Biométrie, IA et sécurité : quand le progrès défie le règlementaire

Cet article a été rédigé sur la base du compromis à l’AI Act atteint le 29 janvier 2024 et qui a fait l’objet d’un vote en Coreper le 2 février 2024. Les informations présentées peuvent donc varier à la marge par rapport à la version du texte qui sera finalement adoptée.

Les 5 points à retenir

  • L’engouement pour la biométrie pousse les chercheurs à trouver de nouvelles caractéristiques universelles, permanentes, enregistrables, mesurables et infalsifiables.
  • En matière de sécurité, les données biométriques sont principalement utilisées lors de 2 processus distincts : l’identification et l’authentification.
  • Au niveau mondial, les dispositifs règlementaires pour encadrer l’alliance de l’IA et de la biométrie restent disparates.
  • Selon la version actuelle de l’AI Act :

Dans un cadre répressif, le recours à l’IA pour l’identification à distance des personnes en temps réel dans l’espace public répond à une approche fondée sur les risques, la nécessité et la proportionnalité. L’autorité permet l’identification à distance a posteriori dans l’espace public dans un cadre strict, mais moins contraignant que celui prévu pour l’identification en temps réel.

Pour la surveillance et la prévention, les autorités autorisent l’utilisation de l’identification biométrique à distance dans l’espace public (en temps réel ou a posteriori) sous les conditions applicables aux Systèmes d’Intelligence Artificielle (SIA) biométriques, qualifiés à haut risque.

Introduction

La biométrie. Derrière cette notion moderne se cache en réalité une pratique ancienne. Actuellement, « l’identification bio-numérique » trouve dans les avancées technologiques et les évènements mondiaux le terreau de son expansion. Au-delà de l’aspect sécuritaire, de nombreux secteurs d’activités accordent une place importante à son utilisation. L’attrait pour cette technologie soulève des questions sur la nature de la biométrie, ses usages actuels et futurs ainsi que sur les mesures prises par les gouvernements pour encadrer des pratiques porteuses de dérives potentielles.

1. Biométrie, de quoi parle-t-on ?

Selon la CNIL, la biométrie englobe les techniques informatiques capables de « reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales ». En effet, ces données sont considérées comme personnelles en raison de leur unicité et de leur permanence. Ainsi, leur traitement nécessite une attention particulière pour garantir la protection des droits individuels.Cette « mesure du corps humain » englobe diverses techniques de reconnaissance. Elle inclut l’analyse des empreintes digitales et du visage. Elle couvre aussi des éléments biologiques tels que le sang ou la salive. De plus, elle s’étend aux caractéristiques comportementales. Parmi celles-ci, la reconnaissance vocale reste prédominante. L’étude de la démarche et de la gestuelle fait également partie de ces techniques.


Identification vs. Authentification

Dans un cadre sécuritaire, les données biométriques servent à deux processus aux objectifs distincts : l’identification et l’authentification. L’identification biométrique cherche à établir l’identité d’une personne parmi plusieurs, en comparant ses données biométriques (comme le visage ou les empreintes digitales) avec une large base d’identités. L’objectif est ici de répondre à la question « qui êtes-vous ? ». En revanche, l’authentification biométrique vise à confirmer qu’une personne est bien celle qu’elle prétend être, en confrontant ses données à son propre ensemble de mesures biométriques, selon un principe de vérification. Il s’agit alors de répondre à la question « est-ce bien vous ? ».

2. Biométrie et IA : usages d’aujourd’hui et de demain

Pour prouver son identité, une personne peut détenir un document/objet, connaître une information secrète ou recourir à ses caractéristiques propres, telles que le visage ou les empreintes digitales. Cette dernière méthode est particulièrement sûre et fiable. La probabilité de trouver deux personnes ayant des empreintes digitales identiques est infime : 1 chance sur 64 milliards. Cette efficacité explique son utilisation continue à travers les siècles et son acceptation généralisée de nos jours. D’ici 2028, « la taille du marché de la biométrie devrait passer de 42,96 milliards USD [en 2023] à 94,23 milliards USD ».

Cette croissance reflète l’élargissement des applications biométriques au-delà de la sécurité. Couplée avec les données de la carte d’embarquement, la reconnaissance faciale permet à British Airways de fluidifier l’embarquement. Le système « Smile-to-Pay » d’Alipay en Chine illustre l’usage croissant de la biométrie. Le déverrouillage des smartphones et le paiement sans contact en sont d’autres exemples. Ces technologies simplifient les actions quotidiennes. Elles sont largement plébiscitées : « 93 % des consommateurs préfèrent la biométrie aux mots de passe pour valider leurs paiements. »

Les chercheurs du monde entier cherchent des caractéristiques universelles pour identifier les individus de manière unique. Ils veulent des caractéristiques permanentes, enregistrables, mesurables et infalsifiables. Au Canada, une équipe explore l’utilisation de la démarche. Cette innovation pourrait s’intégrer dans un monde « sans contact », post-pandémie. Plus étonnant, au Japon, des chercheurs ont développé un capteur olfactif. Ce capteur identifie les personnes en analysant les molécules dans leur souffle, avec un taux de réussite de plus de 97%.

Biométrie et sécurité : un sujet qui fait débat

Dans ce contexte d’innovation, la surveillance biométrique, associée à l’intelligence artificielle (IA), soulève un débat intense sur le respect de la vie privée et des droits fondamentaux. Trois principales technologies automatisent l’analyse de données pour identifier des comportements « anormaux » (vidéosurveillance/audio surveillance algorithmique et reconnaissance faciale).

Sous couvert de maintien de la sécurité, les risques de détournement de ces outils sont bien réels. Pour autant, l’application de ces technologies s’étend mondialement. En Chine, la reconnaissance faciale est utilisée dans les hôtels d’Hangzhou. Aux États-Unis, elle aide à identifier les émeutiers du Capitole. En Angleterre, elle sert à prévenir les débordements dans les stades de football. En France, elle est déployée pour les futurs Jeux Olympiques. Face aux risques pour la vie privée, des initiatives comme celle d’Hambourg, en Allemagne, anonymisent les individus. Elles les montrent sous forme de « bonhomme allumette ».

En France, la loi permet d’expérimenter la vidéosurveillance algorithmique pour les Jeux Olympiques. Cette mesure vise à sécuriser les événements sportifs, récréatifs ou culturels. La loi s’applique dès sa promulgation jusqu’au 31 mars.

2025. Cette décision associée à l’émergence de l’utilisation de l’identification biométrique a fait s’élever des voix au sein des comités d’éthique. Ainsi, le 29 janvier dernier, le Comité national pilote d’éthique du numérique, dans son avis sur les enjeux des technologies de reconnaissance faciale, posturale et comportementale, souligne l’impact de telles innovations sur les libertés individuelles. Il émet des recommandations qui dépassent le cadre éthique pour prendre en considération les dimensions scientifiques et épistémologiques ainsi que les enjeux économiques et sociaux liés au déploiement de ces dispositifs.

Cette expansion des usages biométriques interpelle donc sur la nécessité de proposer des cadres règlementaires, éthiques et politiques adaptés.

3. La réponse internationale et européenne face à l’alliance biométrie et IA

L’IA reste un champ de mines juridique, une situation exacerbée par les disparités des cadres légaux à travers le monde. En France, depuis 2004, la CNIL surveille l’usage de dispositifs biométriques dans le secteur privé. Au niveau européen, depuis 2016, le règlement général sur la protection des données (RGPD) harmonise la réglementation dans les 27 états membres et le Royaume-Uni. Un dispositif renforcé par la mise en œuvre de l’AI Act. En revanche, les États-Unis ne possèdent pas de réglementation fédérale uniforme pour les données biométriques, laissant chaque Etat légiférer.

Sur le plan international, l’accord sur la sécurité de l’IA propose des recommandations pour rendre la technologie sûre dès sa conception, mais sans contrainte juridique ni détails sur les applications spécifiques de l’IA ou les méthodes de collecte de données.

Comment biométrie et sécurité s’articulent-elles, au niveau européen ?

En la matière, l’AI Act vient compléter le RGPD en précisant notamment que le règlement se concentre sur l’identification des personnes (en temps réel ou a posteri) et ne couvre donc pas l’authentification ou la vérification. Une autre distinction apparaît dans la règlementation entre une utilisation répressive et préventive.

AI Act : vers un contrôle rigoureux de l’identification à distance par IA en contexte répressif

Le recours à l’IA pour l’identification à distance en temps réel dans l’espace public: une interdiction assortie d’exceptions

L’AI Act proscrit l’usage de l’IA pour identifier des personnes à distance et en temps réel, sauf pour trois objectifs spécifiques : la recherche ciblée de victimes (enlèvement, traite et exploitation sexuelle d’êtres humains, recherche de personnes disparues), la prévention d’une menace spécifique, substantielle et imminente pour la vie et la sécurité des personnes ou d’une menace d’attentat, et la localisation ou l’identification d’une personne soupçonnée d’avoir commis une infraction pénale (visée à l’annexe II bis, punissable dans l’État membre concerné, voir la liste en fin d’article).

Dans ce cadre, le SIA ne doit être utilisé que pour confirmer l’identité de la personne recherchée. Ces exceptions nécessitent une évaluation rigoureuse de la situation, en considérant la gravité et les conséquences potentielles sur les droits et libertés individuels. Le recours à l’IA répond donc à une approche fondée sur les risques mais également sur la nécessité et la proportionnalité.

  • La procédure prévue pour le recours à l’IA est particulièrement stricte puisqu’elle inclut :
  • L’obtention d’une autorisation préalable (ou déposée et octroyée dans les 24h en cas d’urgence) fournie par une autorité judiciaire et administrative indépendante.
  • La réalisation d’une étude d’impact sur les droits fondamentaux (avant utilisation).
  • L’enregistrement du système dans une base de données.

La notification de l’utilisation des SIA auprès des autorités nationales compétentes (à chaque utilisation). En cas de rejet de l’autorisation, l’utilisation de ces systèmes doit cesser immédiatement et les données associées doivent être supprimées.

Le recours à l’IA pour l’identification à distance « post » dans l’espace public: une autorisation limitée

Le recours à l’IA pour l’identification à distance « post » s’inscrit dans la lignée de l’identification à distance en temps réel mais répond à un cadre règlementaire moins rigide.

Considérés comme des systèmes « à haut risque » (Annexe III de l’AI Act), ces SIA ne doivent pas poursuivre des fins répressives de manière non ciblée, sans aucun lien avec une infraction pénale, une procédure pénale, une menace réelle et actuelle ou réelle et prévisible d’une infraction pénale ou la recherche d’une personne disparue spécifique. De plus, les résultats de la surveillance ne peuvent constituer l’unique fondement de décisions juridiques.

Les autorités publiques et les opérateurs privés fournissant des services publics doivent respecter les mêmes obligations pour l’utilisation a posteriori des systèmes d’identification biométrique à distance que pour l’identification en temps réel : obtenir une autorisation préalable, réaliser une étude d’impact sur les droits fondamentaux et notifier leur utilisation aux autorités compétentes.

De plus, les déployeurs doivent s’abstenir de toute action ou décision à moins qu’au moins deux personnes physiques compétentes, formées et dotées de l’autorité nécessaire n’aient vérifié et confirmé la décision.

Toutefois, les conditions d’autorisation pour l’identification « post » sont assouplies au regard de celles applicables en temps réel :

  • L’autorité délivrant celle-ci n’étant pas obligatoirement indépendante, l’obtention pourrait donc en être facilitée.
  • Le délai d’obtention est rallongé à 48 heures.
  • L’obligation est levée si le système est utilisé pour identifier un suspect potentiel (sur la base de faits objectifs et vérifiables, directement en lien avec l’infraction).
  • Les notifications aux autorités nationales compétentes ne s’effectuent pas lors de chaque utilisation mais sur une base annuelle.
  • L’obligation imposée aux déployeurs de recourir à la vérification et confirmation humaine est supprimée si le droit d’un Etat Membre, ou celui de l’Union, la considère comme potentiellement disproportionnée.

AI Act : un assouplissement du recours à la surveillance à distance assistée par IA dans l’espace public en contexte préventif

Au-delà du cadre répressif, la future réglementation européenne sur l’intelligence artificielle prévoit l’utilisation de la biométrie dans un contexte général, qui s’applique également au cadre préventif du domaine sécuritaire.

Ainsi, dans ce champ d’action, les autorités autoriseront le recours à l’identification biométrique (en temps réel ou a posteriori) aux conditions applicables aux SIA biométriques qualifiés à haut risque.

Par conséquent, les organismes de droit public et les opérateurs privés fournissant des services publics doivent réaliser une analyse d’impact sur les droits fondamentaux avant d’utiliser le SIA. De plus, ils doivent s’abstenir de toute action ou décision basée sur l’identification résultant du système, à moins que deux personnes physiques compétentes, formées et dotées de l’autorité nécessaire n’aient vérifié et confirmé séparément cette identification.

Conclusion

L’essor de la biométrie et de l’intelligence artificielle marque une révolution dans divers secteurs. Elle dépasse largement le cadre de la sécurité et s’ancre dans notre quotidien. Dans ce contexte, les législateurs, notamment en Europe avec l’AI Act, se confrontent aux enjeux de régulation d’une technologie qui touche au cœur de l’identité et de la vie privée.

A l’échelle européenne, le recours à la biométrie dans un cadre sécuritaire et répressif est assorti de plusieurs garde fous. Malgré l’existence d’un dispositif réglementaire, dans un but de prévention, cette utilisation reste admise, ce qui peut faire redouter un croisement des données entre usages préventif et répressif. Mentionnons à cet égard la référence effectuée par le Comité national pilote d’éthique du numérique (CNPEN) redoutant la réactivation des craintes de voir émerger au sein de la société un dispositif panoptique qui, à l’instar du « regard sans visage » de Michel Foucault, transformerait « tout le corps social en un champ de perception»*.

*M. Foucault – Surveiller et punir. Naissance de la prison. Gallimard, 1975

Annexes

Liste des infractions pénales visées dans l’Annexe II bis, Article 5, paragraphe 1, point iii)

  • Terrorisme
  • Traite des êtres humains
  • Exploitation sexuelle des enfants et pédopornographie
  • Trafic illicite de stupéfiants et de substances psychotropes
  • Trafic illicite d’armes, de munitions et d’explosifs
  • Meurtre, coups et blessures graves
  • Commerce illicite d’organes et de tissus humains
  • Trafic illicite de matières nucléaires ou radioactives
  • Enlèvement, séquestration et prise d’otages
  • Crimes relevant de la compétence de la Cour pénale internationale
  • Capture illicite d’aéronefs/navires
  • Viol
  • Crimes contre l’environnement
  • Vol organisé ou à main armée
  • Sabotage
  • Participation à une organisation criminelle impliquée dans une ou plusieurs des infractions énumérées ci-dessus.
Partager l'article :
Search
Close this search box.