Cyber vie privée Enquête

Avec les CFF, on a déjà pris le train de la surveillance de masse

par Grégoire Barbey
Image d'archive. | Keystone / Martial Trezzini

Les CFF ont nié recourir à la reconnaissance faciale dans les gares. Mais les caméras qui permettent aujourd'hui d'effectuer le comptage de personnes peuvent déjà récolter de nombreuses données sur les individus. Notre enquête.

Exceptionnellement, cet article est en accès libre. N'hésitez pas à nous soutenir en vous abonnant.

Lundi 27 février, au guichet des CFF de la gare Genève-Cornavin. On interpelle un employé: «Pourriez-vous me montrer les dispositifs qui permettent de mesurer l’affluence des voyageurs dans la gare?» Regard gêné, réponse balbutiante: «J’ai appris l’existence d’un tel projet dans la presse». On rétorque: «Des capteurs sont déjà présents dans la gare, il s’agit d’un projet visant à renforcer le dispositif». Surpris, l’employé confie qu’il ignorait que ce système était en place.

Dans celle de Genève-Cornavin, on dénombre 30 capteurs, répartis sur 15 sites de comptage. Selon le service de presse de l’entreprise, contacté par Heidi.news, ils sont installés dans les plafonds. On ne les a pas vus. Est-ce délibéré de la part de l’entreprise? C’est en tout cas écrit noir sur blanc dans l’appel d’offres: les caméras doivent être le moins visibles possibles.

De quoi on parle. Les CFF pratiquent le comptage des personnes dans certaines gares depuis plus de dix ans, mais semblent passer à la vitesse supérieure. Un article de K-Tipp, publié le 12 février, a révélé l’existence d’un appel d’offres des CFF visant à renforcer son dispositif de mesure de l’affluence des voyageurs dans les gares. Le magazine affirmait alors que l’entreprise ferroviaire comptait recourir à la reconnaissance faciale – une affirmation depuis démentie par les CFF. Mais même sans reconnaissance faciale, les données collectées par l’entreprise ferroviaire posent question: l’enjeu de surveillance est bel et bien là.

Lire aussi: Les CFF mesurent l'affluence dans les gares depuis 2012

Ce que montrent nos recherches.

  • Les capteurs disponibles sur le marché permettent déjà, même sans reconnaissance faciale, d’obtenir beaucoup d’informations sur les personnes: sexe, classe d’âge, taille, vitesse de déplacement et masse.

  • Les CFF indiquent qu’ils ne sont pas intéressés par des données biométriques. Une affirmation à nuancer: la taille, la classe d’âge et le sexe des individus sont des caractéristiques qui relèvent de la «biométrie douce» (voir encadré plus bas).

  • Un marché octroyé en 2021 à l’entreprise zurichoise ASE pour équiper 20 gares évoquait déjà des détails techniques similaires à l’appel d’offres qui fait aujourd’hui polémique.

  • Le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC), autorité de tutelle des CFF, ne prend pas position contre ce projet.

  • L’appel d’offres mentionne «un développement spécifique et technique des données autorisant de nouvelles applications (cas d’usage)».

  • Les CFF multiplient les projets de numérisation, ce qui interroge sur de potentielles interactions futures, même s’ils s’en défendent.

Le rôle de l’appel d’offres. Pour les CFF, il s’agit d’atteindre un certain nombre d’objectifs listés dans des documents que Heidi.news a pu consulter:

  • Suivre les mouvements des voyageurs dans les gares, en permettant de restituer leurs parcours dans l’ensemble du bâtiment, y compris sur les quais et dans les magasins.

  • Les données sont récoltées anonymement, mais un identifiant aléatoire est attribué à chaque individu pour tracer ses déplacements de son arrivée à sa sortie de la gare.

  • Fournir aux CFF des données démographiques (classe d’âge, genre, taille) sur chaque voyageur ainsi que sur la nature des objets transportés.

  • Etablir des rapports pour la filiale immobilière des CFF, afin d’optimiser la sécurité, le nettoyage, les revenus et la connaissance des clients.

Quelles fins commerciales? Dans son article, le magazine K-Tipp voyait dans cet appel d’offres une volonté d’augmenter les recettes liées aux commerces situés dans les gares. En effet, les locataires paient un loyer à CFF Immobilier dont le montant est proportionnel au chiffre d’affaires réalisé. Accroître le revenu des commerçants, c’est donc augmenter ceux des CFF.

Dans l’appel d’offres, on trouve d’ailleurs une section relative aux rapports qui doivent être fournis à CFF Immobilier par le prestataire pour notamment permettre d’évaluer la performance des magasins et de mieux connaître la clientèle.

Les commerces ne seront pas «équipés sur une base généralisée, mais uniquement à la demande des locataires», précise l’appel d’offres. Mais le prestataire qui sera retenu doit aussi pouvoir mettre son infrastructure à disposition de projets pilote. Lesquels? L’entreprise ne le précise pas.

Sollicitée par Heidi.news pour obtenir une interview avec le directeur des CFF, Vincent Ducrot, afin d’évoquer les projets de l’ex-régie fédérale dans le domaine du numérique, l'entreprise a décliné.

Les CFF n’ont-ils pas le devoir de s’expliquer? «Vous pourrez poser vos questions en marge de la conférence de presse annuelle des CFF à la mi-mars», rétorque le porte-parole.

La stratégie globale. Pour prendre la mesure d’un tel projet, il faut comprendre comment il peut s’inscrire dans la stratégie plus large des CFF. Car des ambitions, l’entreprise n’en manque pas, même si elle semble peu encline à échanger sur le sujet.

En attendant, on peut déjà lister les différents projets de numérisation de l’entreprise qui pourraient être reliés d’une manière ou d’une autre à ce système de comptage:

  • L’abandon d’ici à 2035 des automates à billets dans les gares suisses, au profit de la seule vente dématérialisée.

  • La création d’une fonctionnalité dans l’application mobile des CFF pour permettre aux voyageurs de se retrouver dans les wagons, grâce à une géolocalisation effectuée par des récepteurs Bluetooth.

  • Le développement, par l’Alliance Swisspass, organisation du secteur des transports en commun dont font partie les CFF, d’une application de traçage des détenteurs d’un abonnement général, sur une base volontaire. Les récepteurs Bluetooth précédemment mentionnés seront d’ailleurs utilisés par cette application. Le contrat a été signé, a confirmé l’organisation à Heidi.news.

  • L’encouragement de projets innovants dans le domaine de la «ville intelligente», via le Smart City Lab Basel, un partenariat entre les CFF et le canton de Bâle.

  • Dans leur «Stratégie 2030», les CFF citent parmi leurs objectifs: «Viser l’orientation clientèle et l’efficacité, exploiter à cet effet de manière ciblée le potentiel des technologies et de la [numérisation] et renforcer notre performance en matière d’innovation en coopérant notamment avec l’industrie et les hautes écoles.»

Préoccupant même sans reconnaissance faciale. Selon les documents consultés, aucune technologie — reconnaissance faciale ou autre — n’est formellement privilégiée par les CFF à ce stade, qui laissent le soumissionnaire libre de choisir:

  • «la technique de mesure garantissant le respect des exigences minimales et optionnelles»,

  • «le nombre et le type des appareils de mesure nécessaires»,

  • tout en soulignant que la technique de mesure «doit rester aussi discrète que possible et ne pas s’afficher au grand jour».

Actuellement, les appareils qui équipent les gares pour la mesure d’affluence peuvent déjà être considérés comme des «caméras augmentées». La Commission nationale de l’informatique et des libertés (CNIL) en France explique sur son site qu’il s’agit de caméras qui sont «constituées de logiciels de traitements automatisés d’images couplés à des caméras, permettant non plus seulement de filmer les personnes mais également de les analyser de manière automatisée afin de déduire certaines informations et données personnelles les concernant».

Qui peut le plus, peut le moins? Les capteurs installés dans les gares suisses sont commercialisés par les fabricants Xovis et Flir. Le dernier modèle de capteur commercialisé par Flir, le Blickstream 3D Gen 2, permet selon la description du constructeur de:

«faire la distinction entre les enfants, les adultes et d’autres objets tels que les caddies, de sorte que vous obtenez les données précises dont vous avez besoin pour surveiller le comportement des clients. Grâce à une technologie brevetée, le dispositif recueille également l’heure, l’emplacement, la hauteur, la vitesse, la masse et la direction du déplacement, ce qui permet une analyse sophistiquée du comportement, au-delà des capacités de base de comptage des personnes.»

s-l1600.jpg
Exemple d'un capteur Brickstream commercialisé par Flir pour le comptage des personnes. / DR

Bien sûr, l’appel d’offres des CFF ne requiert pas expressément toutes ces données. Il indique noir sur blanc que le prestataire est tenu de transmettre des informations préalablement anonymisées et que les données personnelles doivent être traitées localement. Les données doivent être «fournies en temps réel».

Un précédent en 2021. Dans les faits, les éléments qui ressortent de cet appel d’offres ressemblent à s’y méprendre à un marché attribué par les CFF à l’entreprise zurichoise ASE fin 2021, mentionné par ICTjournal, pour un montant de 10,2 millions de francs. L’objectif était d’équiper 20 gares avec des capteurs. Il était alors déjà question d’un suivi personnalisé de chaque voyageur au moyen de l’attribution d’un identifiant, ainsi que d’une identification des objets transportés.

L’information, dévoilée en pleine pandémie de Covid-19, n’avait pas fait grand bruit… Et peut-être que le nouvel appel d’offres des CFF serait passé totalement inaperçu si le magazine K-Tipp n’avait pas évoqué à tort la reconnaissance faciale.

Des questions sans réponses. Mais le projet interroge. Car l’appel d’offres précise aussi que les CFF envisagent le «développement spécifique et technique des données autorisant de nouvelles applications (cas d’usage). Au besoin, les CFF attribueront au soumissionnaire des mandats requérant un savoir-faire dans les domaines du comptage des passants, de la data science, du projet management et du software engineering».

Autant de perspectives qui laissent songeur. Ce projet revient-il, comme le craint l’avocat spécialisé en nouvelles technologies Nicolas Capt, à faire entrer un loup dans la bergerie, mais avec une muselière?

Les explications fournies par les CFF dans leur communiqué soulèvent des questions supplémentaires. L’entreprise précise qu’il n’y aura pas «d’identifiant pour l’identification des personnes». Et d’ajouter:

«Une numérotation technique est attribuée à une personne détectée par le capteur 1, qui est enregistrée à tout moment de manière anonyme et sans visage reconnaissable. A partir de ce moment, le flux de mouvements est défini à l’aide de cette numérotation et de coordonnées.

Si ce numéro entre dans la zone du capteur 2, celui-ci reprend le numéro dans sa zone de mesure à l’aide des coordonnées. Le numéro est attribué temporairement. Si la même personne se présente à nouveau à la gare le lendemain, un nouveau numéro lui est attribué.»

Ces déclarations sont-elles de nature à rassurer? Lorsque l’entreprise mentionne l’absence de «visage reconnaissable», cela signifie-t-il que la caméra a accès aux visages? Si oui, le filtre pour les effacer s’applique en même temps que la captation des images ou lors d’un traitement ultérieur? Quant au numéro technique, qui est bel et bien un identifiant, est-ce qu’il est réattribué à la même personne si celle-ci revient dans la gare le même jour? Le document précise bien qu’un nouveau numéro lui est attribué si elle se présente «le lendemain»... Et si une même personne dispose d’un même numéro sur une journée alors qu’elle est sortie de la zone de mesure, comment les appareils font-ils pour la reconnaître?

Les «propriétés démographiques» des personnes qui peuvent être transmises aux CFF, comme le genre, la classe d’âge ou la taille, relèvent en fait de la biométrie douce» (soft-biometric), qui peuvent être recoupées avec d’autres données et permettre l’identification des individus.

Les dangers de la  «biométrie douce». «Contrairement à de nombreux traits biométriques primaires, la biométrie douce peut être obtenue à distance sans coopération du sujet et à partir de séquences vidéo de faible qualité, ce qui les rend idéales pour une utilisation dans des applications de surveillance», précise un document de recherche de l’Université de Biskra (Algérie).

De façon isolées, de telles données ne permettent pas l’identification d’un individu. «Mais si elles sont suffisamment précises et croisées à un autre fichier, par exemple le fichier des passagers d’un train, le risque est beaucoup plus élevé», relève Martin Clavey, journaliste scientifique chez Next Inpact. Des recherches montrent par ailleurs que la ré-identification à partir de données anonymes est possible.

Les CFF assurent protéger les données. Les CFF affirment qu’il n’est pas question d’associer les informations obtenues lors de la mesure de l’affluence des voyageurs avec celles figurant dans le SwissPass, cette espèce de carte d’identité nouvelle génération munie d’une puce RFID qui s’impose dans le domaine des transports en commun helvétiques. Ils rappellent aussi que la protection des données est une de leurs préoccupation majeure

D’ailleurs, les CFF ont accepté de mener une «étude d’impact» — ce qui n’a rien d’obligatoire dans le cadre de l’actuelle loi sur la protection des données, mais ce qui le deviendra avec la nouvelle mouture qui entre en vigueur à l’automne 2023.

Cette étude d’impact doit permettre d’identifier les risques qui pèsent sur les droits fondamentaux des personnes dans le cadre du projet envisagé par les CFF, et cas échéant de fournir des mesures qui permettront de réduire ces risques.

«Aucun projet ne peut garantir de sécurité absolue», expliquait toutefois le préposé fédéral à la protection des données, Adrian Lobsiger, interrogé par Heidi.news.

Les réactions. Les CFF, même s’ils disposent d’une grande autonomie, demeurent en mains publiques. Le Département fédéral de l’environnement, des transports, de l’énergie et de la communication est l’autorité de tutelle de l’entreprise ferroviaire. Que pense-t-il de leur projet? Contacté, un porte-parole répond:

«Le DETEC part du principe et attend des CFF qu’ils respectent les lois en vigueur sur la protection des données. Il se félicite du fait que les CFF aient décidé de procéder à une analyse d'impact sur la protection des données.»

Une position qui ne satisfait pas la conseillère nationale Laurence Fehlmann Rielle (PS/GE), qui a déposé mercredi 1er mars une question écrite au Conseil fédéral. Elle précise:

«Les CFF veulent acquérir des caméras qui disposent de fonctionnalités avancées, alors qu’ils affirment vouloir se limiter au comptage des flux de voyageurs pour améliorer la sécurité et le confort des gares. Une fois de tels dispositifs déployés, l’entreprise pourrait être tentée de les utiliser à plein potentiel. J’attends du Conseil fédéral qu’il se positionne sur un tel dossier.»

L’élu lausannois Benoît Gaillard va rencontrer les CFF la semaine prochaine pour obtenir des précisions quant à leur projet. Il rappelle que les gares ont été reconnues par le Tribunal fédéral comme des espaces publics. «C’est un problème d’y déployer des technologies très invasives et d’autant plus si elles sont invisibles», observe-t-il. Et d’ajouter:

«On déploie le SUV de la surveillance tout en promettant de rouler au pas. Tout ceci alors que le débat démocratique sur la reconnaissance biométrique a à peine démarré. J’estime que les CFF devraient suspendre leur projet.»

Le préposé fédéral à la protection des données tiendra-t-il compte de tous ces éléments dans son appréciation du projet d’extension du comptage des voyageurs dans les gares suisses? Suffit-il qu’un tel dispositif satisfasse à la protection des données pour qu’il n’y ait plus de raison de s’interroger sur les dangers qu’il peut représenter, en participant entre autre à habituer les individus à être l’objet d’une surveillance constante, aussi «respectueuse de la vie privée» soit-elle?

Mais les CFF auront probablement du mal à justifier le déploiement de caméras augmentées dont ils n’utilisent pas toutes les fonctionnalités. Parce que la technologie appelle toujours plus de technologie.

vie privée protection des données surveillance