L’essentiel : La reconnaissance faciale, technologie biométrique en plein essor, soulève des enjeux éthiques et juridiques majeurs. Utilisée pour des applications variées, comme le déverrouillage de smartphones ou l’ouverture de comptes bancaires, elle pose des questions sur la protection des données personnelles. En Europe, le RGPD impose un cadre strict, exigeant le consentement des individus et une analyse d’impact pour tout projet à risque. La CNIL veille à ce que son utilisation respecte la vie privée, notamment pour les mineurs. Les législateurs cherchent à équilibrer innovation technologique et respect des droits fondamentaux dans un contexte de surveillance accrue.

Au cours des dernières années, la technologie de reconnaissance faciale s’est beaucoup développée pour une multitude d’usages tels que la gestion des accès dans les locaux ou le déverrouillage de smartphones ou de tablettes. Pour ce qui relève plus particulièrement de l’application de cette technologie dans le secteur des paiements, aux États-Unis, la chaîne de restauration rapide CaliBurger a été, en février 2018, la première entreprise américaine ayant donné à ses clients la possibilité de régler leurs achats en utilisant des terminaux de paiement équipés d’une technologie de reconnaissance faciale.

Quant à la Chine, le paiement par reconnaissance faciale est devenu une réalité en 2019. Divers établissements, tels que la chaîne chinoise de boulangeries Wedome ou les supermarchés IFuree et Carrefour, se sont en effet équipés de terminaux de paiement adaptés. S’agissant des consommateurs effectuant des achats chez Wedome ou Carrefour,

Enfin, en Europe, et plus particulièrement en France, la reconnaissance faciale est d’ores et déjà utilisée par certains acteurs dans le secteur bancaire pour permettre notamment l’ouverture de comptes bancaires En 2018, Société Générale (voir infra) a été, à cet égard, le premier groupe bancaire français à avoir lancé une solution, reposant notamment sur la reconnaissance biométrique faciale par selfie dynamique et permettant l’ouverture d’un compte bancaire à distance.

Définition de la reconnaissance faciale

La reconnaissance faciale est un développement de la vidéosurveillance. C’est une technologie biométrique qui permet d’analyser, grâce à des algorithmes, les traits de visages de personnes filmées ou photographiées et de les comparer à des images stockées dans une base de données. Ce système est un des domaines de l’intelligence artificielle. La reconnaissance faciale permet : i) d’authentifier une personne, c’est-à-dire vérifier qu’une personne est bien celle qu’elle prétend être (pour un contrôle d’accès par exemple) ; ii) d’identifier une personne, c’est-à-dire de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.

La reconnaissance faciale d’une personne qui est une technique biométrique de reconnaissance automatisée d’une personne, à partir des caractéristiques de son visage, ne doit pas être confondue avec d’autres techniques de traitement des images (par exemple, avec des dispositifs de « vidéo intelligente » qui permettent de détecter des évènements ou des émotions sans reconnaître, pour autant, les individus), avec lesquelles elle peut, parfois, se combiner.

Derrière la reconnaissance faciale, il existe une grande diversité d’usages possibles, allant du déverrouillage d’ordiphone à la reconnaissance d’une personne recherchée par les forces de police dans une foule, en passant par l’ouverture de comptes bancaires. Ces utilisations ne soulèvent pas toutes les mêmes enjeux, notamment en termes de contrôle des personnes sur leurs données.

Enjeux de la reconnaissance faciale

La reconnaissance faciale met en lumière des risques technologiques, éthiques, sociétaux. Ces risques sont liés à la nature biométrique de la reconnaissance faciale : les données extraites des visages touchent au corps, à l’intimité des personnes. Toute violation de données, tout mésusage ferait peser des risques importants (blocage d’accès à un service, usurpation d’identité, etc.). La reconnaissance faciale repose en outre sur une probabilité, et non une certitude absolue, de correspondance entre les visages comparés et le « gabarit » de référence. Les variations de performance peuvent donc avoir des conséquences très importantes pour les personnes mal reconnues.

Un autre enjeu est que cette technologie permet le traitement de données à distance, sans contact, voire à l’insu des personnes. Dans l’environnement numérique actuel, où les visages des personnes sont disponibles dans de multiples bases de données et captées par de nombreuses caméras, la reconnaissance faciale peut devenir un outil particulièrement omniprésent et intrusif. Le renforcement de la surveillance permis par cette technologie peut enfin réduire l’anonymat dont disposent les citoyens dans l’espace public.

Cadre juridique de la reconnaissance faciale

Les législateurs européen (RGPD, directive « police-justice ») et national (modifications de la loi « Informatique et Libertés » en 2018) ont très récemment encadré, plus strictement qu’auparavant, les dispositifs biométriques dans le but d’adapter le niveau de protection des données aux nouveaux usages du numérique. Tout usage, y compris expérimental, de la reconnaissance faciale devra donc respecter ce cadre juridique modernisé.

Conformément à ces règles, la nécessité de tels dispositifs devra, au cas par cas, être établie : la reconnaissance faciale ne peut être utilisée sans impératif particulier de forte fiabilité de vérification de l’identité des personnes.

Ces textes exigent également de s’assurer de la proportionnalité des moyens déployés et de veiller à la protection particulière dont doivent bénéficier les enfants. Ils imposent de placer le respect des personnes au cœur des dispositifs, par exemple en recueillant leur consentement ou en leur garantissant le contrôle de leurs données. C’est en appliquant ces principes, récemment réaffirmés au niveau européen, que la CNIL a déjà eu l’occasion d’admettre dans leur principe certains usages tout en encadrant leurs modalités pratiques (contrôles aux frontières dans les aéroports), et d’en refuser d’autres (contrôle d’accès d’élèves dans des établissements scolaires).

Ces exigences supérieures s’imposeront à tout encadrement, même expérimental, des systèmes de reconnaissance faciale.

La CNIL a précisé que « les traitements de données biométriques sont d’une sensibilité particulière, justifiant une protection renforcée des personnes. Notamment, les dispositifs de reconnaissance faciale sont particulièrement intrusifs et présentent des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées. Ils sont, par ailleurs, de nature à créer un sentiment de surveillance renforcé. Ces risques se trouvent accrus lorsque les dispositifs de reconnaissance faciale sont appliqués à des mineurs ».

Le RGPD pose le principe d’un consentement libre est obligatoire pour récolter les données nécessaires à l’usage de la reconnaissance faciale. Le recours à une identification biométrique ne peut être imposé à un individu et ces données récoltées ne peuvent être conservées par la suite.

Position de la CNIL

La CNIL a un rôle consultatif dans l’utilisation de cette technologie au sein de l’espace public mais conserve son pouvoir d’autorisations pour les acteurs du secteur privé. En la matière, la CNIL a rendu plus d’une centaine de décisions autorisant le déploiement de systèmes d’identification par reconnaissance faciale.

A titre d’exemple, par sa Délibération n° 2018-051 du 15 février 2018, la CNIL a autorisé la société Boursorama à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

Le traitement biométrique projeté reposait sur la comparaison entre une photographie du visage prise lors de l’entrée en relation et la photographie officielle de la pièce d’identité fournie par la personne concernée. Ce traitement intervenait dans le cadre d’un parcours de souscription de compte bancaire accéléré dit «parcours flash». Ce parcours constituait une alternative à la souscription en ligne classique et devait permettre l’ouverture d’un compte de manière quasi immédiate (1 jour ouvré au lieu de 10 à 20 jours actuellement), sans rupture de charge, tout en limitant les risques de fraudes et usurpations d’identité qu’une telle entrée en relation accélérée impliquerait.

Par une autre Délibération n° 2017-251 du 14 septembre 2017, la Société Générale a été autorisée à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

Le traitement biométrique de reconnaissance faciale intervenait à deux reprises dans le processus d’entrée en relation en vue de l’ouverture d’un compte. La Société Générale souhaitait, par ce biais, garantir un niveau élevé d’identification du prospect afin d’empêcher l’ouverture d’un compte sous une identité fausse ou usurpée, sans complexifier son parcours, ni le contraindre à se déplacer physiquement en agence.

Là aussi, les données brutes et modèles permettant la comparaison biométrique n’étaient traitées qu’en mémoire vive (RAM) pendant le temps de traitement de l’algorithme, soit quelques secondes.

En revanche, par sa Délibération n° 2015-393 du 12 novembre 2015, la CNIL a refusé la mise en œuvre par la société SUD MOTEURS d’un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance faciale et ayant pour finalité le pointage des horaires.

Le recours à un dispositif de reconnaissance faciale ne peut être admis que dans certaines circonstances particulières où l’exigence d’identification des personnes résulte d’un impératif de sécurité, conformément aux dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée. En effet, cet article dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. En l’espèce, aucune circonstance exceptionnelle n’était démontrée.

Concernant le secteur public, dans une délibération du 18 octobre 2018, la CNIL (voir infra), saisie par le ministre de l’intérieur pour avis, juge l’application non conforme au RGPD. Le refus de passer par la reconnaissance faciale bloque la création d’une identité numérique et aucune alternative à la reconnaissance faciale n’est proposée pour créer une identité numérique. En conséquence, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD. »

La CNIL rappelle aussi que tout projet d’utilisation de cette technologie doit faire l’objet d’une analyse d’impact lorsqu’il est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques.

Avis du contrôleur européen de la protection des données

Le contrôleur européen de la protection des données (CEPD) a récemment salué la proposition de la Commission européenne en date d’avril 2021 pour une nouvelle réglementation sur l’intelligence artificielle (IA). Ce nouveau règlement sur l’IA proposé par la Commission rappelle l’interdiction de principe de l’usage de l’identification biométrique à distance dans les espaces publics en dehors de cas spécifiques relevant de la sécurité des personnes ou du pays (rechercher un enfant disparu, prévenir une menace terroriste imminente). L’utilisation de ce système doit être autorisée par une instance judiciaire. Cette utilisation est également soumise à certaines limitations sur i) la durée ; ii) la portée géographique ; iii) et les bases de données consultées.

Reconnaissance faciale: ce que prévoit le Règlement IA

La proposition de Règlement sur l’IA prévoit que tous les systèmes d’IA destinés à l’identification biométrique à distance des individus soient considérés comme à haut risque, fassent l’objet d’une évaluation ex ante de leur conformité effectuée par un tiers et soient notamment soumis à des exigences en matière de documentation et de contrôle humain dès le stade de la conception.

Des ensembles de données de haute qualité et des tests permettront de s’assurer de la précision de ces systèmes et de l’absence d’incidences discriminatoires sur la population concernée.

Le recours dans les lieux accessibles au public à l’identification biométrique à distance en temps réel à des fins de maintien de l’ordre comporte tout particulièrement des risques pour les droits fondamentaux, notamment en ce qui concerne la dignité humaine, le respect de la vie privée et familiale, la protection des données à caractère personnel et la non-discrimination.

Son utilisation est donc en principe interdite, mais quelques exceptions restreintes strictement définies, délimitées et réglementées sont néanmoins prévues. L’identification biométrique peut notamment être utilisée par les forces de l’ordre de façon ciblée pour rechercher spécifiquement des victimes potentielles de crimes, notamment des enfants portés disparus; pour répondre à la menace imminente d’une attaque terroriste; ou pour repérer et identifier les auteurs de crimes graves.

Enfin, tous les systèmes de reconnaissance des sentiments et de catégorisation biométrique resteront soumis à des exigences de transparence spécifiques. Ces systèmes seront également considérés comme des applications à haut risque s’ils relèvent des cas d’utilisation identifiés comme tels, par exemple dans les domaines de l’emploi, de l’éducation, du maintien de l’ordre, de la migration et du contrôle aux frontières.

Proposition de loi relative à la sécurité globale

L’article 22 de la Proposition de loi relative à la sécurité globale a exclu la reconnaissance faciale pour le traitement des captations d‘image par les drones.

À deux reprises en 2020, le Conseil d’État a ordonné à l’État de cesser la surveillance de Paris. Le texte précise les cas où le recours aux drones est admis. Ces cas ont été limités par le Sénat: constat de certaines infractions graves, surveillance de lieux dangereux ou difficiles d’accès, manifestations en cas de risque de troubles très graves… Outre les forces de l’ordre, les sapeurs-pompiers et les personnels de la sécurité civile pourront en faire usage. Des garanties seraient posées : interdiction d’un recours permanent aux drones, de filmer l’intérieur des domiciles et les entrées, du recours à la reconnaissance faciale, de la captation des sons, obligation d’informer le public.

Q/R juridiques soulevées :

Qu’est-ce que la reconnaissance faciale ?

La reconnaissance faciale est une technologie biométrique qui analyse les traits du visage d’une personne à partir d’images ou de vidéos. Elle utilise des algorithmes pour comparer ces traits à des images stockées dans une base de données. Cette technologie est un sous-domaine de l’intelligence artificielle et permet d’authentifier ou d’identifier des individus. L’authentification vérifie si une personne est bien celle qu’elle prétend être, tandis que l’identification permet de retrouver une personne parmi un groupe. Il est important de ne pas confondre la reconnaissance faciale avec d’autres techniques de traitement d’images, comme la détection d’événements ou d’émotions, qui ne nécessitent pas d’identifier les individus. Les applications de la reconnaissance faciale sont variées, allant du déverrouillage de smartphones à l’identification de suspects par la police, en passant par l’ouverture de comptes bancaires. Cependant, ces usages soulèvent des enjeux importants concernant le contrôle des données personnelles.

Quels sont les enjeux de la reconnaissance faciale ?

La reconnaissance faciale soulève plusieurs enjeux technologiques, éthiques et sociétaux. L’un des principaux risques est lié à la nature biométrique des données, qui touchent à l’intimité des individus. Une violation de ces données peut entraîner des conséquences graves, telles que l’usurpation d’identité ou le blocage d’accès à des services. De plus, la reconnaissance faciale repose sur des probabilités, ce qui signifie qu’il existe un risque d’erreurs de reconnaissance, pouvant affecter des personnes innocentes. Un autre enjeu majeur est l’utilisation de cette technologie à distance, souvent sans le consentement des personnes concernées. Dans un monde où les visages sont captés par de nombreuses caméras, la reconnaissance faciale peut devenir un outil intrusif, réduisant l’anonymat des citoyens dans l’espace public. Enfin, le renforcement de la surveillance par cette technologie peut avoir des implications sur les libertés individuelles et la vie privée.

Quel est le cadre juridique de la reconnaissance faciale ?

Le cadre juridique de la reconnaissance faciale a été renforcé récemment par des législations européennes et nationales, comme le RGPD et la directive « police-justice ». Ces textes visent à protéger les données personnelles en encadrant strictement l’utilisation des dispositifs biométriques. Selon ces règles, l’utilisation de la reconnaissance faciale doit être justifiée par un impératif de sécurité et respecter le principe de proportionnalité. Cela signifie que les moyens déployés doivent être adaptés aux objectifs visés, et que le consentement des personnes concernées doit être obtenu. Les enfants bénéficient d’une protection particulière, et les dispositifs doivent garantir le respect de la vie privée. La CNIL, autorité française de protection des données, a déjà admis certains usages tout en encadrant leurs modalités, comme les contrôles aux frontières, tout en refusant d’autres, comme le contrôle d’accès dans les écoles.

Quelle est la position de la CNIL sur la reconnaissance faciale ?

La CNIL joue un rôle consultatif concernant l’utilisation de la reconnaissance faciale dans l’espace public, tout en conservant le pouvoir d’autoriser son déploiement dans le secteur privé. Elle a rendu de nombreuses décisions sur ce sujet, autorisant certains systèmes tout en en refusant d’autres. Par exemple, la CNIL a autorisé Boursorama à utiliser un système d’identification par reconnaissance faciale pour l’ouverture de comptes à distance, en garantissant que les données biométriques ne seraient traitées que temporairement. En revanche, elle a refusé une demande de SUD MOTEURS pour un système de pointage basé sur la reconnaissance faciale, considérant qu’aucune circonstance exceptionnelle ne justifiait son utilisation. La CNIL insiste également sur la nécessité d’une analyse d’impact pour tout projet susceptible d’engendrer des risques pour les droits des individus.

Quel est l’avis du contrôleur européen de la protection des données ?

Le contrôleur européen de la protection des données (CEPD) a salué la proposition de la Commission européenne pour une nouvelle réglementation sur l’intelligence artificielle, qui inclut des dispositions sur l’identification biométrique à distance. Cette réglementation interdit en principe l’usage de la reconnaissance faciale dans les espaces publics, sauf dans des cas spécifiques liés à la sécurité, comme la recherche d’enfants disparus ou la prévention d’attaques terroristes. L’utilisation de cette technologie doit être autorisée par une instance judiciaire et est soumise à des limitations strictes concernant la durée, la portée géographique et les bases de données consultées. Le CEPD souligne également que l’identification biométrique à distance comporte des risques pour les droits fondamentaux, notamment la vie privée et la non-discrimination.

Que prévoit le Règlement IA concernant la reconnaissance faciale ?

Le projet de Règlement sur l’intelligence artificielle considère tous les systèmes d’identification biométrique à distance comme à haut risque. Ces systèmes doivent faire l’objet d’une évaluation de conformité par un tiers et respecter des exigences strictes en matière de documentation et de contrôle humain dès leur conception. Des ensembles de données de haute qualité et des tests sont nécessaires pour garantir la précision de ces systèmes et éviter des incidences discriminatoires. L’utilisation de l’identification biométrique à distance pour le maintien de l’ordre est généralement interdite, sauf dans des cas très spécifiques, comme la recherche de victimes de crimes ou la prévention d’attaques imminentes. Tous les systèmes de reconnaissance des sentiments et de catégorisation biométrique seront également soumis à des exigences de transparence et considérés comme des applications à haut risque dans des domaines sensibles.

Quelles sont les implications de la proposition de loi relative à la sécurité globale ?

L’article 22 de la Proposition de loi relative à la sécurité globale exclut explicitement l’utilisation de la reconnaissance faciale pour le traitement des images captées par des drones. Le Conseil d’État a ordonné à l’État de cesser la surveillance de Paris à deux reprises en 2020, soulignant les limites imposées par le Sénat sur l’utilisation des drones. Ces limites concernent des situations spécifiques, comme la constatation d’infractions graves ou la surveillance de lieux dangereux. Des garanties sont également prévues, interdisant l’utilisation permanente des drones, la captation d’images à l’intérieur des domiciles, ainsi que l’utilisation de la reconnaissance faciale. Le texte vise à protéger les droits des citoyens tout en permettant aux forces de l’ordre d’agir dans des situations de sécurité publique.