Un cadre juridique prêt à s’ouvrir ?
Éric Barbry, avocat au cabinet Racine, avait fait le constat en octobre 2019 dans nos colonnes (Face au Risque n° 556) que le cadre juridique contraignant de la reconnaissance faciale – ou plus précisément celui de la biométrie – freinait son utilisation en France. Qu’en pense-t-il aujourd’hui ? La technologie de la reconnaissance faciale est-elle vraiment interdite en France ? La loi d’expérimentation promue par le Sénat devrait venir préciser un certain nombre de points restant en suspens.
Les usages pérennes de la reconnaissance faciale dans les espaces accessibles au public sont pour l’heure extrêmement limités. Plusieurs expérimentations ont déjà été menées par la ville de Nice, par Aéroports de Paris ou encore par la RATP qui avait installé en 2020, à l’aune du premier confinement, un dispositif permettant à partir d’images de vidéosurveillance de détecter les usagers masqués ou non dans la station de métro Châtelet-Les Halles à Paris. Mais au final, aucune de ces expérimentations ne s’est concrétisée par une mise en oeuvre à plus grande échelle.
Une loi d’expérimentation
Pour autant, le cadre juridique applicable en 2019, qui est toujours le même en 2022, n’interdit pas la reconnaissance faciale. Au sens du RGPD, il entre dans la catégorie des données biométriques. Or la mise en oeuvre de traitements sur la base de techniques biométriques n’est pas interdite en soi mais entre dans la catégorie des « données particulières » dont la mise en oeuvre est encadrée par 10 exceptions. Parmi celles-ci, deux peuvent s’appliquer : le consentement et « des motifs d’intérêt public important ».
De fait, en pratique, le rejet de la reconnaissance faciale était alors plus une question psychologique ou politique mais non juridique. La seule issue possible, aussi bien pour les entreprises développant des technologies de reconnaissance faciale ou pour celles qui souhaitent la mettre en oeuvre, reposait donc sur une volonté politique… Mon article de 2019 se terminait par la formule suivante : « Il suffirait donc que le Gouvernement se saisisse de la question et précise sa pensée sur les conditions d’utilisation de la reconnaissance faciale pour faciliter son usage… ou le condamner définitivement… » Trois années plus tard c’est enfin chose faite, même si je n’y suis pour rien…
En effet, le 11 mai 2022, un groupe de travail de la Commission des lois du Sénat a présenté un rapport sur les conditions d’utilisation de la reconnaissance faciale proposant notamment une loi d’expérimentation de trois ans.
À l’approche notamment des Jeux olympiques de 2024 organisés à Paris, il était plus que temps de se saisir du sujet.
Il ne s’agit en réalité ni d’une approbation totale ni d’un rejet en bloc de cette technologie mais bien d’un encadrement « au cas par cas », avec limitation géographique et dans le temps, 80 % du rapport étant consacré aux « lignes rouges ».
« Lorsque le recours à la reconnaissance faciale relèvera des forces de sécurité intérieure, son utilisation sera autorisée par un magistrat ou un préfet. »
Éric Barbry, avocat au cabinet Racine.
Des principes et des interdits
Le principal risque étant d’ouvrir la voie à une société de surveillance, quatre interdictions principales ont été posées (sous réserve d’exceptions) :
- l’interdiction de la notation sociale ;
- l’interdiction de la catégorisation d’individus en fonction de l’origine ethnique, du sexe ou de l’orientation sexuelle ;
- l’interdiction de l’analyse d’émotions ;
- l’interdiction de la surveillance biométrique à distance en temps réel dans l’espace public.
Les rapporteurs préconisent également de poser trois principes généraux :
- le principe de subsidiarité, pour que la reconnaissance biométrique ne soit utilisée qu’en cas de nécessité avérée ;
- le principe d’un contrôle humain systématique afin qu’il ne s’agisse que d’une aide à la décision ;
- le principe de transparence pour que l’usage des technologies de reconnaissance faciale ne se fasse pas à l’insu des personnes.
Différents types de contrôles
Au-delà de ces principes et limites généraux, le rapport prévoit des mesures concrètes telles qu’un régime de contrôle a priori et a posteriori.
Pour ce qui est du contrôle a priori, le rapport distingue deux situations. Lorsque le recours à la reconnaissance faciale relèvera des forces de sécurité intérieure, son utilisation sera autorisée par un magistrat ou un préfet. En cas de déploiement par un acteur privé dans un lieu accessible au public, la Cnil sera compétente.
En ce sens, les pouvoirs de la Cnil se voient réaffirmés.
D’une part, elle serait automatiquement consultée : les analyses d’impact seraient obligatoires pour les usages publics et les autorisations préalables pour les usages privés. Aussi, elle serait compétente pour exercer un contrôle a posteriori des usages, conformément à ses missions habituelles.
Il conviendra d’ailleurs d’être très vigilant et de veiller à un strict respect des dispositions du RGPD au regard des derniers contrôles réalisés par la Cnil en la matière. En effet, en février 2021, la Commission a adressé un avertissement à un club sportif qui envisageait de recourir à un système de reconnaissance faciale afin d’identifier automatiquement les personnes faisant l’objet d’une interdiction commerciale de stade. En décembre 2021, elle a mis en demeure une société de cesser son traitement et de supprimer les données collectées dans un délai de 2 mois. Celle-ci avait développé un logiciel de reconnaissance faciale dont la base de données reposait sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet.
La demande de consentement
Enfin, le rapport apporte un point de vigilance particulier à l’usage de cette technologie par les acteurs privés. Ces derniers devront être extrêmement limités et se baser sur le consentement des personnes concernées. En particulier, les rapporteurs souhaitent interdire toute identification sur la base de données biométriques en temps réel ou en temps différé par des acteurs privés.
« Les acteurs privés devront être extrêmement limités et se baser sur le consentement des personnes concernées. »
Trois ans après mon premier article, le sujet est devenu un vrai sujet d’actualité. La Cnil a d’ailleurs lancé en mars 2022 une consultation publique sur les caméras dites intelligentes ou augmentées.
Toutefois, si les avancées législatives tendent à davantage intégrer cette technologie dans nos usages, rien n’est pour autant gagné. Il suffit de lire les lignes directrices publiées le 12 mai dernier par le Comité européen de la protection des données (CEPD) qui a, à cette occasion, réitéré son appel à une interdiction de la technologie de reconnaissance faciale dans certains cas.
Reconnaissance faciale : impossibilité juridique ou frein psychologique ?
Tel était le titre du précédent article d’Éric Barbry publié dans Face au Risque (n° 556, octobre 2019). L’auteur exposait que depuis le 25 mai 2018 (date d’entrée en vigueur du RGPD), la mise en oeuvre d’un dispositif de reconnaissance faciale obéissait à un double cadre juridique : le RGPD et la réglementation sur la vidéoprotection. Dans le point 14 de l’article 4, le RGPD définit la reconnaissance faciale comme une donnée biométrique. Or, à ce titre, la reconnaissance faciale entre dans la catégorie des données dites « particulières » de l’article 9 du RGPD. Cet article 9 précise que le traitement des données biométriques est par nature interdit, sauf exceptions. Le consentement de la personne et les motifs d’intérêt public important font partie de ces exceptions, qui peuvent très bien autoriser l’utilisation de la reconnaissance faciale pour une entreprise. La mise en place nécessite cependant 5 points essentiels :
- la justification à l’exclusion soit du RGPD, soit de constituer une exception à l’article 9 ;
- la réalisation d’une analyse d’impact relative à la protection des données (voir le site de la Cnil) ;
- l’information des personnes à propos de l’utilisation de leurs données personnelles et les finalités du dispositif ;
- la mise en place d’un haut niveau de sécurité pour le dispositif (stockage, conservation des données…) ;
- la désignation d’un délégué à la protection des données, même si cela n’est pas obligatoire.
B. J.
Article extrait du n° 584 de Face au Risque : « Reconnaissance faciale » (juillet-août 2022).
Éric Barbry
Avocat associé, expert IP/IT & Data protection au cabinet Racine Avocats
Les plus lus…
Un enregistrement réalisé par un salarié à l’insu de son employeur est soumis à la Cour de cassation dans…
Les violentes inondations qui ont frappé l’Espagne en octobre et novembre 2024 ont fait au moins 230 morts, selon…
Le 9 juillet 2024, les sapeurs-pompiers d’Alès (Gard) sont engagés sur un violent feu d’usine d’huiles alimentaires. Les écoulements…
Sans forcément attirer l’attention visuellement, les trappes haute sécurité sont pourtant omniprésentes. Elles occupent un rôle important, pour ne pas…
La mise à l’arrêt programmée des réseaux 2G et 3G inquiète les professionnels de différents secteurs, en raison de…
21 mai 2024, Paris, France – Hikvision, le premier fournisseur mondial de produits et de solutions de sécurité innovants,…