L’Union européenne se construit sur la mise en commun des volontés politiques de ses États membres. Cette mise en commun s’est matérialisée sous la forme de traités qui se sont succédés depuis la fin de la deuxième guerre mondiale. Par exemple, le premier traité de la construction communautaire instituant en 1951 la Communauté européenne du charbon et de l’acier, a voulu donner une force contraignante à l’une des premières volontés de cette Union en devenir : celle d’empêcher un réarmement incontrôlé de l’Europe pouvant conduire à une nouvelle guerre mondiale. En ce sens, Robert Schuman tirait le constat suivant : « L’Europe n’a pas été faite, nous avons eu la guerre »¹.

De ce traité a ainsi découlé une interdépendance des États membres de l’époque sur la production et la gestion des matières premières utiles à la guerre. Un deuxième traité suit en 1957 portant sur la mise en place d’une Communauté économique européenne. Un approfondissement de la solidarité entre les États membres était alors acté tout comme la confirmation d’un processus d’intégration de ces mêmes états. Ce processus allait se faire sous la coupole d’un ordre juridique supranational novateur au regard de ce que représentaient alors les organisations internationales classiques. De la mise en commun des moyens de produire l’armement à celle des moyens économiques préfigurant le marché intérieur qui suivra, les ambitions des États membres sur la possibilité d’un avenir partagé ont pu continuer à s’étendre jusqu’à l’Union européenne d’aujourd’hui découlant du traité de Lisbonne de 2007, dernier traité en date.

Cette intégration juridique progressive entraîne la mise en place d’un véritable espace intérieur de l’Union dans lequel se superposent, s’interpénètrent et se regroupent de nombreuses politiques distinctes, cela au fil des traités adoptés par les États membres et des actes adoptés quotidiennement au sein des institutions européennes. En accord avec cette logique, les États membres feront le choix, dans les conclusions du Conseil européen de Tampere des 15 et 16 octobre 1999, de rassembler certaines de ces politiques ainsi que leur exécution à l’échelle européenne à travers la création d’un espace de liberté, de sécurité et de justice de l’Union (abrégé en « ELSJ »). Cet ELSJ est aujourd’hui établi dans les articles 67 à 89 du traité sur le fonctionnement de l’Union européenne (TFUE).

D’après l’article 3, paragraphe 2 du traité sur l’Union européenne (TUE) cet espace, offert aux citoyens de l’Union, tend à assurer « la libre circulation des personnes, en liaison avec des mesures appropriées en matière de contrôle des frontières extérieures, d’asile, d’immigration ainsi que de prévention de la criminalité et de lutte contre ce phénomène »². Il correspond donc à la superposition de plusieurs politiques gérées de manière commune à l’échelle de l’Union (une politique de gestion des frontières, une politique d’asile, une politique d’immigration ainsi qu’une politique de coopération policière et judiciaire). Les États membres ont pu considérer qu’il y aurait effectivement une certaine valeur ajoutée à déterminer ces politiques tous ensemble plutôt que de se contenter d’une gestion séparée et sans coordination à l’échelle des seuls territoires nationaux.

Les ambitions de ces politiques ont rapidement impliqué le recours aux nouvelles technologies afin d’assurer l’efficacité de cet espace. L’utilisation de plusieurs systèmes d’information, ainsi que les bases de données personnelles s’y rapportant, en témoigne ici. Au regard des domaines politiques de l’ELSJ, il est à préciser que ces données personnelles et leur collecte concernent majoritairement des ressortissants de pays tiers. Elles peuvent dans une moindre mesure concerner des citoyens européens dans le cas notamment de la coopération policière et judiciaire entre les États membres. Les données personnelles collectées aux fins de l’ELSJ remplissent un assez large spectre de catégories. Elles peuvent être des données alphanumériques telles que classiquement les données d’identités, des données biométriques³ telles que les empreintes digitales ainsi que des données plus particulières telles que les antécédents judiciaires des individus.

Aujourd’hui, l’ELSJ et ses objectifs, notamment celui de la sécurité, reposent ainsi inévitablement sur la collecte et le traitement des données des individus concernés par ces politiques. L’essor actuel dans la recherche et l’implémentation de l’intelligence artificielle (ci-après « l’IA »), dans la plupart des dimensions politiques et économiques de nos sociétés, des dimensions tant publiques que privées, afin de mieux tirer profit des données notamment personnelles, invite à s’interroger sur la possibilité de voir un jour les algorithmes finirent d’optimiser et de renouveler la réalisation des objectifs de l’ELSJ.

Cette implémentation de l’IA n’est d’ailleurs plus de l’ordre de l’hypothèse. Certains systèmes d’information de l’ELSJ utilisent déjà des algorithmes de traitement automatisé des données personnelles. Pour définir plus avant, les algorithmes d’intelligence artificielle permettent de traiter un grand nombre de données. Ce traitement prend la forme d’un apprentissage pour ces logiciels, qui pourront tirer des prédictions ou des analyses de plus en plus précises et pouvant notamment porter sur les comportements des individus dont les données sont collectées. Ces résultats peuvent ensuite être utilisés pour prendre des décisions à l’égard de ces individus.

Derrière le traitement des données par l’IA se cache donc l’enjeu de la surveillance des personnes. Un enjeu qui, s’il découle déjà de la collecte et du traitement non automatisé des données, se retrouve exacerbé par le potentiel algorithmique. Dans l’ELSJ, recherchant particulièrement à assurer la sécurité de l’Union, se poseraient en filigrane l’enjeu d’un sécuritarisme de surveillance⁴ en développement, l’enjeu également de ses conséquences sur les droits des individus et plus largement sur la liberté qu’entend offrir cet espace, ainsi que la question de l’expansion progressive d’un tel sécuritarisme à d’autres domaines politiques pouvant impacter plus directement les citoyens de l’Union eux-mêmes.

Pour le formuler autrement, il s’agirait donc de voir dans quelle mesure cet espace de liberté, de sécurité et de justice pourrait éventuellement tendre vers un espace de la seule sécurité.

Actuellement, il semble que l’essor du recours à l’IA se préfigure de plus en plus au regard de certains acquis de cet ELSJ (§ « La préfiguration d’un  recours à l’intelligence artificielle dans l’ELSJ »). À partir de là, la question de l’étendue que pourrait prendre cet essor de l’IA, dans la réalisation des politiques promues dans cet espace, doit nécessairement se poser (§ « L’étendue du recours à l’intelligence artificielle dans l’ELSJ »).

La préfiguration d’un recours à l’intelligence artificielle dans l’ELSJ

Afin d’être plus efficace au regard de sa capacité d’analyse et de la précision de ses prédictions, l’intelligence artificielle requiert l’utilisation de nombreuses données qui doivent pouvoir être collectées dans un temps quasi réel au fil des besoins algorithmiques et dans le but de répondre aux utilisateurs questionnant les systèmes informatiques. L’implémentation de l’intelligence artificielle dans n’importe quel domaine nécessite donc la convergence de deux prérequis, à savoir une grande quantité de données personnelles ainsi qu’un accès facilité à ces informations.

En directe concordance avec ces deux nécessités, deux phénomènes sont à observer à l’échelle de l’ELSJ. Ces phénomènes correspondent à la multiplication progressive des systèmes d’information et de leurs bases de données et à leur récente mise en interopérabilité.

La multiplication progressive des bases de données

Depuis le début des années 2000, il peut être constaté un essor progressif de l’utilisation de bases de données personnelles afin de soutenir la réalisation des politiques de l’ELSJ. Ces bases de données se sont multipliées tant à des fins de gestion des frontières qu’à des fins de coopération policière et judiciaire entre les États membres.

À des fins de gestion des frontières

Dans le cas de la gestion des frontières plusieurs bases de données ont été mises en place à l’échelle de l’ELSJ. Il s’agit ici d’en rappeler trois qui sont déjà utilisées et deux autres qui le seront prochainement.

La base de données la plus ancienne est le système information Schengen, lancée au début des années 2000 afin de compenser les risques de l’ouverture des frontières intérieures⁵. Ce système est actuellement entré dans sa deuxième génération (le « SIS II ») et a connu des évolutions normatives récentes dans le domaine des vérifications aux frontières⁶ et dans le domaine du retour des personnes en séjour irrégulier⁷. Ce système d’information et les données personnelles qu’il contient permettent ainsi aux autorités nationales habilitées à le consulter de vérifier si les personnes contrôlées font l’objet ou non d’un signalement, soit pour situation irrégulière sur le territoire de l’Union, soit pour une infraction pénale qu’ils auraient commise. Les objectifs du SIS II sont alors ici d’assurer à la fois une gestion efficace des frontières ainsi qu’un niveau élevé de sécurité dans l’Union.

Une autre base de données historique de l’ELSJ est le système d’information sur les visas⁸ (le « VIS »). Il est utilisé depuis 2006 afin de faciliter les demandes de visas et d’assurer, comme le SIS II, un niveau élevé de sécurité dans l’Union notamment en matière de lutte et de prévention des infractions terroristes. De tels objectifs permettent de montrer ici que les bases de données de l’ELSJ peuvent servir à la fois à des fins répressives et à des fins non répressives. Cela peut soulever des réserves quant au bon respect de certains principes de la protection des données comme celui de la limitation des finalités de traitement⁹.

Une autre base de données déjà en application en matière de gestion des frontières est la base Eurodac¹⁰. Elle permet depuis 2013 d’assurer plus efficacement la gestion des demandes d’asiles notamment en ayant recours à l’utilisation des empreintes digitales. Les empreintes digitales, et plus largement les données biométriques dont elles font partie, sont considérées comme une catégorie particulière de données personnelles puisqu’elles sont plus sensibles que des informations telles que le nom, le prénom ou encore la date de naissance. Elles sont plus sensibles en ce sens qu’elles permettent d’identifier sans confusion possible les individus. Elles sont au plus proche de son identité et de son individualité en ce qu’elles ne peuvent pas être identiques à celles d’un autre individu. À partir des empreintes digitales, Eurodac permet d’identifier le pays responsable de l’examen d’une demande d’asile et de contrôler si une ou plusieurs demandes n’ont pas déjà été faites dans d’autres États membres.

En ce qui concerne les systèmes d’information devant être prochainement mis en application, il convient de retenir le système d’entrée et de sortie (le système « EES »). Il a été instauré juridiquement en 2017¹¹ mais doit encore entrer en application après un nouveau report en 2023. Le système EES permettra de vérifier la durée de présence des voyageurs sur le territoire des États membres. Il vise à lutter contre la fraude à l’identité et l’abus des documents de voyage, ainsi qu’à identifier les personnes soupçonnées ou les auteurs d’actes terroristes.

L’autre système devant encore être mis en service est le système d’information et d’autorisation concernant les voyages (le système « ETIAS »). Il a été instauré juridiquement en 2018¹² et permettra de vérifier les risques que représentent les ressortissants de pays tiers exemptés à la base d’une obligation de visa.

La possibilité d’alimenter l’IA à partir de nombreuses données recouvre largement le spectre des politiques de l’ELSJ puisque la multiplication des bases de données s’opère également à des fins de coopération policière et judiciaire.

À des fins de coopération policière et judiciaire

Si en matière de gestion des frontières, les objectifs répressifs et non répressifs des systèmes d’information mentionnés précédemment s’entremêlent et démontrent déjà bien une multiplication de ses bases à des fins de coopération policière et judiciaire, il reste à noter au surplus un système d’information pour lequel les objectifs ne s’avèrent être qu’uniquement répressifs. Il s’agit là du système ECRIS-TCN. Il a été acté en 2019¹³ et doit encore entrer en service. Il permettra l’échange entre les États membres des informations des casiers judiciaires des ressortissants de pays tiers.

En plus d’une grande quantité de données, l’implémentation en devenir de l’IA dans l’ELSJ peut tirer profit de la mise en interopérabilité des différentes bases de données.

L’actuelle mise en interopérabilité des bases de données

L’efficacité de l’intelligence artificielle implique de permettre l’échange facilité des données entre les différentes bases utilisées. Il convient alors ici de constater la récente consécration juridique de l’interopérabilité entre les systèmes d’information de l’ELSJ. Cette consécration juridique répond à certaines volontés politiques et appelle aussi en pratique le recours à plusieurs moyens techniques spécifiques.

Les volontés politiques

La mise en interopérabilité des bases est actée depuis 2019 avec un premier règlement dans le domaine des frontières et des visas¹⁴ et un second règlement dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration¹⁵.

La volonté d’acter une telle interopérabilité n’est pas récente. Dès 2005, la Commission européenne justifiait l’interopérabilité entre les bases de données en ce qu’elle améliorerait la lutte contre le terrorisme¹⁶, alors qu’il n’était encore question que de quelques systèmes d’information, à savoir le SIS et le futur VIS. La nature politique d’une telle justification avait d’ailleurs pu être critiquée¹⁷[17] même si elle prenait à cette époque appui sur les récents attentats terroristes de New York et de Madrid. En 2007, la Commission ajoutera à son premier argument sécuritaire une autre justification¹⁸ arguant que l’interopérabilité des systèmes d’information permettrait de limiter l’impact des flux migratoires aux frontières des États membres et donc de faciliter et d’accélérer la gestion des frontières. Face à ces volontés politiques, l’interopérabilité ne se concrétisera cependant pas dans les années 2000.

En 2016 la Commission relance les discussions¹⁹ en réponse à la montée des attentats terroristes en Europe et devant une crise migratoire sans précédent. Si en pratique la corrélation des deux phénomènes trouve moins de concordances²⁰ que ce qui était alors avancé dans le débat public, cela suffira cependant pour parvenir en 2019 à la consécration de l’interopérabilité des systèmes d’information de l’ELSJ.

La réalisation de ces volontés politiques se fait à partir de moyens techniques actés dans les règlements sur l’interopérabilité.

Les moyens techniques

Dans le cadre des politiques de l’ELSJ, les différentes autorités compétentes n’ont accès qu’aux bases de données personnelles qui leur sont directement utiles dans l’accomplissement de leurs missions. Le but de l’interopérabilité est alors de permettre à ses autorités compétentes de pouvoir malgré tout interroger indirectement les autres bases de données pour savoir si elles ne contiendraient pas des informations pouvant leur être utiles. À partir de là, elles pourront éventuellement requérir l’accès à ces informations sous conditions. Pour traduire cela en pratique, les règlements de 2019 sur l’interopérabilité prévoient quatre outils informatiques.

En premier lieu un portail de recherche européen²¹ (l’« ESP ») est mis en place entre les différents systèmes d’information. Il permet d’interroger l’ensemble des données personnelles des différentes bases vues précédemment. Il inclut également les bases de données d’Interpol et d’Europol ce qui accentue la visée sécuritaire recherchée par la mise en interopérabilité.

En deuxième lieu est mis en place un système de correspondances biométriques²² (le « BMS partagé ») qui permet d’identifier les individus à partir des seules empreintes digitales. Une autorité pourra ainsi voir si les empreintes qu’elle a enregistrées dans sa base de données correspondent à des empreintes déjà enregistrées dans une autre.

En troisième lieu est créé un répertoire d’identité commune²³ (le « CIR »). Son rôle est de compiler pour chaque personne un dossier individuel à partir des informations disponibles dans les différentes bases de données.

En dernier lieu, un détecteur d’identité multiple²⁴ (le « MID ») est implémenté entre les différents systèmes. Ce détecteur opère des correspondances entre les différentes bases afin d’identifier les personnes qui pourraient être rattachées à plusieurs identités différentes. Il convient cependant de noter que ces identités multiples peuvent être le fait de deux situations bien distinctes au regard de leurs conséquences. Une personne peut effectivement utiliser plusieurs identités ce qui est alors répréhensible mais il peut aussi s’agir d’un doublon dans les bases de données découlant d’une simple erreur technique, d’un bug informatique.

La concomitance de ces quatre instruments aux fins de l’interopérabilité des systèmes d’information de l’ELSJ peut avoir de quoi interroger et susciter certaines craintes. Pour comprendre cela, il convient de traduire en d’autres termes les visées des différents outils de l’interopérabilité.

L’ESP s’avère être une modalité d’accès à l’ensemble des données, un guichet unique. Il permet donc, par le biais de cette conjonction des systèmes, de former un big data exploitable de l’ELSJ et invite à se questionner sur le plein respect du principe de limitation des finalités de traitement des données.

Le BMS partagé peut quant à lui permettre l’identification d’un individu à partir d’un seul facteur, ses données biométriques, sans qu’il ne soit plus question des autres données personnelles.

Le CIR engendre quant à lui des identités et des profils établis avec une précision assez avancée puisqu’il compile des informations venant de plusieurs sources dans l’ELSJ.

Le MID vise quant à lui à lever les doutes lors de l’identification des individus. Si ces objectifs peuvent être dans une certaine mesure légitimes pour assurer la sécurité de l’Union, il ressort malgré tout que la mise en synergie de ces quatre outils aboutit à l’établissement d’une véritable systématique de surveillance dans l’ELSJ. Cette systématique pouvant alors ensuite être parachevée par l’implémentation de l’intelligence artificielle.

Si la possibilité d’implémenter l’intelligence artificielle dans l’ELSJ est en grande partie préfigurée par cette concomitance entre la multiplication des bases de données et leur mise en interopérabilité, il convient d’envisager dans quelle mesure l’IA pourrait réellement s’y développer.

L’étendue du recours à l’intelligence artificielle dans l’ELSJ

L’utilisation de l’intelligence artificielle dans l’espace de liberté, de sécurité et de justice de l’Union, et donc aux fins d’une réalisation plus efficace des politiques mises en place dans cet espace, en est encore à ses balbutiements. Cependant l’essor généralisé de l’utilisation des nouvelles technologies aux fins de politiques tant nationales qu’européennes, oblige à se questionner sur l’étendue des ambitions pouvant être prêtées à terme à l’utilisation de l’intelligence artificielle dans cet espace. Cela invite également à envisager l’étendue des risques afférents à l’utilisation de l’IA dans le cadre de ces politiques qui touchent nécessairement au plus près de nombreux droits fondamentaux des individus afin de garantir la bonne gestion des frontières ainsi que la sécurité de l’Union.

Si le champ des possibles qui s’ouvre dans l’ELSJ peut ainsi faire naître des inquiétudes, l’encadrement de celui-ci, à travers la mise en place d’une régulation de l’IA, n’est pas de nature à minimiser ces inquiétudes. En effet, cet encadrement reste encore à concrétiser.

Un champ des possibles pouvant inquiéter

Les utilisations de l’IA dans l’ELSJ se distinguent à la fois entre les utilisations déjà actées par le droit et celles qui sont recherchées et pourraient un jour se voir implémenter dans la réalisation des politiques concernées.

Les utilisations de l’IA juridiquement actées

Dans les utilisations de l’IA juridiquement actées dans l’ELSJ, au nombre de deux, il convient de différencier celle qui est déjà entrée en application de celle qui doit encore l’être.

La première utilisation de l’IA à retenir est celle permettant l’identification des individus par le biais du traitement automatisé des données biométriques Cette reconnaissance biométrique a été envisagée dès les années 2000, en parallèle des premières discussions sur l’interopérabilité. La Commission estimait alors que le caractère unique de ces données, propres à chaque individu, davantage que le simple nom et prénom, pouvait permettre l’identification plus rapide et précise aux frontières de l’Union. Aujourd’hui cette reconnaissance biométrique est prévue dans les systèmes d’information suivants : le SIS, Eurodac, le VIS et l’EES. De plus le BMS partagé, outil de l’interopérabilité, opère également un traitement automatisé afin d’établir des modèles biométriques.

Si actuellement ce recours à l’IA ne concerne que le traitement automatisé des empreintes digitales et des images faciales à des fins d’identification, il pourrait peut-être un jour concerner l’ajout de la reconnaissance faciale dans la réalisation des politiques de l’ELSJ.

La deuxième utilisation de l’IA à retenir porte sur l’évaluation des risques que peut représenter un ressortissant de pays tiers dans l’ELSJ. Le système d’information ETIAS utilisera en effet un algorithme afin d’évaluer les individus qui ne font pas à la base l’objet d’une obligation de visa pour voyager dans l’Union européenne. Trois catégories de risques sont visées²⁵ à savoir un risque terroriste, un risque d’immigration illégale et un risque épidémique.

Il convient de rappeler qu’une telle utilisation de l’IA, à des fins de profilage, peut amener en pratique à des discriminations en fonction des différents indicateurs de risques retenus. En outre, les risques ici visés impliquent nécessairement la collecte de données particulièrement sensibles sur les individus, voire même intimes, qu’ils représentent in fine une telle menace ou non.

Un champ des possibles implique cependant de voir plus loin que les seules utilisations en vigueur afin d’explorer les utilisations de l’IA qui pourraient potentiellement jouer un rôle à l’avenir dans l’ELSJ.

Les autres utilisations de l’IA recherchées

D’autres utilisations de l’IA peuvent être envisagées dans le cadre de l’approfondissement de l’ELSJ. Une première utilisation a été particulièrement recherchée par la Commission européenne. Une deuxième pourrait peut-être un jour découler des pratiques expérimentales de certains États membres.

D’une part, l’analyse des sentiments des individus par le recours à l’IA a été particulièrement explorée par la Commission européenne. Celle-ci a en effet financé, de 2016 à 2019, le projet Intelligent Portable Border Control System²⁶ (abrégé en iBorder Control). Son financement s’est opéré dans le cadre du programme Horizon 2020²⁷ et le projet s’inscrivait dans l’objectif de développer la sécurité de l’Europe et de ses citoyens. L’objectif d’iBorder Control était de fournir une solution technologique permettant d’analyser les émotions, à partir des données biométriques, et d’estimer si un individu traversant une frontière essayait de mentir sur la réalité de sa situation ou de ses intentions et pouvait donc ainsi constituer une menace pour la sécurité de l’État membre de destination.

Le recours à iBorder Control implique d’abord un pré-enregistrement lors duquel le voyageur répond, de chez lui, à un questionnaire devant une caméra. L’IA entre en jeu pour détecter au gré des questions plus ou moins sensibles les micro-expressions de la personne. Survient ensuite le franchissement de la frontière. Si aucun signe de tromperie n’a été détecté lors du pré-enregistrement alors le voyageur se sera vu attribuer un code QR par le système iBorder Control permettant d’attester de sa bonne foi. Si une tromperie avait été détectée le voyageur se voyait de nouveau interrogé à la frontière par les autorités avant de pouvoir entrer ou non sur le territoire de l’état membre de destination. Cette procédure en deux temps traduit bien cette logique de vouloir assurer à la fois en amont la sécurité de l’Union à l’égard des ressortissants de pays tiers et de faciliter en aval leur franchissement de la frontière grâce à un simple code QR à présenter.

Le développement du projet a été conclu en 2019 et la Commission européenne a indiqué qu’il n’était pas prévu de le rendre fonctionnel et d’en rester au seul stade de recherche. Il faut cependant retenir que l’analyse des sentiments des individus par l’IA gagne ici une première porte d’entrée dans le débat public sur la gestion des frontières et la sécurité dans l’Union. Une volonté politique s’est matérialisée tout comme des volontés politiques s’étaient au préalable matérialisées dans les années 2000 pour promouvoir l’interopérabilité des systèmes de l’ELSJ. Cette interopérabilité avait fini par être consacrée. Par analogie, il est alors permis d’anticiper un éventuel retour dans le débat public d’ambitions telles que celles qui étaient portées par le projet iBorder Control.

D’autre part, certains États membres comme les Pays-Bas ou encore l’Allemagne ont eu recours, à titre expérimental, à des logiciels de police prédictive. Ces logiciels visent à anticiper les crimes avant qu’ils ne se produisent. Leur utilisation à un niveau national reste largement controversée. Le 16 février 2023, la Cour constitutionnelle allemande a d’ailleurs été jusqu’à rejeter l’utilisation de tels algorithmes prédictifs à des fins policières²⁸. Devant une telle méfiance au sein des États membres, une remontée de cette utilisation nationale des IA prédictives, ne semble donc pas encore à envisager à court ou moyen terme à l’échelle de l’ELSJ, dans le cadre notamment de la politique de coopération policière.

Ce champ des possibles entre ce qui est mis en place, ce qui doit l’être prochainement et ce qui pourrait finir malgré tout par advenir, peut soulever des inquiétudes au regard des droits tels que ceux au respect de la vie privée et à la protection des données personnelles garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre l’absence d’un réel équilibre juridique entre l’utilisation de l’IA et ces mêmes droits ne permet pas actuellement de minimiser ses craintes.

Un encadrement restant à concrétiser

L’encadrement de l’IA est un enjeu que l’Union ne souhaite pas mettre de côté. Pour de nombreuses raisons, elle recherche activement à développer sa régulation juridique à l’échelle de l’ensemble des politiques de l’UE. Cependant, quand il s’agit de regarder dans le détail, cette possibilité de réguler l’IA dans le champ de l’ELSJ semble pour le moment être mise de côté.

Une régulation à l’échelle de l’UE activement recherchée

La volonté de réguler l’IA à l’échelle de l’Union a pris la forme d’une proposition de règlement sur l’IA formulée par la Commission en 2021²⁹. Elle est depuis discutée par les autres institutions de l’Union et est ambitionnée comme l’outil d’encadrement, de régulation et de contrôle de l’IA tant au niveau de l’Union que même, à terme, dans d’autres parties du monde.

Comme cela a été le cas avec le RGPD pour la protection des données, qui a ainsi connu un certain rayonnement dans d’autres pays, l’Union envisage ici à nouveau d’exporter un tel cadre juridique de protection des individus à l’international avec tout ce que cela implique d’un point de vue stratégique, géopolitique et d’un point de la diffusion des valeurs de l’Union. Surtout dans un monde où la démocratie et l’état de droit semblent de plus en plus être l’exception. Il semble donc être la norme qui sera de référence, qui se voudra efficace, pour encadrer les effets délétères de l’IA de manière globale mais aussi plus particulièrement dans l’ELSJ afin d’assurer la protection des droits consacrés dans la Charte des droits fondamentaux de l’Union européenne.

Ce leadership recherché par l’Union en matière de régulation de l’IA est d’autant plus prégnant que la présidente de la Commission européenne, Ursula Von der Leyen, a exprimé dans son discours sur l’état de l’Union de 2023³⁰, sa volonté d’aller plus loin encore que la seule régulation entre les États membres en appelant à l’ouverture une véritable coopération internationale sur l’IA afin d’envisager « ses risques et ses avantages pour l’humanité »³¹ dans une « action rapide et coordonnée au niveau mondial »³².

Cependant, en contradiction avec cette volonté européenne de prévenir au mieux tout effet négatif de l’IA, l’ELSJ s’avère être un domaine politique complètement mis de côté dans le cadre de la proposition de règlement de la Commission.

Une régulation dans l’ELSJ actuellement mise de côté

Le défaut de la proposition de règlement sur l’IA réside ici dans son article 83, paragraphe 1 qui exclut du champ d’application les systèmes d’information de l’ELSJ. Le seul cas où cela pourrait évoluer, par exception d’après l’article, est s’il était opéré une « modification importante de la conception ou de la destination du ou des systèmes d’IA concernés »³³. Cette formulation entretient le doute sur la réelle possibilité d’encadrer les IA ayant cours dans l’ELSJ.

Ainsi d’une part, que signifierait une modification importante en matière de conception d’une IA ? Une telle évolution conceptuelle ne semble pas à l’ordre du jour dans l’ELSJ. D’autre part, que signifierait une modification importante en matière de destination, c’est-à-dire en matière de finalité de traitement des données par les IA ? Les systèmes d’information de l’ELSJ visent déjà de nombreux objectifs bien précisés, tant répressifs que non répressifs, afin d’assurer in fine la sécurité de l’Union. Il est donc difficile d’envisager une modification de destination de ces systèmes, et par voie de conséquence des systèmes d’IA qui y sont ou y seront implémentés. Surtout lorsqu’il devrait s’agir d’une modification capable de bouleverser (puisque « modification importante ») le champ des finalités de traitement des données personnelles dans l’ELSJ.

En l’état actuel des discussions à propos de la proposition de la Commission, l’IA dans l’ELSJ est donc vouée à rester dans le champ des exceptions du futur règlement au détriment des droits fondamentaux des individus.

Bibliographie

Ouvrages et articles d’ouvrages

• Bigo D. (1996), Polices en réseaux. L’expérience européenne, Paris, Presses de Sciences Po.
• Zuboff S. (2020), L’âge du capitalisme de surveillance, Paris, Zulma.

Articles de journaux et revues

• De Hert P. et Gutwirth S. (2006), « Interoperability of Police Databases Within the EU: An Accountable Political Choice ? », Tilburg University Legal Studies Working Paper, 3, p. 21-35. http://dx.doi.org/10.2139/ssrn.971855 [consulté 06/2024]
• Geisser V. (2020), « Immigration et terrorisme : corrélation magique et instrumentalisation politique », Migrations Société, 182 (4), 3-13. https://doi.org/10.3917/migra.182.0003 [consulté 06/2024]
• Killeen M. (2023), « La Cour constitutionnelle allemande rejette l’utilisation d’algorithmes prédictifs par la police », Euractiv, 17-2-2023. https://www.euractiv.fr/section/intelligence-artificielle/news/german-constitutional-court-strikes-down-predictive-algorithms-for-policing/ [consulté 06/2024]

Divers

• Commission européenne, Communication au Conseil et au Parlement européen. Le renforcement de l’efficacité et de l’interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergies entre ces bases, COM(2005) 597 final. Bruxelles : Commission européenne, 24 novembre 2005. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0597:FIN:FR:PDF [consulté 06/2024]
• Commission européenne, Communication au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions. Préparer les prochaines évolutions de la gestion des frontières dans l’Union européenne, COM(2008) 69 final. Bruxelles : Commission européenne, 13 février 2008. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0069:FIN:FR:PDF [consulté 06/2024]
• Commission européenne, Communication au Parlement européen et au Conseil. Des systèmes d’information plus robustes et plus intelligents au service des frontières et de la sécurité, COM(2016) 205 final. Bruxelles : Commission européenne, 6 avril 2016. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52016DC0205&rid=1 [consulté 06/2024]
• Commission européenne, Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM(2021) 206 final. Bruxelles : Commission européenne, 21 avril 2021. https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A52021PC0206 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (CE) 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS). JOUE L 218 du 13 août 2008, 60-81. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32008R0767&qid=1706605255465 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 603/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif à la création d’Eurodac pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (UE) 604/2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives, et modifiant le règlement (UE) 1077/2011 portant création d’une agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice. JOUE L 180 du 29 juin 2013, 1-30. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32013R0603&qid=1706605439789 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 1290/2013 du Parlement européen et du Conseil du 11 décembre 2013 définissant les règles de participation au programme-cadre pour la recherche et l’innovation « Horizon 2020 » (2014-2020) et les règles de diffusion des résultats et abrogeant le règlement (CE) 1906/2006. JOUE L 347 du 20 décembre 2013, 81-103, abrogé le 31 décembre 2020. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32013R1290&qid=1706605810387 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).  JOUE L 119 du 4 mai 2016, 1-88. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&qid=1706604703825 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) 767/2008 et (UE) 1077/2011. JOUE L 327 du 9 décembre 2017, 20-82. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32017R2226&qid=1706605491042 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2018/1240 du Parlement européen et du Conseil du 12 septembre 2018 portant création d’un système européen d’information et d’autorisation concernant les voyages (ETIAS) et modifiant les règlements (UE) 1077/2011, (UE) 515/2014, (UE) 2016/399, (UE) 2016/1624 et (UE) 2017/2226. JOUE L 236 du 19 septembre 2018, 1-71. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1240&qid=1706605537987 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2018/1860 du Parlement européen et du Conseil du 28 novembre 2018 relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier. JOUE L 312 du 7 décembre 2018, 1-13. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1860&qid=1706605201131 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d’application de l’accord de Schengen et modifiant et abrogeant le règlement (CE) 1987/2006. JOUE L 312 du 7 décembre 2018, 14-55. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1861&qid=1706605123012 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d’information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726. JOUE L 135 du 22 mai 2019, 1-26. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0816&qid=1706605617961 [consulté 06/2024]
• Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil. JOUE L 135 du 22 mai 2019, 27-84. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0817&qid=1706605698687 [consulté 06/2024] Parlement européen et Conseil de l’Union européenne, Règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816. JOUE L 135 du 22 mai 2019, 85-135. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0818&qid=1706605755996 [consulté 06/2024]

Notes

1. Discours de l’Horloge prononcé le 9 mai 1950 par Robert Schuman en sa qualité de Ministre des Affaires étrangères de la Quatrième République française, https://european-union.europa.eu/principles-countries-history/history-eu/1945-59/schuman-declaration-may-1950_fr [consulté 04/2024]
2. Version consolidée du traité sur l’Union européenne, Journal officiel n° 115 du 09/05/2008 p. 17, https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX%3A12008M003 [consulté 06/2024]
3. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE L 119 du 4 mai 2016, 1-88 : article 4, paragraphe 4 pour une définition des données biométriques, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&qid=1706604703825 [consulté 06/2024]
4. Expression dérivée du « capitalisme de surveillance » tel que mis en évidence dans Zuboff, 2020 : selon elle les entreprises telles que les GAFA collectent et traitent les données personnelles, d’autant plus grâce à l’intelligence artificielle aujourd’hui, afin d’en capitaliser la valeur et en tirer les larges profits qu’on leur connaît. Il en découle une véritable surveillance des individus à des fins capitalistes.
5. Bigo, 1996.
6. Règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d’application de l’accord de Schengen et modifiant et abrogeant le règlement (CE) 1987/2006, JOUE L 312 du 7 décembre 2018, 14-55, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1861&qid=1706605123012 [consulté 06/2024]
7. Règlement (UE) 2018/1860 du Parlement européen et du Conseil du 28 novembre 2018 relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier, JOUE L 312 du 7 décembre 2018, 1-13, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1860&qid=1706605201131 [consulté 06/2024]
8. Règlement (CE) 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS), JOUE L 218 du 13 août 2008, 60-81, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32008R0767&qid=1706605255465 [consulté 06/2024]
9. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),  JOUE L 119 du 4 mai 2016, 35, article 5, paragraphe 1, b) : « Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; […] (limitation des finalités) ».
10. Règlement (UE) 603/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif à la création d’Eurodac pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (UE) 604/2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives, et modifiant le règlement (UE) 1077/2011 portant création d’une agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice, JOUE L 180 du 29 juin 2013, 1-30, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32013R0603&qid=1706605439789 [consulté 06/2024]
11. Règlement (UE) 2017/2226 du Parlement européen et du Conseil du 30 novembre 2017 portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) 767/2008 et (UE) 1077/2011, JOUE L 327 du 9 décembre 2017, 20-82, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32017R2226&qid=1706605491042 [consulté 06/2024]
12. Règlement (UE) 2018/1240 du Parlement européen et du Conseil du 12 septembre 2018 portant création d’un système européen d’information et d’autorisation concernant les voyages (ETIAS) et modifiant les règlements (UE) 1077/2011, (UE) 515/2014, (UE) 2016/399, (UE) 2016/1624 et (UE) 2017/2226, JOUE L 236 du 19 septembre 2018, 1-71, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32018R1240&qid=1706605537987 [consulté 06/2024]
13. Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d’information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726, JOUE L 135 du 22 mai 2019, 1-26, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0816&qid=1706605617961 [consulté 06/2024]
14. Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil, JOUE L 135 du 22 mai 2019, 27-84, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0817&qid=1706605698687 [consulté 06/2024]
15. Règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816, JOUE L 135 du 22 mai 2019, 85-135, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0818&qid=1706605755996 [consulté 06/2024]
16. Commission européenne, Communication au Conseil et au Parlement européen, Le renforcement de l’efficacité et de l’interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergies entre ces bases, COM(2005) 597 final. (Bruxelles : Commission européenne, 24 novembre 2005), https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0597:FIN:FR:PDF [consulté 06/2024]
17. De Hert, Gutwirth, 2006.
18. Commission européenne, Communication au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions, Préparer les prochaines évolutions de la gestion des frontières dans l’Union européenne, COM(2008) 69 final. (Bruxelles : Commission européenne, 13 février 2008), https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0069:FIN:FR:PDF [consulté 06/2024]
19. Commission européenne, Communication au Parlement européen et au Conseil, Des systèmes d’information plus robustes et plus intelligents au service des frontières et de la sécurité, COM(2016) 205 final. (Bruxelles : Commission européenne, 6 avril 2016), https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52016DC0205&rid=1 [consulté 06/2024]
20. Geisser, 2020.
21. Règlements sur l’interopérabilité des systèmes d’information de l’UE, (UE) 2019/817 et (UE) 2019/818, articles 6, paragraphe 1.
22. Règlements sur l’interopérabilité des systèmes d’information de l’UE, (UE) 2019/817 et (UE) 2019/818, articles 12.
23. Règlements sur l’interopérabilité des systèmes d’information de l’UE, (UE) 2019/817 et (UE) 2019/818, articles 17.
24. Règlements sur l’interopérabilité des systèmes d’information de l’UE, (UE) 2019/817 et (UE) 2019/818, articles 25.
25. Règlement sur le système d’information ETIAS, (UE) 2018/1240, article 1.
26. « Intelligent Portable Border Control System », Commission européenne, https://cordis.europa.eu/project/id/700626 [consulté 01/2024]
27. Règlement (UE) 1290/2013 du Parlement européen et du Conseil du 11 décembre 2013 définissant les règles de participation au programme-cadre pour la recherche et l’innovation « Horizon 2020 » (2014-2020) et les règles de diffusion des résultats et abrogeant le règlement (CE) 1906/2006, JOUE L 347 du 20 décembre 2013, 81-103, abrogé le 31 décembre 2020, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32013R1290&qid=1706605810387 [consulté 06/2024]
28. Killeen, 2023.
29. Commission européenne, Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM(2021) 206 final. (Bruxelles : Commission européenne, 21 avril 2021), https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A52021PC0206 [consulté 06/2024]
30. Discours sur l’état de l’Union 2023 prononcé le 13 septembre 2023 par Ursula von der Leyen en sa qualité de Présidente de la Commission européenne, https://ec.europa.eu/commission/presscorner/detail/fr/speech_23_4426 [consulté 06/2024]
31. Ibid.
32. Ibid.
33. Commission européenne, Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM(2021) 206 final. (Bruxelles : Commission européenne, 21 avril 2021), https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A52021PC0206 [consulté 06/2024]