L’intelligence artificielle au gré du droit et des enjeux de société.
Veille Juridique n°34 – Avril 2021
L’intelligence artificielle au gré du droit et des enjeux de société. Intelligence artificielle et sécurité sont aujourd’hui liées dans le discours politique et juridique. Mais jusqu’où l’adaptation de notre cadre réglementaire aux défis tels que le terrorisme peut-il – ou doit-il – intégrer les derniers développements technologiques ?
Les controverses abondent en ce début de printemps, avec l’adoption de la loi de surveillance globale et les nouvelles mesures de la loi antiterrorisme.
Les limites de la collecte généralisée de données
On relève dans le contexte actuel l’influence de plusieurs acteurs dont le Conseil d’Etat, les associations de défense des libertés civiles et la Cour de justice de l’Union européenne.
Cette dernière a rendu le 6 octobre 2020 deux arrêts, qui concernent la France au regard de son droit du renseignement et de ses pratiques de rétention des données de connexion.
La Cour de justice a en effet rappelé la non-conformité aux droits fondamentaux de la collecte généralisée et indifférenciée des données de communication auprès des opérateurs. La Cour précise le caractère exceptionnel que doit revêtir une telle collecte, pour des objectifs de sécurité nationale et pour une durée strictement limitée.
Saisi sur la base de ces arrêts par des associations, le Conseil d’Etat a effectué dans sa décision du 21 avril un délicat exercice de conciliation entre le droit de l’Union européenne et les objectifs nationaux de lutte contre le terrorisme et la criminalité, demandant au gouvernement quelques ajustements dans sa politique de surveillance généralisée (réexamen périodique de la menace justifiant la collecte de données, effet contraignant et non plus consultatif des avis de la Commission nationale de contrôle des techniques de renseignement – CNCTR).
Ces conclusions sont vivement critiquées par les associations, qui soulignent l’insuffisance des ajustements requis et l’interprétation très large par le Conseil d’Etat de la notion de « sécurité nationale » au-delà de la lutte contre le terrorisme, pour y inclure par exemple l’espionnage économique, le trafic de stupéfiant ou l’organisation de manifestations non-déclarées, en violation du droit européen.
La Quadrature du Net et d’autres associations ont en outre le 29 avril saisi le Conseil constitutionnel de la question de la légalité de la loi de surveillance globale, également sur la base du caractère disproportionné de nombreuses mesures de surveillance prévues par le texte de loi.
Les algorithmes de la loi antiterrorisme
Les discussions suscitées par le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement viennent se superposer à ce débat et ravivent les questions de proportionnalité des mesures envisagées.
On se réfère en particulier à deux aspects du projet de loi, qui dans une version initialement publiée, entendait pérenniser l’utilisation des algorithmes pour surveiller notamment les connexions des internautes en fonction des sites internet visités, et collecter de façon généralisée les données de communication par satellite.
La version du projet publié le 28 avril à l’assemblée nationale ne contient plus ces dispositions, qui devraient être adaptées – afin de tenir compte des « ajustements » demandés par le Conseil d’Etat – dans une lettre rectificative attendue dans le courant du mois de mai.
Notons que l’avis de la CNIL du 8 avril sur ce projet n’a pas été publié, ni celui de la Commission nationale de contrôle des techniques de renseignement.
Une future réglementation plus claire de l’IA au niveau européen ?
Parallèlement à ces développements nationaux, la Commission européenne a rendu publique le 21 avril une proposition de réglementation de l’intelligence artificielle, que certains considèrent déjà comme trop contraignante alors que d’autres déplorent ses limites.
La Commission prévoit l’interdiction de l’utilisation de l’IA en violation des valeurs de l’Union européenne et des droits humains, en particulier les utilisations « inacceptables » destinées à influencer les comportements ou cibler les vulnérabilités des individus via des algorithmes prédictifs.
La proposition interdit par exemple le « scoring social » tel que l’on a pu l’observer en Chine avec le développement des applications permettant à l’Etat d’évaluer le crédit social de chaque individu. L’analyse du risque (spécialement les traitements identifiés comme « à haut risque ») devra être effectuée par les développeurs de projets utilisant l’IA.
Les violations de ces principes peuvent, comme dans le RGPD, donner lieu à des amendes allant jusqu’à 4% du chiffre d’affaires.
Les mesures restrictives prévues par la proposition ne s’appliquent cependant pas aux gouvernements et aux autorités publiques de l’Union européenne qui utilisent l’IA dans le cadre de la protection de la sécurité publique.
Certains, dont le Contrôleur européen de la protection des données, déplorent ainsi l’absence de moratoire concernant des problématiques actuelles telles que l’utilisation en temps réel par l’Etat de caméras de surveillance biométriques.
Si la proposition restreint une telle utilisation, elle reste possible notamment dans le cadre d’attaques terroristes ou de recherche de criminels.
D’autres pointent la charge de la responsabilité transférée de l’Etat aux développeurs privés, qui devront effectuer eux-mêmes une analyse de conformité quant aux systèmes qu’ils proposent, par exemple en matière de police prédictive, d’utilisation de l’IA dans les procédures d’asile ou de surveillance des travailleurs.
Ces différents développements pointent la sensibilité d’un débat qui doit prendre en considération tant les questions de sécurité nationale, chasse gardée des Etats, que les aspects d’ordre économique et de droits fondamentaux précisés par un ordre juridique européen qui s’impose à eux.
La proposition européenne prévoit la création d’un Comité européen de l’IA, composé des différents Etats membres de l’UE, de la Commission européenne et du Contrôleur européen de la protection des données. Ce Comité aura pour mission de se prononcer sur les développements non autorisés ou à haut risque de l’IA.
Le début d’une solution ?
Et aussi
France :
L’ANSSI poursuit son travail de sensibilisation aux risques de sécurité, avec un guide concernant la sécurisation des sites web.
Le guide précise les paramètres à spécifier lors du développement et de l’intégration d’un site ou d’une application web, de façon à en garantir la sécurité.
La CNIL publie une liste de questions-réponses concernant les tests salivaires dans les écoles, utilisés dans le cadre du dépistage de la Covid-19.
Dans son huitième cahier Innovation et prospective, la CNIL développe les raisons qui poussent un individu à porter plainte pour non-respect de ses droits. Elle mentionne quatre raisons principales :
- « Quand la réputation des individus est menacée par des informations disponibles en ligne (près d’un tiers des plaintes) ;
- Lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale (environ 20 % des plaintes) ;
- En cas de surveillance sur leur lieu de travail (10 à 15 % des plaintes) ; et enfin
- Lorsqu’ils sont inscrits dans des fichiers nationaux (accidents bancaires, antécédents judiciaires). »
Europe :
Union européenne : Le projet d’un passeport sanitaire fait l’objet de débats au niveau européen.
Après l’avis conjoint du Comité et du Contrôleur européen de la protection des données, c’est au tour du Parlement européen de se pencher sur la question.
Ont ainsi été soulignées,
- La nécessité d’intégrer le « Privacy by design » dans le système de traitement des données,
- La garantie d’absence de base de données centralisées,
- Une identification claire des responsables du traitement,
- L’information des personnes concernées et
- Une durée limitée de conservation des données.
Conseil de l’Europe : le 28 avril, le Comité des ministres a adopté une Déclaration relative à la protection de la vie privée des enfants dans l’environnement numérique.
Cette déclaration vise à renforcer la protection des enfants dans ce qui représente une part croissante de leur vie, que ce soit à l’école, avec leurs amis ou dans le cadre d’activités culturelles ou sportives, avec actuellement un impact particulier dû à la pandémie de Covid-19 (activités en ligne entraînant davantage de risques, dont celui de l’exclusion numérique).
Pays-Bas : La Cour de District du Limbourg a considéré comme abusivesles multiples procédures en droit d’accès initiées par un particulier dans le but de soutirer des dommages et intérêts aux responsables de traitement qui tardaient à lui répondre.
Toujours aux Pays-Bas, la Cour de District d’Amsterdam a ordonné à Uber de réintégrer six chauffeurs licenciés sur la base de décisions automatisées. La société a été condamnée à payer 5000€ d’astreinte par jour de retard et plus de 100 000€ de dommages.
Selon une information publiée mi-avril, l’opérateur Huawei aurait eu accès au réseau hollandais de télécommunication KPN, permettant ainsi l’accès aux communications des clients incluant de nombreux décideurs politiques du pays.
Espagne : Le Ministère de la défense a fait l’objet d’une mise en garde par l’autorité de protection des données.
En cause l’enregistrement par des caméras installées autour des bureaux du ministère – sans que la nécessité en soit prouvée – d’images de places de parking appartenant à des maisons voisines (merci au wiki GDPRhub pour son recensement des décisions).
Allemagne : l’autorité de contrôle du Land de Hambourg a indiqué le 13 avril qu’il lançait une procédure administrative à l’encontre de Facebook, au sujet du changement de politique de Whatsapp en matière de collecte de données personnelles.
La validité du consentement des utilisateurs est mise en question, ce qui justifie pour l’autorité de contrôle un gel de trois mois de la collecte de données, pendant la durée de l’enquête.
International :
Etats-Unis : la reconnaissance faciale se développe auprès des banques, qui utilisent des caméras intelligentes pour identifier leurs clients, leurs employés ou encore les « sans domicile fixe » qui se trouveraient à proximité des distributeurs.
Si l’utilisation de l’intelligence artificielle dans le contexte de la vidéo-surveillance n’est pas réglementée de façon similaire dans tous les états américains, la FTC (Commission Fédérale du Commerce) reste compétente pour vérifier les conditions d’utilisation de cette technologie, et pour sanctionner son utilisation à des fins discriminatoires.
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.