Jean Lessi, secrétaire général de la Commission nationale de l’informatique et des libertés, appelle à un débat démocratique sur les technologies de « safe city »
Ne pas se laisser déborder par les révolutions technologiques, mais éviter d’ouvrir une boîte de Pandore en mettant en cause la loi Informatique et libertés de 1978 : c’est la difficile équation de la Commission nationale de l’informatique et des libertés (CNIL) face à la prolifération des outils de surveillance, mêlant vidéosurveillance intelligente, technologies de big data et données biométriques, déployés par des villes dans le cadre de leur stratégie smart city.
Dans un entretien au Monde, le secrétaire général de la CNIL, Jean Lessi, appelle à un « débat démocratique » sur ces questions tout en réaffirmant sa confiance dans les principes fondateurs « robustes » de la loi de 1978.
Comment la CNIL appréhende-t-elle les expérimentations de « safe city » ?
Sur ce sujet, il faut faire la part entre les discours, les projets et la réalité opérationnelle.
Aujourd’hui, que ce soit à Nice, à Marseille ou à la Défense [près de Paris], on en est encore au stade des projets, que nous suivons de très près. L’expression « safe city » recouvre des choses très différentes : la protection contre les menaces climatiques, la prévention de troubles à l’ordre public, la gestion de l’occupation du domaine public et de la voirie… Le niveau de risque associé à ces technologies dépend du type d’usage.
Il y a toutefois quelques facteurs de risque et d’interrogation communs. D’abord, ces dispositifs reposent sur une combinaison de données variées, qui n’ont pas forcément été collectées à cette fin. Ensuite, ces traitements de données se font à grande échelle. Ils peuvent aussi concerner des données sensibles, comme des infractions ou de la géolocalisation. Il peut y avoir des enjeux éthiques, notamment s’il s’agit de prédire des comportements. Enfin, ces sujets touchent au contrat social.
Quand on parle de smart city appliquée à la sécurité, cela appelle une vigilance non seulement juridique, mais aussi démocratique et citoyenne.
L’usage de la vidéosurveillance, associé au big data et à l’intelligence artificielle, est-il suffisamment encadré alors que la loi Informatique et libertés date de 1978 ?
Nous avons des principes fondamentaux très robustes, qui datent d’avant le Minitel, mais qui ont permis, en quarante ans de révolutions technologiques, de traiter les questions que soulèvent les géants du numérique, les réseaux sociaux.
C’est le principe de finalité – s’interroger sur la raison pour laquelle on traite de la donnée personnelle ; le principe de proportionnalité – je ne dois collecter que ce qui est nécessaire ; le principe de sécurisation des données, le principe de durée de conservation limitée…
Ces principes sont tellement robustes qu’ils viennent d’être repris au niveau européen dans le Règlement général sur la protection des données [RGPD] et la directive Police-Justice. Après, il existe des textes spécifiques à la vidéo qui, eux, sont en partie dépassés parce qu’ils ont été calés sur un état des technologies et sur certains usages.
Faut-il, comme le demandent certains élus, revoir la loi de 1978 à la lumière de la « safe city » ?
Je ne sais pas s’il faut créer un nouveau cadre légal, c’est un choix politique. En revanche, il faut se mettre autour de la table et en parler.
La CNIL l’a dit, il y a urgence à organiser un débat démocratique sur ces sujets et à ce que le législateur s’en saisisse.
Mais plus les technologies rendent ces questions complexes, plus il faut revenir à nos principes fondamentaux, qui restent notre principale sécurité. Il y a aussi une question de méthode. On a besoin d’une approche globale pour sortir de la législation au coup par coup, où on traite une technologie, puis une autre, puis un usage, puis un autre…
Ne faudrait-il pas décréter un moratoire sur ces plates-formes de « safe city » en attendant ce débat ?
Il y a aujourd’hui des choses qui sont légalement possibles, et qu’il faut cadrer, canaliser grâce à nos grands principes. Il y en a d’autres qui sont impossibles, comme certains usages de la biométrie, et, là-dessus, il peut y avoir matière à faire évoluer les textes, au terme d’un débat démocratique. Mais le principe de précaution, ce n’est pas un principe d’abstention : c’est un principe de travail.
Quand on a une incertitude, il faut travailler pour la réduire, y compris en parlant avec ceux qui souhaitent expérimenter de nouveaux dispositifs.
Cela dit, si la sécurité est un objectif légitime, il ne faut pas de banalisation de ces dispositifs, qui exercent parfois une forme de fascination. Au-delà du respect des grands principes qui garantissent une sécurité acceptable et durable, il faut prendre garde à un excès de solutionnisme technologique.
Plus généralement, l’essor des smart cities voit la multiplication des flux de données. La CNIL n’est-elle pas dépassée ?
Nous avons une obligation d’adaptation continue, même si notre ADN ne change pas. La CNIL de 2018 n’est pas celle de 1978.
Il faut que nous ayons les moyens de passer à l’échelle de cette réalité numérique, qui était auparavant concentrée dans quelques gros fichiers et qui est aujourd’hui fragmentée dans une masse et une diversité de traitements de données absolument inouïe.
Nous serons 215 en 2019. C’est évidemment insuffisant par rapport à l’ampleur des enjeux du numérique. Le RGPD nous donne de nouveaux outils pour garder la main. Mais nous devons nous interroger sur notre manière de gérer cette échelle nouvelle.
Le Monde