Quel statut juridique pour la reconnaissance faciale ?

Quel statut juridique pour la reconnaissance faciale ?
⏱ Lecture 6 min

Par Gérard HAAS et Olivier PREVOST

Le concept de reconnaissance faciale vise la technique s’appuyant sur une base de photographies préenregistrées reliée à un dispositif de reconnaissance automatique des visages et potentiellement des expressions. Si certains Etats tels qu’Israël ou la Russie développent leurs propres start-ups dans le domaine, la Chine est le leader incontesté du marché, et premier consommateur mondial de cette technologie de pointe. La ville de Nice est précurseur en France, mais dans quel cadre législatif ? Il existe un contraste entre l’approche chinoise qui privilégie les intérêts commerciaux et sécuritaires (I) et l’approche européenne qui cherche avant tout à protéger l’individu (II).

1. La reconnaissance faciale en Chine, une approche autoritaire

Aujourd’hui, quatre entreprises dominent le marché chinois de la reconnaissance faciale à hauteur de 50%. Il s’agit de Megvii, SenseTime, Yitu et CloudWalk. Le premier client de ce marché est le gouvernement chinois, représentant par exemple 40% du chiffre d’affaire de SenseTime.

La reconnaissance faciale en chine final

Le recours au big data explique notamment comment ces sociétés très jeunes aient pu obtenir des résultats aussi impressionnants. L’usage « de la base de données nationale contenant les photos et documents d'identité des quelque 1,4 milliard de citoyens chinois[1] » a permis l’affinement des algorithmes et leur mise sur le marché.

Dans un but de prévention antiterroriste, le recours à la reconnaissance faciale est, semble-t-il, accepté par la population. Comme souvent, la balance entre liberté et sécurité penche en faveur de la seconde option. C’est pourquoi l’empire du Milieu s’est doté d’une myriade de caméras, dont certaines sont couplées à des algorithmes de reconnaissance faciale. Deux usages majeurs se démarquent pour cette technologie : les applications commerciales et sociales, et les applications sécuritaires.

 

A) L’usage commercial et social de la reconnaissance faciale

Concernant les applications commerciales, la reconnaissance faciale est employée pour accélérer le processus de paiement, avec l’établissement par le logiciel d’une corrélation entre la reconnaissance du visage et un portefeuille électronique attribué. C’est par exemple le cas pour l’achat des tickets dans certaines gares. Il devient ainsi possible de payer simplement avec son visage. Cela permet une authentification très rapide des consommateurs, évinçant parfois le guichet traditionnel.

Concernant les applications sociales, la reconnaissance faciale est présentée par ses promoteurs comme le moyen de sécuriser l’espace public pour les usagers, par exemple en retrouvant une personne égarée. Cela pourrait être très utile pour retrouver les enfants ou personnes âgées séparées de leurs proches. Un autre cas cité en exemple est un algorithme dévolu à l’identification d’enfants « qui s'approchent trop d'un lac. Ils sont interpellés nommément par haut-parleur et leurs parents reçoivent un texto pour les avertir qu'ils sont en danger[2] ».

Utilisation de la reconnaissance faciale en France et dans le monde

B) L’usage sécuritaire de la reconnaissance faciale

Le premier usage notable est la capacité de la police chinoise à repérer la petite délinquance. En effet, les agents sont parfois équipés de lunettes auxquelles sont intégrés des capteurs permettant la reconnaissance faciale. Ainsi, la traque d’un délinquant s’étend à tout le pays. Dès lors qu’un visage peut être associé à une infraction, il sera tôt ou tard identifié puis arrêté.

Le second usage est l’identification des comportements « déviants ». Selon la granularité de l’algorithme, les critères retenus pour repérer les individus peuvent varier. C’est ici que prend place la lutte anti-terroriste. Dans la province du Xinjiang (avec une forte communauté musulmane ouïgour), des comportements considérés comme extrémistes peuvent être par exemple l’éloignement du domicile ou la fréquentation de la mosquée.

En Chine, le déploiement de ces deux usages se fait en parallèle du système de crédit social. Une mauvaise note dans ce système impliquera des complications pour l’individu pour accéder aux services de l’Etat ou trouver du travail. Cela se double avec le principe de honte sociale pour les petits larcins (comme traverser hors du passage piéton par exemple).

Toutefois, l’utilisation de la reconnaissance faciale peut être encadrée de manière à protéger l’individu, c’est l’approche européenne.

2. Identifier les individus et protéger leur vie privée, l’approche humanitaire européenne

Le droit européen contient des dispositions relatives à la reconnaissance faciale, qui ont été appliquées récemment lors du Carnaval de Nice.

A) L’encadrement juridique de la reconnaissance faciale

En cas d’usage d’un logiciel de reconnaissance faciale, une distinction fondamentale doit être effectuée avant toute considération juridique. S’il s’agit d’un usage en interaction avec des serveurs distants maîtrisés par un organisme tiers (via internet), alors les données collectées pour la reconnaissance faciale seront des données sensibles, soumises au RGPD.  A contrario, si les données recueillies le sont pour un usage purement privé, alors l’exception domestique entre en jeu et le RGPD ne s’applique pas. Prenons l’exemple d’un logiciel de reconnaissance faciale utilisé pour reconnaître quel membre de la famille veut se connecter à l’ordinateur de la maison. Les données collectées seront analysées par le logiciel sans recourir à Internet, alors le traitement est privé et le RGPD ne s’applique pas.

L’analyse du visage peut permettre de déterminer l’humeur, l’orientation sexuelle, le QI, l’intérêt pour l’environnement ou encore l’attention. Par conséquent, le visage est une donnée biométrique puisqu'il s’agit d’une caractéristique physique ou biologique permettant d’identifier une personne. Cela explique l’application du RGPD, dont l’article 9[3] envisage la spécificité du traitement de ces données biométriques, en l’interdisant purement et simplement. Le second alinéa vient toutefois tempérer cette interdiction : le traitement peut être autorisé si la personne concernée donne son consentement, s’il s’agit d’un motif d’intérêt public ou de sauvegarde des intérêts vitaux.

Le règlement précise en outre que le recours à une identification biométrique ne peut pas être imposée à un individu et qu’il existe une obligation de proposer une mesure alternative. L’article 22[4] mentionne le droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé si cela provoque des effets juridiques ou affecte la personne de manière significative. Par exemple, la décision d’un logiciel de reconnaissance faciale empêchant un client d’accéder à son avion parce qu’il ne reconnait pas son visage ne pourra pas être absolue. Il devra nécessairement exister une autre procédure.

Il existe toutefois certaines limites. Elles sont d’abord techniques, avec la marge d’erreur, encore importante, des algorithmes utilisés. En effet, il n’est pas rare de voir un logiciel de reconnaissance faciale sortir des résultats complètement incongrus parce qu’il a été perturbé par un élément imprévu. Ces limites sont ensuite juridiques : les principes de minimisation et de proportionnalité issus du RGPD ; le risque civil (sur le consentement) ; le risque pénal (sur l’usurpation d’identité par exemple) ; les atteintes à la vie privée (principe consacré par la CEDH).

B) Nice et la reconnaissance faciale : un cas d’usage

Cet hiver, sur trois jours pendant les deux semaines du Carnaval, la ville de Nice a testé la reconnaissance faciale. La société de cybersécurité monégasque Confidentia, prestataire pour cette opération, a recouru à la solution de reconnaissance faciale commercialisée par la start-up israélienne AnyVision.

Prévenue tardivement, la CNIL a néanmoins tenu à participer à la mise en place et à l’encadrement de l’opération, qui concernait un millier de volontaires avec pour support six des nombreuses caméras que compte la ville. Il est précisé que les personnes qui n’étaient pas volontaires avaient le visage flouté et n’étaient pas reconnaissables sur les images[5].

Deux arguments sont avancés pour justifier le déploiement de cette solution de reconnaissance faciale.

D’abord, cela permet d’identifier certains individus dans une foule. Il pourrait s'agir d'une personne amnésique recherchée par la police locale, ou encore une personne dite « d’intérêt », dont le visage serait connu des services anti-terroristes par exemple. L’objectif sous-jacent est la préservation de l’ordre public.

Ensuite, la reconnaissance faciale est présentée par AnyVision comme conforme au RGPD. Assurant être conscient des problématiques de vie privée, le PDG Eylon Etshtein déclare « nous n’avons pas besoin de filmer et garder en stock les visages. Une fois que notre système est installé, il pixelise automatiquement tous les profils, même l'opérateur du centre de contrôle ne peut pas voir votre visage car les modèles mathématiques ne représentent que les personnes d'intérêt. Notre solution est conforme aux normes européennes[6] ».

Ce second argument est tempéré par la CNIL, qui explique que si le dispositif était effectivement utilisé à des fins de sécurité et de prévention, il n’y aurait pas application du RGPD, mais de la directive n° 2016/680 du 27 avril 2016[7], dite directive « Police-Justice ». En effet, le règlement ne s’applique pas pour les matières laissées à la discrétion des Etats en vertu du principe de subsidiarité comme c’est le cas pour les activités de sûreté de l’Etat ou de défense nationale.

La CNIL ajoute que « le consentement des personnes ne peut constituer une base juridique pour le traitement de données relevant de cette directive. La mise en œuvre d’un tel dispositif à des fins sécuritaires serait donc soumis, à minima, à l’intervention d’un décret en Conseil d’Etat ou d’une loi[8] ».

Ce faisant, la CNIL réitère sa demande pour un cadre juridique plus clair en matière de reconnaissance faciale puisque le droit en sa forme actuelle n’est pas satisfaisant. La nécessité d’un droit spécifique se précise, et des évolutions sont possibles.

 

Le Cabinet HAAS Avocats, fort de son expertise en matière de protection des données, d’objets connectés et de cybersécurité, vous accompagne dans la réalisation de vos projets innovants recourant aux nouvelles technologies. Contactez nous en cliquant ici

 

[1] En Chine, la vie sous l'oeil inquisiteur des caméras, JULIE ZAUGG, Les Echos, 07/03/19

[2] Idem.

[3] Article 9 du RGPD

[4] Article 22 du RGPD

[5] Nice va tester la reconnaissance faciale, la Cnil grince des dents, Guillaume Serries, ZDNET, 19/02/19

[6] Anyvision, la start-up israélienne de reconnaissance visuelle qui veut s’imposer en leader, Anthony Lesme, Usine-Digitale, 27/07/18

[7] Directive (UE) 2016/680 du Parlement européen et du conseil du 27 avril 2016

[8] Tweet de la CNIL en date du 19 février 2019

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin