[IP5] Vers un mode « navigation privée » dans l’espace public ?

10 octobre 2017

Ces textes sont tirés de la deuxième partie du cahier IP 5, "La plateforme d'une ville - Les données personnelles au coeur de la Fabrique de la smart city". 

IP 5 navigation privée

La sécurité, un flux comme les autres 

 

S’il y a bien un domaine où les promesses du numérique s’incarnent dans la fétichisation du « centre d’opérations intelligent » évoquée par Daniel Kaplan, c’est celui de la sécurité. Cet espace, qui centralise l’ensemble des dispositifs de vidéosurveillance conférant une vision panoptique de la ville,  symbolise la toute-puissance du centre de contrôle urbain.

La sécurité y est traitée comme un « flux » supplémentaire que l’on pourrait suivre, mesurer, optimiser et peut-être même prédire. Le numérique doit apporter à la ville cette prévisibilité absolue qui lui fait tant défaut et dont l’absence, encore tolérable pour les problèmes de congestion, est plus problématique lorsqu’il s’agit d’assurer la sécurité des citoyens. L’enjeu devient alors d’anticiper et de prévenir les menaces que ce soit au travers de systèmes à la INDECT ou plus récemment de projets comme VOIE (Vidéoprotection Ouverte et Intégrée) dédié à la sécurité urbaine, capables notamment de détecter en temps réel des comportements suspects par l’analyse d’images de vidéosurveillance, ou de manière préventive avec des dispositifs comme PREDPOL, qui fournit un logiciel doté d’un algorithme prédictif pour optimiser la localisation des forces de police selon la probabilité d’occurrence des crimes et délits.

Le couplage de plus en plus aisé des technologies de vidéosurveillance, de géolocalisation et de biométrie permet d’étendre le contrôle social aux déplacements et même au corps. Si ces systèmes sont souvent proposés de manière centralisée, ils ont tout intérêt à pouvoir être couplés à d’autres données. Ce sera d’ailleurs même un préalable indispensable, leurs promesses étant d’autant plus crédibles que l’ensemble des composantes de la ville sont connectées : les infrastructures, les services et les habitants. Cette tendance est d’ailleurs capturée dans le concept « d’urbanisation cyborg » où le citadin est davantage une partie de la ville plutôt qu’il n’y vit : les frontières entre le corps, la ville et les technologies se floutent.

Comme nous l’évoquions dans le Cahier Partage !, là aussi il y a de nouvelles formes d’injonction à produire de la donnée, à être connecté et à partager collectivement pour le « bien commun » de la sécurité. Certains y voient même une forme de nouveau devoir civique et économique que l’on est en droit d’attendre de la part du citoyen de la smart city : il devient un nœud d’informations du réseau urbain. Avec la masse grandissante des données qui peuvent être mobilisées pour surveiller les individus, pourra-t-on encore être anonyme, évoluer librement dans la ville sans s’y déconnecter ou se camoufler ?

Ces enjeux sont d’autant plus prégnants depuis 2015 et les événements graves qui se sont déroulés dans de grandes capitales européennes. Ce contexte donne un coup d’accélérateur à la problématique du fichage policier, à la volonté de détecter très tôt toute forme de danger avant même qu’il ne se concrétise au risque de survaloriser le caractère prédictif des données traitées.

 

Mon réseau social est un agent double
 

Comme le rappelle Valérie Peugeot les données de la ville proviennent aujourd’hui de trois sources principales : la municipalité elle-même ; les entreprises qui assurent des missions de service au public ou qui gèrent des « utilities » (énergie, eau) ; les habitants qui peuvent produire de la donnée en conscience sur une base volontaire ou sous forme de traces plus ou moins conscientes.

C’est surtout cette dernière source qui, associée aux moyens plus traditionnels dédiés à la sécurité publique, renouvelle les possibilités de surveillance dans l’espace urbain. Les traces parfois inconscientes et passives que laissent les habitants par le simple fait d’être équipés d’un smartphone (géolocalisation), d’échanger sur les réseaux sociaux ou de recourir à des services de proximité peuvent s’avérer précieuses à des fins de surveillance. Les travaux de Liesbeth van Zoonen65  qui a établi une typologie des données utilisées dans la ville, en séparant celles ayant pour objectif de rendre des services et celles destinées à des objectifs de surveillance, montrent qu’il existe une forte porosité entre les différents types d’usage et que les données peuvent aisément glisser d’une finalité à l’autre.

C’est le filon qu’avait décidé d’exploiter la startup Geofeedia66  en aidant les forces de l’ordre de Californie à identifier des manifestants sur la base d’informations récupérées par l’intermédiaire d’APIs* de réseaux sociaux. En requêtant des services comme Instagram ou Twitter, l’entreprise pouvait retrouver la géolocalisation des utilisateurs et leurs centres d’intérêt présumés en lien avec des mots-clés populaires dans une zone délimitée – sans que ces informations ne soient nécessairement « publiques » (certaines pouvant être réservées exclusivement à l’usage des développeurs).

 

Asymétrie et invisibilité favorisent de nouvelles formes de surveillance

La ville devient surtout numérique par les données que l’on peut lui associer. Pas seulement par les informations issues de multiples capteurs qui habitent l’environnement urbain et ses infrastructures, mais par les traces des activités numériques que l’on peut re-projeter, relocaliser dans l’espace public.  C’est sur cette base qu’il apparait pour certains plus pertinent et moins normatif de parler de « data city » plutôt que de smart city.

Dans la « data city », le problème est que ces créations d’informations contribuent à plonger la ville dans le règne de l’invisible : d’une part, les capteurs se miniaturisent, ils sont parfois enfouis dans les bâtis, dans des objets immobiles et en réalité ils s’effacent pour tout le monde à l’exception de ceux qui les ont implémentés et sont en capacité de savoir comment les exploiter ; d’autre part, les réseaux sociaux et plus généralement les services numériques ajoutent une nouvelle couche informationnelle à l’espace public, elle aussi invisible, que les habitants emmènent avec eux dans leur déplacement dans la ville. En étant fonctionnellement invisibles, parce que les utilisateurs ne les remarquent plus dans leurs interactions, ou parce qu’elles sont physiquement cachées ou intangibles, les technologies se voient conférer un « pouvoir subtil ». 

Pour Saskia Sassen, cette invisibilité va questionner la démocratie urbaine. Rapporté aux enjeux de données, on imagine aisément comment de nouvelles formes de surveillance peuvent se développer en jouant de l’asymétrie et de l’invisibilité qui les caractérisent. D’autant plus que les données restent rarement cloisonnées dans leur finalité d’origine, que ce soit :

  • à la faveur du mouvement d’ouverture des données pour être valorisées et partagées avec des tiers ;
  • en raison des modèles économiques des acteurs qui les produisent  ;
  • pour raisons de sécurité publique où l’objectif poursuivi peut reléguer la source des données au second plan.

Selon Dominique Cardon, dans le premier cas, des flux massifs depuis « le haut », l’anonymisation est naturelle, la question se pose différemment lorsque les données sont produites pour « les services du bas » à partir des informations personnelles des utilisateurs. Il peut s’avérer plus aisé de reconstituer le parcours d’un habitant en mobilisant les différentes traces qu’il a pu générer en recourant à des services comme Waze, Uber ou Airbnb, plutôt qu’aux dispositifs de vidéosurveillance. Cette hypothèse, quant à la réutilisation non-souhaitable des données dans le but d’espionner les citoyens, est d’ailleurs au cœur de l’argumentation de Uber pour limiter la restitution des certaines données à destination des municipalités70 (p. 30).

 

In the city, everybody knows you’re a dog

 

Les comportements suspects ne resteront pas anonymes

La ville est traditionnellement associée à un espace permettant à ses habitants de s’y sentir familiers et anonymes à la fois.  On peut connaitre parfaitement les rues d’une grande ville, ses magasins, ses allées et les parcourir sans être reconnu. Le paradoxe de la modernisation des villes par le numérique est qu’elle reconfigure cet anonymat, qui se rapproche en cela de l’image de la place du village où les faits et gestes de chacun finissent par être connus de tous. L’anonymat dans la ville est ainsi en train de s’évanouir alors que c’est une notion centrale de sa modernité. 

Cette atteinte croissante à l’anonymat peut prendre des formes évidentes : par exemple, l’hypothèse de généralisation de la reconnaissance faciale sur la voie publique aurait un impact très fort sur les droits des personnes : la reconnaissance faciale est une biométrie particulière, qui peut se faire à partir d’un élément anodin (une simple photo) et ne nécessite donc pas forcément une action spécifique de la part de la personne concernée. 

Pourtant, ce sujet de la biométrie a tendance à occulter des formes plus euphémisées de surveillance, également porteuses de risques pour les droits des personnes. Les individus ne vont pas nécessairement être identifiés et reconnus pour « eux-mêmes » mais plutôt réduits à un comportement parce qu’ils s’écartent d’une norme, d’une moyenne, les rendant de facto suspects. 

Ainsi, de nombreux systèmes dits de « vidéosurveillance intelligente » promettent d’aider les opérateurs de sécurité humains à lever des alertes en identifiant automatiquement sur des images des comportements suspects. Ce type d’analyse de « signaux faibles » d’anormalité et de comportements ou attitudes suspects sont certes très attractifs dans une vision préventive de la sécurité, que peut venir alimenter le contexte de risque terroriste actuel. Au-delà de la vidéo, cette analyse automatique des comportements est donc une tendance lourde des politiques de sécurité contemporaines. Comment échapper à un tel regard inquisiteur ? Cela n’a rien de simple, et en réalité, vouloir échapper à toute forme de captation est probablement le meilleur moyen d’être « calculé » comme suspect. Francis Jauréguiberry soulignait dans le premier Cahier IP71  que décider de se passer des technologies revient non seulement à se compliquer considérablement la vie, mais aussi courir le risque de se voir assimilé à un paria. Jathan Sadowski et Frank Pasquale72  expliquent même que ce sentiment de surveillance et de contrôle peut être intimidant, que personne n’a envie de se retrouver du mauvais côté des algorithmes. [« No one wants to be on the wrong side of its algorithms »]. Une telle tendance a des effets sur les comportements des individus bien connus, que les anglo-saxons dénomment « chilling effect » (effet refroidissant, en traduction littérale), c’est-à-dire un effet d’éviction sur un comportement ou l’exercice d’un droit parce que les individus anticipent des conséquences coercitives ou désagréables. Un exemple concret de cet effet de modification des comportements par la connaissance de la surveillance a été observé par des chercheurs d’Oxford en 2016. Ils ont en effet constaté que suite aux révélations d’Edward Snowden sur les outils de surveillance à la disposition des autorités étasuniennes, la consultation de certaines pages Wikipédia informant sur des sujets sensibles (terrorisme, radicalisation, …) avait chuté drastiquement (jusqu’à 20 % pour certaines pages).  

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations74  et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice. Carlos Moreno pointe d’ailleurs le problème de ces discours où les solutions algorithmiques peuvent résoudre d’un coup de baguette magique, les bouchons, les problèmes de sécurité, tous les problèmes auxquels les maires doivent faire face.

 

La manipulation des masses 

Le réseau des caméras de vidéosurveillance est devenu comme la cinquième « utility » aux côtés du gaz, de l’électricité, de l’eau et des télécommunications. Ils sont par nature expansionnistes, encouragés en cela par les économies d’échelle une fois l’infrastructure en place et le personnel formé. Le « pouvoir subtil » des technologies n’est pas tant qu’elles affectent immédiatement les individus en limitant leur capacité d’action, mais qu’elles rendent très difficile de ne pas faire certaines actions. Parmi ces contraintes non conventionnelles, on retrouve le fait de posséder ou non un smartphone (applicable également au compte Facebook), qui relevait du choix lorsque peu de personnes en possédaient, mais qui, avec la montée des applications et des services, devient un choix qu’il est compliqué de ne pas faire. 

À ces pressions qui s’exercent au niveau individuel viennent se superposer de manière plus insidieuse de nouvelles formes de manipulations collectives. Haussmann a conçu les grands boulevards entre autres raisons, pour éviter la constitution de fronts (dans un contexte de guerre urbaine). À l’heure de la smart city , en termes de sécurité, la production d’une société plus ordonnée passe désormais par des techniques moins coercitives. Les moyens technologiques peuvent permettre de traiter des rassemblements comme un flux, par exemple en créant artificiellement de la congestion pour compliquer l’organisation d’une manifestation. Jusqu’à présent il suffisait de fermer certaines stations de métro, une méthode efficace, mais aisément repérable. À l’ère de la ville numérisée, les possibilités sont décuplées et pas nécessairement perceptibles pour les citoyens : que ce soit d’une manière douce en injectant de faux flux de données pour créer des congestions fictives qui détourneront les parcours des habitants guidés par leur application GPS, ou de manière plus dure en limitant les communications réseaux de manière ou ciblée sur certains services (comme Twitter).

De telles tendances ne sont pas nécessairement causées par la smart city, mais lorsque les infrastructures urbaines sont équipées de réseaux de surveillance, de capteurs et d’algorithmes, la capacité des forces de l’ordre à surveiller les espaces urbains et à mobiliser l’action est améliorée.

Ces potentialités renforcent le questionnement sur la possibilité d’évoluer librement dans la ville : comment activer une navigation plus anonyme dans la smart city ?

 

Éthique, loyauté et bricolage

 

Une partie des menaces pesant sur la ville dans ses  développements futurs est liée à sa « webification » (voir p.15 et suivantes, sur l’importation des modèles économiques) où à l’instar de l’exploitation des traces produites en ligne par les internautes, le parcours du citadin devient lui aussi l’objet de toutes les attentions pour personnaliser son rapport à l’espace urbain. Mais s’il est possible de se déconnecter du web, il devient plus compliqué de filer la métaphore dans le contexte de la ville, où le parallèle le plus proche serait sans doute de pouvoir ménager des formes de navigation plus anonymes, ce que promettent des services comme Tor. C’est-à-dire la possibilité d’évoluer dans l’espace public sans que l’on ne puisse associer à des habitants les lieux où ils se sont rendus, ni les interactions qui y ont pu s’y produire.

 

Un opt-out possible dans la ville numérique ? 

En effet, les caractéristiques de captation de données dans l’espace public, où les capteurs sont potentiellement partout, font qu’il n’est pas toujours possible d’informer efficacement au préalable les individus (on ne peut pas dérouler de bandeaux cookies). Il y a bien déjà aujourd’hui des panneaux d’information pour les zones vidéo-surveillées, et on voit par exemple apparaitre des premiers messages pour le wifi tracking* dans les centres commerciaux. Pour autant sera-t-il aisé de passer à l’échelle en alertant les habitants de toutes les captations dont ils seront susceptibles de faire l’objet dans l’espace public ?
 
Là aussi, il y a probablement un champ d’innovations à ouvrir pour rendre les interactions plus dynamiques entre les sources de captation et les individus en travaillant le design de la privacy. 

Lorsqu’il n’est pas possible ou peu réaliste de les informer au préalable pour qu’ils puissent éventuellement effectuer un opt-out*, le ménagement de parcours limitant l’exposition de la vie privée suppose alors que les données soient anonymisées76. À titre d’exemple, la startup Placemeter qui proposait initialement de comptabiliser les piétons qui passaient dans la rue par la caméra d’un smartphone (plaqué sur une fenêtre) a, dans une véritable démarche de privacy by design, développé un algorithme permettant de reconnaitre, à partir de vidéos volontairement floutées, des objets (des formes humaines), et non des individus (reconnaissables). En dégradant volontairement et fortement la qualité des données enregistrées, ils ont pu anonymiser leur base. De cette manière, Placemeter est en mesure de pouvoir comptabiliser des passants pour mesurer une audience liée à un quartier, sans compromettre la vie privée de ses habitants en identifiant leurs habitudes personnelles.

Dans son avis sur le règlement ePrivacy concernant le wifi tracking, le G29 rappelle que conformément au RGPD et selon les objectifs et les circonstances de la collecte, ces traitements sont susceptibles de devoir recueillir le consentement ou ne peuvent être effectués que si les données personnelles sont anonymisées.  Dans ce dernier cas, quatre conditions doivent être respectées :

  • la finalité de la collecte est limitée au simple comptage statistique ;
  • la collecte est limitée dans le temps et dans l’espace au strict nécessaire pour le comptage statistique ;
  • les données sont supprimées ou anonymisées immédiatement ;
  • des mécanismes permettant un opt-out* effectif sont prévus.

 

La réappropriation de l’espace urbain

 

Comme le disait très justement Rand Hindi lors de l’ouverture des débats éthiques sur les algorithmes organisés par la CNIL en 2017, « les algorithmes font en moyenne beaucoup moins d’erreurs que les humains, mais ils font des erreurs que les humains ne feraient jamais. » C’est ce type de failles que le designer Geoffrey Dorne propose d’exploiter dans son livre Hacker Citizen80 où il détaille des techniques (bricolées) qui peuvent être utilisées par les habitants des villes pour se camoufler et tromper les dispositifs de surveillance, et se réapproprier l’espace urbain. Que ce soit au travers d’un t-shirt qui comporte différents visages, d’un maquillage anti-reconnaissance faciale ou d’un bonnet équipé de LED pour éblouir les caméras de vidéosurveillance, l’objectif de l’auteur est de proposer des outils aux citoyens destinés à tromper les dispositifs de surveillance dans l’espace public. 

Ces travaux s’inscrivent dans une approche où la « low city » est préférée à la smart city pour que le citoyen prenne le temps de s’interroger sur les dispositifs qui l’entourent afin de ne pas renoncer à son droit à l’anonymat sans avoir pu, au préalable, en mesurer les conséquences sur son quotidien. Pour Dominique Cardon, on a abandonné l’idée de ne pas être enregistré alors que la ville était traditionnellement associée à un espace où l’on peut circuler sans que les gens ne nous reconnaissent. Dans ce cadre il ne faut pas négliger les tentatives de résistance au niveau individuel, et dans un espace où l’on est traçable, les technologies doivent 
selon lui permettre de truquer les traces, de les fausser. 

 

Augmenter les capacités de contrôle ex post

David Harvey  dérive le concept de  « Droit à la ville » d’Henri Lefebvre qui va au-delà des libertés individuelles d’accès aux ressources urbaines et concerne davantage le « commun» au sens du pouvoir collectif de redessiner le processus d’urbanisation. C’est un aspect critique des libertés individuelles dans un contexte où les pouvoirs publics et les acteurs privés disposent de moyens qui affinent leur capacité de surveillance, de contrôle et de manipulation.

Pour Pierre-Jean Benghozi, la caractéristique générale de l’espace public est qu’il se prête à des occupations, des circulations pour des intérêts individuels. Dans ce contexte, est-il crédible de penser que l’on va borner les possibilités de capter les données individuelles par l’anonymisation ?
Pour lui, la réponse est clairement non – ou en tout cas il serait naïf d’y répondre par la positive – car il y aura toujours des besoins de recourir à des données individualisées notamment pour des raisons de sécurité. La seule réponse crédible réside alors dans le renforcement des possibilités de contrôle ex post pour s’assurer que les données traitées le sont de manière loyale et légitime. 

Le renforcement de ces capacités pourrait passer par une inscription des sujets liés à la numérisation de la ville dans le programme des contrôles de la CNIL. Au niveau individuel, l’exercice du droit à la portabilité prévu par le RGPD* est aussi une forme de capacité de contrôle ex post.

 

L’amélioration des technologies pour faciliter le privacy by design

Si le développement de nouveaux moyens techniques renouvelle les possibilités de surveillance, il ne faut pas négliger pour autant la capacité des technologies à être plus protectrices de la vie privée lorsque leurs performances s’améliorent.

Jusqu’à présent, dans le cas des dispositifs de vidéoprotection, il est généralement prévu une durée de conservation des données jusqu’à 30 jours, principalement guidée par une logique du « au cas où ». Il peut par exemple s’agir d’identifier un individu en particulier, et de reconstituer ses déplacements. Les améliorations des systèmes dits de 
« vidéosurveillance intelligents » sont présentés comme permettant de rendre plus aisé et rapide ces phases d’identification : soit par l’amélioration des performances intrinsèques du dispositif, soit par une plus grande capacité à mettre en relation différentes sources de captation. 

Dans cette logique, il pourrait être cohérent que les durées de conservation soient réduites d’autant que les améliorations des technologies les rendent plus efficaces dans leurs traitements. Par ailleurs, des technologies plus performantes peuvent aussi permettre de réaliser des traitements sur des périmètres plus restreints, plus précis évitant de considérer par défaut tout le monde comme suspect « au cas où ».

Enfin, sur ces sujets la CNIL est favorable à l’accompagnement de l’innovation par l’expérimentation. Le recours à l’expérimentation est une voie permettant de tester des traitements, qui ne seraient pas nécessairement autorisés dans un cadre classique, dans des conditions qui encadrent leurs portées potentielles en matière d’atteinte sur la vie privée (par exemple en termes d’envergure ou d’intrusivité).  

Enjeux

  • L’ensemble des capteurs, dispositifs, traces numériques en lien avec l’espace public sont susceptibles d’être détournés de leur objectif initiale à des fins de surveillance.

  •  La possibilité de l’anonymat dans  la ville est en train de s’évanouir.

     

Recommandations

  • Améliorer et augmenter  les capacités de contrôle  ex post de la CNIL.

  • Promouvoir les techniques d’anonymisation en particulier  pour les dispositifs urbains  de mesure d’affluence.

  • Inventer des dispositifs techniques de maitrise individuelle adaptés  au monde urbain : vers un  « Do Not Track » des objets connectés ? 

  • Encourager le développement de techniques / technologies protectrices de la vie privée du citadin en particulier en favorisant  le recours à l’expérimentation.