Motie MME Julie CHANSON

23 mai 2022 de Belgique FAIT AU NOM DE LA COMMISSION DE L’INTÉRIEUR, DE LA SÉCURITÉ, DE LA MIGRATION ET DES MATIÈRES ADMINISTRATIVES PAR MME Julie CHANSON RAPPORT SOMMAIRE Pages

Audition ENQUÊTE DE CONTRÔLE DE L’ORGANE DE CONTRÔLE DE L’INFORMATION POLICIÈRE CONCERNANT L’UTILISATION DE CLEARVIEW AI PAR LA POLICE INTÉGRÉE

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Vooruit Les Engagés Les Engagés DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk Mesdames, Messieurs, Votre commission a consacré sa réunion du 9 mars 2022 à une audition portant sur l’enquête de contrôle de l’Organe de contrôle de l’information policière concernant l’utilisation de Clearview AI par la police intégrée.

I. — PROCÉDURE La commission a décidé d’organiser cette audition lors de sa réunion du 19 octobre 2021. En réponse à l’invitation à l’audition, l’Organe de contrôle a proposé que celle-ci ait lieu après la clôture de l’enquête qu’il menait dans cette affaire. La commission a accepté cette proposition. Le rapport de contrôle a été remis à la présidente de la Chambre et à la commission le 14 février 2022.

MM. Frank Schuermans, membre-conseiller, et Ronny Saelens, commissaire-enquêteur, auprès de l’Organe de contrôle de l’information policière (COC) ont été entendus au cours de la réunion du 9 mars 2022. II. — EXPOSÉ INTRODUCTIF M. Frank Schuermans, membre-conseiller de l’Organe de contrôle de l’information policière (COC), revient aux origines de l’affaire: le contrôle du COC concernait le recours potentiel à l’application de reconnaissance faciale Clearview AI par la police intégrée (GPI).

Clearview AI est une application commerciale américaine qui permet de comparer au moyen d’un logiciel de reconnaissance faciale des photos avec des photos conservées dans la banque de données de Clearview. Après un article de presse du 28 février 2020, l’Organe de contrôle a adressé le 2 mars 2020 un courrier au “Comité stratégique Information et ICT” de la GPI avec la question suivante: “La GPI belge ou l’une de ses composantes utilise ou expérimente actuellement avec la technologie de reconnaissance faciale (FRT)?”.

Le 19 mai 2020, le COC a reçu la réponse suivante: “Sur la base des informations disponibles actuellement,

nous n’avons pas connaissance, au niveau organisationnel de la Police fédérale, d’une utilisation de logiciels de reconnaissance faciale au sein des services de police. Il n’existe pas non plus à ce stade d’intentions ni de projets d’utiliser de tels logiciels étant donné qu’une base légale plus solide est requise (…)”. Le COC était donc convaincu que la police belge n’utilisait pas Clearview. Le 25 août 2021, un nouvel article a été publié sur le site Buzzfeednews qui indiquait que la police fédérale belge aurait utilisé cette technologie entre 100 et 500 fois.

Il y était aussi question d’une réunion d’Europol en octobre 2019, à laquelle la Belgique aurait participé et lors de laquelle le recours à cette technologie aurait été fait. Le COC a donc une nouvelle fois interrogé le 27 août 2021 le Commissaire général de la police fédérale qui a répondu le 22 septembre 2021. Il en ressort que la réalité était bien différente de la communication de mai 2020. Afin d’obtenir toute la clarté, le COC a posé le 1er octobre 2021 un série de questions complémentaires.

Le 18 octobre 2021, le Commissaire général a transmis le dossier de l’enquête interne. L’enquête comprend trois parties. La première avait pour but de retracer les faits exacts et de vérifier dans quelle mesure la police fédérale avait respecté ses obligations légales. Sur cette base, deux membres de la DJSOC, qui avaient utilisé l’application dans le cadre d’Europol et par la suite, ont été entendus.

Enfin, il a été procédé à l’évaluation juridique de l’utilisation de Clearview. Le 10 janvier 2022, le projet de rapport a été transmis en prélecture au Commissaire général. Le 28 janvier 2022, le COC a reçu les remarques du CG. Le 4 février 2022, le rapport définitif a été approuvé par le COC. L’utilisation de la technologie de reconnaissance faciale est un traitement de données à caractère personnel biométriques.

Celles-ci sont, tout comme les empreintes digitales ou palmaires, particulièrement sensibles, car elles contiennent des caractéristiques personnelles uniques. Le processus de traitement est divisé essentiellement en trois phases. Après l’enregistrement de la photo (première phase), il est recouru à un logiciel qui a été conçu pour reconnaître les caractéristiques uniques de la personne sur la photo (deuxième phase).

C’est au cours de cette phase qu’a lieu le traitement des données biométriques, à travers la conversion des

données “brutes” en un code chiffré unique (ce que l’on appelle un template). Ce template est ensuite comparé à d’autres images disponibles (troisième phase). En cas de résultat positif (hit), celui-ci doit être validé (match). Dans un contexte policier, l’utilisation de la FRT poursuit grosso modo deux objectifs: l’identification à partir d’une recherche non ciblée ou ciblée de personnes. Dans le cas d’une reconnaissance faciale non ciblée réalisée en public, une quantité très importante de photos ou d’images est comparée à une liste de personnes recherchées ou disparues.

L’application de la reconnaissance faciale fonctionne à distance (remote). Elle est en principe “non ciblée” parce que les images ou photos d’un groupe non différencié de personnes sont captées. Il s’agit d’une situation “non suspect versus suspect/personne disparue” (N: 1). En cas de reconnaissance faciale ciblée, les photos de suspects ou de personnes disparues sont comparées avec des photos ou des images recueillies par des caméras placées dans des lieux accessibles au public et il s’agit donc de l’opération inverse.

Il s’agit d’une opération de recherche ciblée: l’image d’un suspect ou d’une victime est comparée avec des photos ou images (mises à disposition) en vue d’identifier ce suspect ou cette victime. L’application Clearview concerne une reconnaissance faciale ciblée en vue d’une identification réactive de victimes et d’auteurs. On recherche une ou des personnes spécifiques (auteurs ou victimes) parmi un nombre (in)déterminé de personnes (situation 1: N).

Selon ses propres dires, Clearview n’est accessible que pour les “law enforcement agencies”. Clearview exploite une banque de données gigantesque de photos et images de personnes qui sont accessibles sur Internet. L’entreprise propose une version de test gratuite pour trente jours. Le site de Clearview comporte un lien dénommé “request trial”. Lorsque l’utilisateur clique sur ce lien, il voit s’afficher un écran mentionnant que l’application est uniquement accessible à la police et que la véracité de cette qualité doit être établie sur la base d’une validation de la part du responsable hiérarchique de l’utilisateur du compte.

Une fois le processus d’enregistrement terminé, l’utilisateur peut activer son compte. Lorsque l’utilisateur s’identifie avec son compte, il reçoit un lien qui lui permet de charger une photo. L’application compare automatiquement chaque photo avec la banque de données Clearview. Si la comparaison aboutit à un résultat positif, l’utilisateur reçoit un lien de la source dans laquelle Clearview a recueilli (“scrapted”) les photos (provenant d’internet).

Enfin, le lien vers l’endroit où se trouve la photo peut renvoyer lui-même à une ou plusieurs autres sources numériques

dans lesquelles d’autres photos sont éventuellement disponibles. L’application est très conviviale. L’application a été utilisée pour la première fois par le service Child abuse de la DGJ/DJSOC entre le 14 et le 25 octobre 2019 durant la taskforce d’Europol, qui s’est déroulée dans le cadre des dossiers du National Center for Missing and Exploited Children américain. Ce centre collecte des images d’auteurs et de victimes potentiels, dont l’identité n’est pas connue et les faits éventuels n’ont pas encore été localisés dans le temps et l’espace.

Lors de cette taskforce, les possibilités de la technologie ont été appliquées à des données de ce centre. Même après la taskforce, des photos et des images ont encore été utilisées dans le cadre d’enquêtes sur d’éventuels abus sexuels sur des mineurs. La dernière activité remonterait au 10 février 2020, après quoi les comptes ont été clôturés à l’initiative de Clearview. Le DJSOC aurait effectué au total 78 recherches dans la banque de données de Clearview, sans jamais aboutir à un résultat positif dans le cadre des enquêtes menées en Belgique.

Deux questions se posent dans le cadre de l’enquête. Qui, au sein de la police fédérale, était au courant de l’utilisation de Clearview ou aurait dû l’être? Son utilisation est-elle et était-elle légale? L’enquête du COC révèle que la DJSOC a été informée verbalement de l’utilisation de l’application Clearview immédiatement après la taskforce, et de manière formelle et par écrit au moins le 7 novembre 2019.

Il est donc problématique, car incorrect, que le CG réponde, dans sa lettre du 19 mai 2020 adressée au COC, que “(...) nous n’avons pas connaissance (...) de l’utilisation de logiciels de reconnaissance faciale au sein des services de police”. Ce n’est qu’après une nouvelle demande du COC, formulée le 27 août 2021, qu’une enquête interne sérieuse a eu lieu. Indépendamment de l’utilisation illicite, d’un point de vue légal, de l’application par deux enquêteurs individuels (par ailleurs très zélés) de la DJSOC, le COC reproche surtout à la DGJ d’avoir manifestement dissimulé cette information, intentionnellement ou non, non seulement au COC, mais également au CG.

Une telle attitude est incompatible avec le devoir de coopération imposé par la loi et est surtout problématique en raison du fait qu’une autorité de contrôle doit, en principe, pouvoir se fier à la véracité et la réalité des réponses des chefs de police. Le CG réplique qu’il ne perçoit de la part de la DGJ aucune volonté délibérée de dissimulation et met plutôt en avant un concours de circonstances.

Le COC

en prend acte et ne peut qu’espérer que ce genre de communication – qui, disons, laisse à désirer − ne se reproduira plus. Il ressort du dossier que la police judiciaire fédérale (PJF) a appliqué la technologie à des données à caractère personnel policières (photos et images). Le fait que ces images n’auraient pas eu trait à des “dossiers belges” n’y change rien. Le cadre juridique actuel s’applique sans restriction.

La PJF a communiqué des données policières à une entreprise tierce privée étrangère. Une telle communication de données ne trouve nullement appui dans la législation belge. En effet, à la lumière de la qualité de la base légale imposée par la jurisprudence pour le traitement de données biométriques par des autorités répressives, une base légale spécifique et claire est requise, en ce sens que les circonstances et conditions du recours à cette technologie doivent être définies dans une norme de droit et accompagnées de garanties de sécurité spécifiques et adéquates.

Le COC a déjà souligné cela précédemment dans le dossier de la police de l’aéroport de Zaventem où il a dû prendre la mesure correctrice d’arrêter un système de reconnaissance faciale. Dans le cas présent, des données policières ont été transmises à un destinataire se trouvant dans un pays tiers (hors de l’UE) sans qu’il ne soit établi que ce dernier garantit un niveau de protection adéquat et en dépit des dispositions de la loi du 5 août 1992 sur la fonction de police (LFP) qui s’opposent à une telle communication à une instance ou entreprise privée belge, européenne, et a fortiori américaine.

Il relève de la responsabilité du responsable du traitement – en l’occurrence la PJF – d’examiner si l’utilisation expérimentale de cette technologie était légalement possible. En faisant une analyse d’impact relative à la protection des données (AIPD), obligatoirement prévue par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (LPD), il aurait été évident qu’on était hors de la loi.

La PJF n’a pas fait une telle analyse. L’utilisation de Clearview par la DJSOC et l’utilisation de la FRT par la police de l’aéroport de Bruxelles-National ont en commun qu’elles se sont dans les deux cas déroulées au cours d’une phase dite “de test”. Mais même dans ce cas, la loi doit être respectée. La différence essentielle entre les deux cas se situe surtout dans le processus de traitement sous-jacent.

L’utilisateur de Clearview n’exerce aucun contrôle sur le traitement des données

biométriques. Les images sont chargées, de sorte que leur disponibilité est entièrement confiée à l’entreprise américaine Clearview, et sont donc envoyées en dehors de l’ordre judiciaire de l’Union européenne. La police n’a plus aucune prise sur la suite du processus de traitement par le destinataire (notamment sur la durée de conservation des images et sur l’usage commercial de ces données policières).

Par ailleurs, il est difficile de savoir si, en marge du template, Clearview a également conservé les données biométriques brutes, voire les exploite ou les a exploitées par la suite à des fins commerciales. Les traitements ont également lieu durant une phase préalable à l’ouverture d’une information ou d’une instruction et ils se cantonnent au niveau policier. De ce fait, le COC n’a pas non plus pu vérifier matériellement si l’utilisation de la reconnaissance faciale a effectivement conduit à un résultat négatif ou positif.

Le COC a dû se baser sur les affirmations des deux enquêteurs. Nulle part, ces traitements de données à caractère personnel ne sont saisis dans les banques de données policières existantes et il ne reste aucune trace des opérations effectuées. Les enquêteurs concernés ne voyaient aucun problème juridique et considéraient Clearview comme une forme d’open source intelligence, une sorte de recherche sur Google.

Cependant, son utilisation est incontestablement un acte d’information policier, ce qui implique le respect d’obligations telles que la traçabilité. Il y a donc eu une “expérimentation” libre, avec des photos personnelles des fonctionnaires de police participants, et avec des photos de victimes et/ou d’auteurs provenant de dossiers prétendument américains. Ce qui est surtout inquiétant pour le COC, c’est le fait que la direction de la DGJ ou de la DJSOC ne semble pas avoir pris en considération l’impact et les conséquences du processus de traitement.

Elle semble à tout le moins ne pas suffisamment comprendre la portée procédurale et juridique de ce processus. Elle semble ne pas réaliser que non seulement des photos de la police sont transmises à une entreprise commerciale en dehors de l’Union européenne, mais également les données biométriques sont depuis lors conservées par l’entreprise. Le COC émet également de sérieux doutes quant au processus de validation allégué par Clearview concernant une utilisation à des fins qui seraient exclusivement policières.

Il est également erroné de penser que seules des photos d’auteurs et/ou de suspects sont conservées. Logiquement, il s’agit de photos qui font partie de dossiers de la police. Donc, des photos non seulement d’auteurs,

mais aussi de victimes (des personnes très vulnérables) et même de témoins ou de passants occasionnels se retrouvent aux mains de cette entreprise américaine. Le COC a émis trois recommandations et pris deux mesures correctrices: Recommandation 1: l’organisation de formations et la sensibilisation des membres du personnel (et surtout des dirigeants) concernant le recours à l’open source intelligence ou à des applications/banques de données particulières en fonction du cadre juridique applicable.

Le COC doit régulièrement rappeler à la GPI qu’en matière de gestion de l’information, non seulement les citoyens, mais aussi la police doivent respecter la loi. Recommandation 2: la mise en place d’un cadre juridique clair pour les traitements d’informations et de données à caractère personnel policières à des fins de test dans une phase expérimentale. Cette recommandation doit se lire conjointement avec l’avis n° DA210029 du 24 janvier 2022 relatif à une proposition de résolution pour la mise en place d’un moratoire de trois ans sur l’utilisation de logiciels et d’algorithmes de reconnaissance faciale sur les caméras de sécurité, fixes ou mobiles, dans les endroits publics et privés (DOC 55 1349/001 du 16 juin 2020).

Recommandation 3: dans le cas où l’utilisation de la technologie de reconnaissance faciale serait autorisée par la loi, le COC souhaite que de nombreux aspects soient pris en compte, afin que la loi soit conforme aux exigences des jurisprudences européenne et belge en termes de légalité, de prévisibilité, de clarté, de sécurité de l’information, de transparence, etc. Après avoir constaté que l’utilisation de la technologie de reconnaissance faciale Clearview n’était et n’est pas légale, le COC a ordonné à la police fédérale, comme première mesure correctrice, de prendre les initiatives nécessaires pour respecter ses obligations en tant que responsable du traitement en cas de databreach, et notamment l’initiative de sommer Clearview: — de supprimer de sa banque de données les photos transmises par la DJSOC; — de supprimer le traitement biométrique auprès de Clearview, à savoir le template et les données biométriques brutes.

Enfin, comme deuxième mesure correctrice, le COC a averti la police fédérale que toute utilisation (future) de la technologie de reconnaissance faciale Clearview

ou d’une application/banque de données similaire est illégale. III. — DISCUSSION A. Questions et observations des membres Mme Yngvild Ingels (N-VA) souhaiterait savoir où en est la mise en œuvre des mesures correctrices et des recommandations du COC. Plus généralement, elle souligne les réticences des services de police à l’égard des nouvelles technologies, de sorte que la législation est souvent en retard.

Ne serait-il pas judicieux de créer un cadre légal pour des champs d’expérimentation, afin de permettre l’utilisation de nouveaux moyens techniques sous le contrôle du COC, de manière à donner toutes les garanties de sécurité possibles? Mme Eva Platteau (Ecolo-Groen) est surtout étonnée par le manque de communication dans ce dossier. En effet, l’information sur l’erreur d’évaluation lors d’une phase de test n’a initialement pas été transmise au Commissaire général et donc pas non plus à l’autorité de contrôle.

Quelle en est la raison? L’intervenante se réfère ensuite à la proposition de résolution qui a été déposée par Mme Chanson (DOC 55 1349/001). Cette proposition demande un moratoire de trois ans sur l’utilisation des logiciels de reconnaissance faciale jusqu’à ce qu’un cadre légal puisse être clairement défini. L’intervenante souhaiterait savoir si les représentants du COC soutiennent cette idée. En effet, les recommandations précisent que le personnel et les dirigeants de la police fédérale doivent être davantage sensibilisés à l’utilisation du logiciel et à ses conséquences au niveau de la protection de la vie privée.

Cela signifie-t-il concrètement que davantage de formations consacrées au respect de la vie privée et au RGPD doivent être organisées au sein de la police? Enfin, l’incident s’est produit dans le cadre d’une taskforce d’Europol sur les abus commis sur des enfants. Il est important que les auteurs de tels actes soient recherchés. Serait-il possible qu’à l’avenir, Europol travaille avec sa propre base de données ou son propre logiciel, de manière à ce que la police ne soit plus dépendante d’une société informatique privée américaine sur laquelle les autorités belges n’ont aucun contrôle? Pour M. Hervé Rigot (PS), les termes utilisés dans le rapport démontrent qu’il s’agit de faits graves.

Que l’usage ait été formel ou informel, dans un cadre de test ou d’enquête, ne justifie en aucun cas l’utilisation

de Clearview par les services de police. Cette affaire démontre un problème flagrant de communication au sein de nos entités policières. Il y a une chaîne de commandement qui a failli. La hiérarchie était informée mais n’a pas réagi à temps. L’intervenant s’étonne qu’il n’ait pas été possible d’arrêter plus tôt l’usage de Clearview, au vu des illégalités multiples. Pour M. Rigot, ce n’est pas parce que les choses sont possibles d’un point de vue technologie qu’elles sont autorisées.

En ce sens, il convient de procéder à la sensibilisation des policiers: ces derniers doivent faire respecter la loi mais ils doivent aussi respecter eux-mêmes la loi. Les personnes qui se retrouvent sur ces photos ontelles été informées? De cette manière, elles pourraient être en mesure de faire valoir leurs droits. La CNIL a ordonné à Clearview de supprimer toutes les photos qu’elle détenait de citoyens français.

Le COC a fait de même. Pourquoi cette demande ne concerne-telle pas tous les citoyens de l’Union européenne? Une demande en ce sens ne devrait-elle pas émaner de l’European Data Protection Board? Cette affaire démontre que Big Brother n’est plus une fiction mais est devenu une réalité. Il convient d’être prudent sur les dérives que peuvent amener les nouvelles technologies. Le groupe PS a soutenu au niveau européen un moratoire sur les nouvelles technologies.

Si certains souhaitent un cadre légal pour encadrer l’usage de ces technologies, il convient d’en discuter au Parlement. M. Rigot soutient la proposition de résolution déposée par Ecolo-Groen (DOC 55 1349/001) qui vise à instaurer un moratoire de trois ans sur l’utilisation de logiciels et d’algorithmes de reconnaissance faciale sur les caméras de sécurité, fixes ou mobiles, dans les endroits publics et privés.

Mme Caroline Taquin (MR) considère que le constat émis dans le rapport est clair et interpellant, à savoir que: “Le transfert d’informations et de données à caractère personnel policières à une entreprise privée, et a fortiori à une entreprise établie en dehors de l’Union européenne, n’est pas prévu par la LFP et constitue par conséquent un traitement de données illicite et illégitime.

Ce constat n’est pas contesté par la police fédérale”.

Pour le groupe MR, le respect des règles relatives à la protection des données à caractère personnel est absolument fondamental. La priorité doit être de tout mettre en œuvre pour que des agissements de ce type n’arrivent plus à l’avenir. À cet égard, le rapport apporte des pistes intéressantes. L’intervenante retient les trois recommandations formulées par l’Organe de contrôle de l’information policière: — tout d’abord, miser sur l’organisation de formations et sur la sensibilisation des membres du personnel; — ensuite, réglementer dans la LPD ou dans la LFP le traitement d’informations et de données à caractère personnel policières à des fins de test et mettre en place pour ce traitement un cadre juridique clair; Et enfin, tenir compte de certains aspects lors de la réglementation de l’utilisation de la technologie de reconnaissance faciale dans la LPD ou la LFP, et notamment: — les circonstances particulières dans lesquelles la reconnaissance faciale peut être utilisée; — l’intervention soit de l’Organe de contrôle soit du magistrat compétent, en motivant et en contrôlant la nécessité, la proportionnalité et la durée de l’utilisation; — le délai de conservation du traitement des données biométriques distinctes, à savoir le code unique et les données biométriques brutes; — l’homologation du processus de traitement technique; — le contrôle périodique de la fiabilité du processus de traitement technique; — et la transparence du processus de traitement.

En ce qui concerne les mesures correctrices, l’intervenante constate que la première mesure ordonne à la police fédérale de prendre l’initiative de sommer l’entreprise Clearview de supprimer de sa banque de données les photos transmises par la DJSOC et de supprimer le traitement biométrique auprès de Clearview. Le délai est clair. La preuve du respect de cette mesure correctrice doit être fournie à l’Organe de contrôle dans les deux mois à compter de la prise de connaissance de cette mesure.

Le rapport date de début février, nous

sommes début mars. Sauf erreur, il reste donc en théorie un mois à la police fédérale pour appliquer cette mesure correctrice. La presse indique qu’une demande a été transmise par la Police à l’entreprise Clearview. Est-il possible d’avoir plus d’informations à ce sujet? La police a-t-elle déjà reçu un retour de l’entreprise Clearview AI? M. Franky Demon (CD&V) rappelle que la réponse de la ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique au cours de la réunion de la commission du 6 octobre 2021 (CRIV 55 COM 597) laissait déjà clairement entendre que la police fédérale avait utilisé, dans le cadre de la taskforce d’identification des victimes d’Europol, une licence de test de Clearview AI qui avait une durée de validité limitée.

La ministre déclarait à l’époque que le cadre légal belge actuel n’autorisait pas l’utilisation de ce logiciel et que la police fédérale ne continuerait pas à l’utiliser. L’intervenant a appris dans le rapport que le 7 novembre 2019, la direction de la DJSOC était déjà au courant de l’utilisation de la technologie de reconnaissance faciale. Le Commissaire général de la police fédérale a toutefois démenti cette information en février 2020, dans sa réponse aux questions posées à ce sujet par le COC.

Dans son rapport, l’organe critique le manque de circulation de l’information au sein de la hiérarchie de la police fédérale et l’intervenant s’en inquiète également. Bien que le Commissaire général de la police fédérale parle d’un concours de circonstances, l’intervenant estime qu’il y aurait lieu d’approfondir cette question, à la lumière de la transmission des informations au COC, au Parlement et au ministre.

L’intervenant aborde ensuite la question de l’utilisation de la technologie de reconnaissance faciale en soi. Il estime qu’il est important d’engager le plus de moyens possible pour lutter contre la criminalité, mais que cela doit se faire dans un cadre légal et juridique. La LFP n’offre actuellement aucune base juridique pour l’utilisation d’un logiciel de reconnaissance faciale et pour le transfert de données policières à un acteur privé comme Clearview AI.

Il convient dès lors d’examiner si la législation doit être modifiée dans ce sens. C’est une bonne chose que dans son rapport, le COC formule des recommandations et souligne des points d’attention. En plus d’un cadre juridique, il faudra également prévoir des formations et des moyens d’information pour le personnel de police. L’intervenant s’étonne en effet, tout comme le COC, que les services de police concernés n’aient pas suffisamment compris quelle était la portée de l’application Clearview AI.

Dans ce contexte,

l’intervenant se félicite que la ministre de l’Intérieur, dans sa réponse au cours de la réunion de la commission du 6 octobre 2021, ait déjà déclaré que la police se dotait actuellement d’une expertise technique afin de mieux pouvoir évaluer l’utilisation de l’intelligence artificielle et plus particulièrement éviter les partis pris pour qu’à l’avenir, la technologie ne puisse être utilisée que dans le respect des droits et libertés de tout un chacun.

Enfin, l’intervenant estime que, compte tenu des divergences de points de vue sur cette question, un débat est encore nécessaire. Il se réjouit que les membres de la commission puissent compter sur l’expertise du COC dans ce domaine. M. Tim Vandenput (Open Vld) insiste sur le fait que le rapport du COC indique clairement que la police fédérale n’aurait pas dû travailler en dehors d’un cadre légal, mais que cet incident démontre la nécessité d’un tel cadre.

Dans ses deuxième et troisième recommandations, le COC déclare dès lors qu’une modification de la LFP s’impose. Le groupe de l’intervenant prépare une telle modification depuis un an et demi. L’intervenant soutient l’idée de Mme Ingels de mettre en place des champs d’expérimentation. En effet, il est favorable à une utilisation contrôlée de la technologie de reconnaissance faciale. Cette technologie pourrait ainsi être utilisée à certains points d’entrée dans notre pays, pour vérifier si des personnes reprises dans la base de données sur les combattants terroristes de l’Organe de coordination pour l’analyse de la menace (OCAM) entrent en Belgique via ces points, ou pour mettre les personnes concernées sur une liste noire.

De tels champs d’expérimentation nécessitent un cadre légal, un contrôle par le COC et une formation pour les utilisateurs. Le groupe de l’intervenant est plutôt favorable à des champs d’expérimentation qu’à un moratoire, où la technologie est toujours utilisée, mais en dehors d’un cadre légal. L’intervenant rappelle en effet que la technologie de reconnaissance faciale est déjà largement utilisée pour accéder à certaines applications dans un smartphone.

Si le smartphone en question est piraté, les données se retrouvent également chez un tiers. M. Bert Moyaers (Vooruit) demande si le COC dispose d’une capacité et d’une expertise suffisantes pour pouvoir contrôler toutes les formes possibles de traitement de l’information policière et de nouvelles technologies. L’intervenant constate que la police dispose déjà d’un savoir-faire en matière d’utilisation de ces technologies et demande si dans ce contexte, le COC établit une distinction entre les services de police locaux et fédéraux.

Enfin, l’intervenant souhaiterait savoir ce qu’il en est de la sensibilisation de la GPI à la protection des données depuis la création du COC en tant qu’organe de contrôle en 2018. Quels sont les plus grands défis et problèmes actuels? M. Ortwin Depoortere (VB) signale que son groupe est favorable à l’utilisation de technologies modernes pour lutter adéquatement contre la criminalité. Il constate que sur le terrain, les gens sont également demandeurs de telles technologies.

AInsi, la plupart des zones de police utilisent déjà des caméras ANPR. Mais comme cette technologie porte atteinte à la vie privée, les politiques doivent s’interroger sur la manière de trouver un équilibre à ce niveau. Le rapport du COC montre clairement qu’il manque un cadre juridique. L’intervenant demande au COC si le gouvernement a déjà réagi à ce constat ou s’il faut attendre une initiative parlementaire.

En tout état de cause, l’intervenant estime que les modalités proposées par le COC dans sa troisième recommandation constituent déjà un très bon point de départ. Enfin, l’intervenant s’inquiète du fait que la première mesure correctrice du COC n’oblige pas Clearview AI à faire disparaître les images concernées. L’intervenant reconnaît que seul un mois s’est écoulé sur le délai de deux mois accordé à la police fédérale pour l’exécution de cette mesure.

Néanmoins, il aimerait savoir si le COC a déjà obtenu des résultats positifs sur ce point. B. Réponses M. Frank Schuermans aborde tout d’abord la mise en œuvre des mesures correctrices. Eu égard à la capacité limitée du COC, l’organe n’informe pas de la mise en œuvre de ces mesures avant l’expiration du délai de deux mois. La première mesure correctrice concerne une obligation de moyens envers la police fédérale.

Il est possible que Clearview AI ne donne pas suite à la demande de la police fédérale, mais le COC ne peut pas prendre des mesures qui vont plus loin. L’intervenant évoque ensuite les tensions qui existent entre les règles européennes strictes en matière de protection des données et l’explosion des nouvelles technologies. À cet égard, la police fédérale et son autorité de contrôle doivent évidemment procéder à une évaluation.

Le COC a suggéré à plusieurs reprises de mettre en place des champs d’expérimentation et de créer

une législation pour rendre les tests possibles. Selon l’intervenant, c’est la seule façon possible de procéder. Indépendamment d’un cadre législatif, il est important de prévoir des garanties quant à la qualité des données obtenues. L’intervenant constate en effet que la technologie de reconnaissance faciale comporte une grande marge d’erreur et qu’il existe peu d’études indépendantes sur l’utilisation de cette technologie au Royaume-Uni et aux États-Unis, où cette technologie est plus fréquemment utilisée.

L’intervenant ne connaît qu’une seule étude sur ce sujet. Cette étude de l’Université d’Essex était particulièrement négative. Plus précisément, il faut déterminer ce que l’on fait des résultats opérationnels obtenus lors d’une phase de test. En effet, si l’on intervient sur la base de tels résultats, il ne s’agit plus d’une phase de test. Le COC peut jouer un rôle dans ce débat. On pourrait, par exemple, exiger l’autorisation préalable d’un organe de contrôle conformément à la directive européenne (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (Law Enforcement directive).

L’intervenant aborde ensuite la question du moratoire. Comme cette proposition date déjà d’il y a deux ans, l’intervenant se demande quelle devrait être la durée d’un tel moratoire. Celui-ci pourrait toutefois s’avérer utile pour une période limitée, pour autant que des études soient menées entre-temps sur les systèmes existants, également à l’étranger. À ce jour, le COC n’a pas connaissance d’une quelconque avancée dans ce domaine.

Si le Commissaire général de la GPI s’est bien déclaré intéressé par la poursuite de l’utilisation du logiciel de reconnaissance faciale, le COC n’a cependant reçu aucun projet concret dans ce sens. Du reste, l’intervenant fait observer qu’un moratoire n’empêche pas qu’entre-temps, un cadre législatif soit mis en place pour tester la technologie de reconnaissance faciale. À la question de savoir si la police fédérale a informé les personnes concernées, l’intervenant répond par la négative.

Une telle notification est impossible, puisque la police ne connaît pas l’identité des personnes qui figurent sur les images. En ce qui concerne l’action européenne, il est important de savoir que le Comité européen de la protection des données (CEPD) n’a aucune compétence dans de

domaine. Il appartient aux 27 autorités de protection des données des États membres de prendre cette décision. En France, la Commission nationale de l’informatique et des libertés (CNIL) a déjà pris des mesures correctrices à l’égard de Clearview AI. En Belgique, c’est l’APD qui doit prendre une telle décision. L’intervenant revient ensuite sur Europol, qui est un fervent partisan de la technologie de reconnaissance faciale et qui prépare effectivement ses propres fichier et application.

Le COC ne sait toutefois pas où en est cette initiative. Le contrôle d’Europol relève en effet de la responsabilité du Contrôleur européen de la protection des données (CEPD). En ce qui concerne la capacité et l’expertise du COC, l’intervenant souligne que le COC dispose d’un effectif limité à neuf collaborateurs, dont trois membres du comité de direction, trois membres du service d’enquête, deux juristes et un responsable informatique.

Depuis sa création en 2018, l’organe n’a pas demandé de moyens supplémentaires, mais a toujours accru son efficacité grâce à la polyvalence de son personnel. L’organe se verra toutefois confier une nouvelle mission dans le cadre de la rétention des données par les opérateurs télécoms. Il devra alors valider les statistiques servant de base pour la rétention des données. L’organe ne dispose toutefois pas de statisticiens.

Si l’on devait opter pour une autorisation préalable pour l’utilisation de la technologie de reconnaissance faciale, cela nécessiterait également l’engagement de collaborateurs supplémentaires. Enfin, le COC ne dispose pas non plus de capacités suffisantes dans le domaine informatique pour créer et partager une expertise qui pourrait, par exemple, apporter un soutien aux zones de police. Le responsable informatique doit en effet s’occuper dans une large mesure de la sécurité du COC, qui a un rôle d’exemple à jouer en cette matière.

Le COC doute que la police soit prête pour l’utilisation des nouvelles technologies. Certains corps de police sont plus avancés que d’autres sur ce point, mais le COC constate que la législation actuelle sur le traitement des informations policières n’est souvent pas respectée. Ainsi, des caméras sont souvent mises en service sans l’accord préalable du conseil communal. La Direction de l’information policière et des moyens ICT (DRI) de la police fédérale n’est pas en mesure d’offrir un soutien suffisamment rapide et efficace, de sorte que certaines zones sont amenées à expérimenter elles-mêmes.

L’intervenant déplore le manque d’expertise technique

dans le domaine de la gestion de l’information, notamment chez les chefs de corps, pour qui la gestion de l’information devrait pourtant relever de leurs activités principales. En ce qui concerne la sensibilisation à la protection des données, beaucoup de choses dépendent également du chef de corps et du délégué à la protection des données (data protection officer ou DPO) qu’il désigne. L’intervenant regrette, par exemple, que l’arrondissement judiciaire du Limbourg ne compte qu’un seul DPO, qui est responsable de toutes les zones de police.

Dans d’autres cas, le DPO s’avère être un “pigeon” qui ne connaît pas ses dossiers. Le COC peut toutefois faire pression en imposant des mesures correctrices pour obliger les zones de police à apporter des améliorations, comme l’élaboration d’un plan de sécurité de l’information. C’est ce que le COC a fait il y a deux ans dans la zone de police de Sint-Niklaas, qui est devenue une zone modèle sur le plan de la sécurité de l’information.

Au niveau de la police fédérale également, l’intervenant constate que l’on n’accorde pas suffisamment d’attention à la protection des données et à la sécurité de l’information, pas même dans la formation des commissaires divisionnaires. Il y a donc une résistance qui, selon l’intervenant, est liée à la volonté de la police de pouvoir traiter un maximum d’informations. À cet égard, il constate, par exemple, que certains fonctionnaires de police cherchent des moyens pour contourner l’archivage automatique de la Banque de données nationale générale (BNG), qui entrera bientôt en vigueur.

M. Ronny Saelens revient sur la base légale du traitement des données biométriques. Depuis 2016, une législation existe sur le sujet au niveau européen, mais ces dispositions n’ont pas été transposées en droit belge de manière satisfaisante. En ce qui concerne les données biométriques, la LFP mentionne uniquement les empreintes digitales, sans en préciser le traitement. Cela diffère du traitement de la reconnaissance faciale, qui inclut les émotions et les caractéristiques comportementales et peut être utilisé pour différentes finalités.

Pour l’intervenant, il est nécessaire que cette loi aborde le traitement de toutes les sortes de données biométriques. M. Saelens insiste sur le fait que le législateur devrait réfléchir à la manière dont la technologie de reconnaissance faciale pourrait être utilisée. Pourrait-elle être ciblée ou non ciblée? La fiabilité du logiciel utilisé et les valeurs seuils appliquées doivent également être prises en compte.

Se pose en outre la question de savoir si et pendant combien de temps les données biométriques

d’une surveillance non ciblée par caméra peuvent être conservées. Il convient en outre de réfléchir à l’utilisation des données publiques. Le rapport indique que les policiers concernés estimaient que sur les plateformes publiques, les informations sont communiquées par l’utilisateur. L’intervenant souligne toutefois que ce n’est pas toujours le cas, par exemple dans le cadre de la consultation d’un registre de condoléances numérique.

Bien que le registre soit public, il a un but précis, à savoir exprimer sa sympathie et son respect à la famille du défunt. Dans un tel cas, la famille doit-elle vraiment s’attendre à ce que la reconnaissance faciale puisse être appliquée à la photographie du défunt simplement parce que le registre est public? Il s’agit dans ce cas de trouver un équilibre entre le respect de la vie privée et le travail de la police, et cet équilibre exige des garanties pouvant être contrôlées.

La résolution pour la mise en place d’un moratoire vise à explorer cette piste. La rapporteure, Le président, Julie CHANSON Ortwin DEPOORTERE