La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance

B. UN ENCADREMENT JURIDIQUE BALBUTIANT

1. Une régulation actuelle par des normes centrées sur la protection des données personnelles

Tout comme les données relatives à la santé, aux opinions politiques ou les données génétiques, les « données biométriques aux fins d'identifier une personne physique de manière unique » sont des données « sensibles » au sens de l'article 9 du RGPD ^{53 ( * )} et de l'article 10 de la directive « Police-Justice » ^{54 ( * )} , dont la définition a été reprise par l'article 6 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ^{55 ( * )} .

Ces données font l'objet d'un encadrement juridique strict car elles ont la particularité de permettre à tout moment l'identification de la personne sur la base d'une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s'affranchir.

De ce fait, c'est principalement sous l'angle de la protection des données personnelles qu'est organisée la régulation de la reconnaissance faciale en France. Dans le RGPD, le principe est l'interdiction de tels traitements . Ils ne peuvent être mis en oeuvre que par exception et dans certains cas particuliers : principalement, avec le consentement exprès des personnes, pour protéger leurs intérêts vitaux ou sur la base d'un intérêt public important. La directive « Police-Justice » ne permet, elle, le traitement de telles données qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.

Ces données sont également soumises aux principes généraux du RGPD , dont le principe de minimisation des données : les traitements de données doivent être « [adéquats, pertinents et limités] à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

La loi du 20 juin 2018 relative à la protection des données personnelles ^{56 ( * )} est venue modifier la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ^{57 ( * )} pour transcrire ces principes dans le droit interne français. En particulier, le régime d'autorisation préalable qui existait en matière de données sensibles a été remplacé par un régime de responsabilisation des acteurs sur qui repose l'obligation de formaliser une analyse d'impact en cas de risque élevé pour les droits et libertés de la personne concernée et, dans certains cas seulement, de consulter la CNIL.

Compte tenu de la sensibilité de l'utilisation des données biométriques, le législateur a subordonné la mise en place des traitements de données sensibles, lorsqu'ils sont mis en oeuvre pour le compte de l'État agissant dans l'exercice de ses prérogatives de puissance publique , à des formalités préalables ^{58 ( * )} . À ce titre, ces traitements ^{59 ( * )} doivent être autorisés par décret en Conseil d'État ^{60 ( * )} , pris après avis de la CNIL, et l'analyse d'impact relative aux données personnelles doit systématiquement être adressée à la CNIL avec demande d'avis ^{61 ( * )} .

En dehors du champ d'application de la directive « Police-Justice », la CNIL estime que le RGPD offre des marges de manoeuvre suffisantes car en cas d'intérêt public important, il est possible de ne pas reposer sur le consentement des personnes. L'analyse des acteurs, qui regrettent la rigidité de la CNIL, est tout autre. Renaud Vedel, coordonnateur national pour l'intelligence artificielle, constate par exemple que la législation ne permet pas de distinguer la reconnaissance faciale stricto sensu , qui vise délibérément à identifier une personne physique, de l'analyse vidéo augmentée, qui peut procéder à l'analyse du visage à d'autres fins que l'identification.

2. Un encadrement européen encore en construction : le futur règlement sur l'intelligence artificielle

La proposition de règlement relative à l'intelligence artificielle (IA) publié en avril 2021 ^{62 ( * )} est conçue comme une réponse politique de l'Europe au système de contrôle social chinois ^{63 ( * )} .

Elle se fonde sur une « approche réglementaire horizontale équilibrée et proportionnée de l'IA qui se limite aux exigences minimales nécessaires pour répondre aux risques et aux problèmes liés à l'IA, sans restreindre ou freiner indûment le développement technologique ni augmenter de manière disproportionnée les coûts de mise sur le marché de solutions d'IA » ^{64 ( * )} .

La Commission européenne propose de consacrer une définition technologiquement neutre des systèmes d'intelligence artificielle ( IA) dans le droit de l'Union européenne et d'établir une classification pour les systèmes d'IA imposant différentes exigences et obligations adaptées, selon une approche fondée sur les risques.

Les systèmes biométriques, comme la reconnaissance faciale, seraient considérés comme « IA à haut risque ».

Par principe, la Commission européenne propose d'interdire l'utilisation des systèmes d'IA pour l'identification biométrique à distance en temps réel de personnes physiques dans des espaces accessibles au public à des fins répressives ^{65 ( * )} . Trois exceptions seraient toutefois prévues, lorsqu'un intérêt public important l'emporte sur les risques pour les droits fondamentaux : la recherche ciblée de victimes potentielles d'actes criminels ^{66 ( * )} , la prévention d'une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique des personnes ou la prévention d'une attaque terroriste, et la détection, la localisation, l'identification ou aux poursuites de l'auteur ou d'une personne soupçonnée d'avoir commis une infraction pénale d'une certaine gravité dont il est fait état dans la décision-cadre relative au mandat d'arrêt européen ^{67 ( * )} .

Les systèmes d'IA destinés à être utilisés pour l'identification biométrique à distance en temps réel et a posteriori seraient classés « à haut risque » et soumis en conséquence à des obligations renforcées (évaluation de conformité avant la mise sur le marché, exigences en matière de sécurité concernant, par exemple, la gestion des risques, le contrôle humain et la gouvernance des données).

Enfin, les technologies de reconnaissance faciale pouvant être considérées comme des systèmes de catégorisation biométrique (destinés à affecter des personnes physiques à des catégories spécifiques selon le sexe, l'âge, la couleur des cheveux, la couleur des yeux, les tatouages, l'origine ethnique ou l'orientation sexuelle ou politique, etc ., sur la base de leurs données biométriques), dès lors qu'ils ne relèvent pas de cas d'utilisation identifiés comme à haut risque ^{68 ( * )} - par exemple dans les domaines de l'emploi, de l'éducation, du maintien de l'ordre, de la migration et du contrôle aux frontières -, seraient soumises uniquement à des mesures de transparence et d'information des personnes concernées.

Proposition de règlement en matière d'IA :
scénarios de réglementation des systèmes de reconnaissance faciale ^{69 ( * )}

Source : Analyse approfondie de la Règlementation de la reconnaissance faciale
au sein de l'Union européenne, Service de recherche du Parlement européen

Certains, comme la direction générale des douanes et droits indirects, regrettent que « la démarche du projet [... ait] pour conséquence de creuser un fossé inexplicable entre secteur public et secteur privé . La Commission européenne postule en effet que l'usage de l'IA dans le secteur privé mérite moins d'attention que son usage dans le secteur public » ^{70 ( * )} . C'est ainsi, par exemple, que l'interdiction a priori de l'usage de l'identification biométrique en temps réel ne s'applique qu'aux forces de l'ordre ^{71 ( * )} , tandis que l'interdiction de système de notation sociale ne concerne que les pouvoirs publics ou leurs sous-traitants ^{72 ( * )} . De même, des juristes ^{73 ( * )} ont-ils noté que les IA à haut risque concernaient majoritairement des secteurs relevant de la puissance publique ^{74 ( * )} .

La proposition de règlement a été transmise au Parlement européen et au Conseil qui sont en cours d'élaboration leur position. De nombreux points relevant de la justice et des affaires intérieures restent en discussion . Ainsi le gouvernement français souhaite-t-il notamment que soient exclus de l'application du règlement non seulement les systèmes d'IA développés ou utilisés exclusivement à des fins militaires, mais également ceux qui le sont à des fins de sécurité nationale ou que l'interdiction de l'usage de l'identification biométrique en temps réel ne porte que sur les contrôles à distance , précision qui a été supprimée en cours de discussion lors de la présidence slovène.

3. Une autorégulation des acteurs insatisfaisante

En l'absence de cadre spécifique et compte tenu des enjeux sociétaux posés par la reconnaissance faciale, les développeurs américains et européens indiquent défendre un usage et un développement responsables et éthiques des technologies biométriques .

En juin 2020, Microsoft, par la voix de son président Brad Smith, a annoncé que son entreprise ne vendrait pas de solutions de technologie de reconnaissance faciale aux forces de l'ordre des États-Unis avant l'adoption d'une loi fédérale encadrant son utilisation. Elle a créé un « bureau de l'IA responsable » chargé de procéder à une revue des scénarios utilisant la reconnaissance faciale au regard de six principes éthiques identifiés.

La société IBM a de son côté organisé un « comité d'éthique de l'IA » pour soutenir un processus centralisé de gouvernance, d'examen et de décision sur les politiques, les pratiques, la communication, la recherche, les produits et services d'IBM en matière d'éthique.

La société Facebook, pour sa part, indique utiliser un « cadre d'innovation responsable » et s'engager avec des experts extérieurs pour garantir que les futurs systèmes sont fiables et équitables.

En France, la société Thales s'appuie sur l'approche « TrUE » qui prône la traçabilité, l'intelligibilité et l'éthique. L'Alliance pour la confiance numérique (ACN) revendique une vision française et européenne de la confiance numérique et contribue activement, dans le cadre du comité stratégique de filière « Industries de sécurité », à l'élaboration d'une charte éthique de la profession visant à rendre plus visibles les valeurs fondamentales européennes . La société ID3 Technologies se fixe ses propres lignes rouges : son président a indiqué aux rapporteurs refuser de développer des algorithmes pour équiper des armes létales ou vendre des solutions de reconnaissance faciale à des systèmes dictatoriaux...

Chaque entreprise développe donc son propre cadre éthique et responsable, ce qui ne semble pas offrir les garanties suffisantes. Caroline Lequesne-Roth, maître de conférences en droit public à l'Université Côte d'Azur, relève ainsi que « la juridicisation des enjeux éthiques apparaît [...] indispensable pour éviter leur instrumentalisation . Ainsi, les prises de position de certains géants du numérique, pour louables qu'elles soient, annonçant la suspension de leurs activités en matière de reconnaissance faciale - ou plus récemment, d'une reconnaissance faciale dite "éthique" - n'offrent pas de garanties suffisantes. Elles induisent de surcroît un biais d'acceptabilité , qui pourrait conduire à desserrer la contrainte réglementaire et institutionnaliser, in fine , des pratiques démocratiquement contestables » ^{75 ( * )} .

---

* ⁵³ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) .

* ⁵⁴ Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil .

* ⁵⁵ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ⁵⁶ Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles .

* ⁵⁷ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ⁵⁸ Article 27 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ⁵⁹ Sauf si le traitement vise à protéger les intérêts vitaux d'une personne physique ou s'il porte sur des données manifestement rendues publiques par la personne concernée (article 88 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ).

* ⁶⁰ Une loi est également possible.

* ⁶¹ Article 90 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* ⁶² Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union (COM/2021/206 final) .

* ⁶³ Audition du représentant permanent de la France auprès de l'Union européenne (RPFUE).

* ⁶⁴ Voir l'exposé des motifs de la proposition de règlement.

* ⁶⁵ Voir l'article 5 ( d ) de la proposition de règlement.

* ⁶⁶ L'exception pour la recherche d'enfants disparus semble avoir été abandonnée sous la présidence slovène, pour faire primer le droit à l'oubli et l'anonymat, ce qui n'empêche pas la recherche d'enfants victimes.

* ⁶⁷ Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres .

* ⁶⁸ Les nouvelles règles encadrant l'intelligence artificielle , Questions et réponses de la Commission européenne, 21 avril 2021.

* ⁶⁹ La législation préexistante, notamment les règles en matière de protection des données et de non-discrimination, continuerait par ailleurs de s'appliquer.

* ⁷⁰ Réponses de la direction générale des douanes et droits indirects au questionnaire des rapporteurs.

* ⁷¹ « À des fins répressives » précise la proposition.

* ⁷² Article 5 (c) de la proposition de règlement.

* ⁷³ « Le projet européen de réglementation de l'intelligence artificielle oublie les citoyens » , tribune de Marc Clément, magistrat administratif, et Daniel Le Métayer, chercheur spécialiste des algorithmes, publiée dans Le Monde du 9 juin 2021.

* ⁷⁴ Police, justice, contrôle aux frontières, infrastructures stratégiques comme l'électricité, l'eau ou le gaz, éducation et accès à des services essentiels.

* ⁷⁵ Réponses de Caroline Lequesne-Roth au questionnaire des rapporteurs.