L'autorité administrative indépendante pose les bases d'un débat qui doit avoir lieu autour de la technologie, et soumet ses exigences pour que son utilisation soit scrupuleusement encadrée, afin d'éviter les dérives.
Après avoir appelé de ses vœux la tenue d'un débat sur les enjeux autour de la reconnaissance faciale, la Commission nationale de l'informatique et des libertés (CNIL) a décidé d'y prendre part en publiant un guide, le 15 novembre 2019, dans lequel elle présente des éléments à la fois techniques, juridiques et éthiques susceptibles de faire avancer une technologie désormais placée au centre du débat public.
La CNIL rétablit quelques vérités sur la définition véritable de la reconnaissance faciale
La CNIL et les autorités essaient de réfléchir à la façon d'utiliser la technologie de reconnaissance faciale sans pour autant bafouer les libertés et droits fondamentaux. Un débat difficile mais indispensable, tant elle peut apporter sur le plan sécuritaire. « Nous devons bâtir un véritable modèle européen, face aux usages parfois débridés ou déraisonnables de la reconnaissance faciale à travers le monde », déclare l'autorité administration indépendante.La reconnaissance faciale, testée dans des lycées de Nice et Marseille, désapprouvée par la CNIL
Pour se prémunir des confusions et rétablir certaines vérités, la CNIL rappelle que la reconnaissance faciale fait partie des techniques biométriques. Elle consiste en une collecte du visage puis en sa transformation en gabarit. Ensuite, elle procède à la reconnaissance du visage par comparaison du gabarit correspondant avec un ou plusieurs autres gabarits.
Ses deux fonctions principales sont donc l'authentification d'une personne (pour vérifier si elle est bien celle qu'elle prétend être) et l'identification d'une personne (la retrouver au sein d'un groupe composé de plusieurs autres individus, par exemple, ou dans une base de données, image ou lieu).
Se basant sur une estimation de correspondance entre des gabarits, et donc, sur une probabilité aussi forte soit-elle, la reconnaissance faciale n'est pas synonyme de vidéo « intelligente. » Autrement dit : la détection de visages, par des caméras intelligentes, ne constitue pas un dispositif de reconnaissance faciale. Sur le même ton, la reconnaissance d'émotions sur les visages, ou la détection de comportements suspects ou violents, ne peuvent pas être assimilés à des systèmes biométriques.
Un raisonnement souhaité au cas par cas
La CNIL appelle par ailleurs à distinguer les cas d'usages de la reconnaissance faciale, qui peut être utilisée pour accéder à un service, à une application, à son smartphone, ou alors à un lieu ou un événement.Plus largement, l'identification offre une multiplicité d'applications de la technologie. Elle peut être utile à la recherche d'une personne au sein d'un base de données par exemple, au suivi des déplacements dans l'espace public, au suivi du parcours d'un passager dans un service de transport.
Amazon conteste le contrat de 10 milliards de dollars signé entre Microsoft et le Pentagone
La Commission milite ainsi pour que soit débattu « un raisonnement cas d'usage par cas d'usage ». Car si la reconnaissance faciale peut être utilisée dans des cas légitimes et justifiés, par la loi ou par une situation d'urgence, il ne faut pas penser qu'elle puisse être mise à contribution pour tout et n'importe quoi. L'important, c'est de l'utiliser dans des situations où elle, et elle seule, se révèle indispensable, étant le dernier recours possible.
La reconnaissance faciale, une menace qui pèse sur l'anonymat dans l'espace public et les finances publiques
L'un des points centraux de la reconnaissance faciale, ce sont les données biométriques particulièrement sensibles, qu'elle traite. Grâce au RGPD et à la directive « police justice », les données biométriques sont considérées comme « sensibles », et sont donc mieux protégées, puisque liées à la vie privée des personnes.Les données de reconnaissance faciale sont aussi très volatiles, et sont susceptibles d'être baladées de base de données en base de données, ce qui renforce leur criticité. Le fait d'être une technologie « sans contact » implique irrévocablement un traitement des données à distance et, donc, à l'insu des personnes.
Tout ce que nous venons d'évoquer est renforcé par la banalisation et la démocratisation des dispositifs de captation d'images dans la vie de tous les jours, un tournant technologique doublé d'un « changement de paradigme de la surveillance », qui se matérialise notamment par le passage d'une surveillance ciblée, centrée sur un certain nombre d'individus, à la possibilité d'une surveillance de tous, pour en identifier quelques-uns.
On vous présente le X One, le vélo du 21e siècle, avec ordinateur et reconnaissance faciale intégrés
La technologie constitue donc une menace pour l'anonymat dans l'espace public, un lieu où les libertés individuelles publiques sont censées être sacrées. Cette atteinte à l'anonymat remettrait donc en cause certains de nos principes fondamentaux, et doivent aussi être l'objet d'un débat poussé.
En outre, la reconnaissance faciale, basée sur des estimations statistiques de correspondance qui restent faillibles, et que l'on peut aussi coupler à un coût économique important des dispositifs, coût qui pèse souvent sur les collectivités territoriales ou sur les pouvoirs publics, donc, sur les Français.
La CNIL pose ses exigences
Dans le cadre de l'expérimentation de la reconnaissance faciale, la CNIL, qui entend user de son rôle de conseil aux pouvoirs publics, pose certaines exigences essentielles visant à permettre son utilisation tout en garantissant le respect de la vie privée des citoyens et de leurs données.« La reconnaissance faciale ne peut légalement être utilisée, même à titre expérimental, si elle ne repose pas sur un impératif particulier d'assurer un haut niveau de fiabilité de l'authentification ou de l'identification des personnes concernées et sans démonstration de l'inadéquation d'autres moyens de sécurisation moins intrusifs », soutient la Commission nationale. En somme : l'utilisation, nous le disions, devra être indispensable, encadrée, et d'une être fiabilité.
La seconde exigence de la CNIL est le respect des droits des personnes qui seront ciblées par la reconnaissance faciale. Elle souhaite que leur consentement soit recueilli pour chaque dispositif, notamment dans le cadre expérimental. L'autorité demande aussi à ce qu'un contrôle des données soit assuré, et que la transparence règne, tout comme la sécurité des données biométriques des sujets captés.
Dans sa troisième exigence, la CNIL insiste sur la nécessité de privilégier une démarche expérimentale, avant de définir le cadre pérenne. Il serait donc question de limiter dans le temps et dans l'espace les dispositifs de reconnaissance faciale. « Le cadre juridique doit ainsi garantir la sincérité des expérimentations conduites, dont l'issue ne saurait être préjugée », précise l'institution. Car une démarche expérimentale réelle permettra de tester et d'établir des solutions techniques respectueuses du cadre juridique fixé.
Source : CNIL