En février 2020, il a été révélé, à la suite d'un piratage, que le logiciel de Clearview avait été utilisé en Belgique. Plusieurs pays ont été mentionnés par BuzzFeed. On apprenait aussi que la Belgique aurait obtenu un compte d'essai, sans qu'aucun service ni organisation ne soit précisé (cf. https://datanews.knack.be/ict/nieuws/audit streng voor politie die illegaal clearview ai gezichtsherkenning gebruikte/article news 1844585.html).

Plus d'un an plus tard, en août 2021, BuzzFeed a de nouveau évoqué le sujet, en précisant cette fois qu'il s'agissait de la police fédérale, qui a utilisé le logiciel «entre 101 et 500 fois». Le site a également souligné que cela avait eu lieu dans le cadre de la réunion d'Europol. Data News a alors pris contact avec la police fédérale, pour se voir répondre que personne n'avait connaissance de cette utilisation et qu'on n'envisageait pas de recourir à Clearview AI.

On sait entre-temps que ce n'était pas vrai. En réponse à plusieurs questions parlementaires posées entre autres par des membres de Vooruit, du CD&V, du PTB/PVDA, d'Ecolo/Groen, du Vlaams Belang et du PS, la ministre de l'Intérieur, Annelies Verlinden, a confirmé que la reconnaissance faciale – au demeurant illégale – avait bien été utilisée. Selon le journal Le Soir, il ne s'agirait que de tests (cf. https://datanews.knack.be/ict/nieuws/minister verlinden cd v federale politie gebruikte toch clearview ai software voor gezichtsherkenning/article news 1787557.html?cookie_check=1651050759).

Début septembre, soit une semaine après le démenti opposé à Data News, l'organe de contrôle de la police a mené une enquête interne sur la question et a constaté que le logiciel avait effectivement été utilisé pour un nombre restreint de consultations. Selon Le Soir, une enquête plus approfondie a démontré que des missions de recherche avaient également été effectuées, entre autres d'après des renseignements de Child Focus et dans le cadre de dossiers de l'étranger.

Clearview AI fournit un logiciel de reconnaissance faciale très pointu. L'entreprise revendique la détention d'une base de données contenant plus de trois milliards d'images avec lesquelles les services d'ordre peuvent découvrir l'identité de quelqu'un en quelques secondes (cf. https://datanews.knack.be/ict/nieuws/federale politie gebruikte gezichtsherkenningssoftware clearview honderd tot vijfhonderd keer update/article news 1771493.html).

Mais la technologie est aussi très controversée dans la mesure où Clearview tire ces images d'internet sans demander l'autorisation des personnes ou services concernés. C'est ainsi qu'elle indexe les photos de Facebook, Instagram, Linkedin et Twitter, une pratique qualifiée d'illégale par plusieurs autorités en matière de respect de la vie privée.

En février 2020, Buzzfeed avait déjà signalé que l'entreprise fournissait aussi des services à la police ou à des institutions belges. Le site se base pour cela sur une liste de login dévoilée. Clearview même avait à l'époque indiqué que sa base de données de clients avait été piratée.

Justification du caractère transversal de la question écrite : les différents gouvernements et maillons dans la chaîne de sécurité s'accordent sur les phénomènes à traiter en priorité au cours des quatre prochaines années. Ils sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025, et ont été examinés lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit dès lors d'une matière transversale partagée avec les Régions, dont le rôle principal se situe dans le volet préventif.

Je souhaite dès lors vous poser les questions suivantes :

1) Dans quel contexte la police fédérale a-t-elle eu recours à Clearview AI ? Des paiements ont-ils été effectués à l'entreprise Clearview AI ? Si oui, pour quels services et pour quels montants ?

2) Des appariements réalisés à l'aide de Clearview AI ont-ils été utilisés dans des dossiers pénaux ou des dossiers d'information judiciaire ? Si oui, quelle répercussion cela a-t-il sur la régularité de ces dossiers ?

3) Pouvez-vous confirmer que les images de Belges utilisées par Clearview ont été effacées ? Si la confirmation ne peut en être apportée, dispose-t-on d'indications selon lesquelles les images utilisées sont toujours dans leur système ? Les personnes concernées savent-elles que leur image a été utilisée sans autorisation ? Que comptez-vous entreprendre pour mettre un terme à la collecte illicite de données biométriques ?

4) Selon le journal Le Soir, une enquête a révélé que des missions de recherche avaient été effectuées entre autres d'après des renseignements de Child Focus et dans le cadre de dossiers de l'étranger. Selon vous, que sait Child Focus de l'utilisation de Clearview ? Des accords ont-ils été conclus ?

5) Pouvez-vous préciser quelles autres organisations publiques ont également eu recours au logiciel de reconnaissance faciale controversé ? Quels accords financiers ont été conclus avec Clearview AI ?

6) Quelles mesures comptez-vous prendre pour veiller à ce qu'à l'avenir, il ne soit pas possible de recourir ainsi aux services de Clearview AI et d'autres entreprises similaires ? Quels sont vos projets à cet égard et quelles sont les mesures déjà mises en œuvre ?

7) Selon vous, quels sont les risques et les avantages de l'utilisation d'un logiciel de reconnaissance faciale ? Estimez-vous que les avantages l'emportent sur les inconvénients ou inversement ? Selon vous, quelles sont les raisons qui ont poussé la police fédérale à recourir au logiciel ?

8) Les comptes des personnes qui ont utilisé le logiciel pour effectuer des recherches sont-ils toujours actifs ? Pourriez-vous indiquer le nombre de comptes créés auprès de Clearview AI par des institutions publiques belges ? Combien d'entre eux sont encore actifs actuellement ?

1), 2) & 3) Une enquête générale a été menée par les autorités de supervision des États membres de l’Union européenne (UE) (pour la Belgique, il s’agit de l’Organe de contrôle de l’information policière – COC) afin de vérifier les informations livrées par ces communiqués de presse et de savoir si la technologie de reconnaissance faciale (Facial Recognition Technology, ci-après «FRT») est effectivement utilisée. Cette enquête a révélé qu’aucune autorité de contrôle nationale n’avait connaissance de l’utilisation officielle de la FRT par les services de police des États membres concernés, en ce compris en Belgique.

L’enquête du COC est clôturée depuis le 19 mai 2020. Sur la base des informations actuellement disponibles, le COC confirme qu’il n’y a pas eu connaissance, au sein de la police fédérale, de l’utilisation ni de l’intention d’utilisation de logiciels de reconnaissance faciale dans les services de police par le biais d’une société privée étrangère comme Clearview AI ou tout autre société privée. La police fédérale est bien consciente de la nécessité d’une base juridique plus solide pour pouvoir utiliser cette technologie de reconnaissance faciale.

Un rapport de suivi du COC peut également être consulté sur son site web (https://www.controleorgaan.be/files/DIO21006_Toezichtrapport_Clearview_N_00050443.pdf).

Enfin, l’Autorité de protection des données m’a informé du fait que compte tenu des initiatives nationales et européenne citées précédemment et du fait qu’elle ne possède aucune indication que les services relevant de sa compétence de surveillance auraient utilisé Clearview Al, elle n’a pas encore mené d’enquête distincte sur la société Clearview AI.

4) & 5) L’Autorité de protection des données ne dispose pas d’une liste d’organisations qui recourent à ce logiciel. Elle n’a pas non plus reçu de plaintes ou de demandes de médiation en matière de reconnaissance faciale.

6) Le règlement général sur la protection des données (RGPD) ne prévoit pas d’interdiction des logiciels de reconnaissance faciale en tant que tels.

On y trouve toutefois une interdiction de principe en ce qui concerne le traitement de données biométriques à la seule fin d’identifier une personne ainsi que l’article 9.2. Le RGPD donne une énumération limitative des exceptions à cette interdiction (par exemple lorsqu’une personne concernée a donné son consentement explicite). L’autorisation du logiciel de reconnaissance faciale dépend donc en premier lieu du fait qu’il soit ou non utilisé dans un contexte dans lequel le motif d’exception à l’interdiction de principe du traitement de données biométriques peut être invoqué.

S’il existe un motif d’exception, tous les autres principes du RGPD – notamment le fait qu’un traitement de données doit être proportionné et que celui-ci n’est autorisé que si l’objectif visé ne peut être atteint à l’aide de techniques moins intrusives – doivent en outre être respectés.

Ces dernières années, plusieurs initiatives ont été lancées par différentes institutions européennes afin d’encadrer l’utilisation de l’intelligence artificielle, en ce compris dans le cadre des technologies de la reconnaissance faciale.

7) L’utilisation de la FRT constitue effectivement une utilisation de l’intelligence artificielle potentiellement à haut-risque pour laquelle un cadre juridique clair et des mesures supplémentaires, notamment au regard de la valeur et de l’impartialité de ces systèmes, sont nécessaires afin d’assurer le respect des droits fondamentaux. Les principes garantissant la protection des données à caractère personnel ainsi que celle des droits et libertés fondamentaux de manière générale, doivent toujours être scrupuleusement respectés.

Dans certains endroits comme les aéroports, ou lors de certaines manifestations – je pense particulièrement aux événements de masse présentant des risques d’attentat – ou lors d’enquêtes pénales, il est évident que la technologie de la reconnaissance faciale est susceptible d’offrir une aide précieuse aux services de sécurité ou à la police. Mais en raison des dérives potentielles et des risques pour les droits cités précédemment, un cadre légal me semble indispensable pour réguler l’utilisation de cette technologie.

8) Je vous renvoie au rapport du COC.