Reconnaissance faciale : la Cnil veut fixer des lignes rouges pour les expérimentations

Pour porter le débat "à la hauteur des enjeux", la Cnil vient de publier une note sur les dimensions techniques, juridiques et éthiques de la reconnaissance faciale. La Cnil demande un cadre strict pour les expérimentations en interdisant explicitement certains usages.

Après avoir exprimé une fin de non-recevoir aux expérimentations de reconnaissance faciale dans des lycées (notre article), la Cnil revient à la charge en appelant à des "choix politiques", tant cette technologie touche aux "libertés fondamentales des individus et à la place de l’humain à l’ère numérique". Mis en ligne vendredi 15 novembre, ce document entend poser les éléments techniques, juridiques et éthiques du débat à un moment où le gouvernement souhaite multiplier les expérimentations, avec un soutien appuyé des industriels et de quelques édiles comme le maire de Nice, Christian Estrosi. 

Vidéoprotection intelligente et reconnaissance faciale

La Cnil commence ainsi par rappeler que la reconnaissance faciale réunit plusieurs technologies biométriques dont la caractéristique est d'être "probabiliste" car elles "reposent sur une estimation de correspondance entre des gabarits : celui qui est comparé et celui ou ceux servant d’étalon". Elle est aujourd'hui utilisée soit pour authentifier une personne - vérifier qu’une personne est bien celle qu’elle prétend être - soit pour l'identifier en la retrouvant au sein d’un groupe d’individus, dans un lieu, une base de données... La reconnaissance faciale ne doit pas être confondue avec la vidéoprotection intelligente. Les technologies d'analyse d'image appliquées aujourd'hui à la vidéoprotection se bornent en effet à reconnaître la présence d'individus ou de comportements anormaux dans l'espace public sans pour autant identifier formellement les personnes. En revanche, il existe une possibilité de combinaison entre les deux technologies qui aurait pour effet "une démultiplication de leur impact pour les personnes". La Cnil rappelle ensuite que la reconnaissance faciale est d'ores et déjà très présente, avec au moins une dizaine de cas d'usages en Europe : déverrouillage de smartphones, retrait d'argent au distributeur, accès à des services en ligne, contrôle à la frontière, suivi d'une personne sur l'espace public… Elle est aussi déployée par certains États comme la Chine pour vidéoverbaliser un piéton ou identifier automatiquement l’ensemble des personnes circulant sur la voie publique.

Une technologie potentiellement invasive

Au regard du RGPD, la reconnaissance faciale traite de "données sensibles" - au même titre que l'ensemble des données biométriques - car "relatives à l’intimité de la vie privée des personnes". Elle se caractérise aussi par sa "non-révocabilité", contrairement à un mécanisme d'identifiant/mot de passe. Comme tout traitement biométrique, l'usage de la reconnaissance faciale est conditionné par "un consentement exprès des personnes ou sur la base d’un intérêt public important". Autre caractéristique : la disponibilité des données qu'elle manipule dans d'innombrables bases (réseaux sociaux, internet, smartphones, vidéos…) qui en fait une technologie "sans contact potentiellement omniprésente" et "autorisant le traitement de données à distance et à l’insu des personnes". Autant de caractéristiques qui pourraient remettre en cause le principe de "l’anonymat dans l’espace public" et conduire à passer "d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains". "Ce sont les termes du contrat social que certaines évolutions technologiques peuvent redéfinir à bas bruit" met en garde la Cnil.

Une évaluation contradictoire et pluridisciplinaire des expérimentations

Ces dérives seraient d'autant plus inacceptables que la technologie n'est pas fiable à 100%. "La reconnaissance faciale comporte nécessairement des 'faux positifs' (une personne est reconnue à tort) et des 'faux négatifs' (le dispositif ne reconnaît pas une personne qui devrait l’être)". Comme tout algorithme, la reconnaissance faciale aurait aussi des biais, son efficacité variant par exemple avec le sexe ou la couleur de peau. Or les erreurs générées par ces systèmes pourraient avoir des conséquences extrêmement lourdes pour les victimes. Autant de limites qui conduisent la Cnil à souhaiter la mise en place de "lignes rouges" dans l'usage de la reconnaissance faciale, y compris pour des expérimentations. Outre la finalité des traitements et la légitimité des objectifs poursuivis, la Cnil invite à analyser les alternatives techniques moins intrusives mais tout aussi efficaces, telle que les badges pour le contrôle d'accès dans les établissements scolaires. La Cnil demande aussi à exclure du champ des usages les personnes vulnérables, les enfants et qu'aucun dispositif ne soit testé sans le consentement explicite des personnes. La Cnil entend également combattre tout projet qui viserait à "accoutumer les personnes à des techniques de surveillance intrusive, en ayant pour but plus ou moins explicite de préparer le terrain à un déploiement plus poussé". Enfin, la commission souhaite que les expérimentations soient encadrées (objectifs, lieu, durée…) et évaluées selon des modalités contradictoires et pluridisciplinaires. 

Ne pas sous-estimer son coût

Dans les éléments du débat, la Cnil invite aussi à se pencher sur les aspects financiers de la reconnaissance faciale et sur le retour sur investissement. "Ces coûts (installation de dispositifs physiques, développement de puissances de calcul très importantes, installation de serveurs, capacité de stockage, coûts logiciels, coûts de maintenance et d’évolution, etc.) ne sauraient être minorés" fait valoir la Cnil qui souligne que ceux-ci pourraient peser lourdement sur le budget (contraint) des collectivités territoriales.