La Commission nationale de l’informatique et des libertés (CNIL), attire l’attention sur deux points : l’authentification, et l’identification, toutes deux opérées grâce à la reconnaissance faciale, qui, selon la Commission, est encore hors-cadre en France.

Ces propos rejoignent ceux tenus par Cédric O, secrétaire d’État au Numérique, qui reconnaissait la nécessité de délimiter l’usage de la reconnaissance faciale. Ajoutant même qu’une fois les usages établis, il serait difficile de revenir en arrière. Aussi, dans un rapport rendu le 15 novembre 2019, la CNIL rappelle les grands principes de la reconnaissance faciale – qui prêtent souvent à confusion – et définit les enjeux à prendre en compte par les pouvoirs publics, et politiques, dans la mise en place d’un cadre législatif et réglementaire.

« Choisir librement son modèle de société numérique »

« Nous devons bâtir un véritable modèle européen, face aux usages parfois débridés ou déraisonnables de la reconnaissance faciale à travers le monde. »
Il suffit de prendre pour exemple l’usage que fait la Chine de la reconnaissance faciale pour comprendre l’importance des enjeux soulignés par la CNIL. Inutile de rappeler la mise en place d’un « crédit social » par les autorités chinoises, fondée sur une surveillance généralisée des citoyens, dont les infractions relevées parmi les masses conduisent à priver les personnes du droit de se déplacer. Infractions de surcroît non légiférées sur un plan national, et donc extrêmement changeantes, d’une région à une autre.

Inutile encore, de constater que ce système de surveillance a également été utilisé dans l’une des récentes affaires mise en lumière par le New York Times, et qui fait grand bruit : le 16 novembre dernier, le journal révélait les mécanismes utilisés par le gouvernement chinois en vue d’une répression contre les Ouïgours, population musulmane. Plus de 400 documents comportant des directives telles que « Arrêtez tous ceux qui doivent l’être » mais surtout « Ne montrer absolument aucune pitié ».

Dans le cadre de ce qu’on appellerait communément un véritable lavage de cerveau, la Chine préconise “d’éradiquer l’islamisme”. “Déradicalisation” comparée à « une période douloureuse de traitement d’intervention » pour guérir les Ouïgours d’un esprit « infecté par des pensées malsaines » : les autorités chinoises justifiant leurs interventions dans la région autonome du Xinjiang, en prétendant vouloir réagir aux attentats attribués aux indépendantistes ouïghours. Ainsi le Figaro rapporte : « L’attitude des étudiants est évaluée par un système de notation à points, qui peut contribuer à accélérer ou à ralentir leur libération. Et ils sont soumis à une étroite surveillance digitale, alors que le Xinjiang [vaste région de la Chine] est aussi le plus vaste champ d’expérimentation du Big Brother chinois et de son système de reconnaissance faciale. ».

Aussi, quand la Commission insiste sur les enjeux posés par l’authentification du visage, qui ne sont pas les mêmes que pour l’identification, la chose ne semble pas anodine : « Il n’existe aucune règle obligeant chacun à être identifié ou à s’identifier chaque seconde où il circule dans l’espace public ». « Les atteintes à cet anonymat, par les pouvoirs publics ou par des organismes privés, sont ainsi susceptibles de remettre en cause certains de nos principes fondamentaux et doivent dès lors faire l’objet d’une réflexion approfondie ». C’est ainsi que certaines figures gouvernementales semblent entamer le débat, à en croire le post du 12 novembre de Cédric O :

Or comme le rappelle la CNIL, une réflexion sur le sujet ne peut se « résumer à la question de savoir comment rendre « acceptables » certaines transformations numériques ». Et de continuer en précisant que « le rôle du politique est de déterminer, parmi les usages possibles de ces technologies, lesquels sont réellement souhaitables ». Certains ont, devant la difficulté de la tâche, renoncé à ce débat en bannissant l’utilisation de la reconnaissance faciale par les forces de l’ordre, à l’instar de la ville de San Francisco, en Californie.

D’après le rapport de la Commission, permettre une telle réflexion nécessite d’être au clair sur les fondements de la reconnaissance faciale.

Une technologie biométrique

La CNIL a rappelé que la reconnaissance faciale fonctionnait sur un sytème de comparaison des données, que ce soit pour authentifier, et donc vérifier l’identité d’une personne, ou identifier, autrement dit reconnaitre une personne dans la foule.

Elle insiste sur le caractère probabiliste de la reconnaissance faciale, rappelant que dans les deux cas, il s’agit d’estimer s’il y a une correspondance entre les données comparées. Autrement dit, un système de reconnaissance faciale n’est pas sûr à 100%, et ne doit pas être considéré comme « infaillible », est-il rappelé.

La reconnaissance faciale est « une fonctionnalité logicielle qui peut être mise en oeuvre au sein de systèmes existants (caméras, base de données de photos, etc.). Cette fonctionnalité peut donc être connectée, branchée sur une multitude de systèmes, et combinée avec d’autres fonctionnalités. ». Les usages de cette fonctionnalité sont multiples. Il incombe à la société de poser un cadre à ces usages, en prenant en compte l’utilité publique, mais également le droit à la vie privée et à l’anonymat conférés à chacun.

Des usages nombreux, dont la nécessité doit être établie

La reconnaissance faciale peut être utilisée à des « fins commerciales » comme dans le cadre de la « sécurité publique ». La Commission relève plusieurs cas dans lesquels elle est utilisée, ou envisagée, en France et en Europe : la reconnaissance automatique de personnes présentes sur une image (pratiquée par Facebook pour suggérer l’identification nominative, parfois à tort), l’accès à des services (utilisée par les distributeurs de billets pour reconnaitre leurs clients), le suivi de parcours d’un passager (par « comparaison entre le gabarit calculé en temps réel de toute personne se présentant à des portiques », ex. déposes bagages, portiques d’embarquement), la recherche (dans « une base de données […], ainsi que le permet par exemple en France le traitement TAJ (Traitement des antécédents judiciaires) »), le suivi des déplacements d’une personne dans l’espace public, la reconstitution d’un parcours d’une personne, ou encore l’identification sur la voie publique de personnes recherchées par des caméras de vidéoprotection détenues par les forces de l’ordre).

Tous ces usages méritent d’être étudiés au cas par cas, comme le préconise la CNIL. Cette étude méticuleuse doit pour cela tenir compte des cas où la reconnaissance faciale peut comporter un ou plusieurs risques.

Des données « sensibles »

Évaluer la sensibilité des données biométriques revient à « gérer » leurs usages, voire d’en « refuser » certains, déclare la CNIL. Ces décisions doivent considérer le droit à l’anonymat qui réclame une protection des données. Aussi, dans le cas des informations relatives à « la santé ou à la vie sexuelle, aux opinions politiques et aux convictions religieuses ou encore les données génétiques », la vigilance est de rigueur.

À cet égard, on comprend rapidement pourquoi la mise en place d’un cadre législatif est nécessaire, afin d’éviter des débordements qui seraient fort préoccupants si la reconnaissance faciale était utilisée dans un cadre non démocratique. Il va de soi qu’une régularisation de ces usages permettrait également de préserver notre système démocratique : « Contrairement à un mot de passe ou un identifiant, elle [la reconnaissance faciale] ne peut dès lors être modifiée en cas de compromission (perte, intrusion dans le système, etc.) : elle est non révocable. Tout détournement ou mauvais usage de cette donnée fait ainsi peser des risques substantiels sur la personne dont elle émane : privation de ses accès à des services ou à des lieux, usurpation de son identité à des fins d’escroquerie, voire criminelles, etc. » explique la CNIL.

En France, la loi du 20 juin 2018, s’inscrit dans la continuité du RGPD, qui interdit l’utilisation des données biométriques par un opérateur privé ou public en l’absence de consentement. Raison pour laquelle l’application Alicem mise en place par le gouvernement intérieur, avait causé certains remous. Le consentement n’est valable qu’en offrant le choix à son utilisateur, or il est pour l’instant impossible d’utiliser cette application sans accepter la reconnaissance faciale. Il existe pour le moment d’autres moyens d’accéder aux services publics, nuancent certains. Certes, mais sur un plan technique l’on fait face à des subtilités qui, définitivement, méritent d’être légiférées. Ces subtilités sont mentionnées par Clémence Scottez, cheffe du service économique à la CNIL :

La reconnaissance faciale, un cas particulier

Parmi les traitements biométriques disponibles, la Commission pointe du doigt la particularité de la reconnaissance faciale. Il s’agit d’une « technologie sans contact », qui de ce fait, peut s’utiliser « à distance et à l’insu des personnes ».

Il convient donc de choisir l’usage que la société veut en faire, à savoir une surveillance ciblée de certains individus, ou “une surveillance de tous” aux fins d’en cibler certains. On comprend que dans le cadre de la sécurité publique, les forces de l’ordre soient favorables à la deuxième utilisation, mais la décision ne leur revient pas.

Pour conclure, la CNIL préconise de privilégier une expérimentation « sincère » de la reconnaissance faciale, à la « préparation d’un cadre d’emblée pérenne, qui figerait un certain nombre de cas d’usage autorisés de manière générale en France ». En attendant la Commission déclare qu’elle continuera de suivre les principes qui la régissent : “L’informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques”.

Aussi c’est en gardant toute son indépendance que la Commission compte faire preuve de vigilance, alertant sur les actions risquant de bafouer ces principes, ainsi qu’elle l’a fait récemment en “dénonçant le caractère intrusif” d’un texte adopté par l’Assemblée nationale. Texte qui prévoit “d’octroyer à l’État un droit certain d’utiliser à sa guise les données des individus accessibles en ligne”. Autrement dit d’autoriser l’accès à une “collecte générale” des données sur les réseaux sociaux, pour enquêter sur les fraudes fiscales.

Il semblerait qu’une prise de conscience générale ait lieu quant à l’utilisation des technologies numériques dans leur ensemble. Outre-Atlantique, les États-Unis réfléchissent depuis plusieurs années sur la création d’un organe comme la CNIL au sein du pays. Début novembre, un projet de loi, porté par des démocrates, a été proposé afin de pouvoir régulariser et protéger efficacement l’utilisation des données des utilisateurs américains. Toutefois, reconnaissons qu’en dépit du travail effectué par ces types d’organismes, les gouvernements et les instances politiques savent régulièrement passer outre. Il suffit pour cela d’observer le lancement de l’application Alicem, ou la loi récemment adoptée par l’Assemblée nationale. L’expérimentation “sincère” préconisée par la CNIL, risque sans doute d’être légèrement compromise…