B. POUR PALLIER CES RISQUES POUR LES LIBERTÉS PUBLIQUES, L'INDISPENSABLE PROTECTION DE NOTRE SOUVERAINETÉ TECHNOLOGIQUE
1. Deux prérequis pour assurer la sauvegarde des libertés publiques : la traçabilité et la sécurisation des données utilisées
S'agissant de la reconnaissance faciale, les questions de la protection de la souveraineté technologique de la France et de la sauvegarde des libertés publiques ne sont en aucun cas déconnectées . En présence d'une technologie potentiellement très intrusive et dont le fonctionnement repose sur l'utilisation de données biométriques sensibles, l'autonomie technologique est un instrument essentiel pour garantir un usage de la reconnaissance faciale respectueux des libertés . S'il ne fait pas disparaître les risques pour les libertés publiques, l'usage d'un algorithme dont les données qui ont servi à son apprentissage sont traçables et les modalités ainsi que le lieu de stockage des données des utilisateurs connues permet, a minima , de les limiter substantiellement.
Dans ce contexte, les rapporteurs considèrent que la protection de notre souveraineté technologique dans le domaine de la reconnaissance faciale, et plus largement des techniques de reconnaissance biométriques, représente une garantie indispensable pour la sauvegarde des libertés publiques . Ils entendent insister tout particulièrement sur trois points :
- la traçabilité des données d'apprentissage : l'entraînement des algorithmes suppose, pour atteindre un niveau de performance satisfaisant selon les standards internationaux, d'avoir accès à des bases de données de masse dont la constitution est, pour des raisons légitimes, strictement encadrée par le RGPD en Europe. Dans ce contexte, le procédé le plus simple pour les développeurs de rang mondial est d'entraîner les algorithmes au sein de filiales à l'étranger sur des bases de données agrégées localement, où les garanties prévues par le RGPD ne s'appliquent pas. Ces procédés sont manifestement insatisfaisants en termes de libertés publiques ;
- la maîtrise des modalités de stockage des données des usagers : lesdites données peuvent être stockées sur une base de données centralisée, physiquement à l'intérieur ou à l'extérieur du site où le traitement est effectué, ou être stocké sur un support conservé par l'usager (technologie du match on card ). Ces procédés sont plus ou moins attentatoires aux libertés :
* la conservation de la donnée par l'usager : la recommandation constante de la CNIL est de privilégier autant que possible cette modalité de stockage, grâce à laquelle l'usager ne perd jamais le contrôle de sa donnée et décide seul d'en faire ou non usage ;
* la base de données centralisée : cette solution est moins satisfaisante mais la CNIL l'a néanmoins accepté dans le cadre de l'expérimentation d'embarquement par biométrie menée par Aéroports de Paris (ADP), et ce en raison du « caractère local de la base de données (en aéroport) et [du] caractère provisoire du stockage des gabarits (jusqu'au décollage de l'avion) » 108 ( * ) . En revanche, le stockage des données sur une base centralisée située à l'extérieur du site de traitement suscite plus de réserves ;
* la base de données décentralisée : il s'agit de la solution la moins satisfaisante, dans la mesure où il est plus complexe pour les usagers de retracer leurs données et d'en recouvrer la maîtrise. À titre d'exemple, le groupe ADP a indiqué que des expérimentations d'embarquement par biométrie étaient également menées par « StarAlliance » à Francfort et Munich, avec un stockage des données des passagers sur le cloud de Microsoft, ce qui est, de l'opinion des rapporteurs, tout à fait insatisfaisant ;
- la sécurisation des structures d'hébergement des données des usagers : lorsque les données sont stockées sur des bases, il est impératif de pouvoir en garantir la sécurisation contre les attaques informatiques. Les conséquences pour les libertés d'une fuite de données pourraient en effet s'avérer désastreuse si celle-ci concernait des gabarits biométriques.
2. Des entraves significatives à la recherche et au développement qui font peser le risque, à terme, d'une perte de souveraineté technologique
Si la France dispose d'un écosystème de recherche et de développement de pointe dans le domaine de la reconnaissance faciale, force est de constater que les acteurs du secteur évoluent dans un cadre juridique, administratif et matériel peu propice au lancement de projets d'innovation ambitieux . Ce constat est particulièrement prégnant dans le secteur de la recherche publique, dont les difficultés accrue d'accès à la donnée en entravent significativement le développement. Loin de se cantonner au champ économique, les conséquences de ces multiples obstacles à la recherche et au développement concernent également au premier chef les libertés publiques.
De fait, dans un contexte de forte concurrence internationale, l'hypothèse d'une perte progressive de souveraineté technologique ne saurait être minorée , au risque de voir la reconnaissance faciale poursuivre son développement en France à partir d'algorithmes développés à l'étranger, dans des conditions plus ou moins opaques. La protection d'un écosystème de recherche et de développement national, à la fois performant et respectueux des garanties fixées par le RGPD, revêt donc un caractère prioritaire aux yeux des rapporteurs.
a) Un écosystème de recherche et de développement performant
Le tissu de recherche et de développement français dans le secteur des technologies biométriques en général et de la reconnaissance faciale en particulier est particulièrement riche en France. Comme le souligne l'Alliance pour la confiance numérique, « l'écosystème français de l'identité numérique et plus spécialement de la reconnaissance faciale est extrêmement riche et diversifié. Il se compose aussi bien de grands groupes leaders mondiaux, que d'ETI, de PME ou de start-up extrêmement dynamiques et innovantes » 109 ( * ) .
Deux des trois entreprises de rang mondial de la reconnaissance faciale sont implantés en France : Idemia et Thalès 110 ( * ) . À titre d'illustration, la première indique vendre les technologies de sécurité et d'identité biométrique et numérique qu'elle développe à des acteurs publics et privés de plus de 180 pays du monde, posséder plus de 1 500 familles de brevets actives et déposer annuellement 50 brevets en France 111 ( * ) . Dans le champ de la reconnaissance faciale, les algorithmes qu'elle produit se placent régulièrement dans le haut des classements publiés par le NIST. L'algorithme d'identification « Idemia_009 » est, par exemple, le troisième le plus performant sur une base de données de 12 millions de photos d'identités, avec un taux de faux négatif de 0,21 % 112 ( * ) . S'agissant de l'entreprise Thalès, celle-ci a indiqué lors d'un déplacement d'une délégation de la mission d'information sur l'un de ses sites de recherches, contribuer à plus de 300 programmes gouvernementaux dans le champ des techniques biométriques . Par exemple, des technologies développées par l'entreprise sont utilisées dans le cadre de l'émission des nouveaux passeports britanniques mis en circulation après le Brexit.
L'écosystème français de la reconnaissance faciale ne se limite néanmoins pas à ces deux entreprises . Des entreprises de taille intermédiaire sont également bien implantées sur le marché. C'est le cas d'ID3 Technologies, entreprise grenobloise qui revendique une approche « citoyenne » de la reconnaissance faciale, par le développement de systèmes peu onéreux, nécessitant une faible puissance de calcul algorithmique et où les données sont hébergées sous un format « match on card ». Très présente à l'international, cette entreprise dispose d'une branche à Bogota et a, par exemple, développé les systèmes biométriques utilisés dans les passeports du Mali.
Illustration de cette bonne santé du secteur industriel de l'identité biométrique en France, l'Alliance pour la confiance numérique estimait en 2020 que le segment « " identification et authentification des personnes" générait un chiffre d'affaires annuel de 1,76 milliard d'euros et représentait un volume de 8 500 emplois répartis dans 490 entreprise s » 113 ( * ) .
Si ces projets sont rares, certains organismes de la recherche publique mènent également des travaux relatifs à la reconnaissance faciale . C'est notamment le cas de l'Institut national de recherche en informatique et en automatique (INRIA) avec le projet « STARS » (« Spatio-Temporal Activity Recognition System ») basé au centre de recherche INRIA Sophia Antipolis - Méditerranée, où les rapporteurs se sont rendus.
b) Des obstacles juridiques, administratifs et matériels néanmoins importants à la recherche et au développement qui alimentent un risque de perte de souveraineté technologique
Les acteurs de la recherche et du développement dans le domaine de la reconnaissance faciale sont confrontés, dans des proportions variables, à trois catégories principales de difficultés .
Premièrement, les incertitudes tenant aux évolutions à venir du cadre juridique sont peu propices au lancement de projets de recherche et de développement. Les acteurs du secteur accueillent plutôt favorablement le projet de législation européenne sur l'intelligence artificielle, en ce qu'il permettra de stabiliser le cadre juridique applicable à la recherche et au développement. Dans l'attente, les auditions conduites par les rapporteurs ont fait ressortir un risque de ralentissement de la recherche et du développement, les acteurs étant réticents à s'engager dans des projets d'ampleur sans savoir dans quelle mesure ceux-ci seront impactés par l'entrée en vigueur du futur règlement européen sur l'intelligence artificielle.
La deuxième difficulté réside dans le caractère particulièrement restrictif et touffu du cadre juridique actuel s'agissant de la conduite d'activités de recherche scientifique à partir de données sensibles. Si le traitement de ces données est en principe interdit, la CNIL liste quatre exceptions pouvant être mobilisées à des fins de recherche lorsque 114 ( * ) :
- la personne concernée a donné son consentement libre, spécifique, éclairé et univoque à l'utilisation de ses données à caractère personnel ;
- les données utilisées ont manifestement et délibérément été rendues publiques par leur propriétaire : ce critère est toutefois délicat à évaluer, notamment en ce qui concerne les données publiées sur les réseaux sociaux, où il est par exemple recommandé de prendre en compte l'accessibilité de la page où les données ont été publiées ;
- la recherche est nécessaire pour des motifs d'intérêt public important , sous réserve d'un texte l'autorisant, en général un décret en Conseil d'État pris après avis de la CNIL ;
- l'utilisation des données est nécessaire à la recherche publique : ce qui suppose un avis de la CNIL établissant la présence de « motifs d'intérêt publics importants » justifiant cette nécessité.
Ce cadre limite fortement les possibilités juridiques de recherche et de développement en matière de reconnaissance faciale, en particulier s'agissant du secteur privé. Sa complexité nuit par ailleurs à la lisibilité d'ensemble et certains acteurs ont, au cours des auditions, expliqué être parfois confrontés à une certaine confusion pour déterminer ce qui est ou non autorisé .
Le troisième écueil est celui de l'accès aux données . L'obligation de recueillir le consentement de chaque personne pour chaque projet de recherche représente en effet un obstacle de taille à la constitution des bases de données nécessaires à l'entraînement des algorithmes. Si les entreprises privées de rang mondial peuvent le surmonter dans une certaine mesure en raison des importants moyens humains dont elles disposent et de la possibilité de s'appuyer sur des filiales à l'étranger, cet obstacle est quasiment insurmontable en matière de recherche publique , ainsi que l'ont souligné les membres de l'équipe « STARS » précitée rencontrés par les rapporteurs sur le site de Sophia-Antipolis.
Dans ce contexte, le risque que cet écosystème de recherche et de développement performant se voit dépassé par la concurrence venue de l'étranger ne doit pas être sous-estimé. Compte tenu de l'imbrication forte des enjeux de souveraineté technologique et de sauvegarde des libertés publiques, les rapporteurs considèrent ainsi comme essentiel de définir un cadre juridique adapté et spécifique à la recherche.
* 108 Support de présentation de la société Aéroports de Paris (déplacement de la mission d'information du 21 février 2022).
* 109 Réponses de l'Alliance pour la confiance numérique au questionnaire des rapporteurs.
* 110 Le troisième étant l'entreprise NEC, selon les analyses présentées par l'entreprise Thalès lors du déplacement d'une délégation de la commission des lois sur son site de Meudon le 23 avril 2022.
* 111 Contribution écrite d'Idemia.
* 112 Données accessibles sur le site du NIST et accessibles à cette adresse : https://pages.nist.gov/frvt/html/frvt1N.html .
* 113 Réponses de l'Alliance pour la confiance numérique au questionnaire des rapporteurs.
* 114 Notice consultable sur le site internet de la CNIL : https://www.cnil.fr/fr/recherche-scientifique-hors-sante/focus-certaines-categories-donnees-personnelles .