffres précis quant à la proportion d’« anomalies » liées à des erreurs involontaires dans le cas de la C2SG, nous nous basons sur les études existantes portant sur l’origine des trop-perçus liés au Revenu de Solidarité Active (RSA) dont les conditions d’attribution – nonobstant la fréquence trimestrielle ou annuelle des déclarations – sont similaires à celle de la C2SG. Or, les études portant sur les RSA démontrent sans exception que la très grande majorité des trop-perçus sont liés à des erreurs déclaratives liés à la complexité déclarative de cette prestation. Plusieurs de ces études sont citées dans cet article..

Cette communication est finalement à mettre en perspective face aux enjeux financiers. En 2022, le directeur de l’Assurance Maladie annonçait que la fraude à l’ensemble de la C2S était estimée à 1% de son coût, soit 25 millions sur plus de 2,5 milliards d’euros¹⁶En 2022, le directeur de l’Assurance Maladie a présenté les premières estimations devant le Sénat. Son audition est disponible ici. Voir aussi le rapport annuel de lutte contre la fraude de l’Assurance Maladie 2021 disponible ici. Les chiffres des montants de la C2S (gratuite et avec participation financière) gérés par la CNAM sont disponibles dans le rapport annuel 2023 de la direction de la sécurité sociale.. En revanche, le taux de non-recours à cette prestation sociale était lui estimé à plus de 30%, soit un « gain » d’environ… un milliard d’euros pour la CNAM¹⁷Voir Mathilde Caro, Morgane Carpezat, Loïcka Forzy, « Le recours et le non-recours à la complémentaire santé solidaire. Les dossiers de la Drees 2023 », disponible ici.. Ces chiffres soulignent l’hypocrisie politique de l’importance de lutter contre la fraude à la C2SG – et la nécessité des outils dopés à l’intelligence artificielle – tout en démontrant que le recours à de tels outils est avant tout une question d’image et de communication au service des dirigeant·es de l’institution.

Technique et déshumanisation

Il est une dernière chose que mettent en lumière les documents que nous rendons public. Rédigés par les équipes de statisticien·nes de la CNAM, ils offrent un éclairage particulièrement cru sur l’absence flagrante de considération éthique par les équipes techniques qui développent les outils numériques de contrôle social. Dans ces documents, nulle part n’apparaît la moindre remarque quant aux conséquences humaines de leurs algorithmes. Leur construction est abordée selon des seules considérations techniques et les modèles uniquement comparés à l’aune du sacro-saint critère d’efficience.

On perçoit alors le risque que pose la numérisation des politiques de contrôle dans le poids qu’elle donne à des équipes de data-scientists coupées des réalités de terrain – ils et elles ne seront jamais confrontées à la réalité d’un contrôle et à leurs conséquences en termes d’accès aux soins – et nourries d’une vision purement mathématique du monde.

On appréhende aussi l’intérêt d’une telle approche pour les responsables des administrations sociales. Ils et elles n’ont plus à faire face aux éventuelles réticences des équipes de contrôleur·ses lors de la définition des politiques de contrôle¹⁸Sur la contestation lors de l’élaboration de politiques de contrôle par les équipes internes à la CNAF, voir le livre Contrôler les assistés. Genèses et usage d’un mot d’ordre, de Vincent Dubois, page 250.. Ils et elles n’ont d’ailleurs même plus à expliquer la façon dont ces politiques ont été construites aux équipes de contrôleur·ses, à qui il est simplement demandé de contrôler les dossiers les moins bien notés par un algorithme-boîte-noire.

Le problème n’est pas technique mais politique

Depuis maintenant deux ans, nous documentons la généralisation des algorithmes de notation à des fins de contrôle au sein de notre système social. À l’instar de la CNAM, nous avons montré qu’ils étaient aujourd’hui utilisés à la Caisse Nationale des Allocations Familiales (CNAF), l’Assurance-Vieillesse ou encore la Mutualité Sociale Agricole et ont été expérimentés à France Travail.

Depuis deux ans, nous alertons sur les risques associés à l’essor de ces techniques, tant en termes de surveillance numérique que de discriminations et de violence institutionnelle. Surtout, nous n’avons eu de cesse de répéter que, quelques soient les institutions sociales, ces algorithmes ne servent qu’un seul objectif : faciliter l’organisation de politiques de harcèlement et de répression des plus précaires, et ce grâce à l’opacité et au vernis scientifique qu’ils offrent aux responsables des administrations sociales.

C’est désormais chose prouvée pour deux administrations. Pour la CNAM avec cet article. Mais aussi pour la CNAF, dont nous avons publié il y a tout juste un an le code de l’algorithme de notation alimenté par les données personnelles de plus de 30 millions de personnes, et que nous avons attaqué devant le Conseil d’État en octobre dernier avec 14 autres organisations en raison du ciblage des personnes en situation de précarité, de handicap ou encore les mères isolées.

Nous espérons que cet article, associé à ceux publiés sur la CNAF, finira de démontrer qu’il n’est pas nécessaire d’accéder au code de l’ensemble de ces algorithmes pour connaître leurs conséquences sociales. Car le problème n’est pas technique mais politique.

Vendus au nom de la soi-disant « lutte contre la fraude sociale », ces algorithmes sont en réalité conçus pour détecter des trop-perçus, ou indus, dont toutes les études montrent qu’ils se concentrent sur les personnes précaires en très grande difficulté. En effet, ces indus sont largement le fait d’erreurs déclaratives involontaires consécutives à deux principaux facteurs: la complexité des règles d’attribution des minima sociaux (RSA, AAH, C2SG…) et des situations personnelles de grande instabilité (personnelle, professionnelle ou administrative). Un ancien responsable de la CNAF expliquait ainsi que « Les indus s’expliquent […] par la complexité des prestations, le grand nombre d’informations mobilisées pour déterminer les droits et l’instabilité accrue de la situation professionnelle des allocataires », ce qui est avant tout le cas pour les « prestations liées à la précarité […] très tributaires de la situation familiale, financière et professionnelle des bénéficiaires »¹⁹Voir les articles d’un directeur du service « contrôle et lutte contre la fraude ». Le premier « Du contrôle des pauvres à la maîtrise des risques » a été publié en 2006 et est disponible ici. Le second est intitulé « Le paiement à bon droit des prestations sociales des CAF » publié en 2013 et disponible ici..

Autrement dit, ces algorithmes ne peuvent pas être améliorés car ils ne sont que la traduction technique d’une politique visant à harceler et réprimer les plus précaires d’entre nous.

Lutter

L’hypocrisie et la violence de ces pratiques et des politiques qui les sous-tendent doivent être dénoncées et ces algorithmes abandonnés. Quant aux responsables qui les appellent de leurs vœux, les valident et les promeuvent, ils et elles doivent répondre de leur responsabilité.

Pour nous aider à continuer à documenter ces abus, vous pouvez nous faire un don. Nous appelons également celles et ceux qui, bénéficiaires de la C2SG ou non, souhaitent agir contre cet algorithme et plus largement les politiques de contrôles de la CNAM. Assuré·es, collectifs, syndicats, employé·es de la CNAM, vous pouvez nous contacter sur algos@laquadrature.net pour réfléchir collectivement aux suites à donner à cette publication.

En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

Cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé·e est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisé·es dans leurs parcours de vie. En assimilant précarité et soupçon de fraude, cet algorithme participe d’une politique de stigmatisation et de maltraitance institutionnelle des plus défavorisé·es. Les contrôles sont des moments particulièrement difficiles à vivre, générateurs d’une forte charge administrative et d’une grande anxiété. Ils s’accompagnent régulièrement de suspensions du versement des prestations, précédant des demandes de remboursements d’indus non-motivés. Dans les situations les plus graves, des allocataires se retrouvent totalement privé·es de ressources, et ce en toute illégalité. Quant aux voies de recours, elles ne sont pas toujours compréhensibles ni accessibles.

Alors que l’utilisation de tels algorithmes de notation se généralise au sein des organismes sociaux, notre coalition, regroupant des organisations aux horizons divers, vise à construire un front collectif afin de faire interdire ce type de pratiques et d’alerter sur la violence dont sont porteuses les politiques dites de « lutte contre la fraude sociale ».

« Cet algorithme est la traduction d’une politique d’acharnement contre les plus pauvres. Parce que vous êtes précaire, vous serez suspect·e aux yeux de l’algorithme, et donc contrôlé·e. C’est une double peine. » déclare Bastien Le Querrec, juriste à La Quadrature du Net.

Associations requérantes:

• La Quadrature du Net (LQDN)
• Association d’Accès aux Droits des Jeunes et d’Accompagnement vers la Majorité (AADJAM)
• Aequitaz
• Amnesty International France
• Association nationale des assistant·e·s de service social (ANAS)
• APF France handicap
• Collectif Changer de Cap
• Fondation Abbé Pierre
• Groupe d’information et de soutien des immigré·es (Gisti)
• Le Mouton numérique
• La Ligue des droits de l’Homme (LDH)
• Mouvement national des chômeurs et précaires (MNCP)
• Mouvement Français pour un Revenu de base (MFRB)
• CNDH Romeurope
• Syndicat des avocats de France (SAF)

Retrouvez l’ensemble de nos travaux sur la numérisation des administrations sociales et la gestion algorithmique des populations sur notre page de campagne France contrôle.

Les Jeux Olympiques et Paralympiques se sont achevés il y a un mois. Alors que les rues de Marseille ou de Paris et sa banlieue sont encore parsemées de décorations olympiennes désormais désuètes, les promoteurs de la surveillance s’empressent d’utiliser cet événement pour pousser leurs intérêts et légitimer la généralisation des dispositifs de vidéosurveillance algorithmique (VSA). Si nous ne sommes pas surpris, cette opération de communication forcée révèle une fois de plus la stratégie des apôtres de la Technopolice : rendre à tout prix acceptable une technologie dont le fonctionnement reste totalement opaque et dont les dangers sont complètement mis sous silence. Les prochains mois seront cruciaux pour peser dans le débat public et rendre audible et visible le refus populaire de ce projet techno-sécuritaire.

Des algos dans le métro

Comme prévu, la vidéosurveillance algorithmique a été largement déployée pendant les Jeux Olympiques. Il le fallait bien, puisque c’est au nom de ce méga événement sportif qu’a été justifiée l’« expérimentation » de cette technologie d’analyse et de détection des comportements des personnes dans l’espace public. Pour rappel, la loi du 19 mai 2023 relative aux Jeux Olympiques et Paralympiques de 2024 a permis aux préfectures d’autoriser un certain nombres d’acteurs à déployer des logiciels dopés à l’« intelligence artificielle » sur les images des caméras publiques afin de repérer un certain nombre de comportements soi-disant « suspects » et déclencher des alertes auprès des agents de sécurité ou des forces de l’ordre.

Contrairement à ce que le nom de la loi indique, cette capacité de mettre en place une surveillance algorithmique dépasse largement le moment des seuls Jeux Olympiques. Les policiers peuvent ainsi réquisitionner la VSA pour des « manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ». Or, ce critère de « risque » a rapidement été apprécié de façon très large. La VSA a été déployée à l’occasion de concerts, de matchs de foot, de festivals ou encore lors du défilé du 14 juillet. Également, la durée de l’expérimentation dépasse largement celle des seuls Jeux et s’étend jusqu’en mars 2025. La ville de Cannes a ainsi annoncé qu’elle déploiera la VSA à l’occasion de cinq événements à venir : les NRJ Music Awards, le Marathon des Alpes-Maritimes, le marché de Noël, le feu d’artifice du Nouvel An et… le Marché international des professionnels de l’immobilier 2025. On le comprend, il ne s’agit pas tant de prouver un lien avec un risque particulier pour la sécurité que de trouver un prétexte pour tester ces technologies.

Mais revenons aux Jeux et à ce moment de « vraie vie » selon les termes employés par Emmanuel Macron. Que s’y est-il passé ? D’abord, les algorithmes de détection de l’entreprise Wintics ont été déployés dans 46 stations de métros et 11 gares SNCF ou RER. Comme cela avait déjà pu être le cas pour d’autres expérimentations, les stations concernées n’avaient parfois aucun rapport avec les lieux où se déroulaient les épreuves des Jeux. De nouveau, les acteurs de la surveillance tordent le cadre juridique pour le plier à leurs volontés. Aussi, alors que les pouvoirs publics sont tenus d’informer les personnes filmées qu’elles sont transformées en cobayes, ceux-ci se sont contentés du service minimum. Des petites affichettes ont été placardées dans le métro, peu visibles pour les passant⋅es dont le regard était davantage incité à lire une propagande sécuritaire « légèrement » plus grande.

En très grand à droite, l’affiche de vidéosurveillance classique, en tout petit à gauche, l’affichette VSA.

Ensuite, la VSA s’est étendue aux images de l’espace public aux alentours de 11 sites des Jeux Olympiques (comme le Stade de France ou la Place de la Concorde). Pour cette surveillance des rues, la préfecture de police n’a publié que le 30 juillet au soir l’autorisation préfectorale nécessaire à cette expérimentation, qui avait pourtant débuté… le 26 juillet. Comme on suivait cela de près, nous avons déposé une plainte auprès la CNIL, et ce afin de la pousser à faire son travail en sanctionnant l’État pour ces quatre jours de surveillance illégale. Les mêmes dispositifs de VSA ont ensuite été renouvelés lors des Jeux Paralympiques pour prendre fin le 9 septembre dernier. Depuis cette date, la course à la promotion de ces outils a repris de plus belle au sein des acteurs du système de surveillance qui n’hésitent pas à jouer des coudes pour imposer leur agenda.

Opération mal masquée

Théoriquement, la loi sur les JO prévoit que cette « expérimentation » de VSA soit soumise à une évaluation par un comité créé pour l’occasion, regroupant expert·es de la société civile, parlementaires et policiers. Ce comité est chargé d’analyser l’efficacité et l’impact de cette technologie selon des critères prévus par décret. Un rapport doit ensuite être remis au Parlement, le 31 décembre 2024 au plus tard. Si nous n’avions déjà que peu d’espoir quant à la capacité pour le comité de travailler de manière indépendante et d’être entendu dans ses conclusions, il n’empêche que celui-ci existe. Le Parlement a en effet choisi de conditionner une éventuelle pérennisation du cadre expérimental de la loi JO à son évaluation. Un garde-fou minimal dont le Conseil constitutionnel a souligné l’importance pour assurer toute éventuelle pérennisation du dispositif, qui serait alors à nouveau soumise à un examen de constitutionnalité.

Cela n’empêche pourtant pas les promoteurs de la VSA de placer leurs pions en communiquant de manière opportuniste afin de faire pression sur le comité d’évaluation et l’ensemble des parlementaires. Ainsi, le 25 septembre dernier, le préfet de police et ancien ministre Laurent Nuñez a ouvert le bal lors d’une audition par les député⋅es de la commission des lois. Sans apporter aucun élément factuel étayant ses dires, sans même faire part des très probables bugs techniques qui ont certainement émaillé le déploiement d’algorithmes de VSA qui pour certains étaient testés pour la première fois à grande échelle, il affirme alors que la VSA aurait d’ores et déjà « démontré son utilité », et appelle à sa prorogation. Et il s’emploie à minimiser les atteintes pour les libertés publiques : le préfet de police assure ainsi qu’il ne s’agirait en aucun cas de surveillance généralisée mais d’une simple aide technique pour trouver des flux anormaux de personnes. Comme si la légalisation des cas d’usage les plus problématiques de la VSA, dont la reconnaissance faciale, n’étaient pas l’un des objectifs des promoteurs de la Technopolice. Même le journal Le Monde s’est inquiété de cette déclaration de Nuñez dans un éditorial dénonçant la technique du « pied dans la porte » utilisée par le préfet.

Ensuite est venu le tour du gouvernement. Dans sa déclaration de politique générale, Michel Barnier a prononcé la phrase suivante, floue au possible : « Le troisième chantier est celui de la sécurité au quotidien : les Français nous demandent d’assurer la sécurité dans chaque territoire. Nous généraliserons la méthode expérimentée pendant les Jeux olympiques et paralympiques. ». À aucun moment le Premier ministre ne précise s’il a en tête la VSA ou la concentration ahurissante de « bleus » dans les rues, ou d’autres aspects du dispositif policier massif déployé cet été. Cela n’a pas empêché France Info de publier un article largement repris dans les médias annonçant, sur la base de cette déclaration, que le gouvernement envisageait de prolonger l’expérimentation de la vidéosurveillance algorithmique. En réalité, il s’agissait d’une « interprétation » venant du ministère de l’Intérieur, pressé d’imposer l’idée d’une pérennisation, quitte à faire fi du cadre légal de l’évaluation (le nouveau ministre Bruno Retailleau ayant bien fait comprendre que le respect du droit n’était pas sa tasse de thé). Résultat de cette opération d’intox de Beauvau : Matignon, soucieux de ne pas froisser le comité, « rectifie » auprès de France Info et affirme que le gouvernement attendra bien le rapport du comité. Bref, des petites phrases et des rétropédalages qui permettent au final au gouvernement de miser sur les deux tableaux : d’un côté, il tente de préempter le débat en imposant d’emblée la perspective d’une pérennisation et, de l’autre, il s’efforce de sauver les apparences, en laissant entendre qu’il suivra scrupuleusement le processus défini dans la loi. Reste qu’à Beauvau et très certainement aussi à Matignon, la pérennisation de la VSA est un objectif partagé. Le désaccord, si désaccord il y a, semblerait plutôt porter sur le tempo des annonces.

Tout ceci nous rappelle une chose : la bataille qui se joue maintenant est celle de l’acceptabilité de la VSA. Il s’agit pour les pouvoirs publics de fabriquer le consentement de la population à une technologie présentée comme évidente et nécessaire, alors qu’elle porte en elle un projet d’accaparement sécuritaire de l’espace public, de discrimination et de contrôle social, portés à la fois par une industrie de la surveillance en croissance et un régime de moins en moins démocratique.

Pour vous informer sur la VSA et vous y opposer, retrouvez notre brochure sur le sujet et d’autres ressources sur notre page de campagne. Et pour soutenir notre travail, n’hésitez pas à faire un don.

Le dirigeant de la plateforme Telegram, Pavel Durov, a été placé en garde à vue il y a une dizaine de jours puis mis en examen mercredi dernier. Le parquet de Paris, qui communique opportunément sur l’affaire depuis le début, met en avant l’absence de modération sur la plateforme pour justifier les poursuites. Au-delà de cette question de modération et sans tomber dans la défense d’un service en ligne peu recommandable, les quelques éléments qu’a bien voulu rendre public le parquet et sa manière de présenter l’affaire interrogent fortement, dans un contexte de mise sous pression de la France et de l’Union européenne des messageries interpersonnelles et des réseaux sociaux.

Une confusion entre messagerie et réseau social entretenue par le parquet

Telegram est à la fois une messagerie personnelle et un réseau social. C’est une messagerie personnelle puisque ses utilisateur·rices peuvent avoir des conversations privées, via des discussions individuelles ou des groupes fermés. En cela, Telegram est similaire, sur le principe, à des SMS ou des messages sur Signal ou Whatsapp. Mais c’est également un réseau social dans la mesure où Telegram offre une fonctionnalité de canaux publics, dans lesquels il est possible de diffuser massivement un contenu, à un nombre très large de personnes qui peuvent s’abonner au canal.

Dans son dernier communiqué de presse sur l’affaire Telegram, le parquet de Paris se borne pourtant à présenter Telegram comme « une application de messagerie instantanée », ce qui laisse penser que la justice ne s’intéresserait qu’aux messages privés. Pourtant, les faits reprochés à la plateforme démontrent que c’est bien l’aspect « réseau social » qui est en cause. Cette confusion est étonnante puisqu’on ne pourra pas reprocher la même chose si les messages sont publics ou s’ils sont privés.

L’absence de modération des contenus publics signalés à Telegram est un problème. Comme le rappelait Access Now en début de semaine dernière, cette critique est faite à Telegram depuis plusieurs années. Mais l’absence de modération reprochée à la plateforme ne peut que concerner des contenus publiquement accessibles, c’est-à-dire ceux publiés sur des canaux publics de Telegram ou des conversations de groupe largement ouvertes. En effet, les intermédiaires techniques comme Telegram bénéficient d’un principe d’irresponsabilité du fait des usages faits par les utilisateur·rices de leur service, irresponsabilité qui ne peut être levée que lorsque la plateforme a été notifiée du caractère illicite d’un contenu qu’elle héberge et qui, malgré cette notification, a décidé de maintenir en ligne ce contenu. Pour que Telegram puisse avoir connaissance que certains messages sont illicites, il faut donc que ces derniers soient publics¹Pour faciliter la compréhension du propos, on écartera volontairement le cas très particulier d’un message privé non-sollicité et illicite qui serait notifié par le destinataire : dans ce cas très précis, Telegram devrait également retirer de sa plateforme le contenu. afin de pouvoir être notifiés par des tiers.

Or, la communication du parquet est floue puisqu’elle entretient une confusion entre des messages privés et des messages publics. En lisant ses éléments de langage, on a le sentiment que le parquet reprocherait à Telegram de ne pas modérer les conversations privées. Une telle « modération » de contenus privés ne serait pourtant possible qu’en forçant la plateforme à surveiller de manière généralisée l’ensemble des contenus échangés sur son service, au mépris des principes éthiques et politiques les plus fondamentaux de secret des correspondances et de droit à la vie privée, et qui est explicitement interdit par le droit aujourd’hui.

Une affaire à remettre dans un contexte plus large

Notre crainte d’un parquet qui tenterait de forcer une interprétation du droit allant dans le sens d’une obligation de surveillance des conversations privées est notamment fondée par un contexte français de mise sous pression des messageries et des moyens de communication en général. Dans son dernier communiqué, le parquet reprend le même récit que dans les affaires Encrochat ou SkyECC : des téléphones avec Telegram sont apparus dans des dossiers criminels, ce qui justifierait l’enquête actuelle qui, aujourd’hui, conduit à poursuivre le dirigeant de la plateforme. Or, dans ces affaires Encrochat et SkyECC, la police française n’a pas hésité à compromettre l’intégralité de ces plateformes au motif, décidé au doigt mouillé, qu’elles seraient massivement utilisées par la grande criminalité. Le tri entre ce qui intéresse l’enquête pénale et le reste est fait après avoir décidé de la surveillance de toutes les communications échangées sur ces plateformes. Une telle logique est dangereuse : estimer qu’un service de messagerie pourrait être compromis dans son ensemble parce que la police estime que ses utilisateur·rices sont massivement des criminels est la porte ouverte aux pires abus : une surveillance de masse, décidée sur la base des seules analyses de la police (les affaires Encrochat et SkyECC ont montré que la présence d’un juge d’instruction n’est pas de nature à empêcher ces dérives) alors que n’importe quel service en ligne sera nécessairement utilisé un jour ou l’autre pour des activités illicites. Voici un scoop pour le parquet de Paris : Signal, Whatsapp ou Olvid sont aussi utilisées par des criminels.

La France n’est pas la seule à s’attaquer aux messageries. Depuis 2 ans et demi, la Commission européenne tente de forcer les messageries privées à surveiller automatiquement les conversations de leurs utilisateur·rices, avec son projet de règlement dit « CSAR », également appelé « Chat Control ». Malgré les multiples scandales autour de ce texte, la commissaire européenne Ylva Johansson continue son passage en force alors qu’elle est accusée de faire la promotion de l’industrie de la surveillance et de manipuler l’opinion en faisant de la communication en faveur du CSAR sur les réseaux sociaux grâce au ciblage de certaines personnes en fonction de leurs opinions politiques. Et dans cette bataille, la Commission européenne a réussi à rallier la France à sa position. La légitimité du CSAR est d’autant plus questionnable qu’il existe plétore d’autres moyens pour lutter contre les abus sur enfant que la surveillance des communications : éducation, prévention, réforme des institutions pour accompagner les victimes, …

À côté de cette mise sous pression des messageries, on assiste également en France à une attaque sans précédent contre les réseaux sociaux. Il y a à peine un an, alors que des violences urbaines éclataient suite au meurtre par un policier d’un adolescent en banlieue parisienne, le gouvernement accusait les réseaux sociaux de tous les maux. Emmanuel Macron annonçait qu’il voulait plus de pouvoir entre les mains de la police pour que celle-ci soit autorisée à bloquer l’accès à l’intégralité d’un réseau social en temps de crise, ou a minima pouvoir désactiver certaines fonctionnalités. En plein débat sur la loi SREN, et alors que le rapporteur du texte au Sénat était prêt à offrir ce nouveau pouvoir à la police, le gouvernement s’adonnait alors à un chantage inédit envers les plateformes consistant à brandir la menace d’une plus grande régulation des réseaux sociaux (avec plus de pouvoirs de censure policière) si ces derniers ne collaborent pas volontairement avec le gouvernement pour retirer des contenus. C’est dans ce contexte que Snapchat a admis devant l’Assemblée nationale avoir, suite à une convocation du ministère de l’intérieur, collaboré activement avec la police pour retirer des contenus dont l’illégalité n’était pas flagrante.

Pire encore, au moment des révoltes en Nouvelle-Calédonie en mai dernier, c’est le blocage de tout Tiktok qui a été exigé par le gouvernement à l’opérateur public calédonien qui fournit Internet sur l’archipel. Par une décision non-écrite, dont la justification fluctuait en fonction des commentaires dans la presse, le gouvernement a fini par trouver comme excuse à cette censure le fait que des contenus violents (mais probablement pas illégaux !) étaient diffusés sur Tiktok.

Avec cette affaire Telegram, nous espérons donc que le parquet n’est pas en train de passer à l’étape suivante, à savoir reprocher une complicité de Telegram du fait que des messages privés illicites, dont la plateforme ne pouvait avoir connaissance sans violer le secret des correspondances, auraient été échangés. À défaut d’avoir plus d’informations sur l’affaire, en particulier tant que nous n’en saurons pas plus sur la nature des messages ou des publications qui sont ciblées par le parquet, nous ne pouvons, au regard du contexte dans lequel s’inscrit cette affaire, exclure cette grave hypothèse.

L’affaire Telegram est aussi une attaque contre le chiffrement

L’affaire Telegram ne se résume pas à ces problèmes de modération : le parquet de Paris a précisé que l’affaire concerne également le « refus de communiquer, sur demande des autorités habilitées, les informations ou documents nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Il fait ici référence à l’article L. 871-2 du code de la sécurité intérieure, qui exige des opérateurs et des plateformes qu’elles collaborent avec l’autorité judiciaire en lui transmettant les « informations ou documents qui [lui] sont nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Autrement dit, opérateurs et plateformes doivent divulguer toute information qui permettrait une interception des communications dans le cadre d’une procédure judiciaire. C’est cet article qui, par exemple, oblige un opérateur téléphonique à donner à la police les éléments nécessaires pour mettre sur écoute un de ses clients. Mais la formulation de cette obligation est extrêmement floue, ouvrant la voie à des interprétations très larges²Cette disposition a d’ailleurs servi à couvrir l’accès illégal à des centaines de milliers de données de connexion par les services de renseignement intérieur avant leur légalisation en 2013 (Jean-Jacques Urvoas et Patrice Verchère, Rapport en conclusion des travaux d’une mission d’information sur l’évaluation du cadre juridique applicable aux services de renseignement, Commission des Lois de l’Assemblée nationale, 14 mai 2013, https://www.assemblee-nationale.fr/14/controle/lois/renseignement.asp). : au-delà du cas d’écoutes téléphoniques, elle s’applique également à d’autres formes de communications, et notamment au cas d’écoutes de l’ensemble du trafic Internet d’un internaute.

Pour comprendre quels documents Telegram pourrait divulguer pour qu’une interception judiciaire soit mise en place, il faut comprendre son fonctionnement technique. Lorsqu’un message est transmis via Telegram, les données sont envoyées depuis le téléphone ou l’ordinateur (c’est le « client ») jusqu’aux serveurs de Telegram. Ces messages du client aux serveurs sont chiffrés à l’aide de deux couches. La première couche de chiffrement utilisée est le fait que la connexion entre le client et les serveurs de Telegram est chiffrée par la technologie HTTPS. Puis, les messages entre le client et le serveur sont chiffrés par une deuxième couche de chiffrement, à l’aide d’un protocole maison appelée MTProto³Pour en savoir plus sur le chiffrement de Telegram, voir la synthèse de Matthew Green sur son blog et la présentation technique faite par Telegram. et qui fonctionne de manière assez similaire à HTTPS. Enfin, dans un cas très marginal activable sur demande explicite de l’internaute via la fonction de « message secret » (disponible uniquement pour les discussions individuelles), une fonctionnalité optionnelle de chiffrement de bout-en-bout est utilisée comme troisième couche de chiffrement entre deux clients.

Quels documents ou informations Telegram pourrait-il alors divulguer pour permettre à la justice de procéder à des interceptions ? Rien d’autre que les clés de chiffrement entre ses serveurs et chaque utilisateur·rice utilisées pour les deux premières couches de chiffrement : la clé privée du certificat HTTPS utilisé pour la première couche de chiffrement, et la clé privée du serveur utilisée par la deuxième couche de chiffrement. Lorsque la troisième couche de chiffrement n’est pas utilisée, une compromission des deux premières permet d’accéder aux conversations. Autrement dit, la seule manière pour l’autorité judiciaire de faire des interceptions de communications serait d’obtenir ces clés qui servent à chiffrer toutes les communications vers les serveurs de Telegram, donc d’obtenir de quoi violer le secret de toute correspondance sur Telegram qui ne serait pas également chiffrée par la fonctionnalité optionnelle de « message secret ».

Alors que le refus de communiquer ces informations est lourdement puni de deux ans d’emprisonnement et de 150 000 € d’amende, il semble qu’aucune condamnation n’ait jamais été prononcée (nous n’avons en tout cas trouvé aucune décision par un tribunal), probablement parce que forcer les plateformes à une telle compromission pose de sérieuses questions de conformité à la Constitution, notamment au regard du droit à la vie privée et du droit à la liberté d’expression.

Ici encore, en absence de plus de détails sur l’affaire, nous ne pouvons qu’émettre des hypothèses. Mais notre crainte est fondée sur un contexte d’attaques incessantes contre le chiffrement. Il faut ici rappeler l’affaire du 8-Décembre, dans laquelle La Quadrature s’est largement mobilisée aux côtés de plus de 130 personnes et organisations : le jugement de première instance a retenu, pour caractériser un soi-disant comportement clandestin justifiant une condamnation, le fait que les personnes mises en cause utilisaient des messageries chiffrées. Signalons également les attaques du gouvernement contre la confidentialité des communications : après l’attentat d’Aras, Gérald Darmanin surfait sur ce drame pour exiger l’ajout de portes dérobées dans les messageries, ciblant explicitement « Signal, Whatsapp, Telegram », tout en reconnaissant que le droit ne l’autorisait actuellement pas. Le parquet serait-il en train de forcer une autre interprétation du droit ? Nous le craignons.

De manière toute aussi choquante, le parquet invoque également une vieille obligation de déclarer « la fourniture ou l’importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité », qui exige notamment de mettre à disposition le code source dudit outil à l’ANSSI. Le fait de ne pas procéder à cette déclaration est punie d’un an d’emprisonnement et d’une amende de 15 000 euros. Il s’agit d’un délit archaïque en 2024, qui n’a d’ailleurs jamais été sanctionné à notre connaissance. Et pour cause : réguler ainsi les outils de chiffrement est anachronique, alors que le chiffrement est omniprésent au quotidien. Nouveau scoop pour le parquet : chaque responsable d’un site web sécurisant en HTTPS la connexion des internautes à son service fournit ou importe un « moyen de cryptologie ».

Des questions en suspens et un parquet à la manœuvre communicationnelle

Dans cette affaire, on observe également une communication millimétrée de la part du parquet. Ainsi, dès le lendemain de la garde à vue du dirigeant de Telegram, le parquet faisant fuiter par l’AFP le fait qu’était reproché à Telegram une absence de modération. Alors que, on l’a dit plus haut, l’absence de modération sur les canaux publics de Telegram est effectivement un problème, les « sources proches du dossier » (comprendre : le parquet) passaient sous silence les charges relatives à la fourniture ou l’importation d’un « moyen de cryptologie » sans déclaration et le délit de ne pas divulguer les documents permettant la mise en place d’interceptions judiciaires.

Autre coup de communication étrange du parquet : il semble avoir fait fuiter via Politico des extraits de documents judiciaires qui indiqueraient que « la messagerie a laissé “sans réponse” une demande d’identification d’un de ses utilisateurs dans une enquête de la police française sur des faits de pédopornographie »⁴Par souci de rigueur, on rappellera que cette fuite pourrait aussi provenir de la défense de Pavel Durov. Mais cela est peu probable compte tenu de la description négative de Telegram faite par cette fuite.. Cette information est, depuis, reprise un peu partout dans la presse. Il est vrai qu’une plateforme comme Telegram est tenue de communiquer, sur demande de la justice, les informations qu’elle détient sur un de ses utilisateur·rices (souvent il s’agit de l’adresse IP associée à un compte). Mais ne pas répondre à une telle réquisition judiciaire n’est sanctionné au maximum que d’une amende de 3750€. Il ne s’agit donc pas de faits qui justifient une garde à vue de 96 heures (ce qui n’est possible que pour des faits de criminalité grave).

On peut supposer qu’il est vrai que Telegram n’a pas répondu à une réquisition judiciaire demandant d’identifier un·e de ses utilisateur·rices ; ce serait cohérent avec la politique d’absence de retrait de contenu de la plateforme. Mais il ne s’agit ici que d’un élément de contexte, et non une incrimination : le communiqué de presse du parquet, qui liste les faits reprochés au dirigeant de Telegram ne fait d’ailleurs pas référence à l’absence de réponse aux réquisitions judiciaires.

Beaucoup de questions restent donc encore sans réponse. En l’absence d’éléments précis sur l’affaire, on ne peut à ce stade faire que des hypothèses. Mais les quelques éléments distillés par le parquet, qui n’est pas neutre dans cette affaire puisqu’il conduit l’enquête, sont préoccupants. Telegram n’est pas une plateforme recommandable : non-sécurisée, centralisée, aux mains d’une entreprise opaque, elle est aux antipodes des valeurs que défend La Quadrature. Mais comme lorsque le réseau social toxique Tiktok a été bloqué en Nouvelle-Calédonie, il s’agit ici de s’opposer à un dévoiement des règles du droit pénal dont les prochaines victimes seront les personnes que nous défendons : les internautes soucieux·ses de protéger leur vie privée, les messageries réellement chiffrées, les réseaux sociaux décentralisés. Alors pour nous permettre de continuer de jouer notre rôle de vigie, vous pouvez nous faire un don.

Plus de trois ans après notre recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Une claque pour Orléans et Sensivic

La ville d’Orléans et l’entreprise Sensivic se sont vu rappeler la dure réalité : déployer des micros dans l’espace public pour surveiller la population n’est pas légal. Les allégations de Sensivic d’un soi-disant produit « conforme RGPD » et les élucubrations d’Orléans en défense pour faire croire qu’il ne s’agirait que d’un inoffensif « détecteur de vibrations de l’air » n’auront servi à rien.

Dans son jugement, le tribunal administratif est sévère. Il commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Mais le tribunal administratif va plus loin. Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait sans frémir que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Un avertissement pour la Technopolice

Ce jugement est un avertissement pour les promoteurs de cette surveillance toujours plus débridée de l’espace public. Si la vidéosurveillance algorithmique (VSA) reste la technologie la plus couramment utilisée – illégalement, sauf malheureusement dans le cadre de la loi JO – l’audiosurveillance algorithmique (ASA) n’est pas en reste pour autant. Avant la surveillance à Orléans par Sensivic, on l’a retrouvée à Saint-Étienne grâce à un dispositif d’ASA développé par Serenicity que la CNIL avait lourdement critiqué et fait mettre à l’arrêt.

Avec ce jugement, le tribunal administratif d’Orléans ne déclare pas seulement l’ASA illégale : il estime également qu’un contrat passé entre une commune et une entreprise pour mettre en place ce type de surveillance peut-être attaqué par une association comme La Quadrature. Cet élément est loin d’être un détail procédural, alors que des communes comme Marseille ont pu par le passé échapper au contrôle de légalité de leur surveillance en jouant sur les règles très contraignantes des contentieux des contrats.

La question du couplage de l’ASA à la vidéosurveillance classique

En septembre 2023, la CNIL, que nous avions saisie en parallèle du TA d’Orléans, considérait que cette ASA était illégale dès lors qu’elle était couplée à la vidéosurveillance en raison de la possibilité de « réidentifier » les personnes. Mais elle ajoutait qu’elle ne trouvait plus rien à redire depuis que le dispositif orléanais était découplé de la vidéosurveillance locale. Une analyse que nous avons contestée devant le TA d’Orléans¹Voir nos observations d’octobre 2023 et celles de janvier 2024..

Dans son jugement, le tribunal administratif d’Orléans n’a pas explicitement considéré que l’ASA orléanaise ne serait pas un traitement de données si elle n’était plus couplée à la vidéosurveillance. Puisqu’il était saisi de la légalité de la convention entre Sensivic et Orléans, laquelle prévoyait ce couplage, il s’est borné à dire que le dispositif ASA et vidéosurveillance était illégal.

Dans tous les cas, ce point est annexe : l’audiosurveillance algorithmique exige, par nature, d’être couplée avec une source supplémentaire d’information permettant de traiter l’alerte émise. Que ce soit par un couplage avec la vidéosurveillance ou en indiquant à des agent·es de police ou de sécurité de se rendre à l’endroit où l’événement a été détecté, l’ASA visera toujours à déterminer la raison de l’alerte, donc d’identifier les personnes. Elle est donc par nature illégale.

Laisser-faire de l’État face à une technologie manifestement illégale

Impossible toutefois de passer sous silence la lenteur de l’administration (ici, la CNIL) et de la justice devant les dispositifs de surveillance manifestement illégaux de l’industrie sécuritaire. Alors même qu’un dispositif semblable avait été explicitement et très clairement sanctionné à Saint-Étienne en 2019, Sensivic a pu conclure sans difficulté une convention pour installer ses micros dopés à l’intelligence artificielle. Il aura fallu une double saisine de la part de La Quadrature pour mettre un terme à ce projet.

Un tel dossier prouve que l’industrie sécuritaire n’a que faire du droit et de la protection des libertés, qu’elle est prête à tout pour développer son marché et que l’État et le monde des start-ups s’en accommode bien. Comment Sensivic, avec une technologie aussi manifestement illégale, a-t-elle pu récolter 1,6 millions en 2022, dont une partie du fait de la BPI (Banque Publique d’Investissement) ? L’interdiction explicite de ces technologies de surveillance est la seule voie possible et tenable.

Ce jugement reste une victoire sans équivoque. Il annonce, nous l’espérons, d’autres succès dans notre combat juridique contre la Technopolice, notamment à Marseille où notre contestation de la VSA est toujours en cours de jugement devant la cour administrative d’appel. Alors pour nous aider à continuer la lutte, vous pouvez nous faire un don ou vous mobiliser dans votre ville.

Le 23 mai dernier, le Conseil d’État a rejeté le recours en urgence de La Quadrature du Net contre la mesure de blocage de TikTok en Nouvelle-Calédonie. Pour justifier cette décision inique, le juge des référés a affirmé qu’il n’y aurait pas d’urgence à statuer puisque ce blocage serait, selon les dires du gouvernement, bientôt levé. Il aura fallu attendre plus de 24 heures après la levée de l’état d’urgence pour que le réseau social soit de nouveau accessible. Cet épisode marquera un tournant dans la montée autoritaire en France et dans l’échec de nos institutions à l’empêcher.

Les mensonges du Premier ministre

Lorsque nous déposions notre référé mi-mai, nous n’imaginions pas un tel arbitraire. Le Premier ministre a en effet annoncé le blocage de TikTok le 15 mai dernier en même temps qu’il annonçait l’entrée en vigueur de l’état d’urgence sur le territoire de la Nouvelle-Calédonie. Juristes et journalistes estimaient alors que la décision de blocage ne pouvait avoir été prise qu’en application d’une disposition de la loi sur l’état d’urgence qui prévoit la possibilité pour le ministre de l’intérieur de bloquer « tout service de communication au public en ligne provoquant à la commission d’actes de terrorisme ou en faisant l’apologie ». En réalité, la mesure de blocage était justifiée par un autre fondement juridique. Le gouvernement a sciemment gardé le silence dessus, entretenant confusion et opacité pendant que La Quadrature et d’autres associations déposaient leurs recours.

En parallèle, l’exécutif a rapidement distillé dans la presse, dès le 16 mai, un autre élément de langage : le blocage de TikTok serait justifié par une opération d’ingérence étrangère de la part de l’Azerbaïdjan. En réalité, si l’Azerbaïdjan veut tirer bénéfice depuis plusieurs mois des tensions en Nouvelle-Calédonie, aucune opération de désinformation de sa part n’a été lancée sur TikTok. Et ce sont les services du Premier ministre eux-mêmes qui l’ont dit, par une fiche établie par Viginum, un service relevant du Premier ministre chargé d’étudier les opérations d’ingérence étrangère en ligne.

Sur ces deux points, le Premier ministre s’est retrouvé face à sa malhonnêteté et ses mensonges lorsque ses services ont dû justifier la mesure devant la justice. Dans le mémoire envoyé au Conseil d’État, on a ainsi pu découvrir que le fondement juridique de ce blocage n’était non pas l’état d’urgence, mais la « théorie des circonstances exceptionnelles », qui consiste à admettre dans des cas très exceptionnels des dérogations à certaines règles de droit. Admise par les juges il y a une centaine d’années, cette théorie est d’une certaine manière l’ancêtre de l’état d’urgence, mais jurisprudentiel. La loi de 1955, imaginée dans le contexte colonial de la guerre d’Algérie, a ensuite pris le relai avec un cadre précis. Comme cela a été relevé lors de l’audience, c’est la première fois que ces deux régimes d’exception se retrouvent invoqués en même temps. Derrière cette situation juridique inédite, on sent surtout que le gouvernement ne savait pas sur quel pied danser et avait décidé le blocage du réseau social avant d’avoir déterminé sa justification en droit. La presse l’a d’ailleurs confirmé : fin mai, La Lettre révélait que, en coulisses, le gouvernement avait passé un accord avec TikTok pour que la plateforme ne conteste pas en justice la décision de blocage qu’il n’arrivait pas à justifier légalement.

Cependant, cette théorie des « circonstances exceptionnelles » ne permet pas pour autant de sacrifier la liberté d’expression en ligne sur l’autel d’une sacro-sainte sécurité. Devant le Conseil d’État, le Premier ministre a notamment justifié le blocage de TikTok par de soi-disant contenus violents ou incitant à la violence. Le 20 mai, ses services écrivaient ainsi au Conseil d’État que « l’organisation de ces exactions a été largement facilitée par l’utilisation des réseaux sociaux, et particulièrement, du fait des caractéristiques spécifiques, du réseau social “TikTok” ». Mais lorsque le gouvernement fut sommé par le Conseil d’État d’apporter la preuve de ces contenus prétendument problématiques, il n’a produit que des captures d’écran… de contenus légaux. Les exemples choisis pour illustrer le besoin d’une censure n’étaient en réalité que des vidéos dénonçant les violences policières et l’organisation de milices civiles. En somme, des expressions politiques plus ou moins radicales, critiquant la situation, mais en rien des appels à la violence. Les services du Premier ministre ont admis sans peu de scrupules à l’audience que TikTok a été choisi car « le profil des émeutiers correspondait au profil des utilisateurs », c’est-à-dire les jeunes. Sans détour, le gouvernement assumait ainsi vouloir bâillonner la parole et l’expression de la jeunesse kanake alors même que ce qui était dénoncé dans les vidéos incriminées sur le moment s’est révélé être vrai : la presse a révélé ces derniers jours les cas de violences policières, la complicité de la police avec les milices, ou encore une agression raciste d’un policier kanak.

Enfin, le gouvernement a poursuivi dans la malhonnêteté lorsqu’il a assuré au Conseil d’État, dans un mémoire daté du 22 mai, que la mesure de blocage ne durerait pas. Il s’engageait ainsi à mettre fin au blocage lorsque « l’évolution de la situation sur le territoire de Nouvelle-Calédonie permettrait d’envisager une levée de la mesure », laissant même croire que cela pourrait intervenir « avant la lecture de l’ordonnance » (c’est-à-dire avant même la décision du Conseil d’État). En réalité, il aura fallu attendre plus de 24 heures après la levée de l’état d’urgence en Nouvelle-Calédonie pour que TikTok soit de nouveau accessible.

Le Conseil d’État allié du gouvernement

C’est ce dernier mensonge relatif à la levée de l’état d’urgence qui a semblé aider le Conseil d’État à ne pas sanctionner le gouvernement, donc à ne pas lui ordonner de rétablir l’accès à TikTok. En effet, pour que le juge administratif prenne une décision en référé, il faut, avant même de parler de l’illégalité de la situation, justifier d’une urgence à agir. On pourrait se dire que bloquer une plateforme majeure dans les échanges en ligne, sur l’ensemble du territoire de Nouvelle-Calédonie (270 000 habitant·es), pour une durée indéterminée, est une situation suffisamment urgente. C’est notamment ce qui a été défendu par les avocat·es présent·es à l’audience, rappelant l’aspect entièrement inédit d’un tel blocage en France et même dans l’Union européenne. Le Conseil d’État a d’ailleurs été moins exigeant par le passé : en 2020, quand nous lui demandions d’empêcher les drones de la préfecture de police de Paris de voler, ici aussi par un recours en référé, il constatait qu’il y avait bien une urgence à statuer.

Mais pour TikTok, le juge des référés a préféré jouer à chat perché : dans sa décision, il estime que « les requérants n’apportent aucun élément permettant de caractériser l’urgence à l’intervention du juge des référés », et précise, pour affirmer qu’il n’y a pas d’urgence, que « la décision contestée porte sur le blocage d’un seul réseau social sur le territoire de la Nouvelle-Calédonie, l’ensemble des autres réseaux sociaux et moyens de communication, la presse, les télévisions et radios n’étant en rien affectés ». Très belle preuve de l’incompréhension de ce que représente un réseau social aujourd’hui et de comment l’information circule en ligne. Le Conseil d’État oublie notamment que la Cour européenne des droits de l’Homme (CEDH) estime que bloquer l’ensemble d’une plateforme en ligne équivaut à empêcher un journal de paraître ou à un média audiovisuel de diffuser. Ici, nos institutions donnent l’impression de ne pas tenter de comprendre la réalité d’Internet et minimisent de fait l’atteinte qui découle de ce blocage.

Pour enfoncer le clou sur l’absence d’urgence à statuer, le juge des référés termine en reprenant à son compte la promesse malhonnête du gouvernement : « cette mesure de blocage doit prendre fin dans de très brefs délais, le gouvernement s’étant engagé, dans le dernier état de ses écritures, à lever immédiatement la mesure dès que les troubles l’ayant justifiée cesseront ». Il a donc laissé faire, octroyant au gouvernement un pouvoir discrétionnaire sur la date de rétablissement de la plateforme.

Un constat amère peut donc être fait : en France, comme en Russie ou en Turquie, le gouvernement peut bloquer d’un claquement de doigt un réseau social sans que la justice ne soit capable de l’en empêcher. Alors que le Conseil d’État aurait pu faire passer un message fort et exercer son rôle de contre-pouvoir, il est venu au secours du gouvernement en tolérant une atteinte sans précédent et totalement disproportionnée à la liberté d’expression et d’information.

Ne pas laisser faire

Bien que le blocage de TikTok soit levé, le précédent politique et juridique existe désormais. Nous pensons qu’il faut tout faire pour que celui-ci ne se reproduise pas et reste un cas isolé. Que ce soit par la Cour européenne des droits de l’Homme ou par le Comité des droits de l’Homme des Nations Unies, ce type de censure est unanimement condamné. Nous ne pouvons donc pas laisser le Conseil d’État se satisfaire de ce blocage et devons exiger de lui qu’il rappelle le droit et sanctionne le gouvernement.

C’est pourquoi nous avons donc déposé la semaine dernière un recours en excès de pouvoir contre cette décision. Il s’agit de la voie contentieuse classique, mais plus longue, lorsque l’on veut contester une décision administrative. Un tel recours prendra un à deux ans avant d’être jugé et nous espérons que le Conseil d’État sortira de sa torpeur et confirmera que le blocage était illégal. Car pour bloquer TikTok, le gouvernement ne s’est vu opposer aucun obstacle, aucun garde-fou, et n’a jamais eu à justifier sa mesure. La seule opposition à laquelle il a été confronté a été la saisie de la justice par les associations et la société civile. L’échec qui en a résulté est une preuve supplémentaire de la défaillance de plus en plus flagrante des leviers démocratiques.

Depuis de nombreuses années, nous constatons l’effondrement progressif de l’État de droit en France. Nous constatons que la politique toujours plus autoritaire des gouvernements successifs, et notamment ceux d’Emmanuel Macron, ne se voit opposer aucun obstacle institutionnel majeur. Avec le blocage arbitraire de TikTok, une nouvelle étape a été franchie. Nous ne cachons pas notre inquiétude face à ce constat, mais nous continuerons d’agir. Pensez, si vous le pouvez, à nous aider avec un don.

Dans son arrêt du 30 avril 2024, la Cour de justice de l’Union européenne (CJUE) vient de rendre sa décision concernant la légalité du système de surveillance massif de la Hadopi. Cet arrêt est décevant. La CJUE tempère très fortement sa précédente jurisprudence, au-delà du cas de la Hadopi. En considérant désormais que l’accès aux adresses IP n’est pas sensible, elle admet la possibilité de surveiller massivement Internet.

La Cour de justice de l’Union européenne vient d’autoriser l’accès massif et automatisé à l’adresse IP associée à l’identité civile et au contenu d’une communication. Le tout pour des finalités triviales et sans contrôle préalable par un juge ou par une autorité administrative indépendante.

L’arrêt du 30 avril 2024 est un revirement de jurisprudence. La CJUE vient d’autoriser un accès massif aux adresses IP associées à l’identité civile de l’internaute. Les polices de toute l’Europe, après une décennie de combat où les États ont délibérément choisi de ne pas appliquer les nombreuses décisions précédentes de la CJUE, viennent de l’emporter. C’est une prime à l’abus, un signe très fort lancé aux pays autoritaires : la CJUE admet qu’elle finira par changer sa jurisprudence si ses décisions ne sont pas appliquées. C’est un affaiblissement inquiétant de l’autorité de la Cour face à la pression des États membres.

Alors qu’en 2020, la CJUE considérait que la conservation des adresses IP constitue une ingérence grave dans les droits fondamentaux et que ces dernières ne peuvent faire l’objet d’un accès, associé à l’identité civile de l’internaute, seulement dans des cas de criminalité grave ou d’atteinte à la sécurité nationale, tel n’est aujourd’hui plus le cas. La CJUE renverse son raisonnement : elle estime désormais que la conservation des adresses IP n’est, par défaut, plus une atteinte grave aux libertés fondamentales, et que dans certains cas seulement cet accès porte une ingérence grave qu’il faut entourer de garanties.

Concernant notre affaire et le cas précis de la Hadopi en France, la Cour pousse seulement la Hadopi à évoluer. Elle estime que dans certaines situations « atypiques » l’accès à l’adresse IP et l’identité civile associée à une œuvre culturelle peut créer une ingérence grave dans le droit à la vie privée (on peut penser au cas d’une œuvre permettant de tirer des conclusions relatives aux opinions politiques, à l’orientation sexuelle, etc.) ; elle estime aussi que cet accès porte une ingérence grave en cas de « réitération » et exige dès lors que l’accès aux adresses IP ne puisse pas être « entièrement automatisé ». Mais dans tous les autres cas la CJUE dit bien que la Hadopi peut accéder de manière massive et automatisée à l’identité civile des personnes.

Autrement dit, la riposte graduée (du nom de la procédure suivie par Hadopi qui consiste à envoyer plusieurs avertissements dans les premiers temps, avant de saisir la justice si l’internaute ne « sécurise » pas sa connexion) devra changer de forme. Le législateur devra inventer une machine à gaz pour prévoir un pseudo contrôle externe indépendant de l’accès à l’identité civile par la Hadopi. Alors qu’aujourd’hui il n’existe aucune obligation de contrôle externe de la Hadopi, l’autorité devra désormais prévoir un tel contrôle lorsqu’elle souhaite, dans ces cas « atypiques » ou en cas de « réitération » de l’internaute, accéder à l’identité civile. En somme, des agent·es externes à la Hadopi seront chargé·es de cliquer sur un bouton « autoriser », là où aujourd’hui la Hadopi se l’autorise elle-même.

Plus généralement, cet arrêt de la Cour européenne a surtout validé la fin de l’anonymat en ligne. Alors qu’en 2020 elle précisait qu’il existait un droit à l’anonymat en ligne concrétisé par la directive ePrivacy, elle l’abandonne aujourd’hui. Et pour cause : en permettant à la police d’accéder largement à l’identité civile associée à une adresse IP et au contenu d’une communication, elle met de facto fin à l’anonymat en ligne.

Nous nous attendons désormais à ce que le Conseil d’État sauve la Hadopi, malgré cet arrêt. La Quadrature du Net continuera son combat contre la surveillance en ligne, y compris celle de la Hadopi. Pour nous aider, vous pouvez nous faire un don.

Les premiers arrêtés préfectoraux autorisant la vidéosurveillance algorithmique (VSA) dans le cadre de la loi JO viennent d’être publiés. La RATP et la SNCF peuvent désormais surveiller automatiquement les personnes à l’occasion du match PSG/OL du 19 au 22 avril et du concert des Black Eyed Peas le 20 avril. La Quadrature du Net s’est mobilisée depuis 2019 contre cette technologie et continue sa bataille. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Déployée en toute illégalité depuis des années et autorisée de façon inédite en Europe avec la loi sur les JOP, la vidéosurveillance algorithmique était dans les starting blocks pour être utilisée pour la première fois par la police. C’est maintenant chose faite.

La préfecture de police de Paris a autorisé ce 17 avril 2024 l’utilisation du logiciel de VSA de la société Wintics par la SNCF et la RATP. La surveillance commencera dès le 19 avril sur 118 caméras de la gare de Lyon et du pont du Garigliano à Paris. Elle concernera également le 20 avril l’ensemble des caméras des stations de métro et de RER des gares de Nanterre Préfecture et de La Défense Grande Arche.

La rumeur d’une autorisation de VSA à l’occasion du match PSG-OL circulait depuis plusieurs semaines puisque la SNCF annonçait depuis quelques temps sur des affiches gare de Lyon avoir obtenu une autorisation de la préfecture de Police. On apprenait sur cette affiche que la SNCF procédait déjà à des « tests » liés à la phase de conception de l’algorithme, où les personnes filmées servent de cobayes pour ajuster les logiciels. Des tests ont aussi été effectués lors de deux concerts de Depeche Mode à Paris. Une autre affiche dans les couloirs du métro parisien indiquait que des expérimentations allaient aussi bientôt être mises en œuvre par la RATP.

 

Nous avons développé un outil de recensement des autorisations préfectorales de surveillance, dont l’information fait quasi systématiquement défaut, ce qui empêche les personnes surveillées d’être au courant de ces mesures. Cet outil, dénommé « Attrap’Surveillance » (pour Automate de Traque des Termes de Recherche dans les Arrêtés Préfectoraux), analyse automatiquement les recueils des actes administratifs de chaque préfecture afin d’y repérer les autorisations préfectorales d’utilisation des drones et de VSA. C’est comme cela que nous avons pu apprendre la publication aujourd’hui de la première autorisation formelle d’une utilisation répressive de la VSA à Paris. En publiant aussi tardivement ces arrêtés, le préfet de police tente d’éviter au maximum les recours en justice, qui n’auront probablement pas le temps d’être jugés avant le début de la surveillance algorithmique.

Face à la concrétisation de cette surveillance, aux abus qui se profilent et à la Technopolice qui avance illégalement en parallèle de la loi JO, La Quadrature du Net s’apprête à répliquer. Nous vous tiendrons au courant dans les prochaines semaines des actions à venir.

Nous vous parlions l’année dernière du projet de loi SREN (pour « Sécuriser et réguler l’espace numérique »). Il s’agit d’un texte censé réguler les plateformes en ligne, dont nombre de ses mesures ont révélé une vision archaïque d’Internet¹Voir notre analyse générale du texte, celle spécifique du filtre anti-arnaque, et celle sur la vérification de l’âge en ligne co-écrite avec Act Up-Paris.. Le 26 mars dernier, député·es et sénateur·rices de la commission mixte paritaire (CMP) se sont accordé·es sur une version commune du texte. Les modifications apportées ne sont pourtant que cosmétiques. Après son vote la semaine dernière par le Sénat, cette version commune doit encore être votée par l’Assemblée nationale demain. Nous appelons cette dernière à le rejeter.

Vérification de l’âge : s’isoler plutôt que de se conformer au droit européen

Si le projet de loi SREN met autant de temps à être voté, c’est que la France mène depuis plusieurs mois un bras de fer avec la Commission européenne. Normalement, la régulation des plateformes en ligne se décide au niveau de l’ensemble de l’Union européenne. Pourtant, avec ce texte, le gouvernement français a décidé de n’en faire qu’à sa tête. En voulant forcer les plateformes hébergeant du contenu pornographique à vérifier l’âge des internautes, mesure inutile qui n’empêchera pas les mineur·es d’accéder à ces contenus, la France souhaite ainsi s’affranchir des règles européennes qui s’imposent normalement à elle.

La Commission européenne n’a évidemment pas vu cela d’un bon œil. Elle a donc actionné les pouvoirs qui lui sont octroyés dans ce genre de situations, et a bloqué le texte à deux reprises, arguant que le projet de loi SREN empiétait sur le droit de l’Union.

La parade trouvée par la CMP consiste à restreindre l’obligation de vérification de l’âge des internautes aux seules plateformes établies « en France ou hors de l’Union européenne ». Autrement dit, puisque les plateformes européennes ne sont plus concernées par cette vérification d’âge, cette mesure ne rentre plus dans le champ du droit européen, et la Commission européenne n’a plus rien à dire ! Stupide, mais habile formalisme.

La France décide ainsi de s’isoler du reste de l’Union : les plateformes françaises ou non-européennes devront faire cette vérification d’âge, alors que les plateformes européennes en seront épargnées. On félicitera l’audace de la parade : alors qu’habituellement, pour refuser les régulations sur les sujets numériques, le gouvernement français est le premier à brandir la concurrence des États sur Internet et le risque que les acteurs français s’enfuient à l’étranger en cas de « sur-régulation » (argument brandi par exemple pour détricoter le règlement IA ou supprimer l’interopérabilité des réseaux sociaux), il semble ici s’accommoder précisément de ce qu’il dénonce, puisque les plateformes françaises seront pénalisées par rapport à celles situées dans le reste de l’UE. Tout ça pour garder la face.

Ce tour de passe-passe politique ne doit néanmoins pas masquer la réalité de cette vérification d’âge. Au-delà d’une question d’articulation avec le droit de l’Union européenne, cette mesure, comme nous le dénonçons depuis le début, mettra fin à toute possibilité d’anonymat en ligne, notamment sur les réseaux sociaux (voir notre analyse et celle d’Act Up-Paris sur la question de la vérification de l’âge).

Vous reprendrez bien un peu de censure automatisée ?

Le texte final de ce projet de loi prévoit d’étendre la censure automatisée. Ses articles 3 et 3 bis A prévoient une obligation de censure en 24 heures des contenus, respectivement d’abus sexuels sur enfants et de représentation d’actes de torture et de barbarie. Le mécanisme est un calque de la censure automatisée des contenus à caractère terroriste : une notification de la police, une obligation de censure en 24h sous peine de fortes amendes et de plusieurs années de prison, un contrôle par la justice qui n’est pas obligatoire puisque le juge doit être saisi une fois la censure effective par l’hébergeur des contenus et non par la police.

La Quadrature du Net, tout comme de nombreuses autres organisations, dénoncent depuis des années le fait que ce système de censure administrative en très peu de temps aura comme conséquence une automatisation de la censure : face aux sanctions monstrueuses en cas de non-retrait, et alors que les hébergeurs n’ont que très peu de temps pour agir, ils seront nécessairement poussés à ne pas contester la police et à censurer les contenus qu’on leur demande de retirer. C’est d’ailleurs exactement ce mécanisme qu’avait censuré le Conseil constitutionnel en 2020 avec la loi Avia, et qu’avec cinq autres associations nous dénonçons devant la justice à propos du règlement européen de censure terroriste.

Et le prétexte de la lutte contre les abus sexuels sur mineur·es ou la lutte contre les actes de torture ou de barbarie ne peut justifier ces censures. Tout comme le projet de règlement européen CSAR (pour « Child sexual abuse regulation », aussi appelé « Chat Control »), le projet de loi SREN ne résoudra pas le problème des abus sexuels sur mineur·es ni des actes de torture en censurant ces contenus. Une autre politique, ambitieuse, pour lutter contre les réseaux et trafiquants, est pour cela nécessaire.

Prendre les gens pour des schtroumpfs

Les débats sur ce projet de loi auront, une fois de plus, démontré la piètre qualité des débats parlementaires lorsqu’il s’agit de numérique²Ce qui n’est pas inédit, voir par exemple ce qui s’est passé pendant les débats sur la loi JO qui a légalisé une partie de la vidéosurveillance algorithmique.. Les débats autour du filtre « anti-arnaque » ou de la peine de bannissement ont été particulièrement révélateurs de la manière dont le gouvernement voit les internautes : comme des incapables à qui il faudrait montrer la voie, quitte à mentir.

Le filtre anti-arnaque n’a pas été substantiellement modifié en CMP et la vision paternaliste que nous dénoncions (voir notre analyse) est toujours présente en l’état actuel du texte. Ce filtre fait le constat de l’inefficacité des listes anti-hameçonnages qu’utilisent les principaux navigateurs mais, au lieu de fournir une liste anti-hameçonnage complémentaire, de qualité et transparente, le gouvernement préfère forcer la main des navigateurs en leur imposant de censurer les contenus et de devenir des auxiliaires de police.

Main sur le cœur, le gouvernement nous promet toutefois que seuls les contenus d’hameçonnage seront concernés par ce nouveau dispositif de censure que devront implémenter les navigateurs. N’ayons aucune crainte, cette nouvelle manière de censurer ne sera jamais étendue à tout le reste ! Difficile, en réalité, de croire un gouvernement d’Emmanuel Macron alors que ce dernier a clairement adopté depuis son arrivée à l’Élysée une politique de remise en cause drastique des libertés fondamentales (voir notre récapitulatif en 2022 pour son premier mandat).

Et difficile de croire un gouvernement dont le ministre Jean-Noël Barrot, lorsqu’il était chargé de défendre ce texte avant d’être débarqué des affaires numériques, n’hésitait pas à raconter n’importe quoi pour mieux faire passer la pilule. Car la peine de bannissement de réseaux sociaux, prévue à l’article 5 du projet de loi, nécessite que les plateformes connaissent l’identité des personnes ouvrant un compte (et ce afin d’empêcher que les personnes bannies ne reviennent sur la plateforme). Or, questionné sur France Culture à propos des atteintes à l’anonymat en ligne qu’implique cette mesure, le ministre Barrot a préféré mentir plutôt que d’admettre le problème. Il a affirmé que le projet de loi ne prévoyait qu’« une obligation de moyens [d’empêcher un·e internaute banni·e de se refaire un compte] mais qui n’est pas sanctionnée par une amende ». Sauf que c’est totalement faux : un réseau social qui n’aurait pas empêché un·e internaute banni·e de se refaire un compte risquera jusqu’à 75 000 € d’amende par compte recréé. Et ce point n’a pas évolué lors des débats parlementaires.

Détricoter la loi de 1881 sur la liberté d’expression

Le texte final comporte une grande nouveauté : le délit d’outrage en ligne a été réintroduit par la CMP. Cette disposition, initialement introduite par le Sénat puis supprimée par l’Assemblée nationale car jugée trop dangereuse, consiste à faire des abus d’expression en ligne une circonstance aggravante par rapport aux cas où ils seraient commis hors ligne. Concrètement, le projet de loi SREN sanctionne de 3 750 euros d’amende et d’un an d’emprisonnement le fait de « diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante ».

Il s’agit donc d’un délit extrêmement large puisque la notion de « situation intimidante, hostile ou offensante » n’est nullement définie légalement et sera la porte ouverte aux interprétations larges. De plus, la possibilité de sanctionner ce délit par une amende forfaitaire rajoute des possibilités d’abus, ce que dénoncent déjà des avocat·es et la Défenseure des droits. Mais ce délit peut également être sanctionné par une peine de bannissement.

Surtout, ce délit d’outrage en ligne déroge à la loi de 1881. Cette loi est le socle qui régit aujourd’hui les abus d’expression, y compris en ligne : elle prévoit des mécanismes qui évitent les abus (délais de prescription courts, procédures particulières, etc.). Exit ces garde-fous : en introduisant ce délit d’outrage en ligne dans le code pénal et non dans la loi de 1881, le législateur concrétise une longue envie de la droite autoritaire de détricoter cette loi. Pourquoi, pourtant, faudrait-il abandonner les protections de la loi de 1881 pour le simple fait que ce serait en ligne, alors que la presse papier ou la télévision sont souvent des déversoirs de haine ?

Le projet de loi SREN n’a donc pas fondamentalement évolué. Il s’agit toujours d’un texte fondé sur un mode de régulation d’Internet à la fois vertical et brutal, qui ne peut mener qu’à une impasse et une restriction des libertés. Comme si l’État ne savait pas réguler un média autrement sur ce modèle autoritaire. Les autres modèles de régulation, notamment l’obligation d’interopérabilité des réseaux sociaux, ont été sèchement rejetés par le pouvoir. Le résultat de ce refus de voir ce qu’est Internet est un texte inadapté, dangereux pour les droits fondamentaux et l’expression libre en ligne, et qui ne résoudra aucunement les problèmes auxquels il prétend s’attaquer. L’Assemblée nationale doit donc rejeter ce projet de loi. Et pour nous aider à continuer la lutte, vous pouvez nous faire un don.