La reconnaissance faciale est une technique permettant d’identifier une personne à partir des caractéristiques propres à son visage. Cette technologie permet donc d’individualiser toute personne à partir d’une photo ou d’une vidéo. Généralement, la reconnaissance faciale est utilisée aux fins d’authentification d’une personne (déverrouiller son téléphone, contrôle d’accès à des locaux).
Le visage est considéré comme une donnée biométrique : cette donnée, sensible si utilisée à des fins d’identification ou d’authentification d’un individu, doit être utilisée avec parcimonie, et, en tout état de cause, conformément à l’ensemble des principes liés à la protection des personnes physiques à l’égard du traitement de leurs données personnelles.[1]
Or, l’actualité tend à démontrer que le respect des droits et libertés n’est pas la préoccupation première de certains Responsables du traitement :
Cet article a pour objectif de faire un point sur l’usage de la reconnaissance faciale, par des entreprises privées, plus spécifiquement.
Traitement impliquant des données biométriques : principes à mobiliser
La CNIL met en garde contre l’utilisation de cette technique, en des termes très clairs : « Cette technologie n’en est désormais plus à ses balbutiements. Les enjeux de protection des données et les risques d’atteintes aux libertés individuelles que de tels dispositifs sont susceptibles d’induire sont considérables, dont notamment la liberté d’aller et venir anonymement ». Nous recommandons donc tout d’abord à l’ensemble des acteurs souhaitant la mettre en œuvre de documenter la conformité du traitement dès l’origine de sa conception et tout au long de sa mise en œuvre (Accountability, art. 5 (2) du RGPD).
Au moment de la conception d’un traitement, vous devez prendre en compte l’ensemble des considérations liées au RGPD, notamment en pensant à l’encadrement contractuel de vos co-responsables de traitement et/ou sous-traitants. C’est d’autant plus vrai dans le cas de la reconnaissance faciale : le nombre de sociétés capables de mettre en œuvre cette technique en toute sécurité est limité. Vous serez donc fortement susceptible de faire appel à cette dernière, en tant que sous-traitant.
Les principes du Privacy by design & by default (art. 25 RGPD) exigent du Responsable de traitement d’anticiper les exigences du RGPD lors de la détermination du traitement pour la bonne prise en compte de l’ensemble des contraintes lors de la mise en œuvre de ce dernier. En sus, le Responsable de traitement doit mettre en place des procédures internes et paramétrer le système de reconnaissance faciale afin de limiter au maximum l’ingérence du traitement dans les droits et libertés des personnes.
Ainsi, pour illustrer nos propos, Facebook a désactivé par défaut la reconnaissance faciale sur les photos que vous postez : les suggestions n’apparaîtront plus. Il s’agit seulement d’une des innombrables mesures que vous pourriez mettre en œuvre : ces mesures sont dépendantes de la finalité de votre traitement et des possibilités offertes par le dispositif exploité.
Parmi les contraintes à intégrer, rappelons les éléments suivants :
Dans un premier temps, votre traitement doit reposer sur une base légale solide : les traitements de données biométriques sont encadrés par l’article 9 du RGPD qui interdit par principe ces traitements.
Il faut se tourner vers le deuxième alinéa de ces articles pour trouver les cas (restrictifs !) où ce traitement est possible. Globalement, une personne privée souhaitant mettre en œuvre le traitement, sans avoir pour finalité le respect d’une obligation légale ou l’usage d’une possibilité ouverte par la loi, devra recueillir le consentement de la personne concernée.
C’est pourquoi la CNIL demande aux acteurs utilisant les données biométriques de le faire uniquement en réponse d’un besoin spécifique (authentification pour l’accès à un lieu, un service, une application, etc.) et de laisser la personne concernée consentir librement à l’utilisation du service. En conséquence, il faudra pouvoir prévoir un autre moyen de subvenir au besoin pour l’utilisateur (un mot de passe complexe par exemple). La personne concernée doit alors avoir bénéficié d’une information individuelle sur le dispositif de reconnaissance faciale, et son alternative.
Le consentement doit respecter les articles 4 et 7 du RGPD : il est libre (choix d’une mesure alternative et la relation entre les acteurs garantie que la personne ne se sent pas forcée), éclairé (utilité d’une information complète, adéquate et explicite) spécifique (le consentement porte spécifiquement sur l’autorisation de l’individualisation de la personne par reconnaissance faciale) univoque (un acte de volonté clair, tel une déclaration écrite ou une case à cocher).
Le Responsable de traitement devra conserver la preuve de ce consentement, et prendre en compte le droit de la personne de le retirer à tout moment.
L’usage de ces exceptions à l’interdiction de traiter des données personnelles sensibles doit être correctement documenté : la CNIL recommande d’effectuer une analyse d’Impact RGPD relative à la Protection des Données (« AIPD », art. 35 du RGPD) dès qu’il est envisagé un traitement pour reconnaissance faciale. L’établissement d’une AIPD devient même une obligation en cas de traitement de données biométriques aux fins de reconnaissance des personnes vulnérables (enfant, personnes âgées, patients, demandeurs d’asiles, etc.)[2]
L’AIPD devra préciser les besoins spécifiques liés à l’utilisation de la reconnaissance faciale, en identifiant le contexte du traitement, les catégories de personnes concernées, la proportionnalité du traitement) l’objectif visé, les mesures techniques et organisationnelles mises en place afin de garantir que les risques demeurant sur les droits et libertés des personnes concernées sont résiduels. Cette liste n’est pas exhaustive : une AIPD doit comprendre tous les éléments de droit et de fait disponibles afin de justifier de la conformité du traitement au regard du RGPD.
L’AIPD doit comprendre une étude de risque afin de démontrer que l’ensemble des aspects du traitement ont été pris en compte pour adapter le traitement.
Il est recommandé d’utiliser la méthode EBIOS plébiscitée par la CNIL et l’ANSSI afin de mener une telle étude. Pour la simplifier, cette méthode reviens à attribuer une sensibilité plus ou moins grande au traitement envisagé.
Concrètement, le responsable de traitement, accompagné de son Délégué à la Protection des Données devra poser des hypothèses de risques vraisemblables au regard du projet de traitement et analyser la gravité du préjudice subit par les personnes concernées au regard de 3 évènements :
Pour chacun de ces trois éléments l’impact subi par la personne physique sera déterminé sur le plan moral (conséquences psychologiques de la faille de sécurité) matériel (conséquences factuelles, par exemple sur le plan financier) et physique (existence de dommages corporels).
La gravité des impacts, lié au degré de vraisemblance de l’évènement analysé, entraine obligation pour le Responsable du traitement de prévoir des mesures de sécurité de plus en plus lourdes. Si les garanties sont insuffisantes et qu’un risque résiduel élevé demeure sur les droits et libertés des personnes concernées, le Responsable de traitement devra alors consulter la CNIL.
Notons que dans le cas des données biométriques, une divulgation et/ou perte de la donnée est particulièrement grave : dans le cadre d’une authentification, il est possible de modifier son mot de passe après un hacking pour protéger de nouveau ses données. Mais dans le cadre des données biométriques le « mot de passe » est inchangeable et ce mécanisme d’authentification sécurisé sera compromis à jamais pour la personne concernée ! c’est son visage même qui est volé. La beauté mot de passe classique est son caractère actualisable.
A titre indicatif, voici un certain nombre de mesures de sécurité, techniques et organisationnelles, que vous pouvez mettre en place :
|
|
Synthèse
La reconnaissance faciale reste, selon les experts, une technologie fiable, suffisamment pour être utilisée. Cela reste un outil, ni bon ni mauvais. Le RGPD est cependant là pour rappeler que ce n’est pas car on a la possibilité de faire une chose qu’il faut la faire ! Avant de mettre en œuvre un tel procédé, veillez à avoir écarté toutes les autres options. Le mot de passe, plus classique, permet une sécurisation des accès plus respectueuse des droits et libertés des personnes.
Vous pouvez vous rapprocher de votre DPO afin de planifier la mise en œuvre d’une AIPD – A ce titre, DPO Consulting a développé une solution logicielle vous accompagnant dans la réalisation de tels projets – demandez une démonstration de notre interface « AIPD »
– Guylaine Lombard
[1] Règlement Général sur la Protection des Données dit « RGPD » entré en vigueur le 24 mai 2016 et entré en application au 25 mai 2018
[2] Délibération CNIL n° 2018-326 du 11 octobre 2018, portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD)