SÉNAT DE BELGIQUE
________
Session 2020-2021
________
9 novembre 2020
________
SÉNAT Question écrite n° 7-771

de Stephanie D'Hose (Open Vld)

au vice-premier ministre et ministre de la Justice, chargé de la Mer du Nord
________
Clearview AI - Vie privée - Soupçons d'utilisation par des personnes qui travaillent pour des services publics
________
intelligence artificielle
traitement des données
police
Autorité de protection des données
logiciel
________
9/11/2020Envoi question
17/12/2020Réponse
________
Réintroduction de : question écrite 7-399
________
SÉNAT Question écrite n° 7-771 du 9 novembre 2020 : (Question posée en néerlandais)

Des services de police et des instances officielles, mais aussi des entreprises d'au moins vingt-six pays, ont fait usage des logiciels de reconnaissance faciale controversés de la firme américaine Clearview AI, à en croire le site d'information Buzzfeed, chez lequel un vent favorable a fait parvenir une liste des utilisateurs du logiciel.

Des utilisateurs belges figurent également sur la liste.

La firme américaine Clearview AI propose un logiciel qui compare des images, prises par exemple par des caméras de sécurité, avec des photos qu'elle a stockées dans une énorme base de données. Ce ne sont pas moins de trois milliards de photos que la firme a récoltées sur internet, entre autres sur des réseaux sociaux comme Facebook, LinkedIn, Twitter et Google; elle leur a appliqué la reconnaissance faciale.

Clearview AI vend ces données, d'abord aux services de police, mais d'autres services publics et entreprises peuvent devenir clients. Grâce à la fuite d'une liste des clients, Buzzfeed nous apprend que des corps de police et/ou des services publics de notre pays pourraient déjà avoir testé ce logiciel.

En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors poser les questions suivantes:

1) Êtes-vous au courant de la divulgation de la liste des clients de la firme américaine Clearview AI, d'où il ressort que des services publics belges ont fait usage de ce logiciel controversé de reconnaissance faciale?

2) Estimez-vous l'utilisation de cette technologie souhaitable dans un État de droit démocratique, et dans notre pays en particulier? Pouvez-vous donner des explications détaillées à ce sujet?

3) Êtes-vous prêt à diligenter une enquête pour savoir quels agents de l'autorité ou quels services publics, y compris les services de sécurité, ont utilisé le logiciel de reconnaissance faciale de Clearview AI? Dans la négative, pour quelles raisons ? Dans l'affirmative, pouvez-vous préciser la teneur et le calendrier de cette enquête?

4) Êtes-vous prêt à transmettre ces allégations à l'Autorité de protection des données? Dans l'affirmative, pouvez-vous préciser comment et quand? Dans la négative, pourquoi pas?

5) À la lumière des divers articles de presse indiquant ces pratiques comme piste possible (cf. https://www.vrt.be/vrtnws/nl/2020/02/28/clearview/), êtes-vous prêt à saisir le Comité P et / ou le Comité R et à leur demander de déterminer quels services de police locale y auraient recouru? Dans l'affirmative, pouvez-vous détailler votre réponse? Dans la négative, pourquoi pas?

6) Aujourd'hui, quelles organisations publiques et/ou semi-publiques font-elles appel aux logiciels de reconnaissance faciale? Pouvez-vous en dresser la liste et préciser dans quel but elles utilisent ces logiciels ? L'Autorité de protection des données a-t-elle été avisée? Pouvez-vous préciser?

7) L'utilisation des logiciels de reconnaissance faciale est-elle conforme au Règlement général sur la protection des données (RGPD)? Quels droits humains met-elle en cause? Pouvez-vous donner des explications détaillées à ce sujet?

Réponse reçue le 17 décembre 2020 :

1) & 2) Je suis en effet au courant de la divulgation relative à Clearview AI. La reconnaissance faciale est une technologie relativement nouvelle qui suscite des questions par rapport à la protection des données.

La Commission européenne a publié un document, le White Paper on Artificial Intelligence, qui traite notamment de la reconnaissance faciale.

Dans ce document, la Commission reconnaît les risques que comportent de telles technologies vis-à-vis de certains droits fondamentaux tels que la liberté d’expression, la liberté d’association, la non-discrimination, le respect de la vie privée et le droit à la protection des données. Le document indique que la Commission européenne lancera un vaste débat de société.

Je partage profondément l’inquiétude selon laquelle ce type de technologie peut constituer un risque important pour la protection de la vie privée. Dès lors, un débat sur cette question ne semble effectivement indispensable.

3) à 5) Afin de déterminer quel service est compétent pour examiner cette question, nous devons considérer les compétences des différentes autorités de contrôle indépendantes. L’Autorité de protection des données a un pouvoir de contrôle général, alors que l’Organe de contrôle de l’information policière (ci-après: COC) dispose d’un pouvoir de contrôle spécifique pour la police et le Comité R, pour les services de renseignement.

L’autorité désignée pour enquêter afin de savoir si les services de police ont utilisé cette technologie n’est pas le Comité P, mais le COC. Le COC a entre-temps fait savoir qu’il a ouvert une enquête sur les allégations éventuelles concernant les services de police belges ou des agents de police individuels belges et qu’il a commencé à consulter la police belge sur l’utilisation de Clearview.

Enfin, selon le COC, la police n’utilise pas pour l’instant de caméra avec reconnaissance faciale. Il n’y a qu’un seul cas connu où le COC a stoppé le recours à la reconnaissance faciale par la police fédérale à l’aéroport de Zaventem.

Les services de renseignement ont déjà indiqué ne pas avoir fait usage de ce logiciel.

6) L’Autorité de protection des données ne dispose pas d’une liste d’organisations qui recourent à ce logiciel. Elle n’a pas non plus reçu de plaintes ou de demandes de médiation en matière de reconnaissance faciale.

7) Le règlement général sur la protection des données (RGPD) ne prévoit pas d’interdiction des logiciels de reconnaissance faciale en tant que tels.

On y trouve toutefois une interdiction de principe en ce qui concerne le traitement de données biométriques à la seule fin d’identifier une personne. L’article 9.2. du RGPD donne une énumération limitative des exceptions à cette interdiction (par exemple lorsqu’une personne concernée donne son consentement explicite). L’autorisation du logiciel de reconnaissance faciale dépend donc en premier lieu du fait qu’il soit ou non utilisé dans un contexte dans lequel le motif d’exception à l’interdiction de principe du traitement de données biométriques peut être invoqué.

Dans l’hypothèse où il existe un motif d’exception, tous les autres principes du RGPD – comme le principe de proportionnalité de la méthode par rapport à la finalité – doivent en outre être respectés.