Intelligence artificielle : l'UE va-t-elle autoriser la surveillance biométrique ?

C'est une lettre inquiète. Un appel à agir au plus vite. "Nous avons vu des technologies de reconnaissance faciale et de reconnaissance biométrique à distance utilisées pour permettre une litanie de violations des droits humains. En Chine, aux États-Unis, en Russie, en Angleterre, en Ouganda, au Kenya, en Slovénie, au Myanmar, aux Émirats arabes unis, en Israël et en Inde, la surveillance des manifestants et des civils a porté atteinte au droit à la vie privée et à la liberté de réunion et d'association."

175 organisations de la société civile à travers le monde ont ainsi  écrit aux Nations unies pour demander une interdiction mondiale de la reconnaissance biométrique. Leur inquiétude provient d'une inflation de ces systèmes de surveillance à travers le monde et des dérives liberticides qu'ils produisent.

Au delà de la seule reconnaissance faciale, les systèmes de surveillance biométrique préoccupent depuis plusieurs années les défenseurs des droits humains. L'exemple de la Chine et ses  — désormais — plus de 400 millions de "caméras intelligentes", inquiète, jusqu'aux instances de l'Union européenne.

• Lire notre article : "Surveillance numérique : les "algorithmes de répression" du gouvernement chinois dévoilés par Human Rights Watch"

L'Europe propose des règles

Aux Etats-Unis, ainsi, certaines villes ont déjà voté le banissement de cette technologie dans les espaces publics. Cette initiative a été en effet soutenue par une campagne d'Amnesty international. Dans le pays aucune loi ne l'interdit ou ne l'encadre en tant que telle. Les Etats-Unis continuent d'utiliser ces procédés de surveillance policière de la population sans réglementation. L'Union européenne, quant à elle, souvent interpellée par des ONG sur ces pratiques de surveillance biométrique n'avait jusque là pas établi de règles particulières.
 

• Lire notre article : "Reconnaissance faciale : quelles régulations des Etats ?"

Ce 21 avril 2021, l'Europe décide donc de s'emparer du sujet. La Commission européenne formule de nouvelles propositions pour établir de "nouvelles règles harmonisées concernant l'intelligence artificielle". Celle-ci prennent en compte la surveillance biométrique.

Les défenseurs de libertés numériques — pour leur part — demandent toujours une interdiction pure et simple de la surveillance biométrique. Les règlements de l'Union européenne aujourd'hui ne permettrent pas — sauf cas de necéssité absolue — l'utilisation de ces technologies par les forces de police. Cela pourrait cependant changer avec les nouvelles propositions sur l'IA.
 

• Lire notre article : "Reconnaissance faciale : face au renoncement d’IBM, Amazon et Microsoft, qu'envisage l’Europe ?"

Percée de la reconnaissance biométrique illégale

 Le Règlement sur la protection des données (RGPD), aujourd'hui est censé protèger les citoyens des systèmes de reconnaissances biométriques publics. Toute donnée biométrique est considérée par le RGPD comme une donnée personnelle très sensible. Le RGPD exige le consentement de chaque personne en cas de collecte de données. Le consentement des passants dans les rues étant impossible à recueillir, il semble donc acquis que la reconnaissance biométrique de masse ne puisse pas — de façon quotidienne et généralisée — se mettre en place dans l'Union. 

Johannes Bahrke, porte-parole de la Commission européenne en charge de la priorité numérique confirme l'esprit de la RGPD. "Les règles de l'UE en matière de protection des données interdisent en principe déjà le traitement de données biométriques aux fins d'identifier une personne physique de manière unique, sauf dans des conditions spécifiques. Plus précisément, l'identification biométrique à distance ne peut être utilisée que pour des motifs d'intérêt public majeur."

De nombreux pays de l'espace Schengen adoptent ou testent Ces systèmes de surveillance automatisés, de type "caméras intelligentes" basés sur la détection de comportements suspects ou de reconnaissance faciale. En Allemagne, par exemple, le ministre de l’Intérieur Horst Seehofer, déclarait début 2020 vouloir installer des systèmes de reconnaissance faciale automatiques dans 134 gares et 14 aéroports.

La France, pour sa part, teste la technologie dans cinq aéroports, deux gares et au départ des bus d’Eurotunnel. Le département des Yvelines s'essaye à la reconnaissance faciale par ses caméras de surveillance de rue, tout comme la RATP… dans les couloirs du métro. L'association française de défense des libertés numériques La quadrature du Net (LQDN), a ainsi répertorié la mise en place de ces nouveaux types de dispositifs. L'association souligne ainsi que ces tests de systèmes de surveillance "intelligents", par caméras, sont effectués sans autorisations et sont en réalité illégaux. L'ONG Algorithm Watch a, quant à elle, référencé au moins 11 pays en Europe dont les forces de police utilisent des systèmes de reconnaissance faciale.
 

La reconnaissance biométrique est donc déjà en place dans des pays de l'Union européenne. Ces dispositifs sont en contradiction avec les règles européennes. Et c'est dans ce contexte très particulier que l'affaire Clearview AI est venue créer une sorte d'électrochoc au niveau des autorités. Son caractère délictueux avéré  — ainsi que l'ampleur du préjudice subi — a fait réagir les instance européennes. Mais les règles voulues depuis ce printemps par la Commission vont-elles véritablement changer la donne ? Selon les organisations signataires de la pétition pour le banissement mondial de la surveillance biométrique, rien n'est moins sûr. Ce serait même — d'après elles — l'inverse qui se profilerait.

Clearview AI : tous reconnaissables à notre insu

Clearview AI est une entreprise américaine qui a développé un outil de "reconnaissance faciale universel" installable sur n'importe quel smartphone ou tablette. Il permet de se connecter à  une base de données de plus de… 3 milliards de visages ! Pour parvenir à récupérer et stocker les visages couplés aux informations de plus du tiers de l'humanité, la firme a aspiré toutes les photos ou vidéos publiques des internautes, partout où elle le pouvait sur Internet. Depuis Facebook ou Youtube en passant par Linkedin et des dizaines d'autres plateformes web.

L'application Clearview AI a été vendue principalement à des forces de police américaines, mais pas seulement. Des entreprises et même des particuliers fortunés l'ont achetée et utilisée. Son efficacité est redoutable : à partir de la caméra du smartphone l'utilisateur de cette application peut scanner les visages des personnes et connaître instantanément leur identité ainsi que l'essentiel des informations qu'ils ont laissé sur le Net. Cette "reconnaissance faciale dans la poche" pose de nombreux problèmes éthiques. Des plaintes ont été lancées dans plusieurs pays à l'encontre de Clearview AI, dont une de la CNIL en France.

Face au tollé général que la découverte de cette application avait suscité, le Comité européen de la protection des données avait publié dès juin 2020 un communiqué aux députés au Parlement européen sur "L'utilisation de Clearview AI par les services répressifs". Le comité faisait "part de ses préoccupations concernant certaines évolutions dans le domaine des technologies de reconnaissance faciale (…)" et "doutait que la législation de l’Union ou des États membres fournisse une base juridique pour l’utilisation d’un service tel que celui proposé par Clearview AI (…) Sans préjudice d’une analyse plus approfondie sur la base d’éléments supplémentaires fournis, le comité est d’avis que l’utilisation d’un service comme Clearview AI par les services répressifs de l’Union européenne ne serait probablement, en l’état, pas compatible avec le régime de protection des données de l’UE."

Clearview AI illustre parfaitement les possibilités délétères en matière de vie privée de l'intelligence artificielle appliquée à la reconnaissance biométrique dans l'espace public. Mais dans ce cas, pourquoi donc les organisations de défense des libertés ne se félicitent-elles pas des nouvelles règles  proposées par la Commission européenne qui visent à encadrer strictement cette même reconnaissance biométrique ?

Une interdiction qui autorise… sur exceptions

Dans les règles publiées par la Commission européenne figure une interdiction de principe d'utiliser des systèmes d'identification biométrique dans les lieux publics pour le maintien de l'ordre.

Cette interdiction cependant peut être annulée sous certaines conditions dites "exceptionnelles", ce qu'explique Johannes Bahrke le porte-parole de la Commission européenne. "Notre proposition interdit l’utilisation de l’identification biométrique en temps réel pour des forces de l’ordre, sauf en cas d’exceptions bien précises. Les règles proposées prévoient que tous les systèmes d'IA destinés à l'identification biométrique à distance des individus soient considérés comme à haut risque, fassent l'objet d'une évaluation "ex ante" (au préalable, ndlr) de leur conformité effectuée par un tiers et soient notamment soumis à des exigences en matière de documentation et de contrôle humain, dès le stade de la conception."

Un autre porte-parole de la Commission, Charles Manoury, précise les conditions d'utilisation par exceptions de ces systèmes de surveillance dans l'Union européenne : "Le RGPD interdit déjà en principe l'utilisation de systèmes biométriques à des fins d'identification, sauf exceptions limitées. Nous proposons donc d'interdire l'utilisation de systèmes d'identification biométrique à distance en temps réel dans les espaces accessibles au public, qui ne sont pas strictement nécessaires pour protéger des objectifs répressifs énumérés de manière exhaustive. Les exceptions à l'interdiction de cette surveillance concernent les victimes de crimes tels que les enfants disparus, les menaces spécifiques et imminentes pour la vie et la sécurité des personnes telles qu'une attaque terroriste imminente, ou pour enquêtes et/ou détection d'une liste limitée de crimes graves. "

Élargissement et potentiel renversement du droit ?

Pour le juriste Martin Drago de La quadrature du Net, ces nouvelles règles sont une remise en question  du droit européen actuel et ne confortent pas une interdiction de la surveillance biométrique."Aujourd'hui nous avons deux textes sur les données personnelles, le RGPD et la directive police-justice pour les usages policiers. Pour les usages policiers on ne peut faire de l'identification biométrique que par nécessité absolue. C'est donc bien au delà de l'intérêt public majeur dont parle la proposition de la Commission. Nous avons déjà attaqué le Conseil d'Etat sur ce concept, puisque la police française fait de la reconnaissance faciale dans la rue, alors qu'elle n'a pas prouvé  la nécessité absolue de l'utilisation de ce dispositif. Donc c'est illégal."

Le juriste de LQDN  conclut en expliquant que "Le règlement sur l'intelligence artificielle proposé par la Commission européenne vient en réalité complexifier les principes établis et amoindrir cette interdiction déjà présente. Il y a par exemple dans cette proposition une distinction entre la surveillance biométrique à posteriori et celle en temps réel, qui n'était pas faite dans la directive police-justice. Mais surtout, les exceptions sont tellement larges que cela en fait en réalité une autorisation par exceptions. Avec ce texte, c'est une forme de renversement du droit pour l'interdiction de la surveillance biométrique qui est effectué."

Crimes graves ?

Consulté sur ce potentiel renversement du droit que la Commission effectue en matière de surveillance biométrique, l'avocat spécialiste du droit numérique et des données personnelles Olivier Iteanu, confirme. "Dans la directive police-justice, la nécessité absolue pour que des forces de police utilisent la reconnaissance biométrique, représente ce que l'on appelle couramment des "intérêts vitaux". Une attaque terroriste en fait partie. La notion de "crimes graves" présente dans le nouveau texte sur l'intelligence artificielle est par contre une traduction de l'américain pour "serious crime", que l'on retrouve notamment dans le Patriot Act. En Europe, cette notion de "crimes graves" est une catégorie qui n'existe pas. Ce n'est donc pas sérieux et pas du tout dans l'esprit des textes européens. Mais il faut savoir que c'est une technique habituelle dans le droit européenn d'affirmer un principe et de donner des exceptions qui le vident de sa substance."

L'Union européenne, avec ces propositions pour l'IA, souhaite donc visiblement empêcher la reconnaissance biométrique dans l'espace public… tout en l'autorisant de façon bien plus large qu'auparavant. La France utilise déjà le caractère de nécessité absolue face au terrorisme pour surveiller Internet grâce à ses "boites noires du renseignement" pourtant jugées illégales par la Cour de justice de l'Union européenne. Cette exception à la règle pourrait donc s'appliquer de la même manière pour la surveillance biométrique publique.
 

• Lire notre article : "France : la loi antiterroriste et surveillance d'Internet "est une violation de la charte européenne des droits fondamentaux"