Surveillance de masse et IA : comment se défendre dans une société hyperconnectée
Anna manifeste pacifiquement, mais l'algorithme la classe comme "risque". Ce n'est pas Black Mirror, c'est le présent de nos villes. Des caméras intelligentes a
Anna participe à une manifestation pacifique pour les droits sociaux. Elle n'a rien fait d'illégal. Mais le système de reconnaissance faciale de la ville scanne son visage, le croise avec la base de données, profile sa présence, enregistre ses associations avec d'autres participants. Un algorithme de police prédictive calcule un "score de risque" basé sur ses participations passées, ses amitiés sur les réseaux sociaux, ses schémas de déplacement. Elle est classée "personne d'intérêt". Cette donnée est insérée dans le système permanent de la police. Quand elle cherchera un travail dans le secteur public, quand elle traversera une frontière, quand un algorithme décidera qui mérite une attention spéciale – ce "score de risque" sera là. Anna ne saura jamais qu'elle l'a. Elle ne pourra jamais le contester.
Ceci n'est pas une dystopie future. C'est un présent documenté dans de multiples démocraties occidentales. La police métropolitaine de Londres utilise la reconnaissance faciale en direct. Amsterdam expérimente la police prédictive. Frontex met en œuvre des systèmes biométriques automatiques. Et avec l'AI Act européen tout juste approuvé – célébré comme une "réglementation d'avant-garde" – de nombreuses pratiques de surveillance restent légales, simplement avec quelques garde-fous bureaucratiques facilement contournés.
La question n'est plus "la surveillance de masse alimentée par l'IA arrive-t-elle ?" Elle est déjà là. La vraie question est : comment se défendre en préservant la liberté, la vie privée, la dignité dans une société où chaque mouvement, transaction, communication est potentiellement traçable, analysable, profilable par des algorithmes de plus en plus sophistiqués ?
L'architecture de la surveillance algorithmique
Avant de se défendre, il faut comprendre ce que nous combattons. La surveillance de masse alimentée par l'IA a trois composantes principales :
Reconnaissance biométrique : La technologie de reconnaissance faciale (FRT) identifie les individus à partir d'images/vidéos. Les systèmes en direct scannent les visages en temps réel dans les espaces publics – gares, places, manifestations. La précision a augmenté de façon exponentielle avec le deep learning. La police métropolitaine de Londres utilise la FRT en direct de manière routinière malgré une opposition publique massive.
Pas seulement les visages : la reconnaissance de la démarche (gait recognition), la reconnaissance vocale, la biométrie comportementale (schémas de frappe, mouvement de la souris). Chaque caractéristique corporelle devient un identifiant traçable.
Police prédictive : Les algorithmes analysent des données historiques sur la criminalité, démographiques, socio-économiques pour prédire où/quand des crimes auront lieu, qui est susceptible d'en commettre. Le Parlement européen a exprimé son opposition mais la mise en œuvre continue dans de nombreux États membres.
Le problème n'est pas seulement la précision (notoirement faible, avec des biais raciaux documentés) mais la présomption de culpabilité basée sur des schémas statistiques. Punir des crimes pas encore commis par des personnes jamais jugées coupables. Minority Report n'est pas de la science-fiction mais une politique active.
Profilage automatisé : Les algorithmes agrègent des données fragmentées – transactions par carte de crédit, déplacements GPS, likes sur les réseaux sociaux, recherches web, achats en ligne, interactions IoT – pour construire des profils détaillés des comportements, préférences, vulnérabilités, tendances politiques. Leur utilisation pour entraîner des systèmes d'IA se fait souvent sans consentement explicite et éclairé.
Les profils sont vendus à des courtiers en données, partagés avec les gouvernements, utilisés pour du ciblage publicitaire manipulateur, de la discrimination algorithmique dans les assurances/le crédit/le travail. Privacy International documente un "vide juridique" où des pratiques techniquement légales produisent une surveillance de masse effective.
Comme discuté dans l'article sur les biais algorithmiques, les systèmes entraînés sur des données historiques amplifient les discriminations existantes, touchant de manière disproportionnée les minorités.
Autoritarisme numérique : quand l'IA devient une arme de répression
Les régimes autoritaires arment l'IA pour surveiller, profiler, réprimer la dissidence. Mais la frontière entre démocraties et autocraties est moins nette qu'il n'est confortable de le penser.
Chine : système de crédit social, reconnaissance faciale ubiquitaire, censure automatisée des contenus. Russie : surveillance des activistes, infiltration des communications chiffrées, identification des participants aux manifestations. Arabie Saoudite : logiciel espion Pegasus sur les dissidents, journalistes, défenseurs des droits humains.
Mais aussi : la police métropolitaine britannique utilise la FRT sans consentement public. La police prédictive aux USA cible les communautés afro-américaines. Proposition de l'UE pour un "chat control" scannant automatiquement les communications privées. Israël surveille biométriquement les Palestiniens dans les territoires occupés.
Un rapport de l'Oxford AI Governance documente : les démocraties adoptent des outils d'autoritarisme numérique en les justifiant par la sécurité, la lutte contre le terrorisme, la protection des mineurs. Une pente glissante très dangereuse.
Affaire Glukhin c. Russie (CEDH) : Une étude juridique analyse l'utilisation de la FRT contre les participants à des manifestations pacifiques. La Cour a établi une violation des droits fondamentaux MAIS l'application est limitée, les pratiques continuent.
Campagne européenne contre le chat control : Une coalition civile combat la proposition de l'UE de scanner automatiquement toutes les communications privées pour rechercher des contenus illégaux. Risques : faux positifs en masse (une photo de bébé dans son bain = abus sur enfant ?), fin de la vie privée des communications, précédent pour une surveillance totale.
Comme souligné dans l'article sur l'IA et le langage, quand le pouvoir contrôle la communication, il contrôle la pensée. Le scan automatique des messages est un panoptique linguistique.
AI Act : victoire partielle, multiples échappatoires
L'AI Act européen de 2024 est célébré comme la "première réglementation mondiale complète sur l'IA". Mais une analyse d'EDRi met en lumière des limites dévastatrices :
Exceptions de sécurité nationale : Les États membres peuvent déroger à pratiquement toute restriction en invoquant la sécurité nationale. Définition vague, interprétation large, contrôle minimal.
Identification biométrique "post-facto" autorisée : La FRT en direct en temps réel est théoriquement interdite sauf cas exceptionnels. MAIS l'identification "post-remoto" – scanner la foule, identifier après – est parfaitement légale. Différence technique, effet de surveillance de masse identique.
Police prédictive non interdite : Les systèmes "d'évaluation des risques" des individus pour les forces de l'ordre sont autorisés s'ils sont "transparents" et avec une "supervision humaine". Critères vagues, facilement contournables.
Mise en œuvre faible : Sanctions théoriquement sévères (jusqu'à 7% du chiffre d'affaires mondial) MAIS l'application dépend d'autorités nationales aux ressources limitées, à la volonté politique variable, sous d'énormes pressions de l'industrie.
EDRi propose des stratégies de contentieux stratégique, des campagnes de plaidoyer, une pression parlementaire continue pour fermer les échappatoires. La bataille juridique est loin d'être gagnée.
Comme discuté dans l'article sur l'IA et le neuromarketing, une réglementation faible permet à des pratiques éthiquement problématiques de rester techniquement légales.
Défense individuelle : hygiène numérique quotidienne
L'action collective politique est fondamentale MAIS une défense personnelle immédiate est aussi nécessaire. Un fil r/privacy très complet fournit un aperçu des stratégies :
1. Modélisation des menaces réaliste Pas besoin de paranoïa totale. Identifie les menaces spécifiques pertinentes pour toi : surveillance gouvernementale ? Traçage corporatif ? Harcèlement personnel ? Optimise les défenses sur des risques réels, pas abstraits.
2. Chiffrement des communications
- Messagerie : Signal (chiffrement de bout en bout, métadonnées minimales, open source audité)
- Email : ProtonMail, Tutanota (chiffré au repos, juridictions respectueuses de la vie privée)
- Stockage cloud : Tresorit, Sync.com (chiffrement zero-knowledge)
- VPN fiables : Mullvad, IVPN (politique de non-conservation des logs vérifiée, paiements anonymes acceptés)
3. Navigateur axé sur la vie privée
- Firefox + uBlock Origin + HTTPS Everywhere + Privacy Badger
- Brave (basé sur Chromium MAIS axé sur la vie privée)
- Tor Browser pour un anonymat sérieux (lent MAIS efficace)
4. Systèmes d'exploitation renforcés
- Linux (Tails pour un anonymat maximum, Qubes OS pour la compartimentation)
- GrapheneOS pour Android (axé sur la vie privée/sécurité, services Google optionnels)
- Éviter Windows/MacOS pour les activités sensibles
5. Minimisation des données biométriques
- Masques/lunettes anti-FRT dans les manifestations (efficacité variable, légalement complexe)
- Éviter la collecte volontaire de biométrie (Face ID, empreinte vocale) quand des alternatives existent
- Opt-out des bases de données FRT commerciales là où c'est légalement possible (Clearview AI, PimEyes)
6. Hygiène des réseaux sociaux
- Pseudonymes non reliables à l'identité réelle
- Informations de profil minimales/fausses
- Géolocalisation toujours désactivée
- Séparation stricte vie personnelle/professionnelle/militante
- Partir du principe que tout est public et indexable de façon permanente
7. Paiements préservant la vie privée
- Espèces quand c'est possible (toujours le roi pour l'anonymat des transactions)
- Cartes prépayées à usage unique
- Cryptomonnaies axées sur la vie privée (Monero) pour les achats en ligne sensibles
- Éviter les cartes de fidélité qui tracent chaque achat
8. Mobile Verification Toolkit Un outil open-source qui scanne les smartphones pour détecter les logiciels espions (Pegasus, NSO). Essentiel pour les activistes, journalistes, dissidents ciblés par des régimes.
Comme souligné dans l'article sur l'apprentissage personnalisé par l'IA, quand les systèmes collectent des données en continu, il faut être conscient de ce que nous partageons.
Défense collective : organisation et résilience sociale
Mais une défense purement individuelle est insuffisante. Des campagnes collectives sont nécessaires :
1. Plaidoyer législatif La campagne "Protect Not Surveil" demande :
- Interdiction totale de la FRT en direct dans les espaces publics
- Interdiction de la police prédictive basée sur le profilage racial/social
- Transparence obligatoire des algorithmes des forces de l'ordre
- Droits à contester les décisions automatisées
- Sanctions sévères pour les violations vérifiées indépendamment
2. Contentieux stratégique EDRi coordonne des affaires juridiques pour tester les limites de l'AI Act :
- Contester l'utilisation de la FRT par la police métropolitaine britannique
- Contester la police prédictive discriminatoire aux Pays-Bas
- Recours contre les systèmes de profilage automatisé aux frontières
- Actions de groupe pour violations du RGPD (profilage de données sans consentement)
3. Alphabétisation numérique communautaire Des initiatives d'"autodéfense numérique" forment les gens :
- Ateliers sur le chiffrement, VPN, navigateurs privés
- Formation pour reconnaître la surveillance (caméras FRT, traçage en ligne)
- Simulations de scénarios de menace spécifiques (manifestations, reportages sensibles)
- Culture de la sécurité collective, pas seulement individuelle
4. Technologies collaboratives préservant la vie privée
- Réseaux mesh décentralisés (ne dépendant pas d'ISP surveillables)