Dans un contexte où il y a eu une croissance remarquable de l’usage du numérique, la loi visant à sécuriser l’espace numérique (SREN) vient poser des nouvelles règles dans la lutte contre les infractions en ligne. Cette loi a été adoptée dans un contexte où les nouvelles technologies ont pris de l’ampleur et deviennent de plus en plus incontournables, fournissant des services quotidiens essentiels, aussi bien dans les cadres professionnels que personnels.

Ce constat a été aussi réalisé durant le salon ViVa Technology édition 2024 qui a eu lieu à Paris du 19 au 25 mai 2024, où les innovations intégrant l’intelligence artificielle ont pris la majeure partie des présentations. Elles apportent des aides précieuses en automatisant les tâches, en l’occurrence pour les professionnelles de santé, de surveillance assistée par vidéo, du cloud, de marketing ou encore pour les utilisateurs dans leurs recherches d’emploi, de création de curriculum vitae et des activités telles que les jeux en ligne. Les solutions proposées récoltent pour la plupart des cas des données des utilisateurs. Les différentes technologies, dont l’intelligence artificielle, ont créé depuis quelques décennies, un espace propre d’existence ou la liberté l’emporte sur la sécurité¹. Pour participer, exister, être un acteur dans ce monde numérique, il faut s’identifier. Une connexion commence par une identification et pour s’identifier, il faut une identité.

“

Le temps n’est plus à la rumeur mais à la rationalité. On est plus qui on est parce que cela se dirait ; on est qui on est parce qu’un fichier informatique l’atteste.¹

Définition des concepts

L’identité numérique

Du latin Identitas, l’identité signifie le même caractère de ce qui est identique². L’identité est en Droit, ce qui fait pour une personne qu’elle est elle-même et non une autre personne³. C’est en fait, l’ensemble des données qui permettent d'individualiser une personne (date et lieu de naissance, nom, prénom, filiation…). De même, l’identité numérique désigne l’ensemble d’attributs associés à une personne physique et qui permet de relier ces données à cette personne : nom, prénom, pseudonymes, avatars, photos de profil et photos mises en ligne, numéro de téléphone, adresse e-mail, adresse de domicile, adresses IP, ainsi que les interactions avec d’autres entités à travers l’audience, la e-réputation (ce qui est dit au sujet de la personne sur internet), les favoris ou encore les commentaires.

Cette définition se distingue de la définition de l’identité numérique vue comme moyen de d’identification : « Une identité numérique est une solution qui permet aux internautes de se connecter simplement à différents services en ligne, et ce, sans avoir besoin de créer plusieurs comptes ni mots de passe⁴. »

Dans les deux cas, l’identité numérique permet deux choses : pour l’utilisateur, de s’identifier, de s’authentifier, d’apporter la preuve d’attributs d’identité (démontrer des caractéristiques de son identité, par exemple une nationalité, un statut d’étudiant, l’âge ou le fait d’être majeur) ; et pour les services en ligne de confirmer l’identité, profiler, localiser, proposer des services adaptés et bien d’autres. Le second cas est aujourd’hui facilité par des traitements automatisés permis par l’intelligence artificielle.

L’intélligence artificielle

La définition l’intelligence artificielle n’est pas chose aisée. Une définition un peu plus large est très souvent reprise : « ensemble des théories et des techniques développant des programmes informatiques complexes capables de simuler certains traits de l'intelligence humaine (raisonnement, apprentissage…)⁵ .

Dans un rapport de l’Agence des droits fondamentaux de l’Union européenne (FRA)⁶, l’on retrouve une définition qui essaye de retracer les principales fonctionnalités de l’intelligence artificielle : « L’intelligence artificielle l’intelligence artificielle (IA) fait référence à « des systèmes qui affichent un comportement intelligent en analysant leur environnement et en prenant des mesures — avec un certain degré d’autonomie — pour atteindre des objectifs spécifiques. Les systèmes basés sur l’IA peuvent reposer exclusivement sur des logiciels et être utilisés dans le monde virtuel (par exemple les assistants vocaux, les logiciels d’analyse d’images, les moteurs de recherche, les systèmes de reconnaissance vocale et faciale) ou l’IA peut être intégrée dans des produits matériels (par exemple les robots avancés, les voitures autonomes, les drones ou les applications de l’internet des objets). »

Ce rapport de la FRA offre un aperçu de l’utilisation qui est faite aujourd’hui des technologies liées à l’IA au sein de l’Union Européenne, mais analyse également ses implications sur les droits fondamentaux.

Droits fondamentaux

Les droits fondamentaux sont les droits et les libertés élémentaires dont doivent jouir tous les citoyens. Il s’agit d’une notion abstraite dont il n'existe pas de définition faisant l'unanimité. Les droits fondamentaux sont constitués : des Droits de l'Homme, des libertés publiques, et de nouveaux droits comme les garanties procédurales ou relatifs à l'environnement. L’on peut citer par exemple La dignité humaine : la liberté personnelle, la protection de la sphère privée, la liberté de la religion, la liberté de communication, la garantie de la propriété, le droit à l’égalité de traitement, l’interdiction de l’arbitraire et la liberté d’exercice et de contenu de vote.

En France, les droits fondamentaux sont inscrits dans la Déclaration des droits de l’homme et du citoyen de 1789 et reconnus par la Constitution de 1958. L'ensemble des droits fondamentaux sont garantis par ces deux textes, mais également par la Convention européenne de sauvegarde des droits de la personne et des libertés fondamentales (CEDH), la charte de l'environnement (incluse dans la Constitution depuis 2005) et les principes fondamentaux auxquels ces textes renvoient. « La liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui : ainsi, l'exercice des droits naturels de chaque homme n'a de bornes que celles qui assurent aux autres membres de la société la jouissance de ces mêmes droits. », dispose l’article 4 la Déclaration des droits de l'homme et du citoyen de 1789. Cette question de liberté se pose encore aujourd’hui, en prenant d’autres dimensions.

Contextualisation

L’ère numérique a transformé la manière d’interaction, de travail mais aussi la manière de vivre. Avec l’émergence de technologies avancées telles que l’intelligence artificielle (IA), les identités numériques sont devenues des éléments centraux.



Elle est désormais biaisée, dépendant de la façon dont on les affiche, des données que ces technologies ont décidé de regrouper sur la base des algorithmes pour créer un profil, des plateformes ou ces données ont transité, mais aussi des acteurs auprès de qui on affiche l’ensemble de ces données qui représentent l’identité des personnes. Dans le cadre de cette étude, l’idée des droits fondamentaux liés à l’identité numérique nous évoque en priorité la protection des données personnelles, la protection de la vie privée, le droit à l’oubli, les libertés d’expressions, le vol et l’usurpation d’identité.

Des lors, il convient de se poser la question suivante : les règles sur le respect des droits fondamentaux sont-elles adaptées à l’ère où l’identité numérique est constamment façonnée par l’intelligence artificielle ?

Pour répondre à cette interrogation, il faut dire qu’il existe déjà un corpus juridique, une règlementation générale qui ne démontre pas absolument son efficacité en raison de la spécificité de cette question. C’est pourquoi il y a des lois et des règlements qui viennent non seulement renforcer cette législation existante mais qui posent également d’autres mesures phares.

Ainsi, cet article se propose d’examiner les risques posés par l’Intelligence Artificielle à l’intégrité de l’identité numérique et d’analyser les réponses législatives et réglementaires existantes et celles émergentes, afin de démontrer l’importance d’une législation proactive et adaptée pour protéger les droits fondamentaux dans un monde de plus en plus connecté.

I. La multiplication des risques sur les droits des personnes

L’identité numérique, définie comme l’ensemble des informations personnelles publiées en ligne, est devenue un élément central de l’existence dans l’ère numérique. Cependant, cette identité numérique est vulnérable à divers risques, notamment en ce qui concerne la vie privée des individus. L’IA, avec ses capacités de traitement et d’analyse de données massives peut également exacerber les risques liés à la liberté d’expression.

A. Les risques liés à la vie privée

Les différents risques pour la vie privée sont notamment engendrés par la collecte massive de données personnelles, la surveillance et le suivi en ligne et pose des problemes de gestion et de sécurisation des données .

La collecte massive de données personnelles

L’intelligence artificielle repose sur la collecte et l’analyse de vastes quantités de données pour fonctionner efficacement⁷. Ces données incluent souvent des informations personnelles sensibles, comme des habitudes de navigation, des préférences d’achat, des interactions sociales, et bien plus encore. Cette collecte massive de données pose un risque significatif pour la vie privée. En effet, les utilisateurs sont souvent inconscients de l’ampleur des informations collectées à leur sujet et des façons dont elles sont utilisées.

Les données collectées construisent l’identité numérique des individus et déterminent leurs perceptions par les autres. Ainsi les personnes sont exposées à des situations de détermination de choix de consommation sur les différentes plateformes de vente ou de fourniture de produits et services qui utilisent ces données personnelles. Toutes les informations disponibles sur les préférences ou les choix des personnes peuvent être également utilisées à des fins politiques.

Le scandale de Cambridge Analytica en 2018 a illustré de manière dramatique les dangers associés à la collecte et à l’utilisation non consensuelle des données personnelles. Des millions de profils Facebook ont été exploités pour des fins politiques, manipulant ainsi les comportements électoraux sans le consentement éclairé des utilisateurs. Ce cas a mis en lumière l’urgence d’une régulation stricte pour protéger la vie privée dans le contexte de l’IA et des technologies numériques.

La jurisprudence européenne, notamment à travers l’arrêt Google Spain de la CJUE, a souligné l’importance du droit à l’oubli dans le contexte numérique, permettant aux individus de demander la suppression de liens vers des informations personnelles obsolètes ou inexactes⁸. Car aujourd’hui le sort des données des personnes déjà morte poses problèmes même si des plateformes comme Google, Facebook et Twitter offre des services pour appliquer le droit à l’oubli des personnes décédées.

Face à ces types des risques, la CNIL rappelle que : «en tant que candidat ou élu, vous ne pouvez pas utiliser à des fins de prospection politique les fichiers auxquels vous accédez dans le cadre de vos fonctions institutionnelles, associatives ou professionnelles⁹ ».

La collecte massive de données personnelles par des systèmes d'IA pose de sérieux problèmes de confidentialité et de protection des données.

La surveillance et le suivi en ligne

Les technologies d’IA permettent une surveillance et un suivi en ligne extrêmement détaillés. Les algorithmes peuvent suivre chaque mouvement en ligne d’un utilisateur, créant ainsi des profils complets qui peuvent être utilisés pour des publicités ciblées, des offres personnalisées, ou pire, pour surveiller et contrôler les comportements. Des entreprises comme Google et Facebook utilisent des technologies avancées pour suivre les utilisateurs à travers différents sites et applications, accumulant des quantités énormes de données sur les habitudes et les préférences des individus.

Cette surveillance omniprésente pose de sérieux risques pour la vie privée et l’autonomie des personnes. Les utilisateurs peuvent se sentir constamment observés, ce qui peut avoir un effet dissuasif sur leur comportement en ligne, limitant leur liberté d’expression et leur droit à l’information. La jurisprudence récente, notamment l’arrêt Schrems II de la Cour de Justice de l’Union Européenne (CJUE), a renforcé la nécessité d’une protection rigoureuse des données personnelles, invalidant le Privacy Shield et obligeant les entreprises à reconsidérer leurs pratiques de transfert de données hors de l’UE.

La question de surveillance en ligne se pose aussi aujourd’hui à l’ère de télétravail, ou des fonctions automatisées permettent d’enregistrer toutes les traces numériques des employées. L’arrêt de la Cour d’appel de Paris de février 2005 considèrent toute entreprise donnant la possibilité à ses salariés de se connecter à Internet serait tenue de respecter la règlementation relative à la conservation des données de connexion durant un an. Pour certains auteurs, cela constitue une cybersurveillance¹⁰, alors que la CNIL considère « pour sa part qu’il n’y a légale à caractère général qui obligerait un employé à cybersurveiller ses salariés ».

La gestion et la sécurisation des données

Un autre aspect critique de la vie privée concerne la gestion et la sécurisation des données collectées par les systèmes d’IA. Les violations de données et les cyberattaques sont devenues monnaie courante, exposant les informations personnelles à des tiers malveillants.

Des incidents comme la violation de données chez Equifax¹¹ en 2017, qui a compromis les informations personnelles de 147 millions de personnes, montrent à quel point les données sont vulnérables, alors qu’il existe des obligation légales, constitutionnelles et règlementaires qui garantisse la protection à la vie privée.

Certaines entreprises sont certes situées hors de la France et hors de l’Union Européenne, mais il faut rappeler que les entreprises qui collectent des informations d'identification personnelle ont l'obligation, en vertu de la Constitution américaine (pour le cas de l’espèce), de protéger efficacement ces données. Bien qu'il n'y ait pas d'« amendement spécifique au droit à la vie privée », cela appelle la Déclaration des droits la « constitution du droit à la vie privée ».

L’ONU a mis en évidence les dangers potentiels de l’IA, appelant à un moratoire sur certains systèmes comme la reconnaissance faciale, en raison du « risque grave d’atteinte aux droits de l’homme », y compris le droit à la vie privée. De même, des systèmes d’IA utilisés pour déterminer l’accès aux services publics peuvent entraîner des violations de la vie privée si leur utilisation n’est pas correctement encadrée.

Les risques pour la vie privée incluent le profilage, la prise de décision automatisée, et d’autres technologies d’apprentissage automatique qui peuvent affecter non seulement la vie privée mais aussi d’autres droits fondamentaux comme la santé, l’éducation, et la liberté de mouvement.

Pour ce faire, les entreprises qui utilisent l’IA pour traiter les données personnelles doivent adopter des mesures de sécurité robustes pour protéger ces informations. Cependant, même avec des mesures de sécurité avancées, le risque de violation n’est jamais totalement éliminé. Cela soulève des questions sur la responsabilité et les recours disponibles pour les individus dont les données sont compromises.

II. Des réglementations générales pour appréhender ces risques

Malgré ces défis, des cadres réglementaires existent déjà pour tenter de protéger les droits fondamentaux face aux technologies d'IA. Il y a principalement le Règlement Général sur la Protection des Données.

A. Le Règlement Général sur la Protection des Données (RGPD)

Le RGPD, entré en vigueur en mai 2018, est une des législations les plus complètes en matière de protection des données personnelles. Il impose des obligations strictes aux entreprises qui collectent, traitent et transfèrent des données personnelles, garantissant ainsi des droits importants aux individus.

Le premier rappelle évoqué au préambule concerne l’objet même de ce reglement : « La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne (ci-après dénommée «Charte» ) et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. »

Le RGPD repose sur plusieurs principes clés, notamment la minimisation des données, la transparence, et le respect des droits des individus. Il prévoit des sanctions sévères pour les violations, allant jusqu’à 04% du chiffre d’affaires annuel mondial d’une entreprise. Les entreprises doivent également nommer un Délégué à la Protection des Données (DPO) et mener des évaluations d’impact sur la vie privée (PIA) pour les traitements de données à haut risque.

Le RGPD permet une protection générale sur les données personnelles pouvant constituer l’identité numérique. La question de l’intégrité de ces données est largement reprise. L’intégrité des données fait référence à l’exactitude, l’exhaustivité et la cohérence globales des données. Cette intégrité est maintenue par un ensemble de processus, règles et normes appliqués pendant la phase de conception.

Par exemples, une base de données marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations15.

Le RGPD a également introduit des droits renforcés pour les individus, tels que le droit d’accès, de rectification, d’effacement (droit à l’oubli), et de portabilité des données.

Ces droits permettent aux individus de garder le contrôle sur leurs informations personnelles et de demander des comptes aux entreprises qui les manipulent.

B. Le Data Act

Le règlement relatif à des règles harmonisées en matière d’accès et d’utilisation équitables des données — également connu sous le nom de loi sur les données — est adopté en 2022 et entré en vigueur le 11 janvier 2024.

Le Data vise à renforcer le contrôle des individus sur leurs données, en facilitant la portabilité des données et en régulant l’accès aux données non personnelles dans un cadre de confiance et de sécurité. Il établit un cadre juridique pour le partage des données entre entreprises, consommateurs et autorités publiques, tout en garantissant la protection des droits fondamentaux des individus.

Le Data Act prévoit des obligations pour les entreprises concernant la transparence des traitements de données, la sécurisation des informations et la prévention des abus. Il encourage également l’innovation en facilitant l’accès aux données pour les entreprises de toutes tailles, favorisant ainsi un écosystème de données plus équitable et compétitif.

Parmi les nouvelles mesures, l’on peut évoquer l’accroissement de la sécurité juridique : cela concerne les entreprises et les consommateurs engagés dans la production de données, en particulier dans le cadre de l’internet des objets, en établissant des règles claires sur l’utilisation autorisée des données et les conditions associées, tout en maintenant des certifs permettant aux détenteurs de données de continuer à investir dans la production de données de haute qualité.

Toutefois, bien que le RGPD et le Data Act posent des bases solides pour la protection des droits fondamentaux, leur application pose des défis significatifs. La rapidité de l’innovation technologique et la complexité des systèmes d’IA rendent difficile la mise en œuvre et le respect de ces réglementations. De plus, la coopération internationale est essentielle pour garantir une protection cohérente des droits dans un environnement numérique globalisé.

Les autorités de protection des données, telles que la CNIL en France, jouent un rôle crucial dans l’application des réglementations. Cependant, elles doivent faire face à des ressources limitées et à des capacités d’expertise technique qui peuvent être insuffisantes pour surveiller et réguler efficacement les technologies avancées comme l’IA.

En fait, la loi informatique et liberté du 6 janvier 1978 qui a précédé le RGPD est venue traduire le besoin de liberté exprimé par les individus. L’article 1er de cette loi dispose ainsi :



Aujourd’hui, les individus expriment un fort besoin de sécurité et de garantie de l’identité à l’ère ou l’IA prend de plus en plus de place dans la vie quotidienne des individus.

Guillaume Desgens-Pasanau et Eric Freyssinnet ont si bien évoqué de besoin de sécurité et de garantie d’identité : « Face aux nouveaux phénomènes de la délinquance technologique tout d’abord (fraudes à l’identité, usurpation d’identité sur Internet, etc.), les individus attendent légitimement de l’Etat qu’il protège leur identité. L’Etat se construit ainsi, conformément à ses missions traditionnelles, en tiers de confiance de l’identité des personnes. Cette protection conduit inexorablement à l’existence de mesures des individus, par exemple sur Internet, et pose la question d’un nécessaire équilibre à trouver ».

Dans la quête de trouver cet équilibre entre liberté et sécurité, des réglementations sectorielles entreront en vigeur.

Continuer à lire

Intélligence artificielle et droits fondamentaux : la protection de l'intégrité de l'identité numérique

25 nov. 2024

Références :

1. Guillaume Desgens-Pasanau et Eric Freysinnet, L’identité à lère du numérique, P. 03, Presaje, 2009.

2. Fanny Vasseur-Lambry, L’identité, l’état civil et le principe de l’indisponibilité de l’état des personnes, P. 61, Artoise Presses Université, CDEP, 2015.

3. Gérard Cornu, vocabulaire juridique, PUF, Quadrige, 2011, V. Identité.

4. La définition de l’identité numérique, docaposte.com.

5. Dictionnaire Le Robert.

6. Agence des droits fondamentaux de l’Union européenne, Bien préparer l’avenir : l’intelligence artificielle et les droits fondamentaux, 2021.

7. Corralie Berry et Stéphanie O’Brien, Collecte et traitement des données : comment l’IA apprend-elle à apprendre, TD Synnex, IT Mag.

8. Lextenso, Décès : identité numérique et droit à l'oubli, 2015.

9. CNIL, Quels fichiers peuvent être utilisés à des fins de communications politiques ?, 2019.

10. La cybersurveillance est un mécanisme de surveillance de personnes, d'objets ou de processus qui repose sur les nouvelles technologies et qui s'exerce à partir et sur des réseaux d'information, tel Internet. Elle vise à faciliter la surveillance, compte tenu de la quantité, de la rapidité ou de la complexité de l'information à traiter.

11. Naploli Shkolnik, Leçon à tirer de la violation des données d’Equifax, napolilaw.com, 2022.