Mémoire de recherche : Intelligence artificielle, justice pénale et protection des données à caractère personnel (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.

France > Droit public & Droit privé > Protection des données personnelles & Droit pénal & Intelligence artificielle


Auteur : Yamina Bouadi, Mémoire de recherche Master 2 droit public comparé EUCOR 2019 – 2020  

Sous la direction de Madame la Professeure Juliette Lelieur Professeure de droit pénal à l’Université de Strasbourg
Assesseur : Monsieur Yannick Meneceur Conseiller en politiques de transformation numérique et d’intelligence artificielle au Conseil de l’Europe

Lire le mémoire > ici
Fr flag.png
Eu flag.png


Introduction générale

« Ces quantités massives de données et les Big data entrent en opposition frontale avec les grands principes de la protection des données : la minimisation, la finalité, la limitation dans le temps. Les Big data, c’est au contraire une collecte maximale, automatique, par défaut, et la conservation illimitée de tout ce qui existe sous une forme numérique, sans qu’il y ait, nécessairement, de finalité établie a priori. » Antoinette Rouvroy [1]


L’actualité de la thématique de l’utilisation des données à caractère personnel par des dispositifs technologiques pouvant mener à des sanctions, en fait son intérêt. En raison d’une pandémie, du 17 mars au 11 mai 2020, la France est plongée dans une période de confinement et le décret n°2020-293 du 23 mars 2020, impose aux individus de rester au maximum au sein de leur habitation et de n’en sortir qu’en cas d’urgence ou lors d’achats de première nécessité. Le fait de sortir de chez soi pour une raison non prévue par le décret susmentionné, constitue une infraction punie d’une amende s’élevant à 135 euros. Avant même de penser à une possibilité de vaccin afin d’éliminer le virus, une multitude de mesures de surveillance du respect de cette obligation a vu le jour en France, dans le but d’empêcher la propagation du pathogène. Prenons l’exemple de l’attestation de déplacement dérogatoire, initialement en papier, à imprimer ou recopier à la main.

La sanction dont l’attribution repose sur l’engrenage des données et des nombres. La version numérique de l’attestation est apparue sous la forme d’un formulaire en ligne. Ce dernier fut à remplir avec les informations d’identité de l’individu (nom, prénom, date de naissance, adresse), la date, l’heure et bien-sûr, la raison du déplacement. Dès le lendemain de l’annonce du confinement, la Commission Nationale de l’Information et des Libertés (CNIL) – autorité chargée de veiller à ce que l’informatique ne nuise pas aux droits de l’Homme – a mis les français en garde contre les cookies [2] provenant des sites non officiels susceptibles de collecter les données des appareils utilisés, et capables d’identifier de quel ordinateur ou téléphone, l’attestation en ligne a été téléchargée. L’ancien ministre de l’intérieur français a confirmé que, par cette attestation en ligne, aucune donnée personnelle ne fût collectée ou enregistrée au sein de la base de données du ministère de l’intérieur [3]. En revanche, il est possible de consulter l’heure à laquelle l’attestation a été établie et l’adresse de son propriétaire passible d’une amende, s’il est sorti de chez lui pour une durée et dans un périmètre dépassant la limite imposée.

La société est « subordonnée à la technique »[4]. Le débat de la collecte des données s’est de nouveau ouvert les semaines suivantes par la création d’une application mobile de traçage des individus atteints du virus ou ayant été en contact avec un individu infecté. Ces applications ont fait l’objet d’une importante médiatisation, partagée d’une part entre la perception positive de l’avancée de cette technologie – permettant si elle est téléchargée par un grand nombre d’individus, de réguler la propagation du virus. D’autre part, c’est un sentiment de crainte qui apparaît par la surexposition des individus à la surveillance de leurs déplacements pouvant nuire à leurs libertés fondamentales.

La justification contextuelle d’une telle restriction des libertés et des droits fondamentaux. La CNIL est saisie en urgence le 15 mai dernier par le ministère des solidarités et de la santé, questionnant la conformité de l’application mobile aux mesures de protection des données, soit principalement à la loi informatique et libertés du 6 janvier 1978 (citée « Loi informatique et libertés »)[5] ainsi qu’au règlement général européen relatif à la protection des données (cité « RGPD »)[6]. La CNIL rappelle au sein de son avis du 25 mai 2020 que, dans ce contexte d’état d’urgence sanitaire, « la lutte contre cette épidémie, […] constitue un impératif majeur de nature à justifier, des atteintes transitoires au droit à la protection de la vie privée et des données à caractère personnel »[7]. Après examen des conditions de mise en œuvre de l’application mobile, la CNIL « estime que ce dispositif temporaire, dont l’utilisation repose sur le volontariat, peut légalement être mis en œuvre »[8]. L’application Stopcovid est alors disponible sur les plateformes de téléchargement depuis le 2 juin 2020, à la suite de l’approbation du dispositif par l’Assemblée Nationale et le Sénat le 27 mai dernier. Elle est dépeinte par le gouvernement comme un outil permettant de « prévenir les personnes qui ont été à proximité d’une personne testée positive, afin que celles-ci puissent être prises en charge le plus tôt possible, le tout sans jamais sacrifier nos libertés individuelles »[9] . Le gouvernement anticipe ainsi la crainte des risques portés à la protection des données à caractère personnel et à d’autres droits fondamentaux, constitués par cette application.

L’utilisation des données personnelles par des dispositifs technologiques afin de surveiller des comportements contraires à des règles sociales, en l’occurrence des règles sanitaires, s’inscrit dans un mouvement large de la transformation numérique de la répression des comportements transgressifs à la norme. Cette transformation numérique est menée par l’utilisation de dispositifs de plus en plus automatisés et auto-apprenants, tels que l’IA.

1. L’intelligence artificielle, un terme fréquemment employé mais rarement défini. L’emploi du terme IA est parfois étendu de manière erronée à toute technique informatique simplifiant le travail exercé par l’être humain. Il convient d’apporter une définition appropriée à ce terme non récent. La naissance de l’IA remonte aux années 1950, lors desquelles, l’idée de machine universelle apparaît dans les écrits d’Alan Turing notamment[10]. En août 1955, l’appellation « intelligence artificielle » est employée par John McCarthy et Marvin Minsky [11] . En 1956, l’ordinateur Deuce est conçu suivant les plans d’Alan Turing et l’idée que l’ordinateur puisse reproduire l’esprit, soit l’intelligence de manière artificielle, est mise en pratique[12]. A partir des années 1980, pour simplifier la réalisation de ce genre de dispositifs, il est décidé de les appliquer à des cas précis et réels, ce qui donnera l’émergence des systèmes experts. En 1997, le programme d’échec Deepblue a réussi à battre le champion du monde, par exemple. En 2016, un nouveau programme, dénommé Alphago, appartenant aujourd’hui à Google, a réussi à battre Deepblue au jeu de go[13]. Outre la parfaite opération de communication de cet exploit pour la qualité des dispositifs d’apprentissage de Google, la victoire d’Alphago démontre la rapidité avec laquelle se développent ces logiciels tout en surpassant de manière inédite les capacités humaines aux jeux de logique dont les combinaisons sont infinies. Ainsi, l’IA existe depuis la moitié du XXe siècle, cependant récemment, une croissance constante des données est observée et la définition de l’IA s’étend à de plus en plus d’outils. Par exemple, il y a deux ans, l’IA ne s’appliquait pas aux arbres de décisions « decision trees », fonctionnant sous la forme d’arbres de probabilité[14]. L’IA a récemment été définie par la Commission européenne pour l’efficacité de la justice (CEPEJ)[15], dans sa charte éthique de 2018, comme étant un « ensemble de sciences, théories et techniques dont le but est de reproduire par une machine des capacités cognitives d’un être humain. Les développements actuels visent à pouvoir confier à une machine des tâches complexes auparavant déléguées à un humain »[16]. La complexité de ces tâches est notamment due à la somme massive de données à traiter par l’humain. En effet, nous vivons dans un « monde des données »[17], dont l’utilisation est normalisée lorsqu’il s’agit de prévenir et réprimer des actes infractionnels.

2. La transformation numérique de la justice pénale. La notion d’IA employée avec le concept de justice pénale peut facilement renvoyer d’une part aux technologies participant aux infractions pénales intentionnellement produites, notamment en matière de cybercriminalité[18]. D’autre part, est également observé en Europe, un débat quant à la commission d’infractions pénales de manière involontaire en raison des biais présents dans des dispositifs d’IA tels que les voitures autonomes[19]. Ce sont deux thématiques profondément passionnantes qu’abritent les termes de l’IA et de la justice pénale cumulés. En revanche, ces sujets ne seront pas traités dans le cadre de notre étude, consacrée à l’utilisation de dispositifs d’IA assistants la justice pénale, notamment en matière de la prévention et la répression des infractions pénales.

L’utilisation de dispositifs d’IA au sein du secteur de « justice pénale » vise la prévention des infractions, la résolution d’enquêtes judiciaires et le procès pénal, au sein notamment des autorités de prévention et de répression des infractions pénales. Le traitement des données dans le cadre pénal n’est pas récent et est intrinsèquement lié à la prévention et la répression des infractions. Il peut être automatisé ou non. A titre d’exemple, l’organisation de données en version papier par ordre alphabétique dans une étagère, est inclue dans le terme traitement, bien que cette notion tende aujourd’hui à exclusivement diriger notre esprit vers le domaine numérique et automatisé. La production de données judiciaires est aujourd’hui massive, notamment par le phénomène de l’open data des décisions judiciaires dont il est question en France depuis la loi pour une République numérique[20] et entraîne une interaction avec des dispositifs d’IA développés par des legaltechs, sociétés privées. Ces dispositifs permettent de traiter l’importante quantité de données et sont alors utiles à la préparation du procès pénal. Par ailleurs, les données utilisées par l’IA peuvent être sujettes à une publication ou à des transferts transfrontaliers à des fins de coopération pénale, notamment à destination de dispositifs d’IA étrangers non régulés de façon identique dans l’ensemble de l’UE. En revanche, les enjeux et risques portant sur les droits relatifs à la protection des données sont accentués par l’utilisation de ces dispositifs.

3. Les dispositifs d’IA traitant des données personnelles : des « héros positifs […] pour lesquels la gloire et l’abomination n’étaient pas dissociées » [21] . L’utilisation des données personnelles par ces systèmes algorithmiques auto-apprenants n’est pas sans risque pour les droits et libertés individuelles, notamment le droit à la protection des données personnelles. Ce droit prend sa source au sein du concept du droit à la vie privée. La protection de la vie privée figure au sein de nombreux textes recensant les droits fondamentaux en Europe, notamment à l’article 8 de la Convention Européenne des Droits de l’Homme (ConvEDH) depuis 1950, ou encore à l’article 7 de la Charte des droits fondamentaux de l’Union Européenne, depuis 2000. Par ailleurs, ce dernier texte prend en compte l’évolution technologique en remplaçant le terme « correspondances » par « communications ». Au fil des années, la protection des données à caractère personnel a été englobée dans l’article 8 de la ConvEDH, entrant dans la protection de la « sphère privée »[22].

Dans l’optique de ne pas tomber dans « deux travers symétriquement caricaturaux que sont le technooptimisme et le techno-pessimisme »[23], il faut ici souligner l’importance que cette étude donne à la recherche d’un équilibre entre le besoin d’efficacité de la justice pénale par le recours à l’IA et la promesse européenne de protection des données à caractère personnel. Il s’agit d’un sujet dont la régulation est en constante évolution au sein des institutions européennes. Il s’agit d’offrir aux individus une protection optimale de leurs données à caractère personnel sans que ces textes deviennent obsolètes dès leur mise en application. Il est à noter que le concept européen de la protection des données à caractère personnel en matière pénale au sein de cette étude est observé sous deux angles généraux. Dans un premier temps, du point de vue du Conseil de l’Europe, possédant pour ambition et but premiers un espace européen responsable et respectueux des droits de l’Homme. Dans un deuxième temps, une vision de l’UE, prenant la forme d’un équilibre entre d’une part, la nécessité de faciliter le transfert des données entre Etats membres dans l’optique d’une sécurité communautaire, notamment en matière de coopération pénale transfrontalière. D’autre part, une nécessité de protéger les données à caractère personnel dans la justice pénale, domaine réservé à la souveraineté des Etats membres « dont le droit de punir est l'expression par excellence »[24].

Il conviendra de se concentrer sur la communion de ces trois intérêts, à savoir la volonté d’innover par le recours à l’IA et d’accroître l’efficacité de la justice pénale dans un environnement où les notions de sécurité et de dangerosité permettent l’acceptation de déployer des ressources y compris reposant sur l’ingérence à la protection des données personnelles.

Dans quelle mesure le traitement des données par des dispositifs d’IA au sein de la justice pénale constitue un risque pour les droits fondamentaux européens de protection des données à caractère personnel des individus, sujets de mesures automatisées aux fins de prévention et de répression pénales ? Quelles sont les limites du cadre normatif européen consacré aux données personnelles en matière pénale et comment les nouveaux textes anticipent-ils les enjeux de cette matière amplifiés par le recours à l’IA ? Cette étude sera divisée en trois temps. Dans un premier temps, il s’agira de comprendre la place qu’occupent aujourd’hui les dispositifs d’IA au sein de la justice pénale européenne. La réflexion s’appuiera sur des situations rencontrées en France principalement. Une étude préliminaire sera consacrée à l’évolution de la place des données et de leur traitement en matière pénale. L’attention sera ensuite portée sur des cas d’utilisation de dispositifs d’IA par les autorités françaises de prévention et de répression des infractions pénales (Partie I).

Cette analyse permettra d’appréhender dans un deuxième temps les risques de l’utilisation de ces dispositifs portant sur le droit à la protection des données personnelles des individus sujets de ces mesures. En effet, il s’agira d’étudier les risques portant sur ce droit simultanément aux étapes du traitement des données personnelles. A savoir, la collecte, l’enregistrement, l’exploitation, la conservation, la publication et le transfert transfrontière de ces données personnelles à des fins pénales (Partie II). Dans un troisième temps, il conviendra d’étudier le cadre normatif européen consacré aux données personnelles en matière pénale, afin d’en considérer les limites. Cette analyse permettra de comprendre comment les nouveaux textes anticipent-ils les enjeux portant sur la protection des données personnelles, liés notamment à l’introduction des dispositifs d’IA en matière pénale. En fin d’étude, une approche de droit comparé permettra d’appréhender les différences potentielles entre les Etats membres et non-membres de l’Union Européenne (UE) des parties au Conseil de l’Europe. (Partie III).

Sommaire

INTRODUCTION

Partie I – L’intelligence artificielle en matière de prévention et de répression des infractions pénales
Titre I – Le recours à l’IA pour la prévention des infractions et de la résolution d’enquêtes
Titre II – Le recours à l’IA au cours du procès pénal

Partie II – L’intelligence artificielle et la protection des données à caractère personnel
Titre I – Les risques liés à la collecte, l’enregistrement et l’exploitation des données
Titre II – Les risques liés à la publication et la conservation des données personnelles

Partie III – Le cadre normatif européen des données en matière de justice pénale et d’IA
Titre I – L’évolution de l’encadrement normatif européen et celle du traitement automatisé des données (de 1970 à 2016)
Titre II – L’évolution des normes et un besoin d’anticipation (à partir de 2016)

CONCLUSION


Lire le mémoire > ici

Références

  1. Entretien d’Antoinette Rouvroy, « Big data : l’enjeu est moins la donnée personnelle que la disparition de la personne », recueilli par Serge Abiteboul et Christine Froidevaux, Le Monde, le 22 janvier 2016.
  2. Adrien Basdevant, Jean-Pierre Mignard, « L’empire des données, essai sur la société, les algorithmes et la loi », Ed. Don Quichotte, 2018, p. 65 : « Les cookies sont des petits fichiers texte – moins de 4 kilooctets – stockés par le navigateur web sur le disque dur du visiteur d’un site. Ils contiennent généralement une chaîne de nombres utilisée pour identifier un ordinateur. Par la reconnaissance de cette clé d’identification incluse dans toutes les requêtes suivantes faites au même serveur, les cookies permettent d’établir le profil de navigation de l’internaute ».
  3. Christophe Castaner, Twitter, 6 avril 2020, https://twitter.com/CCastaner/status/1247102332162244608?ref.
  4. Maurice Weyemberg, J. Ellul et M. Heidegger. Le prophète et le penseur, dans Troude-Chastenet P., Sur Jacques Ellul, PUF, 1994, p. 86.
  5. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  6. Règlement (UE) 2016/679 du parlement, sur la protection des données à caractère personnel.
  7. Délibération de la CNIL, n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid », §4. Passage souligné par mes soins.
  8. CNIL, avis sur les conditions de mise en œuvre de l’application Stopcovid, 25 mai 2020.
  9. Site internet du ministère français de l’économie, des finances, de l’action et des comptes publics, 2 juin 2020.
  10. Alan Turing, « Computing Machinery and Intelligence », Revue philosophique Mind, 1950. Dans cet ouvrage, il étudie la possibilité pour une machine d’être consciente ou non. Alan Turing s’est notamment concentré sur le fait d’introduire une intelligence au sein de machines.
  11. John McCarthy, Marvin Minsky, A Proposal for the Dartmouth Summer Research Project on Artificial Intelligence, 31 août 1955, http://raysolomonoff.com/dartmouth/boxa/dart564props.pdf. Voir aussi : Yannick Meneceur, « Intelligence artificielle et droits fondamentaux », dans Patrick Gielen et Marc Schmitz, Avoirs dématérialisés et exécution forcée, Ed. Bruylant, novembre 2019, p. 94.
  12. En 1956, l’ordinateur anglais prénommé « Deuce » est conçu suivant les plans d’Alan Turing.
  13. Le jeu de go est d’origine chinoise et est le plus ancien jeu de stratégie combinatoire.
  14. Ronald LEENES, Professeur de Régulation par la technologie, Institut du droit, de la technologie et de la société de Tilburg, Université de Tilburg, lors de la session parlementaire européenne sur « L’intelligence artificielle au sein de la justice pénale et son utilisation par la police et les autorités judiciaires en matière pénale », 20 février 2020.
  15. Commission créée en 2002, réunissant des experts issus des 47 Etats membres du Conseil de l’Europe.
  16. Charte éthique de la CEPEJ, p. 77.
  17. Adrien Basdevant, Jean-Pierre Mignard, op.cit., p. 10.
  18. Voir à ce sujet les travaux du comité de la convention sur la cybercriminalité (T-CY).
  19. Voir à ce sujet les travaux du comité européen pour les problèmes criminels (CDPC).
  20. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
  21. Michel Foucault, « Surveiller et punir, naissance de la prison », 1975, Ed. Gallimard, p. 70.
  22. Agence des droits fondamentaux de l’UE et Conseil de l’Europe, Manuel de droit européen en matière de protection des données, Avril 2018, pp. 20-24.
  23. Adrien Basdevant, Jean-Pierre Mignard, op. cit., p.22.
  24. Cahiers du Conseil constitutionnel n° 26 (Dossier : La Constitution et le droit pénal), Août 2009