En ce moment

Des choix de société se dessinent autour des usages liés à la reconnaissance faciale

Posté le 17 décembre 2019
par Pierre Thouverez
dans Innovations sectorielles

La reconnaissance faciale permet de collecter et d'exploiter les données personnelles de personnes, parfois à leur insu. Cela pose des problèmes éthiques, réglementaires et techniques. Thomas Dautieu, directeur de la conformité à la Commission nationale de l'informatique et des libertés (CNIL), a répondu aux questions des Techniques de l'Ingénieur à ce sujet.

Thomas Dautieu est directeur de la conformité à la CNIL. Depuis quelques mois, l’irruption de la reconnaissance faciale dans l’espace public et la mise en place de projets (reconnaissance faciale à l’entrée de 2 lycées, technologie ALICEM… ) a permis à la CNIL de poser les contours d’un débat nécessaire autour de l’usage de cette technologie.

Editions Techniques de l’Ingénieur : Fin octobre, la CNIL s’est opposée à l’expérimentation de la reconnaissance faciale dans deux lycées du Sud de la France. Quels sont les critères qui ont orienté ce choix ?

Thomas Dautieu : La CNIL s’est prononcée dans le cadre d’une demande de conseil de la région PACA concernant l’expérimentation d’un « portique virtuel » de contrôle d’accès par reconnaissance faciale à l’entrée de deux lycées de la région. La solution envisagée a fait l’objet d’une analyse d’impact relative à la protection des données par la région et les deux lycées expérimentateurs, dont la version finalisée a été transmise à la CNIL fin juillet 2019. Après un examen attentif du projet, la CNIL a considéré que le dispositif projeté était contraire aux grands principes de proportionnalité et de minimisation des données posés par le Règlement général sur la protection des données (RGPD).

Thomas Dautieu est directeur de la conformité à la CNIL

Les objectifs du dispositif de sécurisation et de fluidification des entrées dans ces lycées pouvaient en effet être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge. La CNIL a rappelé que les données biométriques ne sont pas des données personnelles comme les autres, elles ont la particularité d’être unique et de permettre d’identifier un individu à partir de ses caractéristiques physiques ou biologiques et font donc l’objet du régime particulier des données sensibles, justifiant une protection renforcée des personnes.

Les dispositifs de reconnaissance faciale sont par ailleurs de nature à créer un sentiment de surveillance renforcée. La Commission a également rappelé que la perte ou le détournement d’une donnée biométrique faisait peser un risque majeur pour la personne concernée, car cette donnée restait attachée à la personne et ne pouvait être modifiée. Ces risques se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à une population vulnérable, notamment des élèves mineurs, dont les données personnelles nécessitent une protection particulière. Au regard de ces éléments, la CNIL a considéré que les dispositifs de reconnaissance faciale envisagés par la Région PACA ne pouvaient être légalement mis en œuvre.

Les tests menés sur la technologie de reconnaissance faciale ALICEM avaient soulevé il y a quelques mois un avis nuancé de la part de la CNIL, notamment sur la problématique du consentement réel du citoyen. Qu’en est-il aujourd’hui ?

Le RGPD établit que, pour être valable en tant que fondement juridique d’un traitement de données à caractère personnel, le consentement doit être éclairé, spécifique, univoque et libre. Dans le cadre d’ALICEM, le caractère libre du consentement soulève des interrogations dans la mesure où le responsable de traitement ne propose aux usagers aucun dispositif alternatif de vérification de l’identité. La personne concernée doit pouvoir disposer d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées et avoir la possibilité de les refuser sans subir de préjudice.

Or, en l’état, si l’usager refuse de procéder à la reconnaissance faciale, il ne peut se créer une identité numérique ALICEM, faute d’alternative à cette vérification d’identité. La Commission a ainsi considéré que la mise en œuvre du traitement de données biométriques devait être subordonnée au développement de solutions alternatives au recours à la biométrie (pour vérifier l’exactitude de l’identité alléguée par la personne créant son compte) aux fins de s’assurer de la liberté effective du consentement des personnes concernées audit traitement.

La Commission a ainsi proposé des solutions alternatives à la reconnaissance faciale pour vérifier l’identité de la personne. Il aurait pu être possible de prévoir une vérification de l’identité en face à face, un déplacement en préfecture, en mairie ou auprès d’un service public accueillant du public, une vérification manuelle de la vidéo et de la photographie sur le titre, un envoi de la vidéo sur les serveurs de l’ANTS avec vérification opérée par un agent ou encore un appel vidéo en direct avec un agent de l’ANTS. Les solutions alternatives proposées par la Commission dans son avis n’ont toutefois pas été retenues par le décret finalement publié le 13 mai 2019. Le Conseil d’État semble ainsi avoir admis la validité du processus tel que proposé par le ministère de l’intérieur et la validité du consentement quand bien même aucun moyen alternatif (en dehors du fait ne pas installer l’application) ait été mis à disposition des usagers.

La création d’une base de données biométriques risque de poser des contraintes de sécurité énormes autour de la protection de ces données. Comment se positionne la CNIL par rapport à la sûreté de ces données biométriques et du défi posé en termes de sécurité ?

La sécurité d’un traitement de données biométriques est un enjeu majeur pour le responsable de traitement, du fait de la particulière sensibilité de ces données. Les caractéristiques biométriques ont la particularité d’être uniques et, pour la plupart, permanentes. Elles sont en effet produites par le corps lui-même et le caractérisent de façon définitive. Les données biométriques peuvent ainsi être utilisées pour suivre et identifier un individu, même à son insu. Contrairement à un mot de passe, ces données peuvent ne pas être communiquées consciemment et ne peuvent pas être modifiées, y compris en cas de compromission.

La CNIL a donc rappelé de manière constante que les traitements de données biométriques doivent être nécessaires et proportionnés au regard des finalités pour lesquelles ils sont mis en œuvre et surtout que les données biométriques doivent être maintenues sous le contrôle exclusif de la personne concernée. Placer la donnée biométrique sous le contrôle de la personne concernée et non dans une base de données permet, mécaniquement, de réduire les risques de mauvais usage, compromission ou détournement de ces données. En pratique, soit la donnée biométrique est enregistrée sur un support individuel remis à la personne (tel qu’un badge) ou conservé en sa possession (sur son appareil mobile), soit elle est stockée en base de données sous une forme le rendant inutilisable sans intervention de la personne concernée, qui dispose d’un élément ou secret permettant de déchiffrer son gabarit. Ce principe de maintien de la donnée sous le contrôle exclusif de la personne concernée répond aux orientations du RGPD, qui impose d’opter pour des systèmes garantissant par défaut et dès leur conception une protection des données optimale.

En termes d’usages de la reconnaissance faciale dans l’espace public, quels sont les critères qui doivent présider au choix de leur mise en oeuvre ?

Les législateurs européen et national ont encadré, plus strictement qu’auparavant, les dispositifs biométriques dans le but d’adapter le niveau de protection des données aux nouveaux usages du numérique. Tout usage, y compris expérimental, de la reconnaissance faciale devra donc respecter ce cadre juridique modernisé (RGPD, Directive Police/Justice). Conformément à ces règles, la nécessité de tels dispositifs devra, au cas par cas, être établie : la reconnaissance faciale ne peut être utilisée sans impératif particulier de forte fiabilité de vérification de l’identité des personnes. Ces textes exigent également de s’assurer de la proportionnalité des moyens déployés et de placer le respect des personnes au cœur des dispositifs, par exemple en recueillant leur consentement ou en leur garantissant le contrôle de leurs données.

C’est en appliquant ces principes que la CNIL a déjà eu l’occasion d’admettre dans leur principe certains usages tout en encadrant leurs modalités pratiques (contrôles aux frontières dans les aéroports), et d’en refuser d’autres (contrôle d’accès d’élèves dans des établissements scolaires). Les cas d’usage de la reconnaissance faciale sont multiples et un raisonnement cas d’usage par cas d’usage s’impose. Ainsi l’hypothèse d’un usage de la reconnaissance faciale sur la voie publique devrait être analysée au regard de la finalité, du but poursuivi qui permettra ensuite de déterminer si les données sont pertinentes, proportionnées, si les durées de conservation sont appropriées, si la sécurité est adaptée, etc. S’il peut exister des cas légitimes et légaux d’usage de la reconnaissance faciale, ils ne doivent pas conduire à penser que tout serait souhaitable ou possible.

Enfin, la problématique du « fichage » à distance est soulevée par les technologies de reconnaissance faciale. Un citoyen peut être filmé et reconnu à son insu. Pourrait-on assister à la fin de l’anonymat dans l’espace public ?

Les systèmes de reconnaissance faciale peuvent facilement s’interfacer avec de nombreux dispositifs de captation d’image qui sont déjà intégrés dans notre quotidien comme les caméras de vidéosurveillance ou de vidéoprotection, les écrans publicitaires, etc. Tous ces objets peuvent potentiellement devenir des supports d’une surveillance régalienne ou privée sans précédent. Il est en effet possible que ces dispositifs de captation d’images, supports potentiels de tout système de reconnaissance faciale, soient couplés à d’autres types de technologies, par exemple, la captation du son, amplifiant encore davantage le degré de surveillance des personnes et des lieux.

Le tournant technologique auquel nous assistons se double d’un changement de paradigme de la surveillance, puisque de nombreux exemples ont permis de constater que l’on passe d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains. Ainsi, le changement de nature de la surveillance, devenant indifférenciée, couplé au traitement algorithmique des contrôles réalisés présentent un risque évident d’atteinte à l’anonymat dans l’espace public. Ce sont donc certains de nos principes fondamentaux qui sont susceptibles d’être remis en cause car l’espace public, physique ou numérique, est un lieu où s’exercent de nombreuses libertés individuelles et publiques comme le droit à la vie privée et à la protection des données personnelles, la liberté d’expression et de réunion, le droit de manifester, la liberté de conscience, le libre exercice des cultes.

Propos recueillis par P.T


Pour aller plus loin