La Quadrature Du Net
Abonné·e de Mediapart

57 Billets

1 Éditions

Billet de blog 5 oct. 2021

Règlement IA : l’Union européenne ne doit pas céder aux lobbys sécuritaires

Alors qu’il se prétend protecteur de nos libertés, le projet de texte sur l’intelligence artificielle de l’Union européenne, présenté par Margrethe Vestager, veut en réalité favoriser le développement tous azimuts de l’IA, notamment sécuritaire.

La Quadrature Du Net
Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Alors qu’il se prétend protecteur de nos libertés, le projet de texte sur l’intelligence artificielle de l’Union européenne, présenté par Margrethe Vestager, veut en réalité favoriser le développement tous azimuts de l’IA, notamment sécuritaire.

Grevé d’exceptions, reposant sur une approche éculée de la gestion des risques et reprenant le discours du gouvernement français sur la nécessité de multiplier les expérimentations, ce texte doit être modifié en profondeur. Dans son état actuel, il risque de mettre en danger les maigres protections légales qu’offre le droit européen face au déploiement massif de techniques de surveillance dans l’espace public.

Le 21 avril 2021, la Commission européenne a publié une proposition de règlement pour une « approche européenne » autour de l’intelligence artificielle (IA), accompagnée d’un nouveau plan de coordination devant guider l’action des États membres pour les années à venir.

Au-delà de ces effets d’annonce de l’exécutif européen, la proposition de règlement est largement insuffisante au regard des menaces que représentent les systèmes d’IA pour les libertés fondamentales. Derrière le récit héroïque que propose la Commission européenne, se dissimule une attaque sournoise contre le droit européen à la protection des données personnelles, à travers une remise en question des principes acquis du RGPD et de la directive police-justice.

Accélérer le déploiement de l’IA sécuritaire

Loin de suspendre l’ensemble des systèmes d’IA violant manifestement le droit européen (comme les systèmes de reconnaissance faciale – nous en parlions ici) cette proposition se limite dans un premier temps (article 5) à interdire quatre « usages » spécifiques, tout en offrant de larges exemptions aux autorités nationales.

Sont visées par cette fausse interdiction, en très résumé, des IA de techniques « subliminales » ou exploitant la vulnérabilité des personnes pour « altérer substantiellement leur comportement », des IA de crédit social et des IA d’identification biométrique. En réalité, ces interdictions sont si limitées [pourquoi seulement ces quatre techniques, et pas plus ?] et si mal définies qu’on aurait presque l’impression que le but de la Commission européenne est d’autoriser le maximum de dispositifs plutôt que de véritablement en interdire certains (voir notamment à ce sujet l’analyse complète d’EDRi sur le texte).

L’exemple de l’identification biométrique est particulièrement parlant (le Considérant 23 du texte nous apprend que cette partie est d’ailleurs « lex specialis », c’est-à-dire qu’elle vient remplacer le droit existant sur la question des données biométriques). Est ainsi interdite l’utilisation d’un système d’identification biométrique « en temps réel » à des fins répressives sauf s’il est utilisé pour, notamment, rechercher des « victimes potentielles spécifiques de la criminalité » ou la « prévention d’une menace spécifique, substantielle et imminente pour la vie (…) des personnes physiques » ou la « prévention d’une attaque terroriste »… On le comprend, avec des exceptions aussi larges, cette interdiction est en réalité une autorisation, et en rien une interdiction, de la reconnaissance faciale.

Reprise du discours de l’industrie sécuritaire

Cette partie vient par ailleurs inscrire dans les textes une distinction voulue par les lobbys de l’industrie sécuritaire depuis longtemps, la distinction entre une surveillance biométrique en « temps réel » et une autre « a posteriori », la seconde étant censée être moins grave que la première. Cette distinction n’a pourtant aucun fondement : quelle différence entre une reconnaissance faciale de masse pratiquée dans l’instant ou quelques heures plus tard ?

Qu’importe, pour les rédacteur·ices du texte, la surveillance « en temps réel » est présentée comme étant interdite et celle « a posteriori » autorisée par principe (article 6). Une telle distinction est surtout une belle manière de rassurer certaines polices européennes (la France en tête) qui pratiquent déjà massivement la reconnaissance faciale.

La réutilisation de l’argumentaire porté par l’industrie sécuritaire ne s’arrête d’ailleurs pas là et s’illustre également à travers les exceptions admises pour cette surveillance biométrique en temps réel. L’utilisation de la reconnaissance faciale pour retrouver des « victimes potentielles spécifiques de la criminalité » comme des « enfants disparus » ou pour prévenir une attaque terroriste était ainsi exactement ce que demandaient les politiques et l’industrie pro-sécuritaire depuis plusieurs années.

Autorisations par principe

Alors que les précédentes versions du projet de règlement visaient à proscrire les systèmes d’IA permettant une surveillance généralisée des individus (on parlait en 2020 de « moratoire »), le texte finalement avalisé par le collège des commissaires élude largement la question de la surveillance indiscriminée, suggérant que l’exécutif européen a une nouvelle fois plié face à l’agenda sécuritaire des gouvernements européens.

Cet aveu d’échec se manifeste également à travers le choix fait par la Commission européenne dans les technologies qu’elle considère ne pas mériter une interdiction mais comme étant simplement à « haut risque ». Il s’agit par exemple des technologies de détection de mensonge, d’analyse d’émotions, de police prédictive, de surveillance des frontières… La liste de ces technologies à haut risque, ainsi qu’une partie des obligations auxquelles elles devraient se conformer, ne sont d’ailleurs pas détaillées dans le corps du texte mais dans des annexes que la Commission européenne se donne le droit de modifier unilatéralement.

Ces technologies ne sont donc pas interdites mais bien autorisées par principe, et simplement sujettes à des obligations supplémentaires (articles 6 et suivants1).

Des analyses d’impact plutôt que des interdictions

Les garde-fous proposés pour réguler ces technologies sont largement insuffisants pour garantir un contrôle efficace de leurs usages, simplement pour la bonne raison que la plupart de ces systèmes ne font l’objet que d’un système d’auto-certification. Si cette approche, fondée sur l’analyse des risques, est destinée à rassurer le secteur privé, elle ne permet aucunement de garantir que les fournisseurs de systèmes d’IA respectent et protègent les droits humains des individus (voir à ce titre l’analyse de l’association Access Now).

La Commission européenne veut ici construire un droit de l’analyse d’impact : chaque dispositif pourra être déployé si la personne responsable a réalisé elle-même une « évaluation ex ante » de la conformité de son dispositif au droit européen. Mais les analyses d’impact ne limiteront pas le déploiement de la Technopolice. Les industriel·les et les collectivités ont l’habitude d’en faire et cela leur convient très bien. C’était le cas pour la reconnaissance faciale à Nice où la mairie avait transmis son analyse à la CNIL quelques jours avant son déploiement.

La Commission a ainsi fait un nouveau saut qualitatif dans ses efforts pour une « meilleure réglementation » en anticipant et satisfaisant, avant même le début des négociations, les campagnes de lobbying des géants du numérique au cours des années à venir.

Moins de recours pour les citoyen·nes, plus de déshumanisation

Il est également troublant d’observer qu’aucune disposition du texte n’offre de recours aux citoyen·nes vis-à-vis du déploiement de ces systèmes, la proposition se focalisant principalement sur la relation entre les entreprises fournissant ces systèmes et leurs client·es. Les quelques obligations de transparence ne visent d’ailleurs jamais la société civile mais des « autorités nationales » qu’il reste encore à désigner. Encore une fois, c’est presque déjà ce qu’il se passe en France : une grande partie des expérimentations mentionnées dans Technopolice (voir la carte) ont fait l’objet d’une communication avec la CNIL. Néanmoins, celle-ci ne rendant aucune de ces informations publiques, c’est à la société civile qu’il revient de demander la publication de ces échanges en vue de dénoncer ces dispositifs. Aucun changement n’est donc à espérer de ce côté.

La prise en compte de la société civile devrait pourtant être au cœur de l’approche européenne autour de l’intelligence artificielle, comme le rappelaient récemment des dizaines d’organisations de défense des droits humains.

Expérimenter pour normaliser

Autre preuve qu’il ne s’agit pas ici d’interdire mais, bien au contraire, de faciliter le développement de l’IA pour les grands industries, l’article 53 du règlement veut forcer les gouvernements à développer des « bacs à sable réglementaires de l’IA ». L’idée derrière : créer un environnement « qui facilite le développement, la mise à l’essai et la validation des systèmes d’IA », ou autrement dit, alléger l’industrie, notamment dans le secteur de la sécurité, des lourdes contraintes dues à la protection de nos droits et libertés pour leur permettre d’expérimenter plus facilement.

Il suffit de lire la réaction plus qu’enthousiaste d’un ancien de Thalès et d’Atos, Jean-Baptiste Siproudhis, à cette proposition, pour se douter que quelque chose ne va pas. À le voir parler des entreprises qui « deviendront demain une source principale d’inspiration directe des nouvelles normes » pour faire du règlement « une boucle du progrès », on ne peut que s’inquiéter de cette soumission du législateur aux désirs des industries.

Surtout que la situation peut encore se dégrader : plusieurs États membres veulent maintenant un texte séparé pour l’IA policière avec, on s’en doute, des interdictions encore plus floues et des exceptions encore plus larges.

Loin d’ouvrir « la voie à une technologie éthique dans le monde entier » selon les mots de la vice-présidente de la Commission Margrethe Vestager, ce plan consolide donc un agenda politique dicté par l’industrie sécuritaire où l’introduction de l’IA est nécessaire et inéluctable pour des pans entiers de la société, et repose sur une vision fantasmée et naïve de ces technologies et des entreprises qui les fournissent.

Bienvenue dans le Club de Mediapart

Tout·e abonné·e à Mediapart dispose d’un blog et peut exercer sa liberté d’expression dans le respect de notre charte de participation.

Les textes ne sont ni validés, ni modérés en amont de leur publication.

Voir notre charte

Les articles les plus lus
Journal — Nouvelle-Calédonie: débats autour du colonialisme français

À la Une de Mediapart

Journal — International
En Pologne, le calvaire des exilés
Dans notre émission ce soir, reportage aux portes de l'Union européenne, où des migrants et des migrantes sont toujours retenus dans des conditions inhumaines. En plateau : Anaïs Vogel, qui a fait cinq semaines de grève de la faim pour dénoncer le traitement des exilés à Calais, et Catherine Wihtol de Wenden, directrice de recherche émérite au CNRS. 
par à l’air libre
Journal — France
La candidature de Zemmour prend une mauvaise tournure
L’ancien éditorialiste de CNews et du Figaro a officialisé, mardi, sa candidature à l’élection présidentielle dans un clip reprenant toutes ses obsessions identitaires. Sur le terrain, sa campagne est devenue particulièrement compliquée.
par Lucie Delaporte
Journal — France
Pour Pécresse et Bertrand, une campagne aux airs de pénitence
Après avoir claqué la porte du parti Les Républicains, ils ont repris leur carte pour obtenir l’investiture présidentielle. Pendant des mois, Valérie Pécresse et Xavier Bertrand ont remis les mains dans le cambouis partisan et arpenté les routes de France pour convaincre.
par Ilyes Ramdani
Journal — France
Les macronistes s’offrent un rassemblement de façade
Divisée avant d’être officiellement unie, la majorité présidentielle s’est retrouvée, lundi soir, pour tresser des louanges à Emmanuel Macron et taper sur ses adversaires. Un exercice poussif qui ne risque pas de « marquer l’histoire ».
par Ellen Salvi

La sélection du Club

Billet de blog
La nullité pollue
Il y a peu, vautré devant un énième naufrage filmique d’une plateforme de streaming, j'ai réalisé que ces plateformes avaient entrainé une multiplication délirante des navets qui tachent à gros budget. Fort bien. Mais quand va-t-on enfin parler de l’empreinte écologique démente de ce cinéma, cet impensé dont on ne parle jamais ? Ne peut-on imaginer des films plus sobres -tels ceux de Carpenter ?
par Mačko Dràgàn
Billet de blog
La beauté fragile d'un combat
« Nous ne combattons pas le réchauffement climatique, nous nous battons pour que le scénario ne soit pas mortel. » Parfois, par la grâce du documentaire, un film trouve le chemin de l’unisson entre éthique et esthétique. C’est ainsi qu’il faut saluer « L’hypothèse de Zimov  », western climatique, du cinéaste Denis Sneguirev, à voir absolument sur Arte.
par Hugues Le Paige
Billet de blog
Get Back !!!
Huit heures de documentaire sur les Beatles enregistrant « Let it Be », leur douzième et dernier album avant séparation, peuvent sembler excessives, même montées par Peter Jackson, mais il est absolument passionnant de voir le travail à l'œuvre, un « work in progress » exceptionnel où la personnalité de chacun des quatre musiciens apparaît au fil des jours...
par Jean-Jacques Birgé
Billet de blog
Les Œillades d'Albi : « Retour à Reims (fragments) » de Jean-Gabriel Périot
Autour de l’adaptation du livre autobiographique du sociologue Didier Éribon « Retour à Reims », Jean-Gabriel Périot avec l’appui de nombreuses archives audiovisuelles retrace l’histoire de la classe ouvrière de 1950 à nos jours.
par Cédric Lépine