Biométrie, IA et sécurité : quand le progrès défie le règlementaire

Cet article a été rédigé sur la base du compromis à l’AI Act atteint le 29 janvier 2024 et qui a fait l’objet d’un vote en Coreper le 2 février 2024. Les informations présentées peuvent donc varier à la marge par rapport à la version du texte qui sera finalement adoptée.

Les 5 points à retenir

  • L’engouement pour la biométrie pousse les chercheurs à trouver de nouvelles caractéristiques universelles, permanentes, enregistrables, mesurables et infalsifiables.
  • En matière de sécurité, les données biométriques sont principalement utilisées lors de 2 processus distincts : l’identification et l’authentification.
  • Au niveau mondial, les dispositifs règlementaires pour encadrer l’alliance de l’IA et de la biométrie restent disparates.
  • Selon la version actuelle de l’AI Act :
    • Dans un cadre répressif, le recours à l’IA pour l’identification à distance des personnes en temps réel dans l’espace public répond à une approche fondée sur les risques, la nécessité et la proportionnalité. L’identification à distance a posteriori dans l’espace public, quant à elle, est autorisée dans un cadre strict mais moins contraignant que pour celui prévu en temps réel.
    • Quant à la surveillance et la prévention, le recours à l’identification biométrique à distance dans l’espace public (en temps réel ou a posteriori) sera autorisé aux conditions applicables aux Systèmes d’Intelligence Artificielle (SIA) biométriques, qualifiés à haut risque.

Introduction

La biométrie. Derrière cette notion moderne se cache en réalité une pratique ancienne. Actuellement, « l’identification bio-numérique » trouve dans les avancées technologiques et les évènements mondiaux le terreau de son expansion. Au-delà de l’aspect sécuritaire, de nombreux secteurs d’activités accordent une place importante à son utilisation.
 L’attrait pour cette technologie soulève des questions sur la nature de la biométrie, ses usages
 actuels et futurs ainsi que sur les mesures prises par les gouvernements pour encadrer des pratiques porteuses de dérives potentielles.


1.    Biométrie, de quoi parle-t-on ?

Selon la CNIL, la biométrie désigne les techniques informatiques capables de « reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales ». Ces données sont considérées comme personnelles en raison de leur unicité et de leur permanence.

Cette « mesure du corps humain » englobe diverses techniques de reconnaissance, incluant l’analyse des empreintes digitales, du visage et d’autres éléments biologiques tels que le sang ou la salive. Elle s’étend également à des caractéristiques comportementales, parmi lesquelles la reconnaissance vocale reste le procédé prédominant aux côtés de l’étude de la démarche ou de la gestuelle.

Identification vs. Authentification

Dans un cadre sécuritaire, les données biométriques servent à deux processus aux objectifs distincts : l’identification et l’authentification. L’identification biométrique cherche à établir l’identité d’une personne parmi plusieurs, en comparant ses données biométriques (comme le visage ou les empreintes digitales) avec une large base d’identités. L’objectif est ici de répondre à la question « qui êtes-vous ? ». En revanche, l’authentification biométrique vise à confirmer qu’une personne est bien celle qu’elle prétend être, en confrontant ses données à son propre ensemble de mesures biométriques, selon un principe de vérification. Il s’agit alors de répondre à la question « est-ce bien vous ? ».


2.    Biométrie et IA : usages d’aujourd’hui et de demain

Pour prouver son identité, une personne peut détenir un document/objet, connaître une information secrète ou recourir à ses caractéristiques propres, telles que le visage ou les empreintes digitales. Cette dernière méthode est particulièrement sûre et fiable. La probabilité de trouver deux personnes ayant des empreintes digitales identiques est infime : 1 chance sur 64 milliards. Cette efficacité explique son utilisation continue à travers les siècles et son acceptation généralisée de nos jours.

D’ici 2028, « la taille du marché de la biométrie devrait passer de 42,96 milliards USD [en 2023] à 94,23 milliards USD ». Cette croissance reflète l’élargissement des applications biométriques au-delà de la sécurité. Couplée avec les données de la carte d’embarquement, la reconnaissance faciale permet à British Airways de fluidifier l’embarquement. Le système « Smile-to-Pay » d’Alipay en Chine, le déverrouillage des smartphones ou le paiement sans contact sont autant d’usages attestant l’intensification du recours à cette pratique. Ces technologies, favorisant la simplification des actions quotidiennes, sont largement plébiscitées : « 93 % des consommateurs préfère la biométrie aux mots de passe pour valider leurs paiements ».

Les chercheurs, à travers le monde, sont donc en quête de nouvelles caractéristiques universelles qui permettraient d’identifier un individu de manière unique, permanente, enregistrable, mesurable et infalsifiable. Au Canada, une équipe travaille à l’utilisation de la démarche, une innovation qui pourrait trouver sa place dans un monde « sans contact », post pandémie. Plus étonnant, au Japon, des chercheurs ont développé un « un capteur olfactif capable d’identifier une personne en analysant les molécules présentes dans son souffle », avec un taux de réussite de plus de 97%.

Biométrie et sécurité : un sujet qui fait débat

Dans ce contexte d’innovation, la surveillance biométrique, associée à l’intelligence artificielle (IA), soulève un débat intense sur le respect de la vie privée et des droits fondamentaux. Trois principales technologies automatisent l’analyse de données pour identifier des comportements « anormaux » (vidéosurveillance/audio surveillance algorithmique et reconnaissance faciale).

Sous couvert de maintien de la sécurité, les risques de détournement de ces outils sont bien réels. Pour autant, l’application de ces technologies s’étend au niveau mondial, de l’utilisation de la reconnaissance faciale dans les hôtels d’Hangzhu (Chine), à l’identification des émeutiers du Capitole (Etats-Unis) en passant par la prévention des débordements dans les stades de foot anglais ou le déploiement de la vidéosurveillance en France lors des futurs Jeux Olympiques. Face aux risques d’atteinte à la vie privée, des initiatives comme celle d’Hambourg, en Allemagne, proposent des solutions anonymisant les individus, les montrant sous forme de « bonhomme allumette ».

En France, dans le cadre des Jeux Olympiques, la loi autorise l’expérimentation de la vidéosurveillance algorithmique pour assurer la sécurité des manifestations sportives, récréatives ou culturelles particulièrement exposées à des risques et ce dès sa promulgation jusqu’au 31 mars 2025. Cette décision associée à l’émergence de l’utilisation de l’identification biométrique a fait s’élever des voix au sein des comités d’éthique. Ainsi, le 29 janvier dernier, le Comité national pilote d’éthique du numérique, dans son  avis sur les enjeux des technologies de reconnaissance faciale, posturale et comportementale, souligne l’impact de telles innovations sur les libertés individuelles. Il émet des recommandations qui dépassent le cadre éthique pour prendre en considération les dimensions scientifiques et épistémologiques ainsi que les enjeux économiques et sociaux liés au déploiement de ces dispositifs.

Cette expansion des usages biométriques interpelle donc sur la nécessité de proposer des cadres règlementaires, éthiques et politiques adaptés.


3.    La réponse internationale et européenne face à l’alliance biométrie et IA

L’IA reste un champ de mines juridique, une situation exacerbée par les disparités des cadres légaux à travers le monde. En France, depuis 2004, la CNIL est habilitée à surveiller l’usage de dispositifs biométriques dans le secteur privé. Au niveau européen, depuis 2016, le règlement général sur la protection des données (RGPD) harmonise la réglementation dans les 27 états membres et le Royaume-Uni. Un dispositif renforcé par la mise en œuvre de l’AI Act. En revanche, les États-Unis ne possèdent pas de réglementation fédérale uniforme pour les données biométriques, laissant chaque Etat légiférer.

Sur le plan international, l’accord sur la sécurité de l’IA propose des recommandations pour rendre la technologie sûre dès sa conception, mais sans contrainte juridique ni détails sur les applications spécifiques de l’IA ou les méthodes de collecte de données.

Comment biométrie et sécurité s’articulent-elles, au niveau européen ?

En la matière, l’AI Act vient compléter le RGPD en précisant notamment que le règlement se concentre sur l’identification des personnes (en temps réel ou a posteri) et ne couvre donc pas l’authentification ou la vérification. Une autre distinction apparaît dans la règlementation entre une utilisation répressive et préventive.

AI Act : vers un contrôle rigoureux de l’identification à distance par IA en contexte répressif

Le recours à l’IA pour l’identification à distance en temps réel dans l’espace public: une interdiction assortie d’exceptions

Dans l’AI Act, l’usage de l’IA pour identifier des personnes, à distance, en temps réel est proscrit, à l’exception de la poursuite de 3 objectifs : recherche ciblée de victimes spécifiques (enlèvement, traite et exploitation sexuelle d’êtres humains, recherche de personnes disparues), prévention d’une menace spécifique, substantielle et imminente pour la vie et la sécurité de personnes ou d’une menace d’attentat et localisation/identification d’une personne soupçonnée d’avoir commis une infraction pénale (visée à l’annexe II bis, punissable dans l’Etat membre concerné, voir la liste en fin d‘article).

Dans ce cadre, le SIA ne doit être utilisé que pour confirmer l’identité de la personne recherchée. Ces exceptions nécessitent une évaluation rigoureuse de la situation, en considérant la gravité et les conséquences potentielles sur les droits et libertés individuels.
Le recours à l’IA répond donc à une approche fondée sur les risques mais également sur la nécessité et la proportionnalité. 

La procédure prévue pour le recours à l’IA est particulièrement stricte puisqu’elle inclut :

  • L’obtention d’une autorisation préalable (ou déposée et octroyée dans les 24h en cas d’urgence) fournie par une autorité judiciaire et administrative indépendante.
  • La réalisation d’une étude d’impact sur les droits fondamentaux (avant utilisation).
  • L’enregistrement du système dans une base de données.
  • La notification de l’utilisation des SIA auprès des autorités nationales compétentes (à chaque utilisation).
    En cas de rejet de l’autorisation, l’utilisation de ces systèmes doit cesser immédiatement et les données associées doivent être supprimées.

Le recours à l’IA pour l’identification à distance « post » dans l’espace public: une autorisation limitée

Le recours à l’IA pour l’identification à distance « post » s’inscrit dans la lignée de l’identification à distance en temps réel mais répond à un cadre règlementaire moins rigide.

Considérés comme des systèmes « à haut risque » (Annexe III de l’AI Act), ces SIA ne doivent pas poursuivre des fins répressives de manière non ciblée, sans aucun lien avec une infraction pénale, une procédure pénale, une menace réelle et actuelle ou réelle et prévisible d’une infraction pénale ou la recherche d’une personne disparue spécifique. De plus, les résultats de la surveillance ne peuvent constituer l’unique fondement de décisions juridiques.

L’utilisation a posteriori des systèmes d’identification biométrique à distance est soumise aux mêmes obligations que l’identification en temps réel : autorisation préalable, étude d’impact sur les droits fondamentaux, lorsqu’ils sont utilisés par des autorités publiques ou par des opérateurs privés fournissant des services publics, et notification de leur utilisation à des autorités compétentes.

A celles-ci, s’ajoute l’obligation pour les déployeurs de n’envisager aucune action ou ne prendre aucune décision à moins qu’elle n’ait été vérifiée et confirmée par au moins deux personnes physiques compétentes, formées et dotées de l’autorité nécessaire.

Toutefois, les conditions d’autorisation pour l’identification « post » sont assouplies au regard de celles applicables en temps réel :  

  • L’autorité délivrant celle-ci n’étant pas obligatoirement indépendante, l’obtention pourrait donc en être facilitée.
  • Le délai d’obtention est rallongé à 48 heures.
  • L’obligation est levée si le système est utilisé pour identifier un suspect potentiel (sur la base de faits objectifs et vérifiables, directement en lien avec l’infraction).
  • Les notifications aux autorités nationales compétentes ne s’effectuent pas lors de chaque utilisation mais sur une base annuelle.
  • L’obligation imposée aux déployeurs de recourir à la vérification et confirmation humaine est supprimée si le droit d’un Etat Membre, ou celui de l’Union, la considère comme potentiellement disproportionnée.

AI Act : un assouplissement du recours à la surveillance à distance assistée par IA dans l’espace public en contexte préventif

Au-delà du cadre répressif, la future règlementation européenne sur l’intelligence artificielle prévoit l’utilisation de la biométrie dans un contexte général, qui s’applique en conséquence au cadre préventif du domaine sécuritaire.

Dans ce champ d’action, le recours à l’identification biométrique (aussi bien en temps réel qu’a posteriori) sera autorisé, aux conditions applicables aux SIA biométriques qualifiés à haut risque.

Ainsi, avant l’utilisation, une analyse d’impact sur les droits fondamentaux devra être réalisée si le SIA est utilisé par un organisme de droit public ou des opérateurs privés fournissant des services publics. Par ailleurs, aucune action ou prise de décision ne pourra être envisagée sur la base de l’identification résultant du système, à moins que celle-ci ait été vérifiée et confirmée séparément par au moins deux personnes physiques ayant les compétences, la formation et l’autorité nécessaires.


Conclusion

L’essor de la biométrie et de l’intelligence artificielle marque une révolution dans divers secteurs. Elle dépasse largement le cadre de la sécurité et s’ancre dans notre quotidien. Dans ce contexte, les législateurs, notamment en Europe avec l’AI Act, se confrontent aux enjeux de régulation d’une technologie qui touche au cœur de l’identité et de la vie privée.

A l’échelle européenne, le recours à la biométrie dans un cadre sécuritaire et répressif est assorti de plusieurs garde fous. Malgré l’existence d’un dispositif réglementaire, dans un but de prévention, cette utilisation reste admise, ce qui peut faire redouter un croisement des données entre usages préventif et répressif.

Mentionnons à cet égard la référence effectuée par le Comité national pilote d’éthique du numérique (CNPEN) redoutant la réactivation des craintes de voir émerger au sein de la société un dispositif panoptique qui, à l’instar du « regard sans visage » de Michel Foucault, transformerait « tout le corps social en un champ de perception» (M. Foucault – Surveiller et punir. Naissance de la prison. Gallimard, 1975).


Annexes

 Liste des infractions pénales visées dans l’Annexe II bis, Article 5, paragraphe 1, point iii)

  • Terrorisme
  • Traite des êtres humains
  • Exploitation sexuelle des enfants et pédopornographie
  • Trafic illicite de stupéfiants et de substances psychotropes
  • Trafic illicite d’armes, de munitions et d’explosifs
  • Meurtre, coups et blessures graves
  • Commerce illicite d’organes et de tissus humains
  • Trafic illicite de matières nucléaires ou radioactives
  • Enlèvement, séquestration et prise d’otages
  • Crimes relevant de la compétence de la Cour pénale internationale
  • Capture illicite d’aéronefs/navires
  • Viol
  • Crimes contre l’environnement
  • Vol organisé ou à main armée
  • Sabotage
  • Participation à une organisation criminelle impliquée dans une ou plusieurs des infractions énumérées ci-dessus.