Auteur(s): FranceSoir
Mercredi 11 mai à midi, la commission des Lois du Sénat tenait une conférence de presse pour la remise de son rapport sur "La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance". Entre "les tenants d'un moratoire portant sur toutes les technologies biométriques", et "ceux qui mettent en exergue leurs importants bénéfices potentiels", les parlementaires font le vœu - pieux ? - de viser au milieu. Un numéro d'équilibriste qui, s'il est vendu comme étant bienveillant, repose essentiellement sur la bonne volonté de l'Union européenne et la mise en lumière de certaines "zones de flou". FranceSoir était présent.
"Écarter le risque d'une société de surveillance"... en surveillant
Quand Marc-Philippe Daubresse (LR), Jérôme Durain (SER) et Arnaud de Belenet (UC) entament la présentation du rapport, ils insistent sur le fait que les interdictions sont beaucoup plus nombreuses que les autorisations, ce qui devrait permettre d'éviter "la société à la chinoise". "Pas de capitalisme ni de contrôle social", assure M. Durain, "ni d'usage dans les manifestations". Un exercice glissant qui ressemble à de la prétérition.
Dans les grandes lignes, l'idée est tout de même de pouvoir recourir à la reconnaissance faciale en cas de force majeure, avec l'aval des services de renseignements et de la justice. Pour "créer le débat" autour de ce sujet, les rapporteurs de la commission des Lois proposent l'adoption d'une "loi d'expérimentation" sur trois ans. Cette expérience, ils souhaitent l'encadrer, notamment avec des interdictions :
- Interdiction de la notation sociale....
- Interdiction de la catégorisation d'individus en fonction de l'origine ethnique, du sexe, ou de l'orientation sexuelle, sauf dans le cadre de la recherche scientifique et sous réserve de garanties appropriées ;
- Interdiction de l'analyse d'émotions, sauf à des fins de santé ou de recherche scientifique et sous réserve de garanties appropriées ;
- Interdiction de la surveillance biométrique à distance en temps réel dans l'espace public, sauf exceptions très limitées au profit des forces de sécurité ; en particulier, cette interdiction porterait sur la surveillance biométrique à distance en temps réel lors de manifestations sur la voie publique et aux abords des lieux de culte.
Mais aussi par trois grands principes :
- le principe de subsidiarité, pour que la reconnaissance biométrique ne soit utilisée que lorsqu'elle est vraiment nécessaire ;
- le principe d'un contrôle humain systématique afin qu'il ne s'agisse que d'une aide à la décision ;
- le principe de transparence pour que l'usage des technologies de reconnaissance biométrique ne se fasse pas à l'insu des personnes.
Le tout, emballé dans "un régime de contrôle a priori et a posteriori". C'est ici que le bateau commence à tanguer.
"Des zones de flou" inquiétantes
A priori, ce sont les services de renseignements tels que la DGSI ou les juristes qui peuvent faire appel à l'utilisation de la surveillance biométrique, sous réserve de l'acceptation d'une autorité supérieure comme le ministère de l'Intérieur. Ce sont eux qui sont chargés de détecter si tel ou tel événement est "à risque" et doit être surveillé ou non. Les Jeux olympiques 2024, par exemple, semblent être dans la ligne de mire, bien que le gouvernement ait "écarté" cette idée en octobre 2021.
Ce sont aussi les services de renseignements qui doivent fournir aux logiciels - et algorithmes - les identités à surveiller en priorité. Systématiquement, les citoyens susceptibles de passer sous les radars seront prévenus et auront deux options : se rendre à l'endroit voulu en acceptant d'être filmé, ou ne pas y aller. Pour l'instant, aucun autre moyen d'opposition que l'abstention n'est prévu, ce qui aura possiblement pour effet d'écarter de la société certains citoyens réfractaires. Rien de neuf sous le soleil ! Le rapport prévoit même que "dans certains cas très particuliers et à titre expérimental, ces dispositifs pourraient également être rendus possibles de manière obligatoire, pour accéder à des zones nécessitant une sécurisation exceptionnelle."
MM. Durain et Deubresse nous expliquent cependant que seules les personnes recherchées pourraient être identifiées, puisque n'ayant pas de fichiers, "les autres n'existent pas". Pour expliciter leur propos, ils nous assurent que le croisement des données entre les fichiers de reconnaissance faciale et ceux de l'assurance maladie ou autres dispositifs administratifs, c'est "hors de question". Pourtant, le regroupement des services entre eux, c'est un peu l'idée du service gouvernemental France Connect...
Lire aussi : "On a défendu les libertés" face à "un gouvernement de technocrates" Alain Houpert
En temps réel, la surveillance devrait être limitée aux "cas graves", "aux grands événements" et aux "menaces imminentes". En état d'urgence permanent et en pleine guerre, cela paraît assez flou. Par ailleurs, le texte explique que "les opérations d'identification biométriques doivent faire l'objet d'un encadrement extrêmement strict au regard des risques encourus et être proportionnées aux modalités d'usages". Un lexique - bien connu du Sénat - ressemblant comme deux gouttes d'eau à celui qui était utilisé pour justifier les mesures sanitaires anti-Covid. Dans ce cas précis, les sénateurs nous assurent oralement que les données non utilisées seront "auto-détruites immédiatement".
A posteriori, les forces de l'ordre ou de renseignement peuvent demander à avoir accès aux données afin de mener leurs enquêtes. Idem pour les enquêtes judiciaires et "la recherche d'auteurs ou de victimes des infractions les plus graves", notamment pour "reconstituer un parcours". C'est ici que le bât blesse.
Si des enquêtes ont effectivement lieu a posteriori, il faut nécessairement qu'une base de données soit remplie et mise à disposition des autorités si besoin est. Non seulement cela met à mal la promesse de suppression automatique des données non utilisées, mais l'on est en droit de s'interroger : qui sera chargé d'alimenter et de garder cette base de données ? Le fabricant des caméras, l'Union européenne, ou d'autres ? Comment peut-on être assuré que dans le laps de temps où les données seront conservées, elles ne pourront être utilisées à d'autres fins que celle de la sécurité ?
Si Marc-Philippe Daubresse commençait en promettant de ne pas faire "comme les Anglais", à savoir "expérimenter avant de légiférer", il avoue alors qu'il existe bien "des zones de flou". Au même moment, Arnaud de Belenet se risque à un aveu plus franc encore : "Quel texte aujourd'hui, conditionne ou crée des conditions sécurisantes pour héberger les données ? Moi, je n'en connais pas. Où est-ce que vous stockez ? Dans quelles conditions ? Vous ne savez pas. Il faut créer un certain nombres de conditions."
Voir aussi : "Les Américains pourront accéder à toutes les données personnelles des Européens" Eric Denécé
Une base législative manquante
Les rapporteurs signalent aussi que "les traitements des images issues de la voie publique en s'appuyant sur l'intelligence artificielle ne disposent pas d'un cadre juridique propre", et proposent à travers ce rapport "une base législative explicite" pour pallier ce manque. M. de Belenet s'avance même en assurant qu'il ne "faut pas attendre le règlement IA [intelligence artificielle, ndlr] et cranter dans la loi nationale un certain nombre d'éléments." Pour cela, le projet repose essentiellement sur les compétences de la Commission nationale de l'informatique et des libertés (CNIL), qui tiendrait le rôle de "gendarme".
Cela étant dit, notamment pour s'émanciper des prestataires de services étrangers, ce projet s'inscrit dans un cadre éminemment européen. D'ailleurs, l'Union a d'ores et déjà prévu l'instauration d'une gigantesque base de données pour la reconnaissance faciale, et les rapporteurs prévoient de "confier à une autorité européenne la mission d'évaluer la fiabilité des algorithmes de reconnaissance biométrique et de certifier leur absence de biais".
Lire aussi : Macron envisage le "démantèlement" de Facebook et la suppression de l'anonymat en ligne
La réalisation du projet reposera à n'en point douter sur les prochaines décisions européennes, notamment en matière de contrôle des acteurs privés. À ce sujet, l'Union continue de travailler sur le " Digital Services Act", un projet visant à mieux réguler les GAFAM et à redorer la souveraineté européenne. En parallèle, la Commission européenne planche toujours sur son passeport numérique.
Alors, si tant est que nous puissions être protégés de la mainmise des GAFAM, devrions-nous pour autant faire confiance à l'Union européenne, ou à un gouvernement qui a discrètement instauré une application d'identité numérique fin avril 2022, pour "faciliter l'accès à des services publics comme privés" ?
Voir aussi : Jean-Frédéric Poisson : "Quel est ce pays qui en est à vouloir inspecter le fond des consciences ?"