Police&Tech – Fichage dissimulé, libertés piétinées

Nos libertés sont solidaires et renoncer à notre vie privée, c’est renoncer à celle de tout le monde. On peut tirer un trait dessus par souci de commodité ou sous prétexte que seuls ceux qui ont quelque chose à se reprocher veulent protéger leur vie privée. Mais clamer qu’on a pas besoin de vie privée car on a rien à cacher revient à dire que personne ne devrait avoir le droit de cacher quoi que ce soit…
Finalement, prétendre que vous n’accordez aucune importance au concept de vie privée parce que vous n’avez rien à cacher n’est pas très différent que d’affirmer que vous n’avez que faire de la liberté d’expression parce que vous n’avez rien à dire. Si cette liberté ne représente peut-être pas grand-chose pour vous aujourd’hui, cela ne veut pas dire qu’elle ne représentera toujours rien demain.

Edward Snowden

Cet article est la version mise à jour de notre enquête Police et Numérique : dérives à mots couverts pendant les manifestations gilets jaunes parue en juillet 2019.

Numérique et fichage massif de la population

Les différentes forces de police françaises bénéficient depuis récemment de technologies numériques de plus en plus précises, au travers de logiciels qui utilisent la magie des algorithmes, soutenus par un réseau de fibre portant jusqu’à 200mb/s et des communications mobiles par le réseau 4G. Ces logiciels, exploitables aujourd’hui dans leurs bureaux et sur leurs smartphones et tablettes, donnent aux policiers un accès in situ, autrefois inimaginable, à des informations sensibles.

Flashée avec le smartphone, la carte d’identité délivre alors pléthore d’informations en direct. © Photo NR

La liste des produits numériques utilisés par les trois corps de sécurité intérieure (police municipale, nationale et armée) est longue. Parmi les logiciels les plus fréquents figurent, Anacrim, Salvac, Prevol, Lapi, NeoGend et NeoPol (aussi appelé Neo), Weca/Edicia, Identt, Easyconform, Scandetect et le scanner Smart Combo. La plupart de ces logiciels sont a priori utilisés dans des cadres très précis. Ainsi de ceux fournis par l’entreprise CTMS, qui depuis 20 ans équipe la police française de matériel et logiciels de lutte contre la fraude documentaire et identitaire.

« CTMS propose ainsi une large gamme de compte fils, lampes UV, torches, détecteurs de documents, scanners, microscopes,… destinés à la Police. CTMS a remporté différents appels d’offre des services du Ministère de l’intérieur ces  dernières années pour équiper les différents services de Police et Gendarmerie (Direction Centrale de la Police aux Frontières, Direction Centrale de la Police Judiciaire, Gendarmerie Nationale, Préfecture de Police, Gendarmerie Maritime, Gendarmerie de l’Air).»

ANACRIM ou SALVAC sont quant à eux des logiciels en service en France depuis 2003 et dont l’utilisation est par la loi circonscrite aux enquêtes de police. Depuis 2015, afin d’équiper la police dans le cadre des activités de contrôle d’identité sur le terrain, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le Service des Technologies et des Systèmes d’Information de la Sécurité Intérieure (STSI) et les entreprises ELYCTIS et IDEMIA, expertes en sécurité identitaire et biométrique, ont développé un puissant logiciel pour terminal Android, capable de fournir des informations en temps réel : NeoGend pour la gendarmerie, et son jumeau policier, NeoPol. Suite à ces deux projets, la Police et la Gendarmerie Nationales annoncent conjointement par communiqué de presse le 23 janvier 2018, avec les entreprises Orange Business Services et Sony, l’acquisition de 18300 tablettes Xperia Z4 et de 67000 smartphones Xperia X.

L’interface du logiciel Neo a été :

« pensée et conçue pour un usage en mobilité, elle permet d’accéder à la messagerie tactique opérationnelle, au logiciel BDSP Rens, aux fichiers PSR. »

« Le gendarme ou le policier n’est plus obligatoirement lié pour tous ses actes à son bureau et retrouve ainsi davantage de liberté d’action. Grâce aux outils intégrés, Neogend et Néo permettent d’interagir avec des correspondants internes et externes, facilitent les constatations d’infractions, les interrogations de fichiers, l’accès aux diverses messageries, la verbalisation des infractions et la prise de notes. La lecture optique des bandes MRZ (carte d’identité, passeport et certificat d’immatriculation) est également possible. L’application « opération tranquillité vacances » facilite le suivi des usagers inscrits. L’appareil photo ouvre la possibilité des clichés anthropométriques ou des constatations, facilement insérables dans les procédures. Enfin, une application de cartographie opérationnelle permettra la géolocalisation des patrouilles environnantes et des événements en cours. Elle constituera un outil d’aide à la décision et facilitera la gestion opérationnelle des interventions. »

Jusqu’en 2020, tel était le cadre numérique de travail de la police en France. Au début de l’année 2020, le 20 février, le gouvernement approuve l’utilisation du logiciel GendNote, une sous-application de Neogend qui permettra de collecter des “notes” sur l’origine “raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle ou l’orientation sexuelle”. L’autre gadget répressif de l’application, en termes de protection de nos données est la possibilité pour les gendarmes pourront de prendre en photo “n’importe quelle personne qu’ils suspectent d’avoir commis une infraction”. Selon Le Monde “aucun dispositif de reconnaissance faciale ne sera mis en œuvre à partir de photographies prises dans ce cadre“, cependant, une manœuvre “parallèle” pourrait permettre d’additionner ou comparer ces photos au fichier TAJ (traitement des antécédents judiciaires) puis d’activer la reconnaissance faciale, et est dénoncée par la Quadrature du Net:

Comme l’explique la CNIL, ces photos et informations sont au moins transmises au LRPGN (le logiciel de rédaction des PV de la gendarmerie), qui les transmet à son tour au TAJ (traitement des antécédents judiciaires) si les gendarmes décident d’ouvrir une procédure. Dans ce cas, les informations seront conservées dans le TAJ pendant 20 ans, accessibles par toute la police et la gendarmerie et les photos pourront être utilisées ultérieurement par un système de reconnaissance faciale pour identifier des personnes (si l’application Gendnotes n’intègre pas de logiciel de reconnaissance faciale, elle facilite le transfert des photos vers le TAJ qui, lui, l’organise).

La saga contre les libertés et les droits de la population ne s’arrête pas. En 2020, le gouvernement macroniste en pleine dérive entre la lutte contre la haine en ligne et la stigmatisation des musulmans, présentera le projet de loi contre le séparatisme, rebaptisé depuis “projet de loi confortant le respect des principes de la République”. A la liste s’ajoute aussi la Loi Sécurité Globale, munie des articles 1 à 6 qui donnent plus de pouvoir à la police municipale, et ses articles 20, 21, 22 : drones, caméras-piéton et vidéo-surveillance ; le fameux article 24 sur la diffusion d’images de policiers et l’article 25 que veille à donner l’autorisation aux policiers de porter leurs armes en dehors du service dans des établissement recevant du public.

Lire aussi – Réécriture de l’article 24 : l’écran de fumée pour affaiblir la contestation

Malheureusement, la liste est longue et le dernier delirium liberticide de la macronie vient tout juste de paraître : les décrets élargissant les conditions de fichage des fichiers GIPASP ou PASP (Prévention des atteintes à la sécurité publique). Rien d’anodin: fichage massif des manifestants, de leurs opinions politiques, reconnaissance faciale, données de santé, etc.

Dérives individuelles ou fichage “au black” ?

Tout cet arsenal normatif vise à convaincre la population résidente en France que le combat contre la fraude documentaire et la criminalité est facilité par les merveilles du numérique. Mais, un certain aveuglement juridique, mettant en cause la protection des données et les libertés, a souvent été évoqué et remis en question par des associations, ONG, juristes et avocats, en ce qui concerne l’utilisation des smartphones personnels des policiers. Le Monde précise ainsi dans son article du 2 mars 2019 :

« plusieurs juristes estiment que la prise en photo, par un smartphone, des pièces d’identité est « injustifiée » et pourrait représenter une entrave au règlement général sur la protection des données (RGPD) et à la loi informatique et libertés. »

Selon la loi, un policier en service n’a pas à utiliser son téléphone personnel pour enregistrer des données susceptibles de compromettre la vie privée des citoyens, même s’il le fait de “bonne foi”. La collecte de données personnelles des citoyens est strictement réglementée. Tout support numérique doit être préalablement approuvé et homologué par les services de police, et leur utilisation est également réglementée, à tel point que le policer qui collecte les images se voit interdit l’accès à celles-ci.

Il existe déjà, de la part des françaises et français, un sentiment de méfiance vis-à-vis du « numérique au service de l’état », qui s’exprime dans beaucoup de domaines. Par exemple, le refus de pucer la carte d’identité, ou de la mise en place de plus de 50 systèmes de fichage de la population dont « le fameux FNAEG, qui contient l’ADN de plus de 3 millions de personnes. » Ce manque de confiance envers l’appareil d’État se vérifie d’abord sur le plan juridique : seulement « 55 % des Français déclarent faire confiance à la Justice », mais aussi sur le rapport de la population aux services de police.

Depuis plusieurs mois, a fortiori au cours des manifestations, la presse nationale, a publié à plusieurs reprises des articles relatant les agissements de certains policiers dans l’exercice de leurs fonctions, plus précisément lors de vérifications d’identité, ou d’opérations à proximité de manifestants. Ces agents de la paix prenaient, à l’aide de smartphones personnels, des photographies de cartes d’identité ou bancaires, mais aussi des visages de manifestants comme d’acteurs de la presse ou de vidéastes.

Dans Libération (Gilets jaunes : les forces de l’ordre peuvent-elles prendre en photo les pièces d’identité ?), le 24 janvier 2019, la rubrique CheckNews essaie de disséquer la polémique en contactant le service communication de la gendarmerie nationale, lequel justifie la prise de photographies au moyens de téléphones par l’utilisation du logiciel Néogend, encore très peu connu du grand public.

Capture d’écran – https://twitter.com/aline_leclerc/status/1085084936565080064

Lors d’un contrôle d’identité aux abords de Bourgthoulde, un policier ne se contente pas d’une vérification visuelle des documents et de leur propriétaire, mais en réalise de plus des photographies. Sachant que chaque action de la police doit répondre à un objectif précis, quelle raison justifie cette façon de procéder; contrôle d’identité plus prise de photos? Intimider les manifestants ? Y’a-t-il une tentative de ficher les manifestants afin de caractériser ou stigmatiser le mouvement des gilets jaunes ?

Les choses se compliquent cependant lorsqu’un gendarme, lors du même contrôle, réalise des photos avec son iPhone personnel, et non avec un smartphone homologué par les services. L’iPhone ne fait en effet pas partie des téléphones pouvant supporter le logiciel Néogend ou Neopol, seuls les appareils Sony et Samsung fonctionnant sous Androïd ont été choisis pour équiper les agents de la gendarmerie et de la police nationales. Après avoir accusé Le Monde de faire proliférer des rumeurs de « fichage », la direction de la gendarmerie nationale a fini par admettre une « initiative isolée » de quelques agents.

Mais que représente en réalité, l’ampleur de ces initiatives isolées?

Selon Libération, pour répondre à la question du fichage :

« L’inspection générale [de la gendarmerie nationale] peut consulter l’historique des traces de connexions pour vérifier qu’il n’y a pas de consultations abusives, explique le service de presse de la gendarmerie nationale. Mais il ne s’agit en aucun cas de fichage. » Encore une fois  la réponse apporté par l’IGGN s’avère correcte dans le cas de l’utilisation de la plateforme Neogend, mais que répondre à l’utilisation de smartphones personnels par les forces de l’ordre ?

Le 23 février 2019, nous pouvons voir un policier de la BAC de Montpellier prendre un journaliste en photo avec son iPhone. Est-ce là une manière de constituer un fichier “au black” des acteurs de la presse?

Photo à Montpellier, 23 février 2019 ©RicardoParreira

Un autre cas émerge le 28 mars 2019 dans le journal 20 Minutes. Un agent de la police photographie avec un iPhone la carte bancaire d’un manifestant à Bordeaux:

“David, l’homme contrôlé par la police alors qu’il se trouvait place de la Victoire aux côtés de deux proches, relate les faits : « C’était vers 18 heures, j’avais manifesté pacifiquement [à l’acte 19], j’étais tranquillement assis sur un banc quand un gars de la BAC m’a attrapé par le cou. Ses collègues m’ont palpé, ils voulaient voir si j’avais quelque chose de dangereux sur moi et on m’a dit : “C’est un simple contrôle d’identité car vous ressemblez à quelqu’un de fiché” ».

« Comme je n’avais pas de carte d’identité, le policier a pris ma carte bancaire et l’a photographiée, j’ai protesté en disant qu’il n’avait pas le droit et il m’a rétorqué qu’il ne pouvait rien faire avec vu qu’il avait juste pris le côté face, ce que j’ai contesté en disant qu’il pouvait avoir mémorisé le cryptogramme [situé au verso] », ajoute-t-il, en indiquant qu’il a fait opposition sur la carte par précaution.” Plus tard dans le même article, le juriste de 20 minutes résume ainsi la législation: « La carte bancaire peut être prise en photo dans le cadre d’une enquête de police, sur une affaire délictueuse, mais pas pour un contrôle d’identité sur la voie publique. D’autant qu’il existe une procédure spécifique pour le contrôle d’identité d’une personne sans titre : les policiers peuvent l’emmener au commissariat pour la vérifier . »

Le 30 mars 2019, encore à Bordeaux, une vingtaine de manifestants sont interpellés par la police, et subissent une situation surréaliste. Traités comme des criminels, il leur est demandé de poser les mains contre le mur. Pendant que plusieurs policiers procèdent aux fouilles des sacs, un policier enregistre la situation, captant les visages des citoyens. L’observatoire de la LDHG (Ligue des Droits de L’Homme – Gironde), dans son rapport informe :

« Il a également été dénoncé l’empêchement de se rendre aux manifestations pour le simple fait de porter un gilet jaune, avec la menace d’être placé en garde à vue. Ces entraves ont souvent été accompagnées d’une prise en photo des manifestant·es ainsi que de leur pièce d’identité, voire même de la carte bancaire. Il apparaît ainsi qu’un fichier des manifestant·es est constitué par les forces de l’ordre, en toute illégalité, sans aucun fondement procédural. »

Acte 20 Bordeaux. Capture d’écran – https://www.youtube.com/watch?v=qWrp40qUbJI

Le 12 mai 2019, à Toulouse, un policier (déjà équipé avec une caméra portable de type GoPro) est filmé par une femme, en train de la prendre en photo avec un smartphone (personnel, car de marque Huawei). Dans quel objectif ? Est-ce là encore une de ces initiatives personnelles? Dans cette situation, il n’y a pas même eu de contrôle d’identité.

Capture d’écran – https://www.youtube.com/watch?v=HTewiM2q5_s

Une autre situation a pu être constatée à Montpellier sur la place de la Comédie, plus précisément le weekend du 25 mai 2019 au cours de l’acte 28 des gilets jaunes, lors d’un contrôle mené par la CDI34 (Compagnie Départementale d’Intervention) adjointe de la BAC.

” Environ une vingtaine de manifestants se font encercler par une centaine de policiers (GM, CDI 34 et BAC 34), pendant que les policiers font des fouilles aux manifestants et leurs sacs, deux policiers avec leurs portables (personnels) font des photos des visages et des cartes d’identité des citoyens, des observateurs de la Ligue des droits d’Homme et de la Presse.”

Photos à Montpellier, Place de la Comédie, 25 mai 2019 ©RicardoParreira

Les journalistes présents ont pu constater que les policiers ont essayé de dissimuler la prise en photo des cartes d’identité, passeports ou autres documents des personnes soumises au contrôle. De plus, l’un des policiers a fait des clichés de visages des manifestants, et il est observable que son téléphone portable, de marque iPhone, présente également des marques de personnalisation.

Nous laisserons chacun être juge de la déontologie en question. Pour pouvoir éclairer l’opinion publique sur ces événements, au cours de la rédaction de cet article, nous avions demandé à la préfecture de Montpellier des explications sur l’usage de leurs smartphones personnels par des policiers, au cours d’opérations de maintien de l’ordre.

« Sont-ils équipés d’un logiciel ? Quel est le cadre juridique, réglementaire (circulaire ?) ou légal de leur utilisation ? Ces smartphones sont-ils les téléphones personnels des policiers ou fournis par la police et homologués ? ».

La Préfecture ne nous a jamais répondu.

Ceci ne sont que quelques exemples parmi beaucoup d’autres, à Senlis ou Marseille ou plusieurs acteurs de la presse étaient pris en photo ou filmés par des agents de la BAC ou CDI. Inquiétant. Une intimidation de type numérique et oppressante qui finit par enregistrer sur un support numérique personnel l’identité de citoyens qui exercent leurs droits. Fait qui selon des juristes de la LDH de Montpellier, pourrait remettre en question les « garanties réelles » de leurs libertés et donnés personnelles.

Photos à Marseille, juin 2019 ©RicardoParreira

De plus, l’utilisation des smartphones Xperia homologués par les services de police est censée être circonscrite aux objectifs inhérents à leurs missions. L’utilisation du logiciel NEO se doit donc d’être rigoureuse et s’applique aux contrôles administratifs (contrôles d’identité ou routiers, etc). Récolter des données en roue-libre avec leurs smartphones personnels, sans que les agents puissent justifier “d’une interpellation administrative ou judiciaire”, suscite des questionnements sur la mise en place d’un fichier de police “au black”. Ou sur un usage personnel par les agents de ces photographies, permettant possiblement de « reconnaître » sur le terrain un élément qu’ils peuvent dès lors identifier.

https://www.service-public.fr/particuliers/vosdroits/F1036

Il est important de rappeler que, dans une époque où la liberté et la pluralité de la presse sont toujours plus menacées, les dissidents ne sont pas les seuls à subir ces techniques d’intimidation numérique. En effet, plusieurs journalistes ont été photographiés par des membres des forces de l’ordre, ainsi que leurs cartes de presse et d’identité. LinePress, le 03 juillet 2019, a partagé sur son compte Twitter une vidéo du journaliste Remi Buisine, dans une situation qui confine au pathétique. Empêché de faire son travail (couvrir l’action de blocages de militants écologistes et de gilets jaunes au siège d’Amazon à Clichy), il est filmé et photographié (ainsi que sa carte de presse) par un agent de police. Encore une dérive personnelle ?

Capture d’écran – https://twitter.com/LinePress/status/1146138913569988608

Étant données ces nombreuses « dérives individuelles », qui de toute évidence sabotent le code de déontologie de la police, l’usage débridé des smartphones et des logiciels, peut représenter une vraie menace pour l’exercice des droits et des libertés publiques en France. Nous sommes confrontés à des comportements illégaux de la part de la police, dont la hiérarchie, les médias ou la CNIL, négligent l’ampleur réelle du problème. Les exemples se poursuivent en 2020, encore plusieurs cas à Paris, Marseille, Nantes, Montpellier, où des policiers utilisent leurs smartphones personnels pour faire des clichés des manifestants ou de leurs documents.

Vidéo à Montpellier, juillet 2020.

Un autre reporter, sans carte de presse, voit son attestation photographiée par l’iPhone personnel d’un policier. Montpellier, novembre 2020.

Le cadre déontologique de la police est précis et repose sur des principes fondamentaux comme ; le respect de la hiérarchie, l’obéissance, la probité, etc., qui devraient imposer toute une logique de réflexion quant à l’auto-initiative personnelle. La grande question est de savoir si le Ministre de l’Intérieur est prêt à garantir l’usage correct et proportionné de tout ce pouvoir numérique, et à formuler quelle institution « indépendante et autonome » surveillera leur usage.

La protection des données remise en cause.

Nous pouvons corroborer que le système normatif “à grande vitesse” a su s’adapter au monde numérique et profiter de ces nouvelles possibilités pour accroître l’efficacité du maintien de l’ordre public. Cependant, l’utilisation quotidienne des smartphones par les forces de police, révèle déjà une lacune dans la formation concernant ces mêmes cadres déontologiques. Celle-ci semble en effet résiduelle au sujet des smartphones « homologués par la police » et de leur logithèque, mais pire encore à propos de l’usage de leurs téléphones personnels dans le cadre de leurs missions.

Au cours de notre enquête, le fruit de nos échanges avec juristes et avocats a souvent abouti sur une mise en garde :

« L’un des soucis majeurs de cette pratique est celui de la protection des données… Et sur ce point la législation française est très restrictive. Je doute que les policiers aient le droit de se servir de leurs téléphones personnels pour prendre qui que ce soit en photo dans le cadre de leur travail. Si a fortiori il s’agit de téléphones non sécurisés (ce qui est fort probable), la question de la protection des données est encore plus importante. J’imagine que l’institution pourrait être condamnée pour cela (d’autant plus avec la réforme de la RGPD). »

Le paragraphe 6° de l’article 4 de la loi « Informatique et Libertés » dispose que :

“Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées.”

Pour des avocats et juristes, la grande difficulté pour pouvoir éclaircir toutes ces questions est la loi elle-même, et son « flou législatif et réglementaire ». En voici un exemple :

“Article 2: […] Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. […]

Article 6 : I. – Il est interdit de traiter des données à caractère personnel qui révèlent […] les opinions politiques, les convictions […] philosophiques ou l’appartenance syndicale d’une personne physique […].

Article 5 : Un traitement de données à caractère personnel n’est licite que si, et dans la mesure où, il remplit au moins une des conditions suivantes : 5° Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement […].”

Dans le cadre de manifestations, à défaut de contrôles administratifs, l’opacité entourant l’utilisation des smartphones ne peut permettre d’exclure de telles dérives. Le droit au respect de la vie privée se trouve également affecté par les risques de détournement des données, spécialement issus de telles pratiques marginales et effectuées en complète illégalité.

Il est important de se rappeler que ce n’est pas la première fois que la police est accusée de constituer des dossiers illégaux ou non conformes à la loi : en 2007, à Lyon une fichage municipal, les projets EDVIGE et STIC en 2008, en 2010 le Fichier des minorités ethniques non sédentarisés, fichage dans l’Office d’HLM de Paris, etc. En 2012 déjà, Libération sortait un article: Un fichier de police sur deux fonctionne illégalement. Une réalité qui s’avère constante dans la police, car selon notre enquête, soit la police continue à créer des fichiers “non déclarés”, soit les policiers les constituent par eux mêmes.