Partager :
Comment concilier libertés et sécurité grâce aux technologies, interroge Stéphane Schmoll, expert en sécurité globale. Au travers de sa contribution à ce livre blanc, il propose d’améliorer l’efficience des missions régaliennes. Notamment en substituant à la défiance systématique une confiance intelligemment contrôlée. Verbatim.
Stéphane Schmoll, expert en sécurité globale : « Il faut dépasser ce paradigme du traitement en silos par une approche générique plus souple capable de fournir les garanties indispensables à la protection des libertés individuelles et au respect de l’esprit des lois. » © D.R.
« La quantité d’informations personnelles captées et traitées par les géants de la technologie, aujourd’hui étasuniens et peut-être demain chinois, dépasse de plusieurs ordres de grandeur la quantité de données accessibles à l’État français dans le cadre des contraintes dont il s’est doté pour nous protéger. En effet, des opérateurs privés et des collectivités territoriales récoltent toujours plus de données : devices, réseaux sociaux, drones, objets et véhicules connectés, sons, images, métadonnées…
Publiques ou privées, ces sources de données physiques et cyber se multiplient et augmentent la puissance de traitement à base d’intelligence artificielle (IA) dans les domaines de l’identification, la levée de doute, l’analyse sémantique, le profilage, la prédiction et pilotage automatique de procédés. Pas sûr que notre pays soit capable de maîtriser ou de traiter toutes ces sources dans son cadre régalien actuel. »
Les silos de la paralysie
« Face à ce constat, je propose une approche générique du recueil et du traitement de multiples données à caractère personnel. Jusqu’à présent, dans l’esprit de la Loi Informatique & Libertés et d’autres textes juridiques tels que le Code de la sécurité intérieure, chaque jeu de données à recueillir, traiter et éventuellement conserver doit faire l’objet d’une description complète des enjeux et de la finalité pour un cas d’usage et des utilisateurs bien spécifiés avant avis de la Direction des libertés publiques et des affaires juridiques du ministère de l’Intérieur (DLPAJ).
Puis d’une autorisation de la CNIL, voire du Conseil d’État. Malgré certaines adaptations juridiques récentes, les outils d’anticipation, de prévention, de détection semi-automatisée des menaces et de déclenchement de chaînes pénales utilisables par le ministère de l’Intérieur sont aujourd’hui cloisonnés en silos. Dans le contexte des nouvelles menaces, l’efficience globale va donc diminuer si on ne décloisonne pas davantage les silos. »
Dépasser le paradigme actuel avec des garanties
« Il faut dépasser ce paradigme du traitement en silos par une approche générique plus souple capable de fournir les garanties indispensables à la protection des libertés individuelles et au respect de l’esprit des lois. Cela devra s’accompagner de formations et pédagogies indispensables pour développer l’acceptabilité et la confiance. En effet, il est temps de substituer aux défiances et interdictions a priori un système basé sur la responsabilité, la réglementation, la transparence, le contrôle démocratique et si nécessaire la sanction administrative et judiciaire en y adaptant le corpus des textes existants, à l’instar de ce qui est fait pour le RGPD…. mais spécifiquement adapté aux missions du ministère de l’Intérieur.
D’autres pays aussi démocratiques le font déjà. Je pense à la vidéo mobile au sol, par drone ou satellites de basse orbite, l’interprétation de bruits, la comparaison faciale, la blockchain, l’IA, l’informatique quantique et d’autres innovations à venir. Le Conseil d’État reconnaît que les progrès de la technologie et de la Soft Law ne sont pas incompatibles avec les fondements de notre droit. Bien au contraire ! La technologie permettrait d’augmenter considérablement l’indispensable efficience des agents publics tout en garantissant la protection des libertés individuelles, mais par d’autres voies. »
Continuum de sécurité
« Certaines innovations sont déjà mises en œuvre dans le cadre du continuum de sécurité avec certains opérateurs comme la SNCF, la RATP ou les aéroports. Cette délégation de sécurité publique est mieux acceptée par le public et la CNIL du fait de finalités et proportionnalité sans ambiguïté. Il faut aussi imaginer comment associer davantage à certaines phases de l’enquête administrative ou judiciaire des entreprises spécialisées ou des collectivités locales. Pour bien anticiper les futurs besoins ainsi que les solutions émergentes, en complément de la contribution de l’Office parlementaire d’évaluation des choix scientifiques et techniques (OPECST) au parlement, un Comité de réflexion et d’orientation des technologies de la sécurité pourrait éclairer les aspects éthiques des solutions envisagées à moyen et long terme. »
Vers un Security Data Hub ?
« Le domaine très sensible des données de santé a été judicieusement sanctuarisé avec la mise en place d’un système national de données de santé (Health Data Hub). Il offrira de spectaculaires progrès en efficience médicale par le traitement massif de données. Il comprend un entrepôt de données, des producteurs, des utilisateurs et une gouvernance très contrôlée par un comité d’éthique et scientifique ainsi que la CNIL qui vérifieront la conformité à l’intérêt général et aux lois. La sécurité intérieure peut s’inspirer de ce modèle, notamment autour de clouds souverains, d’infrastructures de confiance et d’identité numérique. Le comité stratégique de la filière de sécurité y est favorable mais il faudra inventer des passerelles de sécurité avec des données externes. La difficulté à surmonter tient dans ce que les données de sécurité ne doivent pas être systématiquement anonymisées.
A ce sujet, les textes européens sur la justice et la police ainsi que notre code de la sécurité intérieure autorisent certains traitements. Le contrôle démocratique de la finalité, de la proportionnalité et de la loyauté pourrait être exercé par une commission ad hoc à l’instar de la Commission nationale de contrôle des techniques de renseignement (CNCTR) pour ce qui concerne les réquisitions administratives. Même bridée, celle-ci fournit l’exemple d’un processus moderne et collégial d’habilitation et de contrôle par des magistrats, des conseillers d’État, des parlementaires et des personnalités qualifiées. Accessoirement, ce hub pourrait apporter des solutions nouvelles et plus puissantes pour la simulation, la formation, la pédagogie et aussi le rappel à la loi avant sanction. »
Encourager l’expérimentation
« Il fait peu de doute que l’explosion des données personnelles et des moyens de traitement permettront d’aller beaucoup plus loin en toute sécurité. Le « Livre blanc de la sécurité intérieure » doit encourager l’expérimentation de ces nouvelles voies, sous l’égide de l’article 37-1 de la Constitution[1] si nécessaire et après un débat public éclairé et pacifié qui libérerait peut-être les politiques de sécurité et de sûreté. »
Propos recueillis par Erick Haehnsen
[1] Art. 37-1 : « La loi et le règlement peuvent comporter, pour un objet et une durée limités, des dispositions à caractère expérimental. »
Commentez