Par Anne Charlotte Andrieux et Vickie Le Bert
Déverrouiller son téléphone, prendre l’avion, accéder à ses comptes… Ces actes du quotidien sont autant de situations où le recours à la reconnaissance faciale s’est normalisé.
Si la reconnaissance faciale est aujourd’hui omniprésente, il n’en demeure pas moins que son utilisation soulève de nombreux questionnements, tant sur le plan éthique que juridique. La balance entre enjeux sécuritaires et préservation des libertés individuelles est aujourd’hui encore bien difficile à opérer.
En avril dernier, la Commission européenne a présenté, en opérant une approche par les risques, une règlementation proposant de nouvelles règles et actions en faveur de l’excellence et de la confiance dans l’intelligence artificielle. A cette occasion, caractérisant la technologie de reconnaissance faciale comme une technologie « à haut risque », la Commission est venue rappeler le principe d’interdiction de l’utilisation de la reconnaissance faciale en temps réel dans l’espace public, sous réserve toutefois des nécessités impérieuses de maintien de l’ordre (recherche d’un enfant disparu, prévention d’une menace terroriste spécifique et imminente…).
Qu’est-ce que la reconnaissance faciale ?
La reconnaissance faciale est une technique d’analyse des traits du visage fondée sur l’élaboration, à partir d’images fixes ou animées dont sont extraites des données, de « gabarits » ou modèles uniques à partir desquels sont comparés les visages des individus présentés au système.
La reconnaissance faciale permet ainsi, à partir de l’analyse et de la collecte de traits du visage :
- D’authentifier une personne, en vérifiant que l’identité qu’elle décline est la bonne.
- D’identifier une personne parmi une foule d’individus, à partir d’une image ou encore d’une base de données
Cette technique de reconnaissance faciale « traditionnelle » n’a eu de cesse d’évoluer, et des techniques de pointe permettent désormais de surpasser les deux fonctions initiales d’authentification et d’identification.
Il existe ainsi des technologies permettant, à l’instar de celle mise en œuvre à titre expérimental par la ville de Nice dans ses tramways, la détection et le décryptage des émotions des individus, ou encore d’identifier une personne dont le visage est couvert au sein d’une foule, uniquement par rapport à sa démarche, sa silhouette ou encore son attitude.
La reconnaissance faciale en France : une utilisation encadrée et contrôlée
L’Union européenne est venue poser des garde-fous à l’utilisation des technologies de reconnaissance faciale par ses Etats membres. Le Comité européen de la protection des données et le Défenseur des droits en France appellent quant à eux à bannir complètement ces technologies à la volée dans l’espace public pour préserver le droit à la vie privée et par crainte de discriminations.
La première limite imposée aux Etats membres est contenue au sein du Règlement général sur la protection des données. En effet, les données collectées et traitées dans le cadre de la reconnaissance faciale, considérées au sens de l’article 4-14° du RGPD comme des données biométriques[1], entrent dans la catégorie des données dites « sensibles », pour lesquelles la réalisation d’un traitement est en principe impossible, sauf cas particulier prévu par l’article 9 du RGPD.
Tout traitement basé sur la collecte de données biométriques se doit alors d’être justifié, d’une part quant à la nécessité de son établissement mais également quant à sa proportionnalité aux finalités retenues. Ces traitements doivent également faire l’objet d’une analyse d’impact préalable.
Le second garde-fou posé par l’Union européenne est le principe de l’interdiction du recours à la reconnaissance faciale en temps réel. Cette interdiction faite aux Etats membres de recourir à des technologies permettant d’identifier automatiquement des personnes dans un espace public sans leur consentement préalable pourrait néanmoins souffrir des exceptions en cas de flagrant délit ou d’autorisation judiciaire.
En France, lorsqu’à des fins de lutte contre la criminalité le juge autorise effectivement les forces de l’ordre à utiliser des images récoltées par le biais de caméras de vidéosurveillance, la police ou la gendarmerie les croisent avec près de 8 millions de photographies, contenues au sein du traitement des antécédents judiciaires (TAJ).
Après la vague terroriste subie en 2015, la France a encore généralisé le recours aux techniques de reconnaissance faciale, et ce aux fins de renforcer sa sécurité intérieure. Le secteur des transports a été le principal concerné par le déploiement de ces technologies. L’exemple le plus parlant est celui des aéroports Roissy-Charles de Gaulle et Orly, aujourd’hui équipés d’une centaine de bornes de reconnaissance faciale.
La France est ainsi plutôt ouverte au recours à la reconnaissance faciale. En 2020, dans une démarche de transition digitale et de sécurisation des contrôles, le gouvernement français a d’ailleurs développé une application pour smartphone, Alicem, basée sur la reconnaissance faciale. Cette application, dont la mise en œuvre a été validée par le Conseil d’Etat, permet à ses utilisateurs de prouver qu’ils sont les titulaires légitimes des titres d’identité qu’ils présentent et qu’ils ont préalablement enregistrés (comme leur passeport ou leur titre de séjour).
Enfin, des expérimentations placées sous contrôle de la CNIL sont régulièrement menées sur le territoire français. En 2019, par exemple, l’autorité avait été saisie par la région PACA d’une demande de conseil portant sur l’installation et l’expérimentation d’un portique muni d’une technologie de reconnaissance faciale à l’entrée de deux lycées. La CNIL s’était prononcée défavorablement, relevant qu’un tel dispositif n’était ni nécessaire ni proportionné.
La reconnaissance faciale « à la volée » déjà employée en Chine …. et à Londres
La reconnaissance faciale est perçue par beaucoup comme un outil au service d’une société de surveillance. Il est vrai qu’en l’absence d’une règlementation forte, cette technologie présente de nombreux risques pour les libertés individuelles.
En Chine, la reconnaissance faciale est ainsi utilisée dans le cadre du système dit de « crédit social », consistant à identifier les personnes pour ensuite pouvoir, sur la base de leurs actions ou de divers paramètres, les noter et leur attribuer des « crédits ». La note attribuée à chaque individu est ensuite susceptible de conditionner leur accès aux prêts, aux services de santé, ou encore aux aides étatiques. L’outil de reconnaissance faciale devient, dans de telles circonstances, un outil de contrôle des populations.
Alors que la reconnaissance faciale en temps réel est interdite au sein de l’Union européenne, la ville de Londres a fait le choix du recours de déployer des dispositifs de reconnaissance faciale en temps réel. En 2019, la police londonienne a été dotée d’équipements de reconnaissance faciale lui permettant de scanner en permanence les rues de la capitale et les visages des passants. L’objectif du dispositif est de permettre, sur la base d’une liste de surveillance préalablement établie, l’identification de personnes considérées suspectes. Mais ce système, largement décrié, est attentatoire aux libertés individuelles. En effet, suspecté ou non, un passant lambda n’aura d’autres choix que d’offrir son visage aux caméras de vidéosurveillance d’une des villes les plus surveillées au monde.
Enfin, les dangers présentés par les outils de reconnaissance faciale ne sont pas que juridiques. En effet, leur fiabilité a souvent pu être remise en question, ces derniers étant sujets aux fraudes et aux contournements. Des outils de reconnaissance faciale ont ainsi déjà pu être déjoués par des mécanismes assez rudimentaires : personnes déguisées, portant un masque ou des vêtements réfléchissant la lumière en vue d’éblouir la caméra…
Le risque que ces failles techniques font porter sur les personnes est important. Celles-ci peuvent craindre de voir leur identité usurpée par des personnes malveillantes, et être reconnues dans des lieux où elles n’étaient même pas présentes. En Chine, deux hommes sont ainsi parvenus à duper un système de reconnaissance faciale en lui présentant une vidéo avec d’autres visages que les leurs.
Enfin, à l’ère des deepfakes, images très réalistes que même l’humain n’est pas en mesure d’identifier comme fausses, les outils de reconnaissance faciale sont également plus susceptibles d’être trompés. Il est alors nécessaire de faire évoluer les technologies de reconnaissance au même rythme qu’évoluent celles de fraude ou de contournement. La plateforme Facebook, en collaboration avec la Michigan State University, s’est emparée de ce problème, et travaille au développement d’une intelligence artificielle permettant de mieux détecter les deepfakes et de remonter jusqu’à la personne l’ayant généré.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Le Cabinet HAAS Avocats réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] « Données biométriques » : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques
