Par Cadfael

L’ère est aux méga-banques de données, dont les performances tant en ce qui concerne les capacités de stockage que celles de traitement, sont en évolution rapide. Couplées à de l’Intelligence artificielle (IA), elles deviennent des outils redoutables aux services, tant d’intérêts privés qu’étatiques.  

L’Intelligence artificielle, une bonne à tout faire

Derrière la notion d’IA se cache un monde vaste et passionnant, qui va de l’analyse scientifique à la reconnaissance faciale, en passant par la domotique, les finances, le marketing, mais également les techniques militaires et de police, soit in fine une gestion de banques de données selon des critères d’une rationalité exempte de considérations juridiques ou philosophiques. Bref, tous les secteurs de notre vie seront, un jour, touchés par ces technologies où le libre-arbitre et le jugement de l’Homme pourraient être remplacés par des systèmes de calcul. L’Union Européenne s’estime en retard en la matière, notamment en comparaison à des pays comme la Chine, les États-Unis, ou encore Israël. Bruxelles veut mettre l’IA au service du traitement de bases de données que la technocratie communautaire estime nécessaires à la sécurité et à la lutte contre des menaces externes et le terrorisme ; le terrorisme qui a toujours bon dos lorsque l’on aborde des politiques ou technologies potentiellement dangereuses pour les droits fondamentaux. 

Un historique à problèmes des fichages 

Sur un plan historique, une de ces bases de données a été discutée de manière intensive, c’est celle du « Passenger Name record » (PNR). Il s’agit de la liste de noms de passagers transformés en un code à 10 unités, automatiquement généré lorsque que quelqu’un achète un billet de train, d’avion ou de bateau. Depuis les attaques du 11 novembre 2001, les États-Unis désirent un accès, sinon un transfert de ces données, sujet âprement discuté aux niveaux politiques européens et chez les jurisconsultes de tous bords. Des accords de transferts et d’accès ont été signés, renégociés et demeurent un sujet d’achoppement entre partisans de philosophies divergentes concernant les libertés et la sécurité.

En 2016, une directive conjointe du Parlement européen et du Conseil autorisent des partages d’informations dans le cadre de « l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière. » 

Parallèlement, d’autres systèmes de données sont mis en place, plus ou moins efficacement, comme le SIS,  le « Schengen Information System » qui permet en principe, un contrôle des mouvements de personnes au sein de l’Union Européenne, devenue de fait un espace quasi ouvert à toutes sortes de trafics et d’opérations criminogènes. D’autre banques de données voient le jour au niveau européen, comme celles d’Europol, d’Interpol ou d’administrations de  l’Union Européenne. Il en va de même aux niveaux nationaux où éclosent des banques sécuritaires, mais pour lesquelles, selon les spécialistes, la coordination entre les divers services des pays membres ne va pas de soi. Et le contrôle de leur utilisation hérisse les défenseurs des droits et libertés.

Une méga-base à la sauce Bruxelles

Bruxelles vient de décider de mettre en place divers outils de travail, qui s’avèrent d’un côté nécessaire, et, de l’autre, plein de risques s’ils ne sont pas contrôlés. Il s’agit d’une méga-base de données centralisée reposant sur quatre piliers.

L’Européan search portal : le portail de recherche européen (ESP) est en fait un accès unique à toutes sortes de bases de données existantes et prévues. Il est essentiellement destiné aux administrations, à Interpol et Europol. Il bénéficiera des outils suivants : 

– Le Biometric Matching Service, le service partagé d’établissements de correspondances biométriques (BMS) qui est un engin de recherche et de croisement de données biométriques comme les empreintes et la reconnaissance faciale.

– Le Common identity repository, le répertoire commun de données d’identité (CIR), qui contiendra des données biographiques et biométriques de ressortissant de pays tiers.

– Le Multiple Identity Detector, le détecteur d’identités multiples (MID), qui permettra la vérification des identités et les fraudes aux identités multiples.

Le point le plus problématique sera l’utilisation du CIR par des services de police  et des frontières. De manière explicite, il sera utilisable tant sur des ressortissants de pays tiers que des nationaux dans le cadre de contrôles au sein de l’UE.

Le Contrôleur Européen pour la Supervision des Données (CEPSD) a émis des mises en garde en ce qui concerne l’ensemble de cette architecture, et la Cour de Justice de l’UE semble très tatillonne en la matière. L’utilisation de l’IA en matière reconnaissance faciale est particulièrement sensible selon le Bureau de protection des données de l’Union Européenne dont le siège est à Bruxelles.

La méga-base de données devrait voir le jour en 2022, et deux sociétés aux racines françaises ont été chargées de sa création : IDEMIA et Sopra Steria. La française IDEMIA, l’un des leaders mondiaux de la reconnaissance faciale appartient à la nébuleuse militaro-civile du groupe Safran ; l’autre française, Sopra Steria, est le leader en matière conseil et développement de logiciels.

Éviter les dérapages sera tâche difficile.

Avec les tendances populistes qui se manifestent dans divers pays, des dérapages seront difficiles à recadrer. L’exemple le plus récent nous vient du Portugal, en train de mettre en place une de ces méga-bases destinée à des fins de contrôle policier et douaniers. Le très renommé Expresso –  hebdomadaire plutôt conservateur –, a mis à jour un certain nombre de fuites curieuses issues de la mairie de Lisbonne et des services de santé. Depuis une dizaine d’années, la mairie de Lisbonne aurait en effet communiqué plus de 7000 noms de participants à des manifestations aux ambassades de Russie et d’Iran. Le service national de santé, et d’autres services gouvernementaux dont la police fournissent depuis longtemps des données à Google « en violation grossière de la loi ».

La gestion opérationnelle de ces systèmes d’information à grande échelle nécessitera la mise en place d’une autorité de contrôle à forts moyens paritairement composée de parlementaires et de sages non issus des fonctions européennes afin de protéger l’espace de liberté, de sécurité et de justice européen. Il semblerait que l’on en soit encore loin.