A 75 ans, l’Unesco – dirigée par Audrey Azoulay – prend des airs de régulateur mondial de l’Internet

C’est en novembre 1946 qu’est formellement créée l’organisation des Nations Unies pour l’éducation, la science et la culture. Soixante-quinze ans après, son onzième directeur général et deuxième femme – Audrey Azoulay – a été réélue pour un second mandate de quatre ans. Parmi ses priorités : le numérique.

Comme en octobre 2017, la Française Audrey Azoulay (photo) a été élue en novembre 2021 – cette fois pour un second mandat de quatre ans – à la direction générale de l’Unesco, lors de la 41e conférence générale de celle-ci, avec à nouveau le soutien de « la République française » qui a proposé une seconde fois sa candidature. Entre le précédent locataire de l’Elysée, François Hollande, et l’actuel, Emmanuel Macron – lequel, faut-il le rappeler, y a été le secrétaire général adjoint du premier puis « son » ministre de l’Economie, de l’Industrie et du Numérique (avant de devenir son rival) –, il y a un point commun : celui d’avoir été à l’origine de la nomination d’Audrey Azoulay à la tête de cette organisation onusienne basée à Paris. Autant son accession à ce poste international n’avait pas été évidente il y a quatre ans, autant sa réélection est passée comme une lettre à la poste : sur 193 Etats membres de l’Unesco, 169 ont voté le 9 novembre, dont 155 voix se sont portées sur l’ancienne ministre de la Culture et de la Communication (après avoir été conseillère dans ces domaines auprès de François Hollande à l’Elysée). Il faut dire que l’énarque était seule en lice pour ce mandat 2021-2025, alors que pour remporter son premier mandat (après une candidature déposée in extremis) elle avait dû battre le Qatari Hamad bin Abdulaziz al-Kawari.

Encadrer l’intelligence artificielle, les algorithmes et les données
Bientôt quinquagénaire (en août 2022), la voici à pied d’oeuvre pour quatre nouvelles années à l’Unesco, laquelle organisation a fêté ses 75 ans le 12 novembre dernier . Le premier jour de cette 41e conférence générale de l’Unesco, qui s’est tenue du 9 au 24 novembre, Audrey Azoulay a prononcé – en français, en anglais et en espagnol – son discours de politique générale. Plus que jamais, en plus des défis de l’éducation, de l’environnement et de la paix, le défi du numérique est désormais au coeur de son action. « Le quatrième défi que je souhaite relever est celui de construire un univers numérique qui soit au service de nos valeurs sans les assujettir A l’ère des métavers, des mégadonnées et des robots d’Asimov [écrivain américano-russe et biochimiste, auteur de science-fiction et de vulgarisation scientifique, ndlr], nous avons besoin d’orientations claires », a déclaré la directrice générale fraîchement reconduite à la tête de l’Unesco. Pour Audrey Azoulay, l’organisation onusienne doit avoir son mot à dire sur le monde du numérique, comme elle l’a eu sur Continuer la lecture

Création d’une oeuvre ou d’une invention par une IA : la justice commence à faire bouger les lignes

C’est un peu le paradoxe de l’oeuf et de la poule : qui est apparu le premier ? Dans le cas d’une création ou d’une invention par une intelligence artificielle, qui est l’auteur : la personne humaine ou la technologie créatrice ? Cette question existentielle commence à trouver des réponses, en justice.

Par Boriana Guimberteau (photo), avocatE associéE, cabinet Stephenson Harwood

L’intelligence artificielle (IA) fait l’objet de développements exponentiels dans des domaines aussi variés que les voitures autonomes (et les données générées par celle-ci), la rédaction d’articles ou la création de musiques. Au-delà de la compréhension de son fonctionnement, l’intelligence artificielle soulève la question de la paternité et de la titularité des oeuvres créées ou des inventions générées par elle. Avant d’explorer plus en amont cette question, il convient de fournir une définition de l’intelligence artificielle. Selon l’Organisation mondiale de la propriété intellectuelle (OMPI), l’intelligence artificielle désigne une branche de l’informatique qui a pour objet de concevoir des machines et des systèmes à même d’accomplir des tâches faisant appel à l’intelligence humaine, avec un intervention humaine limitée ou nulle.

Vers un « Artificial Intelligence Act » européen
Cette notion équivaut généralement à l’intelligence artificielle spécialisée, c’est-à-dire aux techniques et applications programmées pour exécuter des tâches individuelles. L’apprentissage automatique (machine learning) et l’apprentissage profond (deep learning) font tous deux parties des applications de l’intelligence artificielle. L’IA peut ainsi produire différents résultats dont certains pourraient être qualifiés de créations ou d’inventions, les premières protégeables par le droit d’auteur et les secondes par le droit des brevets d’invention. La question est alors de savoir qui sera titulaire des créations ou des inventions générées par l’IA, et si l’IA pourrait être qualifiée d’auteur ou d’inventeur par le droit positif français. En matière de droit d’auteur tout d’abord, de nombreux auteurs se sont penchés sur la question de savoir si l’intelligence artificielle pouvait bénéficier de la qualité d’auteur. La majorité d’entre eux reconnaissent Continuer la lecture

L’Europe veut encadrer les algorithmes pour retirer les contenus illicites et éviter les « faux positifs »

Le futur règlement européen Digital Services Act (DSA) veut encadrer l’utilisation d’algorithmes dans la gestion des contenus sur les réseaux sociaux et d’en retirer ceux « jugés » illicites. Mais le risque de « faux positifs » (bloqués à tort) va poser des problèmes aux régulateurs et aux juges.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

Bloquer la publication d’un contenu est une décision grave, portant potentiellement atteinte à l’un des droits fondamentaux les plus importants pour la démocratie : la liberté d’expression. Pour la préserver, le droit constitutionnel américain et français exigent généralement qu’une décision interdisant la diffusion de contenus soit prise par une autorité judiciaire, et qu’elle le soit prise après la publication du contenu, non avant (1).

Blocage automatique : quelle légitimité ?
Les plateformes ne s’embarrassent pas de ces principes, filtrant des contenus avant leur publication par l’utilisation de robots. Faut-il s’en inquiéter ? S’agit-il d’une violation des droits fondamentaux des utilisateurs ? Le recours aux algorithmes pour identifier des contenus illégaux est devenu incontournable en raison de la quantité des informations publiées par les utilisateurs des réseaux sociaux. Même si la loi n’impose pas aux plateformes une obligation générale de surveillance des contenus, laquelle reste interdite (2), celles-ci ont mis en place des systèmes automatisés de détection de contenus illicites. Le champ d’application de ces outils s’est élargi grâce à l’émergence de modèles d’apprentissage automatique (machine learning), capables d’identifier des images et textes plus complexes, de comprendre le contexte d’une phrase ou d’une image, voire de juger de la véracité d’une affirmation.
Le futur règlement européen Digital Services Act (DSA) met en lumière les multiples rôles d’algorithmes dans la gestion de contenus sur les réseaux sociaux. Ces algorithmes identifient des contenus illicites et procèdent à leur retrait avec ou sans intervention humaine ; ils signalent l’existence d’utilisateurs potentiellement abusifs du service ; ils organisent la présentation de contenus et de publicités aux utilisateurs en fonction de leurs profils. Le règlement DSA propose d’encadrer l’utilisation d’algorithmes, surtout ceux utilisés pour retirer des contenus illicites. Les outils sont calibrés pour bloquer automatiquement, et sans intervention humaine, des contenus les plus manifestement illégaux. En cas de doute, la machine enverra le cas à des décisionnaires humains. Une grande partie des décisions de retrait de contenus sont aujourd’hui prises sans intervention humaine (3), ce qui soulève la question de leur légitimité et des garanties qui les entourent. Le DSA prévoit des garanties procédurales et de transparence similaires à celles qui existent pour les décisions prises par l’Etat. Le droit constitutionnel impose à l’Etat des règles contraignantes en matière de blocage de contenus illicites, alors que les plateformes, elles, ne sont pas directement concernées par ces contraintes constitutionnelles. Cependant, les plateformes dites « structurantes » ont un pouvoir quasi-étatique en matière de liberté d’expression. Il est donc logique d’étendre à ces plateformes les règles de transparence et de procédure qui s’appliquent aux décisions de l’Etat.
En 2018, les organisations de défense des droits civiques aux Etats-Unis ont élaboré des principes minimaux de transparence et de procédure équitable qui doivent s’appliquer aux décisions de retrait de contenus ou de suspension de comptes sur les réseaux sociaux. Appelés « Santa Clara Principles » (4), ces principes non-contraignants recommandent la publication par chaque plateforme numérique de données détaillées sur les alertes, les décisions de retrait et de suspension. Ils prévoient la notification aux utilisateurs affectés par les décisions de retrait, la publication de règles claires sur les types de contenus interdits sur la plateforme, la mention de raisons du retrait, la fourniture d’informations sur l’utilisation ou non d’un outil automatique, et une procédure efficace de contestation devant un décisionnaire humain différent de la personne qui a pris la décision initiale. Les Santa Clara Principles (SCP) reprennent, pour les adapter aux plateformes, une partie des règles constitutionnelles de « due process » aux Etats-Unis qui s’appliquent aux décisions, notamment algorithmiques, de l’Etat.

Le DSA va plus loin que les « SCP »
Le projet de règlement DSA rendrait contraignant un certain nombre des SCP, et notamment l’obligation d’informer l’utilisateur que son contenu a été retiré et de lui fournir une explication sur les raisons du retrait. La notification doit également mentionner l’utilisation éventuelle d’un outil automatique, et fournir des informations claires sur la possibilité de contester la décision. Le DSA exige une procédure efficace pour gérer les contestations d’utilisateurs, une procédure qui ne peut pas s’appuyer uniquement sur des moyens automatisés. Les utilisateurs peuvent donc contester un retrait devant un décisionnaire humain. Le DSA va au-delà des SCP en matière de transparence algorithmique, en exigeant la publication par les plateformes structurantes d’information sur les objectifs poursuivis par l’algorithme, les indices de performance, et les garanties entourant son utilisation.
Le projet de loi français sur le « respect des principes de la République », adopté par l’Assemblée nationale le 16 février dernier et actuellement examiné au Sénat (5), va plus loin encore en prévoyant la communication au Conseil supérieur de l’audiovisuel (CSA) des paramètres utilisés par les outils automatisés, des méthodes et des données utilisées pour l’évaluation et l’amélioration de leur performance.

Algorithmes, « faux positifs » et censure
La performance des algorithmes sera un sujet-clé pour le régulateur. Quel est le niveau acceptable de « faux positifs », à savoir des contenus bloqués à tort ? On sait que les tribunaux n’apprécient guère les faux positifs en matière de liberté d’expression (lire encadré ci-dessous) et qu’un algorithme d’apprentissage automatique va forcément générer des faux positifs. Le niveau de faux positifs dépendra notamment du niveau de sensibilité de l’algorithme dans la détection de « vrais » positifs, par exemple une vraie vidéo terroriste. Si l’on réduit le nombre de faux positifs, on va nécessairement réduire la sensibilité de l’algorithme dans la détection de vrais cas de contenus illégaux. Le bon équilibre entre les faux positifs et les faux négatifs sera un sujet délicat, et le niveau d’équilibre sera différent selon le type de contenus. Laisser passer la vidéo d’un acte terroriste du type Christchurch aura un coût très élevé pour la société, alors que laisser passer un morceau de musique protégé par le droit d’auteur sera a priori moins dommageable.
Les taux d’erreurs algorithmiques peuvent varier en fonction de la langue utilisée – un algorithme d’analyse de textes sera généralement plus performant en anglais – et peuvent également refléter les biais présents dans les données d’entraînement. Les algorithmes apprennent à partir des exemples de contenus retirés précédemment par les analystes humains. Ces analystes humains sont faillibles. Ils ont leur propre biais – biais culturels, linguistiques, ethniques, de genre – et commettent eux-aussi des erreurs d’appréciation qui seront reproduits ensuite par les algorithmes (6). Ainsi, il faut veiller non seulement au « bon » niveau de faux positifs et de faux négatifs selon le type de contenu, mais également vérifier que le niveau de perfor-mances de l’algorithme ne varie pas selon la couleur de la peau ou le sexe des personnes impliquées, selon la langue utilisée, ou selon le type de discours haineux (7). Ces multiples équilibres devraient être abordés dans un premier temps dans les études de risques systémiques conduites par les plateformes structurantes, en application de l’article 26 du futur règlement DSA en Europe. Ces études devront analyser l’impact des algorithmes d’identification et de retrait de contenus sur les droits fondamentaux. Ainsi, les plateformes devront proposer des solutions techniques et humaines pour concilier des objectifs – souvent contradictoires – liés à la mise en place d’un système de détection performant qui respecte en même temps la liberté d’expression, la protection des données personnelles et la protection contre les discriminations. Actuellement, le projet de règlement DSA prévoit que la Commission européenne sera le régulateur principal pour les plateformes structurantes. Celle-ci pourra émettre des recommandations relatives aux systèmes algorithmiques. Mais la manière de gérer les tensions entre la liberté d’expression et d’autres droits est avant tout une affaire nationale, dépendant du contexte, de l’histoire et de la culture de chaque pays (8).
En France, le CSA serait mieux placé que la Commission européenne pour évaluer les systèmes algorithmiques mis en place par les grandes plateformes pour analyser des contenus destinés au public français. Le paramétrage des algorithmes devra nécessairement refléter ces circonstances locales, et le contrôle de ces paramètres relèverait plus naturellement de la compétence du régulateur national. Un contrôle national de ces outils renforcerait en revanche le morcèlement des approches réglementaires entre Etats membres, et nécessiterait donc un système de coordination au niveau européen similaire à ce qui existe pour la régulation des télécoms et le RGPD. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

FOCUS

Le droit est allergique aux surblocages
Le droit constitutionnel est peu tolérant aux « faux positifs » en matière de liberté d’expression. Les risques de surblocage ont été soulignés par la Cour suprême des Etats-Unis dans l’affaire « Reno c. ACLU » (9) dans les années 1990, et par la Cour de justice de l’Union européenne (CJUE) dans les affaires « Scarlet c. Sabam » (10) en 2011 et « Sabam c. Netlog » (11) en 2012. Ces deux dernières affaires concernaient la mise en place, à la demande d’un tribunal belge, d’un dispositif simple pour bloquer des contenus protégés par le droit d’auteur, s’appuyant sur un procédé de « hash » pour identifier les fichiers contrevenants.
La CJUE a considéré que ce procédé créait une atteinte disproportionnée à la protection des données à caractère personnel, mais également à la liberté d’expression en raison du risque de surblocage. L’outil serait incapable de détecter s’il s’agissait d’une citation, d’une parodie ou d’une autre utilisation permises par l’une des exceptions du droit d’auteur. Plus récemment, le Conseil constitutionnel a annulé deux dispositions de la loi française « Avia » (contre la cyberhaine) en raison du risque de surblocage de contenus « non manifestement illicites » (12). Pour des contenus faisant l’apologie du terrorisme, le Conseil constitutionnel a considéré que les injonctions de l’autorité administrative (13) ne constituaient pas une garantie suffisante et que les opérateurs de plateformes ne devaient pas suivre ces injonctions de manière automatique. @

Streaming : le Centre national de la musique (CNM) bute sur « une boîte noire »

En fait. Les 3 février, le président du Centre national de la musique (CNM), Jean-Philippe Thiellay, a été auditionné au Sénat par la commission de la culture. Il est revenu sur le rapport qu’il a publié le 27 janvier sur la répartition des revenus des plateformes de streaming musical. Ses travaux ont buté sur « une boîte noire ».

En clair. En menant cette étude d’impact du passage possible du mode actuel dit « market centric » (1) à un autre mode dit « user centric » (2) pour la répartition des revenus générés par les écoutes de la musique en streaming, le Centre national de la musique (CNM) a buté sur « une boîte noire ». C’est ce que son président Jean-Philippe Thiellay (photo) a reconnu devant les sénateurs lors de son audition le 3 février : « Il y a énormément de questions que l’on n’a pas pu explorer en raison de l’anonymisation des données et au fait que les données s’arrêtent aux distributeurs, même pas aux labels et encore moins à l’artiste. Il y a des questions qu’il faut continuer à explorer : la transparence des données, les algorithmes, les recommandations sur les playlists, les compositions des playlists, … Pour nous, c’est une boîte noire », a-t-il dit. Par ailleurs, la fraude des « fermes à clics » maximise automatiquement l’écoute de certains artistes.

La rémunération des musiciens dépend aussi d’algorithmes opaques
Réalisée avec le cabinet Deloitte, cette étude a aussi buté sur le manque de transparence des plateformes de streaming musical. Spotify et Deezer sont les seuls à avoir répondu au CNM, « tous les autres ont refusé ». Il faut dire que cet établissement public à caractère industriel et commercial (Epic), créé le 1er janvier 2020 et placé sous tutelle du ministère de la Culture, n’a pas le pouvoir d’un régulateur ni d’enquête comme l’Arcep, le CSA ou l’Autorité de la concurrence. Le fonctionnement des algorithmes de recommandation est en tout cas « opaque ». Passer du market centric au user centric revaloriserait les fonds de catalogues et accentuerait la diversité des genres musicaux, mais l’impact sur les artistes les moins écoutés serait néanmoins minime. A moins que cette « boîte noire »… Une part non négligeable des rémunérations en dépend, surtout que 10 % à… 80 % des écoutes sont dites « passives », c’est-à-dire issues d’algorithmes de recommandation qu’il reste à expertiser. « Le user centric, ce n’est pas la baguette magique. En revanche, comme le marché est dynamique, cela peut changer et il reste beaucoup de questions à explorer », a prévenu Jean-Philippe Thiellay. Quant au piratage du streaming musical, il réside surtout dans « le piratage des comptes qui, selon le président du CNM, peut être une vraie source de déperdition de valeur ». Une étude va être faite sur ce point avec l’Hadopi. @

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.