Reconnaître un visage dans la rue, anticiper un achat en ligne, prédire un comportement politique : en quelques années, la surveillance numérique est passée du scénario de science-fiction à la boîte à outils quotidienne des États et des géants de la tech. Pour les démocraties, une question s’impose désormais : jusqu’où peut-on aller pour sécuriser, optimiser, personnaliser, sans dégrader les droits fondamentaux qui sont censés les définir ?
Un tournant pour les droits fondamentaux
La plupart des constitutions démocratiques ont été écrites à une époque où la surveillance impliquait des policiers, des micros et des filatures physiques. Aujourd’hui, l’essentiel se joue dans des centres de données et des algorithmes qui analysent nos traces numériques.
Les droits humains classiquement invoqués – droit à la vie privée, liberté d’expression, liberté d’association, interdiction de la discrimination – n’ont pas disparu. Mais ils sont mis à l’épreuve par trois caractéristiques de la surveillance numérique moderne :
- l’échelle : des milliards de personnes connectées, des années d’historique conservé ;
- la profondeur : localisation précise, réseaux de contacts, préférences intimes, état de santé ;
- l’opacité : des systèmes d’IA et de scoring difficilement auditables, même par les autorités.
Comme le résume la juriste américaine Shoshana Zuboff, nous sommes passés d’une surveillance « par exception » à une surveillance « par défaut ». La question n’est plus seulement « que savent les services de renseignement ? », mais « que savent les entreprises, ce qu’elles en font, et comment les États utilisent – ou détournent – ces capacités ».
Ce que savent vraiment les géants de la tech
Les grandes plateformes se défendent régulièrement de faire de la « surveillance ». Elles parlent plutôt de « personnalisation », « amélioration du service » ou « sécurité ». Dans les faits, leurs modèles économiques reposent massivement sur la collecte et l’analyse des données.
Une simple journée connectée – messages, vidéos, paiements, déplacements – génère une quantité de signaux qui permettent de déduire bien plus que ce que l’on croit partager. Des études académiques l’ont montré : à partir des « likes » sur les réseaux sociaux, il est possible d’inférer l’orientation politique, l’orientation sexuelle ou le niveau de revenu avec un degré de probabilité élevé.
Dans son rapport 2022, la Haute Commissionnaire aux droits de l’homme de l’ONU rappelait que cette connaissance fine des individus crée un risque systémique : plus les données sont centralisées et corrélées, plus elles peuvent être utilisées à des fins qui excèdent largement le service initial (publicité politique, notation sociale, ciblage massif de populations vulnérables, etc.).
La frontière entre « analytics » et surveillance devient particulièrement floue lorsque ces données sont mises à disposition – légalement ou non – d’acteurs publics. Les programmes de coopération entre plateformes et services de police pour lutter contre le terrorisme ou la pédocriminalité s’inscrivent dans un objectif légitime. Mais ils créent aussi un précédent : l’idée qu’il est normal qu’une poignée d’entreprises privées disposent d’un accès quasi structurel à l’intimité numérique des citoyens.
Quand la surveillance déborde de l’écran
Les dérives documentées ces dernières années montrent que la question n’est plus théorique.
Le scandale Cambridge Analytica, en 2018, a mis en lumière comment les données de dizaines de millions d’utilisateurs Facebook avaient été aspirées puis exploitées pour du microciblage politique, notamment lors du référendum sur le Brexit et de l’élection présidentielle américaine de 2016. Ici, la violation était double : exploitation abusive de données personnelles et manipulation de processus électoraux.
Autre exemple, plus directement lié aux droits humains : l’affaire Pegasus. Ce logiciel espion, vendu par la société israélienne NSO Group à des gouvernements, a été utilisé pour infiltrer les smartphones de journalistes, d’avocats, d’opposants politiques et de défenseurs des droits humains dans plusieurs pays. Là encore, la technologie a été développée par une entreprise privée, mais déployée à grande échelle par des États, parfois contre leurs propres citoyens.
Dans un registre différent, la Chine a expérimenté, puis étendu, des systèmes de notation sociale combinant vidéosurveillance, reconnaissance faciale, données de mobilité et historiques de paiement. Officiellement destinés à « renforcer la confiance » et à sanctionner les comportements jugés déviants, ces dispositifs posent une question simple : peut-on encore parler de vie privée ou de liberté d’expression lorsqu’un algorithme d’État évalue en permanence le « score » de chaque individu ?
Ces cas extrêmes servent souvent de repoussoir pour les démocraties libérales. Mais ils interrogent aussi leurs propres pratiques. En Europe ou en Amérique du Nord, la tentation existe de généraliser la vidéosurveillance automatisée, la reconnaissance faciale dans l’espace public ou le recours aux données des opérateurs télécoms pour des finalités sécuritaires ou sanitaires, comme on l’a vu pendant la pandémie de Covid-19.
Le droit à la vie privée à l’épreuve
Face à ces évolutions, les cadres juridiques tentent de s’adapter, avec des vitesses et des ambitions variables selon les régions du monde.
En Europe, le Règlement général sur la protection des données (RGPD) a marqué un tournant. Il consacre une série de principes – minimisation des données, limitation des finalités, consentement éclairé, droit à l’effacement – qui donnent aux citoyens des leviers réels, au moins sur le papier. Le RGPD a aussi inspiré des lois dans d’autres régions, de l’Amérique latine à l’Asie.
La Cour européenne des droits de l’homme (CEDH) et la Cour de justice de l’UE ont, à plusieurs reprises, rappelé des limites claires. Elles ont par exemple jugé illégales certaines formes de conservation généralisée des données de connexion, au motif qu’elles reviendraient à considérer tous les citoyens comme des suspects potentiels.
Mais le droit peine à suivre la complexité technique. Les dispositifs d’IA utilisés pour la modération de contenus, la détection de fraude ou le scoring publicitaire sont souvent des « boîtes noires ». Comment vérifier qu’ils ne discriminent pas, qu’ils ne favorisent pas certains profils au détriment d’autres, ou qu’ils ne sont pas détournés à des fins de surveillance ciblée ?
Dans d’autres régions, le déséquilibre est encore plus marqué. Les États-Unis disposent bien de garde-fous pour leurs propres citoyens, mais la surveillance des communications internationales par la NSA a longtemps échappé à tout réel contrôle démocratique. Le renouvellement récent de la section 702 du Foreign Intelligence Surveillance Act (FISA) a relancé le débat, tant cette disposition est critiquée par les défenseurs des libertés civiles.
À l’échelle onusienne, plusieurs rapporteurs spéciaux ont alerté sur les risques des technologies de surveillance de masse et appellent à un moratoire sur certaines d’entre elles, en particulier la reconnaissance faciale dans l’espace public. Mais ces recommandations n’ont pas, à ce stade, de force contraignante.
Peut-on vraiment encadrer les géants de la tech ?
L’un des enjeux majeurs tient au rapport de force entre les États et les grandes entreprises numériques. Ces dernières disposent de moyens financiers, de capacités de recherche et de bases de données qui dépassent souvent ceux des administrations nationales. Comment réguler des acteurs capables de déplacer leurs infrastructures, leurs filiales et leurs flux de données en fonction des juridictions les plus favorables ?
L’Union européenne a choisi une voie offensive. Après le RGPD, elle a adopté le Digital Services Act (DSA) et le Digital Markets Act (DMA), qui imposent des obligations renforcées aux « très grandes plateformes en ligne ». Transparence sur les algorithmes de recommandation, accès des chercheurs à certaines données, évaluation des risques systémiques pour les droits fondamentaux : l’idée est de passer d’une régulation centrée sur la donnée à une régulation centrée sur les usages et les effets.
L’AI Act, en cours de mise en œuvre, va plus loin en classant certains systèmes d’intelligence artificielle comme « à haut risque », voire en interdisant quelques usages (comme certaines formes de reconnaissance biométrique en temps réel). Reste à voir comment ces interdictions s’appliqueront concrètement, et si les États membres résisteront à la tentation des dérogations sécuritaires.
En parallèle, se développe une approche plus pragmatique, faite de négociations, de codes de conduite, d’audits externes et de « sandboxes réglementaires » où entreprises et autorités expérimentent ensemble. Cette méthode a l’avantage de ne pas étouffer l’innovation, mais elle repose largement sur la bonne volonté des acteurs privés.
Les partisans d’un encadrement plus strict rappellent qu’en matière de droits humains, l’autorégulation a montré ses limites. Longtemps, les grandes plateformes ont confié des décisions cruciales – modération de contenus politiques, transmission de données aux autorités, partenariats technologiques sensibles – à des équipes internes, guidées avant tout par des impératifs commerciaux et d’image.
Peut-on laisser à ces mêmes acteurs le soin de définir où s’arrête la « personnalisation » et où commence la surveillance ? La question reste ouverte, mais la tendance est claire : de plus en plus de juridictions exigent une responsabilité accrue, assortie d’amendes potentiellement dissuasives en cas d’abus.
Le rôle des États, des contre-pouvoirs et des citoyens
L’équilibre entre droits humains et surveillance numérique ne dépend pas seulement des lois et des technologies. Il tient aussi à la vitalité des contre-pouvoirs et à la culture civique d’une société.
Les parlements, les autorités de protection des données, les cours suprêmes ou constitutionnelles jouent un rôle clé. Sans décisions courageuses, les textes restent symboliques. On l’a vu avec la surveillance de masse après les attentats de 2015 en Europe : plusieurs dispositifs censés être exceptionnels ont été prolongés, voire intégrés au droit commun, avant d’être partiellement retoqués par les juges.
La société civile et les médias d’investigation agissent comme des révélateurs. Les affaires Pegasus, Cambridge Analytica ou les révélations d’Edward Snowden sur la NSA n’auraient pas émergé sans le travail de journalistes, de lanceurs d’alerte et d’ONG spécialisées. Ce sont souvent eux qui documentent les usages concrets derrière les discours officiels de « sécurité » ou « d’innovation ».
Les citoyens, enfin, ne sont pas de simples victimes ou usagers passifs. Leurs choix – télécharger ou non une application, accepter ou non certains cookies, chiffrer leurs communications, soutenir ou non des initiatives de régulation – pèsent sur l’équation globale. Le succès de certaines messageries sécurisées, comme Signal ou WhatsApp après l’introduction du chiffrement de bout en bout, montre qu’une demande de confidentialité existe, même si elle reste inégale selon les contextes.
Reste une question embarrassante : jusqu’où sommes-nous prêts à sacrifier du confort numérique pour gagner en protection de nos droits ? Ferait-on l’effort de payer pour des services sans publicité ciblée ? Accepterait-on des délais supplémentaires ou des restrictions de fonctionnalités pour éviter la collecte systématique de nos données ?
Vers quel compromis pour les démocraties ?
Aucun système démocratique ne peut ignorer les enjeux de sécurité, de lutte contre la criminalité ou de gestion de crises sanitaires. Refuser toute forme de surveillance numérique serait irréaliste, voire irresponsable. Mais accepter sans débat l’extension continue de ces dispositifs, portée par des technologies de plus en plus intrusives, reviendrait à fragiliser les libertés qu’elles prétendent protéger.
L’équilibre à trouver passe sans doute par quelques lignes rouges claires :
- refus de la surveillance de masse indifférenciée, au profit de mesures ciblées et proportionnées ;
- interdiction ou moratoire sur certaines technologies à haut risque (comme la reconnaissance faciale en temps réel dans l’espace public) tant que leurs impacts ne sont pas mieux compris ;
- obligation de transparence et d’audit pour les systèmes d’IA utilisés à des fins sécuritaires ou de contrôle social ;
- garantie d’un contrôle effectif par des autorités indépendantes et par les juges ;
- protection renforcée des journalistes, des défenseurs des droits humains et des opposants politiques.
À moyen terme, les démocraties devront aussi s’interroger sur leur dépendance structurelle aux infrastructures de quelques grands groupes privés. Peut-on défendre sérieusement la souveraineté numérique et les droits fondamentaux si l’essentiel des données, des clouds et des outils d’IA est contrôlé par une poignée d’entreprises mondiales ?
À long terme, la question dépasse même le cadre des droits individuels. La collecte permanente de données, la personnalisation extrême de l’information et la capacité de cibler finement chaque électeur transforment en profondeur la manière dont se forment l’opinion publique et le débat démocratique. Une démocratie où chaque citoyen reçoit un message différent, calibré par des algorithmes opaques, reste-t-elle pleinement une démocratie ?
Entre efficacité sécuritaire, innovation économique et protection des libertés, la marge de manœuvre est étroite. Mais c’est justement dans cette zone de tension que se redessinent, aujourd’hui, les contours de nos démocraties. Les choix faits dans les prochaines années – en matière de régulation, de technologies acceptées ou refusées, de modèles économiques encouragés – pèseront durablement sur le type de société dans laquelle nous accepterons d’être surveillés… ou pas.