Après que le Gouvernement a engagé la procédure accélérée, le projet de loi relative aux jeux Olympiques et jeux Paralympiques de 2024 a été adopté par le Sénat et est arrivé à l'Assemblée Nationale, où il a fait l'objet d'un examen par la Commission des lois constitutionnelles, de la législation et de l'administration générale de la République.
Cette dernière a publié un rapport le 9 mars dernier et doit examiner, à 15h45 cet après-midi, les amendements à ce projet de loi adoptés par le Sénat.
Ce projet devrait ensuite être discuté en séance publique à 21h30, la séance publique de 16h qui lui était dévolue étant a priori réservée aux motions de censure déposées en réponse à la décision de la Première ministre d'engager la responsabilité du Gouvernement sur la réforme des retraites, jeudi dernier (le fameux article 49 alinéa 3 de la Constitution).
Ce projet de loi comporte un certain nombre d'innovations législatives et notamment son article 7 qui fait couler beaucoup d'encre et qui autorise, pour reprendre les mots du rapport précité : "à titre expérimental jusqu’au 30 juin 2025 l’utilisation de traitements algorithmiques afin de détecter et de signaler en temps réel des événements prédéterminés susceptibles de menacer la sécurité des personnes, sur la base d’images captées par des caméras de vidéoprotection ou des aéronefs. "
En clair, il est question d'ouvrir, pour la première fois, le droit de faire de la surveillance assistée par IA sur l'espace public (y compris par drones), et ça ne manque pas de soulever de nombreuses réactions des oppositions et des ONG de défense des droits.
Actuellement, aucun cadre légal, en France comme en Europe, n'existe pour encadrer le recours à de la surveillance algorithmique. Cependant, un Règlement européen sur les systèmes d’intelligence artificielle est actuellement en cours d’élaboration et l'initiative française en la matière peut paraître surprenante, sinon cavalière.
Dans son avis du 15 décembre 2022, rendu public, le Conseil d’État relève notamment que :
Le recours, jusqu’ici inédit en France, à un tel traitement aux fins d’exercice des missions de maintien de l’ordre et de prévention des atteintes à la sécurité des personnes et des biens, s’il est limité, dans le projet de loi, à la protection de certains événements, est néanmoins susceptible de mettre en cause la protection de la vie privée et d’autres droits et libertés fondamentales, tels que la liberté d’aller et venir et les libertés d’opinion et de manifestation, lorsque ces dernières s’exercent à l’occasion de ces événements.
Il existe donc de vrais risques pour les libertés publiques, et toute la question va être de déterminer si l'encadrement de la pratique, les mesures de contrôle et les garanties de respect des droits sont suffisants et si les risques sont proportionnés aux enjeux de sécurité publique.
Spécialiste des questions de techno-police, concept qu'elle a participé à populariser, l'association La Quadrature du Net soutient notamment que les dispositions sécuritaires présentées comme temporaires finissent très souvent par devenir pérennes :
Il est parfaitement clair que si cette technologie est légalisée au travers du projet de loi qui vous est soumis, elle ne sera pas abandonnée après 2025. L’histoire législative récente illustre parfaitement le caractère fallacieux de ces « expérimentations » de papier : nous pourrions évoquer l’exemple de la pérennisation des « boites noires » en matière de renseignement (article L. 851-3 du Code de la sécurité intérieure) ou celle des mesures d’état d’urgence, mesures sécuritaires censées être initialement temporaires et exceptionnelles et systématiquement inscrites dans le droit commun par la suite.
Ainsi, des amendements visant à la suppression de cet article 7 ou à un strict bornage de cette expérimentation pendant la durée des JO, déposés devant la Commission par des députés des groupes d'opposition LFI, Ecologistes, PS, LIOT, LR et RN, ont tous été rejetés.
S'il n'est pas possible de les citer tous, l'un de ces amendements rejetés, déposé par le groupe LIOT (centre), habituellement modéré dans ses critiques, résume assez bien les craintes qui accompagnent ce dispositif :
A chaque nouvelle législature, les projets de loi sécuritaire s’enchaînent à un rythme toujours plus inquiétant pour nos libertés publiques. Il ne faut pas s’y tromper, ce texte va plus loin que les Jeux Olympiques, il porte des mesures de sécurité globale parfois pérennes.
Cet article 7 introduit de manière inédite l’intelligence artificielle à travers des caméras intelligentes. Face à la gravité de ce sujet, il n’est pas possible de légiférer en dehors de tout cadre et de manière précipitée.
L’État n’est pas prêt. Dans sa délibération sur le présent texte, la CNIL rappelle que notre pays ne s’est pas encore doté d’un cadre juridique unique encadrant ces nouvelles technologies liées à l’IA. De plus, de l’aveu même des services du ministère de l’Intérieur, le développement de ces vidéo protections intelligentes ne pourra pas se faire en interne, il y aura nécessaire recours à des prestataires privés, ce qui n’est pas sans risque.
En dépit des éléments de langage du Gouvernement, ce type d’expérimentation se termine toujours pas une pérennisation et une généralisation non bornée. Cet article ne présente pas de garanties éthiques ou de protections suffisantes pour nos droits fondamentaux et nos libertés publiques. Cet amendement demande donc sa suppression.
Seul amendement adopté concernant une restriction temporelle, celui du groupe Renaissance portant la fin de l'expérimentation au 31 décembre 2024 au lieu du 30 juin 2025.
Les défenseurs du projet de loi insistent sur le fait que cette vidéoprotection algorithmique n'emporterait pas de caractère biométrique comme la reconnaissance faciale et qu'il ne s'agirait, dès lors, pas de traitement de données à caractère personnel.
Pourtant, dans une lettre ouverte où elles demandent la suppression de cet article 7, Human Rights Watch, Amnesty International, l'Association Nationale des Supporters, Privacy International et, en tout, 38 ONG françaises et européennes dénoncent cet argument en exposant, d'une part, l'auto-censure qui accompagne tout acte de surveillance (les gens ont étrangement moins tendance à regarder du pr0n lorsqu'il y a une chance pour que leur belle-mère débarque dans la pièce. ndlr) et, d'autre part, en expliquant pourquoi il s'agirait bien de surveillance biométrique :
Comme l’ont souligné le Comité européen de la protection des données et le Contrôleur européen de la protection des données, la surveillance biométrique a de graves répercussions sur les attentes raisonnables des personnes en matière d’anonymat dans les espaces publics et a un effet négatif sur leur volonté et leur capacité d’exercer leurs libertés civiques, car elles redoutent d’être identifiées, repérées ou même poursuivies à tort.
En l’état, cette mesure menace l’essence même du droit à la vie privée et à la protection des données, ce qui la rend contraire au droit international et européen relatif aux droits humains.
Le règlement général sur la protection des données (RGPD) de l’Union européenne définit les données biométriques comme des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (article 4-14 du RGPD).
Si l’usage de caméras dotées d’algorithmes est destiné à détecter des événements suspects spécifiques dans l’espace public, ces caméras capteront et analyseront forcément des traits physiologiques et des comportements de personnes présentes dans ces espaces. Il pourra s’agir de la posture de leurs corps, de leur démarche, de leurs mouvements, de leurs gestes ou de leur apparence. Le fait d’isoler des personnes par rapport à leur environnement, qui s’avère indispensable en vue de remplir l’objectif du système, constitue une « identification unique ».
Si la médiatisation de l'actu législative est en ce moment accaparée par les questions de retraite, il ne fait pas de doute que ce projet de loi devrait faire de plus en plus parler de lui à mesure que l'échéance de son adoption ou de son rejet approche et nous ne manquerons pas de continuer à vous informer sur le sujet s'il suscite votre intérêt.
Il faut plutôt voir les choses dans l'autre sens : la France, par le truchement de ses représentants au Conseil de l'Union européenne, est un des pays qui mettent en avant ce type de mesures afin de les généraliser au niveau européen. Ce fut le cas, récemment, de la mesure imposant le retrait en une heure de certains contenus, présente dans la loi dite "Avia". Initialement censurée en France par le Conseil constitutionnel, cette disposition fut introduite dans le droit européen, lequel est situé au-dessus du droit français dans la hiérarchie des normes, et sur lequel le Conseil constitutionnel est incompétent.
Il faut en premier lieu, à mon avis, encadrer davantage les fabricants de systèmes de surveillance, en leur imposant des critères stricts et objectifs sur l'accès et les capacités techniques de leurs systèmes, et en exigeant qu'ils soient certifiés par un organisme indépendant pour être utilisables sur la voie publique. Il s'agit notamment de l'accès aux images ou aux données collectées qui doit être restreint au strict minimum légal, en exigeant la fourniture d'une preuve de non-existence de backdoors ou de possibilités d'accès pour des personnes potentiellement non autorisées, et du traçage non effaçable des accès, à l'image des logiciels de comptabilité. La loi requiert déjà une partie de ces points : d'une part, les installateurs doivent être certifiés (cf. Arrêté du 5 janvier 2011 fixant les conditions de certification des installateurs de systèmes de vidéosurveillance), et d'autre part, les dispositifs doivent répondre à un cahier des charges (cf. Arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance) qui exige la création d'un journal mais n'impose aucune mesure technique pour s'assurer de son non-effacement. À ma connaissance, les dispositifs n'ont pas à être certifiés conformes au cahier des charges, la vérification incombant à l'installateur.
Merci pour ton retour !
Effectivement, beaucoup de mesures que "nous impose l'Europe" - selon une expression que l'on entend beaucoup de la part de responsables politiques - ont, en fait, la France pour origine ou principal soutien sur la scène européenne.
Sur la hiérarchie des normes, en revanche, ce n'est pas exactement ça. Les États, même au sein de l'UE, demeurent souverains (à tout le moins en théorie) et la Constitution est notre norme suprême.
Le Conseil Constitutionnel demeure compétent pour vérifier la constitutionnalité d'une convention lors de sa transposition en droit français. Le titre XV de la Constitution (art. 88-1 à 88-7) intitulé "De l'Union européenne" à été introduit à la suite du traité de Maastricht en 92 et révisé 6 fois depuis, sans quoi aucun des traités de l'UE ne trouverait à s'appliquer en France. Ce que tu appelles "le droit français", d'ailleurs, n'est pas une norme à part entière et, si les traités, conventions et accords internationaux ont en effet valeur supra-législative (supérieure à la loi), ils demeurent infra-constitutionnels. En ce qui concerne le contrôle de conventionalité (savoir si l'application d'une loi respecte les traités internationaux), ce sont les juridictions de cassation ordinaires (Conseil d’État et Cour de cassation) qui sont compétentes. Ce contrôle ne se limite d'ailleurs pas à l'UE puisque ces juridictions sont régulièrement appelées à se prononcer sur le respect de la Convention européenne des droits de l'homme (la Cour européenne des droits de l'homme n'est pas une institution de l'UE, contrairement à la Cour de justice de l'Union européenne, par exemple), en particulier, en rapport au cas d'espèce, sur le respect de son article 8 "vie privée et familiale".
L'équivalent de la loi sur la haine en ligne (Avia) par l'UE dans le Digital Service Act n'est pas une copie conforme et est purgé de beaucoup des dispositions que le Conseil Constitutionnel avait censuré dans la loi Avia. Je ne dis pas que cette loi est éthique, nécessaire, proportionnée, ou quoi que ce soit d'autre, mais elle est juridiquement beaucoup plus solide que ne l'était la loi française.
Sur ton second paragraphe, si je partage absolument ton souci sur les impératifs de minimisation des collectes, de formation des agents, de sécurisation des accès et sur les moyens de contrôle, il faut bien noter qu'ici on passe encore une étape : dans ce projet de loi, c'est désormais directement l'IA qui va déterminer les scènes qui seront montrées aux agents pour qu'ils déterminent ce qui va nécessiter ou non une intervention, imposant automatiquement un biais, et les moyens de collecte des données soumises à cette IA sont démultipliés via un renforcement des caméras embarquées et de la surveillance par drones, pourtant censurée deux fois par le Conseil d'Etat pendant la période Covid.
Je suivais ce soir les débats à l'Assemblée qui se sont déroulés en l'absence notable du ministre de l'Intérieur et, chose que je n'avais pas relevée en rédigeant ce billet, les finalités de cette "expérimentation" (qui emporte beaucoup de modifications du Code de la sécurité intérieure et qui sont donc, de fait, pérennes si la loi passe) censée être nécessaire pour la sécurité des JO, d'après ses rapporteurs, sont suffisamment larges et vagues ("à la seule fin d’assurer la sécurité de manifestations sportives, récréatives ou culturelles qui, par leur ampleur ou leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes") pour potentiellement comprendre n'importe quel rassemblement sur la voie publique.
En résumé, c'est clairement pas ouf.
Welcome to minority report 😓
Merci pour cet article et les commentaires instructifs.