EXAMEN DES ARTICLES

CHAPITRE IER
FAIRE OBSTACLE À UNE SOCIÉTÉ DE SURVEILLANCE (Division nouvelle)

Afin d'assurer la clarté du texte, la commission a créé une nouvelle division regroupant les articles de la proposition de loi consacrés aux dispositions s'appliquant aux différents articles de la proposition de loi (amendement COM-3 du rapporteur).

Article 1er
Fixation de lignes rouges destinées à encadrer l'utilisation
de la reconnaissance biométrique

L'article 1er tend à définir des lignes rouges afin de poser des interdits quant à l'utilisation des systèmes de reconnaissance biométrique, et ainsi écarter le risque d'une société de surveillance.

Souscrivant pleinement à l'encadrement des modalités d'utilisation de cette technologie, la commission a adopté cet article en renforçant son dispositif.

1. La reconnaissance biométrique emporte des risques importants pour les libertés publiques

Comme l'a rappelé Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL) durant son audition14(*), l'utilisation des dispositifs de reconnaissance biométrique crée de nombreux risques pour les libertés publiques.

D'abord, la reconnaissance biométrique est susceptible de porter atteinte au droit au respect de la vie privée et pourrait conduire à la mise en place d'une société de surveillance, en ce qu'elle permet potentiellement de surveiller le comportement et les déplacements des personnes dans l'espace public en permanence.

Les erreurs commises par les technologies de reconnaissance biométrique peuvent aussi nuire au respect des libertés fondamentales. Une erreur en matière judiciaire pourrait par exemple entraîner l'interpellation d'un mauvais suspect, dans le cas où il n'y aurait pas de contrôle humain. Ces technologies sont aussi sujettes à des biais discriminatoires, ce qui peut conduire à un taux d'erreur plus élevé pour certaines catégories de population.

Enfin, l'utilisation de la reconnaissance biométrique peut faire apparaître une inhibition dans l'exercice de certaines libertés fondamentales. Si la reconnaissance biométrique se déployait sans cadre, les citoyens pourraient par exemple renoncer à l'exercice de leur droit de manifester par crainte d'un usage détourné de cette technologie.

2. Face à ces risques, des lignes rouges doivent être définies afin d'encadrer l'utilisation des systèmes de reconnaissance biométrique

Les systèmes de reconnaissance biométrique ne font pas l'objet d'un encadrement ad hoc et sont à l'heure actuelle régis exclusivement par le droit des données à caractère personnel.

Le règlement général sur la protection des données15(*) (RGPD) interdit à cet égard le traitement des données biométriques, celles-ci constituant des données sensibles, tout comme les données relatives à la santé ou aux opinions politiques. Par exception, ces traitements sont autorisés par le RGPD avec le consentement exprès des personnes, pour protéger leurs intérêts vitaux ou sur la base d'un intérêt public important. La directive « Police-Justice16(*) » autorise quant à elle ces traitements en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.

Face aux risques que comportent les technologies de reconnaissance biométrique, il apparaît toutefois nécessaire de fixer des lignes rouges spécifiques pour encadrer leur utilisation et éviter la mise en place d'une société de surveillance, comme recommandé par la Commission nationale de l'informatique et des libertés (CNIL) dans son rapport de 201917(*) ainsi que par les sénateurs Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain dans leur rapport d'information de 202218(*).

Reprenant cette recommandation, l'article 1er de la proposition de loi complèterait l'article 95 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés pour fixer plusieurs lignes rouges afin d'encadrer l'utilisation des systèmes de reconnaissance biométrique.

L'article 1er interdirait ainsi :

- la catégorisation des personnes physiques sur la base de leurs données biométriques ;

- la notation des personnes physiques sur la base de leurs données biométriques. La notation sociale est définie par la Commission européenne comme « étudiant ou classant la fiabilité des personnes physiques en fonction de leur comportement social dans plusieurs contextes ou de caractéristiques personnelles ou de personnalité connues ou prédites ». Un système de crédit social a par exemple été instauré en Chine où les citoyens sont surveillés en permanence dans l'espace public grâce à des dispositifs de reconnaissance faciale. Chaque citoyen se voit attribuer une note en fonction de son comportement dans l'espace public et peut voir son accès aux transports tels que le train ou l'avion restreint en fonction de sa note ;

- les systèmes de reconnaissance biométrique en temps réel dans l'espace public et dans les espaces accessibles au public.

Ce faisant, l'article 1er s'inscrit dans la lignée du projet de règlement européen sur l'intelligence artificielle dévoilé par la Commission européenne en avril 2021. Celui-ci prévoit en effet l'interdiction de la notation sociale basée sur les données biométriques ainsi que des systèmes d'identification biométrique en temps réel dans les espaces publics à des fins répressives, sauf dans trois cas : pour la recherche de victimes potentielles d'actes criminels ; pour faire face à certaines menaces pour la vie ou la sécurité des personnes telles que les attaques terroristes ; et pour détecter, localiser, identifier ou engager des poursuites à l'encontre des auteurs de certaines infractions passibles d'une peine de prison d'au moins trois ans19(*).

3. La position de la commission : des lignes rouges qu'il convient de renforcer et dont les dérogations doivent être encadrées

La commission est favorable à la définition de lignes rouges afin d'encadrer l'usage de la reconnaissance biométrique et d'éviter la mise en place d'une société de surveillance.

La commission souscrit donc pleinement à l'interdiction de la catégorisation et de la notation des personnes physiques sur la base de leurs données biométriques ainsi qu'à l'interdiction de la reconnaissance biométrique en temps réel dans l'espace public et dans les espaces accessibles au public.

Par l'adoption d'un amendement COM-4 de son rapporteur, elle a toutefois modifié cet article de façon à renforcer les lignes rouges relatives à la reconnaissance biométrique.

D'une part, la commission s'est efforcée de cibler les systèmes de reconnaissance biométrique les plus sensibles en termes de libertés. S'agissant de l'interdiction de la reconnaissance biométrique dans l'espace public et dans les espaces accessibles au public, elle a estimé que cette interdiction devait être centrée sur les systèmes d'identification biométrique réalisés à distance et sans le consentement de la personne, qui présentent le plus de risques au regard des libertés publiques. Elle a donc exclu de cette interdiction les systèmes d'authentification biométrique tels que le système Parafe20(*), fondé sur le consentement explicite de l'usager et dont l'utilisation a été jugée légitime et proportionnée par la CNIL.

L'authentification biométrique
et l'identification biométrique

L'authentification biométrique consiste à vérifier qu'une personne est bien celle qu'elle prétend être. Le système compare un gabarit biométrique préenregistré avec celui extrait du visage de la personne qui se présente à un point de contrôle. Il s'agit d'une comparaison « 1 contre 1 ». Cette technique est par exemple utilisée dans les sas Parafe installés dans les aéroports.

L'identification biométrique vise à retrouver une personne au sein d'un groupe d'individus filmés dans un lieu ou figurant sur une image. Le système extrait le gabarit de chaque personne du groupe et vérifie si ce gabarit correspond à une personne connue au sein d'une base de données. Il s'agit d'une comparaison « 1 contre N », qui permet par exemple de lier un état civil à un visage ou de suivre la trajectoire d'une personne dans une foule.

D'autre part, la commission a jugé nécessaire de renforcer l'encadrement des systèmes de reconnaissance biométrique.

À cet effet, la commission a d'abord fixé une ligne rouge supplémentaire en interdisant l'identification biométrique a posteriori, qui présente le même caractère intrusif que l'identification biométrique en temps réel puisqu'elle permet de traquer des personnes longtemps après la survenue d'un événement.

Elle a ensuite précisé que les systèmes d'identification biométrique dans l'espace public et dans les espaces accessibles au public ne pourraient être autorisés par voie réglementaire, même en cas de nécessité absolue, contrairement à ce qui est prévu pour les traitements de données sensibles aux articles 31 et 88 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Elle a également décidé qu'il ne pourrait être dérogé à l'interdiction des systèmes d'identification biométrique dans l'espace public et dans les espaces accessibles au public en dehors des cas prévus par la présente loi, de façon à éviter tout glissement vers une société de surveillance. La commission a ainsi indiqué qu'il ne pourrait être dérogé à l'interdiction de principe posée dans l'article 1er que pour des motifs d'une exceptionnelle gravité, pour des finalités limitativement énumérées et selon un régime d'autorisations préalables. L'exécution de ces dérogations devra être assortie de contrôles exercés par des autorités indépendantes du service habilité à mettre en oeuvre ces exceptions. Enfin, le recours aux dérogations devra obéir aux principes de nécessité et de proportionnalité, appréciés notamment au regard des finalités poursuivies et des circonstances de leur mise en oeuvre, ainsi que du caractère limité des images traités et de leur durée de conservation.

Enfin, la commission a jugé que les dispositions relatives aux lignes rouges devraient être insérées dans un nouvel article 6 bis dans la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés plutôt qu'à l'article 95 de la même loi. En effet, l'intégration de ces dispositions au sein de l'article 95 limiterait leur application aux traitements de données à caractère personnel soumis au titre III de cette loi, qui transpose la directive « Police-Justice », c'est-à-dire aux traitements de données à caractère personnel mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.

La commission a adopté l'article 1er ainsi modifié.

Article 1er bis (nouveau)
Cadre expérimental et régime de contrôle des cas d'usage
de la reconnaissance biométrique prévus par la proposition de loi

Introduit par la commission à la suite de l'adoption d'un amendement du rapporteur, l'article 1er bis vise à définir le cadre expérimental et le régime de contrôle des dispositifs ouverts par la proposition de loi.

Il prévoit ainsi que l'ensemble des cas d'usage de la reconnaissance biométrique dans l'espace public et dans les espaces accessibles au public ne soient autorisés qu'à titre expérimental, pour une durée de trois ans, pour des finalités précises. Ces usages feraient l'objet d'une procédure d'autorisation spécifique, des magistrats pour les usages judiciaires, et de la commission nationale de contrôle des techniques de renseignement (CNCTR) pour les usages administratifs. Cette expérimentation serait placée sous le contrôle du Parlement, qui pourrait s'adjoindre l'aide de différents experts afin d'assurer un suivi en temps réel et une évaluation forte des mesures prises ou mises en oeuvre.

Introduit par la commission des lois par l'adoption de l'amendement COM-5 du rapporteur, l'article 1er bis prévoit de définir le cadre expérimental et le régime de contrôle des cas d'usage de la reconnaissance biométrique dans l'espace public et les espaces accessibles au public définis par les articles de la proposition de loi. Ce faisant, il rassemble le contenu des articles 7 et 8 de la proposition de loi - avec quelques modifications - ces articles étant en conséquence supprimés.

2. La définition du caractère expérimental des cas d'usage de la reconnaissance biométrique prévus par la proposition de loi

Conformément à ce qu'envisageait l'article 8 de la proposition de loi, l'article 1er bis prévoit que les mesures définies aux articles 2 à 6 sont prises à titre expérimental, pour une durée de 3 ans à compter de la promulgation de la loi.

Si de nombreux acteurs appellent en effet à un encadrement de l'utilisation de la reconnaissance biométrique par les personnes publiques, tous semblent s'accorder sur la nécessité de la mise en place d'une phase d'expérimentation.

Comme le soulignaient les sénateurs Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain dans leur rapport d'information intitulé La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance : « Cette phase d'expérimentation semble faire consensus. Le coordonnateur national pour l'intelligence artificielle, Renaud Vedel, a ainsi estimé qu'"une loi d'expérimentation pourrait, après avis de la CNIL, définir temporairement les conditions d'expérimentation et de déploiement progressif de ces outils. La clause de revoyure garantirait à la CNIL, au Conseil d'État et éventuellement au Parlement, qu'un débat démocratique global et exhaustif, éclairé par l'expérimentation, aurait lieu sur ces enjeux, après la phase de déploiement embryonnaire initial". Les représentants du secrétariat général de la défense et la sécurité nationale (SGDSN) exposent que "le rôle de l'expérimentation est justement de fournir les éléments clefs de cette évaluation en matière opérationnelle, technique et juridique. L'apport de la reconnaissance faciale reste à évaluer en conditions opérationnelles, une solution mixte pouvant potentiellement présenter le meilleur compromis". Le directeur général de la sécurité intérieure (DGSI) a pour sa part indiqué aux rapporteurs que "pour la reconnaissance de visages sur la voie publique, la mise en place d'un cadre expérimental apparaît pertinent tant pour tester et s'assurer de la performance technique des solutions envisagées que pour vérifier l'intérêt effectif des usages opérationnels envisagés. Il s'agirait, ce faisant, de vérifier les différentes hypothèses de travail formulées par les services opérationnels et de s'assurer que le cadre législatif finalement mis en place sera non seulement adapté d'un point de vue des nécessités opérationnelles, mais également sur le plan de la protection des libertés publiques et individuelles" »21(*).

Le recours à une expérimentation, dans les conditions prévues par l'article 37-1 de la Constitution, obligerait les différents acteurs - qu'il s'agisse du Parlement, du Gouvernement ou des services utilisateurs - à se positionner ultérieurement sur les usages de la reconnaissance biométrique qui s'avèreraient les plus pertinents sur la base de l'expérience passée.

La phase expérimentale permettrait au débat de se nouer, dépassant ce faisant les positions de principe des uns et des autres. Au terme de la durée de trois ans prévue pour l'expérimentation, les dispositifs autorisés par la proposition de loi ne seraient plus applicables. S'il s'avère qu'ils sont inutiles, mal ajustés aux besoins, ou insuffisamment protecteurs des libertés, il reviendrait au Parlement de se prononcer sur leur suppression, une réévaluation des besoins ou une modification des dispositifs en fonction des résultats obtenus.

2. La mise en place d'un régime de contrôle des dispositifs de la proposition de loi

1.1. La création d'un comité scientifique et éthique : un affaiblissement du rôle du Parlement ?

L'article 8 de la proposition de loi prévoyait la mise en place d'un comité scientifique et éthique qui serait chargé d'évaluer régulièrement l'application des dispositifs prévus par la proposition de loi. Ses rapports seraient rendus publics et transmis aux présidents de la commission des lois de l'Assemblée nationale et du Sénat.

L'objectif poursuivi par les auteurs de la proposition de loi, explicité par leur rapport d'information, était que l'expérimentation prévue soit une « "démarche sincèrement expérimentale" selon les termes de la CNIL car "les expérimentations ne sauraient éthiquement avoir pour objet ou pour effet d'accoutumer les personnes à des techniques de surveillance intrusive, en ayant pour but plus ou moins explicite de préparer le terrain à un déploiement plus poussé"22(*) » Pour ce faire, les auteurs de la proposition de loi ont souhaité la mise en place d'une « évaluation publique et indépendante de l'efficacité de la technologie employée par un comité composé de scientifiques et de personnes qualifiées en matière d'éthique pour vérifier au cas par cas l'apport de la technologie de reconnaissance biométrique, sa proportionnalité, l'explicabilité de ses résultats, etc. Le comité pourrait également formuler toute proposition de nature à améliorer le respect des principes juridiques et éthiques qui fondent les expérimentations , veiller à la transparence du recours à cette technique auprès des personnes concernées, émettre un avis sur les évolutions souhaitables ou évaluer les choix techniques et l'efficacité du recours à la reconnaissance faciale. Ce dispositif exige que le comité soit informé de chaque expérimentation et que lui soient transmises les données nécessaires à sa mission d'évaluation »23(*).

L'article 8 prévoit cependant que la composition, l'organisation et les modalités de fonctionnement de ce comité soient fixées par décret, ce qui ne permet pas de garantir son indépendance.

L'externalisation du contrôle de l'expérimentation à un organisme extérieur au Parlement constitue également un affaiblissement du rôle de ce dernier, chargé par la Constitution de contrôler et d'évaluer l'action du Gouvernement, en particulier lorsqu'il l'autorise à mettre en place des dispositifs à titre expérimental. L'article 1er bis n'a donc pas repris la création de ce nouveau comité, la commission préférant s'en tenir à l'exercice par le Parlement de ses prérogatives.

1.2. Un régime parlementaire de contrôle renforcé

Reprenant la majeure partie de l'article 7 de la proposition de loi, l'article 1er bis prévoit en conséquence du caractère expérimental des dispositions de la proposition de loi et du caractère particulièrement novateur et intrusif des technologies qu'il est proposé d'expérimenter la mise en place d'un régime renforcé de contrôle parlementaire.

L'article 7 prévoyait ainsi la mise en place de trois dispositifs d'information :

- l'information sans délai des mesures prises ou mises en oeuvre par les autorités administratives en application des articles 2, 4 et 5 de la proposition de loi ;

- la transmission sans délai de la copie de tous les actes pris en application de ces dispositions ;

- la remise d'un rapport annuel du Gouvernement au Parlement qui concernerait tant les mesures prises en matière administrative (en application des articles 2, 4 et 5 de la proposition de loi) que celles prises en matière judiciaire (en application des articles 3 et 6 de la proposition de loi).

L'article prévoyait également que l'Assemblée nationale et le Sénat pouvaient requérir toute information complémentaire dans le cadre du contrôle et de l'évaluation de ces mesures.

La commission a considéré qu'un tel régime de contrôle renforcé se justifiait par le caractère très dérogatoire au droit commun de l'usage de la reconnaissance biométrique et par les nombreuses inquiétudes que ces technologies soulèvent dans la société. Elle s'est cependant interrogée sur le caractère indispensable de la mention selon laquelle les deux assemblées parlementaires pourraient requérir toute information complémentaire dans le cadre du contrôle et de l'évaluation des mesures. Il s'agit en effet d'une prérogative découlant de la mission constitutionnelle du Parlement, chargé par l'article 24 de la Constitution de contrôler l'action du Gouvernement et d'évaluer les politiques publiques. L'amendement portant article additionnel a en conséquence supprimé cette mention.

Par l'adoption de ce même amendement, la commission n'a pas repris l'exigence de rapports annuels du Gouvernement au Parlement, conformément à sa jurisprudence constante selon laquelle le Parlement peut, dans l'exercice de ses missions, réaliser des évaluations régulières des prérogatives qu'il accorde au Gouvernement et à l'autorité judiciaire.

S'agissant enfin de l'information en temps réel du Parlement, la commission a fait le choix de la recentrer, par cohérence avec l'adoption des autres amendements aux articles 4 et 5 inscrivant ces dispositifs dans un cadre de renseignement, sur les mesures prises en application de l'article 2. Afin de garantir un bon niveau d'information du Parlement, elle a par contre prévu que le rapport annuel de la commission nationale de contrôle des techniques de renseignements devrait contenir une évaluation des mesures prises en application des articles 4 et 5, dans le respect du secret de la défense nationale et sans révéler des procédures ou des méthodes opérationnelles.

Enfin, et de manière classique pour une expérimentation, le Gouvernement remettrait au Parlement un rapport évaluant l'application des mesures prises en application de la proposition de loi et appréciant l'opportunité de les pérenniser ou de les modifier, notamment au vu de l'évolution du droit de l'Union européenne en la matière. Le règlement européen sur l'intelligence européenne devrait en effet, à cette date, avoir été définitivement adopté et il conviendra d'en tirer toutes les conséquences dans le droit national.

La commission a adopté l'article 1er bis ainsi rédigé.

Article 1er ter (nouveau)
Encadrement des traitements de données biométriques

Introduit par la commission à l'initiative du rapporteur, l'article 1er ter vise à définir les garanties que les traitements de données biométriques utilisés dans le cadre de la proposition de loi devront respecter.

Introduit par la commission par l'adoption de l'amendement COM-6 du rapporteur, l'article 1er ter vise à définir les conditions auxquelles devraient répondre les traitements de données biométriques développés dans le cadre des usages proposés à titre expérimental par la proposition de loi, et ce afin de favoriser la protection des données dès la conception et par défaut (privacy by design). Ce concept signifie, selon la définition qu'en donne la commission nationale de l'informatique et des libertés (CNIL), que « les responsables de traitements doivent mettre en oeuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils doivent veiller à limiter la quantité de données traitée dès le départ (principe dit de "minimisation") ».

L'objectif poursuivi par la commission en intégrant à la proposition de loi cet article additionnel est que les garanties de protection des données personnelles soient intégrées dans la conception des traitements, et ne dépendent ainsi pas uniquement de l'usage qui en est fait.

L'article prévoit en conséquences plusieurs exigences auxquelles les traitements de données biométriques développés pour répondre aux usages prévus par la proposition de loi devront répondre :

- les traitements devront faire apparaître le degré de probabilité qu'une personne apparaissant sur les images exploitées corresponde effectivement à la personne dont la présence est recherchée. Les technologies de reconnaissance biométrique étant des technologies probabilistes, elles ne peuvent aboutir à la reconnaissance d'une personne de manière certaine à chaque fois. L'article 1er ter permet en conséquence d'afficher le taux de concordance entre le gabarit recherché et le gabarit extrait de l'image, afin que l'agent chargé de la surveillance du traitement puisse en tirer les conséquences nécessaires ;

- les traitements ne devront faire apparaître aux yeux de l'agent que le résultat final, et non pas le travail réalisé en arrière-plan, afin de constituer un outil d'aide à la décision, tout en protégeant les données personnelles des personnes qui ne sont pas recherchées ;

- les traitements ne pourront procéder à aucun rapprochement, interconnexion ou mise en relation automatisés avec d'autres traitements de données à caractère personnel ;

- ils demeureront en permanence sous contrôle humain. Cette garantie est essentielle. Elle permet d'exiger une interprétation humaine systématique des données produites par le traitement ;

- les agents utilisant ces traitements devront être individuellement formés et habilités.

L'article prévoit ensuite des garanties en matière de développement des traitements. Ceux-ci seront développés par l'État et sous son contrôle, dans les conditions prévues pour le développement des traitements algorithmiques prévus par l'article 10 de la loi n° 2023-380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions.

Les traitements seraient autorisés par un décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés ou, le cas échéant, de la Commission nationale de contrôle des techniques de renseignement, le décret devant être accompagné d'une analyse d'impact relative à la protection des données personnelles.

Enfin, un échantillon de données pertinentes, adéquates et représentatives pourrait être collecté par l'État et sous sa responsabilité afin de servir en tant que données d'apprentissage pour une durée strictement nécessaire et maximale de quatre mois à compter de l'enregistrement des images. Ces images seraient détruites, en tout état de cause, à la fin de l'expérimentation.

La commission a adopté l'article 1er ter ainsi rédigé.

Article 1er quater (nouveau)
Élargissement du collège de la Commission nationale de l'informatique
et des libertés

Introduit par un amendement du rapporteur, l'article 1er quater intègre deux membres supplémentaires au collège de la Commission nationale de l'informatique et des libertés (CNIL) : le président de l'Autorité de régulation de la communication audiovisuelle et numérique ainsi que le président de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP). Par réciprocité, il est prévu une représentation de la CNIL au sein de ces deux autorités.

Dans un rapport d'information en date d'avril 2023 relatif aux enjeux de l'utilisation d'images de sécurité dans le domaine public24(*), les députés Philippe Gosselin et Philippe Latombe décrivent la CNIL comme « l'organisme public idoine afin de relever les défis que posent les progrès de l'intelligence artificielle » et recommandent de lui confier le rôle de « chef de file » de la régulation de l'intelligence artificielle. Pour ce faire, ils préconisent, d'une part, de renforcer les moyens humains et techniques à sa disposition et, d'autre part, d'intégrer à son collège les présidents de l'ARCEP et de l'ARCOM.

Par l'adoption d'un amendement COM-7 du rapporteur, la commission a traduit cette seconde recommandation au niveau législatif. Elle a estimé que cet élargissement du collège de la CNIL renforcerait sa crédibilité en tant que première autorité régulatrice de l'intelligence artificielle et fluidifierait le dialogue avec les autres institutions compétentes en matière de régulation du numérique. Réciproquement, elle a prévu que le président de la CNIL, ou l'un de ses représentants, siège au sein de chacune de ces autorités. Veillant à ce que cette nouvelle mission ne détourne pas le président de la CNIL de ses missions propres, la commission a toutefois prévu que, dans le cas de l'ARCEP, il ne siège qu'au sein de la formation plénière. Au cours de son audition par la commission des lois le 23 mai 2023, le secrétaire général de la CNIL s'était par ailleurs montré personnellement25(*) plutôt favorable à une évolution de cette nature, estimant que « l'interrégulation est de plus en plus nécessaire »26(*).

Du reste, une organisation de cette nature a déjà été mise en place avec succès entre la CNIL et la Commission d'accès aux documents administratifs par les articles 25 et 27 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Au cours de son audition précitée, le secrétaire général de la CNIL a ainsi tiré un bilan très positif de cette évolution dont il relevait qu'elle « [créait] une remarquable fluidité entre les deux exigences que sont la protection des données personnelles et la bonne communication des documents administratifs »27(*).

La commission a adopté l'article 1er quater ainsi rédigé.


* 14 Cette audition est visible sur le site du Sénat : http://videos.senat.fr/video.3888164_646ac23166e5d.reconnaissance-biometrique--audition-de-la-cnil

* 15 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

* 16 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

* 17 « Reconnaissance faciale : pour un débat à la hauteurs des enjeux », CNIL, 15 novembre 2019.

* 18 La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance, rapport d'information n° 627 (2021-2022) de Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain, déposé le 10 mai 2022, p.81. Ce rapport est consultable à l'adresse suivante : https://www.senat.fr/notice-rapport/2021/r21-627-notice.html.

* 19 Il s'agit des infractions visées dans la décision-cadre du Conseil du 13 juin 2022 relative au mandat d'arrêt européen, parmi lesquelles figurent les actes de terrorisme, la traite d'êtres humains, la corruption, les homicides volontaires, les viols etc.

* 20 Passage rapide aux frontières extérieures

* 21 La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance, rapport d'information n° 627 (2021-2022) de Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain, déposé le 10 mai 2022, p.79. Ce rapport est consultable à l'adresse suivante : https://www.senat.fr/notice-rapport/2021/r21-627-notice.html.

* 22 « Reconnaissance faciale : pour un débat à la hauteurs des enjeux », CNIL, 15 novembre 2019.

* 23 La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance, rapport d'information n° 627 (2021-2022) de Marc Philippe Daubresse, Arnaud de Belenet et Jérôme Durain, déposé le 10 mai 2022, p.81. Ce rapport est consultable à l'adresse suivante : https://www.senat.fr/notice-rapport/2021/r21-627-notice.html.

* 24 Les enjeux de l'utilisation d'images de sécurité dans le domaine public dans une finalité de lutte contre l'insécurité, Assemblée nationale, rapport d'information n° 1089 (2022-2023) de Philippe Gosselin et Philippe Latombe, déposé le 12 avril 2023. Ce rapport est consultable à l'adresse suivante :

https://www.assemblee-nationale.fr/dyn/16/rapports/cion_lois/l16b1089_rapport-information#_Toc256000052

* 25 Sous les réserves d'usage, dans la mesure où cette question n'a pas fait l'objet d'une délibération du collège de la CNIL et cette analyse ne présume pas de la position officielle que pourrait adopter l'institution.

* 26 Audition de Louis Dutheillet de Lamothe, secrétaire général de la CNIL, par la commission des lois le 23 mai 2023. La vidéo de l'audition est disponible à cette adresse : https://www.senat.fr/travaux-parlementaires/commissions/commission-des-lois/actualite/audition-de-louis-dutheillet-de-lamothe-secretaire-general-de-la-cnil-862.html.

* 27 Sous les réserves d'usage, dans la mesure où cette question n'a pas fait l'objet d'une délibération du collège de la CNIL et cette analyse ne présume pas de la position officielle que pourrait adopter l'institution.