LA PLACE DE L’IA ENTRE RESPECT DES LIBERTÉS INDIVIDUELLES ET SÉCURITÉ SANITAIRE : LE CADRE JURIDIQUE EUROPÉEN
Le monde entier est pris d’assaut depuis plusieurs mois par une épidémie mondiale : le virus Covid-19. Se propageant à grande vitesse et infectant la population de façon exponentielle, ce virus a infecté à ce jour 1.430.453 personnes et, est identifié comme la source de 82.133 décès.
Alors que le bilan n’a de cesse de s’alourdir, les autorités gouvernementales et sanitaires ont l’objectif pressant de palier à l’insécurité sanitaire à laquelle est confrontée la société.
Afin d’endiguer l’épidémie, l’Intelligence Artificielle (ci-après l’ « IA») apparaît comme un outil performant permettant de répondre à ce besoin urgent. Cette dernière se définissant comme un « ensemble de théories et de techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence humaine »[1], met en place des réseaux de neurones artificiels constitués de serveurs et permettant de traiter de lourds calculs au sein de gigantesques bases de données. En effet, la machine permet, dans divers domaines d’application, d’apporter des solutions plus rapidement que ce dont serait capable l’Homme.
Face à l’urgence sanitaire actuelle, la fonction support de l’IA a déjà fait ses preuves pour la communauté scientifique :
- Cet outil a démontré son efficacité lorsque la startup canadienne BlueDot a lancé, à la fin du mois de décembre 2019, l’alerte concernant le risque épidémique du Covid-19, et cela avant les premières communications officielles de l’Organisation Mondiale de la Santé. L’algorithme mis au moins par cette entreprise est capable de détecter et de suivre les risques de propagation des maladies infectieuses en analysant quotidiennement des milliers d’articles de presse, des rapports officiels et des forums professionnels. Ce programme peut lire dans 65 langues et peut traquer plus de 150 types de maladies[2].
- L’IA permet de soulager le corps médical lorsqu’il apporte une solution de détection du virus. Le géant du commerce électronique en Chine, Alibaba, propose une IA diagnostiquant le virus en seulement vingt secondes par scanographie contre quinze minutes à l’œil humain, et cela avec une précision à hauteur de 96%[3].
- L’algorithme est une aide au développement des traitements. Malgré qu’elle soit toujours en cours de développement, la startup DeepMind de Google a utilisé son IA, pour communiquer publiquement à la communauté scientifique la structure protéinaire du virus Covid-19[4].
Il ressort de ces exemples factuels que l’IA se présente incontestablement comme une alliée de taille dans la lutte contre la propagation des maladies infectieuses.
Toutefois, qu’en est-il lorsque l’utilisation de l’IA se retrouve à la croisée de lutte contre la crise sanitaire et le respect des libertés individuelles ?
L’exploitation de l’IA en tant qu’outil de traçage fait l’objet d’une polémique et serait, pour certains, constitutive de dérives, y compris lorsqu’elle est utilisée à des fins sanitaires.
Les dérives supposées de l’IA au-delà des frontières européennes…
Certains pays d’Asie recourent à des dispositifs qui nécessitent une collecte et un traitement massif des données à caractère personnel des citoyens comme arme supplémentaire pour lutter contre la pandémie, l’objectif étant d’instaurer un traçage ciblé.
En Chine, le géant Alibaba a créé l’application Alipay Health Code qui, une fois installée sur le smartphone, collecte un nombre important de données à caractère personnel permettant d’attribuer une note au citoyen en fonction de son état de santé. Les données collectées déterminent si l’individu est entré en contact avec une personne infectée, s’il a visité une zone à risque ou s’il a déclaré des symptômes suspects. Un code couleur est alors attribuée et doit être présenté aux différents checkpoint présents dans les villes du pays : vert pour un citoyen sain, jaune pour une assignation potentielle à résidence durant sept jours et rouge pour une mise en quarantaine[5].
A Hong-Kong, les autorités imposent le port d’un e-bracelet (bracelet connecté au smartphone) permettant de géolocaliser les individus placés en quarantaine ou présentant des symptômes. Du côté de Pékin, les forces de l’ordre usent d’un programme scannant la température corporelle des voyageurs dans les gares grâce à un système infrarouge et de reconnaissance faciale. Quant à la Corée du Sud, le pays va jusqu’à rendre publiques, à l’ensemble de la population, les données à caractère personnel des personnes infectées[6].
Au-delà des frontières asiatiques, d’autres pays tels qu’Israël commencent à adopter des systèmes similaires nécessitant une traitement massif des données à caractère personnel[7].
Au regard des libertés individuelles défendues par la réglementation européenne et les législations nationales, un grand nombre de citoyens européens identifie manifestement ce type de dispositif comme une dérive.
Pourtant, il semblerait que, plus près de nous sur le territoire européen, la Pologne et l’Allemagne aient adopté des mesures de tracking telles que les prises régulières de photographies pour attester le respect de la quarantaine ou le téléchargement volontaire d’une application en association avec le port d’un e-bracelet pour enregistrer les signaux vitaux des individus[8].
Alors, quel est le cadre juridique européen ?
Vers une construction d’une IA de confiance en Europe …
Consciente que l’IA va contribuer considérablement à l’amélioration de la sécurité sanitaire mais que beaucoup de risques lui sont associées, la Commission Européenne propose une approche basée sur un écosystème de confiance grâce à l’instauration d’un cadre réglementaire[9].
Bien que l’IA puisse contribuer à assurer la sécurité des citoyens, elle peut aussi être source d’insécurité juridique lorsqu’elle est utilisée à des fins malveillantes et suscite alors un sentiment de méfiance.
La Commission s’était au préalable déjà saisie de la question et avait formulé dans ses Lignes directrices en matière d’éthique pour une IA digne de confiance du 8 avril 2019[10] sept exigences essentielles attendues d’une IA, à savoir :
- Facteur humain et contrôle humain ;
- Robustesse technique et sécurité ;
- Respect de la vie privée et gouvernance des données ;
- Transparence ;
- Diversité, non-discrimination et équité ;
- Bien-être sociétal et environnemental, et
- Responsabilisation.
Aujourd’hui, l’IA ne fait l’objet que de lignes directrices non contraignantes. L’instauration d’un cadre réglementaire spécifique contribuerait ainsi à réduire le déficit de confiance et accélérer l’adoption de cette technologie.
L’IA accroit notamment les possibilités de suivre et analyser les habitudes des populations. Bien que les développeurs des IA soient tenus au respect des droits fondamentaux et soumis à la réglementation européenne en ce qui concerne la protection des données à caractère à caractère personnel et le respect de la vie privée, dans l’esprit de certains citoyens européens, le risque potentiel de surveillance de masse de la population par les autorités publiques est accru.
Alors qu’en France le recours à la vidéo-surveillance par drones dont le rôle est de patrouiller pour contrôler la fréquence de circulation de la population dans les espaces publics fait déjà l’objet de nombreux débats, certains citoyens redoutent une prochaine étape à l’image des moyens entrepris dans les pays susvisés[11].
Or, il faut rappeler que la collecte et le traitement des données à caractère personnel dispose d’un cadre réglementaire renforcé depuis l’adoption du « Règlement Général sur la Protection des Données (communément appelé « RGPD ») [12], dont le but est de rendre aux citoyens européens la gouvernance de leur données à caractère personnel et de garantir la protection de leur vie privée. Le RGPD est directement applicable dans les États-membres de l’Union Européenne depuis le 25 mai 2018.
A l’échelle nationale, la France a ainsi modifié les dispositions de la loi n°78-17 du 6 janvier 1978 relatives à l’informatique, aux fichiers et aux libertés (communément appelée « Loi Informatique & Libertés) conformément au nouveau cadre réglementaire européen.
Afin que les gouvernements nationaux des États-membres légitiment le recours à des programmes impliquant des traitements de données à caractère personnel, ces derniers doivent respecter les règles et les principes formulés par le RGPD notamment:
- Un traitement licite doit reposer sur l’une des six bases légales listées à l’article 6 du RGPD dont : consentement de l’individu, nécessité à la sauvegarde de ses intérêts vitaux, nécessité à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
- Le traitement doit garantir les principes posés par l’article 5 du RPGD : finalité, transparence, sécurité et confidentialité, conservation des données limitées à la finalité, proportionnalité et minimisation des données.
Il doit être précisé, qu’en vertu de l’article 9.1 du RGPD, les dispositifs impliquant le traitement de données sensibles, c’est-à-dire, « des données révélant l’origine raciale ou ethnique, (…) ainsi que le traitement de données génétiques, données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique », sont en principe interdits.
Le Comité Européen de la protection des données rappelle, dans sa déclaration du 19 mars 2020, que des traitements dans le cadre d’une pandémie telle que le Covid-19 sont, par exception de l’article 9.2 du RGPD, autorisés sous certaines conditions et conformément aux dispositions nationales. Dans ce cadre, il n’est pas nécessaire de recueillir le consentement des individus[13].
A cette occasion, le Comité apporte également des précisions sur un éventuel recours par les gouvernements nationaux à des dispositifs collectant les données des smartphones pour suivre et limiter la propagation du virus.
Conformément à la Directive Vie Privée[14], un tel traitement suppose un consentement de l’utilisateur ou l’anonymisation de ses données à caractère personnel. Le Comité appelle alors les gouvernements à privilégier le processus d’anonymisation.
A la suite de cette communication officielle, huit opérateurs ont annoncé leur intention de transmettre les données de géolocalisation anonymisées de leur clients à un groupe de chercheurs rattachés à la Commission Européenne, le but étant de générer de statistiques en cartographiant la population et d’aider les services sanitaires à anticiper les besoins[15]. La Commission garantit aux utilisateurs la suppression des données à caractère personnel à la fin de la crise sanitaire.
L’anonymisation d’une donnée à caractère personnel est une garantie de sécurité technique rendant impossible toute ré-identification de l’individu. Ainsi, la donnée n’est plus à caractère personnel et la vie privée de son sujet est préservée.
Le traçage envisagé en France dans des conditions préservant les libertés…
Le recours au tracking n’a pas été écarté par le Premier Ministre, Edouard Philippe, lors de son audition en date du 1er avril 2020 qui envisage un traçage numérique, non pas obligatoire, mais fondé sur un « engagement volontaire » de l’utilisateur[16].
Dès lors, le gouvernement envisage de recourir au traçage numérique tout en préservant le consentement de l’utilisateur et en privilégiant la technologie du Bluetooth, moins intrusive et davantage respectueuse de la vie privée.
En effet, le Bluetooth permet à deux téléphones d’entrer en communication sans pour autant géolocaliser leur propriétaire. Cela permettrait que l’individu soit alerté s’il croise une personne infectée.
Il est possible de s’interroger sur la pertinence de l’utilisation du tracking concilié au respect des libertés individuelles.
L’efficacité de cet outil technologique pourrait être fatalement compromise puisqu’il reposerait sur deux aléas : un téléchargement volontaire de l’application et un renseignement fidèle de l’individu quant à son état de santé actuel.
Ainsi, il paraît difficile d’arriver à tracer le virus, et d’obtenir rapidement des résultats fiables, en adoptant une utilisation « minimisée » du tracking.
C’est ici que ce dispositif trouve ses limites. Pour qu’il soit performant, ses capacités doivent être pleinement exploitées. Cela supposerait donc une restriction temporaire et encadrée des libertés individuelles des citoyens français jusqu’au terme de la crise sanitaire.
De toute évidence, cette option ne fait pas l’unanimité. Alors que l’instauration de cette application est toujours en discussion au sein de l’exécutif, elle fait l’objet de vives contestations démontrant que certains ne seront pas prêts à faire des concessions[17].
En conclusion…
La puissance de calcul et d’analyse de l’IA peut se révéler être un atout dans la lutte contre l’insécurité sanitaire, en ce qu’elle est capable d’apporter un gain d’efficacité et de productivité considérable.
L’urgence peut justifier des restrictions des libertés individuelles temporaires et modérées si cela est indispensable pour mettre un terme à la crise sanitaire.
L’IA doit demeurer en toutes circonstances éthique, durable, axée sur le facteur humain et respectueuse des libertés individuelles.
L’IA ne disposant pas d’un cadre réglementaire spécifique apaisant les craintes de la société, sa création constitue une des préoccupations premières des défenseurs des libertés individuelles dans la quête au développement de l’IA en Europe.
Pour l’heure, la société doit garder à l’esprit que l’IA est néanmoins encadrée par les système juridiques européens et français relatifs à la protection des données à caractère personnel et à la protection de la vie privée.
Marie-Laure Denis, la présidente de la CNIL (commission nationale de l’informatique et des libertés), s’est d’ailleurs prononcée en ce sens et appelle les citoyens français à être confiants dans la protection de leur données à caractère personnel[18].
Marie Bouadana, Avocat
[1] Définition de « l’intelligence artificielle » donnée par le Dictionnaire Larousse
[2]https://www.sciencesetavenir.fr/sante/canada-l-intelligence-artificielle-pour-traquer-le-coronavirus_141664
[3]https://www.futura-sciences.com/tech/actualites/intelligence-artificielle-ia-alibaba-pourrait-detecter-coronavirus-quelques-secondes-79873/
[4]https://www.sciencesetavenir.fr/high-tech/intelligence-artificielle/l-ia-de-deepmind-tente-aussi-de-contrecarrer-covid-19_142602
[5] https://geeko.lesoir.be/2020/03/03/la-chine-attribue-une-note-coronavirus-a-ses-citoyens/
[6]https://marseille.latribune.fr/idees/2020-03-25/la-lutte-contre-le-coronavirus-entre-utilisation-de-l-intelligence-artificielle-et-protection-des-libertes-individuelles-843339.html
[7]https://www.bfmtv.com/tech/geolocalisation-analyse-vocale-en-israel-des-algorithmes-pour-contrer-le-coronavirus-1885215.html
[8]https://www.usinenouvelle.com/editorial/covid-19-chine-coree-du-sud-allemagne-comment-les-applications-de-tracking-se-deploient-dans-le-monde.N951161
[9] Le Livre Blanc sur l’Intelligence Artificielle, Com (2020) 65 final, 19/02/2020
[10] Les lignes directrices en matière d’éthique pour une IA digne de confiance, Commission Européenne, 8/04/2019
[11]https://www.lemonde.fr/economie/article/2020/03/26/le-drone-renfort-utile-mais-controverse-pour-faire-respecter-le-confinement_6034517_3234.html
[12] Règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données caractère personnel et à la libre circulation de ces données
[13]https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2020/03/statement_2020_processing_personal_data_and_covid-19_en.pdf
[14] Directive Vie Privée 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
[15]https://www.igen.fr/iphone/2020/03/coronavirus-huit-operateurs-europeens-dont-orange-partageront-des-donnees-de
[16] https://www.ladepeche.fr/2020/04/03/tracking-les-smartphones-des-francais-bientot-utilises-comme-armes-contre-le-coronavirus,8831497.php
[17] https://www.lefigaro.fr/politique/coronavirus-l-executif-ouvre-la-voie-au-tracking-20200406
[18]https://www.francetvinfo.fr/sante/maladie/coronavirus/tracking-contre-le-coronavirus-l-application-sera-plus-efficace-si-les-gens-ont-confiance-dans-la-protection-de-leurs-donnees_3903541.html