Par Gérard HAAS et Olivier PREVOST
Mardi 14 mai, le conseil de la ville de San Francisco s’est prononcé en faveur de l’interdiction de l’achat et de l’usage de solutions de reconnaissance faciale par les services municipaux. L’occasion de revenir sur cette technique permettant d’authentifier l’identité d’une personne ou de l’identifier parmi un groupe d’individus à partir d’une base de données. Les applications sont en effet nombreuses, de l’usage à des fins sécuritaires au paiement d’un billet de train et posent un certain nombre de problématiques juridiques.
1. Dans quel contexte cette décision a-t-elle été prise ?
L’ordonnance rendue par le conseil dispose que « la propension de la technologie de reconnaissance faciale à mettre en danger les droits civils et les libertés civiles l'emporte largement sur ses prétendus avantages, et cette technologie exacerbera l'injustice raciale et menacera notre capacité à vivre sans surveillance gouvernementale continue[1] ». Cette résolution, qui n’a pas force de loi, s’inscrit dans un courant faisant primer les libertés individuelles sur la logique sécuritaire.
Un tel positionnement place toutefois San Francisco en opposition avec plusieurs services gouvernementaux américains, qui utilisent la technologie de reconnaissance faciale depuis des années. A titre d’exemple, le service des douanes américain (US Customs and Border Protection) a déployé les dispositifs de reconnaissance faciale dans les aéroports[2]. Les données recueillies (scan d’iris et images faciales[3]) y ont des durées de conservation allant de 15 ans pour les citoyens américains à 75 ans pour les citoyens étrangers[4].
Le choix de bannir l’usage de la reconnaissance faciale place San Francisco dans une position paradoxale vis-à-vis de la Silicon Valley. C’est en effet en Californie que sont développés de nombreux outils comme Rekognition, la solution de reconnaissance faciale d’Amazon Web Services (AWS)[5] ou DeepFace, celle de Facebook.
Observons toutefois que l’adoption de cette ordonnance d’interdiction par le Conseil de la ville de San Francisco s’inscrit dans un courant qui appelle à la régulation du domaine[6] appuyé par des organisations de défense des droits civils comme l’Electronic Frontier Foundation (EFF), qui considère « encourageant de voir San Francisco prendre cette mesure proactive pour anticiper les problèmes de surveillance qui se profilent à l'horizon[7] ».
La décision d’interdire le recours à la reconnaissance faciale dans les services municipaux, incluant donc la police, place la ville de San Francisco dans la même perspective que celle de l’Etat de Californie, prévoyant un projet de loi inspiré du Règlement Général Européen sur la Protection des Données (RGPD). Ce California Consumer Privacy Act entrera en effet en vigueur en 2020[8]. Bien qu’a priori moins exigeant que le RGPD, ce projet a néanmoins le mérite de définir les données personnelles en prévoyant un principe de transparence des traitements[9]. Il impactera directement les dispositifs de reconnaissance faciale comme tout type de traitement de données à caractère personnel.
2. Quel cadre juridique pour la reconnaissance faciale ?
La technologie de la reconnaissance faciale est un défi juridique et politique, générant des réactions et des solutions différentes selon les Etats. Si certains pays l’autorisent et l’emploient largement, notamment outre Atlantique, le droit européen encadre quant à lui ce type de technologie de manière particulièrement stricte.
En effet, au regard du RGPD, le visage constitue une donnée biométrique, garantissant ainsi des droits à son titulaire, notamment celui de s’opposer à toute décision qui serait prise uniquement après analyse par un algorithme. Pour la France, la Commission Nationale Informatique et Libertés (CNIL) suit de près les cas d’usage de la reconnaissance faciale, comme lors du Carnaval de Nice[10] cet hiver.
Les critiques se font nombreuses à l’encontre d’un déploiement non contrôlé de dispositifs de reconnaissance faciale notamment au regard des nombreux risques d’atteinte à la vie privée que cette technologie est susceptible de porter : de l’erreur technique à l’usage détourné de la base de données constituée, la reconnaissance faciale n’est en outre pas encore totalement au point avec des biais dangereux (discrimination, exclusion[11]).
C’est, du reste, pour cette raison que le RGPD impose la réalisation d’une étude d’impact avant toute mise en place d’une solution de reconnaissance faciale. Il s’agit en effet de garantir la protection des droits fondamentaux des personnes par une analyse des risques effectuée en amont par le responsable de traitement.
Cartographie des traitements, analyse de conformité, mise en place de mesures organisationnelles et technique dédiées à la sécurité des données etc. sont autant d’actions à mener afin d’assurer la conformité de ce type de traitement au regard de la réglementation européenne sur la protection des données.
Nul doute que les Délégués à la Protection des Données (DPO) auront à traiter ce type de question dans le cadre d’une démarche de conformité qui doit être effectuée dès le stade de la conception des traitements (ou privacy by design) et parfaitement documenté dans une logique de responsabilisation générale des différents acteurs (accountability).
Le Cabinet HAAS Avocats, spécialisé en droit des nouvelles technologies, accompagne ses clients du secteur public comme privé dans la définition et la mise en œuvre de leur stratégie digitale. Vous souhaitez en savoir plus ? Contactez-nous en cliquant ICI.
[1] Ordinance amending the Administrative Code - Acquisition of Surveillance Technology « The propensity for facial recognition technology to endanger civil rights and civil liberties substantially outweighs its purported benefits, and the technology will exacerbate racial injustice and threaten our ability to live free of continuous government monitoring ».
[2] U.S. Customs and Border Protection – Biometrics
[3] U.S. Department of homeland security – Privacy impact assessment
[4] TSA Plans to Use Face Recognition to Track Americans Through Airports, Jennifer Lynch, EFF, 9 novembre 2017
[6] San Francisco votes to ban city use of facial recognition technology, Jeffrey Dastin, Reuters, 15 mai 2019
[7] San Francisco Takes a Historic Step Forward in the Fight for Privacy, Nathan Sheard, EFF, 14 mai 2019 « It is encouraging to see San Francisco take this proactive step in anticipating the surveillance problems on the horizon »
[8] California Data Privacy Proposal May Give Law Tough New Teeth, Kartikay Mehrotra and Laura Mahoney, Bloomberg, 23 février 2019
[9] The California Consumer Privacy Act and its Impact on Email Senders, Jason Soni, Sparkpost, 13 mars 2019
[11] La reconnaissance faciale d'Amazon aurait des biais sexistes et raciaux, Marc Zaffagni, CNET.com, 28 janvier 2019
