Sept questions sur la reconnaissance faciale

La reconnaissance faciale est une technologie en développement, les projets d'expérimentation se multiplient et relancent le débat en France sur son utilisation. En quoi consiste la reconnaissance faciale, quels sont les enjeux éthiques ? Rapide tour d'horizon en sept questions-réponses.

Mise en place de portiques de contrôle d'accès par reconnaissance faciale à l'entrée des lycées, accès à des services administratifs en ligne avec l'application Alicem... La reconnaissance faciale est un thème de plus en plus présent dans l'actualité et soulève de nombreuses questions, notamment sur la protection des données personnelles.

En 2019, le secrétaire d'État Cédric O a proposé de créer, en coordination avec la CNIL, une instance spécifique chargée de superviser et d'évaluer les expérimentations sur l'usage de la reconnaissance faciale en France.

Qu'est-ce que la reconnaissance faciale ?

La reconnaissance faciale est un développement de la vidéosurveillance. C'est une technologie biométrique qui permet d’analyser, grâce à des algorithmes, les traits de visages de personnes filmées ou photographiées et de les comparer à des images stockées dans une base de données. Ce système est un des domaines de l’intelligence artificielle. Selon la définition de la CNIL, la reconnaissance faciale permet :

  • d'authentifier une personne, c’est-à-dire vérifier qu'une personne est bien celle qu'elle prétend être (pour un contrôle d'accès par exemple) ;
  • d’identifier une personne, c’est-à-dire de retrouver une personne au sein d'un groupe d'individus, dans un lieu, une image ou une base de données.

Elle ne doit pas être confondue avec la détection de visage déterminant la présence ou non d'un visage dans une image sans s'intéresser à son identité.

Quelles sont les pratiques de la reconnaissance faciale ?

Le développement rapide de l’intelligence artificielle augmente la performance des outils de reconnaissance faciale.

La sécurité est le secteur le plus intéressé par cette technologie, notamment pour les contrôles d’identité aux frontières, les gares et les aéroports ou bien pour identifier des suspects lors d'attaques terroristes.

Les données biométriques sont de plus en plus utilisées à des fins d'authentification. Par exemple, de nouveaux smartphones ont comme seule option d’identification la reconnaissance faciale. L'emploi de la reconnaissance faciale peut également être utilisée dans le domaine de la santé pour la détection de maladies.

Quels sont les enjeux éthiques ?

Pour fonctionner, la reconnaissance faciale a besoin d'un fichier rassemblant les données biométriques d'un grand nombre de personnes. Or, ces données biométriques sont des renseignements sensibles. L'existence d'un fichier de données biométriques soulève deux questions :

  • quelles sont les personnes fichées ?
  • qui peut consulter le fichier de données ?

Des craintes sont ainsi formulées sur les risques d'atteintes à la protection de la vie privée et des libertés publiques. La CNIL a demandé la tenue d'un débat démocratique sur la reconnaissance faciale : "Le sentiment de surveillance renforcée, l’exploitation accrue et potentiellement à grande échelle de données personnelles, pour certaines sensibles (données biométriques), la restriction de la liberté d’aller et de venir anonymement, sont autant de problématiques essentielles pour le bon fonctionnement de notre société démocratique."

Dans un communiqué de presse du 29 octobre 2019, la CNIL précise sa position sur le projet d'expérimentation de portique virtuel de contrôle d'accès par reconnaissance faciale à l'entrée de deux lycées. Elle rappelle en outre que "les traitements de données biométriques sont d’une sensibilité particulière, justifiant une protection renforcée des personnes. Notamment, les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont, par ailleurs, de nature à créer un sentiment de surveillance renforcé. Ces risques se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à des mineurs".

Qu'impose le réglement général sur la protection des données (RGPD) pour la reconnaissance faciale ?

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non.

Le consentement libre est obligatoire pour récolter les données nécessaires à l’usage de la reconnaissance faciale. Le recours à une identification biométrique ne peut être imposé à un individu et ces données récoltées ne peuvent être conservées par la suite.

Quel rôle joue la CNIL ?

La CNIL a un rôle consultatif dans l’utilisation de cette technologie au sein de l’espace public.

Dans une délibération du 18 octobre 2018, la CNIL, saisie par le ministre de l'intérieur pour avis, juge l’application non conforme au RGPD. Le refus de passer par la reconnaissance faciale bloque la création d’une identité numérique et aucune alternative à la reconnaissance faciale n'est proposée pour créer une identité numérique. En conséquence, "le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD."

Elle rappelle aussi que tout projet d’utilisation de cette technologie doit faire l’objet d’une analyse d’impact lorsqu’il est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques.

Avis du contrôleur européen de la protection des données  

Le contrôleur européen de la protection des données (CEPD) a récemment salué la proposition de la Commission européenne en date d'avril 2021 pour une nouvelle réglementation sur l'intelligence artificielle (IA). Ce nouveau règlement sur l'IA proposé par la Commission rappelle l'interdiction de principe de l'usage de l'identification biométrique à distance dans les espaces publics en dehors de cas spécifiques relevant de la sécurité des personnes ou du pays (rechercher un enfant disparu, prévenir une menace terroriste imminente). L'utilisation de ce système doit être autorisée par une instance judiciaire. Cette utilisation est également soumise à certaines limitations sur :

  • la durée ;
  • la portée géographique ;
  • et les bases de données consultées.

Qu'est-ce qu'Alicem ?

Alicem (Authentification en ligne certifiée sur mobile) est une application mobile autorisée par un décret du 13 mai 2019.

Elle a pour objectif de créer une identité numérique aux citoyens possédant un passeport français biométrique valide ou un titre de séjour biométrique pour parer à toute usurpation d’identité. Cette identité numérique permet de se connecter aux services administratifs partenaires de FranceConnect et de s'authentifier en ligne.

Le déploiement de cette application ferait de la France, le premier pays européen à donner aux citoyens la possibilité d’identification faciale sur les sites Internet administratifs.

En quoi a consisté l'expérimentation conduite à Nice en février 2019 ?

La ville de Nice a mené une première expérimentation de reconnaissance faciale en conditions réelles pendant les trois jours du carnaval. Le dispositif de vidéosurveillance a été placé à l’un des portiques d’accès du carnaval. Environ 5 000 personnes ont accepté de fournir une photographie de leur visage. Plusieurs scénarios ont été testés comme la recherche d’enfants perdus dans la foule ou encore la reconnaissance de personnes volontaires au milieu du carnaval...

Cette expérimentation a révélé la nécessité de compléter le cadre juridique actuel concernant les nouvelles technologies de surveillance. Par exemple, aucune disposition légale n'autorise la mise en place d’expérimentations de dispositifs de reconnaissance faciale à grande échelle.