La reconnaissance faciale : un enjeu de société pour le citoyen européen

La CNIL s’est emparée du sujet considérant le 15 novembre 2019 que la reconnaissance faciale est de plus en plus présente dans le débat public aux niveaux national, européen et mondial. Cette technologie soulève des questions inédites touchant à des choix de société. La Commission Européenne l’a bien compris en publiant son livre blanc consacré à l’intelligence artificielle le 19 février 2020 dans lequel elle considère que cette technologie représente un usage à risque pour nos droits fondamentaux et qu’il est désormais temps de statuer sur une réglementation protectrice de la vie privée du citoyen dans le prolongement du RGPD.

« En 2054, il est difficile de se déplacer incognito car toutes les personnes sont soumises à des scanners rétiniens pour la personnalisation des messages publicitaires audios notamment. Pour échapper à toute identification, John Anderton va se faire transplanter de nouveaux yeux chez un chirurgien clandestin ». C’est ainsi que Philip K. Dick, auteur de romans et de nouvelles d’anticipation, a imaginé comment son héros pouvait échapper à cette reconnaissance rétinienne par les autorités qui le recherchent (Nouvelle « Minority Report » de Philippe K. Dick).

En écrivant cette nouvelle d’anticipation, Philip K. Dick était loin de s’imaginer que la reconnaissance biométrique ferait l’objet d’un débat relatif aux choix d’organisations sociales dans lesquelles nos sociétés entendent évoluer, notamment en Europe.

Certes, la reconnaissance rétienne n’est aujourd’hui pas au cœur du débat mais ce dernier concerne plus encore à savoir le visage dans son ensemble. On parle désormais de la reconnaissance faciale.

Les technologies de reconnaissance faciale vont-elles un jour être utilisées pour identifier les citoyens en temps réel ? Ces méthodes, qui sont déjà une réalité dans certains pays, sont à ce jour interdites en France comme dans l’ensemble de l’Union européenne dans la mesure où la loi impose de recueillir le consentement explicite de chaque individu soumis à un algorithme de reconnaissance faciale.

• La reconnaissance faciale selon la CNIL

L’une des premières tentatives de reconnaissance de visage est faite par Takeo Kanade en 1973 lors de sa thèse de doctorat à l’Université de Kyoto. Takeo Kanade est aujourd’hui un informaticien japonais spécialiste parmi les plus reconnus en vision par ordinateur et détenant une vingtaine de brevets dans ce domaine

Plus de 45 ans plus tard, la CNIL nous alerte en concentrant son analyse sur cette technologie :

« Cette technologie n’en est désormais plus à ses balbutiements. Les enjeux de protection des données et les risques d’atteintes aux libertés individuelles que de tels dispositifs sont susceptibles d’induire sont considérables, dont notamment la liberté d’aller et venir anonymement. Tout projet d’y recourir devra à tout le moins faire l’objet d’une analyse d’impact relative à la protection des données (AIPD). »

Et l’autorité de contrôle présente la reconnaissance faciale comme une technologie qui permet à partir des traits de visage :

• D’authentifier une personne : c’est-à-dire, de vérifier qu’une personne est bien celle qu’elle prétend être (dans le cadre d’un contrôle d’accès) ;

Ou

• D’identifier une personne : c’est-à-dire, de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

En pratique, la reconnaissance peut être réalisée à partir d’images fixes (photos) ou animées (enregistrements vidéo) et se déroule en deux phases :

1. A partir de l’image, un modèle ou « gabarit » qui représente, d’un point de vue informatique, les caractéristiques de ce visage est réalisé. Les données extraites pour constituer ce gabarit sont des données biométriques au sens du RGPD (article 4-14) ;
2. La phase de reconnaissance est ensuite réalisée par la comparaison de ces « gabarits » préalablement réalisés avec les modèles calculés en direct sur des visages présents sur l’image candidate (ibidem).

La technique permet de comparer deux modèles biométriques, généralement supposés appartenir à la même personne. Ces deux modèles sont comparés aux fins de déterminer si la personne qui figure sur les deux images est bien la même. Cette procédure est, par exemple, utilisée aux portiques de contrôle automatisé des passeports destinés aux vérifications aux frontières dans les aéroports.

La CNIL, dans sa contribution « Reconnaissance faciale : pour un débat à la hauteur des enjeux », rendue publique, le 15 novembre dernier, rappelait qu’il était important de « bâtir un véritable modèle européen face aux usages parfois débridés ou déraisonnables de la reconnaissance faciale à travers le monde » (Reconnaissance faciale : pour un débat à la hauteur des enjeux, CNIL, 15 novembre 2019).

• La Commission Européenne souhaite ouvrir un vaste débat sur l’intelligence artificielle

Le 19 février 2020, soit 3 mois après la CNIL en France, la Commission Européenne a inséré la question de la reconnaissance faciale dans un corpus plus vaste : celui de l’intelligence artificielle.

La Commission précise que le recours à la reconnaissance faciale aux fins d’une identification biométrique à distance est généralement interdit et n’est autorisé que dans des cas exceptionnels, dûment justifiés et proportionnés, sous réserve des garanties suffisantes et dans le respect du droit de l’UE ou du droit national.

Les données biométriques sont définies comme étant « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques [empreintes digitales] » (Article 3, paragraphe 13, de la directive en matière de protection des données dans le domaine répressif ; article 4, paragraphe 14, du RGPD ; article 3, paragraphe 18, du règlement (UE) 2018/1725]).

Toutefois, comme le souligne la Commission Européenne et ce malgré ce corpus juridique relativement protecteur, la collecte et l’utilisation de données biométriques à des fins d’identification à distance, au moyen, par exemple, du déploiement de la reconnaissance faciale dans des lieux publics, « comportent des risques particuliers en termes de droits fondamentaux ». L’utilisation de systèmes d’IA pour l’identification biométrique à distance a des incidences sur les droits fondamentaux qui peuvent considérablement varier selon sa finalité, son contexte et sa portée.

Face à ce constat, la Commission :

« lancera un vaste débat européen sur les circonstances particulières, le cas échéant, qui pourraient justifier une telle utilisation, ainsi que sur les garanties communes à mettre en place » (Commission Européenne, 19 février 2020, Livre blanc consacrée à l’intelligence artificielle).

Tout comme la CNIL 3 mois plus tôt, et consciente que le mouvement est lancé, la Commission Européenne invite les Etats membres de l’UE à s’emparer de ce sujet de société pour établir une législation sur la reconnaissance faciale qui puisse s’inscrire dans la continuité du RGPD.

A suivre attentivement.

A rapprocher : Définition « Reconnaissance faciale », CNIL ; Reconnaissance faciale : pour un débat à la hauteur des enjeux, CNIL, 15 novembre 2019 ; Façonner l’avenir numérique de l’Europe : la Commission présente des stratégies en matière de données d’intelligence artificielle, Commission Européenne, 19 février 2020