II. LA PROPOSITION DE LOI : UN PREMIER ENCADREMENT DE L'USAGE DES TECHNOLOGIES BIOMÉTRIQUES DANS L'ESPACE PUBLIC

A. LA TRADUCTION LÉGISLATIVE DU RAPPORT D'INFORMATION DE LA COMMISSION DES LOIS SUR LA RECONNAISSANCE BIOMÉTRIQUE

Parallèlement aux discussions au niveau européen, les rapporteurs de la mission d'information sur la reconnaissance faciale ont proposé 30 recommandations concernant la reconnaissance biométrique dans l'espace public, avec pour objectif d'écarter le risque d'une société de surveillance.

Face à un défaut d'encadrement juridique spécifique et de réflexion éthique collective, le rapport envisageait la création d'un cadre juridique permettant de réguler les pratiques et d'éviter le déploiement d'usages parfois contestables de cette technique fortement intrusive.

Trois axes étaient proposés :

- la définition collective d'un cadre comprenant des lignes rouges, une méthodologie et un régime de redevabilité ;

- la définition des modalités d'usage de la reconnaissance biométrique suivant une logique de cas d'usage ;

- le renforcement de la souveraineté technologique de la France et de l'Europe.

Ainsi, les rapporteurs avaient pour objectif la définition de lignes rouges et de grands principes clairs, sur la base desquels une autorisation de certains usages de reconnaissance biométrique dans l'espace public pouvait être discutée par le Parlement. Ils concluaient que l'autorisation de ces cas d'usage spécifiques devrait cependant se faire à titre expérimental, avec un régime de redevabilité fort et un contrôle parlementaire élargi.

La proposition de loi relative à la reconnaissance biométrique dans l'espace public, déposée le 5 avril 2023 par MM. Daubresse et de Belenet, vise à traduire les recommandations du rapport afin que le Parlement puisse se saisir du sujet.

B. UN RAISONNEMENT PAR CAS D'USAGE, EN FONCTION DES FINALITÉS POURSUIVIES ET DES RISQUES ENCOURUS

La proposition de loi prévoit, dans son article premier, de fixer dans la loi les lignes rouges définies par le rapport : seraient ainsi interdites toute catégorisation et notation des personnes physiques sur la base de leurs données biométriques, ainsi que, de manière générale, la reconnaissance des personnes physiques sur la base de leurs données biométriques en temps réel dans l'espace public et dans les espaces accessibles au public.

La proposition de loi définit ensuite, dans ses articles 2 à 6, les cas d'usage de technologies de reconnaissance biométriques qui pourraient, par dérogation à cet article 1er, être expérimentés.

Un raisonnement par cas d'usage,
en fonction des finalités poursuivies

Trois distinctions doivent ici être rappelées, car elles conditionnent les risques pour les libertés des différents cas d'usage de la reconnaissance biométrique :

Authentification et identification : l'authentification consiste à vérifier qu'une personne est bien celle qu'elle prétend être, le système comparant un gabarit biométrique préenregistré avec celui extrait de la personne concernée au moment du besoin d'identification, afin de vérifier que les deux gabarits correspondent. Il s'agit donc d'une comparaison « 1 contre 1 ». L'identification vise quant à elle à retrouver une donnée biométrique parmi celles extraites de plusieurs personnes au sein d'une base de données. La comparaison effectuée est une comparaison « 1 contre N », où un gabarit est confronté à une base de données de gabarits. L'authentification est donc par nature moins intrusive que l'identification ;

Exploitation en temps réel et exploitation a posteriori : dans le cadre d'une exploitation en temps réel, le processus permet un usage immédiat des résultats pour procéder à un contrôle de la personne concernée ; lors d'une exploitation a posteriori, les recherches se font généralement sur des enregistrements ;

Police administrative et police judiciaire : le cadre dans lequel est effectuée la recherche conditionne les contrôles réalisés et l'autorité qui les met en oeuvre.

Les risques potentiels des systèmes de reconnaissance biométrique :

La Commission nationale de l'informatique et des libertés12(*) liste cinq risques que peuvent engendrer les utilisations de technologies de reconnaissance biométrique, de chaque type d'usage dépendant le degré de risque encouru :

- un risque pour la vie privée des personnes, avec une atteinte au principe d'anonymat sur la voie publique ;

- des risques d'erreurs sur l'identification des personnes ;

- des risques de biais discriminatoires en fonction de la manière dont les systèmes ont été entraînés ;

- un risque d'inhibition dans l'exercice des droits ou des libertés fondamentales ;

- un risque de sécurité informatique, en particulier si les bases de données biométriques sont centralisées.

Ainsi, l'article 2 prévoit en premier lieu la possibilité, tout en conservant le principe d'une interdiction de l'usage de la biométrie pour l'accès à certains lieux sans alternative non biométrique, de permettre à titre expérimental d'organiser par exception un contrôle exclusivement biométrique de l'accès à tout ou partie d'un grand évènement qui, par son ampleur ou par ses circonstances, est particulièrement exposé à des risques d'actes de terrorisme ou à des risques d'atteinte grave à la sécurité des personnes et pour lequel l'organisateur a démontré un impératif particulier d'assurer un haut niveau de fiabilité de l'identification des personnes.

Les articles 3 à 6 ouvrent la possibilité d'identifier les personnes sur la base de leurs caractéristiques biométriques.

Les articles 3 et 4, qui institueraient à titre expérimental des possibilités d'utilisation des techniques d'identification biométrique dans l'espace public a posteriori, concernent respectivement le cadre judiciaire, pour la recherche d'auteurs ou de victimes potentielles de certaines infractions, et le cadre administratif avec la création d'une nouvelle technique de renseignement.

Les articles 5 et 6 prévoient le recours à titre expérimental à ces technologies en temps réel. L'article 5 vise à permettre un recours ciblé et limité dans le temps dans un cadre administratif, tandis que l'article 6 a trait à l'usage de cette technique dans un cadre judiciaire.

Les articles 7 et 8 définissent le cadre dans lequel ces expérimentations se dérouleraient.

L'article 7 prévoit tout d'abord la mise en place d'un régime de contrôle renforcé : un rapport annuel serait remis par le Gouvernement au Parlement, l'Assemblée nationale et le Sénat seraient informés en temps réel des mesures prises dans un cadre administratif, et le Parlement pourrait requérir toute information complémentaire du Gouvernement dans le cadre de l'évaluation de ces mesures.

L'article 8 indique quant à lui que les mesures définies aux articles 2 à 6 sont prises à titre expérimental et applicables pour une durée de trois ans à compter de la promulgation de la loi. Il prévoit également qu'un comité scientifique et éthique serait chargé d'évaluer régulièrement l'application de ces mesures et ses rapports, rendus publics, seraient transmis au Parlement. Enfin, un rapport final d'évaluation serait réalisé par le Gouvernement, appréciant l'application de ces mesures et l'opportunité de les pérenniser ou de les modifier, notamment au vu de potentielles évolutions du droit de l'Union européenne en la matière.

Enfin, l'article 9 assure l'application outre-mer de la proposition de loi.


* 12 Audition par la commission de Louis Dutheillet de Lamothe, Secrétaire général de la CNIL (23 mai 2023).