Catégorie : Véhicule autonome

  • Véhicules Autonomes Communicants

    Dans un article précédent Gérard Le Lann et Nathalie Nevejans ont présenté les véhicules autonomes (VA) non communicants, voici maintenant un éclairage scientifique, technologique et juridique sur les VA communicants (VAC). Serge Abiteboul et Thierry Viéville
    Source Research Gate.

    Un VAC est un véhicule autonome pouvant émettre et recevoir des messages avec son environnement via un équipement de communication radio conforme aux standards connus sous l’appellation V2X (Vehicle-to-Everything). Les VAC sont donc des véhicules « communicants », appellation moins restrictive que « connectés », car ils peuvent communiquer directement entre eux sans être nécessairement connectés à un réseau extérieur. Par souci de concision, nous ne traitons dans cet article, ni les cas particuliers des véhicules de transport collectifs (bus, navettes, etc.), ni les problèmes posés par la coexistence de véhicules et de cyclistes ou de piétons.

    Les trois principales idées à retenir concernant la conduite partiellement ou totalement automatisée sont les suivantes :
    – Avant de     prétendre « faire mieux » que les humains avec des VA ou des VAC, il faudrait commencer par démontrer que nous pouvons faire au moins aussi bien.
    – Cela n’est pas du tout le cas en 2021 avec les VA ou les VAC conçus actuellement. Les possibilités offertes par les     communications radio sont mal exploitées dans les standards V2X actuels, et les communications optiques sont ignorées.
    – Il est possible de « faire mieux » que les humains avec des Véhicules de Nouvelle Génération (VNG).

    Les VA dans une impasse ?

    La dure réalité s’est imposée dès le milieu des années 2010 : les VA ne peuvent pas offrir de propriétés de sécurité et d’efficacité (voir définitions dans l’article précédent). Les VA ne sont pas très fiables en conduite autonome, comme en témoigne l’accident mortel avec une Tesla le 17 avril 2021. Ils sont de plus vulnérables aux cyberattaques ciblant les capteurs. Par
    brouillage de leurs radars, lidars, ou caméras, il est possible de créer des collisions (pas de sécurité). Par contrefaçon (spoofing) des signaux GNSS, il est possible de dérouter un VA (pas d’efficacité et/ou de sécurité).

    Il importe de ne pas se laisser abuser par des vidéos destinées à faire croire que le niveau SAE 5 (conduite totalement automatisée en tous lieux) est « pour bientôt ». Elles sont expurgées des séquences de reprise en main par un humain. Elles ont pour mérite involontaire de montrer qu’un VA se tient constamment très éloigné du véhicule qui le précède (donc, pas de propriété d’efficacité). Enfin, les trajets ont été enregistrés puis rejoués en simulation des milliers de fois (un « apprentissage » assez primaire) avant de finaliser les vidéos mises en ligne. Sous réserve de vérifications par les experts, il sera possible de croire que le niveau SAE 5 est atteint le jour où nous verrons des VA traverser la Place de l’Étoile à Paris vers 19h un jour non férié aux mêmes vitesses et densités que celles maîtrisées par les conducteurs humains. On n’y est pas encore.

    Désormais, des progrès significatifs sont espérés dans trois domaines :
    – l’intelligence artificielle (IA) avec l’apprentissage algorithmique supervisé ou autonome ;
    – une redondance diversifiée des capteurs, pour fournir des données d’entrée fiables aux fonctions critiques des systèmes bord ;
    – les communications radio et optiques.

    La plupart des informaticiens rompus aux systèmes critiques se méfient de l’IA, à cause des exigences de preuves de propriétés dans les pires cas, preuves impossibles avec les techniques actuelles (l’IA est utile, mais pas pour l’obtention des propriétés de sécurité et d’efficacité). Trop souvent, les équipements radio sont vus comme des capteurs passifs, à l’instar des radars, lidars, caméras, etc. Au contraire, les communications radio permettent des interactions proactives entre véhicules : les messages contiennent les « intentions » de mouvements à très court terme (moins de 100 millisecondes). Le futur immédiat est donc connu a priori.

    Les VAC : standards V2X

    Les premiers standards (DSRC-V2X pour Dedicated Short-Range Communications) reposent sur le Wi-Fi omnidirectionnel (3G, 4G). Les standards plus récents (C-V2X) sont basés sur la radio cellulaire omnidirectionnelle et directionnelle (4G LTE, 5G). Les portées des équipements radio des VAC sont de l’ordre de 300 m. Un VAC peut être « connecté » à des antennes-relais et des unités d’infrastructures routières (V2I pour Vehicle-to-Infrastructure) qui offrent l’accès via Internet à des services disponibles dans des clouds. Les VAC peuvent aussi échanger des messages en direct, sans relais intermédiaires (V2V pour Vehicle-to-Vehicle).

    Les autres capteurs (radars, lidars, caméras) ne peuvent traiter que des signaux reçus en ligne-de-vue directe. Au contraire, les messages radio ne sont pas « bloqués » par les obstacles. 

    Les communications radio dans les systèmes de mobiles ne sont pas fiables. Les délais de transmission réussie des messages V2I – qui transitent par des relais terrestres – sont plus élevés que les délais des messages V2V. Ils peuvent être infinis en cas de défaillances (pannes ou cyberattaques) d’unités d’infrastructures routières.

    L’utilisation partagée du spectre radio est de type probabiliste (protocoles CSMA). Les délais d’accès à un canal radio croissent (progressions géométriques) avec le nombre de véhicules émetteurs. Ces nombres varient dans le temps et selon les lieux : ils sont soit non bornés, soit bornés mais les valeurs des bornes sont inconnues. Les réseaux de VAC sont donc des systèmes asynchrones.

    Voici environ dix ans que l’industrie automobile expérimente les premiers standards V2X avec des tests sur route et par simulation numérique. 

    Sécurité et Efficacité 

    Selon les standards actuels, ces propriétés seraient obtenues via l’envoi de messages sur événements et via le balisage périodique. Un VAC doit diffuser très fréquemment, entre 100 millisecondes et 1 seconde, des messages appelés balises.

    Dans un message/balise, on trouve, en particulier, vitesse, direction, coordonnées GNSS et caractéristiques du véhicule émetteur. Ce mécanisme est inspiré de celui employé par les smartphones (à des fréquences plus faibles) pour leur géolocalisation par les antennes-relais. Chaque VAC entretient une carte environnementale (local dynamic map) rafraichie par les contenus des balises reçues. 

    Le but espéré (propriété de sécurité) est d’éviter les collisions : tout VAC peut deviner les trajectoires de ses voisins (dans un rayon de 300 m environ) et décider de son comportement très fréquemment grâce à un algorithme qui traite les informations contenues dans sa carte environnementale. 

    Mais ce but est illusoire, pour au moins deux raisons.

    – Les algorithmes décisionnels sont propres à chaque fabricant, et sont sujets à interprétations. Il est donc impossible de démontrer que deux VAC proches ne prendront pas de décisions contradictoires engendrant alors une collision, même s’ils disposent de la même carte environnementale.

    – Les communications V2X n’étant pas fiables, une balise reçue par un VAC peut ne pas être reçue par un VAC voisin de ce dernier. Les cartes environnementales sont donc potentiellement différentes, mutuellement incohérentes. Elles sont inutilisables telles quelles. On ne peut espérer recourir à un algorithme pour rétablir la cohérence (cartes identiques). En effet, des résultats d’impossibilité établis depuis 1985 pour les systèmes asynchrones (réseaux de VAC) démontrent qu’un tel algorithme ne peut exister.

    Pour contourner les résultats d’impossibilité, il faut « sortir » du modèle asynchrone, et considérer le modèle asynchrone temporisé, qui est le modèle asynchrone « enrichi » par la connaissance de bornes supérieures finies des délais. Ce modèle est réalisable à condition de recourir à des protocoles radio de type déterministe, comme les protocoles TDMA par exemple, qui assurent des délais de l’ordre de 20 millisecondes en pire cas, donc comparables aux délais de réactivité des autres capteurs (radars, lidars, caméras). Avec les protocoles V2X, les délais de transmission (non bornés) sont de l’ordre de 100 millisecondes en conditions de trafic moyennement dense. 

    L’autre but espéré (propriété d’efficacité) est une bonne utilisation des ressources.

    Ce n’est bien évidemment pas le cas avec le balisage périodique, qui crée un gaspillage très significatif des ressources de calcul (systèmes-bord) et de communication (canaux de 10 MHz)

    Idem pour l’occupation de l’asphalte, loin d’être améliorée par les communications V2X. Les distances de sécurité entre deux VAC sont les mêmes que pour les VA. En effet, intégrer les délais V2X dans les lois de calcul des distances ne procure aucun gain, puisque ces délais sont bien trop grands. En conséquence, afin de minimiser les risques de collision, les VAC maintiennent des distances inter-véhiculaires très supérieures aux valeurs optimales ou celles maitrisées par les humains. 

    Le balisage périodique peut être exploité pour créer des véhicules et des embouteillages fictifs. Pour ce faire, un VAC malveillant ou même un chariot rempli de smartphones promenés le long d’artères urbaines peut émettre des balises qui contiennent les coordonnées GNSS des artères qu’il souhaite emprunter afin de les vider frauduleusement.

    Conclusion : on ne peut espérer de propriétés de sécurité et d’efficacité dans les réseaux de VAC. 

    Intéressons-nous maintenant aux risques pour la santé dans l’hypothèse d’un déploiement généralisé de VAC. Vis-à-vis des communications radio, tout véhicule se trouve au centre d’un disque de rayon d’environ 300 m. En conditions de trafic dense (en ville, sur autoroute multivoies), une centaine de VAC est contenue dans un tel disque. Nous n’avons pas connaissance d’études démontrant que des expositions prolongées de signaux Wi-Fi reçus depuis une centaine d’émetteurs à des fréquences de 1 Hz à 10 Hz sont sans danger pour les passagers d’un VAC.

    Source : jmagazine.joins.com

    Les VAC étant équivalents à des smartphones-sur-roues, ils exposent leurs utilisateurs aux risques bien connus de cyberattaques et de cyber-espionnage.

    Cybersécurité

    Les VAC sont vulnérables aux cyberattaques distantes. Voici quelques exemples. 

    1. a) Attaques par saturation

    – Spectre électromagnétique : Le brouillage radio est à la portée de tout individu malfaisant ; les brouilleurs radio les plus simples coûtent moins de 200 euros. Les VAC sont « sourds et muets » au voisinage de tels brouilleurs, aussi longtemps qu’ils circulent à portée radio d’un brouilleur embarqué sur un véhicule.  Une autre attaque connue est l’interception et la falsification des signaux GNSS. Le but est de dérouter un VAC en trompant son système-bord par exemple en introduisant des décalages croissants entre sa véritable géolocalisation et celle connue par la robotique embarquée.
    – Systèmes-bord :     Une attaque par « déni-distribué-de-service » consiste en des envois de messages incessants jusqu’à saturer les capacités de traitement des systèmes-bord, et rendre impossible l’exécution des fonctions critiques.

    1. b) Attaques sur les messages et balises par suppression ou falsification des contenus des balises/messages émis par des VAC honnêtes ou injection de messages frauduleux comme des fausses alertes.
    1. c) Attaques sur les systèmes-bord : Les logiciels des systèmes-bord (les systèmes d’exploitation en particulier, Android ou iOS par exemple) ne sont pas conformes aux principes d’isolation en vigueur dans le domaine des systèmes critiques. Il est donc possible de prendre par radio le contrôle d’un VAC distant ou d’introduire un virus, Cheval de Troie, rançongiciel, etc. au sein d’un système-bord.

    Outre des motivations financières, les cyberattaques distantes ont pour but de créer des conditions chaotiques pour les cibles (pas pour les attaquants), notamment des collisions (éventuellement létales – perte de sécurité) et/ou de tromper les VAC quant aux trajectoires qu’ils doivent suivre – perte d’efficacité. Ainsi, par un effet boomerang non anticipé, les communications V2X « ajoutées » aux VA pour « améliorer » les propriétés de sécurité et d’efficacité peuvent en fait compromettre ces dernières. Ces cyberattaques peuvent bien sûr être déclenchées par des VAC voisins (sur les côtés, prédécesseur, suiveur). Mais dans ce cas, une cyberattaque peut « se retourner » contre son auteur (pris dans une collision, identifié sans ambiguïté par ses victimes). Il s’agit donc d’attaques irrationnelles, bien moins probables que les attaquantes distantes. 

    Un cyber attaquant peut falsifier son identifiant dans les messages et balises qu’il émet. La parade selon les standards V2X est la pseudonymisation par cryptographie asymétrique. Contrairement à l’anonymisation, la pseudonymisation permet d’établir les responsabilités en cas d’accident (accountability). Tout message/balise doit être accompagné d’un certificat délivré par un organisme habilité, et il doit être signé avec la clé privée liée à ce certificat. Un VAC récepteur peut vérifier la validité d’une signature. En cas de signature invalide, le VAC émetteur – a priori malveillant – est dénoncé auprès d’un service distant, lequel, après vérifications, « révoque » le VAC en question en annulant ses certificats. Ainsi, en cas d’accidents graves, les autorités peuvent identifier les responsables, en « renversant » les certificats. 

    L’idée est qu’un VAC révoqué ne peut plus nuire, puisque ses messages seront ignorés. Cette idée est erronée. Rien n’empêche un VAC malveillant d’émettre des messages aux contenus frauduleux accompagnés de certificats et de signatures valides. Une révocation n’étant pas instantanée, un VAC malveillant a amplement le temps, avant révocation, de fomenter des cyberattaques. En outre, après révocation, ses balises étant rejetées, son existence est ignorée de tous les VAC avoisinants. Il peut donc créer à loisir des collisions.

    Conclusion : pas de propriété de cybersécurité dans les réseaux de VAC. 

    Protection des données Personnelles, Privacy 

    Dans l’article précédent sur les VA, nous avons abordé la question de la privacy intérieure. Des données personnelles concernant les passagers sont collectées via des capteurs, comme des caméras, enregistreurs de sons, assistants à commande vocale (à l’instar de ceux que l’on installe chez soi si l’on ne se soucie pas trop de protéger sa vie privée), etc. En application des dispositions de l’art. 6.1 du règlement général sur la protection des données à caractère personnel (RGPD), les passagers doivent exprimer leur consentement ou, dans le cas contraire, être en mesure de désactiver ces capteurs, à l’exception de ceux qui sont dédiés au suivi du conducteur dans le cas des VAC de niveaux SAE inférieurs à 5. Pour ce faire, il suffit d’offrir l’option « privacy intérieure », activée via une commande tactile ou vocale. Le choix du mode « on » serait l’« acte positif clair » interdisant la collecte et le traitement des données à caractère personnel, en application des articles 4, § 11 et 7.3 du RGPD

    Surveillance intérieure, Source : Seeing Machines

    Intéressons-nous à présent à la question de la privacy extérieure (écoutes et enregistrements des communications V2X). Tous les messages et balises V2X sont obligatoirement transmis « en clair ». Ils contiennent les géolocalisations GNSS et les vitesses des émetteurs. Des données à caractère personnel sont donc exposées, toutes les secondes dans le meilleur des cas. Les vertus de la pseudonymisation, rendant en principe impossible la réattribution de données à caractère personnel à une personne précise (art. 4, § 5 du RGPD), sont perdues à cause du balisage périodique. Les lois de la Physique permettent de savoir si un VAC déclarant circuler à 90 km/h, positionné en un point X sur une route, est le même que celui qui est positionné en un point Y 500 millisecondes plus tard (X et Y sont séparés de 12,5 m). Si doute il y a, il est promptement éliminé grâce au rafraîchissement continu des positions et vitesses. Ainsi, les certificats ne protègent pas du pistage, donc du cyber espionnage, quand ils sont couplés au balisage périodique. Par exemple, connaissant les débuts et fins des trajets et les arrêts récurrents aux mêmes endroits, il est facile d’inférer l’identité du conducteur ou du propriétaire d’un véhicule pisté. En fait, les VAC sont pires que les smartphones : en V2X, il est impossible de « désactiver » la géolocalisation GNSS car elle est obligatoire dans les messages et balises. 

    Conclusion : pas de privacy dans les réseaux de VAC. 

    Contrairement aux slogans abondamment répandus, les propriétés de sécurité et privacy ne sont pas antagonistes (elles le sont avec les standards V2X). Nous avons montré que le balisage périodique est inutile vis-à-vis de la sécurité. Aucune raison rationnelle ne peut donc être invoquée pour s’opposer à l’adoption d’une option « privacy extérieure ». Activée (via une commande tactile ou vocale) par les passagers, elle interdit les émissions de balises, ce qui rend impossible le cyber-espionnage illégitime des trajets. 

    Une mise en œuvre réaliste du RGPD dans les réseaux de VA/VAC n’est pas en vue. Ainsi, ni le pack de conformité sur les véhicules connectés de 2017 de la CNIL en France, ni les Lignes Directrices 1/2020 sur le traitement des données personnelles dans le cadre des véhicules connectés et des applications liées à la mobilité (Comité européen de la protection des données) ne prévoient de fournir aux passagers un moyen simple pour refuser a priori la collecte de telles données quand les propriétés de sécurité, efficacité et cybersécurité sont garanties. Les approches fondées sur les demandes a posteriori (consultation de données enregistrées, droit à l’oubli, etc.) sont (1) inapplicables, (2) dangereuses, car les données personnelles sont multicopiées et exploitées bien avant que tout passager ait eu le temps de
    réagir. Et d’ailleurs, qui peut obliger un géant du Numérique à se conformer vraiment et rapidement aux lois qui portent atteinte à ses stratégies de profits ?

    Responsabilités et preuves (accountability)

    Les VAC sont équipés de « boîtes noires » (enregistreurs infalsifiables). L’examen de l’historique des données enregistrées dans les secondes qui précèdent un accident permet de déterminer, dans chaque véhicule impliqué, la/les cause(s) de l’accident. L’attribution des responsabilités civiles et pénales serait donc a priori la même qu’avec les VA à un « détail » près : une cyberattaque pouvant être menée à distance, le VAC (ou les VAC en cas de
    coalition) responsable d’un accident ne fait pas partie des VAC accidentés. Il faut cependant l’identifier puis le retrouver pour inspecter sa boîte noire, en même temps que celles des autres véhicules impliqués. C’est à cette condition que l’on peut établir les causes. Mais le véhicule à l’origine d’une cyberattaque distante a le temps de disparaître ou même d’être détruit volontairement avant d’être retrouvé. La détermination de la cause ou des causes d’un accident a toutes les chances d’être non triviale avec les VAC, rendant juridiquement difficile l’attribution des responsabilités.

    La proposition de règlement des Nations Unies du 23 juin 2020 relative à la cybersécurité des VA, qui impose de sécuriser les véhicules by design, est à l’évidence totalement inadaptée pour les cas de cyberattaques distantes.

    En France, selon l’ordonnance du 14 avril 2021 et son décret d’application du 29 juin 2021, le constructeur d’un véhicule à délégation de conduite est pénalement responsable des infractions commises pendant les périodes où le système de conduite automatisée exerce le contrôle du véhicule. Un conducteur est responsable pénalement dès qu’il reprend effectivement le contrôle du véhicule ou s’il ne le fait pas à la suite d’une demande du système. Dans le cycle qui va de la conception d’un VAC à son autorisation de commercialisation, puis à ses utilisations, il y a toujours in fine un ou des humains sur qui faire peser la responsabilité : concepteurs, développeurs, testeurs, certificateurs, gestionnaires des infrastructures routières, ou conducteurs. Il ne sert donc à rien d’inventer une personnalité juridique des « robots sur roues ».

    Les assureurs savent qu’ils doivent s’adapter à ces nouveaux défis dans leurs contrats d’assurance automobile.  

    Qu’attendre vraiment des VAC ?

    La question mérite d’être posée puisque les standards V2X actuels ne garantissent aucune des quatre propriétés SPEC (sécurité, privacy, efficacité, cybersécurité). Il est même légitime de se demander si les VAC conformes aux standards V2X ne seront pas plus dangereux que les VA. De facto, ils sont principalement destinés à fournir aux humains « motorisés » les mêmes services et environnements (loisir, travail, éducation, informations, etc.) qu’ils utilisent lorsqu’ils sont « statiques » (domicile, bureau, etc.) – la notion de « sans couture » (seamless).

    Que peut-on dire de la sécurité, de la cybersécurité et de la réduction des temps de trajets (de l’efficacité) ? À l’évidence, considérées « non prioritaires » … Et pas en vue avec les VAC qui disposent de tous les moyens pour détourner l’attention des passagers (affichage sur les tableaux de bord de publicités diverses, d’écrans des smartphones, de films, etc.), alors qu’un passager de VAC de niveau SAE inférieur à 5 doit être prêt à reprendre la conduite en manuel à tout moment si nécessaire. La contradiction avec le slogan « les VAC vous libèrent de la conduite en toute sécurité » est flagrante. 

    Quant à la propriété de privacy, si rien n’est fait, elle n’existera pas plus qu’en dehors des véhicules. Les systèmes embarqués fonctionnent avec les mêmes logiciels que ceux de nos smartphones, PC, et récepteurs de télévision (environ 75% sous Android et 25% sous iOS). Les enjeux financiers des futurs marchés centrés sur les données personnelles sont trop importants pour être négligés, et les VA/VAC conformes aux standards V2X sont de fantastiques « aspirateurs » de telles données. En entrant en coopétition (compétition coopérative) avec les GAFAM et leurs équivalents chinois BHATX (voir glossaire), l’industrie automobile prend des risques, puisque le Numérique n’est pas son domaine de prédilection. Mais elle n’a pas d’autre choix si elle vise les mêmes profits que ceux dont bénéficient ces géants du Numérique.

    Si les VAC présentent de multiples failles vis-à-vis des propriétés SPEC, c’est tout simplement parce que les problèmes posés sont redoutables. La conduite totalement automatisée, annoncée comme imminente dans les années 2010, serait-elle en voie d’être purement et simplement abandonnée ? Sans doute si rien ne change vraiment. Les résultats du sondage annuel AAA de février 2021 sont édifiants : “AAA’s survey found that 14% of drivers would trust riding in a vehicle that drives itself, similar to last year’s results. However, 86% either said they would be afraid to ride in a self-driving vehicle (54%) or are unsure about it (32%)”.

    Notons que dans aucun de leurs projets de VA, ni Waymo (filiale d’Alphabet) ni Tesla n’envisagent l’utilisation de communications radio. C’est surprenant de la part d’industriels issus du numérique. L’explication est simple : ils ne croient pas à la pertinence des standards V2X actuels pour garantir les propriétés de sécurité et d’efficacité. Ils ont raison. Les possibilités offertes par les communications radio sont mal exploitées avec les standards V2X actuels. Les communications optiques sont inutilement ignorées.

    La question que nous devons nous poser dès maintenant est très simple : dans quelle future société motorisée voulons-nous vivre ? Toutes les possibilités sont ouvertes (il n’y a pas que V2X dans notre futur). La vraie révolution de la conduite totalement automatisée éthiquement, socialement et juridiquement acceptable surviendra avec l’émergence des VNG, dont la conception ainsi que celle des réseaux qu’ils formeront sont fondées sur des innovations technologiques et diverses disciplines scientifiques peu exploitées actuellement (automation control, distributed algorithms, multiagent systems, biomimétique, etc.)..

    Source : ResearchGate

    Avec les VNG, il sera possible de démontrer les quatre propriétés SPEC. Cette condition est incontournable dans toute société motorisée soucieuse d’éthique et de respect de la vie humaine. Il est probable que dans une industrie où la propriété intellectuelle et les brevets sont des « armes » de conquête de marchés, un certain nombre de constructeurs ont d’ores et déjà
    mis les VNG au programme de travail de leurs laboratoires de R&D.

    Gérard Le Lann (Directeur de Recherche Émérite, INRIA Paris-Rocquencourt) et Nathalie Nevejans (Titulaire de la Chaire IA Responsable, Université d’Artois, Membre du Comité d’éthique du CNRS (COMETS)) ont publié récemment sur ces sujets.

    Glossaire

    AAA American Automobile Association

    BHATX Baidu, Huaweï, Alibaba, Tencent, Xiaomi

    CNIL Commission Nationale de l’Informatique et des Libertés

    GAFAM Google, Amazon, Facebook, Apple, Microsoft

    GNSS Global Navigation Satellite System (GPS, Galileo, Glonass, …)

    SAE Society of Automotive Engineers

    TDMA Time Division Multiple Access

    VNG Véhicules de Nouvelle Génération

     [1] G. Le Lann : « Cyberphysical constructs and concepts for fully automated networked vehicles », Rapport de recherche INRIA n°9297, Octobre 2019, 64 p., disponible à https://hal.inria.fr/hal-02318242  gerard.le_lann@inria.fr 

    [2] N. Nevejans : « Traité de droit et d’éthique de la robotique », LEH éd., 2017, https://www.leh.fr/edition/p/traite-de-droit-et-d-ethique-de-la-robotique-civile-9782848746685  nathalie.nevejans@univ-artois.fr

    [3] L‘interview de Gérard Le Lann, au sujet de création du web, réalisée par Altitude Infra à l’occasion du World Wide Web Say : https://lnkd.in/dB28eri

     

  • Les véhicules Autonomes

    L’avènement des véhicules autonomes (VA) et des VA communicants (VAC) pose des questions de sécurité routière, de cybersécurité et de protection de la vie privée des passagers. Binaire publiait en 2018 une contribution Sécurité routière et cybersécurité qui nous alertait sur les risques encourus. Nathalie Nevejans et Gérard Le Lann reviennent sur ce sujet pour en donner un rapide éclairage scientifique, technologique, et juridique. Une première partie est consacrée aux véhicules autonomes. Une seconde, à venir, traitera des VA communicants. Serge Abiteboul

    Les contes de fées des années 2010 ont vécu :
    • Sécurité : Les VA ont parcouru des millions de miles/km sans accident : Faux. Le premier accident impliquant un VA s’est produit en 2011 devant le quartier général de Google en Californie.
    • Efficacité : Les véhicules totalement autonomes seront disponibles en 2020 : Faux, à l’évidence.

    Six niveaux d’autonomie ont été définis par la Society of Automotive Engineers, de 0 (conduite humaine) à 5 (conduite totalement automatisée, en tous lieux). Certains constructeurs affirment à présent qu’il n’y aura pas de VA de niveau supérieur à 3 tandis que d’autres, en coopération avec les meilleurs laboratoires du monde académique, verrouillent les droits de propriété intellectuelle et les brevets relatifs aux véhicules de niveau 5.

    Les VA disponibles à l’achat, de niveaux 2, rarement 3, circulent sous le contrôle de conducteurs, aidés de systèmes ADASS (Advanced Driver-Assistance Systems), certains nécessitant un récepteur GNSS (Global Navigation Satellite System comme GPS, Galileo, Glonass, ou Beidou). En mode autonome, le comportement d’un VA est déterminé par un système de bord qui exécute des logiciels alimentés par des données provenant de divers capteurs (radars, lidars, caméras, etc.), de cartes numériques et d’algorithmes de reconnaissance environnementale exploitant l’apprentissage automatique.

     

    Les six niveaux d’autonomie. Source : ResearchGate

    Cockpit de VA (vue synthétique). Source : LinkedIn

    Sécurité et efficacité. En 2017, aux États-Unis, on dénombrait 34 247 morts sur les routes, environ 10 fois moins en France. Les objectifs avec les VA sont
    • sécurité : approcher 0 accident mortel et 0 blessure grave irréversible, et
    • efficacité : réduire les temps de trajets.

    Il est quasiment trivial de réaliser au moins en partie les objectifs sécuritaires en imposant de grandes séparations inter-véhiculaires et/ou de faibles vitesses. L’exigence d’efficacité, trop souvent ignorée, est donc essentielle. Outre des dizaines d’hospitalisations, six accidents mortels ont été causés à ce jour par des VA en mode autonome, cinq aux États-Unis et un en Chine. Les échantillons disponibles sont trop petits pour pouvoir conclure. Néanmoins, rien ne permet d’affirmer que le taux de mortalité avec les VA est ou sera inférieur à 1,13 par 100 millions de véhicules miles (le fatality rate en 2018 aux États-Unis pour des véhicules actuels conduits par des humains). Ce constat est conforté par une étude publiée par le IIHS [i] en juin 2020. Parmi les principales faiblesses, on trouve la faillibilité des capteurs et des techniques IA actuelles (les faux négatifs), le manque de communications explicites (cf. l’article à venir sur les VA communicants), ainsi que le partage d’autorité entre humain et système de bord. Ce problème, bien connu en transport aérien, n’a pas de solution générale. Partant du diagnostic selon lequel « The human is the bug », l’un des pionniers des Google cars choisit à l’époque de viser d’emblée la conduite automatisée.

    Accident mortel d’un VA, 2018, Highway 101, CA, États-Unis. Source : Paloalto Online

     

    La question des responsabilités. Tous les VA sont équipés d’enregistreurs infalsifiables – de boîtes noires. L’examen de l’historique des événements datés qui précèdent un accident permet de déterminer, dans chaque véhicule impliqué, le ou les événements qui a/ont causé l’accident. Donc, contrairement à ce qu’on lit parfois, il est possible d’identifier ce qui est à l’origine d’un accident : un conducteur, un équipement, un logiciel, etc. Ce travail d’enquête destiné à réunir des faits est mené par des experts mandatés par des tribunaux, des compagnies d’assurance, etc. Les tribunaux peuvent alors attribuer les responsabilités civiles (les dommages et intérêts) et/ou pénales en déterminant qui doit répondre des conséquences de l’accident.

    Quel que soit le pays, un conducteur de VA est censé aujourd’hui être prêt à intervenir, si nécessaire, sous peine d’être tenu responsable en cas d’accident. Cette obligation est ambiguë. En conditions accidentogènes, en mode autonome, il n’y a que deux possibilités. Ou bien le système de bord fonctionne correctement : il émet une alerte sur désengagement. Les expérimentations [ii] démontrent que les délais de réaction des humains vont de 2 à 8 secondes, trop élevés pour éviter des collisions, mais suffisants pour en créer. Ainsi, un conducteur qui reprend la conduite sur alerte ne peut être systématiquement tenu responsable, sauf à imaginer qu’il est doté de capacités surhumaines. Ou bien le système de bord est défaillant : il reste muet et ne signale pas d’alerte. Afin de parer à des silences injustifiés, un humain doit donc surveiller son VA quasiment continuellement. De facto, cet humain conduit tout le temps ; avec certains modèles, il y est d’ailleurs contraint, voir plus loin. La contradiction avec les promesses liées aux VA est flagrante. Bien évidemment, un conducteur ne peut être tenu responsable des dysfonctionnements d’un système de bord.

    Des législations nationales évoluent significativement pour tenir compte des réalités technologiques [iii]. Concepteurs, développeurs, intégrateurs, certificateurs, sont à l’origine des VA ou sont impliqués dans leur mise en service. Dans tous les cas des niveaux 1 à 4, leur responsabilité peut donc être engagée. Elle l’est obligatoirement en niveau 5, les conducteurs n’existant pas. Dans le cycle qui va de la conception d’un VA à son autorisation de commercialisation, puis à ses utilisations, il y a toujours in fine un ou des humains sur qui faire peser la responsabilité. Il ne sert donc à rien d’inventer une personnalité juridique des robots [iv] sur roues, dans le cas des VA.

    Cybersécurité. Les capteurs extérieurs des VA peuvent défaillir et faire l’objet d’attaques comme des aveuglements visuels, des radars brouillés ou des signaux GNSS falsifiés, destinées à créer des collisions. La redondance des capteurs et les VA communicants permettent de gérer de telles défaillances ou attaques.

    Protection des données personnelles. Traçage et collecte de données personnelles sont inévitables avec les applications de navigation payantes ou gratuites (Google Maps, Waze, Here WeGo, etc.). Mais leur activation est optionnelle, soumise au choix des passagers. Par contre, des capteurs intérieurs (caméras, micros, etc.) des VA actuels collectent en permanence des données sur les occupants. Au nom de la sécurité, il est pertinent de surveiller l’état de vigilance d’un conducteur. Par exemple, avec les Cadillac CT6, si le conducteur cesse de regarder la route plus de 5 secondes, une alarme est déclenchée par une caméra qui surveille en permanence le point focal de ses pupilles. Pour la recherche des responsabilités, il est légitime d’enregistrer dans une boîte noire les données de suivi de conducteur. Mais il n’est pas indispensable d’enregistrer aussi des données à caractère personnel comme qui voyage avec qui, à quelle heure, ou les conversations entre passagers. Au regard du RGPD et de la position récente de la Commission européenne sur la reconnaissance faciale, de tels enregistrements sont illégaux sans le consentement préalable des personnes concernées. Comment manifester un tel consentement ? Cette question, qui reste ouverte, a une réponse : offrir une option intimité intérieure, dont l’activation entraîne la désactivation des capteurs, sauf ceux dédiés au suivi du conducteur. À l’exception des VA professionnels (flottes d’entreprises, transport public, etc.), le choix d’activer ou de ne pas activer cette option est laissé aux occupants d’un VA, qui n’ont pas nécessairement envie que des données personnelles soient enregistrées dans des serveurs inconnus, éventuellement revendues ou piratées. L’activation de cette option doit être aussi simple et intuitive que pour l’option « start/stop » moteur, exprimable via une commande tactile ou vocale.

    Un article à venir est consacré aux VA communicants.

    Nathalie Nevejans, Directrice de la Chaire IA Responsable (Université d’Artois) et Membre du Comité d’éthique du CNRS (COMETS), nathalie.nevejans@univ-artois.fr et Gérard Le Lann, Directeur de Recherche Émérite, INRIA Paris-Rocquencourt, gerard.le_lann@inria.fr

    [i] Insurance Institute for Highway Safety  https://www.iihs.org/news/detail/self-driving-vehicles-could-struggle-to-eliminate-most-crashes

    [ii] Par exemple, Stanford University et Robert Bosch, Conférence ITS 2015, pages 2458-2464

    [iii] “Autonomous vehicles: Driving regulatory and liability challenges”, Automotive World, 7 avril 2020

    [iv] Parlement Européen, 2017, dans une résolution sur les règles de droit civil en robotique. Le Groupe d’experts de haut niveau de la Commission Européenne s’est opposé à cette dérive

  • Le non-sens écologique des voitures autonomes

    On vous parle beaucoup de voitures autonomes. Cela serait même un moyen pour réduire la pollution notamment dans les villes. Qu’en est-il ? Guillaume Pallez, chercheur en informatique propose une déconstruction de ce mythe. Serge Abiteboul
    Photo by Josh Hild from Pexels
    Pour changer des articles un peu « publicitaires », supposés exciter notre attention sur les voitures autonomes (dilemmes moraux et éthiques, voiture propre sauveuse de la mobilité urbaine, la recherche va-t-elle enfin résoudre ce vieux rêve de l’humanité…), pour mieux nous permettre de les accepter, j’aimerais parler aujourd’hui des potentiels impacts écologiques de ces véhicules.
    Je vous propose  de  suivre une approche un peu différente. Qui construit des véhicules autonomes ? Quelles utilisations les intéressent ? En particulier nous allons étudier les possibles effets rebonds de l’implémentation de ces modèles à grande échelle. En particulier celui lié à l’augmentation de consommation grâce à cette technologie et aux moindres contraintes qu’elle engendre. Aujourd’hui il y a trois modèles principaux d’utilisation de ces voitures autonomes, liés en particulier aux différents groupes qui y travaillent : 
      1. Le modèle constructeurs automobiles (Audi, BMW, Ford, General Motors, Renault, Tesla, Toyota…)
      2. Le modèle VTC (Lyft, Uber…)
      3. Le modèle transport en commun
    Nota : Je range le modèle économique « Google/Alphabet » dans une catégorie différente : mon impression est, comme pour Android, ce modèle est plus intéressé par une utilisation du système par un maximum de groupes. Ainsi l’entreprise peut contrôler le marché,  récupérer beaucoup de données et les revendre efficacement. Ainsi, leur utilisation serait un sous ensemble des trois modèles précédents.

    Le modèle constructeurs automobiles

    Photo Pixabay

    De manière générale, le modèle économique d’un constructeur automobile est de vendre plus de voitures. Au vu de ce modèle économique, à quoi peut-on s’attendre dans le cadre de ces véhicules autonomes ?

    1. On peut s’attendre à ce que la publicité joue son rôle pour convaincre chacun·e de continuer à posséder sa voiture (autonome ou non, mais idéalement autonome). Apparemment, sur chaque voiture neuve achetée, une moyenne de 1500€ vont à la publicité ! Le nombre total de voitures ne devrait donc pas diminuer.
    2. Des études sont déjà en cours sur la façon de nous faire profiter du temps dans ce véhicule où nous n’avons plus besoin de conduire. Le « voiture-travail«  sera développé et le temps de trajet ne sera plus du temps « perdu ».
    Les transports en commun seront moins attractifs. On peut s’attendre à ce que le nombre de trajets en voiture augmente (effet de substitution). Le temps de trajet n’étant plus une contrainte, les gens pourront aussi habiter plus loin de leur travail (étalement urbain). Ainsi, similairement on peut s’attendre à une durée de trajets moyens augmentée. Finalement, face à cette diminution d’utilisation des transports en commun, il est raisonnable de penser qu’une conséquence  directe serait une réduction des investissements en infrastructure, une suppression de lignes de trains locaux (type TER), ou une diminution des nombres de train à grande vitesses qui poussera les gens à répéter ce cycle. 
    3. Finalement on peut s’inquiéter de la montée en flèche du leasing (locations longues qui permettent un changement de voitures très fréquent) : 73% des voitures neuves aujourd’hui ! Cette option « encourage » à changer de véhicule plus fréquemment et à monter en gamme. Cela conduit à une possible augmentation du nombre de véhicules neufs.

    Le modèle VTC (compétition avec les transports en commun)

    Photo by STANLEY NGUMA from Pexels

    De manière générale, le modèle économique d’un VTC est de vous faire utiliser au maximum ses services. Ce modèle peut être résumé ainsi : en ville, une flotte de véhicules autonomes en libre accès tournera et prendra les gens au fur et à mesure des demandes. Grâce à cette simplicité d’usage, les gens arrêteront de prendre leurs voitures  individuelles. Ce modèle est vendu comme « écologique » car selon ses promoteurs :

        – Le nombre de voitures en ville et individuelles devrait diminuer ;
        – Le trafic devrait être plus fluide (réduisant ainsi la congestion et la pollution liée aux embouteillages) ;
        – Le nombre de parking urbains devrait diminuer, libérant de la place pour d’autres usages.
    Ce modèle peut paraître familier : c’est exactement le modèle VTC. L’avantage c’est qu’il commence à être étudié et on commence à connaître un peu ses effets rebonds. En particulier une étude récente (en anglais) compare la croissance de la ville par rapport à un modèle sans VTC. Parmi les résultats, on peut mentionner :

    – La congestion a augmenté de 60% entre 2010 et 2016 alors que dans le modèle sans VTC elle n’aurait augmenté que de 20%
    – La réduction de vitesse dans la ville a été de 13% (vs 4% dans le modèle).

    Les causes avancées par les chercheurs sont encore liés aux effets rebonds. Par cette simplicité d’utilisation les gens auraient :

    – réduit leur consommation des transports en commun ou de marche à pied.
    – fait des trajets qu’ils n’auraient peut-être pas fait sans le système de VTC.
    – enfin, de la congestion a été rajoutée par les VTC « à vide », qui se repositionnent, ou pour aller chercher des clients.

    L’étude ne dit pas si le nombre de voitures individuelles a réellement diminué.
    À nouveau on a un modèle où l’impact écologique attendu est négatif.

    Le modèle transport public

    Photo Negative Space

    Les transports en communs comme service public ont vocation à servir le public, et non pas à générer des bénéfices pour un petit nombre. Dans ce dernier modèle, voitures autonomes et transports en commun ne sont plus en compétition mais collaborent. Les voitures servent de navette pour ramener les gens éloignés des infrastructures vers les transports en commun. Ce service fait partie du réseau de transports en commun.

    C’est un modèle que l’on pourrait imaginer écologiquement responsable (cependant, il faudrait prendre en compte l’impact en terme de consommation de métaux et terres rares pour toutes les bornes 5G nécessaires pour que les véhicules communiquent avec l’extérieur).
    Malheureusement c’est aujourd’hui le modèle le moins mis en avant. Par exemple, dans ce dernier document du ministère de l’écologie solidaire et du transport, ce cadre n’est pas du tout discuté. On parle au contraire de cohérence entre les transports publics et ces nouveaux modèles économiques (Modèles I et II), qu’on peut interpréter comme « à long terme, réduire l’investissement dans les transports en communs car les gens vont utiliser ces voitures autonomes ».

    « ils  peuvent  aussi  modifier  les  limites  entre  transport  individuel  et  collectif.  Il  importe  de  favoriser   l’émergence  de  nouveaux  modèles  économiques  et  tout  en  assurant  la  cohérence  de  ces  services  avec  les  politiques de mobilité locales et les capacités à déployer des infrastructures adaptées au véhicule autonome « .

    Pour conclure

    Arrêtons le green-washing. Aujourd’hui, je ne connais pas d’étude qui permette d’affirmer que les voitures autonomes sont une solution au problème écologique. Les données ainsi que nos comportements passés liés aux progrès technologiques dans les transports semblent montrer plutôt l’opposé.
    Si on voulait vraiment réduire l’usage des voitures en ville, il existe des solutions qui fonctionnent ! Commençons par les mettre en place. En attendant plusieurs actions sont possibles :
        – pour les législateur·rices·s éco-conscient·e·s : mon mieux serait d’interdire les véhicules autonomes tant que les effets ne sont pas bien identifiés. Moins efficaces des premières avancées seraient : (i) d’interdire les ventes de voitures autonomes individuelles qui ne semblent pas répondre à un besoin qui n’ait de solution plus écologique ; et (ii) de limiter le nombre de VTC autonomes en ville comme cela été fait dans le passé pour les taxis
        – pour les journalistes, les tribunes offertes aux lobbyistes de l’automobile ([1], [2] ..), doivent être annoncées comme telles, et idéalement discutées de manière contradictoire. Les autres tribunes devraient être partagés avec votre audience avec la même accessibilité (paywall vs sans paywall).
        – pour les scientifiques et en particulier mes collègues du numérique. Je recommande l’excellente tribune d’Atecopol. Ensuite, pour ces problèmes de recherche dirigés vers un problème précis (par exemple la voiture autonome, la 5G, les data-centers « green »), on peut commencer par évaluer
    les considérations « rebonds », non rentables pour un industriel. Il est dommage que l’Inria, institut de recherche dédié aux sciences du numérique, publie un livre blanc sur les véhicules autonomes sans traiter ces problématiques.
    Il est donc absolument indispensable qu’un organisme public de recherche puisse continuer à mener une recherche de façon indépendante de celle de l’industrie, avec sa vision propre et des axes de recherche qui ne coïncident pas nécessairement en tout point avec ceux des entreprises. Et avec une remise en question saine de cette recherche.

    Pour aller plus loin

    Driverless Congestion, Samuel Schlaefli, 2019.