Pour imposer la reconnaissance faciale, l’État et les industriels main dans la main

Tribune écrite avec Martin Drago, juriste à La Quadrature du Net, et parue dans Le Monde du 25 octobre 2019.

L’inévitable débat sur la reconnaissance faciale arrive enfin en France, et le gouvernement esquisse sa réponse. Dans un entretien paru dans Le Monde du 15 octobre, le secrétaire d’Etat au numérique Cédric O, ancien cadre du groupe Safran, a notamment estimé qu’« expérimenter » la reconnaissance faciale était « nécessaire pour que nos industriels progressent ».

Mais cette prise de parole au plus haut niveau politique n’est que la partie émergée de l’iceberg. Car depuis des mois, notes et rapports officiels se succèdent pour souligner le défi que constitue l’« acceptabilité sociale » de ces technologies. Pour leurs auteurs, l’objectif est clair : désarmer les résistances à ces nouvelles modalités d’authentification et d’identification biométriques dont la prolifération est jugée inéluctable, et permettre à des industriels français comme Thales ou Idemia [une entreprise de sécurité numérique] de se positionner face à la concurrence chinoise, américaine ou israélienne.

L’enjeu est d’autant plus pressant que, contrairement à ce que laisse entendre Cédric O, les dispositifs de reconnaissance faciale sont déjà en place sur le territoire français. Depuis plusieurs années, des entreprises développent et testent ces technologies grâce à l’accompagnement de l’Etat et l’argent du contribuable. Le tout sans réel encadrement ni transparence.

La campagne participative de recherche-action Technopolice.fr, lancée début septembre par des associations de défense des libertés, a commencé à documenter les projets lancés au niveau national et local – à Paris, Nice, Marseille, Toulouse, Valenciennes et Metz notamment. Outre la reconnaissance faciale, d’autres applications greffées aux flux de vidéosurveillance et fondées elles aussi sur des techniques d’« intelligence artificielle » font également l’objet d’expérimentations, comme l’analyse des émotions ou la détection de « comportements suspects ».

« Rassurer » l’opinion publique

Alors, face aux oppositions portées sur le terrain et jusque devant les tribunaux par les collectifs mobilisés contre ces déploiements, les représentants de l’Etat et les industriels font front commun. Leur but n’est pas tant d’expérimenter que de tenter de « rassurer » l’opinion publique, le temps d’œuvrer à la banalisation de ces technologies et de mettre la population devant le fait accompli.

Les garanties mises en avant dans la communication gouvernementale – instance de supervision sous l’égide de la Commission nationale de l’informatique et des libertés (CNIL), pseudo-consultation et adoption future de règles juridiques qui dessineraient un modèle « acceptable » de reconnaissance faciale « à la française » – sont tout bonnement illusoires. L’histoire récente l’illustre amplement. La loi « informatique et libertés », adoptée en 1978 en réaction aux premiers scandales liés au fichage d’Etat, n’a de toute évidence pas permis, comme c’était pourtant son objectif, de juguler l’avènement d’une société de surveillance.

Pire, dans ce domaine, la CNIL a vu ses pouvoirs systématiquement rognés depuis quinze ans, donnant le change à des présidents successifs ayant souvent contribué à cette impuissance. Quant à l’exemple des fichiers de police, il suffirait à démontrer que, même une fois inscrites dans la loi, les dispositions destinées à protéger les droits fondamentaux sont systématiquement contournées.

Or ces technologies biométriques augurent un changement de paradigme dans l’histoire de la surveillance. A terme, elles reviennent à instaurer un contrôle d’identité permanent et généralisé, exigeant de chaque personne qu’elle se promène en arborant une carte d’identité infalsifiable, qui pourra être lue sans qu’elle ne le sache par n’importe quel agent de police. L’histoire devrait nous servir de leçon : si nos grands-mères et nos grands-pères avaient dû vivre au début des années 1940 dans un monde saturé de tels dispositifs, ils n’auraient pas pu tisser des réseaux clandestins capables de résister au régime nazi.

Déshumaniser les rapports sociaux

En dépit de leurs effets politiques délétères, ces coûteuses machines seront incapables d’apporter la sécurité vantée par leurs promoteurs. Les milliards d’euros dépensés depuis plus de vingt ans au nom du « solutionnisme technologique » en vogue dans les milieux de la sécurité devraient là encore nous en convaincre : la technologie s’est avérée inopérante pour enrayer les formes de violence qui traversent nos sociétés. Sous couvert d’efficacité et de commodité, elle conduit à déshumaniser encore davantage les rapports sociaux, tout en éludant les questions politiques fondamentales qui sous-tendent des phénomènes tels que la criminalité.

C’est pourquoi, contre cette offensive concertée de l’Etat et des industriels qui, à tout prix, cherchent à imposer la reconnaissance faciale, nous devons dire notre refus. Aux Etats-Unis, après les mobilisations citoyennes, plusieurs municipalités, ainsi que l’Etat de Californie, ont commencé à en proscrire les usages policiers.

A notre tour, nous appelons à l’interdiction de la reconnaissance faciale.

L’action directe contre l’informatisation (1960-1990)

Dans la généalogie politique de l’informatique et plus encore dans l’historiographie dominante d’Internet, les oppositions néo-luddites sont largement négligées.

Parmi les acteurs ayant contribué d’une manière ou d’une autre à façonner ces technologies et les discours à leur endroit avant les années 1990, on évoque souvent les scientifiques humanistes de l’après-guerre et les hippies technophiles des années 1960 (voir par exemple les travaux de Fred Turner). Ensemble, ils ont contribué à extirper l’ordinateur des grandes bureaucraties en promouvant des machines plus petites, conçues comme des outils de libération individuelle, avec toutes les impensées qui furent les leurs (et les nôtres devrait-on dire, puisque leurs espoirs et utopies ont aussi largement influencé les discours dominants à l’endroit d’Internet…). Dans l’histoire du droit à la protection des données personnelles, on aborde aussi parfois les informaticiens, chercheurs ou juristes qui, dès les années 1960, ont alerté l’opinion et les législateurs quant aux risques de ces technologies pour la vie privée.

Dans cette littérature, les oppositions plus fondamentalement technocritiques qui agitent la Nouvelle Gauche à partir des années 1960, et pour lesquelles l’ordinateur constitue une machine par essence technocratique et guerrière, apparaissent souvent comme une simple toile de fond. On s’intéresse en réalité assez peu à ces acteurs, à leurs discours ou à leurs pratiques d’opposition à l’informatique.

Des travaux récents ont commencé à corriger ces lacunes historiographiques, principalement aux États-Unis. L’anthropologue Gabriella Coleman a par exemple rappelé (pdf) la filiation entre les hackers des années 1980 aux États-Unis et des groupes radicaux inspirés par l’action directe non-violente, comme les Yippies. Plus récemment encore, dans Surveillance Valley (2018), le journaliste Yasha Levine a mis la main sur des archives oubliées documentant l’opposition d’organisations militantes comme les Students for Democratic Society (SDS) à l’ARPANET, au tournant des années 1960. L’auteur raconte comment l’ARPANET, qui fut le premier réseau à commutation par paquets et est généralement présenté comme l’ancêtre d’Internet, fut dénoncé lors de manifestations étudiantes pour ses liens avec le complexe militaro-industriel, tout en étant également impliqué dans des scandales liés à la surveillance des mouvements sociaux par les services secrets américains.

Une histoire oubliée…

Mais l’historiographie ne dit que très peu de choses (voire rien ?) des modes d’action plus offensifs, et en particulier des actions de sabotage visant des équipements informatiques. Lorsque cette question est abordée, c’est plutôt au sujet des travailleurs de l’informatique des années 1980, dont les États craignent alors qu’ils n’utilisent des accès logiciels aux infrastructures d’acteurs stratégiques (par exemple au travers d’intrusions informatiques) dans le but d’en entraver le fonctionnement (effacement ou modification de données). C’est même en partie ce qui justifie à l’époque la répression de la mouvance hacker et l’adoption de législations dédiées à la « fraude informatique ». Pourtant, au-delà des discours de sécurisation, ces formes de sabotage numérique restent relativement mal documentées. On a, me semble-t-il, peu d’exemples probants datant de cette époque qui témoigneraient du fait qu’il s’agit d’une pratique militante instituée dans les milieux des hackers politisés. Jusqu’à la fin des années 1990, ces derniers semblent plutôt s’en tenir à une démarche d’exploration ou de détournement.

Or, ce qu’on oublie souvent, c’est que ces craintes exprimées à l’endroit des hackers s’inscrivent dans le contexte d’une longue série de sabotages et de destructions physiques d’équipements informatiques par des groupes associés à la gauche radicale. En France, les travaux de Celia Izoard sur les résistances à l’informatisation ont par exemple permis de sortir des oubliettes le groupe toulousain du CLODO. Ce « Comité pour la libération ou le détournement des ordinateurs » fut responsable de plusieurs incendies et explosions visant des fleurons du secteur informatique et des administrations publiques entre 1980 et 1983.

Mais les actions du CLODO ne sont pas isolées. Elles s’inscrivent dans un contexte beaucoup plus général où, depuis depuis les années 1960, l’« action directe » pratiquée par certains militants prend régulièrement pour cible les centres informatiques de grandes entreprises ou d’institutions liées au complexe militaro-industriel (voir les exemples ci-dessous). Pendant des années, ces destructions matérielles ont rythmé l’actualité (des sources évoquent de l’ordre de deux-cent opérations de ce type sur une vingtaine d’années), et il est probable qu’elles aient eu une influence déterminante sur des formes de sabotage moins violentes et plus « situées » (par exemple les travailleurs sabotant leur outil de travail informatique), et plus largement sur les multiples formes de résistance à l’informatisation qui se font jour à l’époque (résistances qui, prises ensemble, dominent assez largement l’appréhension générale de cette technologie dans la société, au moins jusqu’à la toute fin des années 1970, avant que l’opinion n’accepte finalement l’idée que l’informatisation puisse constituer un processus positif). Et pourtant, moins d’un demi-siècle plus tard, ces oppositions radicales à l’informatique sont passées à la trappe de l’histoire.

Ces opérations de sabotage, et la réponse apportée par les autorités qui édifiaient alors les fondements des politiques antiterroristes contemporaines, constituent un terrain de recherche négligé qui mériterait qu’on s’y intéresse davantage. Cela permettrait non seulement de contrebalancer l’historiographie dominante, mais aussi d’enrichir notre perspective de temps long sur les risques associés à la technologie en générale et à l’informatique en particulier, de poser des questions importantes sur la désobéissance civile et les actions militantes offensives, de même que sur l’évolution du traitement policier de la violence politique.

Quelques exemples

Sur la base de quelques premières sources mentionnées ci-dessous (essentiellement des chercheurs proches des milieux sécuritaires qui écrivent dans les années 1980), je voulais donc consigner sur cette page quelques exemples de ce que furent ces sabotages. Les descriptions sont sommaires et il faudrait aller y voir de plus près, mais elles ont le mérite d’offrir quelques pistes à suivre pour de futures enquêtes sur le sujet. J’en ajouterai au fur-et-à mesure et si vous en connaissez également, n’hésitez pas à en faire part en commentaire (si possible en indiquant la source).

  • En 1969, aux États-Unis, cinq membres d’un groupe opposé à la guerre du Vietnam se faisant appeler les « Beaver 55 » s’en prennent aux équipements Hewlett-Packard d’une entreprises de chimie, à Midland dans le Michigan. Le but est de détruire les données associées à ses programmes de recherches liés aux guerres contre-insurrectionnelles (ce qui n’était apparemment pas le cas).
  • Cette même année, toujours dans le Michigan, des saboteurs pénètrent dans les locaux de la Sperry Corporation et détruisent du matériel informatique utilisé par l’armée pour le guidage des bombes nucléaires et des systèmes de contrôle-commande.
  • Entre 1968 et 1970, les centres informatiques de Boston University, Fresno State College et de l’université du Kansas sont également visés.
  • Une manifestation (non datée — peut être en 1969) contre la guerre au Vietnam aurait également eu lieu à l’intérieur même du Pentagone : les toilettes situées au-dessus d’une unité informatique auraient été sabotées, conduisant à une inondation qui s’étendit à la pièce du dessous et mis les ordinateurs hors service.
  • Le 28 septembre 1973, une bombe a retardement explose dans les bureaux de la section « Amérique Latine » du siège new-yorkais de l’entreprise International Telephone and Telegraph (ITT), sans faire de victime. L’attaque fut attribuée à la faction Weatherman du SDS, et liée à l’opposition aux activités de l’ITT au Chili (deux semaines après le coup d’État du général Pinochet).
  • En mars 1976, une usine de fabrication de circuits électroniques de Hewlett-Packard à Palo Alto est visé par une charge explosive.
  • En Italie, à la fin des années 1970, les Brigade Rouges s’en prennent à l’informatique en tant qu’elle apparaît comme « l’instrument du système capitaliste » et de la « guerre des classes ». Elles dénoncent ses liens avec le complexe militaro-industriel et appellent à « bombarder à coups de bazookas les systèmes informatiques, les banques de données et les réseaux de calculateurs… qui constituent la base matérielle “technique” de l’information et du contrôle total ». De nombreux attentats sont perpétrés. Par exemple, en juillet 1976, trois hommes et une femme font effraction dans les locaux de l’entreprise Italian International Computers, à Turin. Après avoir prié les employés de quitter les lieux, ils déclenchent un incendie.
  • En janvier 1978, le centre informatique de la région du Piémont est mis à feu par l’organisation Prima Linea.
  • En avril 1977, le Gruppo Combattente Comuniste détruit un ordinateur de l’université de Bocconi, une institution selon eux complice de la mise au point de méthodes de management hostiles aux travailleurs.
  • Deux mois plus tard, quatre personnes détruisent l’ordinateur dédié à la coordination du personnel de l’université de Rome.
  • En France, en 1979 (donc avant les actions du CLODO), le département informatique de la Banque de Rothschild est attaqué au cocktail molotov, occasionnant des préjudices matériels importants.
  • En 1983 en Allemagne de l’Ouest, un groupe appelé Rote Zellen détruit un centre informatique de l’entreprise Maschinenfabrick Ausburg-Nuernberg (MAN Corporation), lié à l’industrie de l’armement, et plus précisément à la fabrication de missiles Pershing et Cruise. L’opération entraîne des pertes matérielles estimées à 7 millions de dollars.
  • En 1984 aux États-Unis, le United Freedom Front fait détonner une charge explosive dans des locaux d’IBM à White Plains, dans l’État de New York, pour protester le rôle joué par la firme auprès du gouvernement d’Afrique du Sud, et sa complicité avec le régime d’Apartheid (quasiment au même moment, un groupe adverse tue un jeune informaticien à Durban en Afrique du Sud, lors d’un attentat visant une petite société d’informatique qui offrait ses services à la dissidence sud-africaine, et en particulier à l’ANC).
  • En 1984 et 1985, en Belgique, les Cellules Combattantes Communistes (CCC), associées à la Faction armée rouge allemande ainsi qu’à Action directe, et menées par Pierre Carrette, s’en prennent aux bâtiments ou garages automobiles de plusieurs sociétés en Belgique et en Allemagne (Litton Data systems, MAN Corporation, Honeywell-Bull, Motorola, IBM, AEG Electronics). Les centres informatiques de l’OTAN, du parti libéral de Belgique, de la base américaine de Mannheim ou de la bourse de Francfort sont également visés pendant cette période.
  • Le 30 avril 1985, en France, Action Directe fait détonner des charges sur des bâtiments parisiens de deux entreprises de télécommunication.
  • En avril 1987 en Allemagne, une bombe explose dans un centre informatique de TST TeleSecurity situé en Bavière et spécialisé notamment dans la production de systèmes de cryptanalyse employés par les services de sécurité allemands. L’explosion occasionne environ 4 millions de dollars de préjudice matériel.
  • En 1987 toujours, au Royaume-Uni, un groupe d’activistes appelé les « Angry Brigades » tente de faire exploser un local informatique de la police londonienne.
  • À compléter…

Sources :

August Bequai, Technocrimes: The Computerization of Crime and Terrorism, Lexington Books, 1987.

Douglas E Campbell, « Terrorist and Hostile Intelligence Actions Against Computer Resources » PhD Thesis in Security Administration, Soutwestern University, Kenner, New Orleans, 1992.

Belden Menkus, « Notes on terrorism and data processing », Computers & Security, 2-1, 1983, p. 11‑15.

Data Politics is out

A new book on “Data Politics” is fresh out. Edited by professor Didier Bigo, Engin Isin and Evelyn Ruppert, it is part of Routledge Serie in International Political Sociology.

I contributed a chapter titled “Seeing Like Big Tech: Security assemblages, technology, and the future of state bureaucracy”. Here is the abstract:

This chapter looks at post-Snowden contention between US technology companies – firms like Google, Facebook, Microsoft, Apple – and the security field to reflect on the evolution of state arrangements monitoring and controlling communications. Modern statecraft has always depended on measures and metrics that could make the world legible and governable. In the age of Big Data, the infrastructures, data-processing techniques and abstractions produced by large, public-facing technology firms are now seen as the most suited to govern the digitalised world. Through negotiations processes and power struggles involving states, technology companies and other actors, security assemblages tasked with surveillance and censorship evolve towards privatisation and automation, and away from the rule of law. While pointing to the growing influence of Big Data governmentality across the security and wider bureaucratic fields, we conclude by taking stock of the failures of strategies aimed at decoupling the growing sophistication of computing and the intensification of power relationships.

(read the full chapter)