Aller au contenu principal

«La reconnaissance faciale et ses risques au regard de la protection des libertés individuelles»

Daubresse. M-P et al., Rapport d’information, Sénat, Paris, 10 mai 2022, 136 p.

Parmi les technologies de reconnaissance biométriques, la reconnaissance faciale concentre l’attention, note ce rapport d’information. Le visage, qui conditionne selon Emmanuel Levinas «l’expérience d’autrui», nous appartient en effet en propre tout en étant offert à tous.

Or, le déploiement de cette reconnaissance faciale s’effectue toujours, sans encadrement juridique spécifique, ni réflexion éthique collective. Seule, en France par exemple, la règlementation relative à la protection des données personnelles est en vigueur. Les usages de cette technologie sont par conséquent limités, car «lorsqu’ils ne se basent pas sur le consentement des personnes, ils nécessitent l’adoption d’une disposition législative ou règlementaire particulière».

Toutefois, «malgré ces emplois marginaux dans l’espace public, la reconnaissance faciale se banalise avec une multiplication d’usages individuels dans la vie quotidienne, comme le déverrouillage de téléphones ou l’ouverture de comptes bancaires».

La reconnaissance faciale qui vise à reconnaître une personne sur la base des données caractéristiques de son visage, s’effectue en deux étapes : «le visage de la personne est d’abord capté et transformé en un modèle informatique dénommé gabarit, puis ce gabarit est comparé, grâce à l’intelligence artificielle, avec un ou plusieurs autres gabarits afin de vérifier qu’il s’agit bien d’une seule et même personne ou de lui attribuer une identité. On parle dans le premier cas d’authentification et dans le second d’identification».

Les cas d’usage de cette technologie sont potentiellement illimités. Elle peut permettre de «contrôler l’accès et le parcours des personnes pour les évènements ou locaux sensibles, d’assurer la sécurité et le bon déroulement d’évènements à forte affluence ou d’aider à la gestion des flux dans les lieux et environnements nécessitant une forte sécurisation».

Par ailleurs, les questions que pose le déploiement de la reconnaissance faciale sont nombreuses. Elles ont trait pour ce qui concerne ce rapport, aux libertés publiques.

Dans ce contexte, la reconnaissance faciale, et plus largement les techniques de reconnaissance biométrique, ne font pas l’objet d’un encadrement juridique spécifique. Elles sont actuellement exclusivement régies par le droit des données personnelles.

S’agissant de données «sensibles» au sens du règlement général sur la protection des données (RGPD), les données biométriques font l’objet d’une interdiction de traitement. Sur la base du RGPD, «ces traitements ne peuvent être mis en oeuvre que par exception dans certains cas particuliers : avec le consentement exprès des personnes, pour protéger leurs intérêts vitaux ou sur la base d’un intérêt public important».

Ainsi, ces traitements ne peuvent être réalisés par les autorités publiques compétentes qu’en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.

Le rapport considère qu’il est indispensable de fixer dans une loi spécifique quatre interdictions applicables aux acteurs publics comme privés :

°- Interdiction de la notation sociale. Il est en effet nécessaire de «protéger les consommateurs de méthodes commerciales intrusives et d’empêcher le recours à la notation sociale par surveillance de leurs comportements dans les espaces de vente, de restauration ou les centres de loisirs»,

°- Interdiction de la «catégorisation d’individus en fonction de l’origine ethnique, du sexe, ou de l’orientation sexuelle, sauf dans le cadre de la recherche scientifique et sous réserve de garanties appropriées»,

 °- Interdiction de l’analyse d’émotions, «sauf à des fins de santé ou de recherche scientifique et sous réserve de garanties appropriées»,

 

°- Interdiction de la surveillance biométrique à distance en temps réel dans l’espace public, «sauf exceptions très limitées au profit des forces de sécurité». En particulier, cette interdiction porterait sur la surveillance biométrique à distance en temps réel lors de manifestations sur la voie publique et aux abords des lieux de culte.

Le rapport préconise également de poser trois principes généraux :

°- Le principe de subsidiarité, pour que la reconnaissance biométrique ne soit utilisée que lorsqu’elle est vraiment nécessaire,

 °- Le principe d’un contrôle humain systématique, afin qu’il ne s’agisse que d’une aide à la décision,

 °- Et le principe de transparence «pour que l’usage des technologies de reconnaissance biométrique ne se fasse pas à l’insu des personnes».

Et le rapport de préciser par ailleurs, que les cas d’usage de la reconnaissance faciale étant multiples et potentiellement illimités, «un raisonnement cas d’usage par cas d’usage s’impose, prenant en considération les finalités poursuivies par chacun d’entre eux. Plusieurs distinctions doivent ainsi être opérées, les risques pour les libertés étant dans une large mesure conditionnées par celles-ci».

Dans le même temps, les dispositifs de traitement des images sans utilisation de données biométriques se multiplient. Il peut s’agir «de dispositifs de suivi ou de traçage, de détection d’évènements suspects ou d’objets abandonnés, ou de caractérisation de personnes filmées. À ce jour cependant, les traitements des images issues de la voie publique en s’appuyant sur l’intelligence artificielle, ne disposent pas d’un cadre juridique propre».

Le rapport considère aussi que «l’application de l’intelligence artificielle aux images issues de la vidéoprotection, constitue un changement d’échelle dans l’exploitation de la vidéoprotection ce qui, étant susceptible de porter atteintes aux libertés individuelles, nécessite une base législative explicite».

S’agissant des logiciels de reconnaissance biométrique, notamment à partir de la biométrie du visage, une distinction doit être effectuée entre authentification et identification, précise le rapport.

 L’authentification biométrique, qui permet un contrôle sécurisé et fluidifié des accès, «est plus propice au recueil du consentement de la personne, tout en constituant un système moins intrusif, car celui-ci peut dans certains cas, être construit de façon à ce que le fournisseur de technologie n’ait pas accès aux données biométriques des personnes».

Les opérations d’identification biométriques doivent, quant à elles, faire l’objet «d’un encadrement extrêmement strict au regard des risques encourus et être proportionnées aux modalités d’usages, qu’il s’agisse d’une exploitation en temps réel, c’est-à-dire dans le cadre d’un processus permettant un usage immédiat des résultats pour procéder à un contrôle de la personne concernée, ou d’une utilisation a posteriori, par exemple dans le cadre d’une enquête. Dans ce second cas, les recherches se font généralement sur des enregistrements».

Pour ce qui est de l’identification biométrique à distance en temps réel, le rapport insiste sur leur volonté de lui conserver un caractère particulièrement exceptionnel. Il propose que son déploiement ne devrait s’effectuer que dans trois cas très spécifiques et circonscrits :

°- Dans le cadre d’enquêtes judiciaires, «en vue de permettre, d’une part, le suivi d’une personne venant de commettre une infraction grave à partir des images issues de la vidéoprotection afin de faciliter son l’interpellation et, d’autre part, la recherche dans un périmètre géographique et temporel limité, des auteurs d’infractions graves recherchés par la justice ou des personnes victimes d’une disparition inquiétante»,

°- Dans un cadre administratif, en vue «de sécuriser de grands évènements présentant une sensibilité particulière ou les sites particulièrement sensibles face à une éventuelle menace terroriste. La détection ne pourrait se faire que sur un périmètre géographique limité et pour une période précisément déterminée»,

°- Dans un cadre de renseignement, «en cas de menaces imminentes pour la sécurité nationale».

S’agissant enfin des usages des technologies de reconnaissance biométrique par les acteurs privés, le rapport considère qu’ils doivent être extrêmement limités et se baser, de manière générale, sur le consentement des personnes.

Vous pouvez partager ce contenu