Surveillance industrielle

Revue Droits et libertés, Vol. 33, numéro 1, printemps 2014

 

Stéphane Leman-Langlois, titulaire
Chaire de recherche du Canada en surveillance et construction sociale du risque, Université Laval

Il a beaucoup été question, ces derniers mois, de la surveillance que l’État dirige vers le citoyen, au point qu’on oublie facilement qu’une myriade d’entités privées collectent à chaque seconde des montagnes d’informations sur nous, nos habitudes, nos comportements et nos interactions avec les autres. Pourtant, il arrive régulièrement qu’un jet de lumière nous révèle une portion de ces pratiques, par exemple lorsqu’une publicité particulièrement opportune apparaît sur un site que nous visitons. En général, nous faisons peu de cas de ces étonnantes coïncidences. Une explication est sans doute que pour le consommateur moyen, une publicité ciblée est une publicité avant tout et que la nature et l’intensité du travail analytique qui l’a produite restent toujours inconnues, voire insoupçonnées. Pourtant, l’ampleur de la surveillance qui est requise se chiffre en milliards de dollars (défrayés par les consommateurs, bien sûr) et la marchandisation de l’information personnelle est le fondement même de l’Internet industriel contemporain.

Surveillance administrative

Plusieurs entités commerciales se doivent d’amasser un minimum d’informations sur leurs clients, tout simplement afin de leur fournir le service qu’ils demandent. Un téléphone portable ne pourrait fonctionner sans continuellement révéler sa position; on devra également conserver, à des fins de facturation, les données sur les appels reçus et effectués à partir du téléphone (les fameuses métadonnées). C’est pour la même raison que les fournisseurs de télévision sur demande conservent des informations sur les choix de leurs clients. Ceci, on peut s’en douter, s’accumule et, à la longue, peut représenter des quantités phénoménales de données; cependant la surveillance purement administrative implique généralement que les entreprises font périodiquement le ménage pour alléger leur fardeau informatique.

La surveillance administrative peut aussi impliquer le filtrage des données, des biens ou des personnes. Par exemple, les fournisseurs d’accès Internet utilisent des dispositifs d’inspection approfondie des paquets (deep packet inspection, DPI) afin de moduler la circulation des données pour permettre aux applications qui se déroulent en temps réel (téléphonie, jeux) de passer devant celles qui sont moins urgentes (téléchargements).

Dans cette catégorie, il faut ajouter les systèmes de contrôle d’accès, à des services ou à des lieux physiques par exemple, qui consistent à identifier, filtrer et suivre les individus selon les autorisations qui leur ont été accordées. Ici, nous retrouvons la journalisation (logging) des sessions de travail sur les ordinateurs, les cartes d’accès et les systèmes biométriques. La plupart d’entre nous avons acquis une certaine habitude des mots de passe, mais un nombre toujours plus grand de travailleurs sont soumis à des régimes de surveillance microscopique visant à maximiser leur productivité, dont la surveillance de leurs déplacements, de leurs mouvements et de leur utilisation des installations de l’entreprise, des toilettes à l’ordinateur qu’on leur confie.

Surveillance valorisée

Une entreprise peut également réutiliser les renseignements qu’elle accumule à des fins administratives pour ajouter à ses revenus. Le cas de Bell et de la publicité ciblée en est un exemple. Fin 2013, Bell Mobilité et sa subsidiaire écono + Virgin Mobile informaient leurs clients que des publicités ciblées seraient désormais envoyées à leurs téléphones. Pour ce faire, Bell mettrait à profit la banque de données qu’elle possède déjà sur ses clients et qui contient leurs habitudes en matière d’usage d’Internet, de téléphonie (dont leurs déplacements géographiques) et de télévision. Bell/Virgin offrait à ses clients de refuser la publicité ciblée, mais non la collecte et l’analyse d’informations à leur sujet (en quel cas ils recevraient tout de même de la publicité « non ciblée ». Notez que tous les fournisseurs font la même chose). Cette valorisation de renseignements déjà colligés encourage, bien sûr, une collecte et une rétention maximale, qui permettent de « profiler » le client, c’est-à-dire d’identifier et de catégoriser à la fois ses intérêts et la stratégie de marketing qui convient le mieux à son profil psychologique. Ceci est réalisé à l’aide de logiciels algorithmiques sophistiqués qui classeront les clients dans diverses typologies concoctées par des experts en marketing behavioral.

Ce que les métadonnées peuvent révéler à notre sujet est phénoménal. Une expérience en cours à l’Université Stanford, avec 500 volontaires offrant leurs métadonnées, a montré que les chercheurs pouvaient établir le dossier financier, l’état de santé, l’adhésion aux AA, le fait d’avoir eu un avortement ou de posséder des armes, et bien d’autres choses encore.

En plus de la valorisation de métadonnées, il faut également considérer une foule de services de communication comme des moyens de production de données réutilisables. Par exemple, le contenu de courriels envoyés ou reçus à l’aide de Gmail a toujours été utilisé par Google comme une mine d’information sur ses clients (en fait, c’est la raison pour laquelle Google a lancé Gmail). Les robots de la compagnie vont systématiquement à la pêche dans les courriels des utilisateurs pour y trouver des mots-clés pouvant être commercialement utiles. Selon la compagnie, ceci ne viole pas la vie privée des utilisateurs de Gmail puisque ce sont des robots qui font le travail et qu’aucun humain n’a jamais accès aux contenus de conversations privées. Yahoo, MSN et la plupart des autres compagnies de ce type font, bien sûr, exactement la même chose. Facebook fait la saisie, en temps réel, de tout ce que font les utilisateurs sur son site, incluant les mises à jour de statut, commentaires, j’aime et autres clics; dans le cas de FB, il s’agit de tous les mots entrés à l’écran par l’usager, incluant ceux que ce dernier décide ensuite d’effacer sans les publier. En fait, Facebook sait ce que vous faites sur toutes les pages où est inclus un bouton « j’aime ». Voici comment un service gratuit a fait de son fondateur un des hommes les plus riches du monde.

Pour clore cette section, revenons aux dispositifs de DPI mentionnés ci-dessus. Puisqu’on module déjà le trafic Internet à l’aide de cette technologie, autant valoriser cette forme de surveillance également. Les fournisseurs d’accès l’utilisent donc pour favoriser certaines applications et/ou contenus qui participent à leurs revenus.

Surveillance commerciale

Il existe bien sûr une foule d’entités commerciales qui font de la surveillance, dès le départ, uniquement pour constituer une banque de données utilisables à des fins de modification du comportement de l’individu. Un exemple parmi d’autres : fin 2013, il fut démontré que les télévisions « intelligentes » de LG renvoyaient aux serveurs de la compagnie un flux d’informations sur l’usager, incluant son comportement sur Internet, les mots-clés recherchés, les chaînes regardées, les minutes d’utilisation, ainsi que le contenu des supports médias branchés sur sa télé (par exemple, une carte SD ou lecteur USB externe). Que fait LG avec ces informations ? Elle les analyse et les revend à des publicitaires. Sur l’écran d’accueil, le consommateur est ainsi exposé à des publicités taillées sur mesure (produits intéressants, présentés de manière compatible avec la personnalité du consommateur), et constamment ajustées pour obtenir le comportement désiré.

D’autres entités commerciales sont fondées exclusivement sur la surveillance du citoyen. Par exemple, Vigilant Solutions utilise des lecteurs automatisés de plaques d’immatriculation, des statistiques sur le revenu des ménages et d’autres données à des fins de stratégie publicitaire. Les courtiers en données sont des entreprises fondées entièrement sur la collection et la revente de données. Gnip traite près de quatre milliards d’entrées sur les réseaux sociaux et les revend à ses clients C chaque jour. Axciom a pour but de colliger 1 500 points d’information sur chaque citoyen afin de les catégoriser dans son système à 70 types psycho-socio-démographiques. Datalogix, qui collectionne les informations laissées par les clients qui utilisent une carte de fidélisation, détient de l’information sur mille milliards de dollars dépensés par les consommateurs. Assurez-vous de donner le bon code postal la prochaine fois qu’une caissière vous le demandera : de cette manière, on pourra combiner une série de banques de données sur vos habitudes quotidiennes et les relier à votre nom et votre adresse.

Cette dernière catégorie comprend également ce qu’on pourrait appeler des entreprises de surveillance « indirecte », c’est-à-dire celles qui commercialisent des dispositifs, logiciels, stratégies ou services de surveillance. Il suffit de constater la fréquence d’éclosion de nouveaux systèmes de vidéosurveillance pour se donner une idée de la vitalité de ce marché. Sans compter que derrière ces caméras, des logiciels de traitement de l’image de plus en plus sophistiqués sont offerts, dont ceux qui analysent le comportement et ceux qui reconnaissent les visages.

Retour à l’État

Récemment, les projecteurs ont été braqués sur certains organismes de renseignement gouvernementaux qui sont profondément impliqués dans la collecte généralisée d’informations sur les Canadiens. Il s’agit, en particulier, de la GRC, du Centre de la sécurité des télécommunications Canada (CSTC), du Service canadien du renseignement de sécurité (SCRS) et de la National Security Agency (NSA) des États-Unis. Or, souvent (la fréquence étant impossible à établir puisque ces activités sont clandestines), ces organismes ne font plus de collecte ou d’interception active et se contentent d’exiger des données déjà amassées par les entreprises. Les programmes les plus célèbres révélés par Edward Snowden, Glenn Greenwald et Laura Poitras font état de deux types de collecte. Le premier type, dont les exemples sont « Prism » et « Fairview », consiste à convaincre ou à obliger (à l’aide de certaines dispositions du USA Patriot Act, entre autres) un grand nombre d’entités industrielles et financières de fournir un accès à leurs banques de données et, le cas échéant, aux contenus qui sont confiés à leurs services d’infonuagique (comme Google, Amazon, etc.). Dans cette catégorie, il y a également les multiples accords, avec presque tous les fournisseurs de services, qui prévoient l’accès aux métadonnées générées par leurs clients, qui alimentent la base de données géante connue sous le nom de « Marina », partagée entre les partenaires des « cinq yeux » (Canada, États-Unis, Royaume-Uni, Australie et Nouvelle-Zélande). Ces accords sont secrets, mais comme il doit forcément y avoir un coût additionnel pour les fournisseurs, il est peu probable qu’ils aient entrepris ces activités sans menace ou compensation. Le second type de collecte « passive » consiste à intercepter le flot d’information entre les serveurs des fournisseurs, avec le programme « Muscular » entre autres. Plusieurs entreprises ont réagi en chiffrant ce trafic C, mais le déchiffrement est l’une des activités principales de la NSA et du CSTC.

Si tout ça nous paraît plutôt éloigné de notre réalité quotidienne et plus proche de l’univers de James Bond ou de George Orwell, cette activité ésotérique a des effets parfaitement tangibles sur nos vies de citoyens ordinaires. Premièrement, la Loi antiterroriste du Canada donne pour mission au CSTC de seconder les activités de la police canadienne lorsque requis et sans que la moindre connexion au terrorisme soit nécessaire, ce qu’il fait approximativement une fois par jour. Deuxièmement, plusieurs lois ayant été introduites récemment font reposer l’activité policière sur les métadonnées industrielles portant sur le citoyen ordinaire. Le défunt projet de Loi sur la protection des enfants contre les cyberprédateurs (C-30), son successeur le projet de Loi sur la protection des Canadiens contre la cybercriminalité (C-13) et le projet de Loi sur la protection des renseignements personnels numériques (S-4) comportent tous des dispositions visant à faciliter les poursuites civiles ou criminelles de citoyens ayant commis des infractions qui sont à la fois généralisées dans le public et de gravité extrêmement faible (par exemple, l’échange de fichiers musicaux). Ce à quoi il faut ajouter les milliards dépensés en programmes qui dépassent de loin l’application de lois pénales, et qui incluent les infoguerres de propagande, la manipulation et la création frauduleuse de médias sociaux, et encore bien d’autres tactiques de la haute police du 21e siècle. Dès 2003, Donald Rumsfeld, secrétaire de la Défense aux États-Unis signait un document qui lançait le nouveau programme d’opérations militaires en matière de guerre de l’information. On y soulignait déjà à quel point la manipulation de l’information sur Internet est un élément crucial d’un conflit et que celui qui y excelle détient un avantage décisif sur ses opposants. Dans un document récupéré par E. Snowden auprès d’un autre des partenaires des cinq yeux, le Government Communications Headquarters du Royaume-Uni, on découvre qu’une série d’opérations ont pour but explicite d’utiliser les médias sociaux, entre autres, pour manipuler l’opinion publique. Sachant cela, parlerons-nous toujours de « Révolution twitter »? Enfin, encore au niveau du citoyen lambda et plus particulièrement de celui qui se retrouve de temps à autre à traverser la frontière, notons que l’Agence des services frontaliers du Canada (douanes et immigration) a accédé en 2013 plus de 18 000 fois aux données d’usagers de services de téléphonie au Canada …dont seulement 50 fois à l’aide d’un mandat judiciaire.

Ceci souligne un des aspects fondamentaux de la surveillance industrielle : bien qu’elle soit l’affaire d’entreprises privées qui visent des buts presque uniquement économiques, éventuellement le bassin total des informations collectées et générées est toujours disponible aux États et aux polices. Non pas qu’on doive y voir là le seul inconvénient. Évidemment, puisque la surveillance industrielle se manifeste souvent à nous à travers les offres alléchantes, la convivialité des applications et des contenus et la personnalisation du service, il est difficile d’en entrevoir la portée réelle. Seulement, comme sa capacité à modifier nos comportements se chiffre en milliards de dollars, il serait sans doute sage de s’y attarder d’un peu plus près. Du moins, avant que notre compréhension de la réalité, telle que produite par des systèmes de communication qui seront bientôt entièrement taillés sur mesure, rende cette position critique impossible à adopter, voire à imaginer.

Revenir à la Table des matières de la revue Droits et libertés