Publications

Protection des données, intelligence artificielle & caméras : un « casse-tête » pour les professionnels de la protection des données ?

Publié le 12 décembre 2022

Les séries de films de science-fiction, telles que Terminator avec Skynet, nom donné à l’intelligence artificielle (ci-après « IA ») des films, ou encore Resident Evil avec la Reine Rouge, nom de l’« IA » de la société d’Umbrella Corporation dans les films, apportent une vision apocalyptique de celle-ci. Elle apparaît dans ces films de science-fiction comme assimilable à la fin du monde en ce qu’elle représente un réel danger pour l’humanité. La réalité des faits est quelque peu différente ; aujourd’hui encore, l’« IA » n’en est pas à ces stades d’avancement bien qu’elle vienne « chahuter » les libertés et droits fondamentaux, notamment le respect de la vie privée et la protection des données.

Nonobstant la science-fiction, et à la différence des yeux implantés dans les Terminators qui analysent toutes les données identifiables de façon similaire à une caméra révolutionnaire, les caméras proposés sur le marché permettent de sécuriser les biens et protéger les personnes physiques dans des espaces ouverts ou non au public. Elles sont connues de tous depuis plusieurs dizaines d’années et tendent à offrir à l’humain le moyen d’assurer une analyse ou un contrôle, en temps réel ou a posteriori, sur des évènements. Néanmoins, cela se fera de manière morcelée puisque toutes les images saisies par les caméras installées ne peuvent être analysées, ou contrôlées, simultanément par un individu fût-il aguerri : des fragments de données ne sont pas prises en considération et sont perdues dans cette perspective, sauf à devoir vérifier plusieurs caméras en même temps à la suite d’un évènement indésirable.

L’IA, pour sa part, offre d’une manière générale des perspectives vastes et remet en cause de nombreuses habitudes. Cette technologie, selon le Parlement européen, est « la possibilité pour une machine de reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». Ainsi, l’« IA » ne se cantonne pas à un logiciel normé et déterminé, mais bien à un « champ scientifique » dont les spécificités varient selon les compétences qui ont pu être intégrées à un algorithme ou un logiciel. En ce sens, une « IA » qu’elle soit concentrée dans une caméra ou implémentée dans un serveur peut être capable d’identifier les plaques minéralogiques ou de repérer les comportements à risque. Plus particulièrement, il faut opérer la distinction entre l’« IA » et la programmation – où la machine se limite aux règles prédéterminées. Dans le premier cas, les processus utilisés sont soit le « machine learning » soit son dérivé le « deep learning ». Ces deux méthodes permettent l’évolution de l’« IA » à l’aide de l’homme puis, par elle-même.

De ce fait, implanter de l’« IA » dans les dispositifs de vidéosurveillance/protection amène différentes questions, puisque, dans cette perspective, de telles caméras conduisent à un résultat qui diffère nécessairement de l’utilisation qui est allouée aux caméras « classiques ». Il en résulte que les données à caractère personnel traitées par ces caméras « augmentées » poussent sur des inquiétudes quant à la gestion de ces données. Dès lors, comment est-il possible d’envisager la protection des données en considération de l’« IA » et des caméras ? Pourquoi l’« IA » paraît si novatrice dans le thème de la protection des données lorsqu’elle est associée à une caméra ? Est-ce que les capacités de l’IA enrôlées dans des systèmes de vidéosurveillance/protection induisent une protection des données différente ? En quoi ces caméras « augmentées » démontrent-elles une lacune juridique de la protection des données personnelles ? Quelles sont les moyens d’équilibrer la balance des poids entre les droits et l’« IA » ? Dans l’intérêt des questions soulevées, il faut obligatoirement constater que les caméras mettent un coup de projecteur sur l’importance de l’« IA » dans la protection des données même si, plus généralement, l’« IA » est une révolution en elle-même pour ce thème.

1. Le bouleversement du droit de la protection des données sous le prisme des caméras : l’intelligence artificielle.

Les conditions juridiques applicables sont différentes selon qu’il s’agit de caméras « classiques » ou de caméras « augmentées ».

1) La protection des données personnelles dans le cadre des caméras « classiques ».

Vidéosurveillance ou vidéoprotection ? Qu’importe pour le sujet qui nous occupe, dans les deux cas, il s’agit d’un œil électronique qui pour les uns, « anti-caméras », est intrusif tandis que pour les autres, « pro-caméras », participe à la lutte contre l’insécurité ; mais aussi, dans les deux cas le droit encadre cette technologie.

En quelques lignes, en matière de protection des libertés :

Pour la vidéosurveillance, le code du travail précise entre autres que la surveillance doit être justifiée et proportionnée, tandis que le RGPD pose notamment le principe de l’information auprès des collaborateurs sur les conditions d’exploitation de leurs données.

Pour la vidéoprotection, nous relevons un mille-feuille règlementaire à savoir le code de la sécurité intérieure (ci-après « CSI »), le RGPD ainsi que, sous certaines conditions, la directive « police-justice » :

Le CSI pose notamment le principe de demande d’autorisation, de modification et de renouvellement du système de vidéoprotection auprès du représentant de l’Etat territorialement compétent.

Le RGPD pose, entre autres, l’obligation de réaliser une EIVP dès lors que la vidéoprotection est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

La directive Police-Justice, quant à elle, énonce spécifiquement l’obligation pour le Responsable de traitement de discriminer les données à caractère personnel.

En revanche, les textes susvisés ne s’appliquent pas aux fausses caméras qui ne traitent pas de données à caractère personnel ; ce sujet est notamment indiqué dans les Lignes Directrices 3/2019 du 29 janvier 2020. Pour parfaire ce point, il nous appartient d’ajouter la décision de la CEDH du 28 janvier 2003, dans l’affaire Peck c/ Royaume-Uni, puisque la différence évoquée porte selon que l’équipement enregistre ou pas les données qu’il capte. Ainsi, l’encadrement d’aspects distincts des dispositifs de captation d’images   amène l’assurance de l’application du droit sur ce système.

Néanmoins, l’« IA » à un « pouvoir insurrectionnel » en ce qu’elle vient perturber l’ordre juridique établi visé par l’écosystème des caméras.

2) La protection des données personnelles dans le cadre des caméras « augmentées ».

Le Brief annonçait le 25 novembre dernier que, dans un article paru sur le site NextImpact, les caméras utilisées pour les JO de Paris de 2024 seront des caméras « intelligentes ». Cette annonce induit nécessairement la reconnaissance de l’efficacité de l’ « IA »  par son intégration dans le système. .

Les capacités de l’« IA » en comparaison  à celles d’un humain dans le cadre d’une analyse d’images saisies à travers une caméra ne sont évidemment pas comparables. Pour l’humain, il s’agira de vérifier un instant précis suivant le constat par exemple d’une dégradation, a posteriori, ou l’analyse d’un comportement d’une personne à travers plusieurs caméras pour suivre ses déplacements, en temps réel. Toutefois, toutes ces analyses ne s’appliqueront pas à l’ensemble des images. L’« IA », elle, se trouve en capacité de relever chaque point à chaque instant saisi par la caméra. Il n’y a pas de perte de données puisque cette technologie  a la capacité de prendre en compte toutes les images récoltées.

Toute la problématique est d’ailleurs juste ici, devant nous. Le fait que les caméras « intelligentes » soient en mesure d’analyser chaque donnée enregistrée conduit forcément à constater que les données à caractère personnel sont plus en « danger » face à cette nouvelle technologie, comparé aux caméras « classiques ». La CNIL précise, d’ailleurs, dans sa prise de position du 19 juillet 2022 concernant les caméras « intelligentes » ou « augmentées », qu’il y a « des risques nouveaux pour les droits des personnes » et  « a notamment considéré que le Code de la sécurité intérieure, qui fixe le cadre applicable aux dispositifs de vidéoprotection traditionnels, n’était pas adapté à cette nouvelle technologie ». De facto, le constat est l’absence de texte juridique spécifique à cette nouvelle technologie.

Partant, si la caméra est encadrée par le droit de la protection des données, mais que l’apport de l’« IA » fait perdre quelque peu ses moyens au droit, alors c’est l’« IA » elle-même qui pose une difficulté et doit faire l’objet d’un encadrement spécifique.

2. L’intelligence artificielle ou le bouleversement du droit de la protection des données.

L’« IA » implique l’évolution du droit sur plusieurs aspects ; en effet, dans la course à l’innovation, l’industriel distance le législateur.

 L’« IA » n’emporte pas seulement l’évolution des caméras, c’est bien plus  vaste et  cela commence par le droit. Dès lors, il convient de réagir face à cette constatation.

1) L’évolution nécessaire du droit pour l’encadrement de l’intelligence artificielle.

La CNIL propose un moyen libre d’accès pour faire un état de la conformité d’un organisme avec le RGPD dans le cadre de l’utilisation de l’IA. Elle y explique différents aspects à travers lesquels tous les pans du RGPD sont visés. Mais des particularités liées au recours à cette technologie sont évidentes – face aux habituelles questions portant sur un traitement de données à caractère personnel. A la lecture de « se prémunir des risques liés aux modèles d’IA », d’« encadrer la prise de décision automatisée », d’« évaluer le système » et d’« éviter les discriminations algorithmiques » le ressenti conduit à comprendre le cadre du traitement. Dans le premier de ces cas, qui porte sur les risques liés aux modèles d’« IA », Le gendarme  de la protection des données appelle l’attention des lecteurs sur la provenance des données à caractère personnel qui vont servir à « entrainer » l’« IA » sur la future mission. En effet, l’« IA » doit apprendre à reconnaître, par exemple, une voiture de couleur et de marque spécifiques ; pour cela il va falloir qu’elle apprenne à identifier la voiture et la couleur à travers de nombreux exemples. Or, si son futur applicatif porte sur la reconnaissance de comportements spécifiques comprenant les réactions des visages humains, alors de très nombreuses images vont être utilisées pour permettre son développement. Partant, il faudra s’assurer de la provenance de ces données et être en capacité de démontrer que leur obtention est licite. Dans le cas contraire, l’« IA » conçue à partir de données personnelles perçues illégalement devra être détruite – comme a pu le décider la Federal Trade Commission aux Etats-Unis.

Dans l’Union européenne, si le RGPD évoque effectivement le « profilage » à l’article 4, point 4), il n’évoque cependant pas explicitement l’« IA ». D’ailleurs, une brève recherche par mot clef dans ledit règlement n’apporte aucune occurrence avec ces termes. En même temps, l’IA en tant que « champ interdisciplinaire théorique et pratique » paraît complexe à viser, pour l’heure, à proprement dite dans une norme juridique. Pourtant, les contours de l’« IA » doivent être encadrés et notamment au sujet des données à caractère personnel. La capacité d’absorption de données personnelles par l’« IA » , ne serait-ce que pour développer un applicatif spécifique, est indubitablement  massive.

Cette quantité immodérément importante et sa gestion pose une problématique à laquelle il convient de répondre.

2) Le défi de l’harmonisation de l’Intelligence Artificielle : la nécessaire intervention de l’Union Européenne.

L’appréhension de l’« IA » et de ses conséquences sont des notions qu’il convient d’affermir de manière claire sur l’ensemble du territoire de l’Union européenne. L’harmonisation est l’enjeu majeur des institutions de l’UE qui entreprennent un travail sur différents domaines comme en droit de la protection des données avec le Comité Européen de la Protection des Données (CEPD) et le RGPD, en sorte que les Etats Membres puissent échanger et utiliser des notions communes.

Partant, la proposition de Règlement  du Parlement européen et du Conseil établissant des règles harmonisées concernant l’« IA » et modifiant certains actes législatifs de l’Union est des plus à propos. Cela est notamment vrai puisque, encore une fois, l’Union Européenne utilise sa norme la plus forte pour mettre tous les Etats Membres au même seuil d’aptitude face à l’« IA ». D’ailleurs, c’est ce sens que les propos de la présidente de la Commission résonnent puisqu’elle avait annoncé dans ses orientations politiques pour la Commission 2019-2024 intitulées « une Union plus ambitieuse », que la Commission présenterait une proposition législative en vue de l’adoption d’une approche européenne coordonnée relative aux implications humaines et éthiques de l’« IA » – comme le précise « [l’] exposé des motifs » 1.1 sur la « justification et objectifs de la proposition ». Ainsi, les objectifs spécifiques de ce règlement sont de « veiller à ce que les systèmes d’IA mis sur le marché de l’Union et utilisés soient sûrs et respectent la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union; garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA; renforcer la gouvernance et l’application effective de la législation existante en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA; faciliter le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance, et empêcher la fragmentation du marché ». En outre, de nombreuses références apparaissent concernant le droit de la protection des données et le RGPD. Plus généralement, le premier considérant de cette proposition de règlement, dispose que « L’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme, en particulier pour le développement, la commercialisation et l’utilisation de l’intelligence artificielle dans le respect des valeurs de l’Union ». Mais ce qu’il faut surtout en retenir, pour ne pas décortiquer chaque article, c’est qu’il se penche sur la question de l’« IA » dans sa forme large. Il y a effectivement un lien avec la protection des données, mais pas seulement. Ce projet de règlement a pour objectif d’aplanir les pratiques et utilisations de l’« IA » dans ses différentes formes.

Le droit de la protection des données fait partie intégrante des valeurs de l’Union européenne. Nous relevons que ce projet invite à assainir la vision de l’« IA » en tant que champ scientifique, mais aussi en tant que point névralgique, révolutionnaire, de la protection des données.  Dans la mesure où la possibilité est offerte à la protection des données de pérenniser la vision de l’« IA », alors les hésitations ou imprécisions juridiques ne sont -seront- plus de mises.

Aujourd’hui, le trinôme « protection des données, intelligence artificielle et caméras » peut être harmonieux dans une société moderne et démocratique sous réserve de conditions cumulatives et simultanées et notablement que :

  • Les développeurs ne nient pas l’évolution normative prochaine au risque de vivre à un réel fiasco industriel prévisible.
  • Les exploitants de la vidéoprotection/surveillance s’engagent dans une course effrénée de déploiement en considérant seulement que le produit, parce qu’il est commercialisé, est légal ou bien encore qu’il soit la réponse exclusive à la lutte contre les déviances. Des prérequis stratégiques d’analyse s’imposent, au risque que les « anti-caméras » agitent frénétiquement l’épouvantail de la peur.
  • L’UE se positionne sur les produits commercialisés en invitant les acheteurs à écarter ceux dont on connait notoirement l’occurrence et la gravité des failles de sécurité, au risque de discréditer l’IA au service de la sécurité et de la prévention.
  • Les outils au service du contrôle social ne soient pas segmentés mais complémentaires et déployés avec justesse, au risque d’un repli sur soi et d’une « folle » dénonciation de la technologie.

Philippe Gauvin