Intelligence artificielle et droits fondamentaux : la protection de l'intégrité de l'identité numérique
Les données personnelles, auparavant conservées et contrôlées par l’Etat sont aujourd’hui entre les mains de sociétés de droits privés et utilisées à des fins commerciales. Vu la spécificité de la question traitant la protection de l’intégrité de l’identité numérique, des règlementations sectorielles doivent être adoptées. Il s’agit pour cet article d’aborder la Loi SREN et les dispositions du code pénal qui répriment les nouvelles infractions et le règlement sur l’IA.
Cet artcile fait suite à l'article : 
L’identité numérique : le respect des droits fondamentaux à l’épreuve de l’intelligence artificielle
24 nov.2024
La loi SREN et les dispositions du code pénal qui répriment les nouvelles infractions
Pour protéger les droits fondamentaux liés à l’identité numérique, la loi SREN vient compléter le code pénal et apporter des mesures réprimant le délit d’usurpation d’identité numérique, les atteintes au droit à l’image et les montages illicites mais institue également des mesures pour la vérification d’âge. Le délit d’usurpation d’identité numérique
Adoptée le 10 avril 2024 par l’Assemblée nationale, la Loi SREN (Sécurité et Régulation des Espaces Numériques), introduit de nouvelles infractions spécifiques au numérique. Cette législation vise à combler les lacunes des régulations existantes en adressant les défis posés par les technologies numériques et l’IA. Elle introduit des dispositions spécifiques pour réprimer les usurpations d’identité, les atteintes au droit à l’image et d’autres abus facilités par les technologies numériques. Ces dispositions sont destinées à renforcer la protection des internautes, notamment les plus jeunes, et vont conduire la CNIL à exercer de nouvelles missions en lien avec les autres régulateurs du numérique.
La loi SREN modifie plusieurs articles du code pénal pour inclure des sanctions accrues pour les infractions numériques. Par exemple, l’usurpation d’identité numérique est désormais passible de peines d’emprisonnement plus sévères et d’amendes plus élevées. Cette législation reconnaît la gravité des préjudices causés par les infractions numériques et vise à dissuader les comportements abusifs.
L’usurpation d’identité numérique est une infraction de plus en plus courante dans l’environnement numérique. Elle consiste à utiliser les informations personnelles d’une autre personne sans son consentement pour commettre une fraude, causer des préjudices ou obtenir des avantages. Les réseaux sociaux et les services en ligne sont des plateformes particulièrement vulnérables à cette forme de fraude.
Le délit d’usurpation d’identité est prévu par l’article 226-4-1 du Code pénal :
« Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porteratteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15
000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »
En réalité les cas d’usurpations d’identité sont assez nombreux sur internet qui voit fleurir les faux profils, faux comptes ou adresses mails trompeuses laissant penser qu’elles émanent d’un tiers.
Un cas emblématique est celui de l’usurpation de l’identité du journaliste français Alexandre Benalla sur Twitter. En 2018, un individu a créé un faux compte Twitter en utilisant le nom et la photo de Benalla, publiant des messages trompeurs et diffamatoires. Cet incident a mis en lumière la facilité avec laquelle l’identité numérique peut être détournée, causant des dommages significatifs à la réputation et à la vie privée des victimes.
Les atteintes au droit à l’image et les montages illicites
Les atteintes au droit à l’image sont également une préoccupation majeure dans le contexte numérique. Avec la prolifération des smartphones et des réseaux sociaux, des images et des vidéos peuvent être capturées et partagées sans le consentement des personnes concernées. Ces atteintes peuvent avoir des conséquences graves, notamment en termes de harcèlement, d’intimidation et de violation de la vie privée.
La Loi SREN prévoit des sanctions pour les atteintes au droit à l’image dans l’environnement numérique, reconnaissant l’importance de protéger les individus contre l’utilisation abusive de leur image. Les victimes de telles atteintes peuvent désormais recourir à des mesures juridiques plus robustes pour obtenir réparation et faire cesser les abus.
Avec les différentes possibilités de montages qu’offre l’intelligence artificielle, les montages qui portent atteintes aux personnes sont de plus en plus multiples, sophistiqués et difficile à détecter. Des personnes mal intentionnées peuvent monter des images d’autres personnes en leurs faisant tenir des propos qu’elles n’auraient pas pu tenir par exemple. On a récemment assisté à des cas de deepfake d’images des présidents dans des lieux inappropriées ou en train de tenir des propos qu’il n’aurait pas pu assumer.
Le deepfake fait notamment référence à une technique de synthèse multimédia reposant sur l'intelligence artificielle. Elle consiste notamment à superposer des traits humains sur le corps d'une autre personne – et/ou à manipuler les sons – pour générer une expérience humaine réaliste1. Cette atteinte à l’identité porte préjudice à la perception des individus par les autres individus et pourrait compliquer leurs apparitions publiques, voire entrainées des conséquences psychologiques lorsqu’elles sont graves, dépendant de l’état des personnes.
Mais Il faut rappeler que sur le plan pénal, la reprise des attributs de la personnalité d’une personne sans son consentement est susceptible, sous certaines conditions, de constituer l’infraction d’atteinte à la vie privé d’autrui au sens de l’article 226-1 du code pénal.
Ainsi, l’article 5 ter du de la loi SREN introduit un nouvel article 226-8-1 dans le code pénal :
« Est puni d'un an d'emprisonnement et de 15 000 euros d'amende le fait de publier, par quelque voie que ce soit, le montage réalisé avec les paroles ou l'image d'une personne sans son consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage ou s'il n'en est pas expressément fait mention.
Ces peines sont portées à deux ans d'emprisonnement et à 45 000 euros d'amende lorsque les délits prévus au présent article ont été réalisés en utilisant un service de communication au public en ligne. »
La vérification d’âge
Compte-tenu des nouveaux usages numériques qui ont entrainé la recrudescence de nouvelles menaces, la loi SREN apporte des mesures permettant les enfants de contenus pornographiques en assurant la mise en place de systèmes de vérification d’âge sur les sites pornographiques, sous peine de lourdes amendes et de blocage des sites.
De même, les hébergeurs sont tenus de retirer dans les 24 heures les contenus pédopornographiques qui leur sont signalés par les autorités, en l’occurrence par la police et la gendarmerie, sous peine d'un an de prison et 250 000 euros d’amende, voire plus en cas de manquement habituel.
Mais les techniques actuelles de vérification d’âges ne répondent pas aux exigences de cette lois. Car il suffit pour l’utilisateur de cliquer sur des boutons indiqués pour confirmer l’âge. Faut-il alors, fournir le numéro d’identité nationale ou le numéro de la carte bancaire et procéder à une vérification par caméra pour la conformité afin de vérifier l’âge ?
Le paradoxe entre ces genres de mesures et la protection de la confidentialité est en effet frappant. Même si à l’ère numérique, le besoin de liberté l’emporte sur le besoin de sécurité, « La dichotomie liberté/sécurité se traduit dans le rapport que chaque individu entretient avec le progrès technologique2. »
En outre, à côté de ces dispositions, l’on peut également souligner les apports de l’IA Act.
II. Le règlement sur l’IA (IA Act)
Le règlement sur l’IA de mars 2024 propose une approche par les risques pour la régulation des systèmes d’IA, classant ces systèmes en quatre catégories de risques : minimal, limité, élevé et inacceptable. Cette classification vise à adapter les exigences réglementaires à la gravité des risques posés par chaque type de système d’IA, en tenant compte des potentiels impacts sur les droits fondamentaux et la sécurité des individus.Les IA à risque minimal et limité Les systèmes d’IA classés comme présentant un risque minimal ou limité sont ceux qui ont un impact relativement faible sur les droits et les libertés des individus. Ces systèmes peuvent inclure des chatbots, des applications de productivité ou des jeux vidéo. Les exigences réglementaires pour ces systèmes sont moins strictes, se concentrant principalement sur la transparence et la conformité aux normes de base en matière de sécurité des données.
Pour ces IA, les obligations incluent la transparence sur le fait que l’utilisateur interagit avec une IA, la mise en place de mesures de sécurité pour protéger les données personnelles, et l’assurance que les systèmes ne discriminent pas injustement ou n’exploitent pas de manière abusive les utilisateurs.
Les IA à risque élevé
Les IA à risque élevé incluent des systèmes qui peuvent avoir des impacts significatifs sur les droits et les libertés des individus. Cela comprend des technologies telles que la reconnaissance faciale en temps réel dans les espaces publics, les systèmes de crédit scoring, et les outils de recrutement automatisés. Ces systèmes sont soumis à des exigences strictes en matière de transparence, d’audit et de responsabilité.
Les fournisseurs de systèmes d’IA à risque élevé doivent mettre en œuvre des évaluations d’impact sur les droits fondamentaux avant le déploiement de leurs technologies. Ils doivent également garantir que leurs systèmes sont exempts de biais et de discrimination, et qu’ils permettent une interprétation compréhensible des décisions prises par l’IA. Des audits réguliers et des mécanismes de surveillance sont nécessaires pour assurer la conformité continue aux normes réglementaires.
Les IA à risque inacceptable
Les IA classées comme présentant un risque inacceptable sont celles qui posent des menaces graves aux droits fondamentaux et à la sécurité des individus. Ces systèmes incluent, parexemple, les technologies de notation sociale de type chinois, qui surveillent et évaluent en permanence les comportements des citoyens, ou les systèmes de surveillance massive sans base légale appropriée.
Ces IA sont strictement interdites dans l’UE en raison de leur potentiel de violation grave des droits fondamentaux. Le règlement sur l’IA interdit explicitement le développement, le déploiement et l’utilisation de tels systèmes, établissant des sanctions sévères pour les infractions. Cette interdiction vise à protéger les individus contre les pratiques de surveillance intrusive et les évaluations sociales abusives.
Intégration des dispositions juridiques
Le règlement sur l’IA intègre des dispositions du RGPD pour renforcer la protection des données personnelles. Les principes de minimisation des données, de transparence et de droit d'accès sont applicables aux systèmes d’IA, garantissant que les individus conservent le contrôle sur leurs informations personnelles. De plus, le règlement impose des obligations de non-discrimination, assurant que les systèmes d’IA ne reproduisent pas ou n’amplifient pas les biais existants.
Les obligations de transparence exigent que les utilisateurs soient informés lorsqu’ils interagissent avec une IA, et que les décisions automatisées soient explicables et interprétables. Les entreprises doivent également assurer la sécurité des données traitées par les systèmes d’IA, mettant en œuvre des mesures techniques et organisationnelles adéquates pour protéger contre les violations de données.
La protection de l'identité numérique à l'ère de l'intelligence artificielle est une problématique complexe et urgente qui nécessite une attention soutenue et des efforts coordonnés à plusieurs niveaux. Les risques inhérents à l'utilisation croissante des technologies d'IA, tels que les deepfakes et l'usurpation d'identité, illustrent parfaitement les dangers que ces innovations peuvent représenter pour les individus et les organisations. Ces technologies, tout en offrant des opportunités inédites, posent des défis substantiels en matière de sécurité, de confidentialité et de respect des droits fondamentaux.
Les exemples de deepfakes utilisés pour escroquer des entreprises montrent la sophistication et l'efficacité de ces nouvelles formes de fraude. La capacité des deepfakes à imiter de manière convaincante la voix ou l'apparence de personnes réelles rend la détection de ces manipulations extrêmement difficile. Cela met en lumière l'insuffisance des méthodes de sécurité traditionnelles et l'urgence de développer des technologies de détection plus avancées. Par ailleurs, les attaques par usurpation d'identité, notamment les faux ordres de virement, démontrent combien il est facile pour des cybercriminels de tirer parti des failles de communication au sein des entreprises. Ces incidents révèlent la nécessité d'une vigilance accrue et d'une éducation continue des employés en matière de sécurité numérique.
Sur le plan législatif, il est clair que les régulations existantes, bien qu'elles offrent une première ligne de défense, ne sont pas toujours suffisantes pour couvrir les nouvelles formes de menaces posées par les technologies d'IA. Le Règlement général sur la protection des données (RGPD) de l'Union européenne a établi un cadre solide pour la protection des données personnelles, mais des lacunes subsistent, en particulier en ce qui concerne les menaces spécifiques comme les deepfakes et les usurpations d'identité. Il est impératif que les législateurs continuent d'adapter et de renforcer les régulations pour faire face à ces défis en constante évolution. La question de la « mort numérique », c’est-à-dire du sort de l’identité numérique après la mort de l’individu est toujours sujette à des interrogations.
La Loi SREN et le règlement sur l'IA (IA Act) sont des pas importants dans la bonne direction. La Loi SREN, en particulier, vise à réprimer de nouvelles infractions telles que l'usurpation d'identité et les atteintes au droit à l'image dans l'environnement numérique, fournissant des outils juridiques pour sanctionner ces actes. L'IA Act, quant à lui, propose une approche par les risques qui classifie les technologies d'IA en différentes catégories de risques, permettant une régulation plus nuancée et adaptée. Cette approche basée sur les risques est cruciale pour équilibrer les avantages et les dangers des technologies d'IA. Cependant, la réglementation seule ne suffit pas. Les entreprises et les individus doivent également être sensibilisés aux risques et aux meilleures pratiques en matière de sécurité numérique.
Seule une approche intégrée, combinant réglementation, éducation et innovation technologique, pourra garantir que les avancées technologiques se fassent dans le respect des droits humains et la protection de l'identité numérique de chaque individu. Cette collaboration est cruciale pour construire un environnement numérique sûr et équitable, où les bénéfices de l'intelligence artificielle peuvent être pleinement réalisés sans compromettre les droits fondamentaux.
Article précédent
24 nov.2024
1. Vejay Lalla, Adine Mitrani et Zach Harned, Intelligence artificielle, le deepfake dans l’industrie du divertissement, OMPI, 2022.
2. Guillaume Desgens-Pasanau et Eric Freysinnet, L’identité à lère du numérique, P. 11, Presaje, 2009.
À lire également :
Récents
Citations
“
Le droit est l'art du compromis entre les intérêts divergents.
“
La loi n'est que la codification des mœurs d'un peuple à une époque donnée.
“
La loi ne doit pas être une arme, mais un bouclier.
Bonjour !
Je suis Ismail Abakar Adoum,
Juriste spécialisé en Droit du Numérique.
Je suis également développeur web. J'ai créé Juriotech dans le but de partager mon expertise et de créer un lien avec les passionnés du Droit, mais aussi d'entrer en contact avec les professionnels de différents domaines afin d'apporter mon accompagnement.
Groupe WhatsApp