Il y a quelques mois, nous avions vu ensemble comment construire votre propre modèle de reconnaissance faciale. Le but de ce From Zero To Hero était de vous faire comprendre quel mécanisme se cache derrière les technologies de reconnaissance faciale dont vous entendez régulièrement parler.

Après avoir inspecté le côté technique, je vous avais promis d’aborder également les notions juridiques liées à l’utilisation de cette technologie afin que vous ayez toutes les clés en main pour compléter votre profil de citoyens avisés.

Chose promise, chose due, le but de cet article est donc de vous présenter les leviers et l’encadrement juridiques de cette technologie !

Qualification juridique de la reconnaissance faciale

Nous nous concentrerons principalement sur l’encadrement normatif dans l’Union Européenne, une comparaison des dispositifs de reconnaissance faciale mis en place au niveau mondial pouvant faire l’objet d’un article à lui seul.

Voici les trois normes encadrant la reconnaissance faciale que vous devez connaître (notamment à travers la notion de données personnelles) :

• La loi du 6 janvier 1978 « Informatique et liberté » :
  • Plusieurs fois modifiée, notamment pour prendre en compte les évolutions au niveau de l’Union Européenne, elle concerne l’ensemble des traitements automatisés de données personnelles. Une Autorité Administrative Indépendante, appelée la Commission Nationale de l’Informatique et des Libertés (CNIL) a notamment été créée pour contrôler la bonne application de cette loi.
• La Directive (UE) du Parlement européen et du conseil de 2016 « Police Justice » :
  • Cette directive concerne le traitement des données à caractères personnelles par les autorités publiques dans le cadre de prévention, d’enquête ou de poursuites pénales.
• Et le fameux Règlement (UE) du Parlement européen et du Conseil de 2016 « Règlement Général sur la Protection des Données » alias RGPD – ou General Data Protection Regulation (GDPR) en anglais :
  • Ce Règlement, entré en vigueur le 25 mai 2018, pose le nouveau cadre européen concernant la circulation et le traitement des données à caractère personnel. Il est à l’origine de nombre de mails d’entreprises dont vous utilisez les services demandant votre consentement pour pouvoir continuer à vous envoyer des nouvelles ; ou des encarts de consentements que vous voyez lorsque vous arrivez sur un site web.

Avant d’aborder l’encadrement apporté par ces normes dans le cadre de la reconnaissance faciale, vérifions que nous sommes effectivement dans leur champ d’application.

L’usage de la reconnaissance faciale

La reconnaissance faciale est une technique qui a pour but, soit :

• L’identification d’une personne, c’est-à-dire distinguer une personne au sein d’un groupe d’individus. On en a beaucoup parlé lors de la création par la Chine de son « crédit social », attribuant des points à ses citoyens en analysant notamment leur comportement dans la sphère publique à travers des dispositifs de reconnaissance faciale.
• L’authentification d’une personne, c’est-à-dire vérifier l’identité d’une personne lors d’une autorisation d’accès à une application, votre smartphone, ou un lieu sécurisé. Par exemple, utilisé pour le projet Alicem du gouvernement qui permettrait une identification par reconnaissance faciale pour accéder à certains services administratifs en évitant les risques d’usurpation d’identité.

La reconnaissance faciale s’oppose à la détection de visage ou d’expressions, dont le but n’est pas de faire un lien avec l’identité de la personne.

Des données biométriques 

La reconnaissance faciale est définie comme « appart[enant] à la catégorie des techniques biométriques, ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales (empreintes digitales, réseau veineux, iris, etc.) » selon l’article rédigé par Nomos.

Nous avons aussi vu dans mon précédant livre blanc, comment un réseau de neurones générait une liste de nombres réels pour quantifier les caractéristiques d’un visage.  Grâce à cette méthode, nous avons une version condensée des visages que nous voulons identifier dans une liste de valeurs générées par l’ordinateur. Ces gabarits servent ensuite de comparaison pour reconnaître un visage dans une nouvelle image.

Ces données traitées par une application de reconnaissance faciale sont qualifiées juridiquement de données biométriques : des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » article 4 de la RGPD.

D’après le communiqué de la CNIL du 11 Novembre 2019, ces données sont particulièrement sensibles en ce qu’elles identifient la personne de manière « permanente dans le temps et dont elle ne peut s’affranchir ». Elles appartiennent également aux données biométriques les empreintes digitales, l’iris, l’ADN, etc.

Ainsi les dispositifs de reconnaissance faciale vont être principalement encadrés à travers les données qu’ils traitent, et du fait du caractère particulièrement sensible de celles-ci. Nous allons ainsi voir que leur utilisation est strictement encadrée par les normes nationales et de l’Union Européenne.

L’encadrement juridique de la mise en place d’un dispositif de reconnaissance faciale

Du fait de leur qualification de « données sensibles » au sens du règlement général sur la protection des données (RGPD) et de la directive dite « police justice », l’utilisation de ces données biométriques est strictement encadrée. En effet, en principe interdite leur utilisation peut être autorisée seulement par régime d’exception notamment :

• Lorsque la personne concernée consent explicitement à leur utilisation,
• Lors de leur utilisation pour des motifs d’intérêts public,
• Lorsque les données traitées sont manifestement rendues publiques par la personne concernée,
• Lors de l’exercice ou la défense d’un droit en justice.

Il est de la compétence des pouvoirs publics et du législateur de définir le cadre de la mise en place d’un dispositif de reconnaissance faciale. La CNIL, en plus de ses pouvoirs d’enquête et de sanction, tient un rôle important de conseil.

En effet, la CNIL a vu son importance grandir avec l’entrée en vigueur du RGPD, elle possède aujourd’hui un rôle de régulateur de ces technologies qui sont devenues notre quotidien. Restant pragmatique en ne s’opposant pas frontalement à ces applications de reconnaissance faciale, elle impose certaines limites, des « lignes rouges », à savoir :

• le respect de la réglementation en matière de données biométriques,
• « placer le respect des personnes au cœur de la démarche »,
• et « adopter une démarche sincèrement expérimentale ».

Elle cite d’ailleurs dans son dernier rapport d’activité la participation aux expérimentations sur la reconnaissance faciale dans les enjeux phares de 2020.

Les pouvoirs de la CNIL

La CNIL peut traiter une situation suite aux plaintes d’usagers ou bien s’autosaisir. Elle dispose d’un pouvoir d’enquête et de contrôle qui lui permet par exemple de poser des questions par écrit à l’organisme concerné et demander la production de certains documents, ou bien contrôler en se rendant directement sur place ; convoquer les responsables concernés pour audition.

Suite à cette enquête, la CNIL peut prononcer une mise en demeure – l’organisme dispose alors d’un délai de 6 à 12 mois pour se conformer à ses obligations. Elle dispose d’un pouvoir de sanction qui peut notamment être rendue publique (communiqué sur legifrance.fr et cnil.fr) ; pécuniaire (maximum 4% du CA mondial ou 20 millions d’euros) ; et lui permettre d’émettre des injonctions sous astreinte.

En 2019, la CNIL a prononcé 42 mises en demeure et 8 sanctions dont 7 amendes d’un montant total de 51 370 000 euros[15] –  dont 50 millions d’euros à l’encontre de la société Google LLC.

Les droits protégés par le RGPD

Le Chapitre III du RGPD énonce une liste de droits relatifs à la protection des données personnelles, comme le droit à l’effacement (appelé aussi « droit à l’oubli »), le droit de rectification ou le droit d’accès afin de vérifier si ses données font l’objet d’un traitement et comment s’effectue ce traitement (RGPD, art. 15 à 21.).

Il est à noter que le Règlement s’applique à toute organisation publique ou privée qui traite de données personnelles non seulement si elle est établie sur le territoire de l’Union européenne. Mais également pour des organisations qui n’y sont pas établies, à partir du moment où elle cible directement des résidents européens. C’est le cas par exemple d’un site e-commerce américain qui propose des services de livraison en Allemagne.

Dans le cas où une personne considère que ses droits ont été violés, elle peut dans un premier temps demander à l’organisme concerné leur respect. L’organisme dispose alors d’un mois pour répondre. A défaut, cette personne dispose de deux recours : une plainte auprès de l’autorité chargée du contrôle du respect du RGPD, c’est-à-dire pour la France la CNIL – et/ou un recours juridictionne ; recours qui peuvent être exercés en même temps par la personne concernée.

En octobre dernier, la CNIL avait statué sur une expérimentation qui prévoyait le recours à un dispositif de reconnaissance faciale pour éviter les intrusions de personnes non autorisées dans deux lycées de la région PACA. Elle a estimé que les risques d’un tel dispositif comme disproportionné quant aux objectifs de sécurité justifiant sa mise en place, d’autant que cet objectif pouvait être rempli par des moyens moins intrusifs tels que le contrôle de badge par des surveillants. Pour en savoir plus, retrouvez l’article rédigé par la CNIL.

Par la suite en février dernier, le tribunal administratif de Marseille a annulé la délibération du conseil régional de PACA lançant l’expérimentation de ce dispositif. Outre l’incompétence du conseil régional pour mettre en place un tel dispositif, il est souligné que la région ne justifiait pas de « garanties suffisantes afin d’obtenir des lycéens ou de leurs représentants légaux qu’ils donnent leur consentement à la collecte de leurs données personnelles de manière libre et éclairée ». Dans la lignée de la décision de la CNIL, il est également précisé que la région PACA ne justifie pas non plus des conditions qui permettrait de faire appel aux exceptions énoncées par le RGPD (motif d’intérêt public), ni ne démontre qu’elle ne pourrait pas atteindre les mêmes finalités de sécurité par d’autres moyens comme les contrôles par badge.

Une vigilance constante face à la reconnaissance faciale

Il y a quelques jours encore, le PDG d’IBM, Arvind Krishna, annonçait l’arrêt du développement des technologies de reconnaissance faciale et proposait au Congrès américain son conseil autour d’un débat sur l’usage et la prévention contre les inégalités que peuvent engendrer ce type de dispositif.

Mettant en jeu nos données personnelles ainsi que nos libertés individuelles telles que la liberté d’expression ou la protection de la vie privée, le déploiement des dispositifs de reconnaissance faciale nécessite une vigilance constante pour éloigner le spectre de 1984.

Des faux positifs et faux négatifs

Les technologies de reconnaissance faciale reposent sur une méthode statistique pour laquelle on ne peut promettre un « sans faute ».

Un modèle même bien entraîné peut créer des cas de :

• faux positifs, une personne est identifiée comme la personne autorisée à utiliser un service alors qu’elle n’est pas cette personne,
• faux négatifs, une personne n’est pas identifiée comme la personne autorisée à accéder au service alors qu’elle l’est.

L’entraînement de ces modèles de reconnaissance faciale révèle l’existence de certains biais algorithmiques : derrière chaque modèle un être humain est responsable de son développement. Notamment, pour être entraîné un modèle a besoin de données or si les données soumises au modèle excluent une catégorie de la population, le modèle l’exclura également. On se rappellera du scandale lorsqu’en 2017, une informaticienne noire, Joy Buolamwini, s’aperçoit qu’un de ces modèles n’était capable de la reconnaître que lorsqu’elle mettait un masque blanc.

Un dispositif « omniprésent et intrusif »

La CNIL souligne également dans un communiqué publié en novembre dernier le risque d’accoutumance à cette technologie alors que l’espace public doit rester un espace où il est possible d’être anonyme ; ce malgré la place omniprésente des caméras et autres appareils photos !

Elle parle de technologie « sans contact », puisque dans certains cas la personne concernée n’est pas avertie ou consciente de la présence d’un tel dispositif. Le traitement s’opère « à distance et à l’insu » de cette personne.

En bref

Alors qu’en novembre dernier, la CNIL appelait à un débat de société sur ces technologies et que ces dernières étaient d’actualité pour le gouvernement jusqu’en janvier, l’épisode Covid19 relance les questionnements. Nous voyons la mise en place de dispositifs de détection de port du masque par la RATP à Châtelet comme dans des marchés à Cannes. A priori ces dispositifs n’ont pas pour but d’identifier ni de sanctionner les personnes non porteuses de masques mais contribuent en tout cas à nous accoutumer à ce type de dispositif.

Le développement des technologies faisant appel à la reconnaissance faciale est l’affaire de tous. Il est parfois difficile de comprendre les enjeux qui se cachent derrière des technologies dont nous ne maîtrisons pas les engrenages. J’espère vous avoir permis un double éclairage à la fois technique et juridique sur cette technologie qui impacte nos droits et libertés fondamentaux et donné l’envie de débattre de leur place dans notre société.