Intervention de Marc-Philippe Daubresse

Monsieur le président, madame la ministre, mes chers collègues, en octobre 2020, la commission des lois du Sénat a créé, sur l’initiative de son président François-Noël Buffet, une mission d’information sur la reconnaissance faciale et ses risques au regard de la protection des libertés individuelles.

Cette technologie, qui se développe rapidement grâce aux algorithmes d’apprentissage, polarise l’opinion publique entre, d’une part, les tenants d’un moratoire sur toutes les technologies biométriques – y compris la reconnaissance faciale –, lesquelles seraient par nature attentatoires aux libertés, et, d’autre part, ceux qui mettent en exergue leurs importants bénéfices potentiels pour garantir notre sécurité.

Le rapport de cette mission d’information, confié à Arnaud de Belenet, Jérôme Durain et moi-même et adopté à l’unanimité avait un double objectif.

D’abord, celui de combler le vide juridique actuel qui nous rend totalement dépendants du règlement général sur la protection des données (RGPD) et de la future directive européenne. Nous n’avons pu inscrire dans une loi la spécificité française qui écarte, par principe, tout recours à la technique de la reconnaissance faciale en temps réel dans l’espace public, ce qui nous permet d’éviter tout risque d’une société de surveillance.

Ensuite, et par exception, en raisonnant cas d’usage par cas d’usage, celui de garantir la sécurité des grands événements au cours desquels le risque terroriste est avéré.

De fait, les multiples facettes des technologies biométriques soulèvent de nombreux enjeux éthiques en matière de liberté, de sécurité et de souveraineté.

Parmi ces techniques, la reconnaissance faciale vise à reconnaître une personne sur la base des données de son visage. Les cas d’usage sont potentiellement illimités. Les deux premières entreprises mondiales spécialistes de cette technique sont françaises et leurs algorithmes sont désormais fiables à plus de 99 %.

La reconnaissance faciale peut notamment permettre de contrôler l’accès et le parcours des personnes lors d’épisodes sensibles, comme le passage des frontières – on parle alors d’authentification – ou d’assurer la sécurité et le bon déroulement d’événements suscitant une forte affluence, en repérant dans une foule les personnes présentant un risque – on parle alors d’identification.

Deux facteurs permettent de distinguer les techniques d’identification : leur modalité d’utilisation – en temps réel ou a posteriori, par exemple dans le cadre d’une enquête – et le cadre dans lequel elles sont utilisées – police administrative ou police judiciaire.

En France, les usages pérennes dans les espaces accessibles au public sont extrêmement limités. Il s’agit pour l’essentiel de rapprochement par photographie opéré dans le traitement des antécédents judiciaires et du système Parafe (passage automatisé rapide aux frontières extérieures) permettant, dans les aéroports, une authentification sur la base des données contenues dans le passeport.

Considérées comme des données « sensibles » au sens du RGPD, les données biométriques font l’objet d’une interdiction de traitement, lequel ne peut être mis en œuvre que par exception, dans des cas très particuliers : avec le consentement exprès des personnes, pour protéger leurs intérêts vitaux ou sur la base d’un intérêt public important, comme le prévoit la directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, dite directive Police-Justice.

Mon collègue Arnaud de Belenet et moi-même, nous avons voulu que soit fixé collectivement un cadre permettant d’éviter de tomber dans une société de surveillance. Ont donc été définis des lignes rouges, une méthodologie et un régime de contrôle.

Comme en matière de bioéthique, il s’agit de fixer dans la loi de grands interdits applicables à tous, en particulier aux acteurs publics : interdiction de la notation sociale ; interdiction de la catégorisation d’individus en fonction de l’origine ethnique, du sexe ou de l’orientation sexuelle, sauf dans le cadre de la recherche scientifique ; interdiction de l’analyse d’émotions, sauf à des fins de santé ou de recherche ; et, comme je viens de le dire, interdiction de la surveillance biométrique à distance en temps réel dans l’espace public, sauf exceptions très limitées et encadrées par d’importantes garanties.

Pour cela, nous avions prévu dans le rapport trois principes généraux : le principe de subsidiarité, afin que la reconnaissance biométrique ne soit utilisée que lorsqu’elle est vraiment nécessaire ; le principe d’un contrôle humain systématique, pour que ces technologies de reconnaissance biométrique ne soient qu’une aide à la décision ; le principe de transparence, pour que leur usage ne se fasse pas à l’insu des personnes concernées et pour qu’il soit évalué de manière indépendante.

Pour ces exceptions, nous avons choisi une méthodologie claire sur laquelle je reviendrai : la voie expérimentale.

La proposition de loi que nous vous présentons, traduisant en cela parfaitement l’esprit et la lettre du rapport d’information, prévoit qu’une fois les lignes rouges définies et garanties, certains cas d’usage exceptionnels peuvent légitimement être expérimentés – j’y insiste – dans le cadre d’un régime de contrôle extrêmement renforcé.

D’où la proposition d’une loi d’expérimentation sur le modèle de la loi renforçant la sécurité intérieure et la lutte contre le terrorisme, dite loi Silt, que connaît bien notre rapporteur pour en avoir été l’un des artisans, afin de déterminer les usages très restreints de la reconnaissance biométrique à la fois pertinents et efficaces. L’expérimentation pourrait être autorisée pour trois ans, ce qui obligerait le Gouvernement et le Parlement à réévaluer le besoin et à recadrer éventuellement le dispositif en fonction des résultats obtenus, voire à le supprimer totalement.

Afin que cette phase d’expérimentation soit utile serait mise en place, outre le contrôle parlementaire, une évaluation publique, conduite par un comité composé de scientifiques et de spécialistes de l’éthique indépendants dont les rapports seraient bien évidemment rendus publics.

Nous souhaitons que les usages soient autorisés a priori. En cas d’utilisation par les forces de sécurité intérieure, l’autorisation relèverait soit d’un magistrat, soit du préfet, selon le cadre – judiciaire ou administratif – dans lequel ces technologies sont employées.

Enfin, le pouvoir de contrôle de la Commission nationale de l’informatique et des libertés (Cnil) serait réaffirmé afin qu’elle exerce son rôle de gendarme de la reconnaissance biométrique, dans le cadre de consultations pour avis a priori s’agissant des analyses d’impact et de contrôles a posteriori du bon usage des dispositifs et des éventuels détournements de finalité.

La première partie de la présente proposition de loi que nous avons déposée à la fin du mois d’avril dernier vise à prévoir dans la loi des lignes rouges clairement identifiées. Une fois celles-ci définies, nous déterminons limitativement les quatre cas d’usage de l’identification biométrique qui pourraient, par exception, être expérimentés.

En premier lieu, pour permettre de manière subsidiaire, et uniquement pour la recherche d’auteurs ou de victimes potentielles des infractions les plus graves, l’exploitation a posteriori d’images se rapportant à un périmètre spatio-temporel limité, sous le contrôle du magistrat chargé de l’enquête ou de l’instruction.

En deuxième lieu, pour instituer une nouvelle technique de renseignement afin que les services du premier cercle puissent traiter a posteriori les images issues de la voie publique à l’aide de systèmes de reconnaissance, uniquement à des fins de protection de l’indépendance nationale et de l’intégrité du territoire, de défense nationale et de prévention du terrorisme.

En troisième lieu, pour créer un cadre juridique permettant, de manière subsidiaire et par exception, le recours ciblé et limité dans le temps à des systèmes de reconnaissance biométrique sur la voie publique en temps réel – c’est ce point qui fait débat – sur la base d’une menace préalablement identifiée, en vue de la sécurisation des grands événements face à un risque terroriste ou d’atteinte grave à la sécurité des personnes.

De nombreuses garanties entourent ce dispositif, qu’il s’agisse de la formation spécifique des agents utilisateurs ou de l’encadrement des modalités de développement et de déploiement du dispositif : nombre limité de caméras dédiées, distinctes de celles des systèmes de vidéoprotection, ce qui permet de circonscrire fortement le périmètre géographique et temporel.

En dernier lieu, pour permettre aux autorités judiciaires de recourir à ces systèmes de reconnaissance en temps réel dans le cadre d’enquêtes judiciaires relatives aux infractions les plus graves.

En ce qui concerne la gouvernance de ces expérimentations, nous avons proposé le système de contrôle que je viens d’évoquer et un encadrement pendant une durée limitée à trois ans à compter de la promulgation de la loi. Un rapport annuel serait adressé au Parlement, comme dans la loi Silt, texte dont j’ai été le rapporteur. Enfin, le rapport final d’évaluation peut aboutir à la pérennisation, à la modification ou à la suppression des expérimentations.

Notre rapporteur Philippe Bas a voulu rendre plus lisible la proposition de loi en répartissant différemment les dispositions du texte, afin de créer un bloc précisant les garanties apportées et les interdits posés.

Il a également souhaité interdire l’identification à distance sans consentement : avec le texte modifié, l’utilisation de la reconnaissance faciale devrait être exclusivement prévue par des dispositions législatives, et non réglementaires. Chaque logiciel d’intelligence artificielle permettant de procéder à une reconnaissance faciale devra être calibré par décret, précédé d’un avis de la Cnil ou de la Commission nationale de contrôle des techniques de renseignement (CNCTR) et, comme l’a souhaité le rapporteur – il reviendra certainement sur ce point –, passer devant le Conseil d’État.

Succédant à ce socle très important de garanties, un autre bloc définit le régime de contrôle et d’autorisation, le rôle du Parlement, qui doit être central, et les usages possibles de ces technologies. Sur le modèle de la loi Silt, l’expérimentation peut permettre à chacun de mesurer l’utilité d’un tel dispositif dans la lutte contre le terrorisme.

Enfin, un bloc très intéressant, sur lequel reviendra le rapporteur, qui en a pris l’initiative, concerne le renseignement.

Avec Arnaud de Belenet, nous nous réjouissons de tous ces ajouts votés en commission sur l’initiative de notre rapporteur, car ils démontrent avec davantage de lisibilité que la rédaction initiale du texte respectait bien les principes de subsidiarité et de proportionnalité.

Mes chers collègues, pour conclure, je veux dire que mon souvenir le plus douloureux en tant que maire – je l’ai été pendant près de trente ans