LE TRAITEMENT DE DONNÉES BIOMÉTRIQUES, NOUVEL ENJEU DE LA RECONNAISSANCE FACIALE EXPÉRIMENTÉE PAR FACEBOOK

Publié par le dans | Consulté 635 Fois

A peine sortie, cette nouvelle fonctionnalité Facebook sème déjà le trouble dans les esprits des utilisateurs. En effet, la reconnaissance faciale proposée par le numéro un des réseaux sociaux mondiaux serait utilisée comme moyen pour retrouver l’accès à son compte en lieu et place des autres moyens de récupération usuels. A l’heure où les utilisateurs des réseaux sociaux sont de plus en plus enclins au partage et à l’ouverture de leur vie privée sur internet, les problématiques liées à la protection des données personnelles ne cessent d’agiter le droit positif. Ainsi, cette nouvelle option d’identification vient encore une fois se heurter aux droits français et européen et plus précisément, à la protection des données biométriques.

Déjà utilisée comme verrou par certains constructeurs de smartphones, la reconnaissance faciale, en tant que moyen d’accès à son compte utilisateur, devrait bientôt faire son entrée sur le réseau social Facebook. En effet, c’est ce que le site TechCrunch a annoncé le 29 septembre dernier, suite à la publication énigmatique d’un internaute affirmant l’arrivée de cette nouvelle fonctionnalité. Ces allégations ont ensuite été confirmées par le groupe Facebook qui informe que son processus n’est encore qu’expérimental. Toutefois, l’arrivée de l’identification par reconnaissance faciale risque de rencontrer quelques difficultés. En effet une action collective avait déjà été intentée en 2015 dans l’Illinois, reprochant au réseau social de collecter des données biométriques par le biais de la reconnaissance faciale automatique des photographies. Cette affaire trouve un écho dans les revendications menées en 2012 en Europe, notamment par Max Schrems et l’association « Europe versus Facebook » ayant abouties à la suspension de ces identifications automatiques. En effet, cette fonctionnalité était jugée comme attentatoire à la vie privée et soupçonnée de collecter de nombreuses données personnelles à l’insu de ses usagers. Pourtant, en dépit de ce premier blocage, Facebook revient à la charge, en présentant cette fois la reconnaissance faciale comme un véritable moyen de gagner en rapidité et en sécurité.

Des données personnelles aux données biométriques, une protection s’impose

En matière de protection de données personnelles, le droit français fut l’un des premiers à se doter d’une législation spécifique en 1978 avec la Loi relative à l’informatique, aux fichiers et aux libertés. Cette législation sera l’une des sources les plus importantes de la directive européenne de 1995, imposant une harmonisation européenne de cette protection. Ainsi, la loi informatique et liberté, modifiée en 2004 et consolidée en 2017, énonce dans son article 2 que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». De ce fait, la reconnaissance faciale permettant l’analyse de plusieurs caractères propres à la personne, comme ses cheveux, leur couleur, leur implantation, ou encore la couleur et la forme des yeux, nous pouvons affirmer que celle-ci constitue un moyen de traitement de données personnelles.

Cependant, Facebook étant une société implantée aux Etats-Unis, celle-ci s’est déjà affranchie par le passé de l’application des normes françaises et européennes. C’est pourquoi la Commission Nationale de l’Informatique et des Libertés (CNIL), qui a récemment rappelé à l’ordre et sanctionné ladite société, rappelle dans sa délibération en forme restreinte du 27 avril 2017 que la législation française lui est applicable du fait de la présence de Facebook France constitué en 2011 sous forme de société à responsabilité limitée.

Les techniques de reconnaissance faciale mobilisent donc des données personnelles mais en raison de leur nature physique, celles-ci nécessitent une attention plus particulière. Par ailleurs, la CNIL identifie ces données comme faisant partie des données dites biométriques : « La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, iris, voix, visage ou même la démarche). ». Ces renseignements sont donc au croisement de divers droits fondamentaux, comme le droit à la vie privée et le droit à l’image, ce qui enjoint à la plus grande vigilance quant à leur exploitation sur internet.

Ainsi, la loi Informatique et Libertés nous éclaire sur la marche à suivre en matière de traitement de ces données. Dans son article 25, celle-ci énumère les situations dans lesquelles une autorisation préalable aux traitements de données personnelles est obligatoire et nous retrouvons dans son huitième alinéa « Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Par conséquent, Facebook souhaitant mettre un œuvre un traitement automatisé de données biométriques, il devra se soumettre à l’autorisation de la CNIL.

Les données biométriques déjà exploitées par la sécurité intérieure

Si les données biométriques restent encore peu exploitées par des services de communication en ligne, elles sont déjà grandement exploitées en matière de sécurité intérieure. En effet la puissance publique, par le biais de la vidéo-protection, mobilise les données biométriques de manières diverses, que ce soit un outil de recherche par comparaison physionomique couplée à une base de données, ou encore un moyen d’effectuer une reconnaissance comportementale, notamment utilisée pour repérer un comportement suspect dans une foule. Cependant, toutes ces utilisations restent très intrusives vis-à-vis de nos droits fondamentaux, c’est pourquoi elles restent subordonnées à l’avis favorable de la CNIL suivi d’un décret du Conseil d’Etat. Néanmoins, l’utilisation de ces données par la puissance publique reste un fait admis, si ce n’est accepté par les citoyens alors que leur exploitation par des organismes privés suscite de nombreux doutes.

Les données biométriques nouvellement utilisées par les organismes privés

Contrairement à l’utilisation de la biométrie par la puissance publique, la collecte de telles données par des acteurs privés implique une utilisation commerciale de celles-ci et une intrusion active dans la vie privée des utilisateurs. En effet, cela implique l’apparition de publicités et de contenus ciblés en fonction des informations récoltées ou pire encore, avec les données physiques reçues par la biométrie, des usurpations ou détournements d’identités.

C’est pourquoi, comme nous l’avons exposé précédemment, l’utilisation par un acteur privé est soumise à l’autorisation de la CNIL. Ainsi, la commission délivre un certain nombre de critères pouvant justifier la mise en place d’un système biométrique, mais reste très vigilante puisqu’elle qualifie ces données comme plus sensibles encore que nos données personnelles. En effet, en raison de l’identification personnelle permise par la biométrie, basée sur des mesures physiques et une réalité biologique permanente dont l’utilisateur ne peut s’affranchir, leurs traitements ne doivent pas être pris à la légère.

Toutefois, comme chacun le sait, il est déjà possible depuis 2011 de déverrouiller son smartphone par reconnaissance faciale et plus récemment par empreinte digitale. Ces deux technologies nous démontrent que l’utilisation des données biométriques a déjà été démocratisée et qu’elles sont aisément manipulables par les nouvelles technologies. Comme nous l’avons exposé plus tôt, ces technologies doivent être autorisées par l’autorité compétente. Toutefois, la CNIL, dans un souci de simplification de la procédure, a développé ce qu’elle appelle des « autorisations uniques ».

Ces autorisations permettent de dresser une liste exhaustive des exigences à respecter pour mettre en place un dispositif biométrique. En effet, dans les situations correspondant aux autorisations uniques, une simple déclaration simplifiée de conformité aux demandes de la CNIL suffit pour mettre en place la technologie en question. Ainsi, en juin 2016 la Commission met à jour deux autorisations uniques au sujet des dispositifs de contrôle du salarié sur le lieu de travail, AU-052 et AU-053, faisant la distinction entre les dispositifs permettant aux personnes de garder la maîtrise de leur gabarit biométrique et ceux ne le garantissant pas. Dans ces autorisations, la CNIL effectue une distinction entre le stockage du gabarit interne à l’appareil et celui dans une base de données.

Cette différentiation est reprise pour les technologies biométriques appliquées aux smartphones, soit le gabarit est stocké localement dans l’appareil, soit dans un Cloud, manipulable par des tiers. Dans tous les cas, la CNIL rappelle que ce système ne peut être obligatoire et ne doit être qu’un moyen parmi d’autres d’avoir accès à son téléphone ou dans le cas de Facebook, à son compte. C’est ce que le réseau social entend mettre en place, puisque selon lui cette nouvelle fonctionnalité ne serait qu’un maillon de la chaine de sécurité pour récupérer l’accès à son compte en cas d’oubli de mot de passe ou autre. Aujourd’hui, c’est l’envoi d’un code par SMS ou la réponse à la question secrète qui le permettent, c’est pourquoi il est difficile de concevoir que ce nouvel outil remplisse les conditions de nécessité ou de légitimité demandées. En effet, le traitement de ces données ne doit pas être utilisé de façon disproportionnée ou injustifiée, c’est ce qui a amené la CNIL à sanctionner leur utilisation dans le cadre d’un contrôle du respect des horaires de travail par des salariés d’une entreprise.

Une technologie fragile et difficile à mettre en oeuvre 

Au sujet de la reconnaissance faciale pour déverrouiller son téléphone, la Commission met en garde l’éditeur puisque celui-ci doit s’assurer que le capteur utilisé résiste aux attaques, c’est-à-dire, qu’il ne peut être dupé par une simple photographie. En effet ce genre de piratage avait été dénoncé lorsque cette option est apparue sur les premiers smartphones. La question est donc de savoir si Facebook peut surmonter ce problème technique sachant que contrairement aux smartphones, les ordinateurs n’ont pas tous de bonnes caméras permettant une optimisation de cette technologie, or Facebook n’est pas exclusivement accessible depuis une application mobile.

De plus, si la CNIL allège la procédure d’autorisation pour certains dispositifs d’authentification biométrique répondant aux conditions qu’elles énoncent, ce n’est pas le cas des traitements fonctionnant en interaction avec un serveur distant, maitrisé par un tiers. Ceci ne relève pas de l’exception domestique et nécessite une autorisation de la CNIL, ce qui vraisemblablement sera le cas du dispositif de Facebook. Dès lors, la société devra indiquer toutes les mesures techniques prises pour la sécurité et la confidentialité des gabarits et sa demande devra également réunir les grands principes dégagés par la CNIL pour les dispositifs de contrôle d’accès biométriques à destination des professionnels.

Aujourd’hui, plusieurs organismes commencent à utiliser ces systèmes comme La Banque Postale ou encore l’association Natural Security Alliance. Ces deux organismes ont été contrôlés par la CNIL et autorisés, mais ces derniers ne possèdent pas le passé de Facebook qui traîne derrière lui une image de grand exploitant de données personnelles et ce de manière partiellement loyale. C’est d’ailleurs à ce sujet que ce géant avait été condamné par la CNIL à la sanction maximale alors en vigueur, le 27 avril 2017.

Malgré les risques flagrants qu’implique la reconnaissance faciale traitée par Facebook et le bras de fer qui semble se dessiner entre la législation Française et lui, nous ne pouvons douter du succès que cette option rencontrerait et donc de la détermination du réseau social à la développer. En effet, selon l’ifop 68% des Français pensent que leurs données sont mal protégées ce qui n’empêche pas Facebook France de compter 32 millions d’utilisateurs actifs en 2017.

 

SOURCES :

LANI (F-P.) et BACQ (E.), « Facebook sanctionnée par la CNIL pour de nombreux manquements à la loi informatique et libertés », Légipresse n°352, septembre 2017, pp 444-447.

SCHWENDENER (M.) « Répertoire de droit pénal et procédure pénale », Police technique et scientifique, Dalloz, octobre 2016.

LANNA (M.) « Les objets connectée : entre remise en question de la notion de vie privée et évolution du droit des traitements des données personnelles », RDP n°5, 01/09/2017, p1435.

LESAGE (N.), « Facebook : la reconnaissance faciale pour déverrouiller son compte ? », numerama.com, mis en ligne le 02 octobre 2017, consulté le 03 octobre 2017, http://www.numerama.com/tech/294452-facebook-la-reconnaissance-faciale-pour-deverrouiller-son-compte.html