L'ESSENTIEL
En octobre 2020, la commission des lois du Sénat a créé en son sein une mission d'information sur la reconnaissance faciale, une technologie qui se développe rapidement grâce aux algorithmes d'apprentissage et polarise l'opinion publique entre les tenants d'un moratoire portant sur toutes les technologies biométriques, qui seraient par nature attentatoires aux libertés, et ceux qui mettent en exergue leurs importants bénéfices potentiels.
À l'heure où une législation sur l'intelligence artificielle est en cours d'élaboration au niveau européen, il est indispensable de construire une réponse collective à l'utilisation des technologies de reconnaissance biométrique afin de ne pas être, dans les années à venir, dépassés par les développements industriels.
I. LA RECONNAISSANCE FACIALE : UNE TECHNOLOGIE AUX MULTIPLES FACETTES SOULEVANT DE NOMBREUX ENJEUX DE LIBERTÉ ET DE SOUVERAINETÉ
Parmi les techniques biométriques, qui regroupent l'ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales, la reconnaissance faciale vise à reconnaître une personne sur la base des données caractéristiques de son visage .
Elle s'effectue en deux étapes : le visage de la personne est d'abord capté et transformé en un modèle informatique dénommé gabarit , puis ce gabarit est comparé, grâce à l'intelligence artificielle , avec un ou plusieurs autres gabarits afin de vérifier qu'il s'agit bien d'une seule et même personne ou de lui attribuer une identité. On parle dans le premier cas d'authentification et dans le second d'identification .
Les cas d'usage de cette technologie sont potentiellement illimités . Ainsi, sans que cette liste soit exhaustive, la reconnaissance faciale peut permettre de contrôler l'accès et le parcours des personnes pour les évènements ou locaux sensibles, d'assurer la sécurité et le bon déroulement d'évènements à forte affluence ou d'aider à la gestion des flux dans les lieux et environnements nécessitant une forte sécurisation.
En France, les usages pérennes dans les espaces accessibles au public sont extrêmement limités . Il s'agit pour l'essentiel du dispositif de rapprochement par photographie opéré dans le Traitement des antécédents judiciaires (TAJ) et du système PARAFE permettant une authentification sur la base des données contenues dans le passeport lors des passages aux frontières extérieures . Plusieurs expérimentations ont par ailleurs été menées, par la Ville de Nice ou Aéroports de Paris notamment, mais aucune d'entre elles n'a pour l'instant été pérennisée.
Les questions que pose le déploiement de la reconnaissance faciale sont nombreuses . Elles ont trait tant aux libertés publiques qu'à la souveraineté technologique de la France, les deux thématiques étant interdépendantes.
Dans ce contexte, il est surprenant que la reconnaissance faciale, et plus largement les techniques de reconnaissance biométrique, ne fasse pas l'objet d'un encadrement ad hoc . Elles sont actuellement exclusivement régies par le droit des données personnelles .
S'agissant de données « sensibles » au sens du règlement général sur la protection des données (RGPD), les données biométriques font l'objet d'une interdiction de traitement . Sur la base du RGPD, ces traitements ne peuvent être mis en oeuvre que par exception dans certains cas particuliers : avec le consentement exprès des personnes , pour protéger leurs intérêts vitaux ou sur la base d'un intérêt public important . Sur la base de la directive « Police-justice », ces traitements ne peuvent être réalisés par les autorités publiques compétentes qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.
II. ÉCARTER LE RISQUE D'UNE SOCIÉTÉ DE SURVEILLANCE EN EXPÉRIMENTANT AU CAS PAR CAS
A. DÉFINIR COLLECTIVEMENT UN CADRE COMPRENANT DES LIGNES ROUGES, UNE MÉTHODOLOGIE ET UN RÉGIME DE REDEVABILITÉ
a) Des lignes rouges écartant le risque d'une société de surveillance
Les rapporteurs considèrent qu'il est indispensable de fixer dans la loi quatre interdictions applicables aux acteurs publics comme privés :
- interdiction de la notation sociale . Cette interdiction irait au-delà de celle proposée par la Commission européenne dans le règlement sur l'intelligence artificielle puisque cette dernière ne s'intéresse qu'aux acteurs publics. Il est en effet nécessaire de protéger les consommateurs de méthodes commerciales intrusives et d'empêcher le recours à la notation sociale par surveillance de leurs comportements dans les espaces de vente, de restauration ou les centres de loisirs ;
- interdiction de la catégorisation d'individus en fonction de l'origine ethnique, du sexe, ou de l'orientation sexuelle , sauf dans le cadre de la recherche scientifique et sous réserve de garanties appropriées ;
- interdiction de l'analyse d'émotions , sauf à des fins de santé ou de recherche scientifique et sous réserve de garanties appropriées ;
- interdiction de la surveillance biométrique à distance en temps réel dans l'espace public , sauf exceptions très limitées au profit des forces de sécurité ; en particulier, cette interdiction porterait sur la surveillance biométrique à distance en temps réel lors de manifestations sur la voie publique et aux abords des lieux de culte .
Les rapporteurs préconisent également de poser trois principes généraux :
- le principe de subsidiarité, pour que la reconnaissance biométrique ne soit utilisée que lorsqu'elle est vraiment nécessaire ;
- le principe d'un contrôle humain systématique afin qu'il ne s'agisse que d'une aide à la décision ;
- et le principe de transparence pour que l'usage des technologies de reconnaissance biométrique ne se fasse pas à l'insu des personnes.
b) Une méthodologie claire : la voie expérimentale dans le cadre d'une loi
La mission est favorable à l'adoption d'une loi d'expérimentation pour créer le débat et déterminer les usages de la reconnaissance biométrique qui pourraient être pertinents et efficaces. L'expérimentation pourrait être autorisée pour une période de trois ans , ce qui obligerait le Gouvernement et le Parlement à réévaluer le besoin et recadrer le cas échéant le dispositif en fonction des résultats obtenus.
Pour que cette phase d'expérimentation soit utile, serait mise en place une évaluation publique et indépendante pour connaître l'efficacité de la technologie dans le cas d'usage testé. Elle serait conduite par un comité composé de scientifiques et de spécialistes des questions éthiques dont les rapports seraient rendus publics .
Pour que les Français s'emparent du sujet en étant suffisamment à même d'en comprendre les différents enjeux, il est préconisé de rendre accessible une information claire sur les techniques de reconnaissance biométrique , les bénéfices qui en sont attendus et les risques encourus.
c) Un régime de contrôle a priori et a posteriori
La mission souhaite que les usages soient autorisés a priori . En cas d'utilisation par les forces de sécurité intérieure , l'autorisation relèverait soit d'un magistrat, soit du préfet , selon qu'on s'insère dans un cadre de police judiciaire ou de police administrative. En cas de déploiement par un acteur privé dans un lieu accessible au public, la CNIL serait compétente.
La CNIL serait systématiquement consultée pour tout déploiement : pour les usages publics, parce que les analyses d'impact devraient impérativement lui être transmises pour avis, et pour les usages privés, parce qu'elle aurait à délivrer l'autorisation préalable.
Ces différentes autorisations feraient l'objet d'un recensement national pour garder une vision globale du recours aux techniques de reconnaissance biométrique, quelle que soit l'autorité ayant délivré l'autorisation.
Enfin, le pouvoir de contrôle de la CNIL serait réaffirmé afin qu'elle exerce son rôle de gendarme de la reconnaissance biométrique , qu'elle mène des contrôles a posteriori du bon usage des dispositifs et des éventuels détournements de finalité en dehors de l'autorisation. Dans ce cadre, les rapporteurs rappellent l'importance de lui accorder les moyens humains, financiers et institutionnels adéquats.
B. RECENTRER LE DÉBAT DU CADRE JURIDIQUE SUR LES CAS D'USAGE
a) Autoriser, à titre expérimental, le traitement des images à l'aide de l'intelligence artificielle dans le cadre des finalités attribuées au dispositif de vidéoprotection déployé
Les cas d'usage de la reconnaissance faciale étant multiples et potentiellement illimités, un raisonnement cas d'usage par cas d'usage s'impose , prenant en considération les finalités poursuivies par chacun d'entre eux. Plusieurs distinctions doivent ainsi être opérées, les risques pour les libertés étant dans une large mesure conditionnées par celles-ci.
Les dispositifs de traitement des images sans utilisation de données biométriques se multiplient . Il peut s'agir de dispositifs de suivi ou de traçage, de détection d'évènements suspects ou d'objets abandonnés, ou de caractérisation de personnes filmées. À ce jour cependant, les traitements des images issues de la voie publique en s'appuyant sur l'intelligence artificielle ne disposent pas d'un cadre juridique propre . Il y a donc un débat sur la possibilité de les déployer. Certaines communes ont d'ores et déjà mis en place des systèmes de détection automatique des dépôts sauvages d'ordures, par exemple.
Les rapporteurs considèrent que l'application de l'intelligence artificielle aux images issues de la vidéoprotection constitue un changement d'échelle dans l'exploitation de la vidéoprotection ce qui, étant susceptible de porter atteintes aux libertés individuelles, nécessite une base législative explicite . Cette base est d'autant plus urgente que le déploiement de systèmes de détection de colis abandonnés ou de mouvements suspects dans une foule sera nécessaire pour assurer la sécurité au moment des Jeux Olympiques de 2024.
Il est donc proposé d'établir, à titre expérimental , une base législative qui permettrait aux opérateurs des systèmes de vidéoprotection dans les espaces accessibles au public de mettre en oeuvre des traitements d'images par intelligence artificielle , sans traitement de données biométriques. Ces traitements devraient s'inscrire dans les missions des personnes publiques et privées concernées et, surtout, dans les finalités attribuées au dispositif de vidéoprotection déployé .
b) L'authentification biométrique en vue de permettre un contrôle d'accès sécurisé
S'agissant des logiciels de reconnaissance biométrique, notamment à partir de la biométrie du visage, une distinction doit être effectuée entre authentification et identification.
L'authentification biométrique, qui permet un contrôle sécurisé et fluidifié des accès, est plus propice au recueil du consentement de la personne, tout en constituant un système moins intrusif , car celui-ci peut dans certains cas être construit de façon à ce que le fournisseur de technologie n'ait pas accès aux données biométriques des personnes. Ainsi, dans le cadre français et européen actuel, des cas d'usage ont été mis en oeuvre sur la base du consentement des personnes.
La mission propose de donner une base légale à ces dispositifs imposant aux personnes souhaitant les mettre en place de nombreuses garanties permettant, d'une part, d' évaluer l'impact du dispositif et, d'autre part, de s'assurer du caractère libre, spécifique, éclairé et univoque du consentement donné .
Dans certains cas très particuliers et à titre expérimental, ces dispositifs pourraient également être rendus possibles de manière obligatoire, pour accéder à des zones nécessitant une sécurisation exceptionnelle.
c) L'identification biométrique, a posteriori ou en temps réel
Les opérations d'identification biométriques doivent, quant à elles, faire l'objet d'un encadrement extrêmement strict au regard des risques encourus et être proportionnées aux modalités d'usages, qu'il s'agisse d'une exploitation en temps réel , c'est-à-dire dans le cadre d'un processus permettant un usage immédiat des résultats pour procéder à un contrôle de la personne concernée, ou d'une utilisation a posteriori , par exemple dans le cadre d'une enquête. Dans ce second cas, les recherches se font généralement sur des enregistrements.
S'agissant d'abord de l' identification a posteriori , la mission propose :
- en premier lieu, de permettre une utilisation de la biométrie dans les fichiers de police, dans le cadre d'enquêtes judiciaires ou d'opérations de renseignement . Il s'agit d'un moyen de fiabilisation et d'opérationnalisation des fichiers, dont le mouvement est déjà enclenché au niveau européen ;
- en deuxième lieu, d'autoriser à titre expérimental et de manière subsidiaire, uniquement pour la recherche d'auteurs ou de victimes potentielles des infractions les plus graves , l'exploitation a posteriori d'images sous le contrôle du magistrat en charge de l'enquête ou de l'instruction ;
- en troisième lieu, de créer une technique de renseignement donnant aux services la possibilité d'utiliser des systèmes de reconnaissance faciale afin d'identifier une personne recherchée ou de reconstituer son parcours a posteriori . Un tel usage se révèlerait en particulier pertinent dans le cadre de la mission de prévention de toute forme d'ingérence étrangère, aux fins de détecter la présence sur le sol national d'agents de services étrangers qui entrent en France sous une fausse identité.
S'agissant ensuite de l' identification biométrique à distance en temps réel , les rapporteurs insistent sur leur volonté de lui conserver un caractère particulièrement exceptionnel . Sur leur proposition, la mission n'a donc prévu son déploiement que par exception, dans trois cas très spécifiques et circonscrits :
- dans le cadre d'enquêtes judiciaires , en vue de permettre, d'une part, le suivi d'une personne venant de commettre une infraction grave à partir des images issues de la vidéoprotection afin de faciliter son l'interpellation et, d'autre part, la recherche dans un périmètre géographique et temporel limité, des auteurs d'infractions graves recherchés par la justice ou des personnes victimes d'une disparition inquiétante . Les infractions concernées pourraient par exemple être limitées aux crimes menaçant ou portant atteinte à l'intégrité physique des personnes ;
- dans un cadre administratif , en vue de sécuriser de grands évènements présentant une sensibilité particulière ou les sites particulièrement sensibles face à une éventuelle menace terroriste . La détection ne pourrait se faire que sur un périmètre géographique limité et pour une période précisément déterminée ;
- dans un cadre de renseignement , en cas de menaces imminentes pour la sécurité nationale .
Ces déploiements devront en outre être entourés de solides garanties , notamment :
- la nécessité d'une autorisation et d'un contrôle d'une autorité, distincte en fonction des usages (magistrat, préfet ou Commission nationale de contrôle des techniques de renseignement) ;
- le caractère strictement subsidiaire de ces usages ;
- la traçabilité des usages ;
- la systématicité d'une supervision humaine, les technologies étant cantonnées à un rôle d'aide à la décision ;
- une information du public adaptée aux spécificités du déploiement.
d) Un usage de la reconnaissance biométrique par les acteurs privés fondé sur le consentement des usagers
S'agissant enfin des usages des technologies de reconnaissance biométrique par les acteurs privés , les rapporteurs considèrent qu'ils doivent être extrêmement limités et se baser, de manière générale, sur le consentement des personnes. En particulier, la mission souhaite interdire toute identification sur la base de données biométriques en temps réel ou en temps différé par des acteurs privés.
C. RENFORCER LA SOUVERAINETÉ TECHNOLOGIQUE DE LA FRANCE ET DE L'EUROPE
Les rapporteurs considèrent qu'en matière de reconnaissance biométrique, la protection de notre autonomie technologique et la sauvegarde des libertés publiques sont les deux faces d'une même médaille . L'usage d'algorithmes développés en Europe, à partir de données traçables et hébergées sur notre sol est par exemple largement préférable au recours à des algorithmes étrangers dont l'on ne sait parfois rien des conditions de création et d'entraînement.
Si la France dispose d'un écosystème de recherche et de développement très performant dans le champ de la reconnaissance biométrique, force est de constater que les acteurs du secteur évoluent dans un cadre juridique et matériel peu propice à la recherche et au développement . Ainsi, la mission d'information a identifié deux obstacles principaux :
- un cadre juridique applicable à la recherche et au développement particulièrement complexe , si bien que les acteurs du secteur n'arrivent pas toujours à distinguer ce qui est autorisé de ce qui ne l'est pas ;
- la difficile constitution des jeux de données destinés à l'apprentissage des algorithmes : l'obligation de recueillir le consentement de chaque personne figurant dans la base pour chaque projet de recherche rend très difficile la création de ce matériel. Cela est même quasiment impossible pour des laboratoires de recherche publique.
Pour renforcer la souveraineté technologique de l'Europe, les rapporteurs préconisent de confier à une autorité européenne la mission d'évaluer la fiabilité des algorithmes de reconnaissance biométrique et de certifier leur absence de biais , sur le modèle de ce qui existe déjà aux États-Unis. Il s'agit de réduire notre dépendance à l'extérieur sur cette mission d'apparence technique mais en réalité cruciale en termes de protection des libertés. Pour donner à cette autorité les moyens de son action, une base d'images à l'échelle de l'Union européenne pourrait être créée et alimentée, sous réserve de garanties appropriées, par la réutilisation de données détenues par les administrations des États membres ou par des contributions altruistes.
Pour lever les obstacles à la recherche et au développement, les rapporteurs plaident également pour l'établissement d'un cadre juridique spécifique et adapté à cette activité . Cela se traduirait, dans le respect des garanties prévues par le RGPD, par des assouplissements des modalités pratiques de recueil du consentement ou bien par des mécanismes sécurisés de mise à disposition de données biométriques détenues par l'État aux seuls laboratoires de recherche publique. Ce cadre juridique dérogatoire devrait être accompagné de fortes garanties. À titre d'exemple, cette réutilisation de données publiques serait subordonnée à un avis favorable de la CNIL.