SÉNAT Question écrite n° 7-401 - SENAAT Schriftelijke vraag nr. 7-401

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2019-2020

Zitting 2019-2020

________

10 mars 2020

10 maart 2020

________

Question écrite n° 7-401

Schriftelijke vraag nr. 7-401

de Stephanie D'Hose (Open Vld)

van Stephanie D'Hose (Open Vld)

au ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord

aan de minister van Digitale Agenda, Telecommunicatie en Post, belast met Administratieve Vereenvoudiging, Bestrijding van de sociale fraude, Privacy en Noordzee

________

Clearview AI - Vie privée - Soupçons d'utilisation par des personnes qui travaillent pour des services publics

Clearview AI - Privacy - Vermeend gebruik door personen die werken voor de overheid en overheidsdiensten

________

intelligence artificielle
traitement des données
police
Autorité de protection des données
logiciel

kunstmatige intelligentie
gegevensverwerking
politie
Gegevensbeschermingsautoriteit
computerprogramma

________

10/3/2020	Verzending vraag (Einde van de antwoordtermijn: 9/4/2020)
31/3/2020	Antwoord

10/3/2020	Verzending vraag (Einde van de antwoordtermijn: 9/4/2020)
31/3/2020	Antwoord

________

Aussi posée à : question écrite 7-399
Aussi posée à : question écrite 7-400

________

Question n° 7-401 du 10 mars 2020 : (Question posée en néerlandais)

Vraag nr. 7-401 d.d. 10 maart 2020 : (Vraag gesteld in het Nederlands)

Des services de police et des instances officielles, mais aussi des entreprises d'au moins vingt-six pays, ont fait usage des logiciels de reconnaissance faciale controversés de la firme américaine Clearview AI, à en croire le site d'information Buzzfeed, chez lequel un vent favorable a fait parvenir une liste des utilisateurs du logiciel.

Des utilisateurs belges figurent également sur la liste.

La firme américaine Clearview AI propose un logiciel qui compare des images, prises par exemple par des caméras de sécurité, avec des photos qu'elle a stockées dans une énorme base de données. Ce ne sont pas moins de trois milliards de photos que la firme a récoltées sur internet, entre autres sur des réseaux sociaux comme Facebook, LinkedIn, Twitter et Google; elle leur a appliqué la reconnaissance faciale.

Clearview AI vend ces données, d'abord aux services de police, mais d'autres services publics et entreprises peuvent devenir clients. Grâce à la fuite d'une liste des clients, Buzzfeed nous apprend que des corps de police et/ou des services publics de notre pays pourraient déjà avoir testé ce logiciel.

En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors poser les questions suivantes:

1) Êtes-vous au courant de la divulgation de la liste des clients de la firme américaine Clearview AI, d'où il ressort que des services publics belges ont fait usage de ce logiciel controversé de reconnaissance faciale?

2) Estimez-vous l'utilisation de cette technologie souhaitable dans un État de droit démocratique, et dans notre pays en particulier? Pouvez-vous donner des explications détaillées à ce sujet?

3) Êtes-vous prêt à diligenter une enquête pour savoir quels agents de l'autorité ou quels services publics, y compris les services de sécurité, ont utilisé le logiciel de reconnaissance faciale de Clearview AI? Dans la négative, pour quelles raisons ? Dans l'affirmative, pouvez-vous préciser la teneur et le calendrier de cette enquête?

4) Êtes-vous prêt à transmettre ces allégations à l'Autorité de protection des données? Dans l'affirmative, pouvez-vous préciser comment et quand? Dans la négative, pourquoi pas?

5) À la lumière des divers articles de presse indiquant ces pratiques comme piste possible (cf. https://www.vrt.be/vrtnws/nl/2020/02/28/clearview/), êtes-vous prêt à saisir le Comité P et / ou le Comité R et à leur demander de déterminer quels services de police locale y auraient recouru? Dans l'affirmative, pouvez-vous détailler votre réponse? Dans la négative, pourquoi pas?

6) Aujourd'hui, quelles organisations publiques et/ou semi-publiques font-elles appel aux logiciels de reconnaissance faciale? Pouvez-vous en dresser la liste et préciser dans quel but elles utilisent ces logiciels ? L'Autorité de protection des données a-t-elle été avisée? Pouvez-vous préciser?

7) L'utilisation des logiciels de reconnaissance faciale est-elle conforme au Règlement général sur la protection des données (RGPD)? Quels droits humains met-elle en cause? Pouvez-vous donner des explications détaillées à ce sujet?

Politiediensten, overheidsinstanties maar ook bedrijven uit zeker zesentwintig landen hebben gebruik gemaakt van de omstreden gezichtsherkenningssoftware van het Amerikaanse bedrijf Clearview AI. Dat meldt nieuwswebsite Buzzfeed op basis van een gelekte gebruikerslijst van de software.

In die lijst staan ook Belgische gebruikers.

Het Amerikaanse bedrijf Clearview AI biedt software aan om gezichten op camerabeelden van bijvoorbeeld beveiligingscamera's te vergelijken met foto's die het bedrijf in een gigantische database heeft gestopt. Het bedrijf heeft maar liefst drie miljard foto's illegaal van het internet gehaald, onder andere van sociale netwerken zoals Facebook, LinkedIn, Twitter en Google, en heeft daar gezichtsherkenning op toegepast.

Clearview AI verkoopt die gegevens dus, in de eerste plaats aan politiediensten, maar ook andere overheidsdiensten en bedrijven kunnen klant worden. Uit een gelekte klantenlijst die Buzzfeed kon inkijken, blijkt dat ook politiekorpsen en/of overheidsdiensten uit ons land de dienst mogelijk al getest hebben.

Wat het transversaal karakter van de vraag betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Ik had hieromtrent dan ook volgende vragen:

1) Kent u de berichtgeving over de gelekte klantenlijst van het Amerikaanse bedrijf Clearview AI waaruit blijkt dat Belgische overheidsdiensten gebruik hebben gemaakt van omstreden gezichtsherkenningssoftware?

2) Vindt u het gebruik van deze technologie wenselijk in een democratische rechtsstaat en in ons land in het bijzonder? Kan u dit uitvoerig toelichten?

3) Bent u bereid te laten onderzoeken welke personen binnen de overheid of welke overheidsdiensten, inclusief de veiligheidsdiensten gebruik hebben gemaakt van de gezichtsherkenningssoftware van Clearview? Zo neen, waarom niet? Zo ja, kan u dit toelichten met betrekking tot de inhoud en de timing?

4) Bent u bereid deze aantijgingen voor te leggen aan de Gegevensbeschermingsautoriteit? Zo ja, kan u dit toelichten met betrekking tot de inhoud en de timing? Zo neen, waarom niet?

5) Bent u bereid het Comité P en / of het Comité I in te schakelen om na te laten gaan welke lokale politiediensten hiervan gebruik zouden gemaakt hebben en dit gezien dit in diverse persartikels naar voor werd geschoven als mogelijke piste (cf. https://www.vrt.be/vrtnws/nl/2020/02/28/clearview/)? Zo ja, kan u dit toelichten? Zo, neen, waarom niet?

6) Welke publieke en / of semipublieke organisaties maken vandaag gebruik van gezichtsherkenningssoftware? Kan u deze diensten oplijsten en meedelen waarvoor deze dienen? Werd dit aangemeld aan de Gegevensbeschermingsautoriteit? Kan u dit toelichten?

7) Is het toepassen van gezichtsherkenningssoftware conform de algemene verordening gegevensbescherming (AVG)? Welke mensenrechten komen hiermee in het geding? Kan u dit uitvoerig toelichten?

Réponse reçue le 31 mars 2020 :

Antwoord ontvangen op 31 maart 2020 :

1) & 2) Je suis en effet au courant de la divulgation relative à Clearview AI. La reconnaissance faciale est une technologie nouvelle qui pose des questions par rapport à la protection des données à caractère personnel.

La Commission européenne a publié un document, le Livre blanc sur l’intelligence artificielle, portant entre autres sur la reconnaissance faciale.

Ce document reconnaît les risques que comportent de telles technologies vis-à-vis de certains droits fondamentaux tels que la liberté d’expression, la liberté d’association, la non-discrimination, le respect de la vie privée et le droit à la protection des données. Le document indique que la Commission européenne lancera un vaste débat de société.

Je reconnais que ce type de technologie peut constituer un risque élevé pour la protection des données à caractère personnel et il me semble en effet nécessaire d’avoir un débat sur cette question, comme le préconise la Commission européenne.

3) à 5) La réalisation d’une enquête relève de la compétence des autorités indépendantes de contrôle, à savoir de manière générale l’Autorité de protection des données, pour ce qui concerne les services de police, l’Organe de contrôle de l’information policière (ci-après: COC) et, pour ce qui concerne spécifiquement les services de renseignement, le Comité R.

L’autorité désignée pour enquêter afin de savoir si les services de police ont utilisé ou utilisent cette technologie n’est pas le Comité P, mais le COC. Le COC a fait savoir qu’il a entamé une enquête sur les allégations éventuelles concernant les services de police belges et / ou des agents de police individuels belges et consulte les service de police belge sur l’utilisation ou non de Clearview.

Selon le COC, il n’existe aucun cas connu où la police utilise des caméras avec reconnaissance faciale. Une exception est le seul cas de l’utilisation de la reconnaissance faciale par la police fédérale à l’aéroport de Zaventem, où le COC est intervenu et a arrêté l’utilisation des caméras, en raison du manque de base juridique.

6) L'Autorité de protection des données ne dispose pas d’une liste d’organisations qui recourent à ce logiciel. Elle n’a pas non plus reçu de plaintes ou de demandes de médiation en matière de l’utilisation des caméras avec reconnaissance faciale.

7) Le RGPD ne prévoit pas d’interdiction des logiciels de reconnaissance faciale en tant que tels.

On y trouve toutefois une interdiction de principe en ce qui concerne le traitement de données biométriques à la seule fin d’identifier une personne ainsi que l’article 9.2. Le RGPD donne une énumération limitative des exceptions à cette interdiction (par exemple lorsqu’une personne concernée a donné son consentement explicite). L’autorisation du logiciel de reconnaissance faciale dépend donc en premier lieu du fait qu’il soit ou non utilisé dans un contexte dans lequel le motif d’exception à l’interdiction de principe du traitement de données biométriques peut être invoqué.

S’il existe un motif d'exception, tous les autres principes du RGPD – notamment le fait qu’un traitement de données doit être proportionné et que celui-ci n’est autorisé que si l’objectif visé ne peut être atteint à l'aide de techniques moins intrusives – doivent en outre être respectés.

Pour le surplus, je renvoie l'honorable sénatrice à ma réponse donnée à la question écrite n^o 102 posée par le député Matheï sur le même objet.

1) & 2) Ik ben inderdaad op de hoogte van de berichtgeving omtrent Clearview AI. Gezichtsherkenning is een nieuwe technologie die vragen oproept met betrekking tot persoonsgegevensbescherming.

De Europese Commissie heeft een document gepubliceerd, de White Paper on Artificial Intelligence, dat onder meer betrekking heeft op gezichtsherkenning.

Dit document erkent de risico’s van dergelijke technologieën voor bepaalde fundamentele rechten zoals de vrijheid van meningsuiting, de vrijheid van vereniging, het discriminatieverbod, het recht op een privéleven en het recht op gegevensbescherming. Het document stelt dat de Europese Commissie op een breed maatschappelijk debat zal aansturen.

Ik erken dat dat soort technologie een groot risico kan vormen voor de bescherming van persoonsgegevens en een debat over die kwestie, zoals de Europese Commissie aanbeveelt, lijkt mij inderdaad noodzakelijk.

3) tot 5) Het uitvoeren van een onderzoek hierover behoort tot de bevoegdheid van de onafhankelijke toezichthoudende autoriteiten, te weten, in de algemene zin de Gegevensbeschermingsautoriteit, het Controleorgaan op de politionele informatie (hierna: COC) voor wat betreft de politiediensten en comité I specifiek voor de inlichtingendiensten.

Niet het Comité P maar wel het COC is de aangewezen autoriteit om te onderzoeken of politiediensten gebruik hebben gemaakt of maken van deze technologie. Het COC heeft laten weten dat het terzake een onderzoek is gestart nopens de mogelijke aantijgingen ten aanzien van de Belgische politiediensten en / of individuele Belgische politieambtenaren en bevraagt deze politiediensten rond het al dan niet gebruikmaken van Clearview.

Volgens het COC zijn geen gevallen bekend waarbij de politie gebruik maakt van camera’s met gezichtsherkenning. Een uitzondering hierop is het ene geval van gebruik van gezichtsherkenning door de federale politie op de luchthaven van Zaventem, waar het COC heeft ingegrepen en dit cameragebruik, bij gebrek aan wettelijke grondslag, heeft stopgezet.

6) De Gegevensbeschermingsautoriteit beschikt niet over een lijst van organisaties die gebruikmaken van deze software. Zij ontving ook geen klachten of bemiddelingsverzoeken met betrekking tot cameragebruik met gezichtsherkenning.

7) De AVG voorziet niet in een verbod op gezichtsherkenningssoftware als zodanig.

Maar er rust wel een principieel verbod op de verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon, en artikel 9.2. AVG geeft een limitatieve opsomming van de uitzonderingen op dit verbod (bijvoorbeeld wanneer een betrokkene zijn uitdrukkelijke toestemming geeft). Of gezichtsherkenningssoftware is toegelaten, hangt dus in de eerste plaats af van het feit of deze gebruikt wordt in een context waarin een beroep kan gedaan worden op een uitzonderingsgrond op het principieel verwerkingsverbod van biometrische gegevens.

Gesteld dat er een uitzonderingsgrond voorhanden is, moeten bovendien alle andere principes uit de AVG – zoals het principe dat een gegevensverwerking proportioneel moet zijn en deze dus slechts toegelaten is indien het ermee beoogde doeleinde niet via minder intrusieve technieken kan bereikt worden – gerespecteerd worden.

Voor het overige verwijs ik het geachte lid naar mijn antwoord op schriftelijke vraag nr. 102, die werd gesteld door de volksvertegenwoordiger Matheï, betreffende hetzelfde onderwerp.