La surveillance de la biométrie et de la surveillance ne devrait pas aller à l’ICO

Les plans du gouvernement visant à rendre le Bureau du commissaire à l’information (ICO) responsable de la surveillance de l’utilisation des données biométriques et ADN par la police sont « mal conçus », affirme le commissaire britannique à la biométrie et aux caméras de surveillance, Fraser Sampson.

En tant que commissaire à la biométrie, M. Sampson est responsable de la surveillance de la façon dont la police recueille, conserve et utilise une gamme de documents biométriques (y compris des images faciales numériques), tandis qu’en tant que commissaire des caméras de surveillance, il est chargé d’encourager la police à se conformer au code de pratique des caméras de surveillance.

Sampson a été nommé au double poste en mars 2021, après que le ministère de l’Intérieur a annoncé en juillet 2020 qu’il fusionnerait les rôles pour faire des fonctions statutaires distinctes de chaque bureau la responsabilité d’une seule personne.

L’idée de fusionner davantage les rôles relevant de la compétence de l’ICO est contenue dans une consultation ouverte par le Ministère du numérique, de la culture, des médias et du sport (DCMS) dans le sens de la gouvernance de la protection des données en Grande-Bretagne, qui a été lancée en septembre 2021.

Sampson a également critiqué le manque de transparence autour de la consultation, affirmant qu’il n’en avait jamais été informé par les canaux officiels et qu’il n’avait été porté à son attention que lors de conversations privées.

Dans sa réponse officielle à la consultation, Sampson a déclaré que même proposer l’absorption de ces fonctions par l’ICO « revient à mal comprendre les réalités de ces fonctions ».

Bien que les deux rôles impliquent la supervision du traitement légal des données, y compris la conservation et le partage de certaines données personnelles très sensibles, leurs deux fonctions distinctes vont bien au-delà de la protection des données, a-t-il déclaré. « Il existe une différence élémentaire entre les principes généraux de gestion des données et la surveillance intrusive de l’État ; il y a aussi des considérations fondamentales dans ce domaine qui ne sont pas du tout des questions de protection des données », a déclaré Sampson.

Ces domaines autres que les données comprennent la nécessité d’examiner l’impact de la biométrie et de la surveillance sur une série de droits humains fondamentaux, tels que « l’effet dissuasif » que « même la présence perçue d’une caméra de surveillance policière » peut avoir sur la liberté d’expression et de réunion, et si les outils déployés par la police sont suffisamment fiables pour être réellement utilisés dans les enquêtes ou les poursuites pénales.

Le rôle des caméras de surveillance comprend également spécifiquement les domaines des normes techniques, de la liaison avec le milieu universitaire et l’industrie et de la mise en œuvre de systèmes de certification.

Sampson a ajouté que bien que son rôle de caméra de surveillance comporte un élément réglementaire, en ce sens qu’il doit surveiller et encourager le respect du code de pratique du ministre de l’Intérieur en matière de caméras de surveillance, le commissaire britannique à la biométrie n’est en revanche pas du tout un régulateur, ce qui signifie que son absorption par l’ICO créerait un conflit d’intérêts.

« Les principales fonctions du commissaire à la biométrie sont de nature quasi judiciaire et sont exercées dans le cadre de la police, de la lutte contre le terrorisme et de la sécurité nationale », a-t-il déclaré. « Les caractériser comme défendant les droits à l’information, c’est passer à côté de ce point fondamental et leur absorption introduirait un régulateur britannique dans ce domaine et exigerait ensuite que ce régulateur assume des fonctions judiciaires non réglementaires.

« Dans le cadre de ces fonctions, il peut également y avoir un conflit inhérent pour l’ICO, car elle se retrouvera à participer à des décisions d’autoriser la conservation des données biométriques par la police qui seront ensuite contestées par la personne qui ne serait alors pas en mesure de se tourner vers elle en tant que régulateur national défendant ses droits à l’information en général. »

Dans sa réponse à la consultation, l’ICO a déclaré qu’elle avait noté son intention d’intégrer les rôles de commissaire aux caméras de surveillance et à la biométrie dans ses propres attributions, et qu’elle reconnaissait les avantages de cette approche pour les parties prenantes.

« Nous sommes ouverts à cet élargissement de notre mandat réglementaire, sous réserve d’un financement approprié, et attendons plus de détails sur la façon dont tout transfert de fonctions fonctionnerait dans la pratique », a-t-il déclaré.

Suggestions alternatives

En fin de compte, si le rôle de commissaire à la biométrie doit être absorbé, Sampson a déclaré qu’il serait préférable d’intégrer ses fonctions dans un organe judiciaire déjà existant (comme le commissaire aux pouvoirs d’enquête ou le bureau du commissaire aux pouvoirs d’enquête), plutôt que de créer un nouveau mandat non réglementaire pour l’ICO en tant qu’organisme de réglementation des données.

De même, il a ajouté que, bien qu’il y ait plus de chevauchement entre le rôle de l’ICO et celui de la caméra de surveillance en particulier, l’accent mis par cette dernière sur les questions de police en plus de ses fonctions non liées aux données signifie qu’il existe un argument plus convaincant pour qu’il soit absorbé par le Forensic Science Regulator à la place.

Si elles sont absorbées par l’ICO, les fonctions liées aux données de chaque rôle entraîneraient également « presque certainement moins d’attention », a déclaré Sampson, ajoutant qu’il pensait que les solutions étaient « un ensemble unique de principes clairs selon lesquels ceux qui exploitent la technologie biométrique et de surveillance seront tenus responsables, de manière transparente et vérifiable ».

Il a déclaré que non seulement ses suggestions alternatives aideraient à réduire le rôle des litiges et des défis juridiques dans la formation du paysage réglementaire du Royaume-Uni, qu’il a décrit comme « un moyen coûteux et imprévisible d’élaborer des politiques », mais qu’elles aideraient également les gens à avoir « confiance dans l’ensemble de l’écosystème de la biométrie et de la surveillance ».

« La proposition étroite et singulière d’absorption par l’ICO est, à mon avis, mal conçue; c’est la mauvaise réponse contenue dans la mauvaise question et, pour les nombreuses raisons citées ci-dessus, il est peu probable qu’elle produise une gouvernance plus simple et plus forte », a déclaré Sampson. « Il est plus susceptible d’entraîner une dilution et une complexité accrue tout en gaspillant la chance d’entendre et de tenir compte de ce dont nous parlons lorsque nous parlons de biométrie. »

Manque de transparence

Sampson a déclaré qu’il y avait eu un manque de transparence autour de la procédure de consultation du DCMS elle-même, ajoutant qu’il n’était « absolument pas au courant » de la consultation du DCMS et de son accent sur le transfert de fonctions à l’ICO jusqu’à ce qu’il soit porté à son attention en privé.

« Au moment d’écrire ces lignes, je n’ai pas encore reçu de notification officielle en tant que titulaire d’une charge statutaire mais, malgré cette formalité, j’ai eu l’avantage de voir la lettre envoyée à d’autres parties prenantes et j’ai rencontré des responsables et le ministre des Lords pour lesquels je suis reconnaissant », a-t-il déclaré, ajoutant que, compte tenu du processus de transfert de fonctions à l’ICO commencé avant sa nomination au double rôle, « on pourrait être pardonné de penser que le gouvernement a déjà répondu à ses propres questions et que la consultation donne l’impression de faire passer la charrue délibérative avant le cheval déterminatif ».

Sampson a ajouté qu’il avait soulevé ces questions avec les responsables. « J’apprécie la position difficile dans laquelle ils peuvent se trouver lorsqu’ils essaient de fournir des informations précises tout en ne souhaitant pas empiéter sur mon indépendance », a-t-il déclaré.

« De manière cruciale, j’ai reçu une assurance catégorique de la part des ministres que le but des questions de consultation est de permettre la formulation correcte d’une politique encore indécise à la lumière de réponses éclairées. C’est sur cette base que je soumets celui-ci. »

La consultation du DCMS se termine le 19 novembre et les réponses qu’elle recevra seront utilisées pour façonner les futures réformes du régime de protection des données et de gouvernance du Royaume-Uni.