La reconnaissance faciale est un sujet à multiple facettes touchant à la fois à l’intelligence artificielle, au domaine de la protection des données et à l’impact éthique des technologies actuelles sur l’être humain.
Le procédé de la reconnaissance faciale ne date pas de l’ère moderne. Au XIXe siècle, un célèbre criminologue français, Alphonse Bertillon, décide de préciser les recherches criminelles en analysant certains traits caractéristiques du visage. Pour cela, il mesurait l’écartement des yeux, des oreilles, se pencha sur l’emplacement de la bouche, l’implantation capillaires et d’autres paramètres afin de réaliser un portrait-robot et permettre aux policiers de s’en appuyer pour identifier des personnes recherchées.
La technologie de la reconnaissance faciale a connu des évolutions durant les siècles qui ont suivi ces travaux de recherches. A l’ère où l’intelligence artificielle est présente de plus en plus de secteurs, le mécanisme de la reconnaissance faciale n’est pas épargné. Il repose désormais sur un système de haute précision combinant plusieurs techniques du Big Data telles que la biométrie, l’intelligence artificielle, la visualisation des données et le Deep Learning (apprentissage automatique). La reconnaissance faciale inclue donc aujourd’hui les éléments suivants : des volumes de données massifs ; la variété de ces données pouvant être brutes, non structurées ou semi – structurées ; la vélocité avec production de la donnée et analyse en temps réel et enfin la véracité permettant une source de donnée de qualité. L’attraction entre les enjeux de la reconnaissance faciale et les technologies du Big Data se créer par l’activité du traitement des données. En effet, qu’elles soient structurées ou non structurées le traitement des données peut présenter un risque soumis à régulation car susceptible de porter sur des données à caractère personnel.
Le défi réside en un contrôle de l’usage de cette reconnaissance faciale pour laquelle est injectée une intelligence artificielle capable d’identifier automatiquement les personnes par croisement de données : images, données d’identification, localisation etc.
La reconnaissance en tant que traitement automatisé de l’image des personnes constitue un traitement de donnée personnelle. A cet effet, l’article 9 .1 du RGPD [1] fait mention d’une interdiction de principe au traitement des données biométriques à des fins d’identifier une personne physique de manière unique. Par exception, il est possible de recourir à de la reconnaissance faciale dans certains cas : si la personne concernée a donné son consentement au traitement, dans le cas où le traitement contient des données personnelles rendues publiques par la personne concernée ou bien encore si le traitement présente une nécessité pour des motifs d’intérêt public. Le règlement précise que le recours à une identification biométrique ne peut pas être imposé à un individu et qu’il est obligatoire de proposer une mesure alternative (Art. 22 [2]). La reconnaissance faciale échappe également à l’interdiction lorsqu’elle est instaurée sur les lieux de travail pour l’accès à des zones sensibles (nucléaires par exemple). De même en matière de sécurité publique (directive « Police-Justice ») [3] ou de sûreté de l’Etat il est tout à fait envisageable d’instaurer un contrôle biométrique afin de contrôler l’identité des personnes dans un lieu donné. Prenons l’exemple de la Ville de Nice qui, à la suite des évènements terroristes de l’été 2016 avait exigé que soit mis en place un système permettant d’identifier les visages des personnes participants au Carnaval.
L’appréciation du dispositif s’effectue au cas par cas, en considération des éléments justifiants le recours à un tel dispositifs et à la lumière des exceptions légales.
Récemment l’affaire FCPE 06 -CGT-Educ 06 a relancé les débats quant à l’usage de la reconnaissance faciale. En l’espèce la région PACA souhaitait mettre en place un dispositif de reconnaissance faciale afin de contrôler les entrées de deux lycées de la région dans un objectif de sécurisation et de fluidification de ces entrées. Afin de s’assurer de la légitimité du dispositif, la région Sud a saisi la CNIL pour avis. L’autorité de contrôle vient de rendre un avis négatif sur ce projet en estimant que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD Sur le fondement des grands principes de proportionnalité et de minimisation des données posées par la conformité RGPD et, bien que recueillant le consentement des lycéens, le 17 octobre 2019[4] , la CNIL avait condamné en séance plénière cette pratique mise en place à titre expérimentale par les villes de Nice et de Marseille. A ce titre, un jugement très attendu doit être rendu dans les jours à venir par le tribunal administratif de Marseille. Ce premier dossier portant sur l’usage de la reconnaissance faciale en France, susceptible de le faire entrer dans les affres jurisprudentielles.
Afin de permettre d’orienter l’analyse et l’encadrement juridique du procédé au regard de la réglementation, la notion de « risque élevé pour les droits et libertés des personnes physiques » est fondamentale. L’article 35 [5] du RGPD instaure l’obligation de réaliser une analyse d’impact en cas de traitement « susceptible d’engendrer un risque élevé pour les droits et libertés fondamentales des personnes physiques ». Il est donc nécessaire de réaliser une analyse d’impact sur la vie privée en cas de traitement de données sensibles issus de la technologie de la reconnaissance faciale avec l’obligation de l’adresser à la CNIL en cas de traitement effectué pour l’état ou à des fins pénales.
Pour l’heure, dans l’esprit du traité de Prüm [6], un rapport établi par les polices nationales de dix Etats membres de l’Union Européenne est en train d’être rédigé, il plaide pour une interconnexion des bases de données de reconnaissance faciale. Afin d’éviter que la reconnaissance faciale soit ostracisée et discréditée par l’opinion publique, il est préférable de rester vigilant sur l’emploi d’un tel procédé notamment en respectant les normes édictées par le régulateur. C’est en ce sens qu’est également pensée la récente loi PACTE [7] : une nécessité d’instaurer de la transparence dans les diverses pratiques ce qui conduit les entreprises à définir un cadre ainsi qu’une « protection des secteurs stratégiques ».
Un article complémentaire susceptible de vous intéresser sur la loi informatique et liberté
[1] Article 9.1 du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016
[2] Article 22 du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016
[3] Directive n° 2016/680 du 27 avril 2016 dite « Police-Justice »
[4] Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position
[5] Article 35 du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016
[6] Traité de Prüm du 27 mai 2005
[7] Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises
– Rebecca Dadi