Comment comprendre le projet politique qui sous-tend les dispositifs en cours de généralisation de la doxa techno-sécuritaire ? Dans un champ géopolitique en crise où les lignes de clivages idéologiques fortes sont nécessaires pour affirmer sa singularité et ses normes ? comment repenser l’idéal démocratique et l’État de droit autour de technologies par nature duales ?
Renouveau de la doctrine contre-insurrectionnelle : l’ère de l’information totale
L’année 2022 aura été définitivement marquée par la Guerre d’Ukraine qui signe la réapparition de conflits de haute intensité inter-étatiques. À plus long terme, le bras de fer entre la Chine et les États-Unis autour de la question de Taïwan sera également un sujet brûlant. Néanmoins, depuis une trentaine d’années, nous assistons plutôt à l’augmentation de conflits infra-étatiques. La plupart de ces nouvelles guérillas relèvent d’un conflit armé entre un État, souvent déliquescent ou en crise de confiance, et une ou plusieurs rébellions s’enracinant dans les dérives socio-économiques croissantes d’une mondialisation mal maîtrisée 1. En somme, les nouvelles guerres du XXIe siècle risquent d’allier guerres classiques et micro-guérillas, parfois combinées sur un même territoire.
Les sociétés occidentales ne sont d’ailleurs pas plus à l’abri que certains pays africains ou sud-américains. La séquence des gilets jaunes en France ou le climat insurrectionnel particulièrement polarisé aux États-Unis, sur lequel Donald Trump tire tout son capital politique, laissent présager un climat politique général problématique mettant durablement à mal les démocraties occidentales. Ces failles sont par ailleurs manipulées par les puissances étrangères, la Russie en premier lieu, pour aggraver la polarisation politique, la brutalisation du débat public et la défiance envers le système.
Pour maintenir le statu quo se développent dans les démocraties occidentales de nouvelles tactiques de pacification de la population, sur le modèle de surveillance américain post-11 septembre. L’objectif consiste à capter toute l’information possible sur l’ensemble de la population afin d’identifier et de neutraliser les éléments perturbateurs — minorités actives pro-changement ou minorités actives réactionnaires —, de stabiliser la majorité silencieuse et de s’assurer de sa passivité ou mieux, de son adhésion politique ou culturelle. Aux États-Unis, l’aubaine technologique, qui permet de collecter une quantité infinie de données sur chaque élément de la population, réactive rapidement cette doctrine contre-insurrectionnelle théorisée par l’officier français David Galula, le « Clausewitz de la contre-insurrection » comme le surnommera plus tard le général américain David Petraeus — lui-même grand adepte de la « COIN » en Irak ou en Afghanistan. Dans son remarquable essai The Counterrevolution, Bernard E. Harcourt revient avec précision sur ces modalités de surveillance augmentées des nouvelles technologies 2 : l’hybridation du capitalisme de surveillance, qui alimente à la fois le ciblage marketing et policier, a été rendue possible par la généralisation des usages numériques et le désir d’exposition de soi 3. La disponibilité en quantité et quasiment gratuite de l’information, modélisée à peu de frais par des algorithmes d’intelligence artificielle, a rendu possible la « Total Information Awareness » (TIA), doctrine dérivée du contre-terrorisme issue du programme de prédiction automatisée des crimes lancé en 2003 par la DARPA à la suite du 11 septembre, puis transféré à la NSA.
La collecte massive et le traitement algorithmique des données personnelles sont désormais à portée de main, moyennant quelques contorsions légales. Partant de là, la neutralisation politique de la majorité passive devient alors aisée, passe par un ensemble de dispositifs cohérents de surveillance technologique, d’intériorisation de la norme sécuritaire, de mise en scène médiatique et politique jouant sur le sentiment d’insécurité et les affects négatifs relayés sur les réseaux sociaux. En enchevêtrant le ludique et le coercitif, le contrôle politique et la séduction égotique, le public et le privé, en invisibilisant et en hybridant les techniques de contrôle social et de surveillance, l’économie de la donnée permet de maintenir sous contrôle la majorité silencieuse, sans besoin d’actions directes lourdes sur le terrain. C’est précisément cela qui a permis l’éclosion des programmes de techno-surveillance de masse tels que PRISM 4, programme d’aspiration massive des données sur le web et de surveillance globale mis en place par la NSA, révélé en 2013 par Edward Snowden.
La nouvelle politique de puissance : continuum fonctionnel public-privé et émergence d’une « internationale sécuritaire »
La TIA est particulièrement intéressante à étudier en ce qu’elle illustre, à elle seule, les nouvelles formes de pouvoir et le continuum fonctionnel qui s’installent entre géants du numérique et États ; elle matérialise une nouvelle politique de puissance.
Cette théorie, définie en 1946 par Martin Wight dans Power Politics 5, pose le postulat que la répartition du pouvoir est la cause première de la guerre ou, à l’inverse, de la stabilité du système. La politique de puissance permet de comprendre pourquoi et comment les intérêts nationaux d’un État priment invariablement sur la communauté mondiale — autrement dit, la solidarité internationale et la paix. Pour protéger ses intérêts, une nation peut recourir à un certain nombre d’outils et de techniques de prévention, d’agression ou de dissuasion à sa disposition dans les champs militaire, économique, juridique ou politique. En conséquence, la politique de puissance permet de comprendre comment des pays comme la Chine ou les États-Unis, ont compris et utilisé le secteur technologique, comme nouvel attribut de puissance. Puissance technologique ambivalente et à double entrée puisqu’elle est projetable, mais aussi utilisable au sein de ses frontières sur sa propre population.
Dans ce nouveau jeu de pouvoir, les plateformes technologiques géantes ont permis de mettre à jour et de redéfinir la politique de puissance du XXIème siècle. La nouveauté réside dans une toute nouvelle clef de répartition des pouvoirs entre États et BigTech, car ce « capitalisme de surveillance » 6 irrigue à la fois les intérêts publics et privés. C’est peut-être le scandale de Cambridge Analytica qui met le mieux au jour cet aller-retour permanent entre marketing et politique, entre privé et public, entre le divertissement et l’idéologie pour servir des intérêts souvent opposés en permanence et pourtant tout à fait convergents, qu’ils soient commerciaux ou politiques. Si bien qu’en lieu et place du brouillage des frontières institutionnelles que l’on croit identifier de premier abord, émerge au contraire une double gouvernance où État et acteurs technologiques se retrouvent sur un même continuum fonctionnel, éclatant au passage le concept même de souveraineté en distinguant de façon inédite souveraineté fonctionnelle et souveraineté territoriale 7, comme le souligne justement le professeur de droit américain Franck Pasquale. Mais point de flou, et contrairement à ce qui est trop rapidement présenté dans les médias sur le sujet, les géants du numérique ne sont en rien de nouveaux « États parallèles ». Au contraire, chaque acteur semble s’être spécialisé sur un périmètre clairement défini : aux BigTech l’économique et le social, à l’État le sécuritaire. Les géants du numérique deviennent, dans un couloir légal parfois mince à trouver mais que l’on finit toujours par créer, les fournisseurs de services de l’État et sa porte d’entrée, parfois dérobée, à l’information totale.
Aux États-Unis, les exemples de collaborations public-privé, volontaires ou à marche forcée, font florès : témoins les programmes de surveillance de la NSA réquisitionnant les données collectées par les géants technologiques californiens dans un flou juridique quasi-complet, la polémique qui confronta Apple et le FBI en 2016 suite à la fusillade de San Bernardino 8, le programme militaire « Maven », collaboration entre Google et le Pentagone permettant de lancer un programme de surveillance de masse via des drones et finalement arrêté en 2018 suite à la pression de l’opinion publique 9. Plus récemment, on peut évoquer la polémique soulevée par le groupe Meta (Facebook) qui a fourni à la justice des messages privés d’une jeune fille souhaitant avorter 10. De fait, l’adoption de la loi anti-avortement par certains États américains permet désormais aux forces de l’ordre et à la justice de ces États de réquisitionner les données personnelles sensibles auprès des BigTech qui consolident graphiques sociaux, historiques de recherche sur les moteurs de recherche, géolocalisation, discussions privées, etc.
L’autre dimension particulièrement intéressante de cette politique de puissance consiste en ce que l’on pourrait qualifier d’« internationale sécuritaire ». Au-delà de toutes les dissensions géopolitiques, les conflits, les guerres, les régimes de droit, une dynamique semble équitablement partagée : l’obsession sécuritaire alimentée par un marché global particulièrement rentable — celui de la techno-surveillance. Via leurs opérateurs technologiques, les États échangent entre eux les solutions d’infiltration et de surveillance, dans ce qui apparaît comme une solidarité interétatique pour que chacun se prémunisse de ses risques et dangers intestins.
Plusieurs exemples peuvent servir à illustrer ce propos : la vente de logiciels-espions d’entreprises cyber israéliennes ou françaises à des États n’ayant pas les moyens de développer en interne leurs dispositifs de surveillance ou encore le programme Nimbus 11 de Google utilisé pour vendre à Israël des logiciels de surveillance dopés à des systèmes d’intelligence artificielle parmi les plus sophistiqués du marché — le tout avec la bénédiction du gouvernement fédéral.
Poursuivons la démonstration avec deux derniers éléments notables : l’exportation de biens à double usage des États-Unis vers la Chine malgré la rivalité technologique qui les oppose d’une part ; le projet politique américain derrière le Cloud Act d’autre part.
Concernant le premier point, la compétition normative et technologique qui confronte Chine et États-Unis dans le cyberespace ne semble pas empêcher ces derniers de continuer à exporter des technologies à double usage vers la Chine. Les biens à double usage sont des solutions ou équipements pouvant avoir une utilisation tant civile que militaire. Ils sont officiellement soumis à une réglementation très stricte en matière d’export : la question des cyber-armes, par exemple, entre dans ce champ-là. Mais en matière de surveillance, les États-Unis n’ont ni ralenti, ni interrompu leurs relations commerciales avec la Chine. Selon le Wall Street Journal, l’agence en charge de la supervision et de l’autorisation d’exportation aurait validé 88 % des demandes en 2021, comprenant notamment des semi-conducteurs, des composants aérospatiaux et des logiciels d’intelligence artificielle 12. En 2022, la critique concernant l’exportation des micro-puces, nécessaire à l’industrie militaire, et d’autres composants critiques a été entendue par l’administration Biden 13. Le reste, en revanche, reste pour l’heure plus opaque.
Le « Clarifying Lawful Overseas Use of Data Act », d’autres part, est une loi fédérale américaine de 2018 qui autorise les agences fédérales ou locales étasuniennes à exiger l’accès aux données personnelles stockées dans le cloud, dès l’instant où un acteur technologique américain est impliqué dans la collecte ou le stockage desdites données. Si Cloud Act est d’abord une loi extraterritoriale particulièrement crainte en Europe, il est surtout en train de se transformer en Alliance. Comme à leur habitude et en particulier depuis fin 2021, les États-Unis utilisent la loi comme outil diplomatique et géopolitique. L’Alliance Cloud Act regroupe ainsi les États-Unis, la Grande-Bretagne et l’Australie, un AUKUS bis appliqué aux données personnelles afin, officiellement, de lutter contre le terrorisme et la cybercriminalité 14, et cela au moment même où la France et l’Union européenne ne cessent de clamer haut et fort leur volontarisme en matière de souveraineté technologique et leur volonté de trouver une réponse juridique pour s’extirper des problématiques d’extra-territorialité du droit américain afin de garantir la protection des données personnelles des citoyens européens. Étrange synchronisation qui, une fois de plus, prend l’Europe à contrepied mais qui démontre, s’il en était encore besoin, la dimension critique du datamonde 15 dans la reconfiguration de la politique de puissance au XXIème siècle.
Contorsions de l’État de droit
L’enjeu de l’accès aux données pose une question politique et philosophique centrale aux démocraties : peut-on encore concilier droit à la vie privée, exposition de soi performative sur les réseaux et injonctions sécuritaires ?
La question est loin d’être tranchée. En l’espace d’à peine quelques années, la doctrine sécuritaire contre-insurrectionnelle a fait consensus non seulement dans la plupart des démocraties mais aussi, et plus étonnamment, entre les partis politiques de tous bords. La sécurité, et les moyens de sa mise en œuvre parfois disproportionnés relativement au risque réel identifié, ne semble plus tellement faire débat, y compris en Europe. En avril 2021, la Commission européenne a soumis son projet de règlement sur l’intelligence artificielle 16 ; le texte a pour intérêt de poser le cadre juridique et éthique d’une « IA de confiance » ; mais s’il interdit en effet aux États membres d’analyser des données biométriques à des fins policières, il prévoit néanmoins des cas dérogatoires, rendant de ce fait possible par exemple la reconnaissance faciale dans les cas de « nécessité absolue ».
En France, le rythme de production de lois faisant entrer dans le droit commun les dispositifs de surveillance s’est notablement accéléré ces dix dernières années. Avril 2021 aura été particulièrement prolifique en la matière : loi « Sécurité globale préservant les libertés », loi « confortant le respect des principes de la République », loi « relative à la prévention d’actes de terrorisme et au renseignement », validation par le Conseil d’État de French Data Network, etc. Sur le fond, le flou des périmètres d’action, leur proportionnalité ou leur faisabilité laissent entrevoir des doutes sur l’efficacité de ces mesures. Mais c’est le glissement sémantique qui est le plus intéressant à analyser : pour présenter son projet de loi sécurité intérieure, le ministre Gérald Darmanin affirme alors que la France est passée d’une menace « exogène » à une menace « endogène » 17. La traditionnelle politique sécuritaire semble muter vers une approche contre-insurrectionnelle, latente depuis 2015, année où a commencé à se dessiner le triptyque contre-insurrectionnel français : état d’urgence (lois sécuritaires et restrictions à manifester), quadrillage techno-sécuritaire de l’espace public et militarisation des forces de l’ordre (dotées d’armes de guerre létales de type LBD 40 ou GLI-F4), surveillance algorithmique généralisée (la loi de renseignements 2 de 2021 fait entrer dans le droit commun une disposition relative aux « boîtes noires » abritées par le Ministère de l’Intérieur), fichages divers et croisement de données entre administrations.
Au-delà des corpus juridiques particulièrement bavards en la matière, sur le terrain, la techno-surveillance suit deux logiques distinctes mais complémentaires : la surveillance peut être ciblée ou généralisée selon l’objectif à atteindre. L’actualité de ces cinq dernières années, émaillée de scandales divers autour des logiciels-espions ou de la reconnaissance faciale, en a fourni de régulières illustrations.
Technologies de surveillance ciblée : l’opaque industrie du cyber-armement et des logiciels espions
Dans un contexte inflationniste de demande de technologies de surveillance, le cyber-armement est assez logiquement devenu une industrie florissante, émaillée du scandale mondial des logiciels-espions, Pegasus en 2021 ou Predator en 2022, révélant ce nouveau marché de l’espionnage et du renseignement sous-traité à des startups américaines, françaises ou israéliennes. Les enjeux politiques de la cyber-surveillance ne sont absolument pas anodins : l’on peut compter avec la privatisation du régalien, la surveillance et répression de masse, ou celle, individualisée, de certaines cibles politiques ; mais aussi avec la cyber-surveillance comme arme de négociation diplomatique pour certains États leaders du secteur.
Les logiciels-espions malveillants s’infiltrent dans des failles « zero-day » non détectées dans le smartphone de la cible, transformé instantanément en mouchard donnant accès à toutes les données stockées sur le téléphone, y compris les messageries privées. La logique est de ce point de vue ambivalente : elle n’a pas vocation à développer une surveillance de masse mais est tournée vers des cibles prédéfinies — activistes, hommes politiques, dissidents, journalistes. Techniquement, cela n’entrave en rien la possibilité d’une surveillance bien plus massive : il suffit de repérer une faille « zero-day » dans un système d’exploitation donné pour que tous les téléphones ou ordinateurs deviennent des cibles potentielles. En réponse à la manne financière offerte, les « zero-day » sont devenues elles-mêmes un marché porteur. La chaîne de valeur technologique s’organise autour d’une organisation scientifique de plus en plus sophistiquée : startups et entreprises de cybersécurité développent les logiciels malveillants pratiquement indétectables, les cyber-criminels se chargent d’identifier puis de vendre sur le marché les failles découvertes, enfin, certains États sous-dotés technologiquement ou certaines entités privées les achètent en bout de chaîne à des fins de surveillance.
La prolifération des cyber-armes par le secteur privé est symptomatique de cette privatisation en cours du régalien sur ce continuum fonctionnel parfaitement opérant entre États et entreprises technologiques propriétaires de certaines briques logicielles. À titre d’exemple, le groupe NSO, propriétaire du logiciel Pegasus, a ainsi indiqué à la Commission d’enquête européenne avoir eu au total 22 États clients en Union européenne, dont 12 encore actifs 18. Depuis les révélations d’Edward Snowden en 2013 concernant le vaste programme de surveillance généralisée mis en place par la NSA, certes dans un flou procédural avéré mais présageant tout de même de process de validation internes et d’une certaine légalité, le marché de la surveillance gagne en profondeur et en opacité : les scandales Pegasus ou plus récemment Predator de l’entreprise israélienne Cytrox démontrent que le paradigme de la surveillance d’État est allé un cran plus loin dans l’industrialisation du cyber-espionnage. En 2013, la surveillance (politique, militaire) était encore officiellement présentée comme l’apanage des services internes des États, qui pouvaient s’appuyer sur des fournisseurs commerciaux, les BigTech et opérateurs télécom en priorité, pour avoir accès à certaines données. Le marché des logiciels-espions, la plupart du temps vendus à de petits États souvent autoritaires n’ayant pas les compétences ou moyens de les développer en interne, dévoile une industrie parfaitement organisée mettant en exergue de nouvelles formes de pouvoir entre privé et public sur des segments étatiques sensibles : la sûreté nationale et ses potentielles dérives sécuritaires. Il est d’ailleurs intéressant de noter que certains acteurs comme Apple, Microsoft et Google ont intenté un procès à NSO, maison-mère de Pegasus. Au-delà du risque réputationnel pour des géants technologiques n’arrivant toujours pas à établir une politique de confiance claire en matière de privacy, ils profitent d’une opportunité de clarifier ce qui apparaît pourtant d’emblée comme une concurrence de légitimité, et pour se positionner sur l’axe démocratique des libertés publiques.
Le quasi no man’s land juridique quant à la prolifération de ces armes d’un nouveau genre a poussé en 2021 l’Union à faire évoluer sa réglementation quant à l’exportation des biens à double usage, des « biens, produits ou technologies essentiellement civils, sujets au risque de détournement d’usage à des fins militaires prohibées » 19 afin de recouvrir l’entièreté du champ de ces nouvelles technologies émergentes. L’Union tient en effet à contrôler plus drastiquement l’exportation des cyber-armes, estimant qu’elles peuvent porter atteinte aux droits humains fondamentaux — liberté d’expression, protection contre l’arrestation et la détention arbitraires, liberté d’association — mais aussi à la sécurité des personnes ou à la protection des données à caractère personnel. Cela vient compléter l’Arrangement de Wassenaer, régime multilatéral de contrôle des exportations des biens à double usage signé par — seulement — 33 pays. La nouvelle mouture du texte européen prévoit au passage une clause attrape-tout (catch-all clause) afin de se « prémunir contre le détournement d’usage de biens qui ne seraient pas listés par le règlement européen des biens à double usage, qui permet de soumettre n’importe quel matériel à une autorisation d’exportation ». Bien que l’évolution du texte fût en effet nécessaire au regard des scandales politiques récents, le cadre juridique reste néanmoins très bancal, ne pouvant couvrir que les exportations européennes vers l’étranger. Or le marché cyber est un marché mondial, qui nécessite des règles internationales aujourd’hui inexistantes. Les décisions unilatérales, à l’image de la récente interdiction pour NSO Group d’exercer aux États-Unis, décision prise par l’administration Biden, restent encore trop arbitraires, donc insuffisantes.
Si les fournisseurs français (Nexa, ex-Amesys, qui œuvra en Syrie et Libye) ou les italiens (Hacking team, Hermit) tirent leur épingle du jeu, Israël reste l’un des leaders incontestés du secteur, deuxième exportateur mondial pour près de 8,8 milliards de dollars en 2021 d’après l’Autorité nationale de cybersécurité. Avec une licorne sur trois de nationalité israélienne 20, le pays est mondialement reconnu pour son écosystème d’innovation cyber à la pointe, écosystème qui compte 450 startups spécialisées dans le cyber et capte environ 40 % des investissements mondiaux. Cette vague de croissance participe activement à l’hybridation des prérogatives sécuritaires, tout à la fois attribut de souveraineté mais aussi industrie aux indicateurs de rentabilité élevés. La prolifération des cyber-armes a profité de trois facteurs en particulier : la sophistication technologique de ces startups dont de nombreux fondateurs sont d’abord passés par la section d’élite 8200 de Tsahal 21, l’explosion de la demande mondiale de techno-surveillance, notamment des États occidentaux, le soutien quasi inconditionnel de l’État israélien, en particulier sous Benyamin Netanyahou, qui en a fait l’un des piliers de sa cyber-diplomatie ; on songe notamment au Moyen-Orient et au cadre des Accords d’Abraham.
L’intelligence artificielle ou l’industrialisation de la surveillance par les technologies duales
Partant, la sécurité devient un marché technologique ultra-concurrentiel et particulièrement rentable plus qu’une fonction régalienne. D’ici 2026, le marché mondial de la reconnaissance faciale devrait par exemple peser plus de 11 milliards de dollars selon un rapport de la Mordor Intelligence, porté par l’augmentation des activités de lutte contre la criminalité et le terrorisme.
Ce qui pose question n’est pas tant le taux de rentabilité du secteur que la privatisation de la sûreté nationale, dont l’une des caractéristiques est le transfert de souveraineté du public vers le privé. L’intrication profonde entre les services de renseignement, les services d’ordre, les armées et les fournisseurs de services technologiques tisse une toile d’acteurs privés et publics qui nourrissent et enregistrent chaque donnée produite. En France, les partenariats public-privé se multiplient avec des géants industriels ou technologiques comme Engie Inéo, Thales, Cisco, IBM et Microsoft. En externalisant l’automatisation de parties de plus en plus larges de fonctions régaliennes critiques, en captant massivement des données stratégiques, qu’elles soient personnelles, industrielles ou militaires, certaines entreprises privées pourraient déconstruire le socle de la souveraineté étatique.
L’État serait-il en train de devenir un marché rentable comme un autre, quel qu’en soit le coût politique à terme ? La question, volontairement naïve, n’est pas anodine. En sur-traitant certains de ses attributs au secteur privé, en se « désouverainisant », l’État court le risque de se réduire lui-même à un simple marché, simple débouché supplémentaire pour les entreprises. Ce qui apparaît comme un continuum public-privé apparaît en réalité une défaillance grave de l’État. De manière contre-intuitive, ce processus de privatisation ne renforce pas l’État mais l’appauvrit, l’affaiblit, la solution de facilité l’empêche de développer ses ressources en propre, créant une dépendance toxique envers des entités privées parfois étrangères. Nous devrions y faire collectivement attention car le pouvoir mute, change progressivement sur un sujets des plus sensibles politiquement — la sécurité intérieure.
À cet égard, Palantir symbolise peut-être le mieux ce mélange des genres. La startup siliconienne fondée par Peter Thiel et Alex Karp, est spécialisée dans les modèles d’analyse complexes de données basés sur l’IA, avec une forte spécialisation native dans le domaine des renseignements. Palantir, c’est aussi une entreprise aux liens étroits avec la CIA. Son décollage a notamment été permis par un financement d’In-Q-Tel, fond en capital-risque de la CIA, et un soutien logistique pour développer ses premiers prototypes. Le contrat de l’entreprise avec la DGSI, renouvelé en 2019, a beaucoup inquiété, d’une part compte-tenu de la proximité de l’entreprise avec les agences fédérales américaines — selon Edward Snowden, Palantir aurait activement participé au programme PRISM de la NSA — et d’autre part à cause de la question de l’extraterritorialité du droit américain qui permet aux forces de l’ordre américaines, via des textes comme la section 702 du FISA ou le Cloud Act depuis 2018, de demander l’accès à des données stockées par des entreprises américaines dès lors qu’elles sont nécessaires dans une enquête judiciaire — et ce quels que soient leurs lieux géographiques de stockage. Cet état des lieux, qui décrit une situation à un instant donné, pourrait tout de même être nuancé. En effet, dans le domaine de la défense, la DGA (Direction Générale de l’Armement) et la BPI collaborent sur un fonds de capital risque, Definvest, avec l’objectif d’investir dans des solutions de défense souveraines 22. On retrouve d’ailleurs le schéma de In-Q-Tel, cité plus haut. Definvest a par exemple investi dans la startup Preligens qui produit de l’analyse d’images satellitaires pour l’armée. L’épineuse question sous-jacente de la souveraineté technologique nécessite de ce point de vue une analyse sur deux temporalités distinctes : l’urgence du court-terme doit être coordonnée avec une stratégie de temps long qui permettrait à l’écosystème français d’arriver à maturité.
Cela étant, il n’y a pas qu’en France que Palantir se développe. En mai 2022, Alex Karp a été reçu en grandes pompes par Volodymyr Zelensky. La visite aura permis l’officialisation de l’ouverture d’un bureau en Ukraine et un partenariat dans les domaines du renseignement et de la défense.
La reconnaissance faciale est évidemment l’autre grand sujet qui cristallise la liquidité, pour paraphraser le philosophe Zygmunt Bauman, du concept jusque-là clair et solide de souveraineté.
Le processus d’acceptabilité est souvent le même : dans la plupart des cas constatés, les usages techno-sécuritaires sont souvent précédés par des usages individuels et commerciaux. La dualité de ces technologies, autrement dit le fait qu’un même outil peut aussi bien servir un usage personnel, ludique ou quotidien, qu’un usage policier ou militaire, est ici ce qui pose une question éthique de premier ordre. La reconnaissance faciale a par exemple d’abord été incorporée dans des objets de domotique domestique intelligente, sur les réseaux sociaux ou pour déverrouiller des smartphones. Ces expériences fluides, en apparence inoffensives, ouvrent la porte à une acceptabilité forte en créant l’accoutumance à des technologies par nature duales, qui servent à la fois confort personnel et usages sécuritaires. En procédant par pseudo-morphisme, la banalisation de ces logiciels invisibles peut alors devenir rapidement invasive dès lors que le cadre législatif national les autorise. À partir de 2018, les expérimentations de reconnaissance faciale dites « sauvages » se sont multipliées en France avant que la CNIL, sollicitée par diverses associations de défense des libertés numériques, n’en interdise les plus controversées, dont celles réalisées dans des lycées de la région PACA. Mais si la reconnaissance faciale est aujourd’hui encore en débat en France, il n’en est pas de même d’autres types de dispositifs comme les drones — pudiquement nommés « dispositifs aéroportés de captation d’images ». La loi « sécurité globale » en prévoit et en encadre l’usage dans l’espace public ; elle régit aussi l’utilisation de caméras mobiles qui permettraient aux forces de l’ordre d’exploiter en temps réel les images captées. Les risques liés aux technologies biométriques restent en effet encore peu maîtrisés. Saisie, la Défenseure des droits a alerté sur les « risques considérables » d’atteinte à la liberté d’informer et au droit à la vie privée en installant ainsi une surveillance intrusive à des fins de collecte massive et indistincte de données personnelles 23.
En l’espace de quelques années, les usages techno-sécuritaires se sont donc développés à une vitesse exponentielle. La collecte de données personnelles via les réseaux sociaux, les fichages biométriques et de données personnelles sensibles comme les données de santé, les logiciels de reconnaissance faciale, les drones, les satellites ou les logiciels de police prédictive, comme Predvol en France, rejoignent l’arsenal juridique et policier de plus en plus complet. L’enjeu posé n’est d’ailleurs sans doute pas de les rejeter d’emblée, mais de les discuter collectivement d’une part, de les encadrer strictement ensuite. D’autant que leur fiabilité est à ce stade loin d’être prouvée. Deux risques en particulier apparaissent : le premier est la captation massive, abusive et parfois illégale de données biométriques pour constituer des méga-fichiers de surveillance. C’est par exemple la promesse commerciale de la très controversée start-up Clearview AI qui cumule injonctions et procès. Initialement financée elle aussi par Peter Thiel, elle prétend détenir plus de 10 milliards de clichés 24 aspirés directement du web et des réseaux sociaux, sans consentement des personnes, pour les revendre ensuite aux forces de l’ordre américaines ou à l’armée ukrainienne 25.
L’autre danger, de plus en plus documenté, est celui d’amplifier mécaniquement certains biais racistes et discriminatoires automatisés dans les algorithmes de justice prédictive ou de predictive policing (police prédictive) qui promettent de prévoir les crimes à l’avance, à l’instar de PredPol, désormais interdit par le LAPD, la police de Los Angeles, suite à de nombreux scandales 26. En septembre 2021, l’ONU a appelé à imposer un moratoire sur les logiciels de reconnaissance faciale encore mal maîtrisés 27. Cela étant, il ne faudrait pas fantasmer des outils qui pour le moment ne marquent, d’après Vincent Berthet, qu’un « changement de degré » eu égard aux statistiques classiques, et non un changement de nature. Il n’en reste pas moins que l’IA appliquée à ces usages porte en elle un potentiel de révolution dans les affaires militaires et sécuritaires.
L’enjeu démocratique est important, et si le débat n’est pas posé dans les bons termes, si nous n’évitons pas l’insoluble dilemme de « sécurité contre liberté », nous risquons l’instauration subreptice d’un état de surveillance permanent. Cette vision des technologies transforme en profondeur les rapports sociaux et les équilibres des droits qui définissent la vie privée, la vie collective et les libertés fondamentales. La question est tout sauf anodine, puisqu’elle préfigure une idéologie qui stipulerait que la sécurité est plus importante que la liberté, que le contrôle est plus important que la vie privée ou le droit au secret et à l’intimité. Pourtant, l’arbitrage collectif ne peut se jouer sur la rhétorique du « tout ou rien », mais au contraire sur le principe de proportionnalité des dispositifs mis en place face au risque réellement encouru, renforcé de procédures de contrôle institutionnel transparentes et réellement opérantes.
Ère de l’information totale : l’émergence des sociétés de contrôle
La « surveillance » ne doit pas être comprise d’emblée avec une connotation négative : dans tout État de droit, elle est nécessaire pour organiser les libertés de tous et garantir le respect de la loi. Historiquement, une des missions de l’État est de garantir non la sécurité, mais bien la sûreté des citoyens, avant que le concept ne soit progressivement réduit à son socle minimal de sécurité physique, et rétréci autour d’une binarité un peu simpliste : « sécurité contre liberté ». Les termes du débat, ainsi posés, invisibilisent un risque démocratique, à savoir la profondeur et la largeur d’intrusion en cours et à venir de cette techno-surveillance pour tous. Les dispositifs de contrôle actuels institutionnalisent un renversement du rôle et — par conséquent — de la raison d’État traditionnels. En manipulant les dissonances de l’État de droit, les lois sécuritaires récentes donnent l’illusion du respect du contrat social initial pour peut-être mieux en rejeter l’esprit. Elles contournent les rapports de forces démocratiques, invisibilisent les asymétries de pouvoirs dans une injonction à la transparence à géométrie variable, installent une gouvernance par la peur et une mise en crise perpétuelle du monde. La crise, polymorphe, est d’ailleurs amplement mise en scène. Dans une société de consommation de l’image, l’affichage médiatique des projets de loi qui se succèdent à un rythme effréné, la rhétorique de la menace permanente, le spectacle de la police dans une dramaturgie toute théâtrale — militarisation des équipements, drones qui sillonnent le ciel — participent au renforcement des dispositifs de discipline et de contrôle aussi bien qu’à l’intériorisation de la norme sécuritaire.
En tentant de dépasser le cadre de référence qu’avait posé jusque-là Michel Foucault 28 à travers son travail sur les sociétés disciplinaires, il apparaît en effet de plus en plus évident que l’usage sécuritaire des nouvelles technologies concourt désormais à façonner de nouvelles normes intériorisées par chaque individu, encastrées dans ce que Deleuze prophétisait déjà dans son célèbre Post-scriptum comme les « sociétés de contrôle » 29 , un contrôle liquide, hybride, intangible, de l’ordre de l’auto-censure plutôt que de l’injonction, articulé autour de la donnée, du calcul statistique et prédictif, opérant par la manipulation des comportements particuliers et collectifs plutôt que la contrainte directe. Cette norme techno-sécuritaire constitue une nouvelle « gouvernementalité algorithmique » selon la terminologie de Rouvroy et Berns 30, qui installe un régime de vérité postulant que chaque individu est par défaut potentiellement coupable jusqu’à preuve du contraire, justifiant par là-même une surveillance généralisée à l’affût du premier signe suspect. Nous passons de la prévention à la prédiction via des solutions de scoring et de profiling qui réduisent la complexité du réel et des cas particuliers à de simples lignes de code. Cela impulse une inversion de la norme dans de nouvelles logiques basées sur le soupçon et le faisceau non pas de preuves, mais de signaux algorithmiques. Or le légal n’est pas toujours légitime. Face à la complexité irréductible du monde, la pulsion techniciste pointe en filigrane le désengagement de l’État de ses prérogatives d’État social pour se replier vers des fonctions purement régaliennes.
La techno-sécurité, un problème politique très occidental
Pour le philosophe Michaël Foessel, nous avons collectivement mis en place un état de vigilance permanente 31 porté par la perspective de la sécurité comme « horizon politique ultime » 32, projet politique pour lequel la rhétorique de la menace, des antagonismes, de la guerre contre un ennemi souvent invisible, apparaît comme une ultime tentative d’auto-légitimation. Cette rhétorique légitime en conséquence la collecte massive de données, et les dispositifs de techno-surveillance. Ce faisant, elle transfigure le contrat social dont les termes initiaux « liberté contre sécurité » glissent alors progressivement vers la formulation « liberté contre sécurité contre vie privée ». Pour répondre à la double insécurité consécutive à un contrat social affaibli et à l’obsession de tout contrôler, nous risquons d’arriver à un point de non-retour : la crainte qu’il n’y ait jamais assez de données. Cette peur alimente une forme de paranoïa d’État qui interpelle. Dans le fond, l’ère de l’information totale dopée à des algorithmes hyper-déterministes est un renoncement. À la pensée complexe, à la nuance, à la réflexion, à l’imaginaire, à l’effort.
La fragilité du cadre juridique et démocratique qui accompagne l’émergence dans l’espace public des technologies de surveillance peut faire craindre une convergence du modèle politique libéral occidental et des régimes autoritaires 33 comme la Russie — contrôle et censure informationnelle sur le Runet, loi de surveillance électronique 34 dite loi Larovaia 35 — ou la Chine — système de crédit social, expérimentations à grande échelle de reconnaissance faciale et émotionnelle, mégafichiers biométriques collectant par exemple des échantillons d’ADN ou des images de l’iris. Pour maintenir la stabilité intérieure de leur société, les gouvernements occidentaux semblent être en train de dessiner les contours d’un modèle politique mixte combinant à la fois des éléments de démocratie et d’autoritarisme sur une ligne de crête qui, à terme, pourra être complexe à tenir. Si nous tirons le fil de ce raisonnement, la globalisation du marché de la surveillance homogénéise la norme sécuritaire — peu importe le régime ou l’État de droit qui la conditionne et lui donne vie. Sous des formes juridiques et des profondeurs différentes, la politique sécuritaire, justifiée ou non, répondrait alors aux mêmes craintes, aux mêmes faiblesses, aux mêmes injonctions.
Cette difficulté de la « troisième voie » sécuritaire occidentale doit également être lue au prisme des tensions géopolitiques actuelles : comment revendiquer notre modèle et nos valeurs face aux pôles russe ou chinois si, sur le fond, les États adoptent des doctrines similaires ? Rappelons-le, l’économie de la donnée reconfigure aussi à sa façon l’échiquier géopolitique, signe une nouvelle politique de puissance articulée autour de la captation des données mondiales, du développement de l’intelligence artificielle, de l’imposition de ses propres normes idéologiques et donc technologiques. L’occasion est offerte d’interroger les valeurs, les normes éthiques et juridiques qui doivent sous-tendre la conception des nouvelles technologies occidentales. Nous pourrions imaginer un modèle technologique compatible avec les principes et valeurs des démocraties libérales, portés par les libertés fondamentales et le droit à l’autodétermination. C’était bien là le sens de l’appel de Joe Biden en avril 2022 à créer une « coalition contre la montée de l’autoritarisme numérique » 36. En somme, la globalisation du marché de la techno-surveillance, l’appétit des États pour les données, l’hybridation du concept même de souveraineté, le début de convergences des modèles démocratiques et autoritaires soulèvent un point crucial : face à la clarté cristalline des modèles techno-autoritaires assumés, les démocraties occidentales éprouvent un malaise existentiel qui semble insoluble en l’état actuel des États de droit qui les définissent, États de droit à réinventer autour d’une éthique d’État solide, amendée de ces questions nouvelles et non poussivement interpellé au gré de polémiques sporadiques. En somme, une éthique de la responsabilité et non une éthique du scandale.
Le tumulte géopolitique de ce début de XXIème siècle n’est pas simplement affaire de frontières, de géographie ou de relations internationales, mais offre bel et bien une opportunité de réaffirmation de ce projet social, sociétal, démocratique. Partant de là, quel contre-modèle peut-on penser ? La question fondamentale ici n’est pas tant de trancher le débat mal posé de la « sécurité » contre la « liberté » que de faire un choix de société en conscience, c’est-à-dire se demander collectivement quel niveau de sécurité nous acceptons — pour quel niveau de risque acceptable. Une organisation sociale fondée sur la recherche pathologique d’un risque zéro fantasmé est de fait dans l’impossibilité de penser le changement comme source possible de progrès, pour paraphraser George Bernard Shaw. Accepter la contingence, c’est défendre notre droit à l’indétermination, au secret, à la singularité, comme le soulignait fort justement Mireille Delmas Marty lors de sa magistrale leçon de clôture au Collège de France et dans ces colonnes 37. Principes nourriciers de la liberté comme projet politique, qui sous-tend à son tour, dans une boucle de rétroaction vertueuse, le principe de responsabilité.
Sources
- Bertrand Badie, Dominique Vidal, Nouvelles guerres. Comprendre les conflits du XXIe siècle, éditions La Découverte, 2016
- Bernard E. Harcourt, The Counterrevolution : How Our Government Went to War Against Its Own Citizens, Basic Books, 2018
- Bernard E. Harcourt, Exposed, Desire and Disobedience in the Digital Age, Harvard University Press, 2015
- « NSA slides explain the PRISM data-collection program », Washington Post, 6 juin 2013
- Alan James, « Power Politics », Political Studies, Vol. 12 Issue 3, Octobre 1964
- Shoshana Zuboff, L’âge du capitalisme de surveillance, Zulma Essais
- Frank Pasquale, « From territorial to functional sovereignty », LPE Project, 12 juin 2017
- Julien Bergounhoux, « L’avenir de nos données se joue dans le conflit qui oppose Apple au FBI », L’Usine digitale, 18 février 2016
- Jérôme Marin, « Sous la pression de ses employés, Google renonce à son projet controversé avec le Pentagone », Le Monde, 2 juin 2018
- Damien Leloup, « Avortement illégal aux États-Unis : Facebook critiqué pour avoir fourni à la justice des messages privés », Le Monde, 11 août 2022
- Sam Biddle, « Document reveals advanced AI tools Google is selling to Israel », The Intercepter, 24 juin 2022
- Kate O’Keefe, « U.S approves nearly all tech exports to China, data shows », The Wall Street Journal, 16 août 2022
- « Les États-Unis prêts à interdire les exportations de certains semi-conducteurs en Chine », La Tribune, 12 septembre 2022
- « Cloud Act : le Royaume-Uni et les États-Unis vont partager les données de leurs citoyens », Siècle digital, 27 juillet 2022.
- Voir à ce titre le blog de Louise Merzeau.
- Voir le texte ici : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021PC0206&from=FR
- Ariane Griessel, « Menace terroriste accrue : le ministère de l’Intérieur appelle les préfets à la « vigilance » cet été », France Inter, 23 juillet 2021
- Omer Benjakob, « Pegasus spyware maker NSO has 22 clients in the European Union. And it’s not alone », Haaretz, 9 août 2022
- Voir à ce titre la page associée du Ministère de l’économie et des finances.
- Ricky Ben-David, « Israeli cybersecurity firms raised record $8.8 b in 2021, exports reached $11b. », The Times of Israel, 20 janvier 2022
- Sandrine Cassini, « Tsahal, l’école des start-ups d’Israël », Les Échos, 1er juillet 2015
- Voir cette brochure informative du ministère de la Défense.
- Rapport sur les technologies biométriques, Défenseur des droits de la la République française, 19 juillet 2021
- Arnaud Leparmentier, « Clearview AI, la start-up new-yorkaise qui a aspiré vos photos », Le Monde, 11 janvier 2022
- Kashmir Hill « Facial recognition goes to war », The New York Times, 7 avril 2022
- Arthur Le Denn « La police de Los Angeles abandonne PredPol, le logiciel qui prédit les crimes », L’Usine digitale, 23 avril 2020
- « Intelligence artifcielle : face aux risques d’atteinte à la vie privée, l’ONU demande un moratoire sur certains systèmes », ONU Info, 15 septembre 2021
- Michel Foucault, Surveiller et punir, 1975 ; réédition : Gallimard, 1993
- Post-scriptum sur les sociétés de contrôle, Gilles Deleuze, L’autre journal, mai 1990
- Antoinette Rouvroy, Thomas Berns, « Gouvernementalité algorithmique et perspectives d’émancipation », Réseaux, Vol. 117, pp. 163-196
- Michaêl Foessel, État de vigilance, Critique de la banalité sécuritaire, Editions du Seuil, 2010
- Jean-Marie Durand, « « La sécurité doit être le préalable de la démocratie, pas son horizon », Michaël Foessel », les Inrockuptibles, 24 avril 2010
- Une idée similaire est développée par Giuliano da Empoli dans son article « Bifurquer : le Parti communiste chinois et la Silicon Valley travaillent ensemble à un avenir post-humain » in le Grand Continent, Politiques de l’interrègne. Chine, pandémie, climat, Gallimard, Paris 2022
- Clémence Maquet, « Russie, à l’intérieur du Red Web », Siècle digital, 15 mars 2021
- « Russia : new electronic surveillance rules », Library of Congress, 18 juillet 2016
- Corinne Lesnes, « Internet ; les États-Unis rassemblent une soixantaine de pays dans une coalition contre la « montée de l’autoritarisme numérique » », Le Monde, 28 avril 2022
- Mireille Delmas Marty, Une boussole des possibles, Collège de France, 2020