Fil d'Ariane
L’épidémie de Covid-19 a vu de nouveaux procédés de surveillance biométrique s'imposer en Europe et plus particulièrement en France. Des caméras thermiques, de détection de port du masque, de détection de distanciations physiques ont été installées dans l’urgence de la crise sanitaire. Quels sont les enjeux juridiques, politiques et sociaux de ces dispositifs ? Entretien avec Martin Drago, juriste pour l’association de défense des libertés numériques, La quadrature du Net.
TV5MONDE : Des caméras thermiques ont été installées pour savoir si des personnes étaient fiévreuses ou non, afin de dépister les malades du Covid-19. Qu’en pensez-vous ?
Martin Drago : Ça fait partie de ce l'on a observé depuis le début du confinement et que l'on avait déjà vu depuis deux ans, qui est une augmentation assez énorme des dispositifs de surveillance technologique. Jusqu'à aujourd'hui c'était une argumentation sur le terrorisme et la sécurité publique qui justifiait la détection automatique d'attroupements, de comportements suspects — même si pour ce dernier concept on ne sait pas très bien ce que ça signifie. Mais depuis la crise sanitaire, on a vu arriver une argumentation autour de la santé publique, justifiant un nouveau type de vidéo surveillance automatisée, comme la détection de masques, les caméras thermiques et maintenant, la détection de distanciation sociale.
C'est assez intéressant à observer parce que certaines des données captées sont des données dites sensibles, au niveau du droit européen. Ce sont des données personnelles extrêmement protégées. Il faut bien comprendre que toutes ces technologies, comme les caméras thermiques automatiques ou celles de distanciation sociales, sont arrivées en Chine au début de l'épidémie et il y a eu alors des médias qui alertaient, en expliquant que "c'était incroyable, que l'on était déjà dans la pire dystopie de science fiction", etc. Et un mois après, alors que l'épidémie était arrivée en France, le discours a changé totalement. Ces technologies ont été présentées par de nombreuses startups, comme Two-I, qui s'était déjà fait connaître dans la reconnaissance faciale à Metz et dans la reconnaissance d'émotions à Nice, et qui a diffusé des vidéos promotionnelles de ses produits qui permettaient de faire de la détection de température, de port du masque et de distanciation sociale.
À Cannes, par exemple, la mairie a communiqué sur le fait qu'elle avait fait une expérimentation de détection de distance sociale, en même temps que la détection de masques.
C'est arrivé très rapidement et l'on a vu, quelques semaines après, des communes passer des marchés avec ce type d'entreprises. À Cannes, par exemple, la mairie a communiqué sur le fait qu'elle avait fait une expérimentation de détection de distance sociale, en même temps que la détection de masques. Sur les caméras thermiques, plus précisément, on a un document de la CNIL (Commission nationale informatique et libertés, ndlr), publié pendant la crise sanitaire, qui interdit la détection automatique de température des salariés par l'employeur. Pourtant, on a des startups qui continuent de proposer ces dispositifs et des entreprises qui les installent. Ca pose question sur l'effectivité du contrôle de la CNIL…
Détecter par des caméras et des intelligences artificielles si quelqu’un porte un masque ou non dans les transports urbains peut sembler logique pour lutter contre la propagation d’un virus. Votre association, LQDN, souligne malgré tout que de nombreux problèmes sociaux et juridiques existent avec ce type de dispositifs. Lesquels ?
Le premier problème, juridique, et qu'il faut se poser à chaque atteinte des libertés, particulièrement dans le cadre des données personnelles, est celui de la nécessité et de la proportionnalité. C'est à dire : est-ce que le dispositif que je vais utiliser est nécessaire à l'objectif que je veux atteindre ? La CNIL a déjà répondu à cette question dans le cadre de la crise sanitaire avec les détections automatiques du port de masques ou de la distanciation sociale, en indiquant que si un autre dispositif moins intrusif existait et qui pouvait atteindre les mêmes objectifs, c'était ce dernier qu'il fallait utiliser.
Au delà du juridique pur, il y a de toute manière un risque politique. Est-ce que l'on veut une société de détection automatique généralisée, avec des algorithmes et des caméras de partout dans la ville ?
Dans le cas de l'épidémie, c'est assez simple, il suffit de démultiplier le contrôle humain, ce que l'on a fait depuis longtemps et qui marche assez bien. Il faut toujours prendre la question de la nécessité et de la proportionnalité par rapport au risque d'intrusivité derrière. Il y a une sorte de boite noire autour de la façon dont fonctionnent ces algorithmes, parce qu'on est très très proche des notions de données biométriques, de reconnaissance faciale, de détection faciale. Il y a des données de santé et de biométrie qui sont récoltées par ces algorithmes et qui mettent en danger la vie privée. On devrait donc se dire que vu le danger que représentent ces dispositifs alors que d'autres méthodes peuvent atteindre le même objectif, en fait ces dispositifs ne sont pas nécessaires.
Pour ceux qui pensent que la détection biométrique des masques ou de la distanciation sociale respecte l'anonymat des personnes et donc leur vie privée, il faut savoir qu'en terme juridique, une donnée personnelle c'est une donnée qui identifie directement ou indirectement une personne. On peut donc avoir l'impression que détecter un visage qui porte un masque ne permet pas de retrouver son identité, et que ce n'est donc pas grave. Mais en fait, avec cette donnée corrélée à d'autre données on va arriver à retrouver l'identité de la personne. Et au delà du juridique pur, il y a de toute manière un risque politique. Est-ce que l'on veut une société de détection automatique généralisée, avec des algorithmes et des caméras de partout dans la ville ?
La Commission européenne estime dans son livre blanc sur l'intelligence artificielle que la surveillance biométrique peut sécuriser les personnes en aidant à la lutte contre la criminalité, le terrorisme, si elle est bien encadrée. On peut imaginer que pour la lutte contre des épidémies elle statuerait de la même manière. Qu’en pensez-vous ?
On a un texte général en Europe, le RGPD, le Règlement sur la protection des données personnelles, qui traite des données personnelles en général. Mais il y a des données encore plus protégées, dites sensibles, comme je le disais auparavant. Parmi celles-ci il y a les données biométriques. Le RGPD indique qu'il est interdit de traiter ces données sensibles. Ce n'est que par exception que l'on peut traiter ces données. Mais il y a un autre texte que le RGPD, avec le même principe, qui s'appelle "Police Justice". Ce règlement encadre les données personnelles dans le cadre des missions de sécurité publique, notamment. Et l'on retrouve ce même principe d'interdiction de traiter les données biométriques, sauf en cas de nécessité absolue. C'est assez fort dans le texte européen, ce terme de nécessité absolue. C'est pour ça que dans les associations de défense du droit numérique, nous expliquons que la surveillance biométrique ne sera jamais absolument nécessaire. A quel moment on ne pourra trouver aucun autre dispositif pour atteindre le même objectif ?
Les JO de Paris en 2024 vont être un laboratoire à ciel ouvert des technologies sécuritaires françaises.
Il est intéressant de souligner qu'en France il n'y a aucune étude sur l'efficacité de ces produits technologiques. On sait que la reconnaissance faciale ne marche pas bien, le dispositif PARAFE (Passage automatisé rapide aux frontières extérieures, ndlr) de reconnaissance faciale dans les aéroport n'est pas performant. Mais on se rend surtout compte qu'il y a un lobby sécuritaire assez fort, avec dans l'idée qu'en Europe, il ne faut pas se faire dépasser sur ce marché là par les Etats-Unis, par la Chine et par la Russie. Il est d'ailleurs à noter que le documentaire diffusé récemment sur Arte, "Tous surveillés : 7 milliards de suspects" indique que le président chinois Xi Jinping s'est formé à la surveillance algorithmique et biométrique au moment des Jeux olympiques de Pékin en 2008. À LQDN, nous pensons qu'il y a vraiment un parallèle à faire avec les JO de Paris en 2024, où l'on sait que les industriels sécuritaires sont dans la course pour développer et expérimenter toutes leurs nouvelles technologies pendant ces jeux olympiques qui se dérouleront en France. Il y a déjà des appels d'offre qui ont été faits et des marchés déjà conclus. C'est quelque chose à surveiller de très près, parce que les JO de Paris en 2024 vont être un laboratoire à ciel ouvert des technologies sécuritaires françaises.