Par Stéphane Schmoll, Président de la commission stratégique du CICS et Directeur général de Deveryware
Savoir QUI est Où et QUAND ? Une question qui agite les tenants de la sécurité et ceux des libertés, puisque 80% des données de la vie réelle ou de l’espace numérique sont ou peuvent être ainsi géo-référencées. « Ceux qui peuvent renoncer à la liberté essentielle pour obtenir un peu de sécurité temporaire, ne méritent ni la liberté ni la sécurité » Cet aphorisme est-il de Spinoza, de Louise Michel, de Edward Snowden, de Jean-Marc Manach, ou d’un ministre de l’Intérieur ? En vérité, il fut écrit par Benjamin Franklin en 1759 dans un ouvrage sur l’historique de la constitution et du gouvernement de Pennsylvannie. Le Conseil des industries de la confiance et de la sécurité (CICS), pilier industriel de la filière industrielle de sécurité en France, réunit des entreprises grandes et petites dont ce faux dilemme est une préoccupation constante, pour concilier conscience et confiance.
Trois points de vue et cinq défis doivent être appréhendés pour concilier conscience et confiance : celui des professionnels publics et privés exerçant des fonctions opérationnelles de sécurité, celui des ingénieurs, et celui des sciences humaines et sociales de la société civile. Il s’agit d’un pivot essentiel de la sécurité globale, combinant autant la vie réelle du monde physique que le cyberespace.
Les besoins des opérationnels
La géolocalisation, mot formé de deux racines grecque et latine relative à l’espace, doit être enrichie du facteur temps pour composer la chronolocalisation. Savoir Qui (ou quoi) est (ou bien était, voire sera) Où et Quand constitue une clef fondamentale de nombreux métiers et services de la « vie intelligente ». Les professionnels de la sécurité prennent de plus en plus en compte la chronolocalisation des personnes, des véhicules, et bientôt des objets connectés. Les usages sont légion : police, gendarmerie, douanes, renseignement, sécurité civile et autres organismes de secours.
Pour les enquêteurs, la chronolocalisation est un outil majeur permettant de surveiller des cibles (délinquants, criminels, terroristes) avant la commission d’un délit ou d’un crime afin d’intervenir à temps ou bien pour établir des liens entre plusieurs cibles se trouvant au même endroit et en même temps. Ce type d’information sert aussi à rassembler des éléments de preuve contribuant à élucider une affaire. La chronolocalisation est une métadonnée pouvant enrichir des données de contenus interceptés dans le cadre de réquisitions légales ; elle peut tout autant servir à disculper des personnes suspectées.
Par ailleurs, savoir où se trouvent les gens peut rendre de précieux services en matière de sécurité publique, pour prendre en compte le déplacement de foules, simulé ou observé. En sécurité civile, cela contribue à la gestion des crises, notamment pour l’alerte et l’information des populations, qu’il s’agisse de risques naturels, industriels ou terroristes. Au quotidien, les appels d’urgence localisés sont traités de façon beaucoup plus rapide et plus efficace voire plus efficiente par les centres de traitement d’appels : médical, pompiers, police, ou même sociétés privées d’assistance. La localisation peut également être utile en gestion de crises pour coordonner les intervenants de terrain de divers types ainsi que pour des appels à témoin. Enfin, à l’étranger, les voyageurs et les expatriés peuvent être informés ou secourus en prenant en compte leur localisation en cas de besoin.
Nous verrons plus loin les indispensables protections juridiques et techniques mais il faut savoir que les moyens techniques de chronolocalisation, au-delà de leur utilisation légitime par les gentils pour localiser des méchants ou des gentils consentants, peut hélas être aussi utilisée par les méchants pour localiser les gentils. Qu’on le veuille ou non, l’outil est à double tranchant et il est nécessaire d’élaborer des parades à des utilisations adverses.
Une technologie foisonnante
Les ingénieurs se sont rendu compte que la numérisation des systèmes recelait un nombre croissant de sources de chronolocalisation, une multiplicité de capteurs capables de fournir des « Qui/Où/Quand », pour peu que ce soit licite et que l’on sache les recueillir. Depuis une douzaine d’années, les enquêteurs peuvent accéder à la localisation des téléphones portables des opérateurs de communications électroniques ainsi que de balises GPS. Mais progressivement, d’autres techniques de chronolocalisation apparaissent, tels que les lecteurs automatique de plaques d’immatriculation, la reconnaissance de visage sur vidéosurveillance, le PNR, l’analyse sémantique de procès-verbaux, les véhicules et autres objets communicants, l’accès biométrique, l’usage de titres de paiement, de transport, le contrôle de titres d’identité, de paye, de demandes de crédit, l’e-commerce et l’identité numérique, etc. Ces possibilités doivent bien entendu être encadrées par le droit.
Combinée au renseignement humain, la multiplication des sources numériques constitue la solution la plus fiable pour confondre des adversaires rompus aux méthodes empêchant leur identification dans la vie quotidienne. Car même pour des criminels et des terroristes chevronnés, il est très difficile de vivre sans aucune trace numérique authentique. Le problème des ingénieurs et des enquêteurs, c’est surtout d’extraire de cet important amas de données chronolocalisées celles qui fourniront un signal utile à la prévention ou à l’élucidation, pour des raisons juridiques et d’efficience. C’est pourquoi des entreprises spécialisées développent des logiciels de traitement intelligents capables de combiner ces métadonnées pour établir des « géoprofils » et les filtrer. Ainsi, la connaissance des habitudes d’une cible permettra de détecter des changements significatifs pouvant signaler aux enquêteurs les prémices d’un passage à l’acte, contribuant à prévenir certains crimes ou attentats.
En matière de renseignement opérationnel, les algorithmes peuvent aussi résoudre des équations, par exemple déduire le Qui de la connaissance du Où et du Quand, ou toute autre combinaison de ces trois paramètres de base. Lorsqu’il s’agit de la sécurité des foules ou des populations, l’identification n’est pas conservée, les données traitées étant systématiquement anonymisées.
Un cadre juridique en pleine mutation
Tout ce qui précède peut et doit faire peur, mais les citoyens honnêtes doivent faire confiance au droit qui les protège de toute utilisation non licite des données numériques et de leur traitement. La loi Informatique et Libertés de 1978, dont la CNIL est le garant, comporte les principes fondamentaux qui permettent de discerner ce qui est licite : les principes de finalité, de proportionnalité et de recueil d’un consentement éclairé. Pour la sécurité des travailleurs exposés ou des expatriés, le droit a fait évoluer les règlements et la jurisprudence vers une responsabilisation des employeurs qui ne doteraient pas leurs employés des nécessaires dispositifs d’alerte géolocalisée. Pour les forces de l’ordre, agissant dans le cadre de réquisitions judiciaires ou administratives, la France s’est progressivement dotée d’un arsenal législatif donnant de solides garanties de légitimité et de contrôle a priori et a posteriori, autour du juge judiciaire, que le code de procédure pénale autorise à utiliser les moyens nécessaires à la manifestation de la vérité, et autour de la commission de contrôle des techniques du renseignement (CNCTR) et même du Conseil d’Etat. Les attentats, parallèlement à l’éclosion de nouvelles techniques de lutte, ont accéléré l’encadrement législatif du recueil numérique et du traitement des données, notre pays devenant un modèle en la matière. Cependant, le fait précède le droit, qui tarde toujours à permettre ou à proscrire certaines combinaisons techniques. C’est pourquoi il est nécessaire que les professionnels de ces sujets, enquêteurs, secouristes, ingénieurs, juristes ou sociologues, puissent rechercher ensemble les voies d’évolution des textes pour s’adapter aux progrès sans sacrifier aux principes. Ils y travaillent dans des think tanks en y associant les administrations, la CNIL, le Conseil d’Etat, et des parlementaires spécialisés. Plusieurs pistes sont explorées, telles que l’utilisation de coffres-forts numériques ou la restriction d’emploi de certains recueils et traitements pour des circonstances spécifiques comme l’urgence défensive contre une menace grave et avérée.
L’humain, au cœur du sujet
Ce ne sont ni la loi ni la technique qui décident de la confiance et de la conscience, mais l’homme, qu’il soit simple citoyen ou dépositaire de l’autorité régalienne de sécurité. Le recours à la chronolocalisation implique en premier lieu son acceptation psychologique et sociologique. Dans ce domaine, l’éclosion des applications numériques a fait évoluer les mentalités en démontrant que l’utilité l’emportait parfois sur les risques. Aujourd’hui, la plupart des services numériques de la vie courante sont géolocalisés et la plupart des gens ne peuvent plus s’en passer, en relative connaissance de cause. Il n’en demeure pas moins que la clarté des dispositifs de recueil de consentement et la transparence dans l’usage fait des données recueillies restent très perfectibles. Il a été démontré que les smartphones remontent en permanence à Apple et Google des données de chronolocalisation mais ceux-ci s’opposent à leur communication aux autorités. D’autres acteurs, notamment publicitaires, s’échangent ces données sans scrupules au mépris de la loi, vulnérabilisant ainsi la sécurité et la confiance. Les réponses arrivent, avec de nouveaux dispositifs techniques et législatifs au niveau européen.
Reste l’ergonomie. Permettre à tout un chacun d’autoriser le recueil et la traçabilité de ses données de localisation n’est pas simple : pour qui, pour quoi, où, quand, comment ? Il en est de même pour les utilisateurs de la chronolocalisation. En effet, le cerveau humain peine à prendre en compte simultanément l’espace et le temps qui la caractérisent. La représentation intelligible de ces multiples données provenant d’un individu, d’un groupe ou d’une foule constitue un large champ de développements ergonomiques et de formation dans lequel des progrès substantiels sont attendus.
Il reste donc fort à faire pour que les sciences humaines et sociales accompagnent la technique et le droit.
Les enjeux économiques
Que coûte et rapporte la chronolocalisation de sécurité ? Aucune étude sérieuse ne répond à cette question, mais on peut pointer du doigt certains éléments intéressants. D’une façon générale, la problématique de l’investissement et du coût courant en comparaison des gains apportés par la sécurité n’est traitée que de façon fragmentée[i]. Pour les entreprises et les particuliers, les assureurs fournissent quelques références en matière de rapport sinistre/prime mais certains risques ne sont pas couverts, notamment sur l’image et la confiance. L’Etat lui-même peine à mettre en regard d’une part les coûts induits par les dispositifs de protection, d’élucidation ou de résilience, et d’autre part le coût collectif des crimes, délits, attentats et catastrophes diverses. Les montants avancés par les spécialistes font peur, alors que les moyens financiers manquent, et les carences avérées se traduisent par pénalités politiques et sociologiques. Pour les collectivités locales, le développement de la ville intelligente va faire naître en même temps des bénéfices et des coûts que seule la pratique et l’expérimentation permettront de calibrer.
Enfin, si les menaces que les terroristes (tout comme les délinquants et les criminels) font peser sur la société ont un impact économique majeur, il ne faut pas pour autant oublier une autre guerre économique que se livrent des continents et des systèmes sociologiques et politiques. On a vu que la concentration des données de chronolocalisation aux Etats-Unis par les serveurs et les réseaux leur confère une puissance économique prépondérante. On va voir si l’arrivée annoncée du nouveau règlement européen sur la protection des données, qui changera drastiquement la portée de ce qui est licite et les pénalités des non-conformités, va modifier les rapports de force en faveur de l’Europe. Les négociations transatlantiques, le Safe Harbor ou le Privacy shield ne sont que des escarmouches préalables à des combats économiques d’ampleur internationale. Déjà, la Chine et la Russie mettent en œuvre des législations contraires au libre-échange mondial, en invoquant la nécessaire sécurité de leurs peuples, en fait celle de leur économie. Sera-t-il possible, nécessaire, utile que la France et l’Europe fassent de même ?
D’une façon générale, la question posée est celle du juste partage du coût de production, de la valeur ajoutée et du retour sur investissement de la sécurité, dont la chronolocalisation est une composante simple mais emblématique.
La réponse à Benjamin Franklin
La chronolocalisation est une matière première indispensable à des multiples services liés à la sécurité.
Pour nos industriels, qui comptent des champions mondiaux dont les débouchés nationaux sont parfois restreints, l’enjeu économique est de taille. Le CICS s’affirme comme acteur responsable pour aider les pouvoirs législatif et exécutif et les organismes concernés à concilier les champs du souhaitable, du faisable, du possible, et du contrôlable. La confiance pourra être instaurée par le développement d’études d’impact responsables, de garanties techniques et juridiques et d’expérimentations volontaristes mais pragmatiques. La démarche devra s’accompagner d’une pédagogie adaptée pour que la Presse ne se contente pas de regarder le doigt qui lui montre la lune. En réponse à la prédiction de Franklin, la communauté française de sécurité est en train d’inventer le paratonnerre contre Big Brother !
[i] Cf. S&D Magazine #6 du juin 2014, pp 8-10