Projet de loi JO 2024 : l’utilisation de l’IA pour plus de sécurité ?
Par Céline Castets-Renard – Professeure à l’Université d’Ottawa et Amélie Turci – doctorante à l’Université de Rennes
Le 22 décembre 2022 a été présenté au Sénat un projet de loi relatif aux Jeux Olympiques et Paralympiques de 2024, accueillis par la France et surtout par Paris, ville hôte. Ce projet a été modifié après avis de la CNIL et du Conseil d’État et amendé par la commission des lois saisie au fond. L’examen en séance publique du projet a débuté le lundi 23 janvier.
Ce texte renforce, entre autres, les outils à la disposition des pouvoirs publics en autorisant les caméras « augmentées ». Bien que non interdites par le Code de la sécurité intérieure (CSI), ces dispositifs doivent être prévus par la loi dès lors qu’ils sont susceptibles de porter atteinte aux garanties fondamentales apportées aux citoyens pour l’exercice des libertés publiques (art. 34 Constitution).
En quoi consiste ce dispositif de « caméras augmentées » ? S’agit-il d’une première en France ?
Bien que présenté comme étant « inédit » dans l’avis du Conseil d’État, ce type d’outil est en réalité déjà utilisé par certaines polices municipales ou acteurs privés. L’article 7.I du projet de loi les encadre juridiquement pour la première fois, « à titre expérimental » et pour une durée limitée, de l’entrée en vigueur de la loi jusqu’au 30 juin 2025, soit avant les jeux afin de tester et entraîner les systèmes (La coupe du monde de rugby masculin est d’ailleurs clairement définie comme une « répétition générale » par le ministre de l’Intérieur concernant la loi d’orientation et de programmation du ministère de l’intérieur, dite LOPMI) (« Audition de Gérald Darmanin, ministre de l’Intérieur et des Outre-mer, » 25 octobre 2022.).
Les expérimentations concernent « la sécurité de manifestations sportives, récréatives ou culturelles, qui, par leur ampleur ou leurs circonstances sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteinte grave à la sécurité des personnes ». Les images collectées et traitées émanent en temps réel des systèmes de vidéoprotection et des caméras installées sur des aéronefs (drones), dans les lieux accueillant ces manifestations et à leurs abords, ainsi que dans les moyens de transport et sur les voies les desservant. Le périmètre très large des moyens et espaces de captation des données soulève une préoccupation de perte d’anonymat dans l’espace public, qui est pourtant une condition essentielle à l’exercice de nombreuses libertés individuelles.
Ces images font « l’objet de traitements comprenant un système d’intelligence artificielle » (art. 7.I). Face aux fortes oppositions, l’usage de systèmes d’identification biométrique, en particulier la reconnaissance faciale, a été explicitement exclu (art. 7.III), du moins pour le moment (Voir les propos du ministre de l’Intérieur lors d’une audition devant la commission des lois du Sénat le 25 octobre 2022 : « On aura un débat sur la reconnaissance faciale sans doute, mais qui n’est pas la proposition du Gouvernement […]. »). Il s’agit donc de dispositifs de reconnaissance comportementale et posturale dont la finalité est de détecter des événements prédéterminés susceptibles de présenter ou de révéler les risques suscités, et de les signaler en vue de la mise en œuvre des mesures nécessaires par les services humains compétents (énumérées à l’art. 7.I). Un décret pris après avis de la CNIL fixe les caractéristiques essentielles du traitement, telles que les événements prédéterminés et les conditions d’habilitation des agents pouvant accéder aux résultats (art. 7.IV).
Quelles sont les garanties prévues par ce projet de loi permettant de limiter les risques d’atteintes aux données et à la vie privée des personnes, justifiant l’avis favorable de la CNIL ?
D’une part, des garanties juridiques sont prévues puisque le traitement de données personnelles est soumis à la réglementation afférente (art. 7.II). Un décret doit autoriser l’usage du dispositif, lequel s’accompagne d’une analyse d’impact relative à la protection des données personnelles. La décision d’autorisation précise notamment le responsable du traitement, la manifestation concernée, le périmètre, les modalités d’information du public et la durée d’autorisation (art. 7.VI).
Par ailleurs, ces traitements ne peuvent ni procéder à un rapprochement avec d’autres traitements, ni fonder par eux-mêmes une décision individuelle (art. 7.III). Ils doivent demeurer sous le contrôle des personnes chargées de leur mise en œuvre, conformément à l’article 14 de la proposition de règlement européen sur les systèmes d’intelligence artificielle (AI Act).
D’autre part, des garanties techniques faisant l’objet d’une attestation de conformité sont posées, concernant notamment la qualité, la protection et l’accessibilité des données, et une phase de test préalable (art. 7.V). À nouveau, les garanties s’inspirent de l’AI Act (ici les articles 10 à 12).
Ce projet de loi pourrait-il représenter un réel risque d’atteinte aux droits et libertés des personnes ?
En dépit des garanties apportées, ce projet de loi soulève des enjeux, tels que l’efficacité et donc la nécessité du dispositif : est-il nécessairement plus efficace qu’une détection humaine ? On peut également mentionner les modalités d’évaluation des systèmes avant leur mise en opération qui restent très sommaires (art. 7.V), d’autant plus que l’on ne trouve pas de mention explicite d’exigences d’exactitude, robustesse et cybersécurité, à l’instar de l’article 15 de l’AI Act.
En outre, les outils de traitement d’images et d’alerte signalent des comportements « anormaux ». En quoi un comportement est-il anormal ? Comment les outils ont-ils été programmés et entraînés ?
Enfin, la possibilité d’utiliser jusqu’à l’expiration de leur durée de conservation les images comme données d’apprentissage des traitements (art. 7.VIII) cause aussi des difficultés, en particulier quand les systèmes sont fournies par des entreprises tierces.