• #France_Travail : des #robots pour contrôler les chômeurs·euses et les personnes au #RSA

    France Travail déploie actuellement des robots visant à automatiser et massifier le contrôle des personnes inscrites à France Travail. Depuis le 1 janvier 2025, cela inclut également les personnes au RSA. Il s’agit d’une nouvelle étape du dangereux projet de #gestion_algorithmique des personnes sans-emplois, porté par le directeur général de France Travail, #Thibaut_Guilluy. Retour sur le contexte de cette mise en place et ses implications sociales.

    Sous l’impulsion d’Emmanuel Macron, les #contrôles réalisés par France Travail sont passés de moins de 200 000 en 2017 à plus de 600 000 en 2024. Il y a tout juste un an, l’exécutif surenchérissait et fixait à l’institution un objectif de 1,5 million de contrôles en 20271.

    Parallèlement était votée, en décembre 2023, la loi dite « #Plein_Emploi », entrée en vigueur le 1er janvier dernier. Cette dernière vient modifier en profondeur les modalités du contrôle des personnes sans-emplois via deux mesures phares. La première est l’extension du pouvoir de contrôle et de #sanctions des personnes au RSA par France Travail. La seconde concerne l’obligation pour toute personne suivie par France Travail – qu’elle soit au RSA ou au chômage – de réaliser 15 « heures d’activité » hebdomadaires sous peine de sanctions.

    C’est dans ce contexte que France Travail déploie actuellement une refonte de son processus de contrôle. Dénommée « #Contrôle_de_la_Recherche_d’Emploi_rénové » (ou « #CRE_rénové »), elle vise tant à « arriver à mettre en oeuvre 1,5 million de contrôles […] à l’horizon 2027 » qu’à prendre en compte les « évolutions introduites par la loi “Plein Emploi” »2.

    #Automatisation et #massification des contrôles

    Pour atteindre l’objectif de massification des contrôles, France Travail mise sur l’automatisation3. Début 2025, ses dirigeant·es ont ainsi annoncé que le « CRE rénové » s’accompagnerait du déploiement de « robot[s] d’aide à l’analyse du dossier » destinés à assister la personne en charge du contrôle. L’objectif affiché est de réaliser des « gains de productivité » permettant de réduire la durée d’un contrôle pour pouvoir alors les multiplier à moindre coût4.

    Pour ce faire, ces « robots » ont pour tâche de classer les personnes ayant été sélectionnées pour un contrôle selon différents degrés de « #suspicion »5 afin de guider le travail du contrôleur ou de la contrôleuse. Concrètement, ils réalisent un #profilage_algorithmique de la personne contrôlée sur la base de l’analyse des #données_personnelles détenues par France Travail.

    Ce #profilage prend la forme d’une #classification en trois niveaux : « #clôture » (pas de suspicion), « #clôture_potentielle » (suspicion moyenne) ou « #contrôle_potentiel » (suspicion forte)6. Ce résultat est alors transmis, en amont du contrôle, au contrôleur ou à la contrôleuse afin de l’inciter à se concentrer sur les dossiers considérés comme suspects par l’#algorithme, tout en clôturant rapidement le contrôle pour les autres.

    France Travail se réfugie dans l’#opacité

    À travers notre campagne France Contrôle, nous avons déjà parlé de la Caisse nationale des allocations familiales (CNAF), la première à se lancer dans ce contrôle algorithmique des populations. Le fait qu’elle soit rejointe par France Travail démontre une fois de plus pourquoi il est fondamental de s’opposer, par principe, à l’usage d’algorithmes de profilage à des fins de contrôle. Mais également d’exiger la transparence autour du fonctionnement de ces algorithmes, afin de mieux pouvoir les combattre tant politiquement que juridiquement.

    Dans le cas présent, cette transparence est d’autant plus importante que l’objectif d’un contrôle de la #recherche_d’emploi – « une appréciation globale des #manquements [de la personne contrôlée] afin de sanctionner un comportement général »7 – est très flou et propice à l’#arbitraire. L’analyse du #code de l’algorithme pourrait aussi appuyer un combat juridique, tel que l’actuel contentieux contre la CNAF.

    Mais sur le sujet des « robots » de contrôle – comme sur beaucoup d’autres8 – la direction de France Travail se refuse à toute transparence. Son directeur est allé jusqu’à déclarer à la Commission d’accès aux documents administratifs (CADA) « qu’aucun algorithme n’est utilisé dans le cadre du « CRE rénové » […] » suite à la saisine déposée par des journalistes de Cash Investigation ayant travaillé sur ce sujet9.

    Un profilage policier

    En l’absence de transparence sur le fonctionnement de ces « robots », nous ne pouvons qu’avancer quelques hypothèses sur le fonctionnement du profilage algorithmique. Côté technique, la direction de France Travail a déclaré que le « robot » n’était pas basé sur de l’intelligence artificielle, sans toutefois exclure qu’il puisse l’être à l’avenir10. En conséquence, le profilage serait le résultat d’opérations algorithmiques simples issues de la combinaison de différents critères construits à partir des données personnelles détenues par France Travail11.

    Quant à la nature de ces critères, des pistes sont données par un document distribué aux équipes de contrôle de France Travail il y a quelques mois. Assumant pleinement un discours policier, la direction de France Travail y présente une « grille d’analyse » venant préciser le « niveau d’importance » de différents « indices » permettant de caractériser les « manquements » des personnes contrôlées.

    Parmi ces éléments, notons notamment l’absence de périodes récentes de travail ou de formation, l’absence de mobilisation des outils numériques mis à disposition par France Travail (offres, CV ou carte de visite en ligne), l’absence de contact avec son ou sa conseiller·ère, les résultats des derniers contrôles de recherche d’emploi, l’absence de candidatures envoyées via le site de France Travail ou encore le non-respect des 15 « heures d’activité » prévue par la loi « Plein Emploi ».

    Tout indique que ce travail de #rationalisation du processus de contrôle aurait servi de base à la construction du « robot » lui-même. En effet, en plus du résultat du profilage, le « robot » fait remonter au contrôleur ou à la contrôleuse une liste d’éléments issus de cette grille. Ces remontées permettent alors à la personne en charge du contrôle d’apprécier la décision de classification du « robot », sans pour autant qu’il ou elle ait accès à ses règles de fonctionnement précises.
    Automatisation et violence institutionnelle

    Le déploiement d’algorithmes de profilage à des fins de contrôle participe activement à la politique de #répression et à la #paupérisation des personnes sans-emplois. La massification des contrôles à laquelle contribue ce processus d’automatisation entraîne mécaniquement une hausse du nombre de sanctions et de pertes de #droits associé·es.

    Ainsi, d’après les documents de France Travail, 17% en moyenne des contrôles aboutissent à une radiation12. Dans l’hypothèse où ce taux resterait constant, l’augmentation de 500 000 à 1,5 million de contrôles par an implique que le nombre de radiations associées passerait d’environ 85 000 aujourd’hui à 255 000 en 202713. Ajoutons que l’impact des contrôles n’est pas le même pour toutes et tous : d’après les chiffres disponibles, les personnes n’ayant pas le bac ou étant au RSA sont sur-représentées parmi les personnes radiées suite à un contrôle14. L’automatisation des contrôles est donc une manière d’écarter les plus précaires de France Travail.

    Notons enfin, comme le rappellent cinq chercheurs et chercheuses dans le livre Chômeurs, vos papiers !15, qu’aucun travail scientifique ne vient valider le récit mis en avant par nos dirigeant·es selon lequel les contrôles favoriseraient la reprise d’emploi. Cette hypocrisie politique n’a pour fondement qu’une vision stigmatisante et infantilisante des personnes sans-emplois, visant à nier toute responsabilité collective vis-à-vis du chômage de masse et à le réduire à une problématique individuelle.

    À l’inverse, ajoutent les auteurs·ices, les effets négatifs des contrôles sont largement documentés. En plaçant les personnes contrôlées dans une situation humiliante – « où au stigmate de l’assisté s’ajoute celui du tricheur »16 – s’accompagnant de lourdes démarches de justification, ils induisent un effet dissuasif vis-à-vis de l’accès aux droits. En retour, ils contribuent à l’augmentation du non-recours, dont le taux est estimé à plus de 25% pour l’assurance chômage et à 30% pour le RSA17. À ceci s’ajoute le fait qu’il plonge dans la précarité celles et ceux contraints·es à accepter des postes pénibles, sous-payés et précaires.

    Loi « Plein Emploi » : des contrôles aux effets démultipliés

    Tout ceci est d’autant plus inquiétant à l’heure où entre en vigueur la loi « Plein Emploi », qui vient renforcer l’impact et le champ des contrôles réalisés par France Travail.

    En premier lieu via l’instauration d’une obligation de 15 « heures d’activité » pour toute personne sans-emploi18. À la violence qu’elle entraîne en termes de niveau de contrôle et d’intrusion dans la vie privée des personnes contrôlées, cette mesure conjugue une contrainte administrative extrêmement lourde de par la difficulté que chacun·e aura pour justifier ces heures. Elle vient ainsi considérablement renforcer l’arbitraire des contrôles et, de fait, les pouvoirs de répression de France Travail. Si la difficulté qu’il y aura à (faire) respecter cette mesure pourrait la faire paraître presque illusoire, notons cependant que France Travail développe déjà un agenda partagé entre personne sans-emploi et conseiller·ère, c’est-à-dire un outil numérique dédié au contrôle de ces « heures d’activité ».

    En second lieu, parce que la loi « Plein Emploi » vient étendre les prérogatives de contrôle de France Travail sur les personnes au RSA19. Jusqu’alors, les sanctions relatives au RSA relevaient de la compétence du département et le retrait de son bénéfice nécessitait le passage devant une commission pluridisciplinaire dédiée. Via les « suspensions-remobilisations »20, la loi « Plein Emploi » a désormais introduit la possibilité pour les départements de déléguer à France Travail la compétence de suspension du RSA. Dans ce cas, France Travail pourra suspendre le RSA d’une personne à la suite d’un contrôle de manière unilatérale et sans que l’avis d’une commission de contrôle de la suspension soit nécessaire.
    Face au contrôle algorithmique, lutter

    À l’heure où nous écrivons ces lignes, la contestation monte de toute part contre le renforcement des contrôles à France Travail.

    Du Défenseur des Droits à la Commission nationale consultative des droits de l’Homme (CNCDH), en passant par le Conseil national des politiques de lutte contre la pauvreté et l’exclusion (CNLE), l’ensemble des institutions de lutte contre la pauvreté critiquent vertement la loi « Plein Emploi » et ses velléités autoritaires21.

    De leur côté les associations de lutte contre la précarité se regroupent et dénoncent une réforme « inhumaine, injuste et inefficace », tandis que sur le terrain, les premier·ères concernées s’organisent. En Bretagne, le Conseil départemental du Finistère a ainsi été occupé par des personnes réunies en « Assemblée Générale contre la réforme du Rsa-france-travail »22.

    Devant la multiplication des oppositions et la diversité des modes d’actions, nous appelons toutes celles et ceux qui refusent la destruction de notre système de protection sociale et la violence des politiques néo-libérales dont elle s’inspire à s’organiser et à rejoindre ces luttes de la manière qui leur convient le mieux.

    De notre côté, nous tâcherons d’y contribuer à travers la documentation de cette infrastructure numérique de surveillance que les dirigeant·es de France Travail mettent en place dans le cadre de la loi « Plein Emploi ». Nous appelons par ailleurs les personnes ayant connaissance des critères utilisés par les robots de contrôle à nous contacter à algos@laquadrature.net ou à déposer des documents de manière anonyme sur notre SecureDrop (voir notre page d’aide ici). Si vous le pouvez, vous pouvez nous aider en nous faisant un don.

    –---
    References

    ↑1 Pour les chiffres de 2017, voir l’étude de Pôle Emploi « Le contrôle de la recherche d’emploi : l’impact sur le parcours des demandeurs d’emploi » disponible ici. Pour 2024, voir « Bilan du Contrôle de la recherche d’emploi » disponible ici. Pour les annonces d’Emmanuel Macron dès son arrivée au pouvoir voir cet article de 2017 et cet article de 2021. L’objectif de 1,5 million a été annnoncé par Gabriel Attal en 2024, voir cet article.
    ↑2 « Information en vue d’une consultation sur le contrôle de la recherche d’emploi rénové », Comité Social d’Entreprise Central des 9 et 10 octobre 2024, disponible ici.
    ↑3 A noter que le CRE rénové s’accompagne aussi d’une réduction des droits des personnes contrôlées afin de réduire le temps nécessaire à un contrôle. Il s’agit de mettre en place une procédure « flash » permettant de faire « l’économie de l’entretien téléphonique » et/ou de l’envoi d’un formulaire à la personne contrôlée, deux choses qui étaient systématiques jusqu’alors lors d’un CRE. En cas d’« avertissement avant sanction », la personne contrôlée disposera de 10 jours pour justifier de sa situation. Voir « Information sur le pilote du contrôle de la recherche d’emploi (CRE) rénové », Comité Social d’Entreprise Central des 13 et 14 mars 2024, disponible ici.
    ↑4 « Information sur le pilote du contrôle de la recherche d’emploi (CRE) rénové », Comité Social d’Entreprise Central (CSEC) des 13 et 14 mars 2024, disponible ici.
    ↑5 La sélection des personnes relève d’un autre traitement algorithmique. Elles sont le fruit de requêtes ciblées (métiers en tensions…) et aléatoires, de signalements agence ou encore d’« alertes automatiques » incluant désormais certains des flux provenant de la « gestion de la liste ». Voir le document « Information sur le pilote du contrôle de la recherche d’emploi (CRE) rénové », Comité Social d’Entreprise Central des 13 et 14 mars 2024, disponible ici.
    ↑6 Ces informations se basent sur des discussions avec des équipes de France Travail ayant eu accès aux résultats des profilages réalisés par les robots. Notons aussi l’existence d’une catégorie « erreur » pour les dossiers n’ayant pas pu être traités par l’algorithme.
    ↑7 « Information sur le pilote du contrôle de la recherche d’emploi (CRE) rénové », Comité Social d’Entreprise Central des 13 et 14 mars 2024, disponible ici.
    ↑8 Une grande partie de nos demandes d’accès aux documents administratifs restent sans réponse. Nous reviendrons sur ce point dans un article dédié.
    ↑9 L’avis de la CADA citant le directeur de France Travail est disponible ici.
    ↑10 Propos tenus lors du CSEC de France Travail du 22 novembre 2024.
    ↑11 On pense assez naturellement à un algorithme du type « arbre de décision ».
    ↑12 Voir le tableau 1 du document Le contrôle de la recherche d’emploi en 2023, France Travail, disponible ici. A noter que ce chiffre est passé à 20% dans les régions ayant expérimentées le CRE rénové avant sa généralisation. Voir la slide 15 de ce document présenté en Comité Social et Economique Central de France Travail le 9 octobre 2024.
    ↑13 A noter ici que l’effet de la loi « plein emploi » sur le nombre total de radiations n’est pas clair. En effet, une partie de la « gestion de la liste » – situations entraînant auparavant une radiation automatique tel que l’absence à un rendez-vous ou l’absence à formation – est transférée au CRE. Pour des statistiques sur les radiations et les sorties des personnes inscrites à France Travail est disponible ici sur le site de la DARES.
    ↑14 Voir Le contrôle de la recherche d’emploi en 2023, France Travail, tableau 2, disponible ici. Voir aussi le tableau 1 de l’étude « Le contrôle de la recherche d’emploi : l’impact sur le parcours des demandeurs d’emploi », Pôle Emploi, 2018.
    ↑15 C. Vives, L. Sigalo Santos, J.-M Pillon, V. Dubois et H. Clouet, « Chômeurs, vos papiers ! », 2023. Cet essai revient sur les aspects historiques, politiques et sociologiques du contrôle dans les politiques publiques de l’emploi. Concernant l’impact des contrôles, notons l’étude « Le contrôle de la recherche d’emploi : l’impact sur le parcours des demandeurs d’emploi » publiée par Pôle Emploi en 2018, qui ne permet pas de conclure, tels que les résultats sont présentés, à un quelconque impact statistiquement significatif du contrôle.
    ↑16 V. Dubois, « Contrôler les assistés », Chapitre 10. Voir aussi l’article de Lucie Inland disponible ici, cet article du Monde et le rapport du Défenseur des Droits « La lutte contre la fraude aux prestations sociales » disponible ici. La Fondation pour le logement des défavorisés, le Défenseur des droits et le collectif Changer de Cap ont par ailleurs collecté de nombreux témoignages décrivant la violence vécue par les allocataires lors des contrôles. Difficultés de recours, contrôles répétés, suspension automatique des prestations sociales, intrusion humiliante dans les moindres recoins de la vie privée. Nous vous invitons à lire l’ensemble de ces témoignages disponibles ici.
    ↑17 C. Hentzgen, C. Pariset, K. Savary, E.Limon, « Quantifier le non-recours à l’assurance chômage », Direction de l’Animation de la recherche, des Études et des Statistiques, 2022, disponible ici. Céline Marc, Mickaël Portela, Cyrine Hannafi, Rémi Le Gall , Antoine Rode et Stéphanie, Laguérodie « Quantifier le non-recours aux minima sociaux en Europe », 2022, disponible ici.
    ↑18 Le nombre « d’heures d’activités hebdomadaires » à réaliser peut être diminué en fonction des difficultés personnelles (handicap, parent isolé…). Voir l’article 2 de la loi pour le « Plein Emploi ».
    ↑19 L’obligation d’inscription concerne aussi les personnes en situation de handicap suivies par Cap Emploi et les « jeunes » accompagnés par une mission locale ayant conclu un « Parcours contractualisé d’accompagnement vers l’emploi et l’autonomie » ou un « contrat d’engagement jeune ». Voir l’article 1 de la loi pour le « Plein Emploi ».
    ↑20 L’article 3 de la loi pour le « Plein Emploi » prévoit notamment la possibilité pour un département de déléguer le « prononcé des mesures de suspension du versement du RSA » pour les personnes dont France Travail est l’organisme référent. L’article 2 de la même loi une coopération accrue entre France Travail. Il précise aussi que France Travail est en charge du contrôle du « Contrat d’Engagement » des personnes au RSA dont il est l’organisme référent et qu’il peut proposer au Conseil Départemental des sanctions (suspension/radiation) concernant le versement du RSA. Des précisions seront apportées par décret dont une version préliminaire a fuité dans la presse.
    ↑21 Voir notamment la déclaration de la CNCDH, l’avis du CNLE et cette étude publiée par le Secours Catholique, Aequitaz et ATD Quart Monde.
    ↑22 Voir notamment cet appel et cet article sur leur action au conseil départemental du Finistère. Vous pouvez les contacter à l’adresse ag-rsa-francetravail-brest chez riseup.net.

    https://www.laquadrature.net/2025/05/22/france-travail-des-robots-pour-controler-les-chomeurs%C2%B7euses-et-le

    #contrôle #surveillance #loi_plein_emploi #chômeurs

    –-
    voir aussi : https://seenthis.net/messages/1116620
    ping @karine4

  • #Données_personnelles : l’#Europe va assouplir sa réglementation dans “les semaines à venir”
    https://www.politico.eu/article/donnees-personnelles-leurope-va-assouplir-sa-reglementation-dans-les-semain

    Longtemps considéré comme intouchable à #Bruxelles, le #RGPD est le prochain sur la liste de la croisade de l’#UE contre la surréglementation.

    Quand tu es journaliste ds un journal de droite, tu as le droit de ne pas être tout à fait sans idéologie dans tes papiers.

  • L’#IA générative a le potentiel de détruire la planète (mais pas comme vous le pensez)

    Le risque premier avec l’#intelligence_artificielle n’est pas qu’elle s’attaque aux humains comme dans un scénario de science-fiction. Mais plutôt qu’elle participe à détruire notre #environnement en contribuant au #réchauffement_climatique.

    La course à l’intelligence artificielle (IA) s’intensifie. Le 9 février, veille du sommet de l’IA à Paris, Emmanuel Macron promettait 109 milliards d’euros d’investissements publics et privés dans cette technologie pour les années à venir. Il entend concurrencer les États-Unis sur ce terrain, en faisant référence au programme « #Stargate » promis par Donald Trump, qui prévoit des dépenses de 500 milliards de dollars (484 milliards d’euros) dans l’IA aux États-Unis.

    Des deux côtés de l’Atlantique, ces centaines de milliards seront principalement investis dans la construction de nouveaux #centres_de_données pour entraîner puis faire fonctionner les outils d’intelligence artificielle. Pourtant, les #impacts_environnementaux de ces « #data_centers », mis de côté dans ce sprint à l’IA, présentent un danger réel pour notre planète.

    « Plus grand est le modèle, mieux c’est »

    L’ouverture au public de l’agent conversationnel d’#OpenAI, #ChatGPT, en novembre 2022 a marqué un tournant dans les usages de l’intelligence artificielle. Depuis, des dizaines d’#IA_génératives sont accessibles avec la capacité de résoudre des problèmes variés, allant de la rédaction d’un email professionnel à des suggestions de recette de tartes, en passant par des lignes de code informatique.

    Ces #grands_modèles_de_langage (en anglais, « #Large_language_models », ou #LLM), avec un grand nombre de paramètres, se sont développés ces dernières années, comme #Gemini de #Google, #Le_Chat de l’entreprise française #MistralAI ou #Grok de X. D’autres modèles permettent de créer de toutes pièces des images – on pense à #Dall-E ou #Midjourney –, des vidéos ou des chansons.

    Si leur utilisation est gratuite (bien que des versions payantes existent), le prix est payé non seulement par les utilisateurs dont les #données_personnelles sont captées, mais aussi par les populations les plus vulnérables au changement climatique. Avec leurs dizaines voire centaines de milliards de paramètres et des terabytes de #données pour les alimenter, faire tourner les systèmes d’IA générative demande beaucoup de #puissance_de_calcul de #serveurs, situés dans des centres de données. Donc beaucoup d’#électricité.

    Ces chiffres ne font qu’augmenter à mesure que les modèles se perfectionnent. « Aujourd’hui, l’idée dominante dans l’industrie des modèles génératifs est : "Plus grand est le modèle, mieux c’est" », résument les chercheurs Paul Caillon et Alexandre Allauzen dans The Conversation. Malgré un manque de transparence des entreprises, la consommation d’électricité de leurs modèles et leur impact climatique ont fait l’objet d’estimations par nombre de chercheurs et institutions.
    Combien consomme une requête ChatGPT ?

    On sait déjà que la version de ChatGPT sortie en mars 2023, #GPT-4, a demandé plus de puissance de calcul que la précédente. Le Conseil économique et social (Cese), dans un avis de septembre 2024, cite OpenAI et explique : entraîner la troisième version de son modèle de langage a demandé l’équivalent de l’énergie consommée par 120 foyers américains. La version suivante a multiplié par 40 cette consommation, avoisinant la consommation de 5000 foyers.

    Selon une étude, début 2023, une requête ChatGPT consommait environ 2,9 Wh d’électricité, soit presque dix fois plus qu’une simple recherche Google (0,3 Wh). D’autres études estiment l’#impact_carbone d’une requête à ChatGPT autour de 4 à 5 grammes d’équivalent CO2.

    Produire une #image, c’est pire. La startup #HuggingFace, à l’origine de l’#IA_Bloom, a été l’une des premières à estimer les #émissions_de_gaz_à_effet_de_serre de ces modèles. Dans une étude co-écrite avec l’Université états-unienne de Carnegie-Mellon, elle montre que la génération d’image est de loin la plus polluante des requêtes formulées à une IA générative (l’étude ne prend pas en compte les vidéos).

    Pour donner un ordre d’idée, générer 1000 images correspondrait à conduire environ 7 kilomètres avec une voiture essence. En comparaison, 1000 textes générés équivalent à moins d’un 1 mètre parcouru avec un même véhicule. Mais leur utilisation massive rend cet impact non négligeable. Selon le PDG d’OpenAI Sam Altman,, à la fin de l’année 2024, plus d’un milliard de requêtes étaient envoyées à ChatGPT par jour.

    En janvier 2023, soit quelques mois après qu’elle a été rendue accessible au public, ChatGPT avait accumulé 100 millions d’utilisateurs. Selon une estimation de Data for Good, rien que ce mois-là, l’utilisation de ChatGPT aurait pollué à hauteur de 10 113 tonnes équivalent CO2 – soit environ 5700 allers-retours en avion entre Paris et New York.

    En décembre 2024, selon son PDG, le service avait atteint les 300 millions d’utilisateurs… par semaine. Et ce, avec une version bien plus performante – donc bien plus polluante – que la précédente.

    De plus en plus de personnes utilisent l’IA au quotidien, et pour de plus en plus de tâches. Installés dans nos smartphones, accessibles en ligne ou même intégrés dans les frigos haut de gamme, les outils d’intelligence artificielle sont presque partout.

    Une explosion de la consommation d’électricité

    Selon l’Agence internationale de l’énergie, les centres de données représenteraient aujourd’hui environ 1 % de la consommation d’électricité mondiale. Mais cette consommation risque d’augmenter avec les usages croissants et le développement de nouveaux modèles d’IA. Selon l’agence, la consommation des centres de données pour l’IA et les #cryptomonnaies a dépassé 460 TWh en 2022. C’est autant que la consommation de la France. D’ici l’année prochaine, selon les scénarios, cette demande en électricité pourrait augmenter de 35 % (160 TWh en plus) à 130 % (590 TWh) ! « Soit l’équivalent d’au moins une Suède et au maximum une Allemagne » de plus dans le monde en quelques années.

    Une autre étude de l’ONG Beyond Fossils Fuels est encore plus alarmiste : « Au cours des six prochaines années, l’explosion de la demande en énergie des centres de données dans l’UE [Union européenne] pourrait entraîner une hausse de 121 millions de tonnes des émissions de CO2, soit presque l’équivalent des émissions totales de toutes les centrales électriques au gaz d’Italie, d’Allemagne et du Royaume-Uni en 2024 combinées » écrit l’ONG en février 2025.

    Les grandes entreprises de la tech cherchent à faire oublier leurs promesses écologiques. Selon le Financial Times, dans un article d’août 2024, les Gafam tentent de remettre en cause les règles de « zéro carbone net » qui leur permettent de compenser leurs émissions de CO2 par le financement d’énergies renouvelables (des règles déjà critiquées pour leur mode de calcul qui dissimule une grande partie de l’impact carbone réel de leurs consommation d’électricité).

    « Ces géants de la technologie sont sur le point de devenir les plus gros consommateurs d’énergie de demain, dans leur course au développement d’une intelligence artificielle énergivore », écrit le média britannique. Les émissions de gaz à effet de serre de Google augmentent par exemple de 13% par an (selon des chiffres de 2023). Une hausse notamment portée par l’augmentation de la consommation d’énergie de ses centres de données. Les émissions de Microsoft ont bondi de 29 % entre 2020 et 2023.

    Des investissements massifs aux dépens des populations

    Les chefs d’État des États-Unis comme de la France ont pourtant annoncé des investissements massifs dans l’IA pour les années à venir. L’Union européenne, par la voix d’Ursula von der Leyen, a également annoncé un investissement de 200 milliards en partenariat avec de grands groupes.

    Dans les trois cas, ces centaines de milliards d’euros sur la table serviront majoritairement à construire des centres de données pour permettre l’entraînement puis l’utilisation de ces technologies. En France, en amont du sommet de l’IA, le fonds canadien Brookfield a annoncé investir 15 milliards d’euros dans la construction de centres de données, tandis que les Émirats arabes unis ont mis entre 30 et 50 milliards sur la table pour la construction d’un centre de données géant.

    Il est peu probable que cette consommation d’électricité massive ne se fasse pas au détriment des populations. En Irlande, les centres de données monopolisent une part grandissante de l’électricité du pays, ils représentent aujourd’hui plus de 20 % de sa consommation. Cette situation crée des tensions avec les habitants, qui voient leurs factures augmenter alors que la consommation des ménages n’augmente pas.
    Des engagements « durables » non contraignants

    Aux États-Unis, raconte un article de Vert, Microsoft va rouvrir le premier réacteur de la centrale nucléaire de Three Mile Island, site d’un accident en 1979 qui avait irradié toute cette partie de la Pennsylvanie et traumatisé les habitants. Les géants de la Tech – Google, Amazon et Microsoft en tête – cherchent également à investir dans les « petits réacteurs modulaires » nucléaires, en cours de développement, pour alimenter leurs centres de données, ce qui pose la question de la sûreté d’une multitude de petites installations nucléaires face au risque d’accidents. Autre conséquence : le retour en grâce du charbon, fortement émetteur en gaz à effet de serre. Dans l’État de Géorgie, la promesse faite il y a trois ans de fermer toutes ses centrales à charbon a été abandonnée pour répondre au pic de demande d’électricité créé par les centres de données.

    Face à ces risques pour les populations locales comme pour celles les plus vulnérables au changement climatique dans le monde entier, les actions semblent faibles. Une déclaration d’intention a été signée à l’issue du sommet de l’IA, notamment avec l’Inde et la Chine. Il prévoit entre autres la création d’un observatoire de l’impact énergétique de l’IA, sous la responsabilité de l’Agence internationale de l’énergie. Il planifie également la création d’une « coalition pour l’IA durable » avec de grandes entreprises du secteur.

    Ces engagements en matière d’intelligence artificielle signés par les États et les entreprises présentes ne sont pas contraignants, et ne sont pas tournés vers l’action immédiate. De plus, ni le Royaume-Uni ni les États-Unis, qui concentre un tiers des centres de données du monde, n’ont signé ce texte.

    https://basta.media/l-ia-generative-a-le-potentiel-de-detruire-la-planete-mais-pas-comme-vous-l

    #environnement #climat #changement_climatique #pollution #visualisation #infographie

    • Se contenter de « calculer » la consommation énergétique directe de l’IA, c’est omettre de « calculer » ses effets induits, ses conséquences systémiques, puisque « grâce » à l’IA, on peut faire plus de croissance générale. Sans même parler des effets rebonds tous azimuts... Par exemple, on peut utiliser l’IA pour produire un article de blog. Cette utilisation d’IA consomme une unité d’énergie mais elle a aussi permis d’augmenter le volume de contenu qui lui même consomme de l’énergie sur les serveurs.

  • Certains cantons ont conservé les données de traçage du Covid malgré les recommandations de l’OFSP

    C’est le quotidien 24 heures https://www.24heures.ch/covid-19-qua-t-on-fait-des-donnees-de-la-population-vaudoise-168311245407 qui le révélait jeudi : les données personnelles de milliers de Vaudois récoltées pendant la pandémie ont été conservées.

    Données médicales, mais aussi informations récoltées dans le cadre des enquêtes d’entourage sont toujours détenues par le service du médecin cantonal, de manière non anonyme. Selon une recommandation de l’OFSP, ces données de traçage auraient pourtant dû être supprimées au bout de deux ans.

    Contacté, le médecin cantonal Karim Boubaker justifie leur conservation. « La loi demande que les informations constitutives du dossier médical soient conservées plus de 10 ans », explique-t-il.

    « Mon analyse, c’est que ces fichiers contiennent des informations médicales et qu’il faut donc les conserver. Les anonymiser ou séparer les données médicales précitées des données propres au traçage serait un énorme travail ».

    Il précise que ces données sont conservées, mais pas utilisées pour le moment.
    . . . . .

    #pandémie #données_personnelles #données #surveillance #santé #bigdata #algorithme #covid-19 #data #fichage_et_surveillance #vie_privée
    Source : https://www.rts.ch/info/suisse/2025/article/covid-19-conservation-des-donnees-personnelles-pratiques-divergentes-des-cantons

  • Le festival Tomorrowland utilisera dorénavant des gobelets intelligents réutilisables Eric Steffens, VRT

    Tomorrowland n’utilisera plus de gobelets jetables pour sa prochaine édition, se conformant ainsi à la législation en vigueur. Le festival de musique électronique a ainsi présenté mardi les « gobelets intelligents réutilisables » qui seront utilisés pour sa prochaine édition. Une amende et une « privation de patrimoine » infligées par le Département de l’Environnement flamand pèsent toutefois toujours sur le festival.


    Mi-décembre, Tomorrowland s’était vu infliger une amende de 727.000 euros parce qu’il n’avait pas utilisé de gobelets réutilisables lors de son édition 2024. L’organisation avait en effet décidé - contrairement à d’autres festivals - de ne pas encore passer complètement aux gobelets réutilisables, comme l’exige la législation. Le festival avait expliqué qu’il souhaitait d’abord épuiser son stock de gobelets jetables et avait indiqué que les gobelets réutilisables posaient des problèmes pratiques.

    Tomorrowland avait dès lors fait appel face à cette sanction, estimant la dérogation demandée « refusée à tort ».

    Lors de sa prochaine édition, le festival se conformera toutefois pleinement à la réglementation en vigueur. Mardi, Tomorrowland a annoncé que des « gobelets intelligents réutilisables » intégrant la technologie RFID (Radio Frequency Identification, ndlr) seraient désormais employés lors de ses évènements. 
 
    Une première lors de Tomorrowland Winter en France
    « Après des années de recherche et de développement, ces gobelets seront officiellement utilisés pour la première fois dans un festival de musique, lors de Tomorrowland Winter en France, avant d’être déployés à Tomorrowland Belgique », se réjouit l’organisation dans un communiqué. « Avec cette innovation, Tomorrowland fait un pas important vers un système de festival plus durable et efficace, où technologie et conscience écologique vont de pair sans compromettre l’expérience des festivaliers. »

    Ces nouveaux gobelets permettront aux visiteurs d’acheter leurs boissons et de rendre leurs verres sans faire la file. De plus, cette caution sera automatiquement attribuée au payeur, « ce qui facilite l’invitation de ses amis tout en réduisant les risques de fraude ou de vol », précise l’organisation.

    #flicage #surveillance #contrôle #fichage #données_personnelles #RFID #Festival #Musique #déchets

    Source : https://www.vrt.be/vrtnws/fr/2025/03/11/le-festival-tomorrowland-a-boom-utilisera-des-gobelets-intellige

  • La #justice confirme enfin l’#illégalité de #Briefcam

    #Victoire totale aujourd’hui au tribunal administratif de Grenoble ! L’affaire opposant La Quadrature du Net à la ville de #Moirans, en Isère, s’achève par une décision reconnaissant l’illégalité du logiciel de #vidéosurveillance algorithmique Briefcam. La justice ordonne à la commune de cesser immédiatement l’utilisation de ce #logiciel.

    Le logiciel de Briefcam est installé en toute opacité dans de très nombreuses communes de France. Techniquement, il permet d’appliquer des #filtres_algorithmiques sur les images de vidéosurveillance pour suivre ou retrouver les personnes en fonction de leur apparence, leurs vêtement, leur genre ou encore leur visage via une option de reconnaissance faciale. Depuis des années, nous dénonçons la dangerosité de cette #vidéosurveillance_algorithmique (#VSA) qui est un outil inefficace et utilisé surtout pour le contrôle des populations dans l’#espace_public. En parallèle, nous rappelons constamment son illégalité manifeste et le laisser-faire des pouvoirs publics.

    Ainsi, nous avons récemment critiqué la prise de position de la CNIL venue au secours de la police et la gendarmerie nationale, qui utilisaient ce logiciel depuis 2015 et 2017 sans l’avoir déclaré. La CNIL avait validé leur interprétation juridique farfelue pour sauver leur utilisation de ce logiciel dans le cadre d’enquête.

    Or, dans cette affaire contre l’utilisation de Briefcam à Moirans, la CNIL était opportunément intervenue quelques semaines avant l’audience pour affirmer que Briefcam serait légal si utilisé par une commune pour répondre à des réquisitions judiciaires. La décision du #tribunal administratif de Grenoble vient donc contredire frontalement cette position : il estime que le logiciel Briefcam met en œuvre un traitement de #données_personnelles disproportionné et qui n’est pas prévu par la loi, y compris dans le cas particulier d’enquêtes judiciaires.

    Cette décision d’illégalité est une #victoire sans précédent dans notre lutte contre la VSA. Les habitant·es de toute ville, à l’instar de Saint-Denis, Reims ou encore Brest qui ont choisi de mettre en place ce type de #surveillance_algorithmique, peuvent légitimement en demander l’arrêt immédiat. Les promoteurs politiques et économiques de la #Technopolice doivent faire face à la réalité : leurs velléités de #surveillance et de #contrôle de la population n’ont pas leur place dans notre société. La CNIL n’a plus d’autre choix que d’admettre son erreur et sanctionner les communes qui continueraient d’utiliser de la VSA.

    https://www.laquadrature.net/2025/01/30/la-justice-confirme-enfin-lillegalite-de-briefcam
    #efficacité #inefficacité #algorithmes

  • Academia in a stranglehold

    Academic publishers’ most valuable asset used to be their journals. Now, it’s the data they collect from researchers and then sell. That is extremely concerning, a growing group of Groningen researchers feels. ‘They control every part of the process and register every action you take.’

    When UG philosopher Titus Stahl is mulling over a new research topic, he has a range of tools available to help him get started. He could use academic search engine Scopus, for example, to point him to articles he could read online or download. He might also take notes using Mendeley, the useful software tool that helps you keep track of sources and references.

    If he then writes a grant proposal to get funding, there’s a good chance that the people assessing it use SciVal – software that analyses research trends, but also contains individual researchers’ citation and publication data.

    In the meantime, he could discuss his work on SSRN, a social platform used to share and peer-review early-stage research. And ultimately, of course, he’ll publish it in an open access magazine for which the university has paid article processing fees, or APCs, after which others will read it – at home, through their libraries, or again using Scopus.

    Then, finally, he will enter his article in Pure, the database the university uses to register all research done at the UG. His profile might change to reflect he has done research on a new topic. Affiliations may be added, since his network has changed too, so everyone can see who he collaborates with and what his strengths are.

    It’s all very streamlined and it all works beautifully. However, it doesn’t seem all that great anymore when you realise that every tool Stahl has been using, every platform on which he publishes, is owned by publishing mogul Elsevier. And Elsevier not only provides tools, it also collects user data. It logs everything Stahl does, every keystroke.

    ‘They know what you are working on, they know what you are submitting, they know the results of your peer reviews’, Stahl says. ‘They control every part of the process and register every action you take.’
    Everything is recorded

    And that gives them far more information than you might realise. When Eiko Fried, a psychologist from the University of Leiden, asked Elsevier for his personal data in December 2021, he received an email with hundreds of thousands of data points, going back many years.

    He discovered that Elsevier knew his name, his affiliations and his research. That his reviews had been registered, as well as the requests for peer review he had declined. Elsevier kept track of his IP-addresses – leading back to his home – his private telephone numbers, and the moments he logged in, which showed exactly when he worked and when he was on vacation. There were websites he visited, articles he had downloaded or just viewed online. Every click, every reference was recorded.

    Fried’s blog posts about this came as a shock and a revelation to Stahl. ‘It’s a long-term danger to academic freedom’, he says. ‘They control the academic process with an infrastructure that serves their interests, not ours. And they use the collected data to provide analytics services to whoever pays for them.’

    Stahl is one of a growing group of researchers inside and outside the University of Groningen who are concerned about the situation. He finds Oskar Gstrein on his side. ‘There is this ingrained power imbalance between the universities and the publishers’, says the data autonomy specialist with Campus Fryslân and the Jantina Tammes School of Digital Society, Technology and AI. ‘They own the journals people want to get into. And now they have taken over the whole publishing sphere.’

    In a recently published call for action, the Young Academy Groningen (YAG) and the Open Science Community Groningen, too, sounded the alarm. ‘It is time to formulate a long-term vision for a sustainable, independent higher education system’, they wrote. ‘We not only endorse this ambition but call on our university to reclaim ownership over our research output.’
    New business model

    They have reason to worry. Big publishers like Elsevier make billions of euros a year. Historically by publishing academic articles, but they have recently changed their business model. Now, they sell data connected to academic publishing. And that is ‘insanely profitable’, Stahl says.

    Profits of Elsevier’s parent company RELX rose to 10 percent in 2023 – 2 billion euros on a revenue of 10 billion. ‘Article submissions returned to strong growth, with pay-to-publish open-access articles continuing to grow particularly strongly’, RELX reported in February this year.

    Elsevier’s Erik Engstrom was the third highest paid CEO in the Netherlands between 2017 and 2020, earning over 30 million. Only the CEOs of Shell and another scientific publisher, Wolters Kluwer, earned more.

    Only a decade ago, it looked as if big publishers’ hold on academia was weakening. Universities and the Dutch government were done with first funding their research with public money, offering their papers for free to publishers like Elsevier (The Lancet, Cell), Springer (Nature) or Wiley (Advanced Materials), editing and peer reviewing those papers for free and then having to pay insane amounts of subscription fees to make those same papers available to their researchers again.

    They moved towards open access and as a result, 97 percent of the publications in Groningen is now published open access. ‘Their traditional business model no longer worked’, says Gstrein. ‘So publishers had to reinvent themselves.’
    Gold open access

    And that is exactly what they did, helped by a Dutch government that suggested ‘gold open access’ as the norm. ‘It’s undoubtedly linked to the fact that many of these publishers, such as Elsevier and Kluwer, have Dutch roots’, says Ane van der Leij, head of research support at the UB.

    ‘Gold’ means you don’t make the whole publishing process free – that would be the diamond option. Instead, a university pays APCs up front for its researchers, and in exchange publishers make their articles available to everyone.

    That’s great for the general public, which can now read those articles for free. But it’s not so great for the universities that still provide research papers and edit academic articles without any payment. ‘And the APCs are high’, Stahl says. ‘In some cases, I estimate there’s a profit margin of 75 percent.’

    Not all magazines are open access, either. Most of the traditional journals are a hybrid now – the content for which APCs have been paid are open access; the rest is still behind a paywall. ‘Unfortunately “hybrid” has become the new status quo for most of these publishers’ journals, and it has become a very profitable business model’, Van der Leij says.
    Package deals

    These days, publishers negotiate ‘read and publish’ package deals for their titles, which have become around 20 percent more expensive in five years. ‘Taking into account an average inflation rate of 3 percent per year over this period, that amounts to a price increase of approximately 12.6 percent’, says Van der Leij.

    Elsevier has received over 16 million euros in 2024 for their deal with umbrella organisation Universities of the Netherlands. Wily gets almost 5 million, Springer 3.6 million.

    The increase is not the same for all publishers, Van der Leij stresses, and the packages themselves also vary, making it difficult to compare. ‘On top of that, it’s become increasingly difficult to figure out which parts are “read” and which ones are “publish”.’

    Also telling: the maximum number of prepaid publications is reached sooner every year, because universities get fewer publications for their money. ‘Four years ago, we would be sending out our emails that we’d reached the cap halfway through November. Three years ago, we did so in early November. This year, it was at the end of October’, says Van der Leij.
    Commercialised research

    That’s not the biggest issue, though. What is worse is the other part of Elsevier’s business model, which they came up with when they realised they needed other ways to keep making money. And the hottest commodity they could think of was data.

    ‘The entire infrastructure that science builds on is commercialised’, says YAG chairperson Lukas Linsi. ‘They effectively turn science into shareholder returns and dividend payouts, and it’s all public money.’

    Pure, which showcases the research for almost all Dutch universities, used to be an independent Danish startup, but was bought by Elsevier in 2012. The formerly open platform Mendeley was acquired in 2013. SSRN in 2016. In 2017 Elsevier bought bepress, a repository used by six hundred academic institutes. ‘It has given them real time data access’, Gstrein says.

    Publishing is no longer the main focus for RELX and its competitors; instead, they have become data brokers. They sell data to insurance companies for risk analysis, to banks for fraud detection, to universities to assess their performance, and, especially egregious, to the US Immigration Service to target illegal immigrants.
    Less dependent

    Many researchers are worried by this. ‘In the Netherlands, universities tend to be a bit optimistic regarding these companies’, Stahl feels. After all, universities have in the past made plans to develop ‘professional services’ together with Elsevier. ‘They just don’t seem to see the danger.’

    In Germany and France, there is much more awareness about these issues. There, universities are less dependent on the big publishers, or are working to move away from them. ‘If some private parties have access to all this data, then that is a long-term threat to academic freedom. We have to do something about it. We need our own infrastructure’, Stahl says.

    Per the contracts, the publishers aren’t allowed to share data. ‘There is the data processing agreement’, explains Marijke Folgering, head of the UB’s development & innovation department. That’s a legally required document stating how data will be processed. ‘They’re not allowed to just use our data. I’m sure they can find ways to do so anyway, but we also enter into these contracts on a trust basis. If they do abuse it, they hopefully hurt themselves as well.’
    Critical

    Researcher Taichi Ochi with the Open Science Community Groningen has his doubts about their trustworthiness, though. ‘We need to move away from them, or we risk detrimental effects’, he says.

    Linsi points to the deal that academic publisher Taylor and Francis made: they sold the research published in their three thousand academic journals to Microsoft for 10 million dollars, to train their AI models. ‘This is happening now!’

    Folgering and Van der Leij with the UB also worry about the seemingly unending stream of data that is flowing towards the publishers. ‘There are currently no indications that the system is being abused’, says Van der Leij, ‘but we’re getting increasingly concerned.’

    ‘We’re definitely critical of what they’re doing’, Folgering agrees. ‘We’re exploring our options. Several German universities have gone in a different direction. But there are limits to what we can do. We simply don’t have that many developers.’

    The problem, of course, is that both researchers and university management want convenience. They want their publications in these publishers’ prestigious distribution channels. They want their tools and software to work quickly, and it’s all the better if these are available at a relatively low cost. ‘But we just don’t consider what that means in the long run. People underestimate how little choice we still have’, Gstrein says.
    Long-standing reputation

    The researchers don’t have an easy solution on hand. ‘If you want to move ahead in your career, you’re dependent on these companies’, Linsi realises. ‘They don’t decide what is published in their journals, but still, it’s their brands that are really important if you want to move up.’

    Diamond open access journals – like the UG’s own University of Groningen Press, founded in 2015 – may be a solution in the long term, but at this point their reputation just isn’t good enough yet, compared to journals with a long-standing reputation and impact factor.

    The tools the publishers provide do work very well, Linsi admits. Repositories in for example Germany – where universities are a lot less dependent on the big publishers – aren’t nearly as ‘attractive’ as the UG’s Pure.

    And there’s the matter of safety too. Are universities able to build alternatives that are safe and that won’t be vulnerable to hacks? ‘In practice, this is quite difficult’, Linsi says. ‘But other countries show that there is a way back.’
    Alternatives

    The UG could start by using alternatives when possible, he explains. Zotero instead of Mendeley, Firefox instead of Google Chrome. ‘There are alternatives for almost every app we use.’

    And it could – and should – find an alternative for Pure. ‘It’s a good first step’, Linsi feels. ‘It’s relatively easy and it is tangible.’

    In fact, Van der Leij says, the UG is currently working on its own data warehouse that would hold all the UG publications’ data and metadata. ‘It might allow us to stop using Pure and keep a hold of our data.’

    But it would be even better if Dutch – or even European – universities worked together on projects like these, to make sure there’s enough funding and that it is done right. In the long run, Linsi believes, it will probably be cheaper than paying huge sums of money to commercial providers.

    ‘We must understand our own worth’, agrees Taichi Ochi. ‘With the cost of publishing ever increasing, it also impacts how much money we can spend on other activities. We need to move away from a model that is draining money.’

    https://ukrant.nl/magazine/elseviers-stranglehold-on-academia-how-publishers-get-rich-from-our-data

    #science #recherche #université #données #édition_scientifique #publications #publications_scientifiques #Elsevier #business #données_personnelles #Stahl #RELX #Springer #Wiley #Gold_open_access

    –-

    ajouté à la métaliste sur la #publication_scientifique :
    https://seenthis.net/messages/1036396

  • Xavier m’écrit

    Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non).

    #free #sécurité #informatique #données_personnelles #vol_de_données

    Ça me fait toujours marrer quand derrière on te baratine que la CNIL a été prévenue, ce que j’apprécie surtout c’est qu’avec les données de plusieurs millions d’abonné·es free, la peine encourue pour revendre nos données ben c’est juste une goutte.

    Cette attaque a été notifiée à la Commission nationale de l’informatique et des libertés (CNIL) et à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une plainte pénale a également été déposée auprès du procureur de la République. L’auteur de ce délit s’expose à une peine de 5 ans d’emprisonnement et de 150 000 € d’amende.

    Merci Xavier, je n’oublie pas ton ami Emmanuel qui a refilé nos données médicales à Microsoft évidemment aussi bien sécurisées que celles de tes abonné·es.

    • 150 000 € pour 19 millions d’abonné·es, pour la CNIL on vaut pas grand chose, ça fait moins de 0,008 € par abonné, même pas un centime.

    • Actuellement grande braderie des données personnelles des clients et des usagers : Boulanger, Truffaut, Cultura, SFR, l’Assurance retraite ou encore Meilleurtaux

      Comment ça vous n’avez pas encore votre carte de fidélité avec vos listes d’achats pour un beau profilage client ?

    • Hello. En France, il y a une grosse parano sur la communication des IBAN que j’ai déjà remarquée dans différentes circonstances. Je n’arrive pas trop à piger pourquoi. Ici, on donne son numéro pour un peu tout, à des potes pour qu’ils versent de l’argent, les asso ou les gens le mette sur leur site etc... Parce qu’on ne peut que verser de l’argent dessus et qu’il n’y a pas de chéquier ici (qui est considéré comme archaïque).

      Dans le cas de cette fuite données, à quoi peuvent-ils servir ? Il me semble que les données d’identité (date de naissance, nom, adresse postale et mail) sont des données plus sensibles, non ?

    • « Mises en vente par le pirate, les données personnelles de 19,2 millions de clients de l’opérateur auraient été achetées pour 175.000 dollars » « Le fichier de données clients de l’opérateur téléphonique aurait été acheté pour la somme de 175.000 dollars (environ 160.000 euros). » C’est tout bénef.

  • LinkedIn condamnée à 310 millions d’euros suite à notre plainte collective
    https://www.laquadrature.net/2024/10/25/linkedin-condamnee-a-310-millions-deuros-suite-a-notre-plainte-collect

    Après Google et Amazon, c’est au tour de Microsoft d’être condamnée pour non respect du droit des #Données_personnelles. Hier, l’autorité de protection des données irlandaise a adressé à Microsoft une amende de 310 millions…

  • Microsoft’s Recall Feature on Windows 11 Not Removable After All
    https://digitalmarketreports.com/news/25091/microsoft-recall-feature-on-windows-11-not-removable-after-all

    Microsoft has confirmed that Windows 11 users will not be able to uninstall the controversial “Recall” feature, despite earlier reports suggesting otherwise. Recall, part of the Copilot+ suite announced in May, automatically captures screenshots of user activity on the operating system, ostensibly to help users easily retrieve past work.

    Oui, ils se foutent de not’gueule quand ils disent qu’ils nous ont entendu et que bon, ok, on va supprimer nos fonctionnalités attentatoires à la sécurité et à la vie privée.

  • À France Travail, l’essor du contrôle algorithmique
    https://www.laquadrature.net/2024/06/25/a-france-travail-lessor-du-controle-algorithmique

    « Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à…

    #Données_personnelles #Surveillance

    • Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’#emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’#algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos #données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de #surveillance de masse visant à un #contrôle_social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social.

      De la CAF à France Travail : vers la multiplication des « scores de suspicion »

      C’est, ici encore, au nom de la « lutte contre la fraude » que fut développé le premier algorithme de profilage au sein de #France_Travail. Les premiers travaux visant à évaluer algorithmiquement l’honnêteté des personnes sans emploi furent lancés dès 2013 dans la foulée de l’officialisation par la CAF de son algorithme de notation des allocataires. Après des premiers essais en interne jugés « frustrants »1, France Travail – à l’époque Pôle Emploi – se tourne vers le secteur privé. C’est ainsi que le développement d’un outil de détermination de la probité des demandeur·ses d’emploi fut confié à Cap Gemini, une multinationale du CAC402.

      La notation des chômeur·ses est généralisée en 2018.

      #chômeurs #guerre_aux_pauvres

  • À Strasbourg, l’Europe intensifie discrètement le fichage des migrants

    Dans un bâtiment discret, 350 personnes travaillent à renforcer le #contrôle et le #suivi des personnes entrant dans l’#espace_Schengen. Reportage dans l’agence de l’Union européenne qui renforce le fichage des migrants.

    Dans le quartier du Neuhof à Strasbourg, un bâtiment hautement sécurisé attire l’œil. Dissimulée derrière le gymnase du Stockfeld et entourée de terrains vagues, l’#agence_européenne #eu-Lisa est protégée par deux lignes barbelées surplombées de caméras. Aux alentours du bâtiment, les agents de sécurité portent au cœur un petit drapeau bleu aux douze étoiles. Des véhicules immatriculés en France, au Luxembourg, en Belgique et en Allemagne stationnent sur le parking.

    Créée en 2011 et opérationnelle depuis 2012, l’#agence_européenne_pour_la_gestion_opérationnelle_des_systèmes_d’information à grande échelle eu-Lisa développe et fait fonctionner les #bases_de_données de l’Union européenne (UE). Ces dernières permettent d’archiver les #empreintes_digitales des demandeurs et demandeuses d’asile mais aussi les demandes de visa ou les alertes de personnes portées disparues.

    Le siège d’eu-Lisa est à Tallinn, en Estonie. Un bureau de liaison se trouve à Bruxelles et son centre opérationnel a été construit à Strasbourg. Lundi 26 février, le ministre délégué aux affaires européennes, Jean-Noël Barrot, est venu visiter l’endroit, où sont développés les nouveaux systèmes de suivi et de #filtrage des personnes migrantes et des voyageurs et voyageuses non européen·nes. Le « cœur de Schengen », selon la communication de l’agence.

    Sur les écrans de contrôle, des ingénieur·es suivent les requêtes adressées par les États membres aux différents #systèmes_d’information_opérationnels. L’un d’eux raconte que le nombre de cyberattaques subies par l’agence est colossal : 500 000 tentatives par mois environ. La quantité de données gérées est aussi impressionnante : en 2022, le système #VIS (#Visa_Information_System) a enregistré 57 millions de demandes de #visas et 52 millions d’empreintes digitales. La même année, 86,5 millions d’alertes ont été transmises au système #SIS (#Schengen_Information_System).

    Dans l’agence du Neuhof, une vingtaine de nationalités sont représentées parmi les 350 travailleurs et travailleuses. En tout, 500 mètres carrés sécurisés abritent les données confidentielles de dizaines de millions de personnes. 2 500 ordinateurs fonctionnent en permanence pour une capacité de stockage de 13 petabytes, soit 13 milliards de gigabytes. Vingt-quatre heures sur vingt-quatre et sept jours sur sept, l’eu-Lisa répond aux demandes de données des pays membres de l’espace Schengen ou de l’Union européenne.

    Traduire la politique en #technologie

    Au-delà de la salle de réunion, impossible de photographier les murs ou l’environnement de travail. L’enclave européenne est sous haute surveillance : pour entrer, les empreintes digitales sont relevées après un passage des sacs au scanner. Un badge connecté aux empreintes permet de passer un premier sas d’entrée. Au-delà, les responsables de la sécurité suivent les visiteurs de très près, au milieu d’un environnement violet et vert parsemé de plantes de toutes formes.

    Moins de six mois avant le début des Jeux olympiques et paralympiques de Paris et deux mois après l’accord européen relatif au Pacte sur la migration et l’asile, l’agence aux 260 millions d’euros de budget en 2024 travaille à mettre en place le système de contrôle des flux de personnes le plus précis, efficace et complet de l’histoire de l’espace Schengen. Le pacte prévoit, par exemple, que la demande d’asile soit uniformisée à travers l’UE et que les « migrants illégaux » soient reconduits plus vite et plus efficacement aux frontières.

    Pour accueillir le ministre, #Agnès_Diallo, directrice de l’eu-Lisa depuis 2023, diffuse une petite vidéo en anglais dans une salle de réunion immaculée. L’ancienne cadre de l’entreprise de services numériques #Atos présente une « agence discrète » au service de la justice et des affaires intérieures européennes. À l’eu-Lisa, pas de considération politique. « Notre agence a été créée par des règlements européens et nous agissons dans ce cadre, résume-t-elle. Nous remplaçons les frontières physiques par des #frontières_numériques. Nous travaillons à laisser passer dans l’espace Schengen les migrants et voyageurs qui sont légitimes et à filtrer ceux qui le sont moins. »

    L’eu-Lisa invente, améliore et fait fonctionner les sept outils informatiques utilisés en réseau par les États membres et leurs institutions. L’agence s’assure notamment que les données sont protégées. Elle forme aussi les personnes qui utiliseront les interfaces, comme les agents de #Frontex, d’#Europol ou de la #police_aux_frontières. Au Neuhof, les personnes qui travaillent n’utilisent pas les informations qu’elles stockent.

    Fichés dès l’âge de 6 ans

    L’agence eu-Lisa héberge les empreintes digitales de 7,5 millions de demandeurs et demandeuses d’asile et « migrants illégaux » dans le système appelé Eurodac. Pour le moment, les données récoltées ne sont pas liées à l’identité de la personne ni à sa photo. Mais avec l’adoption des nouvelles règles relatives au statut de réfugié·e en Europe, Eurodac est en train d’être complètement refondé pour être opérationnel en 2026.

    La réforme décidée en décembre 2023 prévoit que les demandeurs d’asile et « migrants illégaux » devront fournir d’autres informations biométriques : en plus de leurs empreintes, leur photo, leur nom, prénom et date et lieu de naissance seront enregistrés lors de leur entrée dans Schengen. La procédure vaudra pour toute personne dès l’âge de 6 ans (contre 14 avant la réforme). Les #données qui étaient conservées pour dix-huit mois pourront l’être jusqu’à cinq ans.

    La quantité d’informations stockées va donc croître exponentiellement dès 2026. « Nous aurons énormément de données pour #tracer les mouvements des migrants irréguliers et des demandeurs d’asile », se félicite #Lorenzo_Rinaldi, l’un des cadres de l’agence venant tout droit de Tallinn. Eurodac permettra à n’importe quelle autorité policière habilitée de savoir très précisément par quel pays est arrivée une personne, ainsi que son statut administratif.

    Il sera donc impossible de demander une protection internationale dans un pays, puis de s’installer dans un autre, ou de demander une seconde fois l’asile dans un pays européen. Lorenzo Rinaldi explique : « Aujourd’hui, il nous manque la grande image des mouvements de personnes entre les États membres. On pourra identifier les tendances, recouper les données et simplifier l’#identification des personnes. »

    Pour identifier les itinéraires et contrôler les mouvements de personnes dans l’espace Schengen, l’agence travaille aussi à ce que les sept systèmes d’information fonctionnent ensemble. « Nous avions des bases de données, nous aurons désormais un système complet de gestion de ces informations », se réjouit Agnès Diallo.

    L’eu-Lisa crée donc également un système de #traçage des entrées et des sorties de l’espace Schengen, sobrement appelé #Entry-Exit_System (ou #EES). Développé à l’initiative de la France dès 2017, il remplace par une #trace_numérique le tamponnage physique des passeports par les gardes-frontières. Il permet notamment de détecter les personnes qui restent dans Schengen, après que leur visa a expiré – les #overstayers, celles qui restent trop longtemps.

    Frontières et Jeux olympiques

    « Toutes nos équipes sont mobilisées pour faire fonctionner le système EES [entrées-sorties de l’espace Schengen – ndlr] d’ici à la fin de l’année 2024 », précise Agnès Diallo. Devant le Sénat en 2023, la directrice exécutive avait assuré que l’EES ne serait pas mis en place pendant les Jeux olympiques et paralympiques si son influence était négative sur l’événement, par exemple s’il ralentissait trop le travail aux frontières.

    En France et dans onze autres pays, le système EES est testé depuis janvier 2024. L’agence estime qu’il sera prêt pour juillet 2024, comme l’affirme Lorenzo Rinaldi, chef de l’unité chargé du soutien à la direction et aux relations avec les partenaires de l’eu-Lisa : « Lorsqu’une personne non européenne arrive dans Schengen, elle devra donner à deux reprises ses #données_biométriques. Donc ça sera plus long la première fois qu’elle viendra sur le territoire, mais ses données seront conservées trois ans. Les fois suivantes, lorsque ses données seront déjà connues, le passage sera rapide. »

    Ce système est prévu pour fonctionner de concert avec un autre petit nouveau, appelé #Etias, qui devrait être opérationnel d’ici au premier semestre de 2025. Les personnes qui n’ont pas d’obligation d’avoir de visa pour entrer dans 30 pays européens devront faire une demande avant de venir pour un court séjour – comme lorsqu’un·e citoyen·ne français·e demande une autorisation électronique de voyage pour entrer aux États-Unis ou au Canada. La procédure, en ligne, sera facturée 7 euros aux voyageurs et voyageuses, et l’autorisation sera valable trois ans.

    L’eu-Lisa gère enfin le #système_d’information_Schengen (le #SIS, qui gère les alertes sur les personnes et objets recherchés ou disparus), le système d’information sur les visas (#VIS), la base de données des #casiers_judiciaires (#Ecris-TCN) et le #Codex pour la #coopération_judiciaire entre États membres.

    L’agence travaille notamment à mettre en place une communication par Internet entre ces différents systèmes. Pour Agnès Diallo, cette nouveauté permettra une coordination sans précédent des agents aux frontières et des institutions judiciaires nationales et européennes dans les 27 pays de l’espace Schengen.

    « On pourra suivre les migrants, réguliers et irréguliers », se félicite Fabienne Keller, députée européenne Renew et fervente défenseuse du Pacte sur les migrations. Pour la mise en place de tous ces outils, l’agence eu-Lisa devra former les États membres mais également les transporteurs et les voyageurs et voyageuses. L’ensemble de ces systèmes devrait être opérationnel d’ici à la fin 2026.

    https://www.mediapart.fr/journal/international/050324/strasbourg-l-europe-intensifie-discretement-le-fichage-des-migrants

    #fichage #migrations #réfugiés #biométrie
    via @karine4
    ping @_kg_

  • Piratage de Viamedis et Almerys : les données de santé plus de 33 millions de personnes concernées, selon la CNIL
    https://www.lemonde.fr/pixels/article/2024/02/07/piratage-de-viamedis-et-almerys-les-donnees-de-plus-de-33-millions-de-person

    Les données des millions d’assurés qui ont été compromises lors du piratage des bases de données sont « l’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », selon la CNIL.

  • La France crée un fichier des personnes trans
    https://www.laquadrature.net/2024/01/30/la-france-cree-un-fichier-des-personnes-trans

    Révélé et dénoncé par plusieurs associations de défense des droits des personnes transgenres, un récent arrêté ministériel autorise la création d’un fichier de recensement des changements d’état civil. Accessible par la police et présenté comme…

    #Données_personnelles #Surveillance

  • Pourquoi la #promesse de « vidéogérer » les #villes avec des caméras couplées à une #intelligence_artificielle séduit et inquiète

    Sécurité, stationnement, déchets… #Nîmes a inauguré, à l’automne 2023, son « #hyperviseur_urbain ». Alors que la collecte et la circulation des #données sont au cœur de ce système, l’antenne locale de la Ligue des droits de l’homme s’inquiète. D’autres villes, comme #Dijon, ont déjà fait ce choix.

    La salle a des allures de centre spatial : un mur de plus de 20 mètres de long totalement recouvert d’écrans, 76 au total, chacun pouvant se diviser en neuf. Ici parviennent les images des 1 300 #caméras disposées dans la ville de Nîmes et dans certaines communes de son agglomération.

    A la pointe depuis 2001 sur le thème des #caméras_urbaines, se classant sur le podium des villes les plus vidéosurveillées du pays, Nîmes a inauguré, le 13 novembre 2023, son « #hyperviseur ». Ce plateau technique et confidentiel de 600 mètres carrés est entièrement consacré à une « nouvelle démarche de #territoire_intelligent », indique le maire (Les Républicains), Jean-Paul Fournier, réélu pour un quatrième mandat en 2020.

    Avec cet outil dernier cri, sur lequel se relaient nuit et jour une cinquantaine de personnes, la ville fait un grand pas de plus vers la #smart_city (la « #ville_connectée »), une tendance en plein développement pour la gestion des collectivités.

    Ce matin-là, les agents en poste peuvent facilement repérer, à partir d’images de très haute qualité, un stationnement gênant, un véhicule qui circule trop vite, un dépotoir sauvage, un comportement étrange… L’hyperviseur concentre toutes les informations en lien avec la gestion de l’#espace_public (sécurité, circulation, stationnement, environnement…), permet de gérer d’un simple clic l’éclairage public d’un quartier, de mettre une amende à distance (leur nombre a augmenté de 23 % en un an avec la #vidéoverbalisation) ou de repérer une intrusion dans un des 375 bâtiments municipaux connectés.

    La collecte et la circulation des données en temps réel sont au cœur du programme. Le système s’appuie sur des caméras dotées, et c’est la nouveauté, de logiciels d’intelligence artificielle dont les #algorithmes fournissent de nouvelles informations. Car il ne s’agit plus seulement de filmer et de surveiller. « Nous utilisons des caméras qui permettent de gérer en temps réel la ville et apportent des analyses pour optimiser la consommation d’énergie, par exemple, ou gérer un flux de circulation grâce à un logiciel capable de faire du comptage et de la statistique », explique Christelle Michalot, responsable de ce centre opérationnel d’#hypervision_urbaine.

    #Reconnaissance_faciale

    Si la municipalité n’hésite pas à présenter, sur ses réseaux sociaux, ce nouveau dispositif, elle est en revanche beaucoup plus discrète lorsqu’il s’agit d’évoquer les #logiciels utilisés. Selon nos informations, la ville travaille avec #Ineo, une entreprise française spécialisée dans le domaine de la #ville_intelligente. Le centre de police municipale est également équipé du logiciel de #surveillance_automatisée #Syndex, et d’un logiciel d’analyse pour images de vidéosurveillance très performant, #Briefcam.

    Ce dernier logiciel, de plus en plus répandu dans les collectivités françaises, a été mis au point par une société israélienne rachetée par le japonais #Canon, en 2018. Il est surtout au cœur de plusieurs polémiques et d’autant d’actions en justice intentées par des syndicats, des associations et des collectifs qui lui reprochent, notamment, de permettre la reconnaissance faciale de n’importe quel individu en activant une fonctionnalité spécifique.

    Le 22 novembre 2023, le tribunal administratif de Caen a condamné la communauté de communes normande #Cœur-Côte-Fleurie, ardente promotrice de cette solution technologique, « à l’effacement des données à caractère personnel contenues dans le fichier », en estimant que l’utilisation de ce type de caméras dites « intelligentes » était susceptible de constituer « une atteinte grave et manifestement illégale au #respect_de_la_vie_privée ». D’autres décisions de la #justice administrative, comme à #Nice et à #Lille, n’ont pas condamné l’usage en soi du #logiciel, dès lors que la possibilité de procéder à la reconnaissance faciale n’était pas activée.

    A Nîmes, le développement de cette « surveillance de masse » inquiète la Ligue des droits de l’homme (LDH), la seule association locale à avoir soulevé la question de l’utilisation des #données_personnelles au moment de la campagne municipale, et qui, aujourd’hui encore, s’interroge. « Nous avons le sentiment qu’on nous raconte des choses partielles quant à l’utilisation de ces données personnelles », explique le vice-président de l’antenne nîmoise, Jean Launay.

    « Nous ne sommes pas vraiment informés, et cela pose la question des #libertés_individuelles, estime celui qui craint une escalade sans fin. Nous avons décortiqué les logiciels : ils sont prévus pour éventuellement faire de la reconnaissance faciale. C’est juste une affaire de #paramétrage. » Reconnaissance faciale officiellement interdite par la loi. Il n’empêche, la LDH estime que « le #droit_à_la_vie_privée passe par l’existence d’une sphère intime. Et force est de constater que cette sphère, à Nîmes, se réduit comme peau de chagrin », résume M. Launay.

    « Des progrès dans de nombreux domaines »

    L’élu à la ville et à Nîmes Métropole Frédéric Escojido s’en défend : « Nous ne sommes pas Big Brother ! Et nous ne pouvons pas faire n’importe quoi. L’hyperviseur fonctionne en respectant la loi, le #RGPD [règlement général sur la protection des données] et selon un cahier des charges très précis. » Pour moderniser son infrastructure et la transformer en hyperviseur, Nîmes, qui consacre 8 % de son budget annuel à la #sécurité et dépense 300 000 euros pour installer entre vingt-cinq et trente nouvelles caméras par an, a déboursé 1 million d’euros.

    La métropole s’est inspirée de Dijon, qui a mis en place un poste de commandement partagé avec les vingt-trois communes de son territoire il y a cinq ans. En 2018, elle est arrivée deuxième aux World Smart City Awards, le prix mondial de la ville intelligente.

    Dans l’agglomération, de grands panneaux lumineux indiquent en temps réel des situations précises. Un accident, et les automobilistes en sont informés dans les secondes qui suivent par le biais de ces mâts citadins ou sur leur smartphone, ce qui leur permet d’éviter le secteur. Baptisé « #OnDijon », ce projet, qui mise aussi sur l’open data, a nécessité un investissement de 105 millions d’euros. La ville s’est associée à des entreprises privées (#Bouygues_Telecom, #Citelum, #Suez et #Capgemini).

    A Dijon, un #comité_d’éthique et de gouvernance de la donnée a été mis en place. Il réunit des habitants, des représentants de la collectivité, des associations et des entreprises pour établir une #charte « de la #donnée_numérique et des usages, explique Denis Hameau, adjoint au maire (socialiste) François Rebsamen et élu communautaire. La technique permet de faire des progrès dans de nombreux domaines, il faut s’assurer qu’elle produit des choses justes dans un cadre fixe. Les données ne sont pas là pour opprimer les gens, ni les fliquer ».

    Des « systèmes susceptibles de modifier votre #comportement »

    Nice, Angers, Lyon, Deauville (Calvados), Orléans… Les villes vidéogérées, de toutes tailles, se multiplient, et avec elles les questions éthiques concernant l’usage, pour le moment assez flou, des données personnelles et la #surveillance_individuelle, même si peu de citoyens semblent s’en emparer.

    La Commission nationale de l’informatique et des libertés (CNIL), elle, veille. « Les systèmes deviennent de plus en plus performants, avec des #caméras_numériques capables de faire du 360 degrés et de zoomer, observe Thomas Dautieu, directeur de l’accompagnement juridique de la CNIL. Et il y a un nouveau phénomène : certaines d’entre elles sont augmentées, c’est-à-dire capables d’analyser, et ne se contentent pas de filmer. Elles intègrent un logiciel capable de faire parler les images, et ces images vont dire des choses. »

    Cette nouveauté est au cœur de nouveaux enjeux : « On passe d’une situation où on était filmé dans la rue à une situation où nous sommes analysés, reprend Thomas Dautieu. Avec l’éventuel développement des #caméras_augmentées, quand vous mettrez un pied dans la rue, si vous restez trop longtemps sur un banc, si vous prenez un sens interdit, vous pourrez être filmé et analysé. Ces systèmes sont susceptibles de modifier votre comportement dans l’espace public. Si l’individu sait qu’il va déclencher une alerte s’il se met à courir, peut-être qu’il ne va pas courir. Et cela doit tous nous interpeller. »

    Actuellement, juridiquement, ces caméras augmentées ne peuvent analyser que des objets (camions, voitures, vélos) à des fins statistiques. « Celles capables d’analyser des comportements individuels ne peuvent être déployées », assure le directeur à la CNIL. Mais c’est une question de temps. « Ce sera prochainement possible, sous réserve qu’elles soient déployées à l’occasion d’événements particuliers. » Comme les Jeux olympiques.

    Le 19 mai 2023, le Parlement a adopté une loi pour mieux encadrer l’usage de la #vidéoprotection dite « intelligente ». « Le texte permet une expérimentation de ces dispositifs, et impose que ces algorithmes ne soient mis en place, avec autorisation préfectorale, dans le temps et l’espace, que pour une durée limitée, par exemple pour un grand événement comme un concert. Ce qui veut dire que, en dehors de ces cas, ce type de dispositif ne peut pas être déployé », insiste Thomas Dautieu. La CNIL, qui a déjà entamé des contrôles de centres d’hypervision urbains en 2023, en fait l’une de ses priorités pour 2024.

    https://www.lemonde.fr/societe/article/2024/01/02/pourquoi-la-promesse-de-videogerer-les-villes-avec-des-cameras-couplees-a-un
    #vidéosurveillance #AI #IA #caméras_de_vidéosurveillance

  • Europe’s (digital) borders must fall: End the expansion of the EU’s #EURODAC database

    110 civil society organisations, including Statewatch, are calling for an end to the expansion of EURODAC, the EU database for the registration of asylum-seekers. EURODAC, designed to collect and store migrants’ data, is being transformed into an expansive, violent surveillance tool that will treat people seeking protection as crime suspects This will include children as young as 6 whose fingerprints and facial images will be integrated into the database.

    Europe’s (digital) borders must fall: End the expansion of the EU’s EURODAC database

    EURODAC is being expanded to enforce the EU’s discriminatory and hostile asylum and migration policies: increasing deportations, detention and a broader climate of racialised criminalisation.

    The endless expansion of EURODAC must be stopped: https://edri.org/wp-content/uploads/2021/10/EURODAC-open-letter.pdf.

    What is EURODAC?

    Since its inception in 2003, the EU has repeatedly expanded the scope, size and function of EURODAC.

    Created to implement the Dublin system and record the country responsible for processing asylum claims, it originally stored only limited information, mostly fingerprints, on few categories of people: asylum-seekers and people apprehended irregularly crossing the EU’s borders. From the start, this system has been a means to enforce a discriminatory and harmful deportation regime, premised on a false framework of ‘illegality’ in migration.

    After a first reform in 2013 allowing police to access the database, the EU continues to detach EURODAC from its asylum framework to re-package it as a system pursuing ‘wider immigration purposes’. The changes were announced in 2020 in the EU Migration Pact, the EU’s so-called ‘fresh start on migration’. Rather than a fresh start, the proposals contain the harshest proposals in the history of the EU’s migration policy: more detention, more violence, and a wider, evolved tool of surveillance in the EURODAC database to track, push back and deport ‘irregular’ migrants.
    How is the EURODAC expansion endangering people’s human rights?

    More people included into the database: Concretely EURODAC would collect a vast swathe of personal data (photographs, copies of travel and identity documents, etc.) on a wider range of people: those resettled, relocated, disembarked following search and rescue operations and arrested at borders or within national territories.

    Data collection on children: The reform would also lower the threshold for storing data in the system to the age of six, extend the data retention periods and weaken the conditions for law enforcement consultation of the database.

    Including facial images into the database: The reform also proposes the expansion to include facial images. Comparisons and searches run in the database can be based on facial recognition – a technology notoriously error-prone and unreliable that threatens the essence of dignity, non- discrimination and privacy rights. The database functions as a genuine tool of violence as it authorises the use of coercion against asylum-seekers who refuse to give up their data, such as detention and forced collection. Not only do these changes contradict European data protection standards, they demonstrate how the EU’s institutional racism creates differential standards between migrants and non-migrants.

    Access by law enforcement: EURODAC’s revamp also facilitates its connection to other existing EU migration and police databases as part of the so-called ‘interoperability’ initiative - the creation of an overarching EU information system designed to increase police identity checks of non-EU nationals, leading to increased racial profiling. These measures also unjustly equate asylum seekers with criminals. Lastly, the production of statistics from EURODAC data and other databases is supposed to inform future policymaking on migration movement trends. In reality, it is expected that they will facilitate illegal pushbacks and overpolicing of humanitarian assistance.
    End the expansion of EURODAC

    The EURODAC reform is a gross violation of the right to seek international protection, a chilling conflation of migration and criminality and an out-of-control surveillance instrument. The far- right is already anticipating the next step, calling for the collection of DNA.

    The EURODAC reform is one of many examples of the digitalisation of Fortress Europe. It is inconsistent with fundamental rights and will undermine frameworks of protection and rights of people on the move.

    We demand:

    – That the EU institutions immediately reject the expansion of EURODAC.
    - For legislators to prevent further violence and ensure protection at and within borders when rethinking the EURODAC system.
    - For legislators and EU Member States to establish safe and regular pathways for migrants and protective reception conditions.

    https://www.statewatch.org/news/2023/december/europe-s-digital-borders-must-fall-end-the-expansion-of-the-eu-s-eurodac
    #base_de_données #surveillance #frontières #frontières_digitales #migrations #asile #réfugiés #Dublin #règlement_Dublin #données_personnelles #reconnaissance_faciale #technologie

  • Comment la CAF a traité mon dossier avec un « robot à dettes » | Le Club
    https://blogs.mediapart.fr/lucieinland/blog/150421/comment-la-caf-traite-mon-dossier-avec-un-robot-dettes

    26 mars, appel de la CAF. Le conseiller confirme que c’est bien « le logiciel » qui a traité mon dossier selon certains paramètres. Jugé trop complexe depuis la déclaration de création de micro-entreprise, il a été remis à zéro puis re-traité, d’où la demande de documents. Malgré mes questions je n’ai pas compris pourquoi seule ma situation d’auto-entrepreneuse est retenue, bien qu’aussi salariée, avec les déclarations de revenus adéquates. Le mail notifiant ma dette a été envoyé dès que l’algorithme a détecté une erreur dans mon dossier. La machine menace d’abord, les humain·es vérifient ensuite. Seul mon mail a permis à la CAF de classer vite et correctement mon dossier. Et ce sont bien leurs outils automatisés qui m’ont mis en difficulté.

  • ENQUETE. Idemia : la face cachée de la société qui fabrique notre carte Vitale
    https://www.francetvinfo.fr/sciences/high-tech/enquete-idemia-la-face-cachee-de-la-societe-qui-fabrique-notre-carte-vi


    Portrait du suspect (gauche) et celui de Nijeer Parks (droite), capture d’écran d’une vidéo CNN Business (Youtube). (AUCUN)


    Démonstration de l’utilisation d’un kit d’enregistrement biométrique des électeurs (BVR) à Kasarani, Nairobi, le 6 novembre 2012. (SIMON MAINA / AFP)


    Une femme kényane regarde une caméra biométrique, collecte de données générant un numéro unique qui permet d’accéder aux services gouvernementaux. (SIMON MAINA / AFP)

    Spécialisée dans les technologies de l’identité biométrique, l’entreprise Idemia accumule les déboires en France et à l’étranger. (JOHN LUND / GETTYIMAGES)

    –---

    Le leader français de l’identité biométrique, Idemia, est notamment connu pour fabriquer la carte Vitale française. Mais ces dernières années, il a rencontré de nombreux déboires : sanction du PNF, incarcération abusive après une erreur de son algorithme et annulation d’une élection au Kenya.

    Quand Nijeer Parks répond à l’appel de sa grand-mère, en ce jour de janvier 2019, rien ne pouvait le préparer à ce qui allait suivre. À l’époque, ce charpentier afro-américain de 28 ans mène une vie rangée dans le New Jersey, dans le nord-est des États-Unis. Sa grand-mère lui apprend alors qu’il est recherché par la police de Woodbridge, une ville située à 30 kilomètres de son domicile. Il est accusé de vol à l’étalage et de tentative d’homicide contre un policier.

    >> ENQUETE. Quand le ministère de la Santé retoque deux campagnes de prévention sur l’alcool

    Les faits se sont déroulés à Woodbridge. Mais Nijeer Parks n’y a jamais mis les pieds. Il n’a même aucune idée d’où se trouve cette ville. Il décide donc de se rendre au commissariat pour lever le malentendu et prouver son innocence. Mais rien ne se passe comme prévu : malgré ses explications, Nijeer Parks se retrouve menotté dans une salle d’interrogatoire. Ce qu’il ignore encore, c’est qu’il est victime d’un faux positif produit par un algorithme de reconnaissance faciale fourni par la société française Idemia. Celle-là même qui fabrique les cartes Vitales en France. Une erreur d’identification d’un logiciel couplé à une enquête bâclée. « Ils ont ignoré toutes les preuves qui pouvaient l’innocenter, déplore Daniel Sexton, l’avocat de Nijeer Parks. Ils avaient des empreintes digitales, des traces d’ADN, des images de vidéo-surveillance… Mais comme ils ont eu ce résultat de reconnaissance faciale, ils ont juste ignoré le reste ».

    Selon l’avocat, le procureur avait connaissance de ces manquements de la police. Il requerra pourtant une peine de 20 ans à l’encontre de Nijeer Parks, évoquant ses antécédents judiciaires. Plus jeune, Parks avait été impliqué dans une affaire de possession et de vente de substances illicites.
    Des machines imparfaites

    Les charges seront finalement abandonnées en novembre 2019, compte tenu des preuves présentées devant la cour par la défense. Au moment des faits, Nijeer Parks était en train d’effectuer un transfert d’argent dans une agence Western Union à des kilomètres de Woodbridge. Il aura tout de même passé 13 jours derrière les barreaux pour un délit qu’il n’avait pas commis, et il déposera plainte contre la police.

    « Ils ont fait confiance au logiciel. Sauf que le logiciel n’était pas fiable. C’est un problème que l’on voit dans toutes les affaires d’arrestations injustifiées que nous connaissons, explique Nate Wessler, responsable des questions liées à la vie privée et aux technologies pour l’Union américaine pour les libertés civiles (ACLU). Les gens supposent que ces machines sont plus précises et intelligentes qu’un humain. Sauf que ce sont des programmes informatiques créés par des humains, entraînés sur des données imparfaites et qui font souvent des erreurs ».
    Portrait du suspect (gauche) et celui de Nijeer Parks (droite), capture d’écran d’une vidéo CNN Business (Youtube). (AUCUN)
    Portrait du suspect (gauche) et celui de Nijeer Parks (droite), capture d’écran d’une vidéo CNN Business (Youtube). (AUCUN)

    Interrogé sur cette affaire, Idemia n’a pas souhaité répondre, la société n’étant pas poursuivie par Nijeer Parks. Elle a néanmoins précisé que ses équipes travaillaient activement pour « améliorer l’équité des algorithmes d’intelligence artificielle » et rappelle que ses technologies sont « à la première place au test d’équité pour la détection de fausses correspondances », réalisé par l’Institut national américain des normes et de la technologie, le NIST.

    L’histoire d’Idemia démarre dans les années 1970, en Afrique de l’Ouest sous son nom originel : Morpho. C’est dans les anciennes colonies françaises que l’entreprise, alors une émanation de la Caisse des dépôts et consignations (CDC), développe des solutions de biométrie pour aider à la création d’états-civils inexistants ou imparfaits dans ces pays nouvellement indépendants. « Il fallait trouver un critère physique permettant d’assurer la construction d’un état-civil, se souvient Bernard Didier, fondateur de Morpho. Ils ont pensé que l’empreinte digitale pourrait être un bon moyen de le faire ».

    Mais le marché n’est pas rentable. En dépit des millions d’euros injectés dans le projet par la CDC, les contrats africains ne rapportent pas assez. « C’était un marché insolvable, regrette Bernard Didier. Les États n’avaient pas l’argent nécessaire au financement des équipements de très haute technologie. Nous nous sommes donc rabattus sur des activités de police scientifique. Parce que les polices du monde entier cherchaient des solutions pour les collections d’empreintes digitales ». Le marché « sécurité » devient donc prioritaire. Il conduit la société à démarcher aux États-Unis. À partir des années 1980, elle y signe plusieurs contrats, avec des villes moyennes comme Tacoma, au sud de Seattle, mais aussi la ville puis l’État de New York, et même le FBI en 2009, à qui elle fournit un logiciel de reconnaissance d’empreintes digitales.

    Appareil de reconnaissance digitale, capture d’écran d’une vidéo promotionnelle Idemia, Vimeo, septembre 2023. (AUCUN)
    Appareil de reconnaissance digitale, capture d’écran d’une vidéo promotionnelle Idemia, Vimeo, septembre 2023. (AUCUN)

    Le succès est au rendez-vous. Mais la Caisse des dépôts décide de se séparer de Morpho en 1993. Elle vend la société pour un euro symbolique à Sagem, une entreprise française alors spécialisée dans les télécommunications. S’en suivent un certain nombre de fusions et de rachats. En 2005, Sagem devient Safran. Morpho est rebaptisée plusieurs fois. Puis, en 2017, Safran vend sa filiale biométrique au fonds d’investissement américain Advent, qui la fusionne avec une autre entreprise française : Oberthur Technologies, imprimeur high-tech et spécialiste en sécurité numérique. De là, naît Idemia, qui est aujourd’hui considérée comme une des entreprises leader dans le secteur « identité et sécurité », aux côtés de Thalès.
    Une amende de huit millions d’euros

    Mais la suite ne sera pas de tout repos. En 2017, le parquet national financier (PNF) reçoit un signalement de la National Crime Agency britannique. Il met sur pied une équipe pour enquêter avec elle. Leurs investigations mettront au jour un schéma de corruption : afin d’obtenir le marché des cartes d’identité à puce au Bangladesh, entre 2014 et 2016, Oberthur aurait surfacturé des prestations pour rémunérer un intermédiaire. Selon le PNF, il s’agissait d’"un apporteur d’affaires influent en Asie dans le secteur de l’identité, disposant de connexions avec l’autorité publique du Bangladesh".

    Les enquêteurs du PNF ont retrouvé la trace d’un virement de 730 000 euros entre Oberthur et l’une des sociétés sous-traitantes. Ce paiement devait permettre de rémunérer un agent public bangladais, qui a joué un rôle dans l’attribution de ce marché. Résultat : Idemia (qui de fait a succédé à Oberthur) accepte de signer une convention judiciaire d’intérêt public avec le PNF en 2022. La société payera une amende de près de huit millions d’euros pour éviter un procès. Une partie de ses services sera interdite de concourir à des appels d’offres de la Banque mondiale pendant deux ans et demi. Un coup dur, car c’était un bailleur important pour l’entreprise, notamment pour ses marchés en Afrique.

    Selon une enquête réalisée sur le marché de la biométrie électorale en Afrique par Marielle Debos et Guillaume Desgranges, tous les deux chercheurs à l’université Paris-Nanterre, Idemia fait en effet partie de ces acteurs français qui dominent le marché sur ce continent. En 2020, ils ont recensé au moins huit pays ayant utilisé ses technologies dans le cadre de scrutins électoraux.
    Présence d’Idemia (M) pour chaque recensement biométrique électoral et corrélation entre nationalité des entreprises et ancienne puissance coloniale. (MARIELLE DEBOS ET GUILLAUME DESGRANGES, POUR AFRIQUEXXI)
    Présence d’Idemia (M) pour chaque recensement biométrique électoral et corrélation entre nationalité des entreprises et ancienne puissance coloniale. (MARIELLE DEBOS ET GUILLAUME DESGRANGES, POUR AFRIQUEXXI)

    Mais la médaille a un revers. En Côte d’Ivoire, le scrutin présidentiel de 2010, organisé avec l’aide d’Idemia - Safran, à l’époque - a été le plus cher jamais organisé en Afrique. « Il a battu tous les records avec un coût de quasiment 57 dollars par électeur, dont 46 pour la biométrie, explique Marielle Debos. La facture a atteint des sommes astronomiques en raison des retards pris par le projet. L’entreprise a réclamé 246 millions d’euros à l’État ivoirien ». Idemia justifie cette facture par le périmètre de la mission qui lui avait été confiée : « Il s’agissait d’une intervention qui va bien au-delà de l’organisation de l’élection. Il s’agissait également de procéder au recensement des populations ».

    Cet épisode ne va cependant pas ternir l’image de l’entreprise, puisqu’elle signe de nouveaux contrats en Afrique dans la décennie qui suit, notamment au Kenya. En 2017, le pays prépare son élection présidentielle. Il souhaite s’équiper d’une technologie biométrique. Une démarche motivée par le souvenir douloureux des événements qui ont suivi les élections générales, dix ans plus tôt : « En 2007, suite à des contestations électorales, un certain nombre de violences ont conduit à la mort de quasiment 1 500 personnes en un mois et à plusieurs centaines de milliers de déplacés », précise Tomas Statius, journaliste au média à but non-lucratif Lighthouse Reports.
    Une élection annulée

    Dans l’espoir de ne pas reproduire les erreurs du passé, le Kenya décide donc de faire confiance à la technologie d’Idemia. La société française fournit un système d’inscription biométrique des électeurs, couplé à 45 000 tablettes permettant leur authentification le jour du scrutin. Ces tablettes peuvent également transmettre des formulaires comprenant les résultats de chaque bureau de vote, après leur décompte.

    Mais dans les mois qui précèdent le scrutin, la commission électorale kényane s’inquiète. Les comptes-rendus de ses réunions, obtenus par Lighthouse Reports et le média d’investigation Africa Uncensored, révèlent « à la fois une impréparation des autorités kényanes, mais aussi de l’entreprise française, affirme Tomas Statius. Plusieurs commissaires électoraux kényans considèrent que le contrat a été signé à la hâte. Ils constatent aussi un certain nombre de dysfonctionnements durant les tests réalisés avant les élections ».
    Démonstration de l’utilisation d’un kit d’enregistrement biométrique des électeurs (BVR) à Kasarani, Nairobi, le 6 novembre 2012. (SIMON MAINA / AFP)
    Démonstration de l’utilisation d’un kit d’enregistrement biométrique des électeurs (BVR) à Kasarani, Nairobi, le 6 novembre 2012. (SIMON MAINA / AFP)

    Le jour du scrutin, ces craintes deviennent réalité : « Ce sont d’abord des pannes, avec des tablettes qui n’ont pas assez de batterie pour fonctionner, poursuit Tomas Statius. Des problèmes d’internet évidemment, de 4G qui ne fonctionne pas. Il y a aussi des problèmes de lecture des résultats ». Tous ces dysfonctionnements conduiront la Cour suprême kényane à annuler l’élection. Les Kényans retourneront aux urnes deux mois plus tard. Comme la première fois, le président sortant, Uhuru Kenyatta, remportera l’élection, mais avec 98% des votes. Et il sera le seul candidat, l’opposant Raila Odinga ayant décidé de ne pas se représenter.

    Dans sa réponse à la Cellule Investigation de Radio France, Idemia se félicite « d’avoir pu remplir avec succès ses engagements en faveur de la démocratie kényane, et réaffirme humblement aujourd’hui à quel point il peut considérer positivement le résultat des deux élections de 2017 » malgré un « contexte difficile ».

    Cet échec ne va d’ailleurs pas l’empêcher de participer au programme de carte d’identité biométrique lancée par le gouvernement kényan l’année suivante. L’objectif était de créer un numéro d’identification unique pour chaque citoyen. L’idée, c’était de permettre, par la suite, d’accéder aux services de l’État via cet identifiant, lié aux données biométriques de la personne. Ce conditionnement d’accès aux services de l’État inquiète cependant une minorité ethnique dans le pays : les Nubiens. « La base de données se voulait être le seul outil permettant de vérifier une identité, explique Yassah Musa, responsable de l’ONG Nubian Rights Forum. Mais pour y être enregistré, il fallait présenter des documents tels qu’un certificat de naissance, une carte d’identité, un permis de conduire ou un passeport. Or, la communauté nubienne n’a toujours pas accès à ces documents officiels ».
    Une femme kényane regarde une caméra biométrique, collecte de données générant un numéro unique qui permet d’accéder aux services gouvernementaux. (SIMON MAINA / AFP)
    Une femme kényane regarde une caméra biométrique, collecte de données générant un numéro unique qui permet d’accéder aux services gouvernementaux. (SIMON MAINA / AFP)

    En 2020, saisie par l’association Nubian Rights Forum, la Haute cour du Kenya reconnaît l’existence d’un risque d’exclusion : « Cela peut être le cas pour ceux qui n’ont pas de documents d’identité, ni de données biométriques, telles que les empreintes digitales. Nous pensons donc qu’une partie de la population risquerait d’être discriminée », peut-on lire dans sa décision. En 2021, la Haute cour suspendra ce système d’identité biométrique. De son côté, le Parlement kényan essaye d’interdire Idemia de tout contrat dans le pays pendant dix ans. Une décision qui sera finalement annulée par la Haute cour du Kenya.

    Mais Idemia n’en a pas fini avec ce pays. En septembre 2022, l’ONG Data Rights, aux côtés d’autres associations notamment kényanes, a déposé une plainte auprès de la Commission nationale de l’informatique et des libertés (Cnil) en France. Lors du scrutin kényan, les données des votes des électeurs ont, en effet, été hébergées sur des serveurs européens. Or, en opérant à l’étranger, l’entreprise transporte avec elle ses responsabilités en matière de protection des données en Europe. Celles-ci ont-elles été suffisamment protégées, comme l’exige le RGPD, le règlement européen de protection des données ? C’est là-dessus que la Cnil va devoir se prononcer.

  • Projet de loi SREN et accès au porno : identifier les internautes ne résoudra rien
    https://www.laquadrature.net/2023/09/19/projet-de-loi-sren-et-acces-au-porno-identifier-les-internautes-ne-res

    Article co-écrit par La Quadrature du Net et Act Up-Paris. Parmi les nombreuses mesures du projet de loi visant à sécuriser et réguler l’espace numérique (« SREN » ou « Espace numérique ») figurent deux articles qui renforcent le contrôle…

    #Censure #Données_personnelles

  • Règlement CSAR : la #Surveillance de nos communications se joue maintenant à Bruxelles
    https://www.laquadrature.net/2023/09/18/reglement-csar-la-surveillance-de-nos-communications-se-joue-maintenan

    Il y a un peu plus d’un an, la Commission européenne proposait l’un des pires textes jamais pensés sur le numérique : le règlement CSAR, également appelé « Chat control ». Affichant l’objectif de lutter contre les…

    #Données_personnelles

    • Le cheval de Troie de la Commission : vers la fin du chiffrement

      En affichant l’objectif de protéger les enfants, l’Union européenne tente en réalité d’introduire une capacité de contrôle gigantesque de l’ensemble des vies numériques, concrétisant le rêve de surveillance de tout gouvernement. Ce texte a fait l’objet de tant de réactions qu’EDRi se demande si le CSAR ne serait pas la loi européenne la plus critiquée de tous les temps. Les critiques contre ce texte viennent des institutions européennes elles-mêmes, mais aussi d’organisations de défense des enfants en passant par les acteurs de la tech, ainsi que de scientifiques et chercheur·es où 465 d’entre eux ont signé une lettre contre cette proposition. Et à raison.

      Sur le plan technique, il faut comprendre que les injonctions de détections obligent les fournisseurs à analyser toutes les communications de l’ensemble des utilisateur·ices des services concernés. Et puisque les messages sont alors analysés avant d’être envoyés à leurs destinataires, cela supprime non seulement toute confidentialité mais cela rendra également inutile toute technique de chiffrement appliquée ultérieurement, c’est-à-dire une fois que le message à quitté l’appareil de l’utilisateur·ice. L’objectif premier du chiffrement est d’empêcher un tiers de lire le message. Le CSAR vise pourtant précisément à permettre une telle lecture tierce. De même, la recherche de photo ou vidéo « inconnue » est totalement inacceptable. En pratique, le risque de « faux positifs » est énorme et cela signifie que pourraient faire l’objet d’une alerte des contenus tout à fait légitimes tels le corps d’adulte d’apparence trop juvénile, une photo d’enfant envoyée dans un cadre familial ou encore des ados échangeant de façon consentante.

      Enfin, appliqué au cas particulier de la détection de contenus pédopornographiques, envisager la constitution et l’utilisation d’une telle base de données ne prend pas en compte la réalité des humains devant la manipuler, l’alimenter, et qui seront confrontés à des contenus difficiles quotidiennement. Sans parler du fait que les images des enfants victimes seront conservées pour « améliorer » l’efficacité de ces outils.

      Non seulement le CSAR crée des obligations disproportionnées et implique des techniques extrêmement intrusives, mais surtout ces mesures sont loin d’être pertinentes pour atteindre l’objectif crucial de protection des enfants et de lutte contre les abus sexuels. En effet, aucune étude sérieuse n’a été fournie sur l’adéquation, la fiabilité ou la pertinence de telles mesures extrêmement intrusives. Au contraire, il a été révélé par l’association allemande Gesellschaft für Freiheitsrechte que la Commission fondait sa proposition sur les seules allégations de l’industrie, particulièrement la fondation Thorn et Meta, pour justifier ce projet de règlement. Des institutions policières et judiciaires, comme en Allemagne par exemple, ont elles aussi exprimé leurs réserves sur l’utilité de ces dispositifs pour leurs enquêtes dès lors que cela ne répond pas aux problématiques qu’ils rencontrent au quotidien.

      Par ailleurs, depuis le début de la campagne contre ce texte, beaucoup de ressources ont été produites pour démontrer que la protection des enfants contre les abus passait principalement par des politiques de prévention ou d’éducation et que toute éventuelle réponse pénale devait être encadrée par des mesures ciblées et fondées sur des preuves tangibles. Comment a-t-on pu alors en arriver là ?

      La tentation autoritaire des États

      Cette proposition législative est une solution largement conçue par l’industrie, et ensuite généralisée par les élites politiques qui illustrent ainsi une nouvelle fois leur absurde propension au « solutionnisme technologique » et au renforcement de la surveillance numérique. Pour rendre acceptable ces mesures de surveillance, elles affichent un objectif qui fait l’unanimité. Mais tout le monde sait que la stratégie consiste avant tout à affaiblir le niveau de sécurité et de confidentialité des communications numériques. Depuis les crypto-wars des années 1990, un certain nombre d’États affirment que les technologies protégeant la vie privée, et principalement le chiffrement des communications, sont un obstacle aux enquêtes policières. De fait, ces technologies sont conçues pour cela, puisque c’est à cette condition qu’elle garantissent à toutes et tous la possibilité de contrôler nos modes d’expression et de communication. L’une des plus importantes conséquences des révélations du lanceur d’alerte de la NSA Edward Snowden, il y a dix ans, fut justement une démocratisation de la pratique du chiffrement et, à l’époque, l’établissement d’un relatif consensus en faveur du droit au chiffrement au plan institutionnel. Mais police et gouvernements sont gênés, et l’on assiste depuis plusieurs années au retour de positionnements autoritaires de dirigeants prenant tour à tour l’excuse du terrorisme, de la criminalité organisée et de la pédopornographie pour obtenir sa remise en cause.

      En France, aussi bien Bernard Cazeneuve qu’Emmanuel Macron ont déjà affirmé leur volonté de contrôler les messageries chiffrées, rêvant ainsi de percer l’intimité des millions de personnes qui les utilisent. Au cours d’une audition devant le Sénat le 5 avril dernier, Gérald Darmanin a expressément demandé pouvoir casser le chiffrement des militant·es écologistes et de « l’ultragauche », qui auraient une « culture du clandestin ». Aussi avons-nous récemment exposé comment, dans l’affaire dite du « 8 décembre », les services de renseignement et de police ont construit une narration similaire autour de l’utilisation d’outils respectueux de la vie privée par les personnes inculpées (Signal, Tor, Tails…), afin de dessiner le portrait de personnes criminelles ayant des choses à cacher ou la volonté de fuir la police. Au niveau européen, des fuites ont révélé l’intention de plusieurs États de réduire le niveau de sécurité du chiffrement de bout-en-bout, tels que l’Espagne qui veut tout simplement y mettre fin.

      Le règlement CSAR s’inscrit dans cette continuité et constitue une opportunité parfaite pour les États membres pour enfin concevoir et généraliser un outil de surveillance des échanges de la population et ainsi mettre fin aux obstacles posés par les services trop protecteurs de la vie privée. Mais passer ce cap, c’est supprimer toute confidentialité des communications qui passeraient par des infrastructures numériques. L’intégrité et la sécurité de ces dernières ne pourraient alors plus jamais être garanties dès lors que cette « porte dérobée » existe. C’est créer des occasions, aussi bien pour les États que les acteurs malveillants, de détourner et d’abuser de cette capacité d’entrer dans les téléphones et ordinateurs de la population. Enfin, c’est ouvrir une brèche, un espace à surveiller qui n’existait pas auparavant, et qui sera nécessairement étendu dans le futur par de nouvelles législations pour repérer d’autres types de contenus.

      Ce risque est dénoncé par des services tels que Signal, Proton ou Matrix, qui proposent des communications chiffrées de bout-en-bout et sécurisées — et promettent donc une confidentialité presque intégrale. Cette proposition viendrait casser leur promesse en les obligeant à analyser les contenus et à créer une vulnérabilité dans leurs technologies. Ce risque a également été récemment dénoncé par Apple : pour justifier la fin de l’analyse des contenus hébergés sur iCloud, l’entreprise expliquait que la technologie utilisée est trop dangereuse en termes de sécurité et de respect de la vie privée.

      En Grande-Bretagne, où est actuellement discuté un projet de loi similaire, le Online Safety Bill, Signal et Whatsapp ont menacé de supprimer leur service du pays si ce texte venait à passer. Face à cette fronde, les Britanniques ont très récemment annoncé suspendre la mise en œuvre de cette mesure au regard de l’infaisabilité à ce stade de protéger le chiffrement de bout-en-bout. Cependant, la mesure est toujours dans la loi et pourrait donc être applicable un jour. À Londres comme à Bruxelles, la bataille est loin d’être finie.

      Refuser et agir

      Il est donc urgent d’agir pour arrêter cette nouvelle initiative qui créerait un grave précédent et donnerait aux États une légitimité pour pousser toujours plus loin l’intrusion dans les communications. Mais les discussions avancent vite à Bruxelles. D’un coté, le Conseil, organe regroupant les gouvernements des États membres, doit publier sa position sur ce texte d’ici fin septembre. Celle-ci s’annonce très mauvaise, poussée par plusieurs États – France en tête. Certains États comme l’Allemagne ou l’Autriche auraient néanmoins exprimé des réserves quand à l’incompatibilité de cette dernière version par rapport à leur propre position officielle. Une lettre ouverte a été signée le 13 septembre par plus de 80 organisations, dont La Quadrature, pour que les États membres n’adoptent pas le CSAR dans sa version actuelle.

      De l’autre coté, le Parlement européen devra également adopter sa version du texte, d’abord en commission en octobre puis en novembre en séance plénière. Si beaucoup d’eurodéputé·es s’opposent au texte, cela ne suffira sans doute pas à bloquer son adoption. Pour agir, nous vous invitons à rejoindre la campagne « Stop Scanning me » menée par une coalition d’organisations et à partager le plus possible les informations sur la mobilisation en cours2. Vous pouvez également appeler des parlementaires européens pour les inviter à rejeter ce texte.

      #surveillance-généralisée

  • Projet de loi SREN : le gouvernement sourd à la réalité d’internet
    https://www.laquadrature.net/2023/09/12/projet-de-loi-sren-le-gouvernement-sourd-a-la-realite-dinternet

    Le projet de loi visant à sécuriser et réguler l’espace numérique (aussi appelé « SREN » ou « Espace numérique ») est actuellement en discussion à l’Assemblée nationale, après avoir été voté en juillet dernier au Sénat. Ce texte,…

    #Censure #Données_personnelles

  • Un vol massif de données personnelles à Pôle emploi, six millions d’inscrits pourraient être concernés - Le Parisien
    https://www.leparisien.fr/economie/six-millions-de-personnes-pourraient-etre-concernees-par-un-vol-de-donnee

    Nom, prénom, numéro de Sécurité sociale… Un nouvel « acte de cybermalvaillance » a touché l’opérateur, via l’un de ses prestataires. Il pourrait concerner les données de six millions de demandeurs d’emploi. La direction de Pôle emploi va porter plainte.

    La CNIL va-t-elle enquêter ? A qui va-t-on ponctionner 4% du chiffre d’affaires annuel ?

    • les [ex] chômeurs volés seront-ils prévenus ?

      il est conseillé aux demandeurs d’emploi « de rester vigilants face à tout type de démarche ou proposition qui pourrait paraître frauduleuse. » Ils seront informés individuellement, assure encore la direction. Un appui sera également disponible via la plateforme téléphonique 39 49 afin d’accompagner ceux qui auraient des interrogations en lien avec le sujet. »

      Qui est touché ? « Cela pourrait, selon le prestataire, concerner 10 millions de personnes, c’est-à-dire celles inscrites à Pôle emploi en février 2022 et celles en cessation d’inscription depuis moins de 12 mois à cette date-là », nous détaille la direction de Pôle emploi. Soit respectivement 6 et 4 millions. Et d’ajouter : « Il y a parfois des décalages dans le temps dans la transmission des documents, ce qui explique que les personnes en cessation d’inscription apparaissent dans ce fichier ».

    • Des données personnelles de dix millions de demandeurs d’emploi dérobées
      https://www.lemonde.fr/pixels/article/2023/08/24/des-donnees-personnelles-de-dix-millions-de-demandeurs-d-emploi-derobees_618

      Des données personnelles d’environ dix millions de personnes inscrites à Pôle emploi ont été dérobées après un « acte de cyber-malveillance », a annoncé l’établissement public ce 23 août. D’après les informations du Parisien, Majorel, spécialiste de la relation client à qui est sous-traitée la numérisation de documents envoyés par les demandeurs d’emploi, a ainsi été touché par un vol de données.

      Ah, finalement, +4 millions. Ça doit être l’inflation qui commence à baisser à l’approche du pic de la hausse.

    • https://www.ladepeche.fr/2023/08/25/piratage-informatique-massif-les-donnees-de-10-millions-de-demandeurs-demp
      J’adore l’image du #darkweb par ladepeche


      Un source code html pour un login/password classique sur un mac mais ça fait peur, c’est avec vue sur fond noir.

      On conseillera aux chômeurs inscrits à pôle emploi de changer rapidement de date de naissance, de nom de famille ou de numéro de portable, voire de déménager très vite.

    • Je vois pas trop le sens de cette arnaque puisque ces données sont en accès libre sur le site de Pôle-emploi. Suffit de se faire passer pour un employeur pour accéder aux coordonnées des chômeureuses.

      https://www.pole-emploi.fr/candidat/soyez-vigilants/acte-de-cyber-malveillance-soyez.html

      Suite à un acte de cyber malveillance dont l’un de nos prestataires a été victime, des informations personnelles vous concernant sont susceptibles d’être divulguées.
      Vos nom et prénom, votre statut actuel ou ancien de demandeur d’emploi ainsi que votre numéro de sécurité sociale pourraient être concernés.
      Vos adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés.

    • Vols de données des privés d’emploi inscrits à Pôle emploi : que chacun prenne ses responsabilités
      https://snjcgt.fr/2023/08/24/vols-de-donnees-des-prives-demploi-inscrits-a-pole-emploi-que-chacun-prenne-s


      Cette situation qui s’était déjà produite, à moindre échelle, en 2021 est révélatrice des choix politiques de Pôle Emploi et de l’État pour l’ensemble des services publics : sous-traitance généralisée et dématérialisation quasi-intégrale imposées tant aux privé·es d’emploi qu’aux conseiller·es, sont les résultats des politiques d’austérité budgétaire des gouvernements successifs.

      Pour la CGT, cette numérisation à marche forcée au seul service de la diminution des coûts et la mise en concurrence d’acteurs privés induisent une perte de contrôle concernant les outils pouvant garantir la sécurité des données. La #CGT revendique de développer la numérisation en utilisant les compétences des services internes, seuls capables de définir une politique de #cybersécurité et de développement de services numériques et de matériels adaptés aux besoins des usagers.

      Avec la création imposée de #France_Travail et la multiplication des intervenants, prestataires, les échanges de données et d’accès aux dossiers vont s’intensifier faisant de la sécurisation des données un point crucial. D’autant plus important concernant France Travail Handicap qui possédera des données sensibles sur l’état de santé des travailleur·ses inscrit·es.

      La CGT rappelle que récemment une entreprise d’intérim, également prestataire de Pôle Emploi, s’est fait pirater ses données et plusieurs centaines de personnes ont été victimes de prélèvements frauduleux. Aujourd’hui, la CGT est à leurs côtés dans leurs démarches judiciaires.

      La CGT et son comité national des travailleurs précaires et privés d’emploi seront très vigilants sur les suites données et les préjudices subis par les usagers de Pôle Emploi.

    • 11,4 millions d’utilisateurs de Pôle Emploi dans les mains de plusieurs pirates ? Damien Bancal, ZATAZ.COM, Gendarme réserviste
      https://www.zataz.com/114-millions-dutilisateurs-de-pole-emploi-dans-les-mains-de-plusieurs-pirates

      Mais qui est ce pirate ?

      Le groupe Clop qui a mis à mal le prestataire de services de données externe Majorel, il y a plusieurs semaines, via la faille MOVEit ? La banque ING, par exemple, avait alerté le passage des pirates chez son prestataire Majorel. Même alerte pour Deutsche Bank et Commerzbank. ClOp s’était invité via la faille MOVEIt pour mettre la main sur des données que les banques avaient transmises à Majorel. Cela pourrait être logique, Pôle Emploi parlant d’une infiltration datant de la semaine du 17 août. [les infiltrations de Cl0P ne cessent d’être révélées par les pirates eux-mêmes depuis des semaines.]

      Le pirate diffuse aussi la géolocalisation (sous forme de Longitude/Latitude) des personnes présentes dans l’un des fichiers volé.
      Ou alors, il s’agit d’un autre pirate que ZATAZ a croisé, début août, sur plusieurs blackmarket.

      Rien qu’une tarte !

      Ce pirate, un commerçant malveillant que je baptiserai « Rien qu’une tarte » [PieWithNothing]. Un spécialiste malveillant très connu dans la vente de base de données. Il officiait déjà dans différents forums pirates, dont certains fermés par les autorités tels que Raid Forum ou encore Breached.

      Le 8 août 2023, soit une semaine avant la cyber attaque annoncée par Pôle Emploi, Tarte commercialisait pour 900$ deux fichiers Pôle Emploi. Le premier de 1,2 million de personnes (2021). Le second, 10,2 millions d’enregistrements datant de 2022. Le pirate parle de données comprenant : nom complet, âge, téléphone portable, e-mail, commune, code postal, NIR, RCI, niveau de formation, expérience, permis de conduire, disponibilité d’une voiture, emploi souhaité, géolocalisation, Date. Soit 11,4 millions de données. Il n’y a pas de numéro de sécurité sociale dans cette seconde fuite (2022), mais les téléphones, les adresses électroniques, Etc. Les NIR sont dans la première base de données (2021).

      Et ce n’est pas une nouveauté ! Le même pirate avait diffusé, en 2021, sur le site Raid Forum, une base de données de 1,2 million de personnes provenant déjà de Pôle Emploi. A l’époque, il vendait cette BDD 1 200$. Il s’agit de la première BDD de la vente d’août 2023.

      Pôle emploi a tenu à souligner qu’il n’y avait « aucun risque sur l’indemnisation et l’accompagnement proposé » et que l’accès à l’espace personnel sur le site « pole-emploi.fr » restait sécurisé. Malgré cela, l’organisme a recommandé aux demandeurs d’emploi de se montrer vigilants face à toute démarche ou proposition pouvant sembler frauduleuse. Un support téléphonique sera mis à disposition via la plateforme téléphonique 39 49 pour accompagner les demandeurs d’emploi ayant des questions relatives à cette situation.

      Parmi les démarches malveillantes envisageables, ZATAZ n’en citera que deux : faux contrat de travail pour des missions de réception de chèques ou de produits volés ; infiltration d’ordinateur via des fichiers communiqués dans un courriel aux couleurs de Pôle Emploi, Etc.

    • Majorel, Cl0p, MOVEit... Le scénario probable de la fuite de données Pôle emploi | Silicon
      https://www.silicon.fr/majorel-cl0p-moveit-fuite-donnees-pole-emploi-470755.html

      Les failles en question avaient été découvertes à quelques jours d’intervalle, dans MOVEit Transfer, logiciel de transfert sécurisé de fichiers. L’une et l’autre ouvraient la voie à des injections SQL au niveau du front-end web. Avec, entre autres conséquences potentielles, l’exfiltration de données.

  • L’arrivée de #meta sur le fédivers est-elle une bonne nouvelle ?
    https://www.laquadrature.net/2023/08/09/larrivee-de-meta-sur-le-fedivers-est-elle-une-bonne-nouvelle

    Le fédivers (de l’anglais fediverse, mot-valise de « fédération » et « univers ») est un ensemble de médias sociaux composé d’une multitude de plateformes et de logiciels, où les uns communiquent avec les autres grâce à un protocole…

    #Censure #Données_personnelles #Surveillance #facebook #fédiverse #interop #mastodon #régulation

  • Worldcoin just officially launched. Here’s why it’s being investigated. | MIT Technology Review
    https://www.technologyreview.com/2023/08/07/1077250/worldcoin-officially-launched-why-its-being-investigated/?truid=a497ecb44646822921c70e7e051f7f1a

    It’s a project that claims to use cryptocurrency to distribute money across the world, though its bigger ambition is to create a global identity system called “World ID” that relies on individuals’ unique biometric data to prove that they are humans. It officially launched on July 24 in more than 20 countries, and Sam Altman, the CEO of OpenAI and one of the biggest tech celebrities right now, is one of the cofounders of the project.

    The company makes big, idealistic promises: that it can deliver a form of universal basic income through technology to make the world a better and more equitable place, while offering a way to verify your humanity in a digital future filled with nonhuman intelligence, which it calls “proof of personhood.” If you’re thinking this sounds like a potential privacy nightmare, you’re not alone.

    “Our investigation revealed wide gaps between Worldcoin’s public messaging, which focused on protecting privacy, and what users experienced. We found that the company’s representatives used deceptive marketing practices, collected more personal data than it acknowledged, and failed to obtain meaningful informed consent.”

    What’s more, the company was using test users’ sensitive, but anonymized, data to train artificial intelligence models, but Eileen and Adi found that individuals did not know their data was being used that way.

    Importantly, a core objective of the Worldcoin project is to perfect its “proof of personhood” methodology, which requires a lot of data to train AI models. If its proof-of-personhood system becomes widely adopted, this could be quite lucrative for its investors, particularly during an AI gold rush like the one we’re seeing now.

    The company announced this week that it will allow other companies and governments to deploy its identity system.

    “Worldcoin’s proposed identity solution is problematic whether or not other companies and governments use it. Of course, it would be worse if it were used more broadly without so many key questions being answered,” says Eileen. “But I think at this stage, it’s clever marketing to try to convince everyone to get scanned and sign up so that they can achieve the ‘fastest’ and ‘biggest onboarding into crypto and Web3’ to date, as Blania told me last year.”

    #Biométrie #Vie_privée #Données_personnelles #Worldcoin #Proof_of_personhood

  • #Frontex #risk_analyses based on unreliable information, EU watchdog says

    The EU border management agency Frontex produces untrustworthy risk analyses on migration due to the ‘low reliability of the data collected’, an investigation conducted by the #European_Data_Protection_Supervisor (#EDPS) found on Wednesday (31 May).

    The supervisor, which oversees the data processing of EU bodies, questioned the methodology used to integrate interviews collected on the field into risk analyses and denounced the “absence of a clear mapping and exhaustive overview of the processing of personal data” which the authority assessed as not sufficiently protected.

    The voluntary nature of interviews themselves is also not guaranteed, the report has found, as they “are conducted in a situation of deprivation (or limitation) of liberty” and aim at “identifying suspects on the basis of the interviewee’s testimony”.

    The concerns regard “the use of information of low reliability for the production of risk analyses and its implications for certain groups who may be unduly targeted or represented in the output of risk analysis products”.

    “Such undue representation could have negative impacts on individuals and groups through operational actions as well as the policy decision-making process,” the EU watchdog said.

    The new investigation results from fieldwork occurred in late 2022 at the Frontex headquarters in Warsaw.

    It is not the first time that the body has raised serious concerns about the data processing practices of an EU agency. In 2020, the supervisor initiated an investigation on Europol, the EU’s law enforcement agency, that resulted in the European Commission revising the agency’s mandate.

    Lack of protection

    The report explains that Frontex uses as its “main source of personal data collection” interviews that it conducts jointly with the member state they are operating in. Interviews are carried out on an ad hoc basis with people intercepted while trying to cross a border “without authorisation”.

    The EU agency collects information about their journey, the causes of the departure and any other information that can be relevant to the agency’s risk analysis.

    Despite Frontex carrying out interviews without putting the name of individuals, the information the exchanges contain “would allow for the identification of the interviewee and thus constitutes personal data within the meaning of data protection law”, the report argued.

    Among others, the EU agency collects personal data about individuals suspected to be involved in cross-border crimes, such as human smuggling, whose data are shared with Europol.

    According to the report, the EU agency may not “systematically” collect information about cross-border crimes since it “must be strictly limited to” Europol, Eurojust, and the member states’ “identified needs”.

    However, evidence shown by the EDPS indicates “that Frontex is automatically exchanging the debriefing reports with Europol without assessing the strict necessity of such exchange”.

    Since the latter constitutes a breach of Frontex rules themselves, the authority said that it would open an investigation on the matter.

    The authority also considers the arrangements that should be put in place when data are collected jointly between Frontex and member states to be “incomplete”.

    According to the EDPS, there are “no arrangements between the joint controllers for the allocation of their respective data protection obligations regarding the processing of personal data of interviewees”.

    “The audit report challenges the fundamental legality of risk analysis systems used against migrant people, and it highlights the serious harms that derive from their use,” Caterina Rodelli, EU Policy Analyst at the NGO Access Now told EURACTIV.

    Rodelli sees the EDPS report as an “important step” to set a limit to Frontex’s “disproportionate power” and it comes in a pivotal moment of risk assessment of data collecting tools regarding migratory flows.

    The authority sent Frontex 32 recommendations, of which 24 must to be implemented by the end of 2023.

    https://www.euractiv.com/section/data-privacy/news/frontex-risk-analyses-based-on-unreliable-information-eu-watchdog-says
    #chiffres #statistiques #méthodologie #fiabilité #europol #données_personnelles #frontières #migrations #réfugiés

    –—

    voir aussi ce fil de discussion auquel cet article a été ajouté :
    https://seenthis.net/messages/705957