La reconnaissance faciale sera-t-elle prochainement utilisée pour identifier les citoyens en temps réel ? Cette question intéresse les états et les acteurs privés autant qu’elle fait débat. Le recours à la reconnaissance faciale aux fins d’une identification biométrique à distance est généralement interdit. Son utilisation n’est autorisée que dans des cas exceptionnels, justifiés et proportionnés, dans le respect des règles de droit. Mais elle pourrait intéresser de nombreuses applications, notamment en matière de sécurité. Cela soulève un véritable débat de société. La Commission européenne s’est intéressée aux stratégies à mettre en place en matière de données et d’intelligence artificielle. À ce titre, elle a publié le 19 février dernier un livre blanc mettant en garde les états membres de l’Europe. L’usage de la reconnaissance faciale requiert un maximum d’encadrement car il présente un risque majeur pour les droits fondamentaux. Par ailleurs, conformément au RGPD, il soulève une problématique de traitement des données personnelles.
La reconnaissance faciale à l’épreuve du RGPD
La reconnaissance faciale
La reconnaissance faciale est une technologie qui permet d’identifier une personne à partir des traits de son visage. Cela permet d’authentifier une personne dans le cadre d’un contrôle d’accès par exemple, ou de l’identifier au sein d’un groupe d’individu dans un lieu sur une image photo ou vidéo. En pratique, les caractéristiques du visage sont réunies pour en représenter une sorte de gabarit informatique. La reconnaissance faciale est alors réalisée par comparaison du visage et du modèle biométrique recherché. Or, l’article 4-14 du RGPD considère que ces informations sont des données biométriques qui nécessitent un traitement conforme à la protection des données personnelles.
Le RGPD
Le Règlement général sur la protection des données définit la donnée personnelle comme une information se rapportant à une personne physique au moyen de laquelle elle peut être identifiée directement, avec un nom et un prénom par exemple, ou indirectement à partir du croisement d’un ensemble de données, comme un numéro de téléphone et plusieurs éléments relatifs à son identité physique. Le RGPD s’impose aux entreprises établies sur le territoire de l’Union européenne ou dont l’activité cible directement des résidents européens. Le traitement de données personnelles concerne de multiples opérations : collecte, enregistrement, organisation, conservation, consultation, utilisation, ou encore mise à disposition de celles-ci. La reconnaissance faciale représente donc un nouvel enjeu concernant la protection des données et l’atteinte aux libertés individuelles. Tout projet mettant en œuvre cette technique devrait faire l’objet d’une analyse d’impact relative à la protection des données.
La nécessité d’une analyse d’impact
L’analyse d’impact relative à la protection des données – AIPD – est une procédure de contrôle prévue à l’article 35 du RGPD. Elle est obligatoire lorsque le traitement de données personnelles est susceptible de présenter un risque important pour les droits et libertés des individus concernés. Le risque est celui d’une atteinte à la confidentialité et à l’intégrité des données traitées. L’analyse d’impact doit contenir la description détaillée de l’opération envisagée ainsi que sa finalité. En l’espèce, elle devrait donc mettre en évidence la nécessité du recours à la reconnaissance faciale et à l’utilisation de ces données, ainsi que les mesures de sécurité déployées pour prévenir les risques d’atteinte à leur confidentialité. Sur ce sujet, la CNIL recommande la plus grande vigilance pour éviter les usages déraisonnables.
La reconnaissance faciale dans l’Union européenne
La Commission européenne souhaite organiser un débat européen afin de déterminer si l’utilisation de la reconnaissance faciale dans des lieux publics est envisageable. Le positionnement sur le numérique et l’intelligence artificielle est un réel enjeu économique pour les entreprises européennes. Il est néanmoins nécessaire de prévoir un cadre solide. L’usage de la reconnaissance faciale exige le consentement libre et éclairé de la personne. Il faut en outre strictement définir les circonstances de sa mise en œuvre. La collecte et l’utilisation de données biométriques à des fins d’identification à distance constituent en effet un risque en termes de droits fondamentaux d’autant que les applications peuvent considérablement varier selon la finalité et le contexte. La Commission européenne invite les États membres de l’UE à s’emparer de ce sujet de société pour établir une législation qui puisse s’inscrire dans la continuité du RGPD. Utilisées raisonnablement, les technologies numériques peuvent être bénéfiques aux citoyens et aux entreprises.
L’Europe peut être un acteur majeur en matière d’Intelligence artificielle et le déploiement de la reconnaissance faciale peut se faire avec succès. Mais elle devra rigoureusement être encadrée à la hauteur des enjeux qu’elle représente.