EXAMEN EN COMMISSION
__________
M. François-Noël Buffet , président . - Nous allons maintenant examiner le rapport d'information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles.
Je cède la parole aux rapporteurs.
M. Arnaud de Belenet , rapporteur . - Monsieur le président, mes chers collègues, avec clairvoyance et sagesse, notre commission a décidé, en octobre 2020, de lancer une mission d'information sur la reconnaissance faciale. Cette décision reposait sur trois constats.
Le premier est le développement rapide des technologies de reconnaissance biométrique, désormais considérées comme matures par les industriels. Il semblait impératif que le législateur s'en saisisse, afin de ne pas être dépassé par les déploiements réalisés par des acteurs privés.
Le deuxième est la proposition de règlement européen sur l'intelligence artificielle à venir qui, basé sur une approche par les risques, propose une réglementation spécifique pour ces technologies, qui sont aujourd'hui régies exclusivement par le droit des données personnelles.
Le troisième est l'extrême polarisation du débat, entre les tenants d'un moratoire et ceux qui plaident en faveur de l'efficacité opérationnelle de ces technologies, avec toujours d'excellents arguments.
Parmi les techniques biométriques, qui regroupent l'ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales, la reconnaissance faciale vise à reconnaître une personne sur la base des données caractéristiques de son visage.
Elle s'effectue en deux étapes : le visage de la personne est d'abord capté et transformé en un modèle informatique dénommé « gabarit », lequel est ensuite comparé avec un ou plusieurs autres, afin de vérifier qu'il s'agit bien d'une seule et même personne ou de lui attribuer une identité. On parle, dans le premier cas, d'« authentification » et, dans le second, d'« identification ».
Les cas d'usage de cette technologie sont potentiellement illimités. Ainsi, sans que cette liste soit exhaustive, la reconnaissance faciale peut permettre de contrôler l'accès et le parcours des personnes pour les événements ou locaux sensibles, d'assurer la sécurité et le bon déroulement d'événements à forte affluence ou d'aider à la gestion des flux dans les lieux et environnements nécessitant une forte sécurisation.
En France, les usages pérennes dans les espaces accessibles au public sont aujourd'hui extrêmement limités. Il s'agit pour l'essentiel du dispositif de rapprochement par photographie opéré dans le traitement d'antécédents judiciaires (TAJ) et du système PARAFE, qui permet une authentification sur la base des données contenues dans le passeport lors des passages aux frontières extérieures. Plusieurs expérimentations ont par ailleurs été menées, par la Ville de Nice ou Aéroport de Paris notamment, mais aucune d'entre elles n'a pour l'instant été pérennisée.
Les questions que pose le déploiement de la reconnaissance faciale sont très nombreuses. Elles ont trait tant aux libertés publiques qu'à notre souveraineté technologique, les deux thématiques étant bien entendu interdépendantes.
Dans ce contexte, il est surprenant que la reconnaissance faciale, et plus largement les techniques de reconnaissance biométrique, ne fassent pas l'objet d'un encadrement spécifique. Elles sont actuellement exclusivement régies par le droit des données personnelles.
Étant des données « sensibles » au sens du règlement général sur la protection des données (RGPD), les données biométriques font l'objet d'une interdiction de traitement. Sur le fondement du RGPD, ces traitements ne peuvent être mis en oeuvre que par exception dans certains cas particuliers : avec le consentement exprès des personnes, pour protéger des intérêts vitaux ou sur la base d'un intérêt public important. Sur le fondement de la directive « Police-Justice », ces traitements ne peuvent être réalisés par les autorités publiques compétentes qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.
M. Marc-Philippe Daubresse , rapporteur . - Ces constats étant posés, nous allons maintenant vous présenter les pistes que nous préconisons au terme de nos travaux, après avoir rencontré près de 120 personnes et procédé à quatre déplacements, notamment à Nice et à Londres. Je pense que les très nombreux entretiens que nous avons conduits, auprès de juristes, d'industriels ou de développeurs, de représentants des forces de sécurité intérieure ou d'associations de défense des droits sur internet, nous ont permis d'avoir une vision des choses globale et équilibrée.
Dans un premier temps, il nous semble indispensable de définir collectivement un cadre qui comprenne à la fois des lignes rouges, des interdits écartant le risque d'une société de surveillance - à cet égard, le titre de notre rapport est clair -, une méthodologie et un régime de contrôle. C'est bien d'ailleurs ce que nous ont demandé de faire la Commission nationale de l'informatique et des libertés (CNIL) et plusieurs acteurs que nous avons auditionnés.
Nous pensons que nous disposons d'une « fenêtre de tir » avant que le règlement européen sur l'intelligence artificielle actuellement en discussion n'entre en vigueur - les arbitrages sur certains points restent encore un peu flous -, pour dessiner les contours d'une reconnaissance biométrique « à la française » et essayer d'influer sur le législateur européen.
Dans la mesure où nous avons affaire à des techniques susceptibles d'apporter des changements profonds à la société - c'est un sujet éminemment politique -, il nous semble indispensable de faire comme en matière de bioéthique et de fixer dans la loi de grands interdits, qui seraient applicables à tous, acteurs publics comme privés, ce qui n'est pas la démarche actuelle de la réglementation européenne.
Pour être clairs, nous préconisons d'interdire le recours aux technologies de reconnaissance biométrique dans quatre cas.
Le premier est la notation sociale. La proposition de règlement sur l'intelligence artificielle nous semble assez frileuse de ce point de vue, puisqu'elle ne s'intéresse qu'aux acteurs publics. Il nous semble nécessaire de protéger les consommateurs de méthodes intrusives et d'empêcher le recours à la notation sociale par surveillance de leurs comportements, notamment dans les espaces de vente, de restauration ou les centres de loisirs.
Le deuxième est la catégorisation d'individus en fonction de l'origine ethnique, du sexe ou de l'orientation sexuelle - c'est une position constante de notre commission -, sauf dans le cadre de la recherche scientifique, de manière très encadrée et sous réserve de garanties appropriées.
La troisième interdiction est l'analyse d'émotions, qui se pratique déjà, par exemple dans certains cabinets de recrutement, sauf à des fins de santé ou de recherche scientifique et, une fois encore, sous réserve d'un cadre et de garanties appropriés.
La quatrième et dernière ligne rouge concerne l'utilisation de la surveillance biométrique à distance en temps réel dans l'espace public, sauf exceptions très limitées au profit des forces de sécurité. En particulier, nous pensons qu'il faut interdire clairement cette surveillance biométrique lors de manifestations sur la voie publique et aux abords des lieux de culte, mais nous pouvons envisager de l'accorder dans un certain nombre de cas où il peut y avoir péril - on pense aux jeux Olympiques, par exemple.
Nous préconisons également de poser quelques principes : le principe de subsidiarité, pour que la reconnaissance biométrique ne soit utilisée que lorsqu'elle est vraiment nécessaire ; le principe d'un contrôle humain systématique, afin qu'il ne s'agisse que d'une aide à la décision humaine ; et le principe de transparence, pour que l'usage des technologies de reconnaissance biométrique ne se fasse pas à l'insu des personnes.
Une fois ces lignes rouges posées, nous sommes favorables à l'adoption d'une loi d'expérimentation sur le modèle de la loi renforçant la sécurité intérieure et la lutte contre le terrorisme (SILT), soumise à une évaluation annuelle.
L'expérimentation pourrait être autorisée pour trois ans, le Gouvernement et le Parlement devant réévaluer le besoin et recadrer éventuellement le dispositif en fonction des résultats obtenus. Philippe Bas, alors président de notre commission, avait qualifié ce type de dispositif de « clause d'autodestruction »...
Pour que cette phase d'expérimentation soit utile, serait mise en place une évaluation publique et indépendante afin de connaître l'efficacité de la technologie dans le cas d'usage testé. Cette évaluation serait conduite par un comité composé de scientifiques et de spécialistes des questions éthiques qui pourrait fonctionner comme le comité qui rend chaque année un rapport sur l'algorithme Parcoursup. Cela n'empêchera en rien notre président de commission de créer une mission de contrôle tout au long de cette expérimentation.
Enfin, pour que les Français s'emparent du sujet - c'est loin d'être une question seulement technique, malgré sa grande technicité -, nous préconisons de rendre accessible une information claire sur les techniques de reconnaissance biométrique, les bénéfices qui en sont attendus et les risques encourus.
Le troisième volet de nos recommandations sur la création d'un cadre ad hoc porte sur l'indispensable contrôle du respect des règles.
Chaque usage devrait être autorisé a priori . L'utilisation par les forces de sécurité intérieure serait autorisée soit par un magistrat, soit par le préfet, selon que l'on s'insère dans un cadre de police judiciaire ou administrative. Pour une utilisation par un acteur privé dans un lieu accessible au public, la CNIL - pour éviter de multiplier les acteurs - serait chargée de l'autorisation.
La CNIL serait ainsi systématiquement consultée : pour les usages publics, parce que les analyses d'impact doivent impérativement lui être transmises pour avis, et pour les usages privés, parce qu'elle aurait à délivrer l'autorisation préalable.
Ces différentes autorisations feraient l'objet d'un recensement national pour garder une vision globale.
Enfin, nous souhaitons que la CNIL exerce un rôle de gendarme de la reconnaissance biométrique, qu'elle mène des contrôles a posteriori du bon usage des dispositifs et des éventuels détournements de finalité en dehors de l'autorisation.
M. Jérôme Durain , rapporteur . - La méthodologie et le cadre général ayant été présentés par Arnaud de Belenet et Marc-Philippe Daubresse, un raisonnement cas d'usage par cas d'usage s'impose. Nous avons en effet considéré que les déploiements potentiels devaient être distingués en fonction des risques pour les libertés qu'ils impliquent.
Une première distinction doit être réalisée entre vidéosurveillance intelligente, sans utilisation de données biométriques, et reconnaissance biométrique. Les traitements des images issues de la voie publique par des logiciels d'intelligence artificielle ne disposent pas aujourd'hui d'un cadre juridique propre ; plusieurs opérateurs de transport, notamment, s'en sont plaints. Certaines communes ont d'ores et déjà mis en place des systèmes de détection automatique des dépôts sauvages d'ordures, par exemple, mais il existe un débat juridique sur la possibilité de les déployer.
L'application de l'intelligence artificielle aux images issues de la vidéosurveillance nous semble constituer un changement d'échelle susceptible de porter atteinte aux libertés individuelles, ce qui nécessite une base législative explicite - le Conseil d'État semble aussi de cet avis. Cette base est d'autant plus urgente que le déploiement de systèmes de détection de colis abandonnés ou de mouvements suspects dans une foule sera nécessaire pour assurer la sécurité au moment des Jeux Olympiques.
Nous vous proposons donc d'établir, à titre expérimental, une base législative qui permettrait aux opérateurs des systèmes de vidéosurveillance dans les espaces accessibles au public de mettre en oeuvre des traitements d'images par intelligence artificielle, sans traitement de données biométriques. Ces traitements devraient s'inscrire dans les missions des personnes publiques et privées concernées et, surtout, dans les finalités attribuées au dispositif de vidéosurveillance déployé.
S'agissant maintenant des techniques de reconnaissance biométrique, les dispositifs d'authentification, qui permettent un contrôle sécurisé et fluidifié des accès, nous semblent devoir être autorisés lorsqu'ils sont basés sur le consentement des personnes. Dans certains cas très particuliers et à titre expérimental, ils pourraient également être rendus obligatoires pour accéder à des zones nécessitant une sécurisation exceptionnelle.
Les opérations d'identification, quant à elles, doivent faire l'objet d'un encadrement extrêmement strict au regard des risques encourus. Il convient là encore d'opérer une distinction entre l'exploitation en temps réel, c'est-à-dire permettant un usage immédiat des résultats pour procéder à un contrôle de la personne concernée, et l'utilisation a posteriori , par exemple dans le cadre d'une enquête. Dans ce second cas, les recherches se font généralement sur des enregistrements.
S'agissant tout d'abord de l'identification a posteriori , nous proposons, en premier lieu, d'autoriser l'utilisation de la biométrie dans les fichiers de police dans le cadre d'enquêtes judiciaires ou d'opérations de renseignement - il s'agit d'un moyen de fiabilisation et d'opérationnalisation des fichiers, dont le mouvement est déjà enclenché au niveau européen ; en deuxième lieu, d'autoriser à titre expérimental et de manière subsidiaire, uniquement pour la recherche d'auteurs ou de victimes potentielles des infractions les plus graves, l'exploitation a posteriori d'images sous le contrôle du magistrat en charge de l'enquête ou de l'instruction ; en troisième lieu, de créer une technique de renseignement donnant aux services la possibilité d'utiliser des systèmes de reconnaissance faciale afin d'identifier une personne recherchée ou de reconstituer son parcours a posteriori . Un tel usage se révélerait en particulier pertinent dans le cadre de la mission de prévention de toute forme d'ingérence étrangère, aux fins de détecter la présence sur le sol national d'agents de services étrangers qui entrent en France sous une fausse identité.
Il convient maintenant d'aborder la question la plus sensible, celle de l'identification biométrique à distance en temps réel. Marc-Philippe Daubresse vous l'a dit : nous ne souhaitons pas voir son usage se généraliser, afin d'écarter tout risque d'avènement d'une société de surveillance. Nous avons donc envisagé son déploiement par exception, dans trois cas circonscrits.
Premier cas : dans le cadre d'une enquête judiciaire, en vue de faciliter l'interpellation d'une personne venant de commettre une infraction grave ou de permettre la recherche, dans un périmètre géographique et temporel limité, des auteurs d'infractions graves recherchés par la justice ou des personnes victimes d'une disparition inquiétante. Les infractions concernées pourraient être par exemple limitées aux crimes menaçant ou portant atteinte à l'intégrité physique des personnes.
Deuxième cas : dans un cadre administratif, en vue de sécuriser de grands événements présentant une sensibilité particulière ou les sites particulièrement sensibles face à une éventuelle menace terroriste. La détection ne pourrait se faire que sur un périmètre géographique limité et pour une période précisément déterminée.
Troisième cas : le renseignement, en cas de menace imminente pour la sécurité nationale.
Nous proposons d'entourer ces éventuels déploiements de solides garanties, que nous développons en détail dans le rapport. Nous pensons particulièrement à la nécessité d'une autorisation et d'un contrôle par une autorité distincte en fonction des usages - magistrat, préfet ou Commission nationale de contrôle des techniques de renseignement (CNCTR) -, au caractère strictement subsidiaire de ces usages, à leur traçabilité, à une supervision humaine systématique de technologies qui doivent se cantonner à un rôle d'aide à la décision, ou, enfin, à une information du public adaptée aux spécificités du déploiement.
Enfin, l'usage des technologies de reconnaissance biométrique par les acteurs privés doit être extrêmement limité et se fonder, de manière générale, sur le consentement des personnes. En particulier, nous recommandons d'interdire toute identification sur la base de données biométriques en temps réel ou en temps différé par des acteurs privés, hors cas de contrôle d'accès aux lieux ou aux outils de travail de personnes spécialement habilitées par l'inscription sur une white list .
M. Arnaud de Belenet , rapporteur . - Le dernier axe de nos travaux se concentre sur la question de la protection de la souveraineté technologique française et européenne, qui va de pair avec la sauvegarde des libertés publiques. L'usage d'algorithmes développés en Europe à partir de données traçables et hébergées sur notre sol est, de notre point de vue, infiniment préférable au recours à des algorithmes étrangers dont on ne sait le plus souvent rien des conditions de création et d'entraînement.
La France dispose d'un écosystème de recherche et de développement très performant dans le champ de la reconnaissance biométrique, avec des entreprises de rang mondial. Pourtant, ces dernières évoluent dans un cadre juridique et matériel peu propice à la recherche et au développement et qui entrave leur capacité d'innovation.
Le premier obstacle réside dans un cadre juridique applicable particulièrement touffu, si bien que les entreprises n'arrivent pas toujours à distinguer ce qui est autorisé de ce qui ne l'est pas. Le règlement européen sur l'intelligence artificielle permettra de clarifier les choses, mais, dans l'attente, il est plutôt un facteur d'incertitude supplémentaire. Le second obstacle est celui de la constitution des jeux de données qui servent à l'apprentissage des algorithmes. L'obligation de recueillir le consentement de chaque personne figurant dans la base pour chaque projet de recherche rend très difficile la création de ce matériel pourtant essentiel au développement de l'algorithme. Cela est même quasiment impossible pour des laboratoires de recherche publique aux moyens parfois limités.
Pour lever ces obstacles, nous proposons tout d'abord de confier à une autorité européenne la mission d'évaluer la fiabilité des algorithmes de reconnaissance biométrique et de certifier leur absence de biais, sur le modèle de ce qui existe déjà aux États-Unis. Il s'agit de réduire notre dépendance à l'extérieur sur cette mission d'apparence technique, mais en réalité cruciale en termes de protection des libertés. L'utilisation d'un algorithme inefficace ou biaisé démultiplie, en effet, les risques de discrimination en particulier et d'atteinte aux libertés publiques en général. Pour donner à cette autorité les moyens de son action, il nous paraît essentiel de créer une base d'images à l'échelle européenne qui lui permettra de procéder aux évaluations. Sous réserve de garanties appropriées, celle-ci pourrait être alimentée par la réutilisation de données détenues par les administrations des États membres ou par des contributions altruistes.
Pour lever les obstacles à la recherche et au développement, nous plaidons enfin pour un cadre juridique spécifique et adapté à cette activité. Cela se traduirait, par exemple, par des mécanismes sécurisés de mise à disposition de données biométriques détenues par l'État aux laboratoires de recherche publique. Bien évidemment, ce cadre juridique dérogatoire devrait s'accompagner de fortes garanties ; nous proposons par exemple de subordonner cette réutilisation de données publiques à un avis favorable de la CNIL.
Nous proposons, enfin, d'intituler ce rapport : « La reconnaissance biométrique dans l'espace public : trente propositions pour écarter le risque d'une société de surveillance. »
Avec Marc-Philippe Daubresse et Jérôme Durain, nous avons su conjuguer nos cultures politiques différentes sans débats houleux et de manière, pour tout dire, naturelle.
M. Jean-Yves Leconte . - Si nous voulons encadrer efficacement une technologie, il nous faut d'abord la maîtriser.
Il y a dix ans, la reconnaissance faciale consistait à vérifier la concordance entre le visage d'une personne et une photo d'identité sans avoir besoin de l'identifier.
Mais, aujourd'hui, avec l'intelligence artificielle et les réseaux sociaux, cette identification peut se faire sans aucun contrôle. Par ailleurs, l'intelligence artificielle a besoin de toutes les données possibles pour apprendre. Même en Europe, si nous voulons la développer, nous aurons besoin des données extérieures.
À Kiev, où je me suis rendu voilà deux semaines avec quelques collègues, on nous a dit que l'intelligence artificielle était d'ores et déjà utilisée pour repérer les doubles passeports. C'est un outil de défense qui existe.
Le RGPD est une bonne chose, mais l'Europe doit veiller à ne pas être dépassée. Je le confirme : certaines entreprises développent par exemple des robots de défense en passant par des entreprises extérieures à l'Union européenne.
M. François-Noël Buffet , président . - A été évoquée la mise en place un suivi formel par la commission des lois : s'agissant d'un domaine relevant de la souveraineté et des libertés individuelles, nous n'y manquerons pas.
Je mets désormais les 30 propositions aux voix.
La commission, à l'unanimité, adopte les 30 propositions et autorise la publication du rapport d'information.