Reconnaissance faciale : le point de vue de la Cnil
Interview. Marie Duboys Fresney, juriste à la Cnil et adjointe à la cheffe du service des Affaires économiques, au sein de la direction Conformité, répond à nos questions.
Quelle est la position de la Cnil sur la reconnaissance faciale ?
Marie Duboys Fresney. La Cnil a pris position sur le sujet dans un document publié en 2019 et qui s’intitule “Reconnaissance faciale : pour un débat à la hauteur des enjeux“. À cette époque, il y avait eu beaucoup d’actualités sur la reconnaissance faciale avec des propositions de moratoire, des interdictions comme à San Francisco, et il était apparu important pour la Cnil d’appeler à un débat démocratique autour de ces sujets et de fixer certaines lignes rouges.
Il existe en effet toujours un risque d’accumulation de dispositifs qui respecteraient le cadre juridique, mais sans qu’il y ait une vision d’ensemble. Pour rappel, la Cnil n’est pas pour ou contre une technologie. Ce sont les cas d’usages, qui sont divers et qui ne soulèvent pas les mêmes enjeux, qu’il faut encadrer. Il a semblé important d’alerter sur un déploiement qui peut se faire par à-coups, à bas bruit dans la vie quotidienne, et qui potentiellement nous amènerait dans une société où les choses se seraient déployées au fur et à mesure, sans une vision globale et un choix politique délibéré et nécessaire.
Après la pandémie de Covid-19, les questions autour des dispositifs de reconnaissance faciale font de nouveau l’actualité, notamment dans la perspective des grands événements de 2023 et 2024.
« Ce sont les cas d’usages, qui sont divers et qui ne soulèvent pas les mêmes enjeux, qu’il faut encadrer. »
Marie Duboys Fresney, adjointe à la cheffe du service des Affaires économiques de la Cnil.
Qu’est-ce qui rend le sujet de la reconnaissance faciale si sensible ?
M. D. F. Les données biométriques sont des données uniques, attachées à la personne et inchangeables. Les données extraites des visages touchent aux caractéristiques physiques, et à l’intimité des personnes. Si une base de données de mots de passe est compromise, on remplace le mot de passe. Pour une base de données biométriques, la personne ne pourra pas changer de visage. Toute violation de ces données, tout mésusage ferait peser des risques importants (blocage d’accès à un service, usurpation d’identité, etc.). C’est un point central qui justifie le cadre strict du régime resserré depuis 2018 par les textes en matière de protection des données (RGPD, loi Informatique et Libertés, directive dite « Police-Justice »). Par ailleurs, la reconnaissance faciale repose sur une probabilité de reconnaissance des personnes, et non une certitude absolue, de correspondance entre les gabarits biométriques des visages comparés. Les variations de performance peuvent donc avoir des conséquences importantes pour les personnes mal reconnues (par exemple : refus d’accès à un lieu ou à un service). Enfin, dans l’environnement numérique actuel, où les visages des personnes sont disponibles dans de multiples bases de données et captés par de nombreuses caméras, la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif.
Quel est le rôle de la Cnil en ce qui concerne les usages ou les expérimentations de reconnaissance faciale ?
M. D. F. Avec l’entrée en vigueur du RGPD, et le principe de responsabilisation des acteurs, les traitements de données biométriques ne sont plus soumis à autorisation de la Cnil. C’est désormais le responsable de traitement qui doit s’assurer de la conformité de son traitement, notamment en réalisant une analyse d’impact sur la protection des données (AIPD). La Cnil est parfois saisie de demandes d’accompagnement d’acteurs concernant des projets de mise en œuvre, souvent expérimentale, de dispositifs de reconnaissance faciale. Elle aide alors le responsable concerné en lui indiquant ce qui est faisable, à quelles conditions ou ce qui ne l’est pas.
« Concernant la sécurité des grands événements (…), la Cnil a alerté dès 2019 sur le risque de banalisation et d’accoutumance des personnes à ce type de dispositif très intrusif ainsi que sur la nécessité d’un débat démocratique sur le sujet. »
Marie Duboys Fresney, adjointe à la cheffe du service des Affaires économiques de la Cnil.
Comment s’analyse la conformité d’un dispositif de reconnaissance faciale ?
M. D. F. De manière générale, pour déterminer si un traitement de données personnelles est légal, il faut partir du but poursuivi. On peut alors apprécier si les données sont pertinentes, proportionnées, si les durées de conservation sont appropriées, si la sécurité est adaptée… C’est un raisonnement au cas par cas, au regard des caractéristiques du traitement. Est-ce qu’il y a des garanties fortes pour amoindrir les risques ? L’analyse de la nécessité et de la proportionnalité de ces dispositifs est essentielle. Est-ce qu’on n’a pas d’autres moyens moins intrusifs de parvenir aux objectifs envisagés ?
Dans le RGPD, le principe est l’interdiction des traitements de données biométriques. Ils ne peuvent être mis en œuvre, par exception, que dans certains cas particuliers et selon des modalités adaptées à ces risques [Lire l’encadré sur l’article précédent]. La logique est la même dans la directive « Police-Justice », qui ne permet le traitement de telles données qu’en cas de nécessité absolue.
Un dispositif de reconnaissance faciale pourrait ainsi être utilisé aux fins de contrôle d’accès physique à un ou plusieurs lieux prédéterminés, par exemple à l’entrée de bâtiments ou à des points de passage particuliers, sur la base du consentement des personnes et d’un stockage des données biométriques sous le contrôle de la personne. Ce cas d’usage a pu être mis en œuvre dans le cadre du traitement Parafe de passage aux frontières ou encore pour des expérimentations en aéroports de fluidification du parcours du passager.
A contrario, a pu être considéré comme disproportionné le contrôle d’accès à des lycées par un dispositif de reconnaissance faciale : un tel dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès, n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités.
Comment voyez-vous évoluer la réglementation et l’usage de la reconnaissance faciale ?
M. D. F. Côté réglementation, la Cnil suit de près le projet de règlement européen sur l’IA afin de s’assurer notamment de la cohérence avec le cadre existant posé par le RGPD. Elle a également été impliquée dans les lignes directrices publiées par le Comité européen à la protection des données (CEPD) concernant l’usage de la reconnaissance faciale dans le cadre de la directive dite « Police-Justice ». Dans l’hypothèse d’une loi d’expérimentation, comme proposée par le Sénat, la Cnil jouera son rôle de conseil auprès des pouvoirs publics et, autant que nécessaire, de contrôle du respect de la loi.
Concernant les usages, à court terme, il est souvent évoqué le déploiement de dispositifs pour assurer la sécurité des grands événements. Sur les cas d’usages plus classiques, qui pourraient se multiplier, la Cnil a alerté dès 2019 sur le risque de banalisation et d’accoutumance des personnes à ce type de dispositif très intrusif par nature et la nécessité d’un débat démocratique sur le sujet. Ça peut être tout à fait conforme réglementairement, proportionné dans un cadre donné, mais s’il y en a dans toutes les autres sphères de notre vie quotidienne, c’est l’accumulation qui peut créer une atteinte plus forte.
La Cnil a également alerté sur les autres technologies avec lesquelles peuvent s’interfacer les systèmes de reconnaissance faciale, comme les caméras augmentées. Le débat autour de la reconnaissance faciale doit tenir compte de ce continuum technologique. On peut installer au départ un dispositif pour un objectif « x » complètement encadré, proportionné mais avec un réglage de l’algorithme, on peut aboutir à un usage tout autre beaucoup plus intrusif. Il y a des potentialités données par la technologie qui sont très importantes, mais il faut cependant se prémunir du « solutionnisme technologique » qui peut, en réalité, engendrer plus de problèmes que de solutions.
L’important est d’alerter sur les risques et de regarder le dispositif dans sa globalité.
Article extrait du n° 584 de Face au Risque : « Reconnaissance faciale » (juillet-août 2022).
Gaëlle Carcaly – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…