Tous surveillés, tous surveillants ?

Rédigé par Régis Chatellier

 - 

08 juin 2022


Surveillance étatique et « capitalisme de surveillance » sont autant débattus qu’encadrés par les règles relatives à la protection des données. La surveillance par les pairs entre dans un autre champ. Pourtant, le développement de nouveaux services et objets numériques donne aux utilisateurs des capacités de surveillance de leur entourage.

Le traitement de données pour un usage domestique n'est pas directement couvert par le RGPD : si « le règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel », il « ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale » (Considérant 18). Pourtant, chacun peut désormais disposer de moyens technologiques pour surveiller ou suivre ses proches, dans une nouvelle société du "Big Other", que nous décrivions déjà en 2012 dans le premier Cahier IP de la CNIL, Vie Privée, Horizon 2020. Si certains abus sont encadrés par l’article 9 du code civil (atteinte à la vie privée des personnes) et par l’article 226-1 du code pénal (enregistrement de l’image d’une personne à son insu dans un lieu privé), la diversité des formes et des pratiques temd à se développer.

 

Sujet ancien, formes nouvelles

 

Le sujet était abordé en 2012 sous l'angle de la surveillance permise par l'exposition de soi sur les réseaux sociaux, et ce que l’on appelait encore le web 2.0, conditionnée par « le niveau de participation qui détermine la force de la surveillance participative de tous par tous. […] Si, dans le cas d’une surveillance institutionnelle, la régulation la plus adaptée est certainement juridique, dans le cas de la surveillance mutuelle, la régulation est plus complexe à organiser car les utilisateurs affichent leur identité de manière volontaire. » La surveillance latérale au début des années 2000 consistait principalement dans l’observation, parfois l’espionnage de contenus postés publiquement par les personnes sur leurs comptes de réseau social, notamment dans ce que Dominique Cardon définissait en zone de clair-obscur dans son ouvrage La démocratie Internet : promesses et limites (Paris, Seuil, 2010). Déjà Dominique Cardon pointait dans le cahier IP la spécificité en termes de régulation, qui devait « être plutôt sociale et culturelle et passer par l’auto-organisation ». A contresens des discours critiques sur les personnes qui utilisaient ces réseaux, il proposait de « transférer la critique de ceux qui s’exposent à ceux qui regardent ».

La forme a beaucoup changé en dix ans, avec le développement d'une nouvelle offre et de nouveaux usages rendus possibles par nos smartphones, où par l'internet des objets. Des applications dédiées sont disponibles sur les boutiques en lignes, comme nous le voyons plus bas. Nous avons ainsi assisté à une forme d’arsenalisation (weaponisation) des moyens de surveillance des proches, par des formes détournées ou par des dispositifs dédiés.

 

Surveillance by design ?

 

Les choix de design mis en place dans les réseaux sociaux dans le cadre de l’économie de l’attention peuvent par exemple avoir pour conséquence de générer une forme de « pression sociale » à l'utilisation de ces services.  Un article pointait dès 2017 le cas des indicateurs de réception et de lecture des messages envoyés sur services de micro-messagerie - WhatsApp et autres - qui produisent des effets inattendus pour les utilisateurs. « Chacun se retrouve en situation, sans nécessairement le souhaiter, d’espionner et d’entrer dans l’intimité de ses interlocuteurs, par le simple fait d’un petit signal de présence (ici de lecture) », générant une forme de gêne pour les personnes qui envoient et reçoivent des messages et parfois la mise en œuvre de techniques de contournement pour ne pas avoir à se sentir coupable de n’avoir pas répondu à la sollicitation. Dans cet exemple, « la surveillance n'est a priori pas l'objectif, mais bien un effet de bord des stratégies de captation de l'attention. » Les groupes WhatsApp génèrent également leur lot de situation gênantes, notamment lorsqu’il s’agit de les quitter sans être vu, sans que chaque participant voie s’inscrire le message « xxx a quitté le groupe ». Comme l’écrit Solène L’Hénoret dans le Monde, « Que ce soit sur WhatsApp, Signal ou Facebook Messenger, personne n’a appris à quitter un groupe de messagerie instantanée dans les formes. Et pour cause : c’est impossible ».

 

Hacker Surveillance

 

Quand ils ne sont pas le produit d’effets indésirables, les cas de surveillance par les pairs peuvent être le fruit du « piratage d’usage » d’objets connectés, par exemple dans le cadre de la domotique. Dès 2018, Nelly Bowles, dans un article du New-York Times fait état d’un « nouveau modèle de comportement dans les cas de violence domestique lié à l'essor de la technologie des maisons intelligentes. Les serrures, les haut-parleurs, les thermostats, les lumières et les caméras connectés à Internet qui ont été commercialisés comme les dernières commodités sont maintenant utilisés comme un moyen de harcèlement, de surveillance, de vengeance et de contrôle. » La journaliste explique comment les agresseurs contrôlent à distance les objets quotidiens de la maison afin de regarder, écouter, parfois faire peur à la personne harcelée en activant des fonctionnalités à distance, et ainsi asseoir une forme de pouvoir. « Même après que le partenaire a quitté le domicile, les appareils restent souvent connectés et sont utilisés pour intimider et confondre. » Dans son rapport sur les cyberviolences conjugales publiée en 2018, le Centre Hubertine Auclert (Centre francilien pour l’égalité Femmes-Hommes) fait le même constat rappelant que, parmi les dispositifs « pour assurer une cybersurveillance à l’insu de la victime » […] « l’agresseur peut commander à distance ces appareils domestiques ou des appareils d’assistance personnelle », par exemple des assistants vocaux. Ce détournement d’usage pour des cas de violences conjugales est documenté dans un papier présenté au Symposium on Security and Privacy de l'IEEE en 2018, The Spyware Used in Intimate Partner Violence, dans lequel on apprend que s’il existe de nombreux logiciels espions, la majorité des cas provient d’un « double-usage » (dual-use) d’applications qui peuvent avoir un objectif légitime au départ, par exemple la sécurité des enfants ou la lutte contre le vol, mais peuvent facilement être utilisée pour l’espionnage d’un partenaire. D’autant plus facilement qu’il existe de nombreux tutoriels en ligne. Un dispositif comme l’AirTag de Apple, qui propose de suivre via Bluetooth les objets auxquels ils sont rattachés, pour retrouver des objets perdus par exemple, a fait l’objet de nombreux détournements. Par exemple, pour suivre des personnes, comme ces deux femmes, mère et fille, qui ont reçu un message sur leur smartphone indiquant qu’un AirTag déposé dans le sac de la fille avait permis de les suivre à la trace pendant les quatre heures de leur visite à Disneyworld. Pour prévenir ce type de « suivi indésirable», les AirTags alertent les iPhones à proximité lorsqu’ils sont séparés de leur utilisateurs. Cette fonctionnalité, qui comporte des bugs, a été mise en place et puis adaptée progressivement, en réduisant l’intervalle avant une alerte par exemple, après que des personnes avaient détourné l’usage des AirTags.

 

 

"Care Surveillance", ou réduction des incertitudes ?

 

« Il y a eu un changement de paradigme, passant de "le monde est un endroit sûr auquel nous pouvons faire confiance" à "si nous ne micro-gérons pas et ne contrôlons pas chaque instant, quelque chose de terrible va arriver". » Cette citation de David Greenfield (The Center for Internet and Technology Addiction) extraite d’un article du magazine Wired, Stop Tracking Your Loved Ones, résume bien la manière dont nous tendons à percevoir le monde, et à nous équiper de différents services pour prévenir les risques : "Nous avons cette sorte de pensée magique que si nous savons où sont nos proches, nous pouvons en quelque sorte les sauver d'un monde dangereux...".

Avec le numérique et les nouveaux outils disponibles sur le marché, les « parents hélicoptères » – expression utilisée au Canada pour décrire les parents qui « planent » au-dessus de leur enfant pour le diriger vers le « meilleur » avenir qui soit, ou encore qui vole à son secours dès qu'un problème se présente (Wikipedia) – sont désormais équipés de drones de surveillance, munis de capteurs, afin de monitorer en temps réel les activités de leur progéniture. Ces drones n’ont plus besoin de voler puisqu’ils se trouvent dans la poche de leurs enfants. Des applications pour smartphone, à l’image de Life360, créé dès 2008 permet par exemple de retracer les itinéraires des personnes de la famille, être alerté quand un enfant arrive à l’école, ou savoir en temps réel où il se trouve (Life360 avait été épinglée par TheMarkup en 2021 pour la revente de données de « localisation précise » de ses utilisateurs). D’autres services proposent des offres similaires, à l’image de mSpy et FamiSafe.

La surveillance, terme qui fait débat pour ce type d’usage, n’est pas ce qui inquiète les personnes interrogées dans l’article, qui se préoccupent plutôt de la santé des personnes qui déploient ces dispositifs, comme l’illustre le sous-titre de l’article : Tracking apps hijack your psyche. Here's how to regain control (Les applications de pistage s'emparent de votre psyché. Voici comment reprendre le contrôle). Pourtant ce type de pratique pose des questions pour les personnes surveillées au-delà de la protection de la vie privée, comme l’écrit Danah Boyd : « Quand des parents choisissent de fouiner, jeter un œil, suivre à la trace, ils essaient implicitement de réguler les pratiques des ados. Les parents font cela par amour, mais n’arrivent pas à réaliser combien la surveillance est une forme d’oppression qui limite la capacité des adolescents à faire des choix autonomes. » La CNIL a eu l’occasion de le rappeler en 2021 dans ses recommandations sur les droits des mineurs, à propos des outils de outils de contrôle parental, en soulignant le risque s’ils sont trop intrusifs, d’altération de la relation de confiance entre les parents et le mineur, et d’invitation à des stratégies de dissimulation, ainsi que le risque d’entrave au processus d’autonomisation du mineur : « l’impression d’être surveillé peut conduire le mineur à s’autocensurer, au risque de limiter sa liberté d’expression, son accès à l’information et le développement de son esprit critique. » Xavier de la Porte (journaliste, membre du comité de la prospective de la CNIL), écrivait en 2016 dans Le Nouvel Obs à ce sujet, "Tout cela illustre notre terrible ambivalence vis-à-vis de la surveillance. A quoi sert-il de glorifier Edward Snowden si c’est pour se comporter comme la NSA avec nos enfants ?". En 2022, il complète avec ce constat* : « en devenant surveillant, les parents ont le problème de la NSA : avoir trop de données et être incapable de les traiter. La multiplication des outils proposés par toutes ces plateformes a pour résultat qu’ils surveillent mal. » Le terme de surveillance n’est pas adapté pour ces usages domestiques selon Pierre Bellanger (fondateur et PDG de Skyrock, , membre du comité de la prospective de la CNIL)*, car « il est associé au contrôle de police, lorsqu’il s’agit plutôt d’une tentative par les parents de réduction de l’incertitude par l’information ».  Ces usages traduisent surtout une évolution de nos sociétés selon Dominique Cardon (sociologue, membre du comité de la prospective de la CNIL)* « nous vivions avec des incertitudes, que l’on essaie de faire reculer : nous demandons une sécurisation. […] Il y a une sécurisation de tout, même de nos rencontres amoureuses : il faut que nous sachions en amont si nous avons des choses en commun. Il s’agirait de réfléchir à un droit à ne pas disposer de toutes les informations. »

 

BYOSD - "Bring Your Own Surveillance Device"

 

La surveillance latérale ne concerne pas seulement les proches sentimentalement, mais aussi les personnes à proximité. Le marché des objets destinés à la surveillance du domicile est florissant, porté notamment par les systèmes domestiques de vidéo-surveillance, qui n’entrent pas directement dans le cadre de la protection des données personnelles, « s’ils sont limités à la sphère strictement privée » et ne filment ni les voisins, ni les employés domestiques. Pour un usage strictement privé les personnes qui les installent doivent veiller à « ne pas porter atteinte à la vie privée des personnes filmées, et respecter le droit à l’image des membres de leur famille, leurs amis et leurs invités ! ». La CNIL reçoit de plus en plus de plaintes sur ces dispositifs mis en place par des particuliers.

Aux Etats-Unis, ces systèmes ne sont déjà plus seulement domestiques, à l’exemple de start-up Ring, propriété d’Amazon, est devenue le premier réseau de vidéosurveillance privée des Etats-Unis. « Initié en 2016, l’entreprise [avait] conclu [dès 2019] plus de 600 partenariats avec des forces de police locale/ Ces dernières ont accès à la plateforme Law Enforcement Neighborhood Portal, qui leur permet d’interagir avec les propriétaires de caméras et de leur demander d’accéder à leurs enregistrements vidéo sans aucun mandat. » A la manière des nouvelles pratiques de BYOD, abréviation de l'anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels » ou AVEC pour « apportez votre équipement personnel de communication » (Wikipedia), les particuliers investissent de leur poche pour alimenter les réseaux de surveillance destinés à la sécurité publique. Ce type de pratique révèle une forme de paradoxe selon Lionel Maurel*, « alors que l’on souhaite réduire l’incertitude concernant notre domicile, nous créons une nouvelle incertitude à l’échelle supérieure en donnant accès à d’autres, entreprises privées et Etats, qui pourront exploiter l’information ».

 

***

 

Ces usages domestiques témoignent de l’évolution de notre manière d’envisager le risque, en recourant aux offres des outils aussi rassurants qu’inquiétants, en même temps qu’ils permettent de renforcer la capacité de nuisance de personnes malveillantes dans le cas des mésusages. Ils nous invitent à nous poser la question de nos rapports aux autres et sont, comme le note Philippe Lemoine,  « un magnifique levier pour poser le problème d'éducation au numérique (je peux être contrôlé mais je suis contrôleur), en même temps qu’un levier de réflexion juridique ».

 

 

* lors d'un comité de la prospective


Illustration : Clker-Free-Vector-Images de Pixabay


Article rédigé par Régis Chatellier , Chargé des études prospectives