III. MME MARIE-LAURE DENIS, PRÉSIDENTE DE LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
Je remercie à mon tour la délégation française à l'Assemblée parlementaire du Conseil de l'Europe pour son invitation, et tout particulièrement sa présidente, Madame Nicole Trisse. Je suis honorée de pouvoir intervenir dans cette table ronde qui nous invite à prendre le temps, ô combien nécessaire, de la réflexion, alors que l'innovation technologique est foisonnante et envahit à grande vitesse tous les espaces de la vie, que ce soit au travail dans les entreprises, dans le service public et bien entendu dans la vie privée.
Le droit au respect de la vie privée, que la convention européenne des droits de l'Homme consacre dans son article 8, est très fortement mis en tension par les technologies numériques. Nous sommes bien placés, à la CNIL, pour observer ce phénomène : les activités numériques ne connaissent pas de frontières et doivent s'articuler avec le système démocratique qui a été conçu patiemment par les Pères fondateurs de l'Europe dans le cadre du Conseil de l'Europe, dont nous fêtons cette année le 70 ème anniversaire, mais aussi dans le cadre de l'Union européenne.
Je ne parlerai pas aujourd'hui spécifiquement du RGPD qui est la réponse apportée par l'Union européenne au défi de la protection des données, parce que le titre de la présente table ronde évoque très justement la nouvelle frontière des droits de l'Homme.
Le Conseil de l'Europe a toujours été pionnier dans le domaine des droits numériques des citoyens. Il a été le premier à s'intéresser à la question des données personnelles en adoptant la convention dite 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, entrée en vigueur en 1985. C'est aussi sous l'égide du Conseil de l'Europe qu'a été conclu le premier traité international de lutte contre la cybercriminalité, entré en vigueur en 2015.
Je tiens à souligner l'importance de consolider ces acquis, avec la modernisation de la convention 108, puisque la convention 108 « + » présente l'intérêt, comme le RGPD, de placer les individus au centre de la régulation numérique, en renforçant le droit fondamental à la vie privée et le contrôle que les individus ont sur leurs données. Très concrètement, ce texte prévoit notamment :
- des exigences renforcées de transparence ;
- le droit d'accès ;
- le droit de ne pas être soumis à une décision exclusivement automatisée (ce droit est par exemple mis en cause pour l'affectation automatisée des lycéens à la sortie du bac dans 13 000 formations en France).
Ces garanties modernes permettent, à l'heure de l'IA, d'éviter au citoyen qu'il subisse des décisions automatiques, en particulier lorsqu'elles sont susceptibles d'avoir des effets défavorables sur lui. Elles sont d'autant plus importantes qu'il s'agit d'un standard partagé au plan international, la convention étant l'unique texte contraignant relatif à la protection des données, de portée mondiale, qui est ouvert à tout État, membre ou non du Conseil de l'Europe. Cela permet, et je m'en rends compte dans les déplacements que je fais à l'étranger, une grammaire commune entre les différentes zones géographiques, ce qui favorise la convergence des politiques publiques en matière de protection des données face à des défis globaux : la digitalisation croissante, la massification, l'accélération des traitements, les thématiques de surveillances, dans un contexte de progrès technologiques globaux.
Les travaux en cours au Conseil de l'Europe ont déjà été largement décrits. J'insisterai sur l'élaboration d'un protocole additionnel à la convention sur la cybercriminalité, dite convention de Budapest, car il concerne l'accès transfrontalier par les autorités compétentes aux preuves électroniques détenues par les entreprises en cas d'activités cybercriminelles et qui soulèvent des questions sur les garanties qui devraient être prévues pour les individus dont les données font l'objet d'un tel accès. Il apparaîtrait naturel que la convention 108 « + », en tant qu'autre outil du Conseil de l'Europe, soit prise en compte comme socle de référence à cet égard.
Enfin, la convention 108 « + » constitue un forum d'action et de coopération particulièrement utile pour effectuer la protection effective des droits des citoyens sur leurs données. C'est un facilitateur qui renforce la coopération entre autorités de protection des données. Il est plus que nécessaire que ce nouveau cadre puisse désormais entrer en vigueur. Une ratification prochaine de ce texte par la France, qui a d'ailleurs fait partie des tout premiers États à signer, dès son adoption, le protocole d'amendement instaurant la convention modernisée, apparaît tout aussi essentielle - je me permets de le dire dans cette enceinte parlementaire - pour permettre une application de ce nouveau cadre dans les meilleurs délais.
S'agissant de l'articulation entre les progrès technologiques et les droits fondamentaux, le Conseil de l'Europe a déjà lancé une réflexion très forte sur l'IA. Celle-ci s'appuie sur un changement d'échelle majeur selon trois axes :
- les progrès de la puissance de calcul disponible ;
- les masses de données disponibles du fait du numérique ;
- les progrès de l'algorithmique et particulièrement du machine learning , ou des machines auto-apprenantes dont la logique sous-jacente est opaque, au point d'échapper parfois à ses concepteurs.
Face à ces défis, la CNIL a produit en décembre 2017, après avoir organisé une soixantaine de débats en région, conformément à la mission qui lui a été confiée depuis 2016 d'animer le débat sur la République numérique, un rapport sur l'IA dont le titre était : Comment permettre à l'homme de garder la main ? Cette étude met en évidence deux principes : la nécessaire loyauté des procédés mis en oeuvre par l'IA et un principe de vigilance. S'y ajoutent un certain nombre de recommandations opérationnelles qui sont accessibles sur le site de la CNIL. Il s'agit d'une nouvelle génération de garanties et de droits fondamentaux à l'ère numérique.
S'agissant des nouveaux usages de la vidéo, et plus particulièrement des dispositifs de reconnaissance faciale, il est évident que les données biométriques sont des données sensibles - elles sont d'ailleurs considérées juridiquement comme telles par le RGPD qui interdit leur utilisation, avec certes des exceptions, dont l'encadrement est lui-même problématique. Une donnée est encore plus sensible que les autres : le visage, qui peut être capté à votre insu, sur la base d'une simple photographie. Si la reconnaissance faciale est légitime pour certains usages de sécurité publique, pour fluidifier les foules ou retrouver un individu, voire éventuellement pour des usages privés (déblocage de téléphone portable), elle implique des risques qui peuvent porter atteinte à la liberté d'aller et de venir anonymement. De plus, les systèmes de reconnaissance faciale sont faillibles : des études menées dans les pays où ils sont les plus utilisés ont montré que les personnes qui ont une couleur sombre et les femmes sont le plus souvent l'objet de faux positifs. En outre, ces systèmes, qui sont multiples, ont un coût financier et environnemental. Là encore, la problématique de la proportionnalité du traitement par rapport à sa finalité se pose, ainsi que celle de la durée de conservation des données.
La CNIL est heureuse de constater que le débat sur ces sujets, auquel elle a participé, commence à cristalliser, y compris dans les pouvoirs publics et au Parlement. Elle sera amenée dans les tout prochains jours à apporter une contribution de méthode pour en délimiter les enjeux et exposer sa façon d'envisager l'encadrement d'éventuelles expérimentations. Elle le fera en restant à sa place car les décisions dans ce domaine, qui implique des choix de société, appartiennent aux responsables politiques.
En tout état de cause, nous avons la chance de participer, par le biais du Conseil de l'Europe, à l'élaboration d'un modèle de développement européen en matière de droits et de liberté des personnes.
M. André Gattolin . - J'ajoute que la Ministre en charge des questions du numérique vous a confié, le 16 octobre dernier, la constitution d'une commission mixte, composée de représentants de la CNIL et d'experts extérieurs pour travailler sur le sujet de la reconnaissance faciale. Nous serons heureux de prendre connaissance du produit de vos travaux.