La technologie progresse à vitesse grand V et certains s’inquiètent de son utilisation à des fins sécuritaires. L’histoire se répète : à chaque fois, on pense pouvoir bâtir des remparts contre les nouvelles technologies, puis on finit par s’apercevoir que l’on est dépassé par ses usages.
Si la reconnaissance faciale fait partie des nouveaux procédés qui peuvent contribuer à renforcer notre sécurité, il est nécessaire de trouver un équilibre avec les libertés rigoureusement protégées. A Nice, à Marseille, à Valenciennes, dans les aéroports, voire dans les lycées, cette technologie ne cesse de se propager dans un cadre juridique encore très brumeux. Alors qu’un débat citoyen semble se mettre en place sur le sujet, l’ampleur des enjeux requiert la plus grande attention.
Crédit : Microsoft
La reconnaissance faciale, entre authentification et identification :
Basée sur des techniques de biométrie, la reconnaissance faciale est un système automatisé consistant à filmer ou photographier une personne pour constituer un gabarit, c’est-à-dire sa signature biométrique, afin de l’identifier et/ou de l’authentifier. Cette technologie fonctionne donc sur un système de comparaison des données. Elle bénéficie à différents usages : l’accès à un lieu, le déverrouillage d’un smartphone, l’identification d’un délinquant, le démarrage d’une voiture disponible en autopartage, etc.
Il convient d’effectuer une distinction cardinale entre l’identification et l’authentification, toutes deux opérées grâce à la reconnaissance faciale mais pour lesquelles les enjeux posés ne sont pas les mêmes :
- L’authentification, déjà entrée dans nos habitudes, permet de vérifier qu’une personne est bien qui elle prétend être, en comparant son visage en temps réel avec une photographie existante. Il s’agit donc de comparer une image à un seul gabarit. De nombreux téléphones utilisent déjà cette technologie pour accéder au système. Depuis peu, le passage de la frontière dans certains aéroports français bénéficie de portiques comparant le visage du passager à celui stocké dans son passeport. A ce titre, l’Aéroport Nice-Côte d’Azur a mis en service dès 2018 des sas PARAFE (« Passage Rapide Automatisé aux Frontières Extérieures ») qui permettent d’augmenter significativement le débit des contrôles et de réduire les temps d’attente des voyageurs[1]. Le constructeur précise qu’il s’agit uniquement de « vérifier la cohérence entre la personne et le passeport, aucune donnée n’est enregistrée ».
- Le cas de l’identification est plus complexe. Il s’agit ici de retrouver une personne au sein d’un groupe d’individus en comparant son gabarit à une base de données existante. Si cette pratique est quotidienne aux États-Unis, elle reste très limitée en France. Elle bénéficie par exemple au fichier TAJ (« Traitement d’antécédents judiciaires ») que les enquêteurs peuvent interroger avec une image pour identifier un suspect. Si cette pratique suscite les fantasmes, elle alimente également les peurs d’un fichage de la population.
Les craintes des usages de la reconnaissance faciale :
Les détracteurs de la reconnaissance faciale pointent le manque de fiabilité des algorithmes et le risque de biais. A ce titre, une étude du National Institute of Standards and Technology, agence du département du commerce aux États-Unis, affirme que les algorithmes reconnaîtraient plus facilement les peaux blanches que les autres et seraient plus performants sur les hommes que sur les femmes, au risque d’accuser à tort ces individus[2].
Au-delà, les réticences portent surtout sur les libertés fondamentales. Il suffit de prendre pour exemple l’usage qu’en fait la Chine pour comprendre l’envergure des enjeux. En effet, ces outils technologiques, répondant autant à des usages militaires que civils[3], ont été repris très rapidement par les régimes autoritaires. En plus d’un « crédit social », les autorités chinoises utilisent la surveillance de masse en vue d’une répression contre les Ouïgours, population musulmane. Cette répression serait justifiée par une « déradicalisation » permettant de guérir les Ouïgours d’un esprit infecté par des pensées malsaines[4].
En Chine, l’usage de la reconnaissance faciale est omniprésent, et subordonné à un système de crédit social – Crédits : Getty
Entre rejet total de la reconnaissance faciale et usage débridé, il y a un point d’équilibre à trouver dont la responsabilité incombe à la personne publique. Il s’agit là de développer une reconnaissance faciale éthique, c’est-à-dire bénéficiant à tous sans créer de nouvelles inégalités et sans empiéter sur les libertés publiques. En France, un principe analogue à l’article 1er de la loi « Informatique et Libertés » de 1978 pourrait prétendre à ce que la reconnaissance faciale, ou plus largement l’intelligence artificielle, soit au service de chaque citoyen, ne portant atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Cependant, parmi les technologies disponibles à l’ère du numérique, la reconnaissance faciale est un cas particulier. Il s’agit d’une technologie sans contact qui, de ce fait, peut s’utiliser à distance et à l’insu des personnes.
Si la promesse de simplification apportée parait alléchante, elle est fortement décriée, notamment du côté des défenseurs des libertés sur Internet, comme la Quadrature du Net. Le risque repose sur un changement de paradigme de la surveillance : passer d’une surveillance ciblée à la possibilité d’une surveillance de masse.
Quel cadre réglementaire pour la reconnaissance faciale ?
En France, l’usage de la reconnaissance faciale est essentiellement encadré par le règlement général pour la protection des données (« RGPD ») du 27 avril 2016, repris par la loi « Informatique et Libertés » modifiée en 2018, et par la directive « Police Justice » relative au traitement des données en matière pénale du 27 avril 2016 également. Par définition, la reconnaissance faciale utilise des données dites biométriques[5] considérées comme sensibles à l’article 9 du RGPD. Cet article pose une interdiction de principe du traitement des données sensibles, donc par voie de conséquence l’interdiction de l’usage de la reconnaissance faciale.
Néanmoins, lorsque le système de reconnaissance faciale est intégré dans un smartphone ou dans un ordinateur, pour permettre de déverrouiller l’accès au système, par exemple, il peut échapper à l’interdiction. En effet, dans un tel cas, le traitement bénéficie de l’exception « domestique » et échappe ainsi à l’application du RGPD. A l’inverse, lorsque le système est distant et que les données sont conservées dans une base externe, il sera soumis à la règlementation applicable au traitement des données sensibles.
Pour autant, toute règle a ses exceptions. Un système de reconnaissance faciale pourra ainsi être mis en œuvre lorsque la personne concernée a donné son consentement, lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée ou lorsque le traitement est nécessaire pour des motifs d’intérêt public importants.
Par ailleurs, les traitements de données biométriques aux fins de reconnaissance faciale doivent obligatoirement faire l’objet d’une analyse d’impact préalable lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées[6]. A ce titre, l’analyse d’impact est obligatoire lorsque le traitement envisagé figure dans une liste préétablie par la CNIL ou lorsque le traitement remplit au moins deux des neufs critères issus des lignes directrices du G29, au nombre desquels figurent notamment le scoring, la décision automatique avec effet légal ou similaire, les personnes vulnérables, etc. L’analyse d’impact relative à la protection des données, qui devra être menée avant la mise en œuvre du traitement, se décompose en trois parties : une description détaillée du traitement mis en œuvre, une évaluation juridique de la proportionnalité concernant les principes et droits fondamentaux et une étude technique des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée.
Lorsqu’un système de reconnaissance faciale est mis en œuvre par une autorité publique, il doit être autorisé en Conseil d’État après avis de la CNIL. Ainsi, un tel système ne pourra être mis en œuvre que lorsque le traitement intéresse la sûreté de l’État, la défense ou la sécurité publique, a pour objet la prévention, la recherche, la constatation, la poursuite des infractions pénales, ou est nécessaire à l’authentification ou au contrôle de l’identité des personnes, et que l’État agit dans l’exercice de ses prérogatives de puissance publique.
Le régime actuel comporte trop de zones grises et reste très rigide au déploiement des usages de la reconnaissance faciale. C’est alors surtout dans le cadre d’expérimentations, non-soumises à autorisation préalable de la CNIL, que son usage s’installe en France.
Les expérimentations, une approche à tâtons :
Cédric O, secrétaire d’État au numérique, a plusieurs fois affirmé en 2019 la volonté d’ouvrir une phase d’expérimentation afin d’obtenir des retours sur les différents usages et sur la performance réelle de cette technologie. Il souhaite ainsi l’expérimenter tant dans la vie de tous les jours qu’en matière de sécurité. Par ailleurs, il affirma dans une interview donnée au quotidien Le Monde qu’« expérimenter la reconnaissance faciale est nécessaire pour que nos industriels progressent ».
L’expérimentation incertaine de l’authentification par la personne publique : le projet Alicem
Le gouvernement français comptait déployer dès fin 2019 un programme d’identification développé par l’Agence nationale des titres sécurisés, baptisé Alicem (« Authentification en ligne certifiée sur mobile ») dans le but de rendre l’accès aux services administratifs plus efficace. Présentée comme « la première solution d’identité numérique régalienne sécurisée », les citoyens pourront accéder à une multitude de services sans à avoir à mémoriser plusieurs identifiants et plusieurs mots de passe. Pour activer cette identité numérique, l’utilisateur devra obligatoirement procéder à des tests de reconnaissance faciale depuis son mobile. Si l’idée séduit en favorisant le confort d’usage, des doutes subsistent sur la conformité de ce mécanisme à la règlementation des données à caractère personnel. A ce titre, le consentement n’est valable que si le choix est offert à l’utilisateur, or il semble pour l’instant impossible d’utiliser cette application sans recourir à la reconnaissance faciale. Pour autant, certains nuancent en ce que, l’application étant seulement optionnelle, il existerait toujours d’autres moyens d’accéder aux services publics. De plus, ces utilisations anodines de la reconnaissance faciale nous accoutument à son utilisation, la rendant plus acceptable au risque de moins s’en méfier. En effet, il faut s’assurer que l’État, mais aussi les industriels, ne se mettent pas à collectionner les vidéos pour les utiliser à des fins sécuritaires.
Les expérimentations contestées de l’identification : au cœur de la ville de Nice
Certaines villes de France sont déjà devenues des laboratoires de la reconnaissance faciale. De plus en plus de collectivités se laissent tenter par des plates-formes numériques organisées autour des outils de surveillance dopés à l’intelligence artificielle et facilités par l’interopérabilité de tout système[7]. Un tel mouvement, en phase avec de puissants intérêts industriels et porté par des subventions publiques, inquiète les citoyens et les associations de défense des libertés publiques.
C’est principalement la ville de Nice, se revendiquant ville la plus « vidéoprotégée » de France, qui impulse de nombreux débats. Si l’expérimentation de l’application Reporty fut un échec[8], Christian Estrosi, le maire de Nice, ne capitule pas sur ses convictions et a décidé d’expérimenter un dispositif de reconnaissance faciale dernier cri à l’occasion du carnaval annuel. Le logiciel employé, développé par l’entreprise israélienne AnyVision, permettrait de reconnaitre un individu même si la photo témoin date de trente années. Cette expérience avait pour objectif de tester différents scénarios, comme celui d’un enfant perdu dans la foule ou d’une personne recherchée, en utilisant six caméras de vidéosurveillances placées stratégiquement. Des caméras étaient implantées à l’une des entrées du carnaval pour laquelle une file d’attente consacrée aux personnes souhaitant participer à l’expérience matérialisait leur consentement. Le consentement serait libre dans la mesure où une entrée alternative était proposée pour les personnes ne voulant pas participer à l’opération, et serait éclairé en ce que des panneaux d’affichage informaient les visiteurs de l’expérience en quatre langues. Si la CNIL n’a pas eu à donner son autorisation à cette expérimentation, elle souhaitait obtenir un bilan de l’expérience.
Crédit : F. Binacchi / ANP / 20 Minutes
Le maire azuréen ne cache pas vouloir repousser les limites du cadre légal au rythme où évolue la société. Il justifie ses positions sur des objectifs sécuritaires de lutte contre le terrorisme : « est-ce qu’on veut prendre le risque de voir des gens mourir au nom des libertés individuelles, alors qu’on a les technologies qui permettraient de l’éviter ? ». Cependant, la difficulté réside, selon les associations de défense des libertés publiques, dans l’opacité des projets portés par les municipalités, stratégie qualifiée d’anti-démocratique qui permet de freiner toute contestation, politique comme juridique. Œuvrer dans le silence permet aux municipalités d’éviter les recours, lesquels seraient rejetés pour des raisons purement procédurales.
Si Christian Estrosi est très satisfait des résultats de l’expérience[9], la CNIL tique sur le bilan. Elle regrette un bilan trop peu précis et subjectif. Le gendarme de la vie privée a donc demandé de nombreux compléments d’information, visant notamment à évaluer les conséquences concrètes d’un possible biais du logiciel.
De plus, seulement 5 000 visiteurs, sur les 240 000 spectateurs présents[10], se sont portés volontaires pour prendre part à l’expérience. Si cela semble extrêmement peu (près de 2%) et pourrait refléter les craintes des citoyens sur de telles technologies, il convient de préciser que les files d’attente dotées des caméras mémorisant les visages n’étaient présentes que sur une unique entrée du carnaval, qui en compte généralement une vingtaine. On peut en déduire que sur les 12 000 visiteurs potentiels ayant franchi l’entrée en question, 40% d’entre eux se sont portés au jeu de cobayes. De plus, le dispositif n’était pas présent pendant toute la durée du carnaval, se limitant à 3 jours d’expérimentation.
Dans une autre approche, la baie des Anges étudie les possibilités d’un logiciel d’analyse des émotions sur les visages dans le tramway pour détecter les individus potentiellement dangereux[11]. Si la start-up Two-I déclare que cette technologie elle-même ne collecte aucune information personnelle ou privée et que le projet niçois reste en suspens, certains s’inquiètent d’une potentielle utilisation marketing. En effet, la connaissance de l’état émotionnel de la clientèle permettrait aux entreprises de bénéficier d’une donnée très stratégique visant à classifier les actions commerciales et les produits à fort potentiel de transfert d’émotions positives.
Plus récemment, la CNIL et le tribunal administratif de Marseille ont rejeté l’expérimentation de la reconnaissance faciale dans deux lycées de la côte d’azur. Ce dispositif visait à fluidifier et sécuriser les accès aux établissements et ne devait concerner que les lycéens ayant préalablement consentis. Cependant, après avoir attentivement examiné l’analyse d’impact du projet, la CNIL a considéré que cette installation serait contraire aux principes de proportionnalité et de minimisation des données posés par le RGPD[12]. En effet, les objectifs de sécurisation et de fluidification des entrées pouvaient être atteints par d’autres moyens bien moins intrusifs, comme un contrôle par badge par exemple. Le Tribunal administratif de Marseille, saisi par les associations de défense des libertés publiques, a pris la même position, statuant d’abord sur l’incompétence de la région PACA, puis précisant que le consentement des mineurs ne pouvait être collecté de manière libre et éclairée du fait de la relation d’autorité qui lie les élèves à l’administration de l’établissement[13]. En France, c’est la première décision juridictionnelle sur la reconnaissance faciale, dont se félicitent les associations espérant des décisions similaires menant à l’interdiction totale de la reconnaissance faciale.
Une supervision éminemment nécessaire :
Face à la multiplication des expérimentations, la CNIL défend une utilisation minimale et très encadrée de la reconnaissance faciale. Tout en reconnaissant son utilisation parfois légitime, le gendarme de la vie privée plaide pour « définir un code de la route des usages de la reconnaissance faciale »[14]. Dans cette perspective, le secrétaire d’État au numérique, en coordination avec la CNIL, souhaite mettre en place une instance de supervision et d’évaluation des expérimentations, avant d’établir un débat citoyen laissant toute la responsabilité aux Français de choisir. Ce planning permettra de mesurer l’acceptabilité sociale de la technologie et pourrait déboucher très rapidement sur une loi encadrant ses usages.
En marge, le département des Alpes-Maritimes, dans son ambition de porter une intelligence artificielle responsable et éthique, a lancé en novembre 2019 l’Observatoire des Impacts Technologiques économiques et sociétaux de l’intelligence artificielle[15]. Cet observatoire azuréen, en partenariat avec l’Observatoire international des impacts sociaux de l’IA et du numérique de Québec, délivrera des études et des analyses permettant d’informer les citoyens et d’accompagner les politiques publiques. Sophie d’Armours, Rectrice de l’Université de Laval, témoigne qu’ « en plaçant le respect de l’être humain au centre de tout développement en intelligence artificielle, nos observatoires nous aideront à éviter les dérives » et ajoute qu’elle souhaite « profiter au maximum du potentiel de l’intelligence artificielle, tout en évitant d’être aspiré par ses côtés obscurs ».
Vers une approche commune européenne :
Si en France personne ne semble encore véritablement d’accord, à l’échelle de l’Union européenne, le dossier semble avancer un peu plus rapidement. Dans le cadre de sa stratégie pour un marché unique du numérique, la Commission européenne, via son Livre blanc sur l’intelligence artificielle publié le 19 février 2020, décide d’opter pour un « débat européen sur l’utilisation de l’identification biométrique à distance ». Si elle rappelle le cadre réglementaire préexistant, elle met l’accent sur une série de technologies à « haut risque » pouvant servir à une future surveillance, définies par deux critères cumulatifs : celles utilisées dans des « secteurs critiques »[16] et celles qui auraient un « usage critique »[17]. A ce titre, la Commission précise qu’un secteur à haut risque peut recevoir des applications ne portant pas de risque, à l’instar d’un système de planification des rendez-vous à l’hôpital.
Concernant les applications de reconnaissance faciale n’étant pas considérées comme à « haut risque », la Commission envisage la création d’un label non-obligatoire dont les exigences deviendraient contraignantes dès lors que les opérateurs concernés choisissent d’y souscrire. Ce label permettrait aux opérateurs économiques concernés de signaler que leurs produits et services reposant sur l’intelligence artificielle sont dignes de confiance, et aux utilisateurs de facilement savoir que les produits et services concernés sont conformes à certains critères objectifs et normalisés à l’échelle de l’UE allant au-delà des obligations légales normalement applicables. Ces exigences générales constitueront le socle d’une future réglementation.
Des solutions originales mais marginales pour déjouer la reconnaissance faciale :
En marge d’une protection légale et dans le but de protéger les vies privées, des chercheurs ont développé des techniques pour confondre les systèmes de reconnaissance[18]. Certains proposent de brouiller le décodage en appliquant des couleurs et des motifs aléatoires sur son visage.
Crédit : Grigory Bakunov
D’autres ont conçu des lunettes qui réfléchissent la lumière infrarouge pour aveugler les caméras. Enfin, quelques designers ont créé des bijoux originaux et élégants visant à trouver un équilibre entre sécurité et vie privée.
Marine Gentil
[1] https://www.air-journal.fr/2018-07-17-laeroport-de-nice-lance-la-reconnaissance-faciale-5201862.html.
[2] https://www.numerama.com/politique/535715-reconnaissance-faciale-une-etude-montre-que-les-algorithmes-discriminent-plus-les-femmes-noires.html.
[3] Comme en témoigne l’entreprise de défense Thales qui s’axe aujourd’hui sur la « safe city ».
[4] Sylvain Louvet, « Tous surveillés – 7 milliards de suspects », Capa Presse, France, 2019 : https://www.arte.tv/fr/videos/083310-000-A/tous-surveilles-7-milliards-de-suspects/.
[5] Données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
[6] https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd.
[7] Le même matériel permet d’imbriquer la sécurité avec d’autres enjeux et d’autres fonctions : l’éclairage public, la mobilité et le stationnement, les parcs et jardins, les réseaux d’eau et d’énergie.
[8] Pour en savoir plus : https://www.cnil.fr/fr/mise-en-oeuvre-experimentale-de-lapplication-reporty-par-la-ville-de-nice-quelle-est-la-position-de.
[9] Les caméras sont même parvenues à distinguer deux jumeaux monozygotes.
[10] http://www.nicecarnaval.com/resources/CARNAVAL_2019_ChiffresCles.pdf.
[11] Pour en savoir plus : https://www.marianne.net/societe/nice-safe-city-ou-cauchemar-orwellien.
[12] https://www.mediapart.fr/journal/france/281019/la-cnil-juge-illegale-la-reconnaissance-faciale-l-entree-des-lycees.
[13] https://www.laquadrature.net/wp-content/uploads/sites/8/2020/02/1090394890_1901249.pdf.
[14] https://www.lemonde.fr/pixels/article/2019/11/15/la-cnil-plaide-pour-un-code-de-la-route-de-la-reconnaissance-faciale_6019214_4408996.html.
[15] https://www.institut-europia.eu/otesia/.
[16] Par exemple, la santé, le transport, la police, le recrutement, le système juridique, etc.
[17] A savoir, les technologies comportant un danger de mort ou celles ayant des retombées juridiques.
[18] https://www.pesesurstart.com/2020/03/24/dejouer-la-reconnaissance-faciale-avec-des-visages-peints
Sources :
Arnaud Dimeglio, « Reconnaissance faciale : quelle réglementation ? », Village de la Justice, Mai 2019 : https://www.village-justice.com/articles/reconnaissance-faciale-quelle-reglementation,31495.html
Cécile Crichton, « Publication par la Commission de son Livre blanc sur l’intelligence artificielle », IP/IT et Communication, 28 février 2020 : https://www.dalloz-actualite.fr/flash/publication-par-commission-de-son-livre-blanc-sur-l-intelligence-artificielle#.Xr5Nci_pPOQ
Claire Girardin, « Reconnaissance faciale : il existe encore en France des garde-fous en matières de données biométriques », Le Monde, 22 janvier 2020 : https://www.lemonde.fr/idees/article/2020/01/22/il-existe-encore-en-france-des-garde-fous-en-matiere-de-donnees-biometriques_6026770_3232.html
Claire Legros, « La CNIL défavorable à l’utilisation de l’application de sécurité Reporty à Nice », Le Monde, 22 mars 2018 : https://www.lemonde.fr/pixels/article/2018/03/22/la-cnil-defavorable-a-l-utilisation-de-l-application-de-securite-reporty-a-nice_5274783_4408996.html
Geneviève Fournier, « La CNIL ouvre le débat sur l’utilisation de la reconnaissance faciale en France », Siècle Digital, 21 novembre 2019 : https://siecledigital.fr/2019/11/21/la-cnil-ouvre-le-debat-sur-lutilisation-de-la-reconnaissance-faciale-en-france/
Jacques Pezet, « Est-il vrai que l’appli Alicem va rendre obligatoire la reconnaissance faciale pour accéder à certains services publics en ligne ? », Libération, 9 octobre 2019 : https://www.liberation.fr/checknews/2019/10/09/est-il-vrai-que-l-ap…obligatoire-la-reconnaissance-faciale-pour-acceder-a-certai_1756058
La Quadrature du Net, « Première victoire en justice contre la reconnaissance faciale », 27 février 2020 : https://www.laquadrature.net/2020/02/27/premiere-victoire-en-france-devant-la-justice-contre-la-reconnaissance-faciale/
Le monde avec AFP, « Nice va tester la reconnaissance faciale sur la voie publique », Le Monde, 18 février 2019 : https://www.lemonde.fr/societe/article/2019/02/18/nice-va-tester-la-reconnaissance-faciale-sur-la-voie-publique_5425053_3224.html
Martin Untersinger, “La CNIL plaide pour un « code de la route » de la reconnaissance faciale », Le Monde, 15 novembre 2019 : https://www.lemonde.fr/pixels/article/2019/11/15/la-cnil-plaide-pour-un-code-de-la-route-de-la-reconnaissance-faciale_6019214_4408996.html
Martin Untersinger, “La reconnaissance faciale, des promesses et des risques”, Le Monde, 20 février 2020 : https://www.lemonde.fr/idees/article/2020/02/20/promesses-et-risques-de-la-reconnaissance-faciale_6030160_3232.html
Sylvain Louvet, « Tous surveillés – 7 milliards de suspects », Capa Presse, France, 2019 : https://www.arte.tv/fr/videos/083310-000-A/tous-surveilles-7-milliards-de-suspects/