AI Act : les eurodéputés pourraient autoriser des cas d’usage biométriques en échange d’interdictions renforcées
Le Parlement européen serait sur le point d’autoriser l’utilisation des technologies d’identification biométrique en temps réel à distance dans certains cas très précis, alors que les eurodéputés prévoyaient de les interdire.
Le Parlement européen serait sur le point d’autoriser l’utilisation des technologies d’identification biométrique en temps réel à distance dans certains cas très précis, alors que les eurodéputés prévoyaient initialement de les interdire, dans le cadre d’un accord élargissant la liste d’utilisations interdites.
L’identification biométrique à distance a été un point de désaccord majeur dans les négociations de la règlementation sur l’intelligence artificielle (AI Act), un projet de loi de l’UE visant à règlementer les systèmes d’intelligence artificielle en fonction de leurs risques.
Le projet de règlementation sur l’IA se trouve dans la dernière phase du processus législatif de l’UE, appelé trilogues, au cours duquel le Parlement, le Conseil et la Commission définissent les dispositions finales du texte.
Vendredi dernier (3 novembre), les cabinets des co-rapporteurs du Parlement européen Dragoș Tudorache et Brando Benifei ont fait circuler un texte de compromis abandonnant l’interdiction totale de l’identification biométrique à distance en temps réel en échange de concessions sur d’autres parties du dossier.
Une version similaire de la proposition a été diffusée par la présidence espagnole du Conseil des ministres de l’UE dimanche (5 novembre). Euractiv a pu consulter les deux documents, mais ne divulguera pas tous les détails afin de ne pas compromettre ses sources.
L’identification biométrique à distance
Dans la proposition initiale, la Commission suggérait d’autoriser les technologies d’identification biométrique à distance en temps réel uniquement dans des cas spécifiques, tels que la recherche de personnes disparues, la prévention d’attaques terroristes ou la localisation de suspects d’un crime grave.
Au Parlement européen, une majorité d’eurodéputés issus de tous les partis s’est prononcée en faveur d’une interdiction totale de l’utilisation de ces systèmes, craignant un détournement de la mesure permettant d’organiser une surveillance de masse des citoyens.
En revanche, au Conseil de l’UE, une majorité de gouvernements européens ont tenu à laisser une certaine marge de manœuvre aux forces de l’ordre pour l’utilisation de cette technologie.
Dans le dernier texte de compromis proposé, les co-législateurs s’accordent à introduire une clause définissant les conditions exceptionnelles qui permette le recours aux technologies d’identification biométrique à distance en temps réel. Quelques modifications ont été apportées au texte initial cependant : pour traquer un suspect, le texte précise désormais que l’infraction pénale doit figurer dans une nouvelle liste et être passible d’une peine maximale d’au moins cinq ans.
Ces infractions graves sont énumérées dans une nouvelle annexe et comprennent le terrorisme, le trafic d’êtres humains, de drogues et d’armes, l’exploitation sexuelle de mineurs, le meurtre, l’enlèvement, les crimes relevant de la Cour pénale internationale, la prise d’otages et le viol.
En outre, les forces de l’ordre ne peuvent recourir aux usages autorisés de l’identification biométrique à distance en temps réel que si elles l’enregistrent dans la base de données publique de l’UE et ont procédé à une analyse d’impact sur les droits fondamentaux.
Une autorité judiciaire doit généralement valider l’utilisation en temps réel des systèmes d’identification biométrique à distance. Toutefois, dans des cas exceptionnels, l’autorisation peut être demandée a posteriori dans un délai de 48 heures.
Les textes du Parlement et du Conseil mentionnent tous deux le rôle des autorités nationales dans la supervision de l’utilisation de l’identification biométrique à distance par les forces de l’ordre. La Commission de son côté est habilitée à lancer des procédures d’infraction à l’encontre des États membres de l’UE lorsque ces dispositions ne sont pas respectées.
Utilisations interdites
En échange des concessions sur l’identification biométrique à distance, le Parlement européen a obtenu une liste plus longue des utilisations interdites de l’IA.
Suite à l’exemple tristement célèbre de Clearview AI, une interdiction des « systèmes d’IA qui créent ou développent des bases de données de reconnaissance faciale par la collecte non ciblée et de grande ampleur de visages sourcées sur internet ou provenant de séquences de caméras de sécurité » a été introduite.
De même, les eurodéputés ont introduit une interdiction des systèmes utilisant des technologies de classification de données biométriques pour déduire des informations confidentielles sur les personnes. Il est ainsi interdit, dans le texte de compromis actuel, d’utiliser des systèmes de profilable déduisant l’orientation politique ou les préférences sexuelles d’un individu. Les technologies de reconnaissance des émotions sont également interdites sur le lieu de travail et dans l’enseignement.
Des divergences de points de vue subsistent quant à l’utilisation de l’IA pour la prévision policière, que les députés européens souhaitent voir interdite, alors que les États membres veulent la maintenir dans des situations à haut risque.
Exemptions pour les forces de l’ordre
Le Conseil de l’UE a introduit plusieurs exemptions importantes pour les organismes chargés de faire respecter la loi.
Tandis qu’une disposition générale prévoit que les utilisateurs doivent surveiller le fonctionnement de modèles d’IA à haut risque et informer les distributeurs lorsqu’ils identifient un incident grave, les États membres de l’UE ont introduit une clause selon laquelle cette obligation ne couvre pas les données opérationnelles sensibles des forces de l’ordre. Cette disposition semble avoir été acceptée par le Parlement.
En contrepartie, une exemption faite aux autorités chargées de l’application de la loi et du contrôle des frontières a été supprimée. Elles rejoignent la disposition générale qui stipule que tous les organismes publics ne peuvent utiliser que les systèmes à haut risque qui figurent dans la base de données de l’UE.
Les eurodéputés semblent également avoir accepté que les forces de l’ordre et les organismes de protection civile puissent utiliser une application d’IA à haut risque dans des circonstances exceptionnelles, même si elle n’a pas encore fait l’objet d’une évaluation de conformité.
Les dispositions visant à empêcher la divulgation de données opérationnelles sensibles semblent également faire l’objet d’un accord, notamment en ce qui concerne la quantité d’information qui doit être fournie à la base de données de l’UE et les enquêtes des autorités de surveillance du marché.
Exception en matière de sécurité nationale
Sous la pression de la France, le Conseil a adopté une exemption étendue du champ d’application de la règlementation sur l’IA pour les systèmes utilisés ou mis à disposition par toute entité concernant les domaines militaire, de la défense ou de la sécurité nationale.
Dans un document officieux daté du mois dernier, la Commission a déclaré que cette formulation allait à l’encontre des traités de l’UE. À l’époque, l’exécutif européen avait également proposé un texte de compromis, largement repris dans le document consulté par Euractiv, mais avec deux modifications importantes.
La phrase suivante : « Le présent règlement ne s’applique pas aux systèmes d’IA développés ou utilisés exclusivement à des fins militaires » a été ajoutée.
Parallèlement, la formulation selon laquelle « le présent règlement est sans préjudice des compétences des États membres en ce qui concerne leurs activités dans le domaine militaire, de la défense ou de la sécurité nationale » a été maintenue. De plus, la référence à la conformité avec la législation de l’UE a été supprimée.
Une autre formulation pourrait être recherchée pour être conforme à l’exemption de sécurité nationale du règlement sur les données (Data Act).
[Édité par Théophane Hartmann & Anne-Sophie Gayet]
