III. LA POSITION DE LA COMMISSION DES LOIS : UNE TECHNOLOGIE DONT LES USAGES EXCEPTIONNELS DOIVENT ÊTRE FORTEMENT ENCADRÉS
A. UNE PROPOSITION DE LOI QUI OUVRE UTILEMENT LE DÉBAT SUR L'USAGE DE LA RECONNAISSANCE BIOMÉTRIQUE DANS L'ESPACE PUBLIC
En réponse à l'appel de la Commission nationale de l'informatique et des libertés (CNIL), dès 2019, d'un débat public sur le sujet, la proposition de loi a le mérite d'engager le Parlement à se positionner sur l'usage des technologies de reconnaissance biométriques, du cadre adapté et des garanties nécessaires au cours d'un débat spécifique sur le sujet.
Un amendement avait en effet été déposé par Marc-Philippe Daubresse, premier signataire de la proposition de loi, à l'occasion de la discussion de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions. Cet amendement avait cependant été retiré avant sa discussion, un consensus s'étant formé sur la nécessité de débattre de la reconnaissance biométrique dans l'espace public dans un cadre exclusif, plutôt que d'aborder cette thématique au détour d'une discussion, plus large, sur la sécurisation des jeux Olympiques et Paralympiques. Si le déroulement de cet évènement sportif soulève en effet des interrogations, il est en effet peu plausible que les technologies biométriques visées puissent être pleinement opérationnelles à cette date.
La discussion de la proposition de loi intervient donc à un moment où la plupart des acteurs institutionnels ont déjà eu l'occasion d'étudier le sujet et d'exprimer leurs positions, mêlant lignes rouges, garanties nécessaires et usages pouvant avoir un intérêt opérationnel. Les dispositifs proposés ont donc vocation à être ajustés au cours de la discussion parlementaire afin de définir le cadre le plus pertinent pour assurer la protection des droits et libertés de nos concitoyens ainsi que leur sécurité. C'est ce à quoi s'est attachée la commission des lois.
B. UN RENFORCEMENT NÉCESSAIRE DES LIGNES ROUGES ET GARANTIES ENTOURANT LE DÉPLOIEMENT DE CES TRAITEMENTS POUR FAIRE OBSTACLE À UNE SOCIÉTÉ DE SURVEILLANCE
La commission a en premier lieu souhaité renforcer les lignes rouges et fixer les limites aux utilisations à venir des technologies de reconnaissance biométrique, en les regroupant au sein d'un même premier chapitre de la proposition de loi.
Elle a ainsi modifié la rédaction de l'article 1er afin de renforcer l'encadrement des technologies de reconnaissance biométrique tout en ciblant les systèmes les plus sensibles en termes de libertés. À cet effet, la commission a précisé que seuls les systèmes d'identification biométrique réalisés à distance et sans le consentement des personnes seraient interdits, ces derniers présentant le plus de risques au regard des droits et libertés. La commission a ensuite fixé une ligne rouge supplémentaire en interdisant l'identification biométrique a posteriori, qu'elle juge tout autant intrusive que l'identification biométrique en temps réel. Elle a aussi ajouté que les systèmes d'identification biométrique dans l'espace public et dans les espaces accessibles au public ne pourraient être autorisés par voie réglementaire, même en cas de nécessité absolue : une intervention du législateur sera toujours nécessaire. La commission a ensuite précisé qu'il ne pourrait être dérogé à l'interdiction des systèmes d'identification biométrique dans l'espace public et dans les espaces accessibles au public en dehors des exceptions prévues par la présente loi, de façon à éviter tout glissement vers une société de surveillance. Le recours à ces dérogations devrait obéir aux principes de nécessité et de proportionnalité.
Par coordination avec l'interdiction de la reconnaissance biométrique a posteriori introduite par la commission à l'article 1er, la commission a introduit un article 4 A qui vise à permettre aux services de la police nationale et de la gendarmerie nationale de continuer à recourir a posteriori à des dispositifs de reconnaissance biométrique au sein des fichiers d'antécédents judiciaires dans le cadre de la recherche des auteurs d'infractions à la loi pénale. Autorisée par des dispositions réglementaires depuis 2012, cette possibilité permet aux forces de l'ordre d'utiliser la reconnaissance biométrique pour identifier des personnes fichées dans le Traitement des antécédents judiciaires (TAJ) et constitue un dispositif utile, comme souligné par le Conseil d'État13(*).
Elle a également, par l'adoption d'un article additionnel 1er bis, défini le cadre expérimental et le régime de contrôle des articles de la proposition de loi. C'est ainsi que l'ensemble des cas d'usage de la reconnaissance biométrique dans l'espace public et dans les espaces accessibles au public ne serait autorisé qu'à titre expérimental, pour une durée de trois ans, pour des finalités précises. Conformément à l'article 5 de la proposition de règlement du Parlement européen et du Conseil relatif à l'intelligence artificielle, ces usages répondraient à une procédure d'autorisation spécifique, des magistrats pour les usages judiciaires, et de la commission nationale de contrôle des techniques de renseignement (CNCTR) pour les usages administratifs. Cette expérimentation serait placée sous le contrôle du Parlement, qui pourrait s'adjoindre l'aide de différents experts afin d'assurer un suivi en temps réel et une évaluation forte des mesures prises ou mises en oeuvre.
La commission a également inséré un article 1er ter afin de définir les conditions auxquelles devraient répondre les traitements de données biométriques développés dans le cadre des usages proposés à titre expérimental par la proposition de loi. Ainsi, elle a précisé que l'objet de ces traitements sera de faire apparaître le degré de probabilité de l'identité d'une personne dont il s'agit de vérifier la présence et que seul apparaîtra aux yeux de l'agent le résultat final, afin de constituer un outil d'aide à la décision. Ces traitements ne pourront procéder à aucun rapprochement, interconnexion ou mise en relation automatisés avec d'autres traitements de données à caractère personnel et demeureront en permanence sous le contrôle des agents chargés de leur mise en oeuvre. Ces agents devront être individuellement formés et habilités. La commission a également prévu que les traitements devront être développés par l'État ou sous son contrôle, avant d'être individuellement autorisés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés ou, le cas échéant, de la Commission nationale de contrôle des techniques de renseignement.
La commission a fait le choix d'appliquer ces multiples et solides garanties à l'ensemble des cas d'usage dont l'expérimentation est proposée. Il s'agit d'un socle minimal à respecter pour l'utilisation de la reconnaissance biométrique, qu'elle a complété par l'adjonction de garanties supplémentaires pour les cas d'usage les plus problématiques (voir infra).
La commission a inséré un article 1er quater visant, d'une part, à consacrer la CNIL en tant que « chef de file » de la régulation de l'intelligence artificielle et, d'autre part, à fluidifier la coopération entre les différentes autorités compétentes. Suivant les recommandations formulées dans le rapport d'information précité des députés Philippe Gosselin et Philippe Latombe, elle a ainsi intégré deux membres supplémentaires au collège de la CNIL : le président de l'Autorité de régulation de la communication audiovisuelle et numérique ainsi que le président de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP). Par réciprocité, elle a prévu une représentation de la CNIL au sein de ces deux autorités.
* 13 CE, 26 avril 2022, n° 442364