GuiGui's Show

Le Washington Post rapporte que l’association Catholic Laity and Clergy for Renewal a racheté pour 4 millions de dollars des données provenant de Grindr et autres applications de rencontres gay (Growlr, Scruff, Jack’da et OkCupid) en vue de débusquer les prêtres homosexuels de l’Église.

Trololo.

Concernant Grindr, lire aussi : https://noyb.eu/en/eu-58-million-fine-grindr-confirmed.

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs […] Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien.
En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion.

https://journalauto.com/services/orange-prepare-son-info-trafic/ :

[…] Ce test pilote porte sur un système de remontée d'informations relatives au trafic routier et qui repose sur le croisement des données apportées, d'un côté, par les infrastructures du concessionnaire d'autoroute, et de l'autre par l'opérateur téléphonique.

J'avais lu plusieurs affirmations non sourcées qu'Orange proposait aux collectivités l'évaluation du trafic des villes (exemple).

https://www.lemonde.fr/pixels/article/2020/03/26/confinement-plus-d-un-million-de-franciliens-ont-quitte-la-region-parisienne-en-une-semaine_6034568_4408996.html :

Selon une analyse statistique réalisée par Orange à partir des données de ses abonnés téléphoniques, 17 % des habitants de la métropole du Grand Paris ont quitté la région entre le 13 et le 20 mars.
[…]
L’étude a été réalisée par Orange sur la base des données de géolocalisation des téléphones de ses abonnés.

Résumé : les infos du trafic aérien sont publiées au nom de la sécurité aérienne ; calculer une empreinte carbone à partir d'elles est une nouvelle finalité ; il s'agit de données à caractère personnel : un avion est la propriété d'une personne morale, mais des articles de presse ou autres peuvent permettre l'identification des passagers ; le RGPD s'applique à des données publiées ; quel équilibre des droits et des libertés, entre respect de la vie privée et droit d'information ?

Pour ma part, dans le cas d'espèce, j'ai tendance à prioriser la vie privée car je peine à accorder une valeur informative aux publications. On sait que l'aviation pollue énormément. Peu importe que ce soit un vol de personnes ou de marchandise. Même si les milliardaires cessent de voler, l'empreinte écolo des vols de marchandises et de touristes sera toujours au-dessus des moyens de la planète. Dans ce contexte, les nombres annuels de vols et de passagers ne sont-ils pas des indicateurs pertinents et suffisants ? A-t-on besoin de ces publications pour savoir qu'un vol pour serrer la paluche à un autre dirigeant et/ou pour assister à une réunion (y compris les COP) sont inutiles ? :/

Une entité publie une liste de ses débiteurs sur un groupe Facebook public (ouvert) afin de leur mettre la pression et de prévenir les gens.

Ce n'est pas conforme au RGPD par absence de base légale (la proportionnalité de l'intérêt légitime n'étant pas remplie).

Sans trop de surprise : la CJUE a popularisé le droit à l'oubli en ordonnant le déréférencement d'un article de presse traitant de la vente sur saisie de biens d'un seul particulier, alors une liste entière d'endettés…

Est-ce transposable aux listes publiques de blocage sur un réseau social décentralisé comme le pense Aeris ?

Guide de la CNIL pour traiter des données à caractère personnel lors de recrutement professionnels.

On y apprend, pages 26 et suivantes, que, hors agences d'intérim (exécution du contrat), un vivier de candidats (aka base de CVs, CVthèque, etc.) doit reposer sur le consentement. La page 51 exquise la possibilité de conserver le CV de « certains » candidats non-retenus sur la base de l'intérêt légitime, mais, par son aspect limité, il ne s'agit pas d'un vivier de candidats en tant que tel (qui est le 2^e cas de figure présenté, et qui est une nouvelle finalité). Pour ce vivier, les pages 5, 51 et 52 conseillent une durée de conservation adaptée au poste (emploi saisonnier != CDI) n'excédant pas deux ans. C'est pile ce que je défendais dans mes réclamations CNIL contre des cabinets de recrutement (le guide de la CNIL semble avoir été publié fin janvier 2023, mes plaintes datent de novembre 2022).

Rappel : Vous n'êtes pas obligés de mettre des bandeaux pour les cookies et des demandes de consentements de partout.
Pas besoin de blâmer le RGPD pour ça puisqu'il ne l'impose pas.
[…] Il vous suffit de ne pas stocker et utiliser de données personnelles autrement que par pure nécessité pour fournir le service demandé explicitement par l'utilisateur. Simple en fait
Le problème n'est pas le besoin de consentement, c'est votre envie de stocker et utiliser des données personnelles pour autre chose que ce que vous a demandé l'utilisateur. Arrêtez, c'est tout. Fin de la solution
Ça me fatigue juste de voir les gens râler comme si le RGPD et la CNIL rendaient impossible de naviguer sur le web.
Ce qui rend impossible de naviguer ce sont les pratiques détestables des éditeurs et annonceurs. La balle est dans leur camp.

Gros +1. Mais les techs veulent détecter pro-activement les erreurs et améliorer la performance (mais en conservant les trois tonnes de dépendances externes qui la pénalisent, bien entendu), les communicants veulent récupérer le parcours de l'utilisateur pour l'optimiser (pourquoi ?) et jusqu'au moindre détail de chaque visiteur, la direction veut des indicateurs, je ne sais qui veut le chatbot qui répond à côté (pourtant si on a « optimisé le parcours client », ce dernier devrait trouver ce qu'il cherche, non ?), etc.

Le RGPD a une intention louable : sevrer, contenir les innombrables excès… qui n'auraient jamais dû se produire en France vu la loi Informatique et Libertés de 78. Mais tout le monde a fait n'importe quoi, et le libre marché a fait qu'il fallait être crade pour survivre. Se sevrer individuellement quand tout le monde choisi de continuer dans les traitements de données perso excessivement intrusifs, c'est couler économiquement. D'où l'idée de sanctionner un non-respect du RGPD sous le prisme de la distorsion de la concurrence. Reste à industrialiser cela…

Bref, il faut distinguer la complexité excessive d'une loi (et le RGPD comporte un tel volet) de l'intention d'une loi qui, par essence, va refréner des comportements (la loi qui demande de payer au minimum SMIC, elle fait chier, surtout quand on débute une activité, et pourtant… la loi qui interdit de zigouiller les gens qui ne me plaisent pas me gonfle parfois, et pourtant…, etc.). Le ressenti d'une contrainte excessive est renforcé quand les comportements malsains ont massivement prospéré en amont (c'est le cas du RGPD). La critique courante du RGPD fait partie de la deuxième catégorie : certains voudraient faire tout ce qu'ils veulent et regrettent que la loi l'interdise.

Je n'ai pas la prétention d'être exhaustif, mais plutôt de pointer les endroits où chercher.

Toujours faire très attention à la date de publication, car la loi change (trop) vite.

Bibliographie

Guide du manifestant 2023 de la LDH Paris et les points droits de l'observatoire des libertés publiques. Très complet, récent, mais très mal mis en forme.

Les collectifs anti-répression / legal teams. Celui de Paris propose un excellent schéma « de la garde à vue au tribunal », plein de guides, BD, etc. Récents.

Syndicats professionnels de salariés : guide CGT militant⋅e face à la police. Je trouve la fiche de Solidaires sur la garde à vue moins directe (sur le fait de se taire, par ex.) et moins complète (sur la prise d'empreintes, par ex.). Dans les deux cas, c'est insuffisant (sur le code de déverrouillage de son smartphone et les gages de représentation, par ex.). En revanche, le guide des manifestant-es Solidaires, qui détaille le avant et le pendant une manif', est bien fourni.

Guide d'autodéfense juridique. Pour avoir une vue d'ensemble. Attention à son obsolescence : il ne traite ni de l'ordonnance pénale, ni de l'avertissement pénal probatoire, ni du code de déverrouillage d'un smartphone, ni des évolutions en matière de prise des empreintes (et de durée de conservation).

Guide du manifestant arrêté par le Syndicat de la Magistrature. Léger sur les empreintes (digitales et génétiques).

Droits et conseils en cas d'interpellation par le Syndicat des Avocats de France. Ne traite pas du code de déverrouillage d'un smartphone, ni de la prise forcée des empreintes sous conditions.

La coalition des libertés associatives propose une bibliographie, mais c'est foutraque, et entre autodéfense numérique et juridique.

Plus modestement, mes notes sur le code de déverrouillage d'un smartphone, sur les empreintes, sur le filmage des flics en manif, sur les types de manifestation (non déclarée, interdite, etc.).

Résumé

Le risque d'interpellation varie en fonction du contexte (manifestation déclarée ou non, interdite ou non, Paris ou ville moyenne de province, marche syndicale du 1er mai ou Sainte-Soline, consignes des préfets / commissaires, etc.) et de ta situation ("mauvais endroit au mauvais moment", tes actes, participant ou organisateur / leader, ta couleur de peau et/ou religion et/ou appartenance politique genre anar, etc.).

Bref, il ne faut pas psychoter, on peut encore manifester en France (surtout en province, pour des mots d'ordre liés au taff, encadrée par des syndicats de salariés, etc.), mais il ne faut pas être niais non plus.

De la section précédente, et des deux "formations" par des avocats de collectifs anti-répression auxquelles j'ai assisté, je dégage de grandes tendances consensuelles :

• Ne pas s'énerver ni gueuler sur les flics ni mal leur parler ni faire le malin ni résister (et encore moins violemment). Ça ne fera rien avancer, et ça rajoutera des infractions comme outrage à agent ou rébellion (cf. ci-dessous). Au cas où je ne sois pas assez clair, je précise : y'a une différence entre insulter et maintenir fermement une position (ne pas donner son code de déverrouillage de smartphone, par ex.) ;

• Garder le silence (et une expression du visage neutre). La garde à vue est très souvent fondée sur un dossier vide, que tes paroles, déformées si besoin, rempliront. C'est un jeu de dupes. Parler ne peut qu'apporter du négatif. Tu auras les bons interlocuteurs, le temps et l'espace pour contester par la suite ;

  • Ne rien reconnaître, pas même les petites choses qui semblent sans intérêt. Ex. : tu peux porter un masque en manif' car t'es malade, pas dans l'intention de dissimuler ton visage (qui est une infraction) ;
    
    
  • Tu peux demander à voir les preuves, mais, ensuite, il faut être capable de tenir sa langue et son expression faciale.
• Demander un avocat. Il y a un éternel débat, mais, pour moi, celui d'une legal team sera plus au fait et plus militant, là où un commis d'office risque de conseiller le circuit le plus court (et le moins risqué), genre CRPC (Reconnaissance préalable de culpabilité), qui ne correspond pas forcément à la mentalité d'un militant et qui peut fermer la voie à d'autres actions militantes par la suite (car la prochaine répression cognera plus dure). Tout le monde s'accorde néanmoins qu'à défaut, il vaut mieux avoir un avocat que d'être seul ;
  
  
• Demander un médecin. En cas de douleur (interpellation, etc.) ou si t'as un traitement à prendre (insuline, etc.) ;
  
  
• Ne pas avoir de smartphone ou refuser d'en donner le code ;
  
  
• Avoir une pièce d'identité sur soi afin de pouvoir plus légitimement refuser le relevé de la signalétique (photo et empreintes digitales) ;
  
  
• Éviter à tout prix la comparution immédiate (jugement expéditif, peines alourdies, etc.). Pour éviter la taule dans l'attente du procès, il faut fournir des gages de représentation, c'est-à-dire des éléments tangibles qui montrent que tu ne vas pas te soustraire à la justice : contrat de taff, fiches de paie, quittance de loyer, etc. Tout ce qui montre que t'as une vie stable bien intégrée à la société. Évidemment, tu ne pourras pas aller chez toi les récupérer, donc il faut qu'un tiers y ait accès. Si absence ou fragilité des gages, il vaut mieux accepter une CRPC si elle est proposée plutôt que de risquer d'aller en comparution immédiate, et donc de devoir choisir entre procès bâclé ou détention provisoire ;

J'ajoute un truc strictement personnel. Il existe des gens, dont je fais partie, qui aiment optimiser leur déplacement, et vu qu'après la manif', on va chez la famille ou les amis ou l'asso du coin, on apporte, en manif', des outils de bricolage, de cuisine, ou de piscine ou autre sport dans le sac à dos et/ou la bonbonne de gaz dans le coffre, etc. Je grossis le trait, mais j'ai déjà eu des outils de bricolage en manif, car la fin de manif' était vraiment très proche de mon activité suivante. Si les flics sont mal lunés, beaucoup d'objets du quotidien peuvent être vues comme des armes par destination (c'est pas des armes, mais ça peut servir en tant qu'arme), ce qui constitue un indice que tu voulais commettre des violences.

Notes diverses

Prises lors des "formations" dispensées par les collectifs anti-répression.

• Les flics n'ont pas le droit de confisquer les banderoles, stickers, casseroles, etc. dans une manif' ;
  
  
• Outrage : toute parole, son ou image qui porte atteinte à la fonction. Appréciation selon l'humeur du flic et la tête du client. « Mort aux cons » n'est pas un outrage (ou alors ils se reconnaissent ;) ). Filmer les flics sur la voie publique et faire des commentaires à leur sujet n'est pas un outrage ;
  
  
• Rébellion : toute opposition, violente ou non, active ou passive, genre faire le poids mort, ne pas se laisser faire physiquement, etc. ;
  
  
• Une garde à vue doit être notifiée au procureur sous 30 à 45 minutes (Cour de cassation) sinon elle est nulle (le délai d'attente et de transport entre l'interpellation et la signification de la garde à vue ne comptent pas, car t'es pas en garde à vue) ;
  
  
• La palpation de sécurité est pratiquée par un flic du même sexe biologique ou déclaré ;
  
  
• Sur un procès-verbal, les fautes mineures qui n'influent pas sur la procédure sont des « erreurs matérielles » insignifiantes. Exemple : tu es accusé d'avoir détérioré le « distributeur de billes » d'une banque. Tout le monde comprend qu'il s'agit d'un distributeur de billets, la banque n'était pas équipée d'un distributeur de billes, c'est une erreur matérielle, il n'y a rien à contester ;
  
  
• Un avertissement pénal probatoire (rappel à la loi) aka classement sous conditions vaut reconnaissance de culpabilité. Si tu refuses cela, ne le signe pas, mais tu seras alors renvoyé devant un tribunal ;
  
  
• Une Reconnaissance préalable de culpabilité (CRPC) se déroule en deux temps : 1) rencontre avec le procureur qui fixe la peine (généralement la moitié de ce qui est encouru) ; 2) homologation de la peine par un juge. Si tu contestes ta culpabilité ou si tu refuses la sanction ou si le juge n'homologue pas (car il trouve la peine inadéquate / disproportionnée, par ex.), tu seras renvoyé devant le tribunal. Une CRPC n'empêche pas la victime de tes actes d'obtenir, de ta part, le versement de dommages et intérêts, pendant l'audience d'homologation ou après (en se constituant partie civile). Cela vient bien en supplément d'une éventuelle amende validée par le juge ;
  
  
• En cas de passage devant le tribunal ("normal", CRPC, comparution immédiate, etc.) : toujours demander ta non-inscription au casier judiciaire. Pour l'obtenir, dire que ça va pénaliser ta recherche d'emploi est insuffisant. Le mieux est de préparer un concours de la fonction publique (il ne faut pas avoir de condamnation « incompatible avec la fonction ») ou de suivre une formation à une profession dont la loi exige un casier propre ou a minima exempt de l'infraction reprochée (genre taxi) ;
  
  
• Attendre des gardés à vue / manifester devant le commissariat ne pose pas de problème tant que cela ne gêne pas la circulation des personnes.

Un gus manifeste en solitaire (je savais pas que c'était possible) dans le métro de Moscou. Il met une photo à disposition sur le web. Plusieurs jours après, il est repéré et arrêté dans le métro. La CEDH présume qu'un usage de la vidéosurveillance en temps réel avec reconnaissance faciale (courante pour pecho des manifestants) en est à l'origine.

Aucune garantie, dans le droit russe, contre les abus et l'arbitraire. Pas même de règles régissant le périmètre et les modalités des recours à la reco faciale.

Ingérence légitime et prévue par la loi (prévention du crime), mais disproportionnée (manifestation pacifique, pas de menace pour les personnes).

[ En 2023 ] Une trentaine de personnes ont reçu des amendes et des courriers suite à des casserolades à Dijon, sans que quiconque n’ait été verbalisé ou contrôlé sur place. Comment ces personnes ont-elles pu être identifiées ?

Relancé face à cette réponse floue, le procureur se contente de nous répondre que les forces de l’ordre « connaissaient » les participants.

Toujours selon le parquet de Dijon, ces personnes ont été verbalisées par « procès-verbal électronique ». Un moyen prévu par le code de procédure pénale, qui permet aux forces de l’ordre d’envoyer la contravention au domicile du contrevenant lorsque les « conditions ne permettent pas l’édition immédiate de ces documents ».

https://www.ouest-france.fr/bretagne/morbihan/morbihan-le-prefet-met-la-pression-sur-les-anti-passe-sanitaire-bd9bc120-5c4d-11ec-ba33-1b9954ca0701 (en 2021, à Vannes) : « « Je précise, reprend le préfet, qu’il y a déjà eu des dizaines de verbalisations pour non-port du masque ces derniers samedis, et j’ai demandé que les forces de sécurité intérieure dressent des PV aussi après les manifestations [ anti-passe sanitaire ], sur la base d’images de vidéosurveillance. Tout ça va s’amplifier. » »

https://www.numerama.com/tech/636868-en-aveyron-detranges-amendes-sans-contact-ont-ete-envoyees-a-des-manifestants.html (en 2020, à Milau) : vidéo-surveillance (illégale pour des rassemblements) et travail de terrain du renseignement. Ils ont été relaxé par le tribunal pour absence de garanties procédurales (cf. l'article de Politis pointé par ce shaarli).

https://technopolice.fr/blog/les-amendes-sans-contact-une-strategie-de-harcelement-policier/

ÉDIT DU 08/10/2023 : la verbalisation à distance (vidéosurveillance) de certaines infractions routières comme le stationnement gênant, se pratique déjà dans plusieurs villes, comme Cannes (et sa banlieue) ou Avignon. Voir aussi. FIN DE L'ÉDIT DU 08/10/2023.

#caméras

Surtout, et c’était l’objet de notre recours devant le Conseil d’État, le décret TAJ autorise les policiers à utiliser des logiciels de reconnaissance faciale pour consulter sa base de données. Les policiers peuvent automatiquement comparer une image captée par une caméra de surveillance, un téléphone ou sur Internet aux 8 millions de photographies présentes sur les fiches des personnes mises en cause (chiffres de 2018). Cette comparaison a lieu dans le cadre d’enquêtes comme de simples contrôles d’identité, comme l’expliquait le ministre de l’intérieur en 2021.

[…] La police a utilisé le TAJ pour faire de la reconnaissance faciale 375 000 fois en 2019, soit plus de 1 000 traitements par jour partout en France […]. En 2020, ce chiffre montait à 1200 interrogations quotidiennes du TAJ par reconnaissance faciale.

L’utilisation massive de cette technologie est pourtant interdite en application des règles du droit des données personnelles. Seules certaines situations exceptionnelles pourraient autoriser un tel traitement et, même dans ces situations exceptionnelles, la police ne pourrait y recourir qu’en cas de « nécessité absolue » […] [ Pour le Conseil d'État ] « eu égard au nombre de personnes mises en cause enregistrées dans [le TAJ], qui s’élève à plusieurs millions, il est matériellement impossible aux agents compétents de procéder manuellement à une telle comparaison » d’images, dont l’automatisation ne peut dès lors que « s’avérer absolument nécessaire à la recherche des auteurs d’infractions et à la prévention des atteintes à l’ordre public »

Autrement dit, le recours à des logiciels d’analyse d’images automatisée serait rendu nécessaire car le TAJ, abandonné à la police depuis 10 ans et sans aucun contrôle externe, est devenu si tentaculaire et absurde qu’il ne peut plus être exploité à son plein potentiel par des humains. Une surveillance de masse (le fichage généralisé) rend nécessaire une autre surveillance de masse (la reconnaissance faciale généralisée).

Du coup, LQDN tente sa chance devant la CNIL dans la plainte collective contre la technopolice.