COMPTE RENDU DE L'AUDITION
DE M. LOUIS DUTHEILLET DE LAMOTHE,
SECRÉTAIRE GÉNÉRAL DE LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS

(Mardi 23 mai 2023)

M. François-Noël Buffet, président. - Nous recevons cet après-midi Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL).

Monsieur le secrétaire général, j'ai souhaité l'organisation de cette audition afin que vous nous présentiez le rapport d'activité pour 2022 de la CNIL. Nous aimerions aussi connaître la position de la CNIL sur le sujet particulier de la reconnaissance biométrique, dans la perspective de l'examen la semaine prochaine en commission de la proposition de loi relative à la reconnaissance biométrique dans l'espace public, déposée par nos collègues Marc-Philippe Daubresse et Arnaud de Belenet, qui fait suite à la mission d'information qu'ils ont conduite de février à mai 2022 avec Jérôme Durain. Philippe Bas, rapporteur de ce texte, aura certainement à coeur de vous questionner de façon précise sur le sujet.

M. Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL). - Je vous prie tout d'abord de bien vouloir excuser Marie-Laure Denis, présidente de la CNIL, qui ne pouvait être présente cet après-midi, retenue par le colloque sur les 45 ans de la CNIL et qui devra se rendre demain à Bruxelles.

Je commencerai par vous présenter en quelques mots le rapport d'activité de la CNIL, avant d'évoquer la proposition de loi.

L'accompagnement est une activité toujours plus soutenue pour la CNIL : le règlement général sur la protection des données (RGPD), qui a remplacé le système de déclaration par un système de responsabilité des entreprises, assorti de lourdes sanctions, a créé une demande de sécurité juridique. Nous avons ainsi adopté une quinzaine d'actes de droit souple - guides, référentiels, recommandations, etc. - et répondu à 1 500 demandes de conseil de la part d'entreprises, nombre qui se maintient à un niveau constant. Nous avons reconduit pour la deuxième année nos actions d'accompagnement individualisé de projets innovants, selon notre dispositif de « bac à sable ». Nous avons choisi en 2022 le thème des technologies innovantes en matière d'éducation et procédé à un appel à projets. Comme ce programme a eu beaucoup de succès, nous poursuivrons en 2023, avec un nouveau programme d'accompagnement renforcé, qui, lui, ne sera pas thématique. Nous avons donc enrichi la palette de nos actions pour permettre aux entreprises innovantes de lancer des produits en étant sûres de leur conformité avec le RGPD.

Mme Karin Kiefer, directrice de la protection des droits et des sanctions de la CNIL. - Notre activité de contrôle et de sanction se divise en trois grands ensembles : le traitement des demandes des usagers, le contrôle des acteurs et l'édiction de mesures correctrices.

En ce qui concerne la relation aux usagers, nous avons reçu plus de 12 000 plaintes en 2022, ainsi que 7 400 demandes d'exercice de droits indirects, qui portent notamment sur le fichier national des comptes bancaires et assimilés (Ficoba), chiffre en hausse de 27 %. Pour la première fois depuis l'entrée en vigueur du RGPD, nous avons réussi à traiter plus de plaintes que nous n'en avons reçu, ce qui nous a permis de réduire le stock d'affaires en attente - une première depuis 2018 ! Nous avons créé un portail internet dédié aux usagers, pour que les plaignants puissent ouvrir un compte en ligne et nous solliciter par ce biais ; nous avons aussi ouvert un téléservice pour les demandes d'exercice de droits indirects.

Nous avons effectué 3 500 contrôles, majoritairement sur place, comme nous le faisions avant l'épidémie liée à la covid-19 - on peut se réjouir d'un retour à la normale en la matière. Beaucoup de ces contrôles font suite à des plaintes des citoyens.

S'agissant de l'activité répressive, la CNIL a adopté 147 mises en demeure en 2022, notamment, dans la moitié des cas, pour des manquements relatifs à la sécurité des données. Elle a prononcé 21 décisions de sanctions, dont 13 publiques. Une avancée a été la création d'une procédure simplifiée qui permet au président de la formation restreinte ou à un membre qu'il désigne de prendre seul une sanction dans des dossiers d'importance mineure ou ne présentant pas de difficulté particulière, ce qui permet d'agir plus vite. Parmi les sanctions emblématiques, je citerai celle rendue à l'encontre de la société Clearview, dans une affaire liée à la reconnaissance faciale. Beaucoup de sanctions, comme celles à l'encontre de Microsoft, Apple ou TikTok, concernent l'usage des cookies. Nous avons aussi participé à des décisions européennes, en examinant des projets de décisions de nos homologues, à l'image de la décision récente du régulateur irlandais contre Meta d'1,2 milliard d'euros.

M. Louis Dutheillet de Lamothe. - La CNIL a vu le taux de plaintes augmenter de 30 % par an depuis la mise en oeuvre du RGPD. Dans ces conditions, être capable de traiter plus de plaintes que nous n'en recevons constitue un défi quotidien pour les services de la CNIL.

J'en viens maintenant à la proposition de loi relative à la reconnaissance biométrique dans l'espace public. En 2019, la CNIL a publié une position de principe, soulignant les risques particuliers que la reconnaissance faciale comporte. Elle appelait à un débat public démocratique. Nous y sommes !

La CNIL a toujours considéré les données biométriques comme des données particulières, même si ce n'est que le RGPD qui en a fait des données « sensibles », c'est-à-dire dont le traitement est interdit sans le consentement de la personne, à moins qu'une loi ou un texte réglementaire ne l'autorise. Les données biométriques permettent en effet l'identification des personnes, de manière unique et quasi certaine, et ne peuvent jamais être modifiées, ce qui peut être problématique si leur sécurité est compromise.

Il faut s'interroger sur les différents usages de la reconnaissance biométrique, et sur les risques associés. Certains usages avec le consentement des personnes ne posent pas de problème, comme l'authentification de l'usager d'un téléphone par exemple. Beaucoup d'entreprises sollicitent la CNIL pour développer de tels services d'identification par biométrie avec le consentement de la personne. La CNIL vérifie comment le service est sécurisé techniquement, les modalités de recueil du consentement de la personne, si les données sont stockées en local, à la main de la personne, sans base centralisée. Il faut en effet partir du principe qu'une base centralisée peut toujours être victime d'une cyberattaque un jour ou l'autre et que la sécurité des données centralisées peut toujours être compromise. Nous demandons que le stockage soit décentralisé - une empreinte par téléphone, par exemple -, de telle sorte qu'il ne soit pas possible de récupérer l'ensemble des données en une seule attaque.

D'autres usages sont de police. Il peut s'agir de vérifier, à partir d'une photographie, si une personne figure dans le fichier de traitement d'antécédents judiciaires (TAJ) ou dans n'importe quel fichier. Un autre usage plus intrusif consiste à rechercher a posteriori dans des vidéos un ou plusieurs visages. Ce n'est à ce jour pas autorisé dans le droit français, même s'il s'agit du prolongement de l'usage précédent.

L'usage de la reconnaissance en temps réel par une caméra, d'une personne dans la rue, ou ailleurs, constitue un changement de nature. Nous identifions cinq risques.

Le premier consiste en une menace pour le respect de la vie privée, car, avec ce système, il devient possible d'identifier toute personne sur une photographie ou une vidéo ; or notre droit protège notre capacité à circuler dans l'espace public de manière anonyme.

Il existe aussi des risques d'erreurs sur l'identification, comme on le constate dans les pays qui ont commencé à expérimenter ces systèmes : il arrive que les personnes appréhendées ne soient pas les bonnes.

Ensuite, ces systèmes peuvent comporter des biais discriminatoires, en fonction de la manière dont ils ont été entraînés, et ils peuvent commettre plus d'erreurs sur telle ou telle catégorie de population.

Le quatrième risque est lié à l'apparition d'une inhibition dans l'exercice de ses droits ou libertés fondamentales : on peut hésiter à manifester si l'on sait que l'on est filmé et potentiellement reconnu !

Enfin, il y a un risque de sécurité informatique : toute base centralisée de données biométriques est une cible pour une cyberattaque malveillante. La question n'étant pas de savoir si une attaque aura lieu, mais quand ! Les cyberattaques sont de plus en plus sophistiquées et nul ne peut garantir la sécurité des données.

Le collège de la CNIL ne s'est pas prononcé sur la proposition de loi. Mes propos ne refléteront donc que l'analyse des services de la CNIL au regard de sa doctrine plus générale.

Il découle des délibérations du collège de la CNIL qu'il ne faut expérimenter ces technologies, notamment celles permettant une analyse temps réel, qu'avec une extrême prudence et de manière progressive.

Or la proposition de loi élargit de manière considérable et d'un seul coup les cas d'usage. On peut les distinguer en trois grands ensembles.

Tout d'abord, l'authentification. C'est l'usage qui pose le moins de difficultés. Il convient de procéder avec un stockage des données en local, qui ne soit pas centralisé et qui reste à la main des personnes. Il me semble que ces usages sont déjà permis par le droit actuel. Le règlement type de la CNIL permet d'installer des systèmes d'authentification des personnes employées par quelqu'un ; cette possibilité vaut aussi pour l'organisation d'un événement. Il suffit donc d'élargir et d'affiner ce qui existe déjà. Ces systèmes d'authentification biométriques sont faillibles. Les sociétés qui assurent la sécurité d'événements refusent en général de s'en remettre uniquement à la biométrie. Il faut conjuguer ces dispositifs avec du contrôle humain et d'autres dispositifs, adaptés au cas par cas. Le règlement type de la CNIL, qui prévoit trois niveaux de dispositifs possibles, peut constituer un point de référence utile.

Le deuxième cas d'usage visé par la proposition de loi est nouveau : il s'agit de l'identification a posteriori, soit dans le cadre d'enquêtes judiciaires, soit dans le cadre d'enquêtes par les services de renseignement lorsque les intérêts fondamentaux de la Nation sont en jeu. La relecture a posteriori de documents, de photographies ou de vidéos, dans le cadre d'une enquête déjà ouverte, pour y identifier des personnes est moins attentatoire que la reconnaissance en temps réel, dans la rue des personnes qui passent. Cette capacité de recherche dans une vidéo est inédite. Il importe de s'interroger sur la nécessité et sur le caractère proportionné du recours à ce type de méthodes. Dans ce cas, il convient de prévoir des garanties, à commencer par l'existence d'un contrôle humain approfondi.

Le périmètre retenu par le texte semble très large. L'exposé des motifs vise les infractions les plus graves, mais en fait tous les délits passibles d'une peine d'emprisonnement de trois ans, donc tous les vols, pourraient faire l'objet de ce type d'enquête selon le texte de l'article 3.

Nous vous demandons de mettre en avant le principe de subsidiarité, qui figurait dans le rapport de votre commission sur la reconnaissance biométrique dans l'espace public. Cette technique de recherche automatique de visages dans des vidéos ne devrait être que subsidiaire par rapport aux techniques habituelles d'enquête.

Enfin et surtout, il faut, nous semble-t-il, préciser et encadrer de manière stricte l'identité des personnes que l'on va rechercher dans une vidéo : est-ce que l'on recherche une personne bien identifiée ? ou bien s'agit-il d'identifier toutes les personnes présentes sur une scène, par exemple pour trouver des témoins, ce qui est intrusif et ne devrait être possible que dans des cas d'une extrême gravité ?

En ce qui concerne l'usage par les services de renseignement, le texte prévoit déjà un encadrement, mais celui-ci pourrait encore être précisé. Il permet le recours à la biométrie pour « retrouver une personne préalablement identifiée susceptible d'être en lien avec une menace ». On comprend qu'il s'agit d'une menace pour les intérêts fondamentaux de la Nation, mais il faudrait l'expliciter ; de même, la notion d'« entourage » est trop large.

Le troisième et dernier cas d'usage est l'identification en temps réel dans l'espace public, pour sécuriser de grands événements ou pour les enquêtes judiciaires les plus graves. Il s'agit pour nous du point le plus délicat et le plus novateur. Le risque d'atteinte à la vie privée est d'une tout autre ampleur et nature que dans les cas précédents. La surveillance et l'identification ont lieu en temps réel, au moment où les personnes passent devant la caméra. Or c'est dans ces cas que le contrôle humain est le plus faible, car à la différence d'une enquête de long cours, le fait divers appelle une réaction dans l'urgence, en temps réel. C'est aussi dans ces circonstances que les risques d'erreur sur la personne ou d'intervention d'un biais discriminatoire sont les plus élevés, avec des conséquences concrètes potentiellement importantes. En outre, la mise en oeuvre de ce type de système suppose techniquement de créer une dérivation des images vers les lieux où serait effectuée la reconnaissance faciale en temps réel par comparaison avec les bases de données biométriques mises à disposition. Comme il n'existe pas de système de vidéosurveillance centralisée en France, il faudrait installer ce dispositif dans chaque endroit où l'on voudrait l'utiliser. Cela accroît le risque de sécurité et de compromission des bases et des données. Enfin, ce système est aussi le plus inhibant pour les personnes pour exercer leurs libertés dans l'espace public.

La création de ce dispositif, fût-ce à titre expérimental, serait une rupture fondamentale pour l'exercice de nos libertés publiques alors que n'avons pas encore de recul sur l'efficacité et l'utilité de la biométrie dans les autres cas d'usage. L'exploitation en temps réel des vidéos ne se limite pas à la reconnaissance faciale, elle comporte aussi le recours à l'intelligence artificielle. Une réflexion a eu lieu depuis deux ans sur les caméras augmentées ou intelligentes. Le Parlement vient de décider, dans la loi relative aux jeux Olympiques et Paralympiques (JOP) de 2024, de tester cette technologie, dans un cadre dont la CNIL a elle-même estimé qu'il était précis et encadré. L'expérimentation permettra d'apprécier ce que ce système apporte à la sécurisation des grands événements. Or l'équilibre qui a été trouvé n'inclut pas, comme le Conseil constitutionnel l'a souligné, la reconnaissance faciale. On ne sait pas encore si les caméras augmentées, sans reconnaissance faciale, sont utiles pour sécuriser les grands événements, pour repérer des agressions, des attentats, etc. Le collège de la CNIL s'est prononcé pour que l'on évalue si ces caméras augmentées sont utiles ; il s'est opposé à la mise en place de dispositifs de reconnaissance faciale.

Outre cette loi relative aux jeux Olympiques et Paralympiques (JOP), qui vient d'être votée, un débat a lieu au niveau européen sur un projet de règlement sur l'intelligence artificielle : l'enjeu est notamment de savoir si l'on doit autoriser ou non la reconnaissance faciale dans l'espace public.

Si une agression a eu lieu, il est déjà possible d'exploiter les vidéos et de les analyser a posteriori pour identifier des personnes à partir du traitement des antécédents judiciaires (TAJ). Une partie de ce que la proposition de loi vise à permettre en temps réel, de manière automatique, en disséminant l'accès aux bases centralisées de données biométriques dans les centres de supervision, peut donc déjà être réalisé, sans courir les risques que j'ai mentionnés, de manière manuelle. Certes, c'est un plus long, - il faut récupérer l'image, l'analyser, etc. -, mais c'est peut-être le prix à payer pour ne pas équiper nos espaces publics de ce type de dispositifs qui induisent un changement considérable dans la manière d'exercer nos libertés publiques.

En conclusion, au nom des services de la CNIL, je vous appelle à restreindre le champ de l'expérimentation. Continuons à expérimenter et à développer notre connaissance de l'utilité de ces nouvelles technologies, en expérimentant par exemple l'analyse a posteriori d'images dans le cadre des enquêtes judiciaires. Restons-en à l'équilibre trouvé dans la loi sur les jeux Olympiques et Paralympiques s'agissant du temps réel.

M. Philippe Bas, rapporteur. - Merci pour cet exposé très clair. J'aborderai directement le sujet qui fâche, le dernier parmi ceux que vous avez abordés. Nous devons rechercher le bon équilibre entre les impératifs de sécurité, d'une part, et le respect des libertés fondamentales et la protection de la vie privée, d'autre part. Alors que nous allons devoir organiser de grands événements, il serait regrettable, si une menace apparaissait, de ne pas avoir pu mettre en oeuvre tous les moyens pour la prévenir. Craignez-vous finalement que l'installation de caméras dotées d'intelligence artificielle dans des lieux bien identifiés n'entraîne inéluctablement le maintien de celles-ci après la fin de l'expérimentation ? Il me semble que vous redoutez une pérennisation de fait.

L'article 5 de la proposition de loi mêle des procédures qui relèvent de la police administrative avec d'autres qui relèvent de la police judiciaire. Ne pourrait-on pas inscrire clairement ce dispositif dans de la police administrative, en utilisant le mécanisme d'autorisation de recours aux techniques de renseignement prévu par la loi de 2015 sur le renseignement ? Nous pourrions ainsi prévoir une demande d'autorisation d'emploi de ces techniques émise par la direction générale de la sécurité intérieure, pour des lieux déterminés, à l'occasion de certains grands événements susceptibles d'être la cible d'un attentat terroriste, et alors que les personnes à surveiller auront été identifiées. L'autorisation serait donnée par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR), et sa décision serait susceptible d'être déférée au Conseil d'État. Ces modalités seraient-elles de nature à apaiser vos craintes ?

Que pensez-vous enfin de la proposition des députés Philippe Gosselin et Philippe Latombe visant à élargir la composition du collège de la CNIL aux présidents de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) pour renforcer son expertise en matière de système d'intelligence artificielle ?

M. Jérôme Durain. - J'étais rapporteur avec mes collègues Marc-Philippe Daubresse et Arnaud de Belenet de la mission d'information sur la reconnaissance faciale. J'ai choisi, avec mon groupe, de ne pas m'associer à la démarche visant à déposer cette proposition de loi, en partie pour les raisons que vous avez évoquées. J'entends vos appels à la prudence. Vous avez souligné l'importance du saut technologique : pourriez-vous nous éclairer sur la manière dont le débat s'est déroulé sur ces sujets dans les autres pays ?

Le Conseil constitutionnel s'est prononcé sur le texte relatif aux jeux Olympiques et Paralympiques. Il a souligné l'absence de recours à des techniques de reconnaissance faciale ou de biométrie. Que retenez-vous de son analyse juridique ?

J'ai entendu parler d'un site qui permettrait aux citoyens d'exercer leur droit d'accès aux images qui auraient été prises d'eux par les caméras. Il faut remplir un formulaire et l'adresser à la préfecture de police : il semble que cette dernière a décidé de filtrer les demandes en n'acceptant que les demandes papier ? Cette limitation ne restreint-elle pas l'accès aux images par les citoyens ?

M. Louis Dutheillet de Lamothe. - Je ne crains pas du tout qu'une expérimentation soit nécessairement vouée à être pérennisée. L'État de droit prévaut. La loi fixe un cadre et toute prolongation ou pérennisation d'une expérimentation devrait être autorisée par le Parlement. Simplement, l'apparition des systèmes d'analyse en temps réel crée une rupture fondamentale. Dès qu'ils existent, ils peuvent faire l'objet de détournement, en dépit de toutes les garanties.

De ce point de vue, il est moins risqué d'utiliser des caméras ad hoc, installées pendant quelques heures avant d'être démontées, et dont les données seraient sécurisées et in fine détruites. Cependant, de manière générale, on ne procède pas ainsi. Pour les caméras augmentées et la sécurisation des grands événements, les images seront dérivées du système du centre de vidéoprotection, en y associant une analyse logicielle automatique. Pour que l'expérimentation de la proposition de loi ait lieu et que, à la demande de l'autorité judiciaire, le dispositif soit déclenché pendant 48 heures renouvelables, il faudra qu'un tel système existe. Choisir d'expérimenter, c'est déjà créer un système, ce qui constitue un saut à ne pas franchir.

Ensuite, si le débat démocratique autorise une telle expérimentation, il faut prévoir un système de garanties à la hauteur des risques présumés. Le système de renseignement en place est robuste, au minimum il faut le transposer.

M. Bertrand Pailhès, directeur de l'innovation et des technologies de la CNIL. - Le déploiement des caméras augmentées concerne trois types d'images. Il s'agit d'abord de celles issues des systèmes de vidéoprotection installés. Il s'agit ensuite des images issues de caméras supplémentaires parfois installées, comme par exemple à l'occasion des marchés de Noël. Enfin, les images peuvent aussi provenir de drones, déployés uniquement lors des grands événements, qui fournissent des données soulevant d'autres défis - l'aspect mouvant des événements peut rendre l'analyse des images difficile.

M. Louis Dutheillet de Lamothe. - Concernant la composition du collège de la CNIL, je m'exprime à titre personnel. Il me semble que l'interrégulation est de plus en plus nécessaire. Les sujets sont de plus en plus imbriqués - voyez l'exemple du numérique, secteur de plus en plus régulé, concerné par un grand nombre de textes européens. La CNIL parle à l'Autorité de régulation de la communication audiovisuelle et numérique et à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse en permanence.

Une hybridation de ce type existe déjà : le président de la Commission d'accès aux documents administratifs (Cada), ou son représentant, siège au collège de la CNIL, et la présidente de la CNIL, ou son représentant, siège au collège de la Cada. Cela crée une remarquable fluidité entre les deux exigences que sont la protection des données personnelles et la bonne communication des documents administratifs. Le dialogue permanent fonctionne.

Je signale un point d'attention : le collège de la CNIL, avec 18 commissaires, est déjà très large et chacun de ses membres est indispensable. Les collèges des autres autorités administratives indépendantes comptent de 6 à 9 membres.

À l'échelle européenne, des discussions sont en cours avec les autres CNIL, avec le Comité européen de la protection des données (EDPB) et avec le contrôleur européen de la protection des données (CEPB), dit European Data Protection Supervisor (EDPS). Ils ont pris des positions fermes sur le troisième type d'usage, à savoir la reconnaissance faciale en temps réel dans l'espace public. Mon discours très réservé sur le troisième type d'usage est en cohérence avec la position de toutes les CNIL européennes et avec l'avis du comité européen et du contrôleur européen sur le règlement européen sur l'intelligence artificielle (IA) de la Commission européenne.

Je ne peux vous dire en pratique où en sont les autres pays : il y a peu d'expérimentations ailleurs. Nous étions dans les premiers à avoir voté une loi sur les caméras augmentées sans reconnaissance faciale.

M. Bertrand Pailhès. - Aux États-Unis, les systèmes de reconnaissance faciale sont aussi utilisés à des fins commerciales. À New York, si tel est le cas, il existe une obligation d'information. Cependant, je ne sais pas quel fut le débat sur la question aux États-Unis.

M. Louis Dutheillet de Lamothe. - On avait cru reconnaître M. Dupont de Ligonnès en Angleterre, grâce à un système de reconnaissance faciale : voilà un autre exemple.

Le Conseil constitutionnel reste très prudent dans son avis sur l'article 10 de la loi sur les jeux Olympiques et Paralympiques : il le trouve équilibré. Cependant, il relève un certain nombre d'éléments permettant d'assurer la proportionnalité de l'article. Toutefois, ce débat a bien eu lieu sur la sécurisation des grands événements et des amendements ont été examinés. La CNIL et le Gouvernement se sont prononcés contre une expérimentation de la reconnaissance faciale en vue des jeux Olympiques et Paralympiques, en avançant aussi le fait qu'il reste peu de temps pour expérimenter. Dans un cadre restreint, acquérir des systèmes efficaces de caméras augmentées est un défi. Cela appelle à ne pas s'orienter vers ce dernier cas d'usage.

Quant aux demandes d'accès aux images de vidéoprotection de la préfecture de police de Paris, qui ne seraient acceptées que sous format papier, cela poserait une difficulté au regard du règlement général sur la protection des données (RGPD), de la directive Police-Justice et du code des relations entre le public et l'administration. En la matière, la jurisprudence de la CNIL consiste à dire qu'il faut proportionner la facilité demandée au responsable de traitement à la taille et aux moyens des services : on demande donc, à partir d'une certaine taille, que les saisines par voie électronique soient disponibles, a fortiori pour des autorités publiques. La CNIL demande que les saisines par format papier soient possibles, mais les procédures électroniques doivent aussi être mises en place.

M. Alain Marc. - Les agents de la société Thalès ont indiqué à Jérôme Durain et moi avoir équipé des aéroports à Singapour et aux États-Unis. Si vous voulez des éléments complémentaires, il suffit de vous rendre en banlieue parisienne et de discuter avec nos entreprises françaises.

M. Louis Dutheillet de Lamothe. - C'est un fait que l'Europe s'est dotée d'un système très différent, qui repose sur des valeurs très différentes par rapport à d'autres parties du monde.

Lors du colloque que j'ai évoqué, la présidente actuelle de la CNIL a cité dans son discours inaugural M. Jacques Fauvet, ancien président de la CNIL, qui disait, en 1988 : « Le législateur et la commission qu'il a créée n'ont jamais voulu empêcher ni même gêner les progrès des sciences et des techniques, comme parfois le reproche a pu leur être fait. L'auraient-ils prétendu que les enseignements de l'Histoire les auraient confondus. Loin d'entraver le développement de l'informatique, la CNIL les a rendues plus crédibles et plus efficaces, dans la mesure même où elle a toujours veillé à ce qu'elle soit au service de chaque citoyen. » Je martèle que la position de la CNIL n'est en rien anti-technologique. Au sujet des caméras augmentées, elle a discuté de manière très fructueuse avec le Gouvernement, ses propositions ont été reprises, votées par le Parlement et validées par le Conseil constitutionnel. Nous n'avons pas manqué d'être critiqués par la société civile, disant que c'était déjà inacceptable.

L'idée n'est pas d'empêcher la technologie, mais d'avoir conscience qu'installer dans l'espace public et les centres de supervision des systèmes de reconnaissance en temps réel, grâce à une comparaison avec des données biométriques, constitue un changement de nature dans la manière dont nous vivons l'espace public.

Nous ne savons pas encore si les images issues des caméras augmentées seront utiles à la police ; si tel n'était pas le cas, il faudrait renoncer à cet outil.

M. Bertrand Pailhès. - Nous avons été sollicités par Thales pour un autre cas d'usage, celui de l'embarquement dans des avions et des aéroports - comme à Singapour ou aux États-Unis -, avec une finalité de confort pour les voyageurs, ce qui soulève d'autres questions. En Italie, où une telle expérimentation est en cours, nous discutons avec nos homologues et avec les industriels - les industriels français sont bien placés pour ce type de technologies.

M. Louis Dutheillet de Lamothe. - La CNIL a d'ailleurs validé, en France, un certain nombre d'utilisations de la reconnaissance faciale pour les aéroports, notamment sous forme d'expérimentations, dès lors que le consentement de l'utilisateur est nécessaire au traitement de ses données. Cependant, Thales produit plutôt des équipements à finalité de police.

M. François-Noël Buffet, président. - Je vous remercie.

Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.