DEUXIÈME
PARTIE
ÉCARTER LE RISQUE D'UNE SOCIÉTÉ DE
SURVEILLANCE EN EXPÉRIMENTANT AU CAS PAR CAS
Au cours de leurs travaux sur la reconnaissance faciale, il est rapidement apparu opportun aux rapporteurs de ne pas cantonner leurs recommandations aux techniques biométriques qui utilisent le visage pour identifier de manière unique une personne, mais de faire rentrer dans leur champ l'ensemble des techniques biométriques . En effet, les avancées de la recherche rendront sans doute possible à l'avenir la collecte d'autres traits physiologiques (iris, voix, démarche, etc .) dans l'espace public. Par ailleurs, la demande toujours plus accrue de sécurité conduit les développeurs à proposer des solutions combinant plusieurs types de données biométriques (visage et empreinte digitale par exemple).
I. DÉFINIR COLLECTIVEMENT UN CADRE COMPRENANT DES LIGNES ROUGES, UNE MÉTHODOLOGIE ET UN RÉGIME DE REDEVABILITÉ
Ainsi que l'a appelé de ses voeux la CNIL dans son rapport de 2019 115 ( * ) , il convient de fixer les lignes rouges au-delà desquelles aucun usage de la reconnaissance biométrique ne pourrait être admis , à l'instar des lignes rouges fixées en matière de bioéthique 116 ( * ) . Dans le même temps, il semble également nécessaire de déterminer une méthodologie et un cadre de contrôle et de redevabilité de la mise en oeuvre de la technologie.
Il est en effet important que la manière de réguler une technique susceptible d'apporter des changements profonds à la société française soit fixée de manière collective , à l'issue d'un débat parlementaire. La pratique actuelle qui laisse la main à la CNIL - qui n'est pourtant ni décideur ni prescripteur comme elle le rappelle elle-même - voire, aux acteurs privés, dont les chartes d'éthique relèvent de considérations liées à leur image et à leur réputation, n'est pas à la hauteur des enjeux.
A. DES LIGNES ROUGES QUI ÉCARTENT LE RISQUE D'UNE SOCIÉTÉ DE SURVEILLANCE
L'article 1 er de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose que « l'informatique doit être au service de chaque citoyen. [...] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques » . De même le RGPD pose-t-il les principes généraux en matière de traitement des données personnelles (licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; intégrité et confidentialité...).
Toutefois, compte tenu du caractère intrusif des techniques de reconnaissance biométrique, en particulier celles qui utilisent le visage qui est aisément captable dans l'espace public, il est nécessaire de compléter ces règles générales avec des dispositions spécifiques en la matière pour poser de manière claire et accessible des lignes rouges et fixer un cadre tant aux industriels qu'aux pouvoirs publics et ainsi répondre aux légitimes inquiétudes des citoyens.
De nombreux organismes y ont déjà réfléchi en matière d'intelligence artificielle : dans le cadre européen, le Comité européen de la protection des données (European data protection board - EDPB - regroupant l'ensemble des CNIL européennes) et le Contrôleur européen de la protection des données (CEPD) 117 ( * ) ou le Comité de la Convention pour la protection des personnes à l'égard du traitement des données à caractère personnel (Convention 108) 118 ( * ) ; au niveau français, le Comité national pilote d'éthique du numérique (CNPEN) ou la Commission nationale consultative des droits de l'homme (CNCDH).
Certaines de leurs préconisations ont été reprises par la Commission européenne dans sa proposition de règlement sur l'intelligence artificielle. Elles peuvent être transposables en matière de reconnaissance biométrique.
Mériteraient ainsi de figurer parmi les lignes rouges :
- l'interdiction de l'utilisation des technologies de reconnaissance biométrique à des finalités de notation sociale , définie par la Commission européenne comme « évaluant ou classant la fiabilité des personnes physiques en fonction de leur comportement social dans plusieurs contextes ou de caractéristiques personnelles ou de personnalité connues ou prédites ». Cette interdiction devrait selon les rapporteurs concerner tant les autorités publiques que les entreprises privées . Cette extension aux entreprises privées n'est pas pour l'heure prévue par le projet européen de règlement IA, mais est souhaitée par l'EDPB et le CEPD. Il semble en effet nécessaire de protéger les consommateurs de méthodes intrusives et d'empêcher le recours à la notation sociale par surveillance des comportements dans les espaces de vente, de restauration ou les centres de loisirs ;
- l'interdiction de l'utilisation de la technologie de reconnaissance biométrique aux fins de catégoriser les individus en fonction de l'origine ethnique, du sexe, ainsi que de l'orientation politique ou sexuelle , ou tout autre motif de discrimination au sens de l'article 225-1 du code pénal. Une exception dans le cadre de la recherche scientifique et sous réserve de garanties appropriées pourrait être envisagée pour ne pas bloquer les travaux universitaires qui reposent sur de telles catégorisations (par exemple en sociologie) ;
- l'interdiction de l'utilisation de la technologie de reconnaissance biométrique pour déduire les émotions d'une personne physique . Le Comité de la Convention 108 cible en particulier les systèmes qui seraient utilisés à des fins de recrutement professionnel, d'accès aux assurances ou en matière d'éducation. Pourraient en revanche être acceptées des utilisations à des fins de santé ou de recherche scientifique et une fois encore, sous réserve de garanties appropriées. Il convient en effet de favoriser les recherches faites par exemple par les équipes de l'INRIA de Sophia-Antipolis pour évaluer et stimuler des patients atteints de troubles neurocognitifs, dans le cadre du projet STARS, conduit en coopération avec le CHU de Nice. Cette recherche va dans le sens de l'exception souhaitée par la CNCDH qui préconise d'admettre « par exception leur utilisation dès lors qu'elles visent à renforcer l'autonomie des personnes, ou plus largement l'effectivité de leurs droits fondamentaux » 119 ( * ) .
Proposition n° 2 : Fixer dans la loi les cas où le développement, la mise sur le marché et l'utilisation de techniques de reconnaissance biométrique sont interdites, qu'elles soient mises en oeuvre par des acteurs publics ou privés. En particulier :
- les systèmes de notation sociale des personnes ;
- les systèmes de catégorisation des personnes selon une origine, des convictions religieuses ou philosophiques ou une orientation sexuelle, sauf à des fins de recherche scientifique et sous réserve de garanties appropriées ;
- les systèmes de reconnaissance d'émotions, sauf à des fins de santé ou de recherche scientifique et sous réserve de garanties appropriées.
Une autre ligne rouge doit concerner plus spécifiquement la reconnaissance faciale mise en oeuvre dans le cadre d'un système d'identification à distance en temps réel dans les espaces accessibles au public , que tout le monde s'accorde à reconnaitre comme présentant les risques plus élevés au regard des libertés publiques.
Dans leur avis commun, l'EDPB et le CEPD se sont prononcés pour l'interdiction totale de toute forme d'identification biométrique à distance en temps réel dans l'espace public 120 ( * ) . En parallèle, le Parlement européen a, dans l'attente de la future législation européenne, demandé un moratoire sur le déploiement de systèmes de reconnaissance faciale à des fins répressives destinés à l'identification 121 ( * ) , à moins qu'ils ne soient utilisés qu'aux fins de l'identification des victimes de la criminalité.
Le Défenseur des droits préconise d'étendre l'interdiction explicite de recours à l'utilisation de logiciels de reconnaissance faciale appliquée aux images captées par drones aux autres dispositifs de surveillance existants 122 ( * ) . Cette position est partagée par les associations de défense des droits sur internet et le Conseil national des barreaux qui ont été entendus par les rapporteurs.
La Commission nationale consultative des droits de l'homme (CNCDH) recommande également l'interdiction de l'identification biométrique à distance des personnes dans l'espace public et les lieux accessibles au public, en raison des risques d'atteinte grave aux droits et libertés fondamentaux liés à une remise en cause, réelle ou supposée, de l'anonymat dans l'espace public 123 ( * ) . À titre d'exception, elle admet toutefois la possibilité d'envisager son utilisation, dès lors que celle-ci serait strictement nécessaire, adaptée et proportionnée pour la prévention d'une menace grave et imminente pour la vie ou la sécurité des personnes et celle des ouvrages, installations et établissements d'importance vitale.
À l'instar de la Commission européenne qui l'a classé parmi les pratiques interdites en matière d'intelligence artificielle 124 ( * ) , les rapporteurs considèrent qu'il convient de poser une interdiction de principe et de ne permettre qu'à titre très exceptionnel leurs recours par les forces de sécurité intérieure en cas de menace grave ou pour les besoins d'une enquête judiciaire sur une infraction grave. Dans ce cadre, il semble impératif d'exclure clairement tout recours à cette technique lors de manifestations sur la voie publique et aux abords des lieux de culte afin que les citoyens de se sentent pas empêchés d'exercer leur droit de manifester ou de pratiquer leur religion par une crainte de la levée de leur anonymat.
Proposition n° 3 : D'une manière générale, interdire l'utilisation de la reconnaissance biométrique à distance en temps réel dans l'espace public, sauf exceptions très limitées (voir la proposition n° 22) ; en particulier, interdire clairement la surveillance biométrique à distance en temps réel lors de manifestations sur la voie publique et aux abords des lieux de culte.
Au-delà des interdictions et toujours dans la perspective de fixer un cadre clair et compréhensible pour tous, il est également nécessaire de fixer quelques obligations positives et en particulier, poser le principe de subsidiarité du recours à la reconnaissance faciale . Cet impératif a été relevé par la CNIL dans son avis de 2019 : « la reconnaissance faciale ne peut légalement être utilisée, même à titre expérimental, si elle ne repose pas sur un impératif particulier d'assurer un haut niveau de fiabilité de l'authentification ou de l'identification des personnes concernées et sans démonstration de l'inadéquation d'autres moyens de sécurisation moins intrusifs » .
Proposition n° 4 : Appliquer systématiquement le principe de subsidiarité et en particulier, conditionner le recours sans consentement à la reconnaissance biométrique à la démonstration d'un impératif particulier d'assurer un haut niveau de fiabilité de l'authentification ou de l'identification des personnes concernées et la démonstration de l'inadéquation d'autres moyens de sécurisation moins intrusifs.
De la même manière, les rapporteurs souhaitent que le contrôle humain soit inscrit parmi les lignes rouges de la reconnaissance biométrique. Comme l'a relevé le CNPEN, « cette idée d'une Garantie Humaine de l'IA est issue d'un mouvement de propositions académiques, citoyennes mais aussi de professionnels de santé. Ce principe a été reconnu dans les avis 129 et 130 du CCNE et dans l'article 11 du projet de loi bioéthique en cours d'examen devant le Parlement français 125 ( * ) . Cette notion a également été portée dans le cadre des travaux en cours de la task-force sur la régulation de l'IA dans le cadre de l'Organisation Mondiale de la Santé. Le concept de "Garantie Humaine" peut paraître abstrait mais il est, en réalité, très opérationnel. Dans le cas de l'IA, l'idée est d'appliquer les principes de régulation de l'intelligence artificielle en amont et en aval de l'algorithme lui-même en établissant des points de supervision humaine . Non pas à chaque étape, sinon l'innovation serait bloquée . Mais sur des points critiques identifiés dans un dialogue partagé entre les professionnels, les patients et les concepteurs d'innovation » 126 ( * ) .
Le RGPD a consacré, en son article 22, le droit « de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire » 127 ( * ) .
Proposition n° 5 : Cantonner le recours aux algorithmes et à la technologie d'identification par reconnaissance biométrique, lorsqu'elle est déployée par exception, à un rôle d'aide à la décision et prévoir un contrôle humain systématique.
Le RGPD pose également le principe de transparence qui doit être assuré en toutes circonstances, par la fourniture d'informations claires, compréhensibles et aisément accessibles aux personnes dont les données font l'objet d'un traitement . S'agissant des algorithmes, le code des relations entre le public et l'administration transpose ce principe en prévoyant qu'en cas de décision administrative prise par un algorithme à propos d'un individu, ce dernier doit en être informé et pouvoir accéder, à sa demande, aux « règles définissant ce traitement ainsi que les principes caractéristiques de sa mise en oeuvre » , sauf lorsque l'algorithme est utilisé dans le cadre d'une finalité relevant de la sûreté de l'État, de la sécurité publique, de la sécurité des personnes ou de recherche et de prévention d'infractions de toute nature.
Une telle transparence doit également être assurée en matière de reconnaissance biométrique qui ne doit pas être déployée à l'insu des citoyens .
Proposition n° 6 : Assurer la transparence de l'usage de technologies de reconnaissance biométrique à l'égard des personnes par la fourniture d'informations claires, compréhensibles et aisément accessibles.
* 115 « Reconnaissance faciale : pour un débat à la hauteurs des enjeux », CNIL, 15 novembre 2019.
* 116 Voir en particulier, l'interdiction du clonage en matière de recherche sur les embryons humains.
* 117 Avis conjoint 05/2021 de l'EDPB et du CEPD sur la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle).
* 118 Lignes directrices sur l'intelligence artificielle et la protection des données adoptées par le Comité de la Convention pour la protection des personnes à l'égard du traitement des données à caractère personnel (Convention 108) le 25 janvier 2019.
* 119 « Intelligence artificielle et droits humains : Pour l'élaboration d'un cadre juridique ambitieux », Commission nationale consultative des droits de l'homme, 7 avril 2022.
* 120 Avis conjoint 05/2021 de l'EDPB et du CEPD sur la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle).
* 121 Résolution du Parlement européen du 6 octobre 2021 sur l'intelligence artificielle en droit pénal et son utilisation par les autorités policières et judiciaires dans les affaires pénales (2020/2016(INI)).
* 122 Rapport « Technologies biométriques : l'impératif respect des droits fondamentaux », Défenseur des droits, juillet 2021.
* 123 Avis relatif à l'impact de l'intelligence artificielle sur les droits fondamentaux, 7 avril 2022.
* 124 Article 5 de la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union (COM/2021/206 final).
* 125 Devenu article 17 de la loi n° 2021-1017 du 2 août 2021 relative à la bioéthique .
* 126 Consultation sur le Livre blanc sur l'intelligence artificielle - Une approche européenne Contribution du Comité National Pilote d'Éthique du Numérique (CNPEN, France).
* 127 Droit soumis à exceptions : lorsque la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ; lorsqu'elle est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou lorsqu'elle est fondée sur le consentement explicite de la personne concernée.