Quelle protection juridique en matière de reconnaissance faciale ?
L’utilisation de la reconnaissance faciale s’est rapidement développée cette dernière décennie, à des fins sécuritaires ou de confort notamment. Vidéosurveillance, contrôles aux frontières, déverrouillage des appareils numériques sont autant d’usages de cette technique basée sur des données biométriques. Ces données sont particulièrement sensibles et font l’objet d’un encadrement juridique spécifique. Claire Levallois-Barth, chercheuse en droit à Télécom Paris, coordinatrice de la chaire Valeurs et politiques des informations personnelles de l’IMT, nous détaille le contexte de la protection de ces données.
Par quelles législations est encadré l’usage des données biométriques ?
Claire Levallois-Barth : La biométrie « aux fins d’identifier une personne physique de manière unique » entre dans une catégorie particulière définie par deux textes adoptés par les 27 États membres de l’Union européenne en avril 2016, le règlement général sur la protection des données (RGPD) et la directive police-justice. Il s’agit d’une catégorie des données considérées comme particulièrement sensibles.
Le RGPD s’applique à l’ensemble des traitements de données personnelles effectués à la fois dans le secteur public et le secteur privé.
La directive police-justice concerne, pour sa part, les traitements effectués à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales par les autorités compétentes (autorités judiciaires, police, autres autorités répressives …). Elle précise que les données biométriques ne doivent être utilisées qu’en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. Un tel traitement peut être effectué dans trois cas uniquement : lorsqu’il est autorisé par le droit de l’Union ou le droit d’un État membre, lorsqu’il porte sur des données manifestement rendues publiques par la personne ou pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne.
Quels sont les principes établis par le RGPD ?
CLB : Le principe de départ est qu’il est interdit de collecter et de traiter les données biométriques car les risques d’atteintes aux droits et libertés fondamentaux sont importants, dont la liberté d’aller et venir anonymement. Il existe cependant une série d’exceptions. Il faut donc rentrer dans l’une de ces exceptions (obtenir le consentement explicite de la personne, protéger ses intérêts vitaux, poursuivre un motif d’intérêt public important notamment) et respecter l’ensemble des obligations établies par le RGPD. Le principe clé est que l’utilisation des données biométriques doit être strictement nécessaire et proportionnée au regard de l’objectif poursuivi. Dans certains cas donc, il est nécessaire de recueillir le consentement de la personne, même si le système de reconnaissance faciale est utilisé à titre expérimental. Il y a également le principe de la minimisation qui pose systématiquement la question suivante : n’existe-il pas des moyens moins intrusifs pour atteindre le même but ? Dans tous les cas, l’organisme doit effectuer une analyse d’impact sur les droits et libertés des personnes.
Comment se traduisent en pratique les principes de proportionnalité et de minimisation ?
CLB : La région PACA, par exemple, a souhaité expérimenter la reconnaissance faciale dans deux lycées à Nice et Marseille. La CNIL a estimé que le dispositif concernant des élèves, la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’était pas proportionné pour atteindre ces finalités. Engager des surveillants supplémentaires, ou mettre en place un système de badge, serait suffisant.
Quelles utilisations de la reconnaissance faciale présentent le plus de contraintes juridiques ?
CLB : Il y a différentes utilisations possibles de la reconnaissance faciale. L’authentification consiste à vérifier qu’une personne est bien celle qu’elle prétend être. Elle est implémentée par exemple au niveau des technologies de sécurité aéroportuaires, ou pour des usages privés comme déverrouiller son smartphone. Ce genre d’application pose peu de problème juridique : l’utilisateur a généralement conscience de l’existence du traitement de données et les données sont, souvent, traitées localement, par exemple dans une carte.
En revanche, l’identification — qui permet d’identifier une personne au sein d’un groupe — implique de disposer d’une base de données répertoriant des individus. La taille de cette base dépend des finalités poursuivies. Mais la tendance est à l’élargissement du nombre d’individus. L’identification permet, par exemple, de retrouver des personnes recherchées ou disparues, ou de reconnaitre des amis sur un réseau social. Elle nécessite une vigilance accrue car elle peut être extrêmement intrusive.
La reconnaissance faciale permet enfin d’individualiser une personne. Ici, pas besoin de connaître l’identité d’un individu : on souhaite « juste » par exemple suivre ses déplacements dans un magasin pour connaître son parcours client ou analyser ses émotions lorsqu’il se trouve devant un panneau publicitaire ou attend à la caisse d’un supermarché. L’argument principal avancé par les publicitaires est qu’ils anonymisent très rapidement les données et ne conservent pas l’image du visage de la personne. Ici, comme pour l’identification, la reconnaissance faciale se fait à l’insu de la personne dans la grande majorité des cas.
Comment vérifier que les données sont aussi protégées à l’international ?
CLB : Le RGPD s’applique dans les 27 États membres de l’Union Européenne qui se sont mis d’accord sur des règles communes. Il est vrai que des données peuvent être collectées par des entreprises non européennes. Notamment des photos concernant les citoyens européens sont récupérées sur les réseaux sociaux et les sites d’actualité. C’est typiquement ce que fait l’entreprise Clearview IA qui aurait constitué une base de données privée de 3 milliards de photos.
Lorsque les données personnelles quittent le territoire de l’Union européenne, le RGPD pose une règle précise : l’exportation ne peut avoir lieu que vers un pays qui assure un niveau de protection considéré comme adéquat à celui existant au sein de l’Union européenne. Mais peu de pays remplissent cette condition. Une première option consiste alors à conclure un contrat entre l’importateur et l’exportateur de données ou à adopter des règles contraignantes d’entreprise. Pour les données stockées sur les serveurs situés sur le territoire étasunien, l’autre option était de s’appuyer sur l’accord Privacy Shield conclu entre la Federal Trade Commission (FTC) et la Commission européenne. Mais cet accord a été invalidé à l’été 2020 par la Cour de justice de l’Union européenne. Nous sommes en pleine guerre juridico-politique. Cela est compliqué, parce qu’une fois que les données ont été exportées, leur utilisation est beaucoup plus difficile à contrôler. C’est pourquoi certains acteurs, comme Thierry Breton (l’actuel Commissaire européen pour le marché intérieur), rappelle l’importance du combat pour que les données européennes soient stockées et traitées en Europe, selon des modalités que l’Europe aura fixées.
En dépit des risques et des enjeux éthiques qu’elle soulève, la reconnaissance faciale est parfois considérée comme une solution à des problèmes de sécurité ?
CLB : Elle peut en effet être d’une aide précieuse si sa mise en œuvre respecte nos valeurs fondamentales. Cela dépend donc des modalités concrètes. Si par exemple les forces de l’ordre savent qu’une manifestation va avoir lieu avec des personnes, potentiellement armées, à un horaire et dans une localisation précis, alors la reconnaissance faciale peut s’avérer utile à ce moment et à cet endroit. Mais s’il s’agit de l’utiliser à l’échelle d’une région entière, 24 heures sur 24, sur l’ensemble de la population pour lutter contre des vols à l’étalage, c’est tout à fait différent.
Cet été, la Cour d’appel de Londres a jugé illégale l’utilisation d’un système de reconnaissance faciale à la volée utilisé par la police galloise. Elle a notamment souligné l’absence d’indications claires sur les personnes susceptibles d’être surveillées et a reproché aux forces de l’ordre de ne pas s’être suffisamment assurées que le logiciel utilisé ne présentait pas de biais racistes ou sexistes. Le techno-solutionnisme, ce courant de pensée qui souligne la capacité des nouvelles technologies à résoudre les grands problèmes du monde, connait des limites.
Existe-t-il donc un réel risque de dérive d’application de ces technologies dans notre société ?
CLB : Nous pouvons nous demander si nous n’assistons pas à un glissement progressif par accumulation de technologies déployées tous azimuts. Nous avons conscience que des caméras de vidéo-surveillance sont installées sur la voie publique ; mais ce n’est pas le cas des fonctionnalités additionnelles ajoutées au fil de l’eau comme la reconnaissance faciale ou la reconnaissance comportementale. La Convention européenne des droits de l’homme, le RGPD, la directive police-justice, la CNIL, sont des garde-fous.
Mais il s’agit là d’une réponse juridique à un problème qui est essentiellement politique. Il faut s’assurer que des technologies intrusives, combinées les unes aux autres, ne soient pas empilées sans réflexion d’ensemble préalable, sans un indispensable recul. Quelle société souhaitons-nous construire ensemble ? En particulier dans un contexte de crise sanitaire et économique. Le débat de société reste ouvert ainsi que les modalités de mise en œuvre.
Propos recueillis par Antonin Counillon
Pour en savoir plus, visionner la vidéo de la 20e rencontre de la Chaire VP-IP du 13 novembre 2020, « Identités numériques, données biométriques et reconnaissance faciale »
Animée par Claire Levallois-Barth dans le cadre du Cycle de conférences « Identités numérique de confiance », cette rencontre visait à dresser, à l’occasion de cette première session, un état des lieux des controverses engendrées par cette technologie biométrique probabiliste, notamment en ce qui concerne son efficacité et le respect de nos droits fondamentaux.
Avec les interventions de :
-Claire Levallois-Barth, Coordinatrice de la Chaire VP-IP, « La reconnaissance faciale, des cas d’usage multiple », – Emmanuel Netter, Professeur de droit privé à l’université d’Avignon, directeur du LBNC (EA 3788), » Les enjeux juridiques de la reconnaissance faciale »,
– Marc Norlain, CEO et co-fondateur d’ARIADNEXT, société bretonne spécialisée dans les problématiques de l’identité numérique, La reconnaissance faciale au service de l’identité numérique.
Pour en savoir plus : https://cvpip.wp.imt.fr/2020/10/23/cycle-de-conferences-identites-numeriques-de-confiance-identites-numeriques-donnees-biometriques-et-reconnaissance-faciale/