Le danger de la reconnaissance faciale pour la protection des données

reconnaissance faciale

La reconnaissance faciale est un sujet qui touche de nombreux aspects comme la sécurisation des données, l’intelligence artificielle et l’impact éthique des nouvelles technologies sur les humains.

La reconnaissance faciale n’est pas un concept nouveau. Au XIXe siècle, Alphonse Bertillon, un criminologue français très célèbre a souhaité affiner les recherches criminelles, grâce à l’analyse des traits du visage. Il s’est donc penché sur l’écartement des oreilles et des yeux, l’implantation des cheveux, l’emplacement de la bouche et d’autres paramètres dans le but d’établir un portrait-robot et d’aider les policiers à identifier plus facilement les criminels recherchés.

A la suite de ces travaux de recherche, de nombreuses évolutions ont été constatées concernant la technologie de la reconnaissance faciale. Comme l’intelligence artificielle est aujourd’hui très présente dans différents secteurs, la reconnaissance faciale n’a pas été laissée pour compte. Elle s’appuie sur un système très précis qui combine quelques techniques du Big Data comme la visualisation des données, l’intelligence artificielle, la biométrie et le Deep Learning ou l’apprentissage automatique.

La reconnaissance faciale comporte actuellement les éléments suivants :
  • Des volumes de données importants,
  • Des données brutes, semi-structurées ou non-structurées,
  • La rapidité de production de la donnée et l’analyse en temps réel,
  • La sincérité qui garantit une source de donnée fiable.

Le traitement des données crée l’attraction entre les technologies du Big Data et les enjeux de la reconnaissance faciale. En effet, qu’il s’agisse de données structurées ou non structurées, les traitements peuvent présenter un risque car ils concernent des informations personnelles. Il convient donc au dpo rgpd de veiller à la mise en place de mesures techniques efficaces pour assurer la sécurité de ces données. Le contrôle de l’utilisation de cette reconnaissance faciale, couplée à l’intelligence artificielle pouvant automatiquement identifier les personnes, est un vrai challenge. Le croisement des données est la technique utilisée pour ce faire : données d’identification, images, localisation, …

La reconnaissance, considérée comme un traitement automatisé de l’image des personnes, est un traitement de données à caractère personnel. L’article 9.1 du RGPD mentionne à cet effet l’interdiction de principe au traitement des données biométriques pour identifier une personne physique. Il est toutefois possible de recourir à la reconnaissance faciale dans les cas suivants : si une personne a donné son consentement au traitement ; si le traitement est indispensable pour des motifs d’intérêt public ; si le traitement comporte des données à caractère personnel rendues publiques par les personnes concernées.

Selon le règlement, l’identification biométrique ne peut être imposée à une personne. D’ailleurs, proposer une mesure alternative relève d’une obligation. Si elle est en application sur les lieux de travail pour accéder à des zones sensibles, elle ne peut être interdite. En outre, pour la sûreté de l’État ou pour garantir la sécurité publique, il est possible de mettre en place un contrôle biométrique pour identifier les personnes dans un lieu donné. En revanche, il faut veiller à la mise en conformité rgpd pour le respect des droits des personnes. Par exemple, suite aux événements terroristes dans la ville de Nice en 2016, un système de reconnaissance faciale a été mis en place pour toute personne qui participe au Carnaval.

L’appréciation du dispositif est relative. Elle tient compte des éléments qui justifient le recours à un tel système et des exceptions légales. Les débats sur l’utilisation de la reconnaissance faciale ont de nouveau été ouverts par l’affaire FCPE 06 -CGT-Educ 06. La région PACA souhaitait instaurer un système de reconnaissance faciale pour contrôler les entrées et sorties de deux lycées en vue de fluidifier et sécuriser les allées et venues. Pour garantir la légalité de la démarche, l’avis de la Commission Nationale de l’Informatique des Libertés (CNIL) a été entendu.

L’autorité de contrôle française refuse le projet car elle estime qu’il va à l’encontre des grands principes de proportionnalité et de minimisation des données imposées par le nouveau règlement européen. De plus, malgré avoir obtenu le consentement des lycéens le 17 octobre 2019, la CNIL a condamné cette pratique dans les villes de Nice et de Marseille, bien qu’elle fût encore à titre expérimental. Un jugement doit être entendu sur la question très prochainement par le tribunal administratif de Marseille.

Pour orienter l’encadrement et l’analyse juridique du procédé vis-à-vis de la réglementation, le principe de « risque élevé pour les droits et libertés des personnes physiques » est essentiel. Le texte RGPD impose la réalisation d’une analyse d’impact sur la vie privée pour tout traitement « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Ces analyses d’impact concernent donc les données sensibles issues de la technologie de reconnaissance faciale. D’ailleurs, en cas de traitement de données personnelles à des fins pénales ou pour l’État, il faudra s’adresser à la CNIL.

Actuellement, les polices nationales rédigent un rapport de dix États membres de l’Union européenne qui est en faveur d’une interconnexion des bases de données de reconnaissance faciale. Pour éviter que la reconnaissance faciale ne soit bannie ou discréditée par l’opinion publique, il vaut mieux rester prudent quant à l’utilisation d’un tel procédé, notamment en respectant les normes énoncées par la Nouvelle Loi Informatique et Libertés.

La récente loi PACTE fût pensée en ce sens : la nécessité de mettre en place la transparence dans les différentes pratiques pour amener les entreprises à définir un cadre et une protection des secteurs stratégiques.

Le contrôle de données personnelles des citoyens européens est important, qu’il s’agisse de données concernant la reconnaissance faciale ou non. Pour toute entité qui doit assurer la conformité informatique avec les Règles de protection des données, tout traitement de données doit veiller au respect de la vie privée et des droits fondamentaux de la personne concernée. Le rôle du Délégué à la Protection des Données (Data Protection Officer) reste important dans tous les cas.