LISTE DES PROPOSITIONS
I. DÉFINIR COLLECTIVEMENT UN CADRE COMPRENANT DES LIGNES ROUGES, UNE MÉTHODOLOGIE ET UN RÉGIME DE REDEVABILITÉ
1. Réaliser une enquête nationale visant à évaluer la perception de la reconnaissance biométrique par les Français, à cerner les cas d'usages auxquels ils se montrent plus ou moins favorables et à identifier les ressorts d'une meilleure acceptabilité de cette technologie.
Des lignes rouges écartant le risque d'une société de surveillance
2. Fixer dans la loi les cas où le développement, la mise sur le marché et l'utilisation de techniques de reconnaissance biométrique sont interdites, qu'elles soient mises en oeuvre par des acteurs publics ou privés. En particulier :
- les systèmes de notation sociale des personnes ;
- les systèmes de catégorisation des personnes selon une origine, des convictions religieuses ou philosophiques ou une orientation sexuelle, sauf à des fins de recherche scientifique et sous réserve de garanties appropriées ;
- les systèmes de reconnaissance d'émotions, sauf à des fins de santé ou de recherche scientifique et sous réserve de garanties appropriées.
3. D'une manière générale, interdire l'utilisation de la reconnaissance biométrique à distance en temps réel dans l'espace public, sauf exceptions très limitées (voir la proposition n° 22) ; en particulier, interdire clairement la surveillance biométrique à distance en temps réel lors de manifestations sur la voie publique et aux abords des lieux de culte.
4. Appliquer systématiquement le principe de subsidiarité et en particulier, conditionner le recours sans consentement à la reconnaissance biométrique à la démonstration d'un impératif particulier d'assurer un haut niveau de fiabilité de l'authentification ou de l'identification des personnes concernées et la démonstration de l'inadéquation d'autres moyens de sécurisation moins intrusifs.
5. Cantonner le recours aux algorithmes et à la technologie d'identification par reconnaissance biométrique, lorsqu'elle est déployée par exception, à un rôle d'aide à la décision et prévoir un contrôle humain systématique.
6. Assurer la transparence de l'usage de technologies de reconnaissance biométrique à l'égard des personnes par la fourniture d'informations claires, compréhensibles et aisément accessibles.
Une méthodologie claire : la voie expérimentale dans le cadre d'une loi
7. Fixer dans une loi d'expérimentation, pour une période de trois ans, les conditions dans lesquelles et les finalités pour lesquelles la reconnaissance biométrique pourra faire l'objet de nouvelles expérimentations par les acteurs publics ou dans les espaces ouverts au public et prévoir la remise de rapports annuels détaillés au Parlement sur son application, dont le dernier au plus tard six mois avant la fin de la période d'expérimentation.
8. Soumettre ces expérimentations à l'évaluation régulière d'un comité scientifique et éthique unique et indépendant dont les rapports seront rendus publics.
9. En accompagnement de ces expérimentations, apporter une information accessible à tous sur les techniques de reconnaissance biométrique, les bénéfices qui en sont attendus et les risques encourus afin de sensibiliser le public sur leurs enjeux.
Un régime de contrôle a priori et a posteriori
10. Soumettre le déploiement des technologies de reconnaissance biométrique par les pouvoirs publics à l'autorisation du préfet en matière de police administrative ou d'un magistrat en matière de police judiciaire.
11. Soumettre le déploiement des technologies de reconnaissance biométrique par les acteurs privés dans les espaces accessibles au public à l'autorisation de la Commission nationale de l'informatique et des libertés (CNIL).
12. Prévoir le recensement au niveau national des actes autorisant le déploiement des technologies de reconnaissance biométrique.
13. Renforcer les moyens de la CNIL afin qu'elle puisse, le cas échéant avec l'assistance du Pôle d'expertise de la régulation numérique (PEReN), assurer le suivi du déploiement des techniques de reconnaissance biométrique, détecter d'éventuels détournements de finalité ou des usages illégaux de ces technologies et sanctionner les contrevenants.
II. RECENTRER LE DÉBAT DU CADRE JURIDIQUE SUR LES CAS D'USAGE
Distinguer technologies de reconnaissance biométrique et technologies connexes
14. Autoriser, à titre expérimental, l'usage de traitements d'images issues des espaces accessibles au public à l'aide de l'intelligence artificielle sans utilisation de données biométriques dans le cadre des finalités attribuées au dispositif de vidéoprotection déployé, après autorisation du préfet territorialement compétent et consultation, le cas échéant, de la CNIL. Assurer l'information du public.
15. Prévoir les conditions dans lesquelles le droit d'opposition des personnes concernées peut être écarté lors du déploiement de dispositifs de traitements d'images provenant d'espaces accessibles au public n'impliquant pas des données sensibles à des fins de traitement statistiques d'un groupe de personnes.
L'authentification biométrique en vue de permettre un contrôle d'accès sécurisé
16. Créer, à titre expérimental, un cadre juridique permettant l'usage de technologies d'authentification biométrique pour sécuriser l'accès à certains évènements et fluidifier les flux, sur la base du consentement des personnes. Accompagner l'ouverture de cette possibilité de fortes garanties, comprenant notamment :
- la réalisation d'une étude d'impact justifiant l'intérêt de cette technologie ainsi que les mesures de protection des données personnelles mises en oeuvre, notamment en matière de sécurisation des systèmes informatiques ;
- les modalités de recueil du consentement des personnes concernées ;
- l'obligation de maintenir une alternative valable à l'usage de l'authentification biométrique ;
- l'absence de conservation des images collectées et analysées des personnes se présentant au contrôle d'accès ;
- le maintien d'un contrôle humain.
17. Tout en conservant le principe d'une interdiction de l'usage de la biométrie pour l'accès à certains lieux sans alternative non biométrique, permettre, à titre expérimental, aux acteurs étatiques, dans l'organisation de grands évènements, d'organiser par exception un contrôle exclusivement biométrique de l'accès aux zones nécessitant une sécurisation exceptionnelle.
Distinguer, au sein des dispositifs d'identification biométriques, l'identification en temps réel de celle réalisée a posteriori
18. Mettre en place, par la prise de décrets en Conseil d'État, la possibilité pour les forces de sécurité nationales d'interroger à l'occasion d'une enquête judiciaire ou dans un cadre de renseignement certains fichiers de police par le biais d'éléments biométriques. Opérer, par ce biais, une fiabilisation des fichiers concernés pour éviter les identités multiples.
19. Évaluer l'efficacité des modules de reconnaissance faciale dans le Traitement des antécédents judiciaires (TAJ) ainsi que, le cas échéant, dans les autres fichiers de police où un tel module serait mis en place.
20. Permettre, à titre expérimental, de manière subsidiaire et uniquement pour la recherche d'auteurs ou de victimes potentielles des infractions les plus graves, l'exploitation a posteriori d'images se rapportant à un périmètre spatio-temporel limité par le biais de logiciels de reconnaissance biométrique, sous le contrôle du magistrat en charge de l'enquête ou de l'instruction.
21. Autoriser, à titre expérimental, les services spécialisés de renseignement à traiter a posteriori les images issues de la voie publique à l'aide de systèmes de reconnaissance biométrique, dans le cadre des seules finalités mentionnées aux 1°, 2°, 4° et 5° de l'article L. 811-3 du code de la sécurité intérieure.
22. Créer un cadre juridique expérimental permettant, par exception et de manière strictement subsidiaire, le recours ciblé et limité dans le temps à des systèmes de reconnaissance biométrique sur la voie publique en temps réel sur la base d'une menace préalablement identifiée, à des fins de sécurisation des grands évènements et de sites sensibles face à une menace terroriste, pour faire face à une menace imminente pour la sécurité nationale, et à des fins d'enquête judiciaire relatives à des infractions graves menaçant ou portant atteinte à l'intégrité physique des personnes. Ce système devrait être strictement encadré, les garanties prévues incluant notamment :
- le caractère strictement subsidiaire du déploiement de cette technologie ;
- un déploiement du dispositif autorisé a priori et contrôlé a posteriori par une autorité adaptée à la finalité du traitement (magistrat, préfet, CNCTR), dans un périmètre spatiotemporel rigoureusement délimité ;
- en matière de police administrative, un nombre de caméras proportionné pouvant être utilisées dans ce cadre ;
- une minimisation des données utilisées et leur sécurisation ;
- une supervision humaine systématique ;
- une traçabilité des usages ;
- une information du public adaptée aux spécificités du déploiement et, en tout état de cause, une information générale réalisée par le Gouvernement.
Un usage de la reconnaissance biométrique par les acteurs privés fondé sur le consentement des usagers
23. Interdire tout usage privé des technologies de reconnaissance biométrique ne requérant pas le consentement des utilisateurs, à l'exception, dans quelques rares cas particuliers et dûment justifiés, de traitements pour contrôler l'accès aux lieux et aux outils de travail (accès à des zones ou à des produits nécessitant un niveau de protection particulièrement élevé).
III. RENFORCER LA SOUVERAINETÉ TECHNOLOGIQUE DE LA FRANCE ET DE L'EUROPE
La nécessaire création d'un tiers de confiance européen
24. Dans le cadre des négociations sur la législation européenne sur l'intelligence artificielle, promouvoir la création d'une autorité européenne ayant pour mission l'évaluation de la fiabilité des algorithmes de reconnaissance biométrique et la certification de leur absence de biais.
Assurer l'indépendance et la qualité de l'évaluation en garantissant la diversité des données qui y sont contenues et en ayant recours à la méthodologie des « données séquestrées », où les développeurs n'ont accès à la base de données ni pour l'entrainement des algorithmes ni pour la phase de test.
Mettre à disposition de l'autorité en charge de l'intelligence artificielle une base d'images à l'échelle de l'Union européenne afin de lui donner les moyens de son action. Alimenter cette base à travers plusieurs mécanismes s'inspirant de la proposition de règlement de l'Union européenne sur la gouvernance européenne des données.
Mettre en place des mécanismes adaptés d'information des citoyens et prévoir la possibilité de demander à tout moment le retrait de ses données de la base.
Lever les obstacles à la recherche et au développement par la mise en place d'un cadre juridique stable et spécifique, et faciliter l'accès aux jeux de données pour la recherche publique
25. Créer un cadre juridique spécifique et adapté à la recherche et au développement visant notamment à autoriser, sous réserve d'une déclaration préalable à la CNIL, la réutilisation de données par l'intermédiaire de recueils de consentement groupés.
26. Formaliser la doctrine de la CNIL sur la recherche et le développement en matière de reconnaissance biométrique au sein d'un document unique à destination des développeurs.
27. Anticiper l'adoption du règlement sur la gouvernance européenne des données en autorisant, sous réserve d'un avis favorable de la CNIL, la mise à disposition de données publiques biométriques à des fins de recherche publique sur la reconnaissance biométrique.
Imposer que la mise à disposition se fasse dans un environnement de traitement sécurisé fourni par l'État et sans possibilité d'en exporter les données.
28. Mettre en place au sein de l'État, un service dédié à l'accompagnement des demandes de réutilisation de données publiques de la part des acteurs de la recherche en reconnaissance biométrique.
Conserver la maîtrise technologique des algorithmes en assurant la traçabilité des données utilisées et la sécurité des infrastructures d'hébergement
29. Créer un dispositif de labellisation des logiciels de reconnaissance biométrique, en prenant notamment en compte l'origine et la traçabilité des données d'apprentissage.
30. Prévoir un contrôle régulier par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) de la sécurité des infrastructures d'hébergement des données biométriques utilisées par la puissance publique à des fins expérimentales.