Mercredi 16 mars 2022
- Présidence de M. François-Noël Buffet, président -
La réunion est ouverte à 10 h 05.
Mission d'information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles - Audition de M. Cédric O, secrétaire d'État chargé de la transition numérique et des communications électroniques
M. François-Noël Buffet, président. - La mission d'information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles a été créée par le bureau de la commission des lois en octobre 2020. Il s'agit d'une mission pluraliste, dont les rapporteurs sont MM. Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain.
En raison de l'ordre du jour législatif particulièrement chargé l'an dernier, la mission a commencé ses travaux il y a seulement quelques semaines. Elle s'est rendue à l'aéroport d'Orly, où lui ont été présentés le dispositif Parafe et l'expérimentation actuellement menée par Aéroports de Paris (ADP) pour permettre l'enregistrement et l'embarquement des passagers sur la base de la reconnaissance faciale.
Cette mission avait été créée alors que le Gouvernement s'était prononcé, par votre voix, Monsieur le ministre, en faveur de la mise en place d'une expérimentation visant à évaluer l'usage de la reconnaissance faciale à la vidéosurveillance. Depuis, la Commission européenne a publié une proposition de règlement sur l'intelligence artificielle qui renouvellerait, si elle était adoptée, le cadre juridique applicable à la reconnaissance faciale.
Dans ce contexte, l'expérimentation annoncée a été abandonnée et il a été précisé que la sécurité des jeux Olympiques de 2024 serait assurée sans le recours à la reconnaissance faciale. Les autres expérimentations en la matière sont encore embryonnaires : on peut, d'une part, citer le projet Alicem pour ce qui est de l'authentification, qui consiste à vérifier qu'une personne est bien celle qu'elle prétend être. Sur le volet identification d'autre part, qui vise à retrouver une personne parmi un groupe d'individus, des expérimentations ont été conduites par la ville de Nice - où les rapporteurs se déplaceront ce jeudi - ou à l'occasion du tournoi de tennis de Roland-Garros. Pouvez-vous nous fournir de premiers éléments de bilan ?
L'usage de la reconnaissance faciale par la puissance publique suscite des interrogations légitimes en raison des risques induits pour les libertés publiques, notamment la possible fin de l'anonymat sur la voie publique. Nous avons déjà des exemples concrets. Certains pays tels que la Chine ont poussé la logique jusqu'au bout, avec une utilisation de la reconnaissance faciale dans le cadre de mécanismes de « crédit social » restreignant particulièrement les libertés. De plus, la fiabilité des algorithmes sous-jacents semble encore imparfaite : soit que leur usage débouche sur des taux de faux positifs ou de faux rejets trop importants, soit que ces algorithmes présentent des biais discriminatoires.
Votre audition, qui intervient au début des travaux de notre mission d'information, vise donc à nous éclairer sur la position du Gouvernement quant au développement des usages de la reconnaissance faciale. Nous les observons actuellement, mais ont-ils vocation à prospérer ? Quels pourraient être les usages les plus pertinents ? Quelle est la position de la France quant à l'encadrement de la reconnaissance faciale envisagé par le règlement européen sur l'intelligence artificielle ?
Nos échanges font l'objet d'une retransmission vidéo en direct et en différé sur le site internet du Sénat.
M. Cédric O, secrétaire d'État auprès du ministre de l'économie, des finances et de la relance et du ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques. - La question de la reconnaissance faciale est hautement politique et fait l'objet d'une intense attention médiatique, compte tenu de sa sensibilité. Notre cadre de régulation est constitué par le règlement général sur la protection des données (RGPD). À ce jour, le Gouvernement n'a pas de position arrêtée sur nos choix collectifs en matière de technologies. Il y a deux ou trois ans, j'avais souhaité des expérimentations pour nourrir un débat national ; malheureusement, ces expérimentations n'ont pas pu être menées et le débat n'a pas eu lieu : il reste donc devant nous et incombera au prochain gouvernement. Comme vous le savez, j'ai demandé à ne pas être renouvelé dans mes fonctions au-delà du mois d'avril : je puis donc vous faire part de mon appréciation personnelle.
Il s'agit d'un sujet hautement sensible, aux conséquences graves, le cas échéant. Notre débat est surdéterminé par l'exemple chinois, qui constitue bien entendu un contre-exemple absolu. La France et l'Europe luttent contre les dérives de l'utilisation de la reconnaissance faciale : le système de crédit social mis en place en Chine est à cet égard un anti-modèle. Je suis heureux qu'avec le RGPD et le futur règlement sur l'intelligence artificielle, cette possibilité soit explicitement exclue et que l'Europe ait pris les devants pour trouver son propre équilibre entre innovation et régulation.
Ce débat doit donc être dépassionné et nous permettre d'aller dans le détail des technologies, des cas d'usage et de l'encadrement, car l'éventail des possibles est extrêmement large. Il faut commencer par distinguer technologies d'authentification et d'identification : rien de comparable entre une technologie de déverrouillage d'un smartphone et des logiciels de vidéosurveillance qui identifient des personnes dans la rue. L'authentification est utilisée de manière volontaire : dès lors que des alternatives sont ménagées, ses enjeux politiques et éthiques sont moindres que dans le cas de l'identification.
En matière d'identification, les situations sont également très diverses. Doit-on considérer qu'une voiture autonome qui utilise un système de reconnaissance des comportements pour limiter le risque de collision fait usage de la reconnaissance faciale ? Il s'agit pourtant d'un système de recueil de données sans consentement exprès... Tout comme les systèmes d'aide auditive. Autre exemple : la Commission nationale de l'informatique et des libertés (CNIL) a arrêté l'expérimentation menées dans le métro parisien, grâce à une solution élaborée par la société Datakalab, pour détecter le port du masque : s'agit-il de reconnaissance faciale ? C'est devenu un terme fourre-tout et certaines associations libertaires jouent sur cette psychose.
Notre débat doit comporter trois dimensions. Nous devons tout d'abord nous interroger sur l'adéquation entre la technologie et le cas d'usage : l'encadrement ne sera pas le même pour faire face à un risque terroriste ou pour déverrouiller un smartphone ; une gradation est nécessaire. Ensuite, prenons conscience que les protocoles techniques et technologiques sont aussi importants que ce qui est écrit dans la loi. Certains protocoles, par nature protecteurs de la vie privée, pourraient être validés pour certaines utilisations ; c'est ce que la CNIL appelle le privacy by design. Plus que la captation de la donnée, c'est son traitement qui doit nous intéresser ; autrement, une application maximaliste du RGPD pourrait conduire à interdire les systèmes d'analyse des comportements sur les véhicules autonomes... Enfin, il faut repenser l'encadrement et en débattre, afin de travailler notamment la question des contre-pouvoirs, et de l'acceptabilité et de la transparence de ces technologies.
Des expérimentations, validées par la CNIL, sont aujourd'hui possibles dans le cadre du RGPD, mais il s'agit d'une régulation horizontale qui n'a pas été pensée spécifiquement pour la reconnaissance faciale. D'où l'intérêt du prochain règlement sur l'intelligence artificielle. La France, en tant que présidente du Conseil de l'Union européenne, n'est pas censée avoir de position sur ce projet de règlement ; néanmoins, je puis vous dire que nous sommes à l'aise avec ce projet, même si le diable se cache souvent dans les détails ; la question de l'uniformité de son application aux entreprises européennes et extra-européennes sera essentielle. Nous avons du temps, mais la discussion promet d'être « touffue ».
M. Marc-Philippe Daubresse, rapporteur. - Doit-on rester dans une logique d'expérimentations ? Une loi est-elle nécessaire pour cadrer ces expérimentations, en liaison avec le nouveau règlement européen ? Ou doit-on laisser les éléments du puzzle actuel - RGPD, CNIL, prochain règlement européen - en l'état ?
Pourquoi le Gouvernement n'a-t-il pas retenu des dispositifs de reconnaissance faciale ou de détection des mouvements pour les jeux Olympiques de Paris de 2024 ? J'ai assisté aux jeux d'Atlanta : la sécurité y était remarquablement assurée. Quels dispositifs envisagez-vous pour assurer la sécurité des jeux de Paris ?
M. Jérôme Durain, rapporteur. - La société Clearview vient de proposer à l'Ukraine des logiciels de reconnaissance faciale humanitaires : de diaboliques intentions peuvent parfois prendre des allures d'ange...
Nos industriels ressentent une forte tension entre une réglementation européenne contraignante et le risque que des dispositifs plus performants soient développés par leurs concurrents. Nous risquons aussi d'être débordés par la technologie, car, on le sait, code is law. La puissance publique a-t-elle les moyens de ses contrôles ? Comment vérifier qu'il n'y a pas de détournements des cas d'usage ?
M. Cédric O, secrétaire d'État. - À titre personnel, il ne me semble pas souhaitable d'avoir deux débats au Parlement - d'abord sur le cadre applicable aux expérimentations, ensuite sur l'élaboration du cadre de droit commun -, sur un sujet aussi hautement inflammable.
Il faut d'abord des expérimentations, car la technologie évolue vite, mais l'identification ne fonctionne pas encore parfaitement et la sécurisation de l'authentification n'est pas non plus totalement garantie à ce stade. Nous avons donc besoin de multiplier les expérimentations, sous le regard du Parlement et de la société civile. Ensuite, nous aurons un débat parlementaire sur nos choix collectifs. Mais pourra-t-on mener de nouvelles expérimentations sans recourir à une nouvelle loi ? Vous serez peut-être amenés à avoir deux débats parlementaires, ce qui me semble sous-optimal, car le temps parlementaire est compté et parce que je doute de notre capacité à discuter de cette question deux fois à un an et demi d'intervalle.
La décision d'avoir recours à l'identification pour les jeux Olympiques de 2024 aurait dû être prise maintenant : le Gouvernement a choisi de ne pas le faire, compte tenu du contexte politique et de la sensibilité du sujet. Cela interdit donc de fait l'utilisation de dispositifs d'identification, mais ne devrait cependant pas nous empêcher d'avancer sur l'authentification de certains personnels pour l'accès aux sites olympiques, par exemple. Nous devrons donc trouver les moyens d'assurer la sécurité des jeux sans recourir à l'identification en temps réel. Cette question aurait nécessité un débat apaisé, ce qui est illusoire en période de campagne présidentielle... Je fais partie de ceux qui pensent qu'il ne faut pas avoir un débat avant le débat, d'autant que les expérimentations nous permettront d'être mieux documentés.
En matière de reconnaissance faciale, le consommateur et le citoyen n'adoptent pas toujours le même comportement : le citoyen se dit totalement opposé à la reconnaissance faciale, alors que le consommateur l'utilise sans même se soucier de la localisation de ses données.
N'oublions pas la question industrielle. À cet égard, le prochain règlement sur l'intelligence artificielle devra bien définir ce qui est interdit et ce qui est autorisé. Si nous interdisons à nos industriels tel ou tel algorithme, nous devrons être en mesure de fermer notre marché à toutes les sociétés hors Europe qui auront développé des outils similaires avec un niveau de contrainte moindre. Je ne suis pas certain que nos partenaires européens y soient prêts. En outre, comment certifier ce qui se fait en Chine ?
L'Europe est légitime à poser un cadre si ce cadre s'applique à tous. C'est une question de politique commerciale. Souvenons-nous de l'application du RGPD, qui a créé des asymétries compétitives au détriment de nos acteurs européens.
La question du contrôle est au coeur de la régulation du numérique. Les moyens de la CNIL ont connu une augmentation significative et nous avons créé le pôle d'expertise de la réglementation numérique (PEReN) qui rassemble une vingtaine de compétences rares pouvant être sollicitées par l'État et les régulateurs. Je vous invite à aller les voir dans le cadre de votre mission : c'est très rassurant quant à la capacité de la puissance publique à appréhender de tels sujets.
M. Jérôme Durain, rapporteur. - La puissance publique ne se trouve-t-elle pas en conflit d'intérêts au regard de ses missions de sécurité et de défense ?
M. Cédric O, secrétaire d'État. - C'est un conflit d'intérêts auquel l'État est habitué. La question ne se pose pas dans les mêmes termes qu'il s'agisse d'antiterrorisme ou d'encadrement de pratiques commerciales quotidiennes. Les mécanismes de contrôle doivent être gradués en fonction du caractère plus ou moins intrusif du protocole. Le contexte joue aussi et nous devons pouvoir nous adapter, notamment en cas de guerre ou de conflit : on le voit actuellement en Ukraine avec l'utilisation des drones.
Mme Marie Mercier. - Je m'interroge sur la question centrale de la conservation des images, dont certaines sont peut-être stockées dans des clouds américains. Le Comité d'éthique pilote du numérique (CEPN) est-il impliqué pour étudier l'acceptabilité de cette conservation ? En particulier, qu'en est-il concernant les mineurs ?
M. Cédric O, secrétaire d'État. - La question de la conservation des données se pose en deux sens. Si cette conservation est trop longue, et si l'utilisation des images est illégitime, il est normal que votre attention soit attirée.
En revanche, un protocole qui n'utiliserait les données qu'à des fins de traitement immédiat, sans en conserver aucune, pourrait être moins régulé, à l'instar du système dont je parlais précédemment au sujet des voitures autonomes et des logiciels d'assistance à la conduite. Cette question est éminemment sensible.
Des règles existent déjà, mais elles sont différemment appliquées : l'encadrement du traitement des données des mineurs au sein du RGPD est extrêmement sévère.
Lors des trilogues européens, des conflits se font jour entre la protection des mineurs et les règles relatives à la protection des données. Il faut soit pouvoir identifier les premiers, et donc vérifier l'âge des utilisateurs, ce qui implique de stocker des données, soit traiter les données, comme les contenus consultés et les niveaux de langage utilisés, pour déterminer l'âge vraisemblable des utilisateurs.
Le sujet, qui devient de plus en plus important aux États-Unis comme en Europe, n'est pas simple. Hier, au sein du trilogue sur le DSA (Digital Service Act), nous nous sommes demandé s'il fallait interdire le traitement des données des mineurs. Le problème vient aussi du fait que, la plupart du temps, les mineurs ne déclarent pas qu'ils sont mineurs.
Les opérateurs auxquels nous interdirions l'utilisation des données des mineurs nous diraient que, pour identifier les mineurs, ils auraient besoin de connaître l'âge des utilisateurs et de stocker les réponses, à moins qu'ils ne puissent, en traitant les données, inférer l'âge des utilisateurs, ce à quoi la CNIL s'opposerait.
Les États-Unis s'orientent vers la deuxième possibilité, à savoir permettre d'inférer l'âge des utilisateurs. Frances Haugen, avec laquelle j'ai discuté, évoque dans les Facebook Leaks le fait qu'il est possible de déterminer, avec une marge d'erreur, l'âge des utilisateurs.
En Europe, nous sommes encore en train de tâtonner sur le sujet.
M. Jérôme Durain, rapporteur. - Pour toute une partie de la population, en particulier pour la jeunesse, il n'y a pas de transition numérique : les « numériques natifs » regardent des concerts de Travis Scott sur Fortnite et utilisent des outils que nous ne connaissons pas... Considérez-vous qu'un travail particulier doit être fait concernant les questions éthiques et pédagogiques ? La bataille est-elle déjà perdue, ou les questions se posent-elles autrement pour la dernière génération ?
Les alertes que nous percevons en tant que législateurs ne se posent peut-être pas pour les personnes concernées. Pensez-vous que nous sommes au bon niveau pour permettre la sensibilisation de la jeunesse sur ces questions ?
M. Cédric O, secrétaire d'État. - J'aurais tendance à nuancer vos affirmations. Dans le cadre de mes fonctions, j'ai travaillé sur la fracture numérique. La vision de la jeunesse comme maîtrisant l'ensemble des tenants et aboutissants des outils numériques est erronée. Si la plupart des membres de la jeune génération n'ont aucun problème pour utiliser TikTok, Snapchat ou Messenger, dès que l'on demande d'avoir une utilisation administrative ou normée des outils numériques, les choses sont bien différentes : une part importante de la jeunesse ne se connecte à internet que par les smartphones, et n'arrive pas à utiliser un ordinateur. La fracture numérique ne concerne pas que les personnes âgées.
Concernant l'équilibre entre l'expérience utilisateur et la protection des données, la sensibilité des jeunes n'est ni la mienne ni la vôtre. Les jeunes trouveraient sûrement inimaginable de trop favoriser la protection des données au détriment de l'expérience utilisateur.
Sont-ils pour autant suffisamment informés de la réalité des risques inhérents à l'utilisation intensive du numérique ? Souvent, lorsqu'ils deviennent majeurs et qu'ils recherchent un stage, ils s'aperçoivent que certaines photos compromettantes circulent sur internet. Le problème concerne aussi, malheureusement, leurs relations amoureuses. La sensibilisation à ces risques est donc extrêmement importante.
L'ensemble des candidats à l'élection présidentielle souhaite introduire le code à l'école. Mais il doit également être question des usages du numérique et de la grammaire des outils. Savoir comment coder devient indispensable dans le monde d'aujourd'hui ; mais le Conseil national du numérique a récemment souligné l'importance de l'apprentissage de la grammaire des outils numériques pour comprendre comment fonctionnent les fausses informations, la vie privée, ou la parentalité à l'heure numérique. Le futur ou la future Président de la République devra donc adopter une approche holistique pour déterminer le contenu de cet enseignement.
Je reviens sur un point soulevé par Mme Mercier. Le CEPN a vocation à devenir un élément important dans les mois qui viennent. Le Comité consultatif national d'éthique (CCNE) a été utile, même s'il n'a pas résolu tous les problèmes concernant la bioéthique. Certaines questions se poseront même d'ailleurs parfois à la croisée du numérique et de la biologie : il est possible que l'ADN devienne une future matière de stockage de données...
M. François-Noël Buffet, président. - La CNIL a pointé l'activité de Clearview. Peut-on apprécier la quantité d'usages illicites des dispositifs de reconnaissance faciale ?
M. Cédric O, secrétaire d'État. - Je répondrai clairement : assez difficilement. Les législateurs seront confrontés à un sujet important, qui recoupe le débat que nous avons eu concernant l'anonymat : sur internet, il suffit d'utiliser un VPN pour brouiller la localisation et être soumis à des règles différentes.
Cela ne signifie pas que rien n'est possible : le cadre législatif est extrêmement important. Nos capacités de régulation sont réelles à l'échelle européenne, car le marché est d'une taille suffisante pour déterminer des règles mondiales que les entreprises doivent suivre.
Par ailleurs, bien heureusement, tout le monde n'utilise pas un VPN dans sa vie de tous les jours.
La plasticité du monde numérique doit être prise en compte au moment de trouver les manières de réguler l'activité numérique.
Aujourd'hui, je pense que le recours à ces éléments de reconnaissance faciale est tout de même limité. Mais, notamment pour des utilisations de loisir ou de divertissement, les choses évoluent très vite, et nous pouvons très vite nous retrouver devant le fait accompli d'utilisations quotidiennes, sans pouvoir inverser le cours de la cascade.
M. Marc-Philippe Daubresse, rapporteur. - N'avez-vous jamais envisagé de trouver une parade aux VPN ? Le détournement d'adresses IP peut permettre des piratages ou de la diffamation électorale. Cela ne gêne personne que des sociétés proposent de détourner les procédures ?
M. Cédric O, secrétaire d'État. - La faisabilité des solutions est sujette à caution.
Je ne dis pas que l'utilisation des VPN est saine, mais le Parlement n'a, par exemple, jamais réussi à interdire Coyote, dont l'utilisation vise notoirement à détourner le droit. Je doute qu'il soit possible d'interdire les VPN.
M. Marc-Philippe Daubresse, rapporteur. - Coyote ne regardait que la question de la régulation de la vitesse. Concernant les VPN, les enjeux sont bien plus fondamentaux.
M. Cédric O, secrétaire d'État. - Oui, mais les limitations liées aux libertés publiques sont les mêmes.
M. François-Noël Buffet, président. - Monsieur le secrétaire d'État, je vous remercie de votre présence.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 11 h 00.