Gérald Darmanin veut enterrer « l’affaire Briefcam »
En novembre, à la suite des révélations de Disclose sur l’utilisation par la police du logiciel de reconnaissance faciale Briefcam, Gérald Darmanin annonçait le lancement d’une enquête indépendante dont les conclusions devaient être rendues « sous trois mois ». Alors que le ministère de l’intérieur refuse de communiquer sur le sujet, un rapport confidentiel démontre que la fonction reconnaissance faciale est « activée par défaut » depuis 2018.
Que fait la police ? Près de cinq mois après les révélations de Disclose sur l’utilisation, en secret, du logiciel de reconnaissance faciale Briefcam par la police nationale, le ministère de l’intérieur n’a toujours pas communiqué la moindre information sur le cadre exact de cet usage. Ni même sur les raisons de l’acquisition de ce logiciel dès 2015, et hors de tout cadre légal. Face à l’impact suscité par nos révélations, Gérald Darmanin avait pourtant annoncé le lancement immédiat d’une « enquête administrative indépendante ». Elle devait être achevée « sous trois mois » et ses conclusions « rendues publiques ». La promesse du ministre a fait long feu : le délai annoncé est largement dépassé et l’enquête est restée confidentielle. « L’Inspection générale de l’administration a préparé un rapport avec des préconisations », assure à Disclose la direction générale de la police nationale, qui renvoie vers le ministère de l’intérieur pour plus de détails. Sollicité à de nombreuses reprises, le cabinet de Gérald Darmanin n’a pas donné suite à nos demandes d’informations et de communication du rapport.
Aucun contrôle
En novembre dernier, des documents et des échanges internes au ministère de l’intérieur obtenus par Disclose ont révélé que plusieurs services de police utilisent depuis des années un logiciel conçu par la société israélienne Briefcam, sans que la Commission nationale de l’informatique et des libertés (CNIL) n’en ait jamais été informée, comme le veut la loi. Installé sur des ordinateurs dédiés, cet outil d’analyse d’images de vidéosurveillance, baptisé Video Synopsis, permet de reconnaître automatiquement un véhicule grâce à sa couleur ou sa plaque d’immatriculation, ou encore une personne sur la base de ses vêtements ou de sa taille. Surtout, expliquait à Disclose une source bien informée au sein de la police, Briefcam permet aux fonctionnaires assermentés d’utiliser la fonctionnalité de reconnaissance faciale en un clic, en glissant dans le logiciel la photo d’un individu. Ce qu’ils feraient de façon active et sans contrôle d’un juge, en totale illégalité.
Au lendemain de nos révélations, la CNIL annonçait le déclenchement d’une « procédure de contrôle ». Une investigation qui « peut durer plusieurs mois », explique aujourd’hui à Disclose le gendarme français des données personnelles, sans plus de précisions sur l’avancement de l’enquête, ni sur les moyens mis en œuvre.
Pour en savoir davantage, il faut se rapporter à une récente audition au Sénat de Marie-Laure Denis, la présidente de la CNIL. Interrogée sur nos révélations le 17 janvier dernier, elle dit avoir « adressé un questionnaire extrêmement fourni au ministère de l’intérieur », espérant « obtenir des réponses d’ici à la fin du mois de février prochain » avant d’envisager d’éventuels « contrôles sur place ». Contactée pour savoir si les réponses lui étaient parvenues, la CNIL n’a pas souhaité faire de commentaires. Lors de cette audition, Marie-Laure Denis ajoute que si un contrôle devait être mené, ses services pourraient savoir si la reconnaissance faciale a été activée… « sauf, précise-t-elle, dans une hypothèse dont je préfère ne pas parler lors d’une audition publique ». Marie-Laure Denis estime par ailleurs que « ce n’est pas parce qu’on utilise [Briefcam] que l’on a systématiquement recours à la reconnaissance faciale ». Et la haute-fonctionnaire de conclure un peu rapidement « qu’il faut activer cette fonctionnalité » si l’on veut pouvoir l’utiliser.
La reconnaissance faciale « activée par défaut »
Or, selon un rapport confidentiel que Disclose s’est procuré, c’est tout le contraire. « La fonction de reconnaissance faciale est activée par défaut » sur Briefcam depuis la mise en place de la version 5.2 du logiciel… en 2018. C’est ce qu’affirme un audit réalisé par un expert en cybersécurité, les 6 et 7 décembre 2023, au sein du centre de supervision de Cœur côte fleurie. Quelques jours plus tôt, cette communauté de communes, qui rassemble notamment Deauville et Trouville (Calvados), avait été sommée d’effacer les données personnelles acquises avec Briefcam, à la suite du recours en référé de plusieurs associations (Ligue des droits de l’homme, Syndicat de la magistrature…), en réaction à notre enquête. Le Conseil d’État a depuis annulé la décision du tribunal administratif, estimant « qu’aucune fonctionnalité de reconnaissance faciale n’a été activée » au moment de l’audit. Sans pour autant rassurer sur l’usage de Briefcam au sein de la collectivité.
Si l’option reconnaissance faciale a bien été désactivée manuellement, l’expert informatique ne précise pas à quelle date — la veille du contrôle ou il y a plusieurs années ? Autre élément troublant : le logiciel Briefcam enregistre et archive dans une base de données un « journal d’événements ». Et ce, pendant 365 jours. Ce journal indique que la reconnaissance faciale a été activée le 28 février 2023 à 16h20, par un compte relié au service informatique de la communauté de communes, avant d’être désactivée 8 secondes plus tard. Mais quid de l’activité sur le logiciel il y a un an et plus, alors que celui-ci est employé par la collectivité depuis 2016 ? Dans le cas de la Côte fleurie, deux comptes peuvent entrer dans la base de données et la « nettoyer ». Question : combien d’agents disposent d’un accès à ces comptes, et quelles sont leurs fonctions ? Sur ces points, et sur d’autres, la communauté de communes n’a pas souhaité faire de commentaires. « C’est un dossier classé depuis la décision du Conseil d’État », élude Philippe Augier, le maire de Deauville et président de Cœur côte fleurie. En France, près de 200 communes sont équipées du logiciel Briefcam. Dernière en date à avoir installé la solution israélienne : la ville de Brest, qui l’a couplée à 15 caméras de surveillance capables de filmer à 360°.
« L’un des enjeux majeurs avec Briefcam repose sur l’existence d’une licence unique regroupant les fonctionnalités de vidéosurveillance algorithmique et la reconnaissance faciale, décrypte Robin Medard Inghilterra, maître de conférences en droit public à l’université Paris 1 Panthéon-Sorbonne. Dès lors, tout repose sur l’autolimitation des opérateurs utilisant le logiciel, dans un contexte de contrôle relativement lâche ».
Le gouvernement veut légaliser la reconnaissance faciale
Qu’en est-il des licences acquises par la police nationale et la gendarmerie sur l’ensemble du territoire ? La question est d’autant plus importante que les forces de l’ordre peuvent piocher dans le fichier de traitement des antécédents judiciaires (TAJ), qui contenait plus de 8 millions de photographies de visages en 2018.
Au détour d’une audition de Gérald Darmanin à l’Assemblée nationale, le 5 mars dernier, la sénatrice (PS) Marie-Pierre de la Gontrie a par ailleurs expliqué « qu’un haut fonctionnaire [du ministère de l’intérieur] a indiqué qu’il avait été demandé de stopper l’utilisation du logiciel israélien de reconnaissance faciale Briefcam, parce qu’il y avait une enquête. » En réponse, le ministre s’est contenté d’affirmer, contre toute vraisemblance : « Il n’y a pas d’utilisation de Briefcam. » Sollicitée, la sénatrice Marie-Pierre de la Gontrie, n’a pas souhaité commenter cet échange. Pas plus que le cabinet du ministre.
« Le sentiment d’impunité du ministère de l’intérieur est total », s’insurge le député La France insoumise, Hadrien Clouet. C’est en lisant l’enquête de Disclose que l’élu de Haute-Garonne a appris que les services de police de son département étaient équipés du logiciel de surveillance Briefcam depuis sept ans. Avec plusieurs de ses collègues, il a adressé un courrier, le 20 novembre, à la direction départementale de la sécurité publique afin d’obtenir des précisions sur cette acquisition. Un mois plus tard, ils recevaient une réponse laconique de la DDSP de Haute-Garonne : « Votre courrier (…) a fait l’objet d’une transmission à la Direction générale de la police nationale. » Et depuis, plus rien. « Il y a une absence d’esprit de responsabilité, poursuit l’élu. À la fois de la part de la DDSP qui ne répond pas à des questions circonscrites à son périmètre de compétence, mais aussi du ministère de l’intérieur, qui refuse clairement de s’exprimer. Pourtant, beaucoup de questions restent en suspens : comment la police nationale s’est-elle procuré Briefcam, quel usage en fait elle, par quels services ? »
Le silence règne jusqu’au plus haut sommet de l’État. En décembre dernier, au moment où était discuté un texte européen sur l’intelligence artificielle, 45 eurodéputé·es ont écrit au président de la République, Emmanuel Macron, sans obtenir de réponse. « Si le ministre responsable de la police dans un État membre de l’UE a effectivement dissimulé l’existence de pratiques illégales d’identification biométrique à distance pendant des années, écrivaient-ils. S’il a menti aux membres du Parlement et aux citoyens, ou s’il n’a pas été informé de l’utilisation de cette technologie par sa propre administration, cela montre que nous avons besoin de toute urgence d’un cadre européen directement applicable pour renforcer la protection des droits fondamentaux ». Les auteur·ices du courrier rappelaient à cette occasion que le gouvernement français réclamait « avec insistance une exemption des forces de l’ordre de l’interdiction de l’identification biométrique à distance » dans le cadre des négociations sur le texte.
Finalement, alors que l’ambition initiale était d’interdire la reconnaissance faciale dans l’espace public, l’IA Act, voté par le Parlement européen le 13 mars 2024, contient de nombreuses exceptions : l’analyse automatisée des visages pourra notamment être utilisée en temps réel — après autorisation judiciaire ou administrative — dans le cas de coups et blessures, d’homicides, de trafic de drogue ou en prévention d’une attaque terroriste. En tête des pays ayant poussé pour obtenir ces exceptions : la France.