Après avoir exprimé un avis défavorable le 17 octobre dernier à propos du recours à un dispositif de reconnaissance faciale pour contrôler les accès à un lycée, la CNIL en a profité pour élaborer un rapport sur le sujet, rendu public le 15 novembre.

La contribution de la CNIL est détaillée suivant quatre objectifs :  

1) Qu’est-ce que réellement la reconnaissance faciale ?  

La reconnaissance faciale appartient à la catégorie des techniques biométriques, ensemble des procédés automatisés permettant de reconnaître un individu à partir de la quantification de ses caractéristiques physiques, physiologiques ou comportementales (empreintes digitales, réseau veineux, iris, etc.). 

C’est une technologie qui s’opère en deux temps : la collecte du visage et sa transformation en un gabarit, puis la reconnaissance de ce visage par comparaison du gabarit correspondant avec un ou plusieurs autres gabarits.

 Le gabarit consiste, à partir de l’image d’un visage à réaliser un modèle représentant, d’un point de vue informatique, certaines caractéristiques de ce visage.

  Le gabarit étant unique pour chaque personne et permanent, la reconnaissance faciale permet d’authentifier une personne - c’est-à-dire vérifier qu’une personne est bien celle qu’elle prétend être en comparant deux gabarits entre eux - mais aussi d’identifier une personne - il s’agit de retrouver une personne au sein d’un groupe d’individus en comparant un gabarit avec une base de données de gabarits. 

La CNIL précise qu’il existe une pluralité de reconnaissances faciales, dont les enjeux sont variables selon la finalité poursuivie. Par exemple, les enjeux seront différents suivant que le gabarit est stocké dans un support individuel détenu par la personne pour un usage strictement personnel, ou lorsque l’usage de la reconnaissance poursuit des fins d’identification, dans un environnement non maitrisé, sans démarche active des personnes. Une analyse au cas par cas s’imposerait.

  2) Les risques technologiques, éthiques, sociétaux, liés à cette technologie

Le risque premier est lié à la nature des données elles-mêmes. En effet, la reconnaissance faciale permet un traitement des données biométriques qualifiées de « données sensibles » au sens du règlement général sur la protection des données (RGPD) et de la directive dite « police justice ». 

C’est la raison pour laquelle ces données font l’objet d’un encadrement juridique strict, à tel point que l’article 9-1 du règlement européen interdit leur traitement par principe. Ce n’est que par exception, dans les cas expressément prévus à l’article 9-2, que le traitement est autorisé  (ex : consentement explicite de la personne concernée, traitement nécessaire à la constatation, l’exercice ou la défense d’un droit en justice…). 

 La loi informatique et liberté du 6 janvier 1978, modifiée en 2018, s’inscrit dans la continuité de ces textes européens.  

Un autre risque tient au fait que les données de reconnaissance faciale sont potentiellement disponibles partout. La CNIL parle de technologie « sans contact », certains dispositifs faisant disparaître totalement la machine du champ visuel de l’utilisateur. Le traitement des données s’opère à distance et à l’insu des personnes.

Par conséquent, la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif. Le renforcement de la surveillance permis par cette technologie peut réduire l’anonymat dont disposent les citoyens dans l’espace public.

Enfin, la CNIL met aussi en avant qu’il s’agit d’une technologie intrinsèquement faillible car reposant sur des estimations statistiques de correspondance. Elle peut mener à des « faux positifs », une personne est reconnue à tort et des « faux négatifs », le dispositif ne reconnaît pas une personne qui devrait l’être.  

3) Le développement de la reconnaissance faciale par une démarche expérimentale 

Les pouvoirs publics semblent avoir fait le choix de la voie expérimentale pour favoriser le développement de la reconnaissance faciale. La CNIL indique que, même à ce stade, cette technologie devra respecter le cadre juridique instauré par le législateur européen afin de garantir le respect des droits protégeant la vie privée des citoyens et leurs données personnelles. 

Pour s’y conformer, certaines « lignes rouges » ne pourront être franchies. La Commission met ici en avant son rôle de conseil auprès des pouvoirs publics. Rôle qu’elle présente comme une occasion d’être sollicitée pour fixer ces limites, notamment parce qu’elle a déjà eu à se prononcer sur la légitimité ou l’interdiction de certains usages dans notre société. 

Par exemple, la CNIL a admis le recours à la reconnaissance faciale pour les dispositifs PARAFE  (« passage automatisé rapide aux frontières extérieure ») et ALICEML (application pour smartphone permettant de prouver son identité en ligne de manière sécurisée pour accéder aux services administratifs) en retenant d’exigence d’un niveau particulièrement élevé d’authentification des personnes, sous réserve de maîtrise sur leurs données biométriques.  

Ceci implique également de placer le droit à la protection des données, le droit à la vie privée et le consentement des personnes concernées au cœur de la démarche. Pour la CNIL cette démarche doit être « sincèrement expérimentale » c’est-à-dire être précisément définie dans un espace-temps et identifier les objectifs poursuivis ainsi que leurs critères de réussite.  

4) Préciser le rôle de la CNIL dans la régulation de la reconnaissance faciale 

Le choix de l’encadrement de dispositifs relatifs à la reconnaissance faciale relève de la compétence du gouvernement et des pouvoirs publics. Dans ce schéma la CNIL entend jouer son rôle de garante indépendante des principes de protection des libertés, de la vie privée et des données personnelles. Ce rôle lui est permis en vertu de sa double mission de conseil des pouvoirs publics et de contrôle du respect de la loi.  

En amont, la CNIL pourra conseiller les pouvoirs publics sur tout cas concret d’expérimentation pour assurer la conformité des dispositifs de systèmes de reconnaissance faciale au cadre juridique expérimental. Son pouvoir d’enquête pourra également être déployé sur ces dispositifs en actionnant, le cas échéant, toute mesure correctrice pour assurer le respect des droits des personnes concernées.  

Ainsi, la reconnaissance faciale pose des questions qui appellent à de multiples enjeux. Les pouvoirs publics doivent s’interroger pour déterminer où placer le curseur de la tolérance de cette technologie dans une société démocratique.