Reconnaissance faciale : quels sont les enjeux à prendre en compte ?

Le développement des technologies de reconnaissance d’image et d’utilisation de la biométrie appelle à un débat national sur la question de la reconnaissance faciale. En effet, l’usage de cette technologie nécessite une vigilance particulière. La reconnaissance faciale est une technique de traitement de données biométriques, autrement dit « relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (régl. [UR] 2016/679, 27 avr. 2016, dit « RGPD », art. 4, § 14). Ces caractéristiques physiques sont inhérentes à la personne humaine et, à l’inverse d’un identifiant ou d’un mot de passe, elles sont impossibles à modifier (CNIL, communication relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données). Pour ces raisons, ces données sont considérées comme des données sensibles soumises à une interdiction de traitement, sauf exceptions strictement encadrées (RGPD, art. 9 ; L. n° 78-17, 6 janv. 1978, art. 6). À titre d’illustration, le traitement de données biométriques doit au préalable faire l’objet d’une analyse d’impact relative à la protection des données (CNIL, délib. n° 2018-326, 11 oct. 2018, JO 6 nov.).

L’accroissement des dispositifs facilitant la reconnaissance faciale ainsi que le caractère particulièrement sensible des données personnelles utilisées à l’occasion de ce traitement ont conduit la CNIL à s’emparer de ces questions. Récemment, elle a considéré qu’un dispositif de reconnaissance faciale de lycéens mis en place à l’entrée d’établissements scolaires dans un objectif de sécurisation et de fluidification des entrées apparaissait disproportionné eu égard aux principes de proportionnalité et de minimisation des données à caractère personnel (CNIL, communiqué du 29 oct. 2019, Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position). À l’occasion de cette décision, la CNIL a précisé que les différents cas d’usage relatifs à la reconnaissance faciale sont à l’étude. Elle a ainsi présenté le 15 novembre dernier les éléments techniques, juridiques et éthiques à prendre en compte en la matière.

Concrètement, expose la CNIL, les techniques de reconnaissance faciale se divisent en deux phases : « la collecte du visage et sa transformation en un gabarit, puis la reconnaissance de ce visage par comparaison du gabarit correspondant avec un ou plusieurs autres gabarits ». Cette même technique peut remplir deux fonctions : l’authentification, afin de vérifier que la personne est bien la bonne (par ex. : déverrouillage d’un appareil ou accès à des services), ou l’identification, afin de reconnaître une personne dans une situation donnée (par ex. : identification sur la voie publique de personnes recherchées). Ces techniques ne sont cependant pas sans risque, la CNIL en ayant décelé quatre principaux.

• Caractère sensible des données (II-1). La donnée biométrique reste la donnée intime par excellence, puisqu’elle a trait un élément unique du corps humain et ne peut donc être révoquée. De la sorte naît un risque évident de sécurité. La CNIL recommande à ce titre de limiter la reconnaissance faciale à certains cas particuliers et, le cas échéant, de faire de la sécurisation de ces données une priorité.

• Disponibilité et accessibilité des données (II-2). Dans un contexte où la photographie et la vidéo sont devenues communes et où les personnes s’exposent de plus en plus sur les réseaux sociaux, il est aisé de collecter plusieurs images représentant le visage d’une personne. La CNIL ajoute que « la reconnaissance faciale peut constituer une réelle technologie “sans contact” » puisqu’il est possible de reconnaître une personne à partir de dispositifs qu’elle ne peut détecter, sans aucune interaction (par ex. : reconnaissance faciale pour un contenu publié sur le réseau Facebook).

• Généralisation des techniques de surveillance (II-3). Selon la CNIL, les dispositifs de captation d’images ou de vidéo peuvent, en raison de leur accroissement, « devenir des supports d’une surveillance, au sens générique du terme (régalienne ou privée), sans précédent ». En effet, ajoute la CNIL, se constate un changement de paradigme : « le passage d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains », ce qui génère « un risque évident d’atteinte à l’anonymat dans l’espace public […] physique ou numérique ». La CNIL estime que ce risque doit être pris au sérieux car il est susceptible « de remettre en cause certains de nos principes fondamentaux ».

• Pertinence du traitement (II-4). La reconnaissance faciale fonctionne selon une méthode comparative, qui implique que la correspondance entre le gabarit à comparer et le ou les gabarits de référence n’est pas certaine et résulte d’un calcul probabiliste. Ainsi, la CNIL explique que, « si cette probabilité dépasse un seuil déterminé dans le système, celui-ci va considérer qu’il y a correspondance ». En fonction des réglages du dispositif, des risques de biais peuvent donc survenir (v. not., S. Prévost et P. Sirinelli, Méconnaissance faciale, Dalloz IP/IT 2019. 1). À titre d’illustration, la CNIL explique que, « si l’on privilégie, par exemple dans une finalité sécuritaire forte (lutte contre le terrorisme), la réduction des “faux négatifs”, le nombre de “faux positifs”, c’est-à-dire de personnes susceptibles d’être identifiées comme suspectes à tort (avec les inconvénients que cela génère), peut s’accroître ». Eu égard à ce caractère faillible, ajouté au coût économique d’un dispositif de reconnaissance faciale, la CNIL conclut que sa mise en place peut ne pas être pertinente.

La CNIL a déduit de ces risques trois exigences fondamentales :

1. « Tracer des lignes rouges, avant même tout usage expérimental. ». Les principes de légitimité des objectifs poursuivis, de stricte nécessité du traitement de données biométriques et de proportionnalité du traitement au regard de la finalité, constituent effectivement la ligne à ne pas dépasser. Les analyses de la CNIL en fonction du contexte permettront de dresser progressivement ces lignes selon les situations particulières.

2. « Placer le respect des personnes au cœur de la démarche. » Compte tenu du caractère particulièrement sensible des données objet de la reconnaissance faciale, les dispositifs expérimentaux ne devront en aucun cas avoir pour objectif d’accoutumer les personnes à ces techniques. Le droit des personnes devra occuper une place centrale dans la mise en place d’un système de reconnaissance faciale.

3. « Adopter une démarche sincèrement expérimentale. » La CNIL privilégie l’expérimentation à la mise en place en amont d’un régime, qui lui permettra d’adapter et de parfaire le cadre juridique en accord avec l’évolution de la technique.

Face à ces exigences, la CNIL rappelle enfin sa ligne de conduite globale. Elle indique ne pas vouloir « opposer de manière stérile la protection des données, d’une part, et les objectifs, légitimes, poursuivis par certains projets de reconnaissance faciale, d’autre part », mais bien « inviter à rechercher une voie permettant de concilier ces deux séries d’exigences, dans une optique de long terme et en s’attachant aux enjeux éthiques de toute transformation numérique ». La CNIL rappelle également qu’elle reste une autorité de régulation. De la sorte, elle insiste sur le fait qu’elle « jouera son rôle de garante indépendante de ces grands principes, dans sa double mission de conseil aux pouvoirs publics et, autant que nécessaire, de contrôle du respect de la loi », excluant tout « choix politique » et préservant par là même « sa totale indépendance » en refusant d’être « partie prenante de l’organisation effective des expérimentations en matière de reconnaissance ou de leur pilotage » (v. déjà CNIL, communiqué du 19 sept. 2018, La CNIL appelle à la tenue d’un débat démocratique sur les nouveaux usages des caméras vidéo, par lequel elle demandait au législateur de se saisir de ces questions).

C’est donc en tant que régulateur que la CNIL avertit des risques soulevés par la mise en place de dispositifs de reconnaissance faciale, tout en affirmant sa volonté d’adopter une démarche expérimentale afin de ne pas freiner l’innovation. La pertinence de l’adoption d’un tel système doit être savamment pesée, en l’attente d’une ligne politique claire dressée par le législateur. L’analyse d’impact relative à la protection des données est en cela un préalable indispensable puisqu’elle permet de mesurer justement la proportionnalité entre les objectifs poursuivis et le respect du droit des personnes.