Le gouvernement a partiellement tenu compte de l'avis de la CNIL en accordant un droit d'accès direct aux données traitées par Viginum. Le SGDSN est appelé à la prudence quant aux biais discriminatoires de ses futures IA, ainsi qu'au sujet des internautes qui, « de bonne foi », relaieront de fausses informations.
Le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum) a reçu le feu vert du Conseil d’Etat pour collecter les données publiques sur les réseaux sociaux, afin de lutter contre la diffusion de fausses informations et de traquer les ingérences numériques étrangères, rapporte l'AFP.
« Un soulagement pour l'État, qui n'a donc pas à se soumettre au débat parlementaire », décrypte Le Figaro : « le Conseil d'État devait en effet décider si le périmètre d'action de Viginum devait être encadré par un décret ou un projet de loi ». Le décret établissant ses modalités d’action et outils a été publié le 9 décembre au Journal officiel. Il prévoit notamment que Viginum puisse travailler sur les plateformes nécessitant une inscription, comme Facebook, Instagram ou Twitter. Les messageries privées, comme WhatsApp ou Messenger, ne sont pas concernées.
Les données collectées ne pourront être conservées que pour une durée maximum de six mois, et les collectes ne pourront être ni « automatiques » ni « constantes », mais déclenchées après qu’un agent a détecté quelque chose de suspect. Le texte précise que Viginum « est autorisé à mettre en œuvre un traitement informatisé et automatisé de données à caractère personnel » :
« Ce traitement a pour finalités la détection et la caractérisation des opérations impliquant, de manière directe ou indirecte, un Etat étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée (…) d’allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation, notamment lorsque ces opérations sont de nature à altérer l’information des citoyens pendant les périodes électorales. »
Il « repose sur la collecte et l’exploitation des contenus publiquement accessibles aux utilisateurs » de certaines plateformes, « dont l’activité sur le territoire français dépasse un seuil de cinq millions de visiteurs uniques par mois, y compris lorsque l’accès à ces plateformes requiert une inscription à un compte [...] les données ainsi collectées sont exploitées pour les seuls besoins de l’élaboration de notes d’analyse » précise le décret.
« La sélection des contenus à collecter s’opère de manière proportionnée et automatisée » en respectant certains critères techniques, dont « l’exclusion de tout recours à un système de reconnaissance faciale ou d’identification vocale », ajoute le texte. Lorsqu'une campagne étrangère hostile sera caractérisée, et ses auteurs identifiés par Viginum, c'est l'État qui décidera de lancer ou non une stratégie de réponse contre un pays, indique Le Figaro :
« À l'image de ce qui peut se faire dans le domaine de la cybersécurité, l'exécutif pourra par exemple rendre publiques ces ingérences, geler des accords commerciaux et avoirs financiers, ou s'engager dans des opérations plus secrètes. »
Doté d'un budget de 12 millions d'euros, Viginum compte une vingtaine de personnes à plein temps, issues de l'administration et du secteur privé : analystes des réseaux sociaux, géopolitiques ou experts en sciences sociales.
Une collecte massive de données à tout instant
Dans sa délibération, la CNIL estime que « le traitement est justifié par l'objectif légitime de préserver la sincérité du débat démocratique et de lutter contre les atteintes aux intérêts fondamentaux de la Nation ».
Mais elle souligne que « la mise en œuvre d'un tel traitement n'est pas neutre sur l'exercice des libertés publiques compte tenu de l'économie générale du traitement et des conséquences que ce traitement est susceptible d'avoir sur certains droits et libertés fondamentaux, dont la liberté d'expression et la liberté d'opinion » :
« En outre, la Commission relève que le traitement envisagé s'appuie sur une veille permanente et, parce qu'il peut concerner tous les champs du débat public, est susceptible de permettre à tout instant une collecte massive de données à tout instant. »
la CNIL considère qu'une attention particulière doit être accordée au principe de transparence à l'égard du grand public et « de minimisation des données et de respect de la vie privée dès la conception », en limitant le traitement de données non pertinentes au regard des finalités poursuivies et les périodes au cours desquelles ce traitement peut être mis en œuvre.
Le cycle du traitement Viginum
La Commission détaille ensuite les différentes phases du dispositif. Une première de veille et de détection devra permettre d'identifier les acteurs ou les évènements « ayant un intérêt au regard des missions du service Viginum », d'une part. Viginum s'attachera d'autre part à détecter un soupçon relatif à « la diffusion d'allégations ou imputations de faits manifestement inexactes ou trompeuses » avant d'initier l'opération de collecte.
Cette phase conduira à la rédaction de fiches dites de « traçabilité » qui détermineront les éléments techniques (« mots-clés, éléments sémantiques comme des mots-dièses, éléments chiffrés, rapprochement entre des profils ou groupe de profils d'intérêts, etc. ») qui permettront, « après une validation humaine », d'orienter l'opération de collecte par la sélection des contenus « nécessaires à la mission de caractérisation ».
Ce n'est qu'une fois ces trois étapes validées que pourra commencer la collecte des données à caractère personnel « sur l'ensemble des plateformes identifiées comme pertinentes », notamment par des techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés (« webscraping ») ou l'utilisation d'API, « durant une période initiale de sept jours ».
Les données collectées feront ensuite l'objet de « traitements techniques automatisés » afin de séparer les informations à conserver (« celles qui correspondent aux catégories de données formant le modèle de données préalablement défini ») de celles qui doivent être immédiatement supprimées.
Les données conservées seront ensuite exploitées et analysées, afin de confirmer, le cas échéant, la présence d'une opération d'ingérence numérique étrangère. Si tel est le cas, elles pourront être extraites pour élaborer des notes d'analyse à transmettre aux différents services et administrations, « ainsi qu'à des homologues étrangers ».
Du comité éthique et scientifique de Viginum
Cela étant posé, la Commission « relève que le traitement envisagé soulève des difficultés particulières en termes de proportionnalité ». Il implique en effet une collecte automatisée de données « en très grande quantité et susceptible d'intervenir à tout moment ».
Ces informations sont, au surplus, « susceptibles de révéler des informations sur un nombre important d'aspects de la vie privée des personnes concernées », y compris des informations sensibles, telles que les opinions politiques, convictions religieuses ou philosophiques ainsi que l'état de santé ou l'orientation sexuelle, alors que de telles données bénéficient d'une protection particulière.
De plus, cette collecte automatisée d'un grand nombre de données implique la collecte et le traitement de données « non pertinentes au regard des finalités poursuivies ». Et ce, « indépendamment de toute enquête pénale ou procédure judiciaire et en dehors du cadre prévu pour les techniques de renseignement ».
La CNIL souligne dès lors la nécessité d'« assurer un contrôle externe », mais précise qu'il « pourrait notamment appartenir au comité éthique et scientifique » adossé à Viginum de « veiller effectivement à ce que les opérations de collecte ne soient déclenchées qu'au vu d'éléments les justifiant suffisamment, et pour un périmètre de données pertinent ». Ses moyens devraient en tout état de cause « être proportionnés à ses missions, afin qu'il puisse réagir rapidement à toute fiche de traçabilité transmise ».
Quid des internautes de bonne foi ?
La Commission « considère qu'il s'agit d'un traitement d'une extrême sensibilité », tant en raison du nombre de personnes concernées (« potentiellement plusieurs centaines de milliers de personnes »), du volume de données collectées, que de l'absence de contrôle externe.
Elle estime dès lors que les données contenues dans ces notes « doivent impérativement se limiter au strict nécessaire ». Elles ne devraient concerner que les seuls comptes ayant un lien direct et établi avec la caractérisation d'une opération d'ingérence numérique étrangère. La CNIL précise qu'« en aucun cas, ces notes ne pourraient contenir des données des internautes de bonne foi ayant par exemple relayé une "fausse information" » :
« La Commission considère qu'en l'état actuel de sa rédaction, le projet de décret n'apporte pas assez de garanties sur ce point, et invite donc le Gouvernement à préciser en ce sens le texte encadrant le traitement. »
Le décret, de fait, n'évoque aucunement le risque de voir des internautes « de bonne foi » être mentionnés dans les notes d'analyse. On notera cela dit qu'en matière de désinformation, la notion même de « bonne foi » est elle-même sujette à caution, au vu des nombreux biais cognitifs associés, d'une part, et de l'instrumentalisation politique inhérente aux usages sur les réseaux sociaux.
Quid des notes d'analyse ?
Le projet de décret prévoyait que les notes d'analyse « pourront être transmises à différents services étatiques et administrations ainsi qu'à des homologues étrangers ». La CNIL regrettait cela dit que la liste des destinataires des notes d'analyse « soit imprécise », et considérait que le décret devrait « mentionner tous les destinataires des notes d'analyse, en ce compris les services de renseignement ».
Le SGDSN lui avait confirmé que le comité éthique et scientifique de Viginum « serait rendu destinataire des notes d'analyse pour remplir ses missions », et la Commission avait pris acte de l'« engagement du Gouvernement de compléter le projet de texte encadrant le traitement sur ce point ».
Le décret finalement publié au JO reste muet à ce sujet, et ne mentionne plus les destinataires des notes d'analyse. Il précise cela dit que le rapport annuel, rendu public, établi par ledit comité, contiendra :
- une synthèse des collectes effectuées, des conditions de leur déclenchement et des moyens mis en œuvre à cet effet ;
- la liste des plateformes en ligne sur lesquelles des données ont été collectées ;
- des éléments chiffrés relatifs à l'exercice des droits d'accès, de rectification et d'effacement ;
- une information quant aux mesures de sécurité mises en place afin d'assurer la confidentialité et l'intégrité des données collectées, s'agissant notamment des conditions de sous-traitance des opérations de collecte, d'exploitation et d'hébergement ;
- une évaluation générale de la mise en œuvre du traitement de données à caractère personnel créé (...) dans le but d'identifier les ingérences numériques étrangères.
Du risque du chilling effect
La Commission relève par ailleurs que le traitement de Viginum « interviendra de facto dans le champ des libertés publiques » :
« En effet, l'existence de cette surveillance qui, à la différence de la procédure mise en place par la loi du 22 décembre 2018 [contre la manipulation de l'information, ndlr], n'est pas bornée dans sa durée, est susceptible d'avoir des conséquences sur l'exercice de la liberté d'opinion et d'expression des utilisateurs des plateformes concernées, dès lors que la collecte de l'ensemble des données publiquement accessibles sur les plateformes en ligne [...] est susceptible de modifier leur comportement. »
Elle estime à ce titre que « certains d'entre eux pourraient, en effet, faire le choix de ne plus s'exprimer afin d'éviter une collecte des données qui les concernent ». Elle considère donc qu'« une atteinte particulièrement importante au droit au respect de la vie privée et à la protection des données à caractère personnel est caractérisée ».
Or, de telles atteintes « ne peuvent être admises que si elles apparaissent strictement nécessaires au but poursuivi », et si des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel sont prévues :
« Compte tenu de ce qui précède, la Commission estime souhaitable de laisser la possibilité au législateur, au terme d'un débat démocratique, d'apprécier la proportionnalité d'un tel dispositif et de fixer les règles en encadrant et en limitant l'usage, ainsi que les modalités de son contrôle. »
IA, reconnaissances d'image et biais discriminatoires
À la demande de la Commission, et « dans un souci de transparence », les droits d'accès, de rectification et d'effacement ne se feront pas, comme c'est le cas pour les fichiers de renseignement, via la CNIL, mais directement auprès de Viginum en application de l'article 119 de la loi « Informatique et Libertés ».
La CNIL relève en outre que le SGDSN a prévu l'utilisation de traitements algorithmiques pour analyser les contenus collectés, « et notamment l'utilisation de techniques de reconnaissances d'image, afin notamment d'apprécier le caractère authentique ou non de l'activité de certains comptes ».
Elle souligne à ce titre que « de nombreuses failles ont été identifiées lors de l'utilisation de telles techniques, qui ont parfois eu des impacts discriminatoires sur les personnes ».
Elle recommande dès lors que, s'ils sont utilisés, ces outils fassent l'objet d'une étude d'impact approfondie, « notamment en ce qui concerne leurs biais discriminatoires possibles ».
Elle invite également le SGDSN à réaliser une AIPD pour chaque nouvel algorithme utilisé dans le cadre du traitement envisagé et « prend acte de l'engagement du Gouvernement en ce sens ».
Commentaires (9)
#1
Suprise : de Battlefield à Call Of Duty il est difficile de rendre les frags interopérables.
On peut donc signer le verbatim, mais où ? Un stylo est autorisé ou bien c’est une arme de catégorie “E” ?
#2
….des internautes qui, « de bonne foi », relaieront de fausses informations.
et
Le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum)
a reçu le feu vert du Conseil d’Etat pour collecter les données publiques sur les réseaux sociaux
afin de lutter contre la diffusion de fausses informations et de traquer les ingérences numériques étrangères…
bon courage (je suis sérieux) !
#3
Cette nouvelle exploitation des données visera donc à limiter la propagande politique, la menace terroriste ainsi que la désinformation ? Tout en distinguant les comptes de bonne foi ? “Elles ne devraient concerner que les seuls comptes ayant un lien direct et établi avec la caractérisation d’une opération d’ingérence numérique étrangère”. L’IA, les algorithmes seront donc capables de détecter la menace terroriste endogène, d’éviter les biais discriminatoires..
Avons nous d’autres choix que d’attendre pour connaitre les failles et avantages de ce nouveau système de contrôle ? Non.
Cela s’ajoute à la «commission Bronner» (un sociologue aux idées particulièrement rigides et soumis à des biais cognitifs comme tout le monde) ou même si certains de ses membres sont “neutres”, cela n’est pas le cas de toute cette vague de dit sceptiques (petits héritiers d’Henri Broch..) qui comportent eux mêmes beaucoup de biais, pas ou peu d’indulgence.
#4
Qu’as-tu contre les héritiers d’Henri Broch ? (ce dernier ayant fait un travail remarquable)
Et contre Bronner ?
On a vraiment besoin de gens comme ça, encore plus depuis l’épidémie qui a vu l’émergence de tellement de charlatans et de relais (ou création) d’informations fausses; il y a des vies en jeu.
Tu mentionnes le terrorisme mais il n’est pas visé par Viginum. Il fait déjà l’objet d’une surveillance par la DGSI et par d’autres moyens.
Cela dit je n’ai pas de solution clé en main pour lutter contre ces tendances.
Il est cependant souhaitable de ne pas rester entièrement passif face à ça, et en ce sens l’initiative des pouvoirs publics n’est pas inutile (avec des contrôles bien sûr, merci la CNIL).
#4.1
Olivier, je vais être plus précise, la zététique est une discipline riche d’enseignements, connaitre les sophismes, les biais cognitifs, la rhétorique. Mais l’art du doute pour une majorité de zet, s’est transformé en certitudes. A cela s’ajoute l’effet de groupe, qui peut devenir très rapidement toxique et malveillant. Je ne mets pas tout ce monde dans le même panier, certain.e.s ne se sont pas détourné.es de leur objectif soit d’analyser, trier l’info de l’intox.
D’ailleurs des personnes comme Aude Favre (qui fait partie de la commission) a toujours décliné les invitations à faire partie de groupes tel que la zét.
Gérald Bronner ? Si n’es pas athée, cela ne lui convient pas, certains de ses raisonnements sont totalement biaisés (ex, son analyse du père noël, les sources sont surement encore sur Twitter ou FB, de mémoire JM Abrassart avait relégué cette analyse (point de vue plutôt) un peu foufou pour rester polie.
#5
Donc la réponse de l’état au platiste est encore pire que leur pseudo-délire.
Paranoïd Game !
#5.1
Planoïd Game plutôt, car je crois savoir que c’était l’article précédent qui parlait des paranoïds rêvant d’indiens électriques…
#6
Bienvenue dans 1984 et le crédit social !
on ne vous laissera pas faire !
#7
On est dans un contexte où, pour un gouvernement, toute idée contraire à la sienne est une désinformation et toute action de contestation est pratiquement du terrorisme, quand on écoute certains membres (ou ex-membre) du gouvernement sur les plateaux.
Ca donne une petite idée de l’usage de ce genre d’outils.
J’ajouterais que dans cette logique les faux positifs ne sont pas un problème pour eux, les faux négatif largement plus.