Le point sur la reconnaissance faciale

reconnaissance faciale

Définition de la reconnaissance faciale

La reconnaissance faciale se définit comme une méthode permettant de reconnaître une personne grâce aux traits caractéristiques de son visage. Il s’agit d’une haute technologie individualisant chaque personne grâce à une photo ou une vidéo. On s’en sert généralement pour authentifier une personne pour le :

  • Contrôle d’accès à un local
  • Déverrouillage d’un téléphone

Le visage s’apparente à une donnée biométrique. Considérée comme très sensible, elle doit être manipulée avec soin, conformément aux principes imposés par le Règlement Général sur la Protection des Données personnelles. En effet, la mise en conformité rgpd doit toujours être garantie lorsqu’il est question de données personnelles.

Or, la plupart des responsables de traitement ne s’inquiètent pas beaucoup du respect des droits et libertés des personnes concernées :

A Hong-Kong

Un système de surveillance globale a été instauré. Il traque chaque lubie des citoyens pour les punir par une limitation de leurs libertés. Toutefois, des manifestants ont démontré leur mécontentement : certains se munissent de lasers pour éblouir les caméras.

En Suède

Une école qui usait de la reconnaissance faciale pour contrôler l’absence des élèves a été punie d’une amende de 18 630€. En effet, le traitement de données personnelles s’avérait disproportionné, d’autant plus que les individus concernés étaient des enfants. Dans des cas comme celui-ci, la réalisation d’une analyse d’impact ou pia rgpd s’impose, en vue de garantir le respect de la protection de la vie privée.

Le traitement de données biométriques : les principes à connaître

L’utilisation de la reconnaissance faciale est très réglementée selon la Commission Nationale de l’Informatique et des Libertés ou CNIL. Selon elle, cette technologie est déjà très avancée à l’heure actuelle. Les risques d’atteinte à la liberté individuelle et les enjeux de protection des données que la technologie peut induire, sont importants. Cela inclue la liberté de circuler de façon anonyme. De ce fait, tous les acteurs qui souhaitent la mettre en place doivent inscrire la démarche dans leur registre des traitements, depuis sa conception jusqu’à sa mise en œuvre, tout comme l’utilisation du bouton Like Facebook sur un site internet.

Les principes

Toutes les considérations liées au RGPD doivent être prises en compte au moment de concevoir le traitement. Pour cela, il convient d’encadrer contractuellement les responsables de traitement et les sous-traitants. Cela est particulièrement vrai pour la reconnaissance faciale. Seules quelques sociétés sont habilitées à mettre en place cette technique de façon sécurisée.

Selon les principes du Privacy by design & by default, le responsable de traitement doit anticiper les obligations du Règlement européen au moment de définir le traitement de données à caractère personnel. Cela lui permettra de considérer toutes les contraintes au moment de mettre la reconnaissance faciale en œuvre. En outre, des procédures internes doivent être mises en place. Le responsable de traitement doit également s’occuper du paramétrage de la technologie pour réduire au maximum l’ingérence du traitement vis-à-vis des droits des personnes.

Pour assurer la conformité avec la loi Informatique et Libertés, Facebook a par exemple retiré l’option de reconnaissance faciale sur les photos publiées. Il faut noter que les mesures dépendent grandement des finalités du traitement.

Les éléments suivants sont à intégrer parmi les contraintes :

Tout d’abord, chaque traitement doit reposer sur une base légale solide. L’article 9 du RGPD régit par exemple les traitements de données biométriques. Au second alinéa se trouvent les lignes directrices des cas restrictifs des traitements. En gros, toute personne privée qui souhaite mettre en œuvre une technique de reconnaissance faciale doit préalablement avoir le consentement de la personne concernée.

C’est la raison pour laquelle, les acteurs qui se servent des données biométriques doivent uniquement le faire pour répondre à un certain besoin, comme :

  • Un service
  • Une application
  • L’accès à un lieu sécurisé…

Puis, laisser la personne accepter librement de se faire relever ses données biométriques.

Le principe de consentement est régi par les articles 4 et 7 du RGPD :

  • Il est libre
  • Il est éclairé
  • Il est univoque
  • Il est spécifique

La preuve de consentement doit être conservée par le responsable de traitement. D’ailleurs, les personnes concernées doivent disposer du droit de le retirer à tout moment.

Lorsqu’il est question de traitement pour reconnaissance faciale, une analyse d’impact RGPD doit être effectuée selon la CNIL. Cette étude est même obligatoire s’il s’agit de traitement de données biométriques de personnes vulnérables comme des enfants, des personnes handicapées, des personnes âgées, des demandeurs d’asile.

RGPD données personnelles sensibles : La gestion des risques

Les principaux besoins liés à la reconnaissance faciale doivent être précisés par l’AIPD. Pour cela, il convient de déterminer les catégories des personnes concernées, le contexte du traitement et sa proportionnalité, les mesures organisationnelles et les techniques mises en œuvre, ainsi que l’objectif visé pour s’assurer que les risques planant sur les droits et les libertés des personnes concernées sont limités.

Une étude de risque doit aussi être réalisée pour prouver que tous les aspects du traitement ont été considérés pour adapter le traitement. Pour cela, il convient d’utiliser la méthode EBIOS.

Avec le Délégué à la Protection des données, le responsable de traitement devra émettre des hypothèses de risques vis-à-vis du projet de traitement et étudier le sérieux de l’atteinte subie par les personnes physiques au regard des événements suivants :

  • La déchéance de données
  • La modification de données
  • La communication de données non consentie

Pour chaque élément, l’impact subi par la personne sera défini sur le plan moral, physique et matériel. L’importance des impacts oblige le responsable de traitement à instaurer des mesures plus strictes. S’il demeure encore un risque résiduel ou que les garanties s’avèrent incomplètes, il convient d’en aviser la CNIL.

Concernant les données biométriques, la déchéance des données est non négligeable : dans le cas d’une authentification par exemple, le changement de mot de passe après un piratage est possible pour assurer la sécurité des données. Toutefois, ce n’est pas le cas pour les données biométriques. Comme le visage même de la personne a été subtilisé, le mécanisme d’authentification est compromis à jamais.

Parmi les mesures de sécurité à mettre en place, on peut citer les suivants :

  • L’archivage
  • La sensibilisation du personnel
  • La protection des locaux
  • L’encadrement de la sous-traitance…

Conclusion

D’après les experts, la reconnaissance faciale demeure une technologie fiable et hautement sécurisée. En effet, l’outil n’est ni bon, ni mauvais. Le RGPD rappelle cependant que les autres options doivent être envisagées avant de la mettre en œuvre. L’usage de mot de passe classique s’avère par exemple être une alternative idéale pour sécuriser les données, tout en garantissant le respect des droits et des libertés des personnes concernées.