La reconnaissance faciale est une technologie qui fait face à un développement exponentiel puisqu’elle fait aujourd’hui partie de notre quotidien.

Elle a été définie de façon claire et précise par la Commission nationale de l’informatique et des libertés comme étant « une technique qui permet à partir des traits du visage, soit d’authentifier une personne, c’est-à-dire de vérifier qu’une personne est bien celle qu’elle prétend être, soit d’identifier une personne, c’est-à-dire de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données ».

Le traitement des données biométriques, dites « sensibles », doit nécessairement être sécurisé. En effet, ces données ont la particularité de permettre à tout moment l’identification d’un individu grâce à des caractéristiques physiques ou caractéristiques qui lui sont propres puisqu’elles elles sont intrinsèquement liées au corps humain, tels que ses iris, sa voix, ou ses empreintes digitales.

De ce fait, elle présente donc des risques accrus d’atteinte à la vie privée et aux libertés individuelles des citoyens si les données biométriques viennent à être volées ou perdues, ou si la fiabilité du système de reconnaissance faciale est remise en question.

C’est pourquoi tout recours à un dispositif utilisant l’authentification biométrique, comme la reconnaissance faciale, ne peut être mis en œuvre qu’à des fins d’identification et de contrôle d’accès. Il doit aussi impérativement respecter les principes édictés dans le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018 et transposé en France par une ordonnance du 12 décembre 2018 relative à la protection des données personnelles, et ce même si l’utilisation d’un tel dispositif n’est effectuée qu’à titre expérimental comme dans le cas d’espèce.

L’expérimentation

Le 29 octobre 2019, la CNIL a publié un avis dans lequel elle a précisé sa position s’agissant de la légalité de recourir à des portiques virtuels utilisant la reconnaissance faciale, à des fins de contrôle, à l’entrée de deux établissements scolaires après avoir été saisi d’une demande de conseil par la région SUD.

La mise en place de ce dispositif ne concernait que deux lycées régionaux, à savoir le lycée des Eucalyptus et le lycée Ampère, situés respectivement à Nice et Marseille, et ne visait que des lycéens ayant préalablement consenti au recours à une telle expérimentation.

Il était projeté que des portiques virtuels, conçus par la société américaine CISCO, soient installés dès le mois de septembre 2019 durant six mois à l’entrée des deux établissements. Si l’expérimentation s’avérait concluante et cohérente avec le plan de mise en sûreté des lycées mis en œuvre par la Région, elle devait s’étendre à tous les lycées régionaux.

Le personnel et les élèves ayant consenti à participer à l’expérimentation étaient équipés d’un badge ou d’un QR code qu’ils scannaient au moment de franchir les portiques. Le visage de tout individu pénétrant dans l’enceinte des lycées était capté par des caméras, puis recréé en un modèle en trois dimensions avant d’être comparé de manière instantanée aux « gabarits biométriques » détenus dans les bases de données enregistrées. Ces gabarits sont formés par les différents points de comparaison faciale permettant de distinguer des individus comme la forme du nez ou les iris, grâce à un processus algorithmique, sur la base d’une photo fournie par les volontaires qui a été cryptée, tout ceci entrant dans le cadre du volet biométrique de l’expérimentation.

Si le visage détecté ne concordait pas avec les données contenues dans les bases de données des établissements, alors un signalement à l’intention des agents chargés de la surveillance des élèves était enclenché.

Il y avait également un volet « suivi de trajectoire » des silhouettes, à l’aide de caméras plus exactement, qui concernait aussi bien les personnes identifiées et consentantes que des visiteurs occasionnels.

La finalité de cette expérimentation étant de renforcer la sécurité au sein des deux établissements, le recours à la reconnaissance faciale permettrait de réduire la durée des contrôles au niveau des entrées mais également de lutter contre l’usurpation d’identité et contre l’intrusion de visiteurs non-autorisés en leur sein.

Cet usage avait fait l’objet d’une analyse d’impact relative à la protection des données par la région ainsi que par les lycées concernés, qui fut transmise à la CNIL fin juillet.  Il appartenait dès lors à l’Autorité d’examiner la légitimité et la proportionnalité du projet.

Pour la CNIL, la mise en place d’un portique de contrôle d’accès par reconnaissance faciale à l’entrée de lycées impose que le traitement des données biométriques collectées et stockées réponde à un « impératif fort de nécessité ».

Or, elle a considéré que cet impératif n’était pas rempli par le double objectif de sécurisation et de fluidification des entrées. En effet, d’autres moyens, moins intrusifs s’agissant de la vie privée et des libertés individuelles des personnes concernées, peuvent permettre de répondre à cet objectif. C’est pourquoi la CNIL a jugé qu’il y avait une disproportion manifeste entre l’utilisation d’un tel dispositif et le but recherché. La CNIL préconise ainsi par exemple de recourir à l’utilisation de badges numériques à l’entrée des établissements, ou le renforcement des effectifs de surveillants.

D’autant plus que le dispositif de reconnaissance faciale visait principalement des mineurs qui font l’objet d’une protection plus stricte dans les textes nationaux et européens comme l’a rappelé la CNIL. Même si le dispositif ne concernait que ceux ayant préalablement donné leur consentement pour participer à l’expérimentation, exigence posée à l’article 7 du RGPD, les risques encourus si des failles venaient à apparaître dans les modes de sécurisation des bases de données des établissements, contenant des données aussi « sensibles » que le sont les données biométriques, étaient bien trop importants eu égard au but recherché. D’autant plus, si d’autres alternatives moins intrusives dans la vie privée et les libertés individuelles peuvent être envisagées.

Ainsi, le manquement aux principes de proportionnalité et de minimisation des données posés par le RGPD rend donc contestable la légalité du projet. Il est préférable que la Région et les deux établissements scolaires concernés par l’expérimentation mettent en place un dispositif plus adéquat eu égard à la finalité du projet afin de se conformer à l’avis de la CNIL, mais cet avis ne reste que « consultatif » et n’est donc pas contraignant. En effet, depuis l’entrée en vigueur du RGPD, l’autorisation de la CNIL n’est plus requise pour mettre en œuvre un tel dispositif, l’autorité ne peut user que de son pouvoir de conseil vis à vis des administrations ou communes.

Il serait cependant judicieux pour la Région de s’y conformer, d’autant plus qu’un contentieux relatif à l’expérimentation a été porté par la Quadrature du Net, une association qui défend les droits et libertés des citoyens sur Internet, et d’autres associations contre elle devant le tribunal administratif de Marseille.

La nécessité d’encadrer strictement cette technologie

Eu égard aux enjeux éthiques, juridiques et économiques que soulève la reconnaissance faciale, la CNIL a saisi l’importance de venir encadrer son usage dans un objectif de préservation optimale des libertés et droits fondamentaux.

En effet, ce débat doit avant tout servir à bâtir notre propre modèle juridique pour encadrer cette technologie.

Le déploiement d’expérimentations en France a pour finalité de tracer les contours, la CNIL a employé le terme de « lignes rouges » dans un rapport publié le 15 novembre 2019, de l’efficience et de la faisabilité technique, politique et sociale de la mise en œuvre de cette technologie dans différents lieux comme un outil sécuritaire.

La CNIL souligne que l’usage de la reconnaissance faciale doit être envisagé dans des cas où elle se révélerait indispensable, dans des cas légitimes et légaux ou comme étant le dernier recours pour répondre à un impératif sécuritaire dans une situation d’urgence.

Dans son rapport publié le 15 novembre, la CNIL met en exergue l’importance de respecter les principes « cardinaux » posés par le RGPD pour pouvoir légalement mettre en œuvre des dispositifs utilisant la reconnaissance faciale traitant des données personnelles. On retrouve les principes de transparence et de sécurisation du traitement, ainsi que la proportionnalité du mécanisme déployé. Il est par ailleurs impératif de requérir le consentement des personnes concernées, ces dernières doivent avoir la possibilité de contrôler les données collectées et traitées les concernant ainsi que la possibilité d’exercer leur droit de retrait.

Le « gendarme français chargé de la protection des données personnelles » préconise d’expérimenter en amont cette technologie dans divers lieux avant de rendre effective la mise en place de tels dispositifs utilisant la reconnaissance faciale. Car ce sont les résultats des expérimentations qui vont permettre de juger de la fiabilité et de l’efficacité des différents dispositifs et ainsi permettre de tracer les contours des situations dans lesquelles le recours à cette technologie s’avère être la solution la plus optimale pour garantir la sécurité des individus sans pour autant être trop intrusive.

Au nom du respect de la vie privée reconnue à tout citoyen, il est évident que l’usage de la reconnaissance faciale dans une société démocratique comme la nôtre ne doit pas devenir déraisonnable ni se banaliser au vu des risques. Les expérimentations ne doivent avoir pour effet que de tester la fiabilité des dispositifs dans diverses situations et non pas d’accoutumer les citoyens à des techniques de surveillance intrusive comme c’est le cas en Chine.

Ainsi, si la CNIL a reconnu que l’usage de cette technologie à des fins de contrôle d’accès, sur un échantillon de personnes volontaires, durant le carnaval de Nice était légitimée, elle s’y est opposée dans le cas d’espèce. S’agissant du projet d’installation de micros dans les rues de Saint-Étienne afin d’analyser les sons captés, la CNIL a émis un avis défavorable car pouvaient être captées des conversations privées contenant potentiellement des données « sensibles » telles que l’orientation sexuelle des personnes, leur origine ou leurs opinions religieuses sans leur consentement. Par ailleurs, ce dispositif pouvait porter atteinte à la liberté d’expression des passants et à leur liberté d’aller et venir de manière anonyme.

En France, alors même que le dispositif PARAFE (Passage Automatisé Rapide aux Frontières Extérieures) permet de fluidifier les formalités de passage aux frontières grâce à l’utilisation d’une technologie biométrique d’authentification basée sur l’empreinte digitale, le groupe Aéroports de Paris a prévu d’utiliser des portiques utilisant la reconnaissance faciale afin de fluidifier le passage des usagers aux différents points de contrôle de leur enregistrement à l’embarquement sur leurs sites.

Le Ministère de l’Intérieur expérimente quant à lui une application dénommée ALICEM qui a pour objet de permettre aux citoyens d’accéder à des services administratifs en ligne grâce à un dispositif d’identification par la reconnaissance faciale. A cet égard, je vous renvoie vers une note d’actualité publiée le 5 novembre par une de mes camarades (cf : lien).

Le secrétaire d’État chargé du numérique, Cédric O, étant favorable au déploiement d’expérimentations sur le territoire, il est certain que ces dernières vont se multiplier durant les années à venir.

Il est donc indispensable qu’un débat public au sujet de l’utilisation de la reconnaissance faciale s’ouvre afin que le législateur vienne encadrer son utilisation.

Sources :

• « Expérimentation de la reconnaissance faciale dans deux lycées : la Cnil précise sa position », communiqué de la CNIL du 29 octobre 2019
• « Reconnaissance faciale : pour un débat à hauteur des enjeux » , rapport de la CNIL du 15 novembre 2019
• PASTOR (J-M.), 5 novembre 2019 « La CNIL recadre les projets sécuritaires de deux collectivités », Dalloz actualité
• « Lycées Nice Marseille : première victoire contre la reconnaissance faciale », 28 octobre 2019, La Quadrature du Net
• BECHACHE (C.), 15 novembre 2019 « Reconnaissance faciale : la Cnil demande « un débat lucide et approfondi », Les Numériques
• « Reconnaissance faciale : un nécessaire débat », 16 novembre 2019, Le Monde
•  LAUSSON (J.), 16 novembre 2019, « Reconnaissance faciale : la CNIL trace les lignes rouges à ne pas franchir », Numérama